CiscoIOS系统缓冲区溢出攻击研究
- 格式:pdf
- 大小:174.54 KB
- 文档页数:3
下载文档原格式
合集下载
缓冲区溢出攻击实验
HUNAN UNIVERSITY课程实验报告题目: Buflab-handout学生姓名学生学号专业班级计科1403(一)实验环境联想ThinkPadE540 VM虚拟机ubuntu32位操作系统(二)实验准备1.使用tar xvf命令解压文件后,会有3个可执行的二进制文件bufbomb,hex2raw,makecookie。
bufbomb运行时会进入getbuf函数,其中通过调用Gets函数读取字符串。
要求在已知缓冲区大小的情况下对输入的字符串进行定制完成特定溢出操作。
从给的PDF文件中我们得知getbuf函数为:/ /Buffer size for getbuf#define NORMAL_BUFFER_SIZE 32int getbuf(){char buf[NORMAL_BUFFER_SIZE];Gets(buf);return 1;}这个函数的漏洞在于宏定义的缓冲区的大小为32,若输入的字符串长于31(字符串末尾结束符)则会导致数据的覆盖,从而导致一系列损失;在此实验中,我们正是利用这个漏洞来完成实验。
2. hex2raw可执行文件就是将给定的16进制的数转成二进制字节数据。
Makecookie是产生一个userid。
输入的相应的用户名产生相应的cookie值。
**我产生的cookie值为0x5eb52e1c,如下图所示:Level0:实验要求:从英文的PDF文件中的“Your task is to get BUFBOMB to execute the code for smoke when getbuf executes its return statement,rather than returning to test. Note that your exploit string may also corrupt parts of the stack not directlyrelated to this stage, but this will not cause a problem, since smoke causes the program to exit directly.”这句话看出实验让我们在test运行完后,不直接退出,而是跳到smoke函数处执行然后退出,这点很重要!(本人之前一直没有成功就是错在这儿)Test源码:void test(){int val;// Put canary on stack to detect possible corruptionvolatile int local = uniqueval();val = getbuf();// Check for corrupted stackif (local != uniqueval()) {printf("Sabotaged!: the stack has been corrupted\n");}else if (val == cookie) {printf("Boom!: getbuf returned 0x%x\n", val);validate(3);} else {printf("Dud: getbuf returned 0x%x\n", val);}}smoke源码:void smoke(){printf("Smoke!: You called smoke()\n");validate(0);exit(0);}对bufbomb函数进行反汇编并获取getbuf函数的反汇编代码:从上面的汇编代码中我们可以得知,lea指令把buf的指针地址(-0x28(%ebp))传给了Gets()。
Cisco IOS堆管理和保护机制及其脆弱性研究
maa e n a d rt cin n g met n poe t meh n m, a d t d o te rn iit o te o cai s n su y n h fa gbly f h me h ns i ca i m whn ei ig e p v rl e rs tn h a o efo s w a t c ta k. Afe ta , sme tr ht o ef cie p ra h s r dsusd o mpo e h meh ns o l ha ma a e n a d rtc in a d o n a c te a ut o lS o eit f etv a po c e a e i se t i rv te c c aim f OS e p n g me t n poe t , n t e hn e h fc ly f O t rs o s
维普资讯
_ _ _ 柄 再 掌0 广 ≥0
C s o l S堆管理和保护机 制及其脆 弱性研 究 i O c
范俊 俊 ,鲁 云 萍
( 江南 计算技术研究所 ,江苏 无锡 2 4 8 ) 10 3
Hale Waihona Puke 摘要 :缓冲 区堆 溢 出攻 击是 目前 Cc 路 由器的主要安 全威胁 。该 文分析 了 Cc l 堆 管理和保护机制 的工作原理 ,研 究其 面 io s io O s S
2 2 Cso lS堆块管理 结构 . i O c
2 Cic OS堆管理机制研 究 s ol
2 1 Cso lS存储器结构 . i O c
Ci c s 0路 由器 实 际 上 是 一 个 嵌 入 式 系统 ,用 于 实 现
C so [ ic OS使用 动态 内存分 配机 制 ,在 内存 中划 分 出 专 门的 区域 ( 区 ) 堆 ,应用 程 序可 以动 态地 从 中 申请 所 需 大 小 的内存 块使 用 ,这些 内存 块 也就 是堆块 。[ OS使 用双 向链 表管 理 堆块 ,用 一个 双 向 链表 将所 有堆 块连 在 一起 ,
维普资讯
_ _ _ 柄 再 掌0 广 ≥0
C s o l S堆管理和保护机 制及其脆 弱性研 究 i O c
范俊 俊 ,鲁 云 萍
( 江南 计算技术研究所 ,江苏 无锡 2 4 8 ) 10 3
Hale Waihona Puke 摘要 :缓冲 区堆 溢 出攻 击是 目前 Cc 路 由器的主要安 全威胁 。该 文分析 了 Cc l 堆 管理和保护机制 的工作原理 ,研 究其 面 io s io O s S
2 2 Cso lS堆块管理 结构 . i O c
2 Cic OS堆管理机制研 究 s ol
2 1 Cso lS存储器结构 . i O c
Ci c s 0路 由器 实 际 上 是 一 个 嵌 入 式 系统 ,用 于 实 现
C so [ ic OS使用 动态 内存分 配机 制 ,在 内存 中划 分 出 专 门的 区域 ( 区 ) 堆 ,应用 程 序可 以动 态地 从 中 申请 所 需 大 小 的内存 块使 用 ,这些 内存 块 也就 是堆块 。[ OS使 用双 向链 表管 理 堆块 ,用 一个 双 向 链表 将所 有堆 块连 在 一起 ,
缓冲区溢出攻击的基本原理
缓冲区溢出攻击的基本原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种常见的安全漏洞,指的是攻击者利用输入数据的长度或格式错误,超出程序设计者预留的存储空间范围,从而写入到相邻内存空间中,进而控制程序的执行或修改程序的行为。
缓冲区溢出攻击的基本原理如下:
1.内存分配:程序在运行时会根据变量类型和长度来分配内存空间。
2.缓冲区溢出:攻击者通过向程序输入异常数据,超出了程序预留的内存空
间。
3.覆盖关键数据:溢出的数据覆盖了原本存储的数据,可能是程序的返回地
址、函数指针等关键信息。
4.控制程序行为:攻击者利用溢出的数据修改程序的执行路径,跳转到自己
准备好的恶意代码。
5.执行恶意代码:程序执行了攻击者注入的恶意代码,可能导致系统崩溃、
拒绝服务或远程执行任意命令。
为了避免缓冲区溢出攻击,开发人员可以采取以下措施:
•使用安全的编程语言和工具,如内存安全的语言(如Rust)或经过良好测试的C/C++库。
•限制输入数据的长度,确保不会超过缓冲区可容纳的大小。
•进行输入验证和过滤,确保输入数据符合预期的格式和范围。
•定期更新软件和操作系统,及时修补已知的漏洞。
•实施数据执行保护(DEP)和地址空间布局随机化(ASLR)等安全机制。
综上所述,缓冲区溢出攻击是一种常见的安全漏洞,它利用错误处理输入数据的程序中的缺陷,从而控制程序行为。
开发人员和系统管理员应该密切关注安全问题,采取相应的防护措施,以保护系统和用户的信息安全。
缓冲区溢出原因及解决
第三讲缓冲区溢出n1 缓冲区溢出问题简介n2 几种典型的缓冲区溢出n3 防范措施缓冲区溢出1 缓冲区溢出问题简介缓冲区溢出是一种常见的漏洞.据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上.这种错误的状态发生在写入内存的数据超过了分配给缓冲区的大小的时候,就像一个杯子只能盛一定量的水,如果放到杯子中的水太多,多余的水就会一出到别的地方。
由于缓冲区溢出,相邻的内存地址空间被覆盖,造成软件出错或崩溃。
如果没有采取限制措施,可以使用精心设计的输入数据使缓冲区溢出,从而导致安全问题。
缓冲区溢出缓冲区溢出问题的历史很长一段时间以来,缓冲区溢出都是一个众所周知的安全问题, C程序的缓冲区溢出问题早在70年代初就被认为是C语言数据完整性模型的一个可能的后果。
这是因为在初始化、拷贝或移动数据时,C语言并不自动地支持内在的数组边界检查。
虽然这提高了语言的执行效率,但其带来的影响及后果却是深远和严重的。
•1988年Robert T. Morris的finger蠕虫程序.这种缓冲区溢出的问题使得Internet几乎限于停滞,许多系统管理员都将他们的网络断开,来处理所遇到的问题. •1989年Spafford提交了一份关于运行在VAX机上的BSD版UNIX的fingerd的缓冲区溢出程序的技术细节的分析报告,引起了部分安全人士对这个研究领域的重视•1996年出现了真正有教育意义的第一篇文章, Aleph One在Underground发表的论文详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出。
缓冲区溢出Aleph One的贡献还在于给出了如何写开一个shell的Exploit的方法,并给这段代码赋予shellcode的名称,而这个称呼沿用至今,我们现在对这样的方法耳熟能详--编译一段使用系统调用的简单的C程序,通过调试器抽取汇编代码,并根据需要修改这段汇编代码。
•1997年Smith综合以前的文章,提供了如何在各种Unix变种中写缓冲区溢出Exploit更详细的指导原则。
缓冲区溢出攻击实验报告
缓冲区溢出攻击实验报告班级:10网工三班学生姓名:谢昊天学号:1215134046实验目的和要求:1、掌握缓冲区溢出的原理;2、了解缓冲区溢出常见的攻击方法和攻击工具;实验内容与分析设计:1、利用RPC漏洞建立超级用户利用工具scanms.exe文件检测RPC漏洞,利用工具软件attack.exe对172.18.25.109进行攻击。
攻击的结果将在对方计算机上建立一个具有管理员权限的用户,并终止了对方的RPC服务。
2、利用IIS溢出进行攻击利用软件Snake IIS溢出工具可以让对方的IIS溢出,还可以捆绑执行的命令和在对方计算机上开辟端口。
3、利用WebDav远程溢出使用工具软件nc.exe和webdavx3.exe远程溢出。
实验步骤与调试过程:1.RPC漏洞出。
首先调用RPC(Remote Procedure Call)。
当系统启动的时候,自动加载RPC服务。
可以在服务列表中看到系统的RPC服务。
利用RPC漏洞建立超级用户。
首先,把scanms.exe文件拷贝到C盘跟目录下,检查地址段172.18.25.109到172.18.25.11。
点击开始>运行>在运行中输入cmd>确定。
进入DOs模式、在C盘根目录下输入scanms.exe 172.18.25.109-172.18.25.110,回车。
检查漏洞。
2.检查缓冲区溢出漏洞。
利用工具软件attack.exe对172.18.25.109进行攻击。
在进入DOC 模式、在C盘根目录下输入acctack.exe 172.18.25.109,回车。
3,利用软件Snake IIS溢出工具可以让对方的IIS溢出。
进入IIS溢出工具软件的主界面.IP:172.18.25.109 PORT:80 监听端口为813单击IDQ溢出。
出现攻击成功地提示对话框。
4.利用工具软件nc.exe连接到该端口。
进入DOs模式,在C盘根目录下输入nc.exe -vv 172.18.25.109 813 回车。
缓冲区溢出攻击与防范实验报告
缓冲区溢出攻击与防范实验报告——计算机网络(2)班——V200748045黄香娥1·缓冲区溢出的概念:缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。
2·缓冲区溢出的危害:在当前网络与分布式系统安全中,被广泛利用的50%以上都是缓冲区溢出,其中最著名的例子是1988年利用fingerd漏洞的蠕虫。
而缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出,在函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码,比如得到shell,然后为所欲为。
3·缓冲区溢出原理:由一个小程序来看://test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式,如下:按F11跟踪进入overflow,让程序停在6,现在再看一下几个主要参数:esp=0x0012ff30,eip发生了变化,其它未变。
缓冲区溢出攻击的原理分析与防范
3、缓冲区溢出的防御方法
3.1、写正确的代码的方法 3.2、通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码 3.3、利用编译器的数组边界检查来实现缓冲区的保护 3.4、在程序指针失效前进行完整性检查
4、总结与展望
4.1全文总结
4.2 展望
5、参考文献
本课题的研究意义
随着信息与网络技术的发展,以及这些技术在军事领域 的不断渗透,计算机网络已成为连接未来信息化战场的枢纽。 对计算机的攻击,能够获得大量宝贵的情报以及达到其它武 器系统所不能及的效果。因此对以计算机为基础的网络攻击 与防护就自然成为军事领域密切关注的问题。近年来,缓冲 区溢出漏洞的广泛性和破坏性受到国内外信息安全研究领域 的极切关注。从1988年CERT(计算机紧急响应小组)成立以来, 统计到的安全威胁事件每年以指数增长。缓冲区溢出攻击作 为网络攻击一种主要形式占所有系统攻击总数的80%以上[1]。 这种缓冲区溢出漏洞可以发生在不同的操作系统以及不同的 应用程序上。 缓冲区溢出攻击是黑客攻击的主要手段,给网络信息安全 带来了越来越大的危害。已有的防御手段研究相对滞后,目 前国内外的研究大多集中在某个具体漏洞的利用与防范上, 缺乏全面的研究。并且现有的缓冲区溢出防御手段也存在诸 多不足之处。论文主要是对缓冲区溢出攻击的原理分析与防 范进行深入研究。 论文首先介绍了缓冲区和堆栈的基本概念,研究并总结了 缓冲区溢出的原理和过程,并介绍了一些常用的攻击方法。 在此基础上,论文研究并总结了目前防御缓冲区溢出攻击的 一些常用方法,主要从主客观两方面来讨论。主观方面,主 要是要提高程序员编写代码的质量,形成良好的编程风格; 客观方面,主要是从系统和软件做一些相关的检查和优化。
缓冲区溢出影响及危害
• 在几乎所有计算机语言中,不管是新的语言还是旧的 语言,使缓冲区溢出的任何尝试通常都会被该语言本身自 动检测并阻止(比如通过引发一个异常或根据需要给缓冲 区添加更多空间),但是有两种语言不是这样:C和C++ 语言。C\C++语言由于其针灵活应用的特性,通常允许让 额外的数据乱写到其余内存的任何位置,而这种情况可能 被利用从而导致意想不到的结果。而且,用C\C++编写正 确的代码来始终如一地处理缓冲区溢出则更为困难;很容 易就会意外地导致缓冲区溢出。更重要的一点就是C\C++ 的应用非常广泛,例如,Red Hat Linux 7.1中86%的代码 行都是用C或C++编写的。因此,大量的代码对这个问题 都是脆弱的,出现缓冲区溢出也就是常见的事情。 缓冲区溢出漏洞很容易被蠕虫病毒利用造成了很大的 危害,如2001年7月19日,CodeRed蠕虫爆发,造成的损 失估计超过20亿美元[2],2001年9月18日,Nimda蠕虫被 发现,造成的损失更大,超过26亿美元,2002年Slapper 蠕虫出现,2003年1月25日Slammer蠕虫爆发,2004年5 月1日,“震荡波”被发现,这几个病毒对网络安全造成 的破坏之大是前所未有的。而以上病毒都利用了缓冲区溢 出漏洞。
缓冲区溢出
第4章缓冲区溢出内容提要缓冲区溢出是一种常见的软件漏洞形式,可被用于实现远程植入、本地提权、信息泄露、拒绝服务等攻击目的,具有极大的攻击力和破坏力。
学习缓冲区溢出原理和利用有助于巩固自身安全,加强系统防御。
本章包含六个实验,涵盖了缓冲区溢出原理和利用两部分内容,前者包括栈溢出、整型溢出、UAF(Use After Free)类型缓冲区溢出实验,后者通过覆盖返回地址、覆盖函数指针和覆盖SHE(Structured Exception Handler)链表实验学习溢出利用技术。
本章重点y缓冲区溢出原理及实践;y常见缓冲区溢出利用方式及实践。
·52·网络安全实验教程4.1 概述缓冲区一词在软件中指的是用于存储临时数据的区域,一般是一块连续的内存区域,如char Buffer[256]语句就定义了一个256 B的缓冲区。
缓冲区的容量是预先设定的,但是如果往里存入的数据大小超过了预设的区域,就会形成所谓的缓冲区溢出。
例如,memcpy(Buffer, p, 1024)语句,复制的源字节数为1024 B,已经超过了之前Buffer缓冲区定义的256 B。
由于缓冲区溢出的数据紧随源缓冲区存放,必然会覆盖到相邻的数据,从而产生非预期的后果。
从现象上看,溢出可能会导致:(1)应用程序异常;(2)系统服务频繁出错;(3)系统不稳定甚至崩溃。
从后果上看,溢出可能会造成:(1)以匿名身份直接获得系统最高权限;(2)从普通用户提升为管理员用户;(3)远程植入代码执行任意指令;(4)实施远程拒绝服务攻击。
产生缓冲区溢出的原因有很多,如程序员的疏忽大意,C语言等编译器不做越界检查等。
学习缓冲区溢出的重点在于掌握溢出原理和溢出利用两方面的内容。
4.2 缓冲区溢出原理及利用下面介绍缓冲区溢出原理和缓冲区溢出利用两部分内容。
4.2.1 缓冲区溢出原理栈溢出、整型溢出和UAF(Use After Free)类型缓冲区溢出是缓冲区溢出常见的三种溢出类型,下面分别介绍它们的原理。
缓冲区溢出详解
缓冲区溢出详解缓冲区溢出(Buffer Overflow)是计算机安全领域内既经典⽽⼜古⽼的话题。
随着计算机系统安全性的加强,传统的缓冲区溢出攻击⽅式可能变得不再奏效,相应的介绍缓冲区溢出原理的资料也变得“⼤众化”起来。
其中看雪的《0day安全:软件漏洞分析技术》⼀书将缓冲区溢出攻击的原理阐述得简洁明了。
本⽂参考该书对缓冲区溢出原理的讲解,并结合实际的代码实例进⾏验证。
不过即便如此,完成⼀个简单的溢出代码也需要解决很多书中⽆法涉及的问题,尤其是⾯对较新的具有安全特性的编译器——⽐如MS的Visual Studio2010。
接下来,我们结合具体代码,按照对缓冲区溢出原理的循序渐进地理解⽅式去挖掘缓冲区溢出背后的底层机制。
⼀、代码 <=> 数据顾名思义,缓冲区溢出的含义是为缓冲区提供了多于其存储容量的数据,就像往杯⼦⾥倒⼊了过量的⽔⼀样。
通常情况下,缓冲区溢出的数据只会破坏程序数据,造成意外终⽌。
但是如果有⼈精⼼构造溢出数据的内容,那么就有可能获得系统的控制权!如果说⽤户(也可能是⿊客)提供了⽔——缓冲区溢出攻击的数据,那么系统提供了溢出的容器——缓冲区。
缓冲区在系统中的表现形式是多样的,⾼级语⾔定义的变量、数组、结构体等在运⾏时可以说都是保存在缓冲区内的,因此所谓缓冲区可以更抽象地理解为⼀段可读写的内存区域,缓冲区攻击的最终⽬的就是希望系统能执⾏这块可读写内存中已经被蓄意设定好的恶意代码。
按照冯·诺依曼存储程序原理,程序代码是作为⼆进制数据存储在内存的,同样程序的数据也在内存中,因此直接从内存的⼆进制形式上是⽆法区分哪些是数据哪些是代码的,这也为缓冲区溢出攻击提供了可能。
图1 进程地址空间分布图1是进程地址空间分布的简单表⽰。
代码存储了⽤户程序的所有可执⾏代码,在程序正常执⾏的情况下,程序计数器(PC指针)只会在代码段和操作系统地址空间(内核态)内寻址。
数据段内存储了⽤户程序的全局变量,⽂字池等。
简述缓冲区溢出攻击的原理以及防范方法
简述缓冲区溢出攻击的原理以及防范方法
一、缓冲区溢出攻击原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种非法异常的程序运行行为,它发生的目的是让受害者的程序运行出现崩溃,从而获得机器控制权限,可以获取机器中存有的敏感资料,并进行恶意操作,如发送垃圾邮件,拒绝服务攻击(DoS attack),远程控制等行为破坏网络安全。
缓冲区溢出攻击的基本原理,就是恶意程序使用某种方法,将程序缓冲区中存放的数据或者信息溢出,超出缓冲区的容量,而这种溢出的数据又存放了受害者程序控制机器的恶意命令,从而给受害者程序植入恶意代码,使恶意程序获得了机器的控制权限,进而达到攻击系统的目的。
二、防范方法
1、使用受检程序,受检程序是一种编译技术,通过对程序源代码进行类型检查、安全检查等操作,来把漏洞修复好,从而起到防止缓冲区溢出攻击的作用。
2、使用数据流分析技术,它是一种动态分析技术,可以识别出恶意代码并阻止其危害,对程序运行的漏洞进行检查,从而防止攻击者利用缓冲区溢出攻击系统。
3、实行严格的安全审计制度,对程序源码、程序诊断、数据加密技术等进行严格的审计,确保程序运行的安全性,以及防止攻击者利用缓冲区溢出攻击系统。
4、采用虚拟化技术,虚拟化技术可以在不同的安全层次上对程序进行控制,对程序运行的过程进行审查,从而防止攻击者使用缓冲区溢出攻击系统。
5、对网络环境进行安全审计,包括电脑中存在的安全漏洞,系统的安全配置,网络设备的稳定性以及系统的社会工程学攻击等,从而确保网络环境能够不被缓冲区溢出攻击所侵袭。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
代码之后构造一个假的空闲块,合理地填写块头部各个字段
值以防止 Check Heaps 进程发现异常而使系统崩溃。同样以
TFTP 服务长文件名远程缓冲区溢出漏洞为例,构造发送的
TFTP 请求文件名如图 6 所示。
AAAAAAAAAAAA AAAAAAAAAAAA
… AAAAAAAAAAAA
Fake Block
Next Free Block Next Free Ptr Prev Free Ptr
Next Free Block Next Free Ptr Prev Free Ptr
图 5 空闲块合并前后空闲块链表
用程序语言来描述这个过程如下:
*(Fake->Free_Prev) = Fake->Free_Next
同时,在内存池中,还有另一个双向链表,即空闲块双 向链表,它将所有的空闲内存块组织起来。空闲内存块的数 据结构如图 3 所示。系统在内存块头部的后面,又加上一个 空闲块头部结构。其中也包含了两个指针:Next Free ptr 和 Prev Free ptr,分别指向最近的前一个空闲内存块和后一个空 闲内存块,这样将内存中所有空闲内存块串联起来,组成了
路由器是 Internet 网络中进行网间连接的关键设备,是网 络间相互连接的枢纽。路由器系统构成了基于 TCP/IP 的 Internet 的主要框架,对路由器技术的研究和应用在整个互联 网络技术的研究和应用中始终具有核心地位。因此,路由器 的相关安全技术是网络安全的重要课题,路由器攻击方面的 研究不管是对于网络的安全渗透性测试或是增强路由器的抗 攻击性来说都是非常重要的[1]。Cisco 路由器在互联网中得 到广泛使用,本文从 Cisco 路由器上 IOS 的基础和特性以及 缓冲区溢出原理出发,阐述了一种利用 IOS 的堆溢出漏洞远 程攻击路由器的方法,并提出了针对该类攻击的防护措施。
3 防护措施
从路由器自身安全策略上来说,存在该类可远程利用的 堆溢出漏洞的 Cisco IOS 系统并没有根本的措施来抵御此类 攻击。但是,用户仍然可以采取一些方法来防止此类攻击的 发生。
(1)Cisco 公司以及一些安全组织非常重视 IOS 的安全性, 不断致力于加强 IOS 系统安全性和稳定性的工作。随着 Cisco IOS 版本的更新,IOS 的安全性也在不断提高。针对各种 Cisco 网络产品的安全漏洞,Cisco 公司都会及时响应并采取措施, 比如发布修补漏洞的 IOS 版本等。从用户角度来说,为了保 证网络安全,除了要对路由器等网络设备进行完善的安全配 置之外,还应该关注相关的安全动态,积极更新 Cisco 设备 的 IOS 版本,从而抵御该类网络攻击。
MAGIC PID
Alloc Check Alloc Name
Alloc PC Next ptr Prev ptr Size + Usage Usage Count Last Dealloc
Data
4-B
Block Head
MAGIC2 Unknown Padding Padding Next Free ptr Prev Free ptr
基金项目:国家“863”计划基金资助项目“网络安全积极防御关键 技术研究”(2003AA146010) 作者简介:凤 丹(1983-),女,硕士研究生,主研方向:网络安全, 路由器;邹 敏,工程师 收稿日期:2007-01-21 E-mail:wsfd311@
空闲块双向链表。
4-B
第 33 卷 第 24 期 Vol.33 No.24
计算机工程 Computer Engineering
2007 年 12 月 December 2007
·安全技术·
文章编号:1000—3428(2007)24—0138—03 文献标识码:A
中图分类号:TP393.08
Cisco IOS 系统缓冲区溢出攻击研究
… 2 IOS 内存块数据结构 图 3 IOS 空闲内存块数据结构
1.3 IOS 中的内存保护机制 虽然 IOS 没有采取进程间的存储保护机制,但是为了系
统的安全和稳定,IOS 也采取了一些其他机制来保证内存的 正确性和完整性。在 IOS 的进程中,有一个进程一直在运行, 就是“Check Heaps”进程,它定期检查 IOS 运行代码和存储 堆结构的完整性,若发现异常,则强制系统重启[3]。
Shellcode 是笔者自己编写的可以被 IOS 执行的一段二进 制代码,可以在 Shellcode 中实现很多功能以达到对路由器系 统的控制,例如:重写路由器 NVRAM 中存储的配置文件、 打开 TTY 控制台等。
该方法在实验室环境下,针对 Cisco2501 系列路由器的 IOS 11.2 版本,可以达到预期的攻击控制效果。
整个 IOS 内存被组织成一个完整连续的虚拟地址空间, 通常根据物理内存的不同类型分成区(region),区又同时被分 成多个子区。IOS 通过一系列存储池(pool)来管理可用的空闲 存储区域,这些存储池也就是通常意义上的堆。每个池都是 存储块(block)的集合,这些块根据需要可以被分配也可以被 收回。
出是指当用户输入超出程序中 malloc( )函数预先分配的空间 大小,而系统没有进行边界检查时,超出的数据部分就会覆 盖掉这段空间之后的存储区域。
以下的具体漏洞利用方面说明都以 Cisco IOS 的 TFTP 服 务长文件名远程缓冲区溢出漏洞为例,TFTP 服务器在处理长 文件名时缺少正确的边界检查,如果请求的文件名超过 700 个字节就有可能导致路由器崩溃而重新启动。这是因为 IOS 的 TFTP 服务在收到请求时会向内存池管理程序请求一个内 存块来存储文件名,若是发送一个 get AAAAAA…(700 个) 命令,就会出现堆溢出,超出的部分文件名数据覆盖了内存 块中的 REDZONE 字段和下一个内存块的头部。所以,系统 的 Check Heaps 进程在检查内存双向链表的正确性时就会发 现异常,从而强制系统重启。 2.2 堆溢出利用分析
(1)
(Fake->Free_Next)->Free_Prev = Fake->Free_Prev
(2)
可以利用这两条内存的读写操作,完成溢出后的程序流
程跳转,即用 Shellcode 地址覆盖某函数的返回地址,从而使
系统跳转执行它们自己定义的代码,达到控制功能。
具体实现时,采用构造假空闲块的方法,在发送的溢出
*(ReturnAddress) = &(Shellcode)
这样,在 TFTP 缓冲区内存块与 Fake Block 进行合并之 后,就会将某一系统进程的返回地址改写为填写的 Shellcode 的地址,系统在执行完该系统进程之后返回时就会执行到 Shellcode 上,从而达到了控制整个系统流程的效果。
向 Cisco IOS 发送一个超过 700 B 的 TFTP 文件名请求就 会导致系统重启,但是为了达到更好的攻击效果,即在溢出 之后能够使 IOS 执行特定的 Shellcode,从而控制路由器,要 对 Cisco IOS 上的堆溢出利用方式进行研究。
系统在利用 free 函数释放一个内存块之前要检查内存块 链表上相邻的内存块是否为空闲块,若为空闲块,则首先要 进行空闲块的合并操作,然后再将待释放的内存块释放,将 合并生成的新空闲块插入到空闲块链表中。用流程图表示
Study on Cisco IOS Buffer Overflow Attack
FENG Dan, ZOU Min
(Jiangnan Institute of Computing Technology, Wuxi 214083)
【Abstract】Router security is very important in computer networks. This paper focuses on Cisco routers which are the broadest used, describes the basics of IOS which runs in Cisco routers, then based on the principle of buffer overflow, describes a method of buffer overflow attack in Cisco IOS, and presents the defense methods against this kind of attack. 【Key words】network security; router; buffer overflow
凤 丹,邹 敏
(江南计算技术研究所,无锡 214083)
摘 要:路由器安全在网络安全领域占有非常重要的地位,该文针对互联网中使用最为广泛的 Cisco 路由器,介绍 Cisco IOS 的基础特性, 从缓冲区溢出的原理出发,阐述一种利用 IOS 缓冲区溢出漏洞远程攻击路由器的方法,提出针对该类攻击的防护措施。 关键词:网络安全;路由器;缓冲区溢出
1 Cisco 路由器 IOS 相关基础
1.1 Cisco IOS 简介 Cisco IOS 是 Cisco 公司专门开发的用于其网络产品上的
操作系统,目前 Cisco 公司出品的路由器、交换机、防火墙 等网络产品上使用的基本都是 Cisco IOS 操作系统。
Cisco IOS 是一个基于单片机结构的嵌入式操作系统,其 上并行运行多个进程,每个进程有且只有一个线程,有自己 的内存栈空间、CPU 上下文(例如寄存器值等)。为了保证高 效、迅速地进行报文交换,Cisco 牺牲了一些稳定性和安全性, IOS 在很多方面没有采取其他操作系统的安全保护措施,例 如,IOS 进程间没有存储保护机制,虽然每个进程都有各自 的存储空间,但是其他的进程同样可以访问该空间[2]。 1.2 Cisco IOS 内存结构剖析
Check Heaps 进程每隔一分钟检查一次内存池中的内存 块双向链表,检查每个内存块的头部数据结构中的相关字段 是否正确,同时检查空闲内存块双向链表,检查空闲快头部 结构中的相关字段正确性。被检查的相关字段见图 2 和图 3 中的阴影部分字段。