課題09緩沖區(qū)溢出攻擊

1、1 課題九 緩沖區(qū)溢出攻擊網(wǎng)絡(luò)安全運(yùn)行與維護(hù)2 課題SUBJECT信息教學(xué)任務(wù)：緩沖區(qū)溢出攻擊知識目標(biāo)：了解緩沖區(qū)溢出概念；理解緩沖區(qū)溢出原理；掌握緩沖區(qū)溢出攻擊能力目標(biāo)：能夠使用緩沖區(qū)溢出進(jìn)行攻擊重 點(diǎn)：緩沖區(qū)溢出攻擊難 點(diǎn)：緩沖區(qū)溢出的預(yù)防教學(xué)方法：演示法、案例教學(xué)法、任務(wù)驅(qū)動法課堂類型：新授課教 具：PC機(jī)、教學(xué)軟件3 內(nèi)容CONTENTS導(dǎo)航緩沖區(qū)溢出簡介緩沖區(qū)溢出原理緩沖區(qū)溢出演示緩沖區(qū)溢出的預(yù)防4 緩沖區(qū)溢出（buffer overflow)從一個對話框說起5 【引例】把1升的水注入容量為0.5升的容量中認(rèn)識緩沖區(qū)溢出l第一次大規(guī)模的緩沖區(qū)溢出攻擊是發(fā)生在1988年的Morris蠕

2、蟲，它造成了6000多臺機(jī)器被癱瘓，損失在$100 000至$10 000 000之間，利用的攻擊方法之一就是fingerd的緩沖區(qū)溢出。l緩沖區(qū)溢出攻擊已經(jīng)占了網(wǎng)絡(luò)攻擊的絕大多數(shù)，據(jù)統(tǒng)計，大約80%的安全事件與緩沖區(qū)溢出攻擊有關(guān)。6 緩沖區(qū)溢出原理Windows系統(tǒng)的內(nèi)存結(jié)構(gòu) 7 計算機(jī)運(yùn)行時，系統(tǒng)將內(nèi)存劃分為3個段，分別是代碼段、數(shù)據(jù)段和堆棧段。Windows 系統(tǒng)的內(nèi)存結(jié)構(gòu)數(shù)據(jù)只讀，可執(zhí)行。在代碼段一切數(shù)據(jù)不允許更改。在代碼段中的數(shù)據(jù)是在編譯時生成的2進(jìn)制機(jī)器代碼，可供CPU執(zhí)行。放置程序運(yùn)行時動態(tài)的局部變量，即局部變量的空間被分配在堆棧里面?？勺x、寫 。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程

3、序開始運(yùn)行的時候被加載。可讀、寫 。代碼段 堆棧段數(shù)據(jù)段8 l緩沖區(qū)溢出源于程序執(zhí)行時需要存放數(shù)據(jù)的空間，也即我們所說的緩沖區(qū)。l緩沖區(qū)的大小是程序執(zhí)行時固定申請的。然而，某些時候，在緩沖區(qū)內(nèi)裝載的數(shù)據(jù)大小是用戶輸入的數(shù)據(jù)決定的。程序開發(fā)人員偶爾疏忽了對用戶輸入的這些數(shù)據(jù)作長度檢查，由于用戶非法操作或者錯誤操作，輸入的數(shù)據(jù)占滿了緩沖區(qū)的所有空間，且超越了緩沖區(qū)邊界延伸到緩沖區(qū)以外的空間。我們稱這個動作為緩沖區(qū)溢出。緩沖區(qū)溢出的基本原理（1）l緩沖區(qū)溢出是由于系統(tǒng)和軟件本身存在脆弱點(diǎn)所導(dǎo)致的。l例如目前被廣泛使用的C和C+，這些語言在編譯的時候沒有做內(nèi)存檢查，即數(shù)組的邊界檢查和指針的引用檢查，也

4、就是開發(fā)人員必須做這些檢查，可是這些事情往往被開發(fā)人員忽略了；標(biāo)準(zhǔn)C庫中還存在許多不安全的字符串操作函數(shù)，包括：strcpy()，sprintf()，gets()等等，從而帶來了很多脆弱點(diǎn)，這些脆弱點(diǎn)也便成了緩沖區(qū)溢出漏洞。緩沖區(qū)溢出的基本原理（2）9 /* * 文件名：overflow.cpp* 功能：演示W(wǎng)indows緩沖區(qū)溢出的機(jī)制*/ #include #include char bigbuff=“aaaaaaaaaa; / 10個avoid main() char smallbuff5; / 只分配了5字節(jié)的空間 strcpy(smallbuff,bigbuff);Windows緩沖

5、區(qū)溢出實(shí)例分析利用OllyDbg調(diào)試工具加載overflow.exe文件 10 調(diào)用strcpy()函數(shù)時堆棧的填充情況11 執(zhí)行strcpy()函數(shù)的過程溢出結(jié)果12 l可以導(dǎo)致程序運(yùn)行失敗、重新啟動等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。l而緩沖區(qū)溢出中，最為危險的是堆棧溢出，因為入侵者可以利用堆棧溢出，在函數(shù)返回時改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。 緩沖區(qū)溢出的危害13 l2000年1月，Cerberus 安全小組發(fā)布了微

6、軟的IIS 4/5存在的一個緩沖區(qū)溢出漏洞。攻擊該漏洞，可以使Web服務(wù)器崩潰，甚至獲取超級權(quán)限執(zhí)行任意的代碼。目前，微軟的IIS 4/5 是一種主流的Web服務(wù)器程序；因而，該緩沖區(qū)溢出漏洞對于網(wǎng)站的安全構(gòu)成了極大的威脅；它的描述如下： l瀏覽器向IIS提出一個HTTP請求，在域名（或IP地址）后，加上一個文件名，該文件名以“.htr”做后綴。于是IIS認(rèn)為客戶端正在請求一個“.htr”文件，“.htr”擴(kuò)展文件被映像成ISAPI（Internet Service API）應(yīng)用程序，IIS會復(fù)位向所有針對“.htr”資源的請求到 ISM.DLL程序 ，ISM.DLL 打開這個文件并執(zhí)行之。

7、l瀏覽器提交的請求中包含的文件名存儲在局部變量緩沖區(qū)中，若它很長，超過600個字符時，會導(dǎo)致局部變量緩沖區(qū)溢出，覆蓋返回地址空間，使IIS崩潰。緩沖區(qū)溢出攻擊的實(shí)驗分析14 l上述的緩沖區(qū)溢出例子中，只是出現(xiàn)了一般的拒絕服務(wù)的效果。但是，實(shí)際情況往往并不是這么簡單。當(dāng)黑客精心設(shè)計這一EIP，使得程序發(fā)生溢出之后改變正常流程，轉(zhuǎn)而去執(zhí)行他們設(shè)計好的一段代碼（也即ShellCode），攻擊者就能獲取對系統(tǒng)的控制，利用ShellCode實(shí)現(xiàn)各種功能，比如，監(jiān)聽一個端口，添加一個用戶，等等。這也正是緩沖區(qū)溢出攻擊的基本原理。l目前流行的緩沖區(qū)溢出病毒，如沖擊波蠕蟲、震蕩波蠕蟲等，就都是采用同樣的緩沖區(qū)

8、溢出攻擊方法對用戶的計算機(jī)進(jìn)行攻擊的。 緩沖區(qū)溢出攻擊15 流行的緩沖區(qū)溢出攻擊病毒利用漏洞：RPC緩沖區(qū)溢出 135/TCP沖擊波 在此添加標(biāo)題震蕩波 極速波高波利用漏洞：LSASS漏洞 1025/TCP利用漏洞：UPNP漏洞 445/TCP利用多種漏洞,非常危險16 防范緩沖區(qū)溢出攻擊的有效措施 強(qiáng)制程序開發(fā)人員書寫正確的、安全的代碼。目前，可以借助grep、FaultInjection、PurifyPlus等工具幫助開發(fā)人員發(fā)現(xiàn)程序中的安全漏洞。 通過對數(shù)組的讀寫操作進(jìn)行邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)，使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅。常見的對數(shù)組操作進(jìn)行檢查的工具有Compaq C編譯器，Richard Jones和Paul Kelly開發(fā)的gcc補(bǔ)丁等。 17 通過操作系統(tǒng)設(shè)置緩沖區(qū)的堆棧段為不可執(zhí)行，從而阻止攻擊者向其中植入攻擊代碼。微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù)微軟的DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù) （Windows XP SP2、Windows Server 2003 SP1及其更高版本的Windows操作系統(tǒng)中）1