缓冲区溢出攻击
- 格式:ppt
- 大小:1.08 MB
- 文档页数:39
下载文档原格式
合集下载
缓冲区溢出攻击的基本原理
缓冲区溢出攻击的基本原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种常见的安全漏洞,指的是攻击者利用输入数据的长度或格式错误,超出程序设计者预留的存储空间范围,从而写入到相邻内存空间中,进而控制程序的执行或修改程序的行为。
缓冲区溢出攻击的基本原理如下:
1.内存分配:程序在运行时会根据变量类型和长度来分配内存空间。
2.缓冲区溢出:攻击者通过向程序输入异常数据,超出了程序预留的内存空
间。
3.覆盖关键数据:溢出的数据覆盖了原本存储的数据,可能是程序的返回地
址、函数指针等关键信息。
4.控制程序行为:攻击者利用溢出的数据修改程序的执行路径,跳转到自己
准备好的恶意代码。
5.执行恶意代码:程序执行了攻击者注入的恶意代码,可能导致系统崩溃、
拒绝服务或远程执行任意命令。
为了避免缓冲区溢出攻击,开发人员可以采取以下措施:
•使用安全的编程语言和工具,如内存安全的语言(如Rust)或经过良好测试的C/C++库。
•限制输入数据的长度,确保不会超过缓冲区可容纳的大小。
•进行输入验证和过滤,确保输入数据符合预期的格式和范围。
•定期更新软件和操作系统,及时修补已知的漏洞。
•实施数据执行保护(DEP)和地址空间布局随机化(ASLR)等安全机制。
综上所述,缓冲区溢出攻击是一种常见的安全漏洞,它利用错误处理输入数据的程序中的缺陷,从而控制程序行为。
开发人员和系统管理员应该密切关注安全问题,采取相应的防护措施,以保护系统和用户的信息安全。
第7章缓冲区溢出攻击及防御技术ppt课件
2024/3/29
网络入侵与防范技术
7
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
7.1 缓冲区溢出概述
隐蔽性:
第三,由于漏洞存在于防火墙内部的主机上,攻击者可 以在防火墙内部堂而皇之地取得本来不被允许或没有权 限的控制权;
2024/3/29
网络入侵与防范技术
1
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
7.1 缓冲区溢出概述
什么是缓冲区?它是包含相同数据类型实例的一个 连续的计算机内存块。是程序运行期间在内存中分 配的一个连续的区域,用于保存包括字符数组在内 的各种数据类型。
Windows系统中缓冲区溢出的事例更是层出不穷。 2001年“红色代码”蠕虫利用微软IIS Web Server中
的缓冲区溢出漏洞使300 000多台计算机受到攻击; 2003年1月,Slammer蠕虫爆发,利用的是微软SQL
Server 2000中的缺陷; 2004年5月爆发的“振荡波”利用了Windows系统的活
产生碎片不同 对堆来说,频繁的new/delete或者malloc/free势必会造成 内存空间的不连续,造成大量的碎片,使程序效率降低。 对栈而言,则不存在碎片问题,因为栈是先进后出的队列, 永远不可能有一个内存块从栈中间弹出。
生长方向不同 堆是向着内存地址增加的方向增长的,从内存的低地址向高 地址方向增长。 栈的生长方向与之相反,是向着内存地址减小的方向增长, 由内存的高地址向低地址方向增长。
1999年w00w00安全小组的Matt Conover写了基于 堆缓冲区溢出专著,对堆溢出的机理进行了探索。
缓冲区溢出攻击课程设计
缓冲区溢出攻击课程设计一、课程目标知识目标:1. 学生能够理解缓冲区溢出攻击的基本概念,掌握其工作原理;2. 学生能够描述常见缓冲区溢出漏洞的类型及其影响;3. 学生能够解释防范缓冲区溢出攻击的策略和技术。
技能目标:1. 学生能够运用所学知识分析简单的缓冲区溢出漏洞;2. 学生能够运用相关工具检测并修复简单的缓冲区溢出漏洞;3. 学生能够编写简单的防止缓冲区溢出攻击的代码。
情感态度价值观目标:1. 学生培养对计算机安全的兴趣,增强网络安全意识;2. 学生树立正确的道德观念,遵循网络安全法律法规,不参与非法攻击行为;3. 学生培养合作精神,学会在团队中分享和交流网络安全知识。
课程性质:本课程属于计算机科学领域,针对高中年级学生,旨在让他们了解网络安全的基本概念,提高防范网络攻击的能力。
学生特点:高中年级学生对计算机有一定了解,具备基本的编程能力,但对网络安全知识相对陌生。
教学要求:结合学生特点,课程设计需注重理论与实践相结合,通过案例分析和实际操作,让学生掌握缓冲区溢出攻击的相关知识,提高网络安全技能。
同时,注重培养学生的道德观念和合作精神,使他们在学习过程中形成正确的价值观。
二、教学内容1. 缓冲区溢出攻击基本概念:介绍缓冲区溢出的定义、原理以及攻击者利用该漏洞的目的。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”2. 缓冲区溢出漏洞类型:分析常见缓冲区溢出漏洞,如栈溢出、堆溢出等,并举例说明。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”3. 防范缓冲区溢出攻击的策略和技术:讲解防范缓冲区溢出攻击的方法,如边界检查、使用安全编程语言等。
教材章节:第三章“计算机网络安全”第三节“防范网络攻击策略”4. 实践操作:结合相关工具,指导学生进行以下操作:a. 分析并检测简单的缓冲区溢出漏洞;b. 修复缓冲区溢出漏洞;c. 编写防止缓冲区溢出攻击的代码。
教材章节:第三章“计算机网络安全”第四节“实践操作”5. 案例分析:通过实际案例,让学生了解缓冲区溢出攻击对系统安全的影响,并分析案例中的漏洞和防范措施。
「网络安全」常见攻击篇(10)缓冲区溢出攻击
「网络安全」常见攻击篇(10)——缓冲区溢出攻击什么是缓冲区溢出攻击?▪缓冲区程序用来保存用户输入数据、程序临时数据的内存空间,本质为数组。
▪缓冲区溢出攻击攻击者利用程序漏洞,将自己的攻击代码植入有缓冲区溢出漏洞的程序执行体中,改变该程序的执行过程,来获取目标系统的控制权。
▪缓冲区溢出攻击原理程序员通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
缓冲区溢出的攻击方式▪栈溢出(stack smashing)未检查输入缓冲区长度,导致数组越界,覆盖栈中局部变量空间之上的栈桢指针%ebp以及函数返回地址retaddr, 当函数返回执行ret指令时,retaddr从栈中弹出,作为下一条指令的地址赋给%eip寄存器,继而改变原程序的执行流程指向我们的shellcode.▪堆溢出(malloc/free heapcorruption)一种是和传统的栈溢出一样, 当输入超出malloc()预先分配的空间大小,就会覆盖掉这段空间之后的一段存储区域,如果该存储区域有一个重要的变量比如euid,那么我就可以用它来攻击。
另一种是典型的double-free堆腐败,在内存回收操作中,合并相邻空闲块重新插入双向链表时会有一个写4字节内存的操作,如果弱点程序由于编程错误free()一个不存在的块,我们就可以精心伪造这个块,从而覆盖任何我们想要的值:函数的返回地址、库函数的.plt地址等▪格式化字符窜漏洞(format stringvulnerability)如果格式窜由用户定制,攻击者就可以任意伪造格式窜,利用*printf()系列函数的特性就可以窥探堆栈空间的内容,超常输入可以引发传统的缓冲区溢出,或是用”%n”覆盖指针、返回地址等。
▪整形变量溢出(integer variableoverflow)利用整数的范围、符号等问题触发安全漏洞,大多数整形溢出不能直接利用,但如果该整形变量决定内存分配等操作,我们就有可能间接利用该漏洞。
缓冲区溢出攻击原理与防范
缓冲区溢出攻击原理与防范1.程序预留了一块内存区域作为缓冲区,用于执行其中一种特定的操作,如字符串拼接、输入输出处理等;2.当输入的数据长度超过了这个缓冲区的大小时,多余的数据会溢出到相邻的内存区域中;3.攻击者利用输入超出缓冲区的长度来对溢出的数据进行控制,修改程序的执行流程;4.修改后的程序执行流程可以导致程序崩溃、系统崩溃、拒绝服务等问题,也可以用于执行任意的恶意代码。
为了防范缓冲区溢出攻击,可以采取以下几种措施:1.对输入进行有效的长度检查:在程序中对输入数据进行有效的长度检查,确保不会超过预定的缓冲区大小。
这样就可以避免发生缓冲区溢出。
2. 使用安全编程语言和工具:选择使用安全编程语言,如Rust、Go 等,这些语言具有安全性的内存管理机制,能够自动检查和防范缓冲区溢出问题。
此外,使用安全编程工具如静态代码分析工具、Fuzzing工具等也可以帮助发现和修复潜在的缓冲区溢出漏洞。
3.使用内存安全检查工具:使用内存安全检查工具,如利用内存隔离技术的地址空间布局随机化(ASLR)、点火检查器、堆栈保护机制等。
这些工具可以帮助检测和防范缓冲区溢出攻击。
4.最小特权原则:在设计软件时,采用最小特权原则,即仅分配程序所需的最小权限。
这样做可以确保即使发生缓冲区溢出攻击,攻击者也只能访问到最小特权内的信息,减少损失。
5.及时修复漏洞和更新软件:及时修复已知的缓冲区溢出漏洞,更新软件以获取最新的安全补丁是非常重要的。
由于缓冲区溢出攻击是一种常见的攻击方式,软件开发商通常会不断更新修复这方面的漏洞。
综上所述,缓冲区溢出攻击是一种常见的安全漏洞利用技术,可以对各种软件和操作系统进行攻击。
为了防范这种攻击,需要采取有效的措施,如对输入进行有效的长度检查、使用安全编程语言和工具、使用内存安全检查工具、采用最小特权原则以及及时修复漏洞和更新软件等。
这样可以有效地减少缓冲区溢出攻击带来的风险。
缓冲区溢出攻击
运行后的结果
打出来的是 \0x77\0x77\0x30\0x38\0x33\0x30 ,77就是‘w’ 的 16进制表示,而30、38、33、30就是‘0830’的16进制表示。
“ strcpy(des,source) 这个拷贝函数是把第二个参数 source的值拷给第一个参数des。它不检查拷贝的长度,它会 一直拷贝,直到source到结尾。
缓冲区溢出攻击
缓冲区溢出攻击技术原理 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操 作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可 以导致程序运行失败、系统当机、重新启动等后果。更为 严重的是,可以利用它执行非授权指令,甚至可以取得系 统特权,进而进行各种非法操作。
缓冲区溢出攻击技术原理 缓冲区溢出改变在堆栈中存放的过程返回地址,从而改变 整个程序的流程,使它转向任何攻击者想要它去的地方, 为攻击者提供了ቤተ መጻሕፍቲ ባይዱ乘之机。
运行后的结果
再次修改后的例子 #include<stdio.h> #include<string.h> char name[] = “abcdefghijklmnopqrstuvwxyz ”; int main() { char output[8]; strcpy(output, name); for(int i=0;i<8&&output[i];i++) printf("\\0x%x",output[i]); return 0; }
修改后的例子 #include<stdio.h> #include<string.h> char name[] = “abcdefgh”; int main() { char output[8]; strcpy(output, name); for(int i=0;i<8&&output[i];i++) printf("\\0x%x",output[i]); return 0; }
缓冲区溢出攻击的基本原理
缓冲区溢出攻击的基本原理1. 引言缓冲区溢出(Buffer Overflow)攻击是指攻击者利用程序设计中的缺陷,向缓冲区写入超出其容量的数据,从而覆盖到其他内存区域或者执行恶意代码。
这种攻击方式在软件开发和网络安全领域中被广泛研究,属于一种常见的安全漏洞。
让我们通过以下几个步骤深入了解缓冲区溢出攻击的基本原理。
2. 缓冲区溢出2.1 缓冲区缓冲区(Buffer)是计算机内存中一段预留给程序使用的存储区域,用于临时保存数据。
在C和C++等低级编程语言中,缓冲区通常是以数组的形式存在。
2.2 缓冲区溢出当程序收到输入数据超过预分配的缓冲区容量时,数据会溢出到相邻的内存区域。
由于这些相邻的内存区域往往存放着重要的数据或者程序代码,攻击者可以借此修改程序的行为,造成安全漏洞。
3. 缓冲区溢出攻击的过程3.1 寻找目标程序攻击者首先需要找到目标程序中存在缓冲区溢出漏洞的函数,一般是在程序中存在对用户输入进行处理的函数。
这些函数通常是目标程序接收外部输入的入口。
3.2 构造恶意输入攻击者构造一段特定的输入数据,超过目标程序预分配的缓冲区大小。
这段输入数据中通常包含恶意代码,也可以包含用于修改程序行为的特定数据。
3.3 栈溢出攻击者向目标程序发送构造的恶意数据。
当目标程序将恶意数据输入到缓冲区时,超过缓冲区容量的数据将溢出到栈(Stack)中。
3.4 覆盖返回地址栈是一种用于存储函数调用的内存结构,其中包含函数的返回地址。
攻击者通过溢出栈的方式,将恶意数据覆盖到返回地址上。
3.5 执行恶意代码当目标程序执行函数返回的时候,会跳转到被覆盖的恶意代码的地址。
这样,攻击者就成功地执行了恶意代码,从而实现了攻击的目的。
4. 防御机制为了有效防范缓冲区溢出攻击,开发者和安全工程师可以采取一些常见的防御措施。
4.1 输入验证合理的输入验证是防范缓冲区溢出攻击的基础。
开发者应该对用户输入的数据进行有效的检查和过滤,确保其不会超过预分配的缓冲区大小。
缓冲区溢出攻击的原理分析与防范
缓冲区溢出攻击的原理分析与防范原理分析:1.缓冲区的分配:当程序运行时,会为其分配一定大小的缓冲区(数组)来存储数据。
攻击者通过输入超过缓冲区大小的数据,覆盖相邻的内存区域。
2. 缓冲区溢出:攻击者构造特定的输入,超过缓冲区的边界,将溢出的数据覆盖到程序的其他内存空间,包括调用栈(stack)等。
3.返回地址覆盖:返回地址是指程序执行的下一条指令的地址,攻击者通过溢出缓冲区,将恶意代码的地址覆盖到返回地址上,使程序执行恶意代码。
4.执行恶意代码:当程序执行到返回地址时,由于返回地址被替换为恶意代码的地址,程序控制权转移到了恶意代码上,攻击者可以控制程序执行一系列恶意操作。
防范措施:1. 输入验证:在程序中对用户输入进行验证和过滤,确保输入的大小不会超出缓冲区的边界。
可以使用编程语言中的字符串处理函数,如strncpy(、snprintf(等,确保只将有效数据拷贝到缓冲区。
2. 使用编程语言和框架提供的安全API:使用编程语言提供的安全API,如Java中的StringBuilder类,C#中的StringBuilder类等,这些API在处理字符串时会进行边界检查,避免缓冲区溢出。
3. 栈保护技术:栈保护技术包括Stack Smashing Protector (SSP)和Control Flow Integrity (CFI)等。
SSP通过在栈上插入一个特殊的栈保护变量,监控缓冲区的溢出情况。
CFI通过在程序中插入额外的代码和元数据,来防止控制流的恶意改变。
4. 内存随机化:通过内存随机化技术,如ASLR(Address Space Layout Randomization),将程序的内存布局随机化,使攻击者难以预测恶意代码的位置。
5.使用静态和动态代码分析工具:使用静态和动态代码分析工具来检测和修复程序中的缓冲区溢出漏洞。
静态代码分析工具可以在编译时检测潜在的缓冲区溢出漏洞,而动态代码分析工具可以模拟攻击,并检测运行时的缓冲区溢出情况。
简述缓冲区溢出攻击的原理以及防范方法
简述缓冲区溢出攻击的原理以及防范方法
一、缓冲区溢出攻击原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种非法异常的程序运行行为,它发生的目的是让受害者的程序运行出现崩溃,从而获得机器控制权限,可以获取机器中存有的敏感资料,并进行恶意操作,如发送垃圾邮件,拒绝服务攻击(DoS attack),远程控制等行为破坏网络安全。
缓冲区溢出攻击的基本原理,就是恶意程序使用某种方法,将程序缓冲区中存放的数据或者信息溢出,超出缓冲区的容量,而这种溢出的数据又存放了受害者程序控制机器的恶意命令,从而给受害者程序植入恶意代码,使恶意程序获得了机器的控制权限,进而达到攻击系统的目的。
二、防范方法
1、使用受检程序,受检程序是一种编译技术,通过对程序源代码进行类型检查、安全检查等操作,来把漏洞修复好,从而起到防止缓冲区溢出攻击的作用。
2、使用数据流分析技术,它是一种动态分析技术,可以识别出恶意代码并阻止其危害,对程序运行的漏洞进行检查,从而防止攻击者利用缓冲区溢出攻击系统。
3、实行严格的安全审计制度,对程序源码、程序诊断、数据加密技术等进行严格的审计,确保程序运行的安全性,以及防止攻击者利用缓冲区溢出攻击系统。
4、采用虚拟化技术,虚拟化技术可以在不同的安全层次上对程序进行控制,对程序运行的过程进行审查,从而防止攻击者使用缓冲区溢出攻击系统。
5、对网络环境进行安全审计,包括电脑中存在的安全漏洞,系统的安全配置,网络设备的稳定性以及系统的社会工程学攻击等,从而确保网络环境能够不被缓冲区溢出攻击所侵袭。
缓冲溢出攻击实验报告
一、实验目的及要求1. 了解缓冲区溢出攻击的原理和类型。
2. 掌握缓冲区溢出攻击的实验方法和步骤。
3. 理解缓冲区溢出攻击的危害性。
4. 学习防范和避免缓冲区溢出攻击的方法。
二、实验环境1. 操作系统:Windows 102. 编程语言:C/C++3. 漏洞利用工具:Metasploit4. 实验环境搭建:使用虚拟机软件(如VMware)搭建实验环境,靶机为Windows 7 SP1,攻击机为Kali Linux。
三、实验内容1. 漏洞分析:分析实验环境中存在的缓冲区溢出漏洞。
2. 攻击实现:利用Metasploit工具对靶机进行攻击,实现远程代码执行。
3. 防御措施:学习防范和避免缓冲区溢出攻击的方法。
四、实验步骤1. 漏洞分析- 使用Ghidra工具对实验环境中的漏洞程序进行反汇编,分析程序中的缓冲区溢出漏洞。
- 发现漏洞程序存在缓冲区溢出漏洞,攻击者可以通过输入超长字符串来覆盖返回地址,从而控制程序的执行流程。
2. 攻击实现- 使用Metasploit工具中的`exploit/multi/handler`模块,设置攻击目标为靶机的IP地址和端口。
- 使用`set payload`命令设置攻击载荷,选择`windows/x64/meterpreter/reverse_tcp`,该载荷可以在攻击成功后与攻击机建立反向连接。
- 使用`set LHOST`命令设置攻击机的IP地址,使用`set LPORT`命令设置端口号。
- 使用`set target`命令设置攻击目标,选择漏洞程序的模块和参数。
- 使用`exploit`命令启动攻击,等待攻击成功。
3. 防御措施- 代码审计:对程序进行代码审计,及时发现并修复缓冲区溢出漏洞。
- 输入验证:对用户输入进行严格的验证,限制输入长度,防止输入超长字符串。
- 边界检查:在代码中添加边界检查,防止缓冲区溢出。
- 安全编程:遵循安全编程规范,使用安全的编程语言和库,避免使用存在漏洞的函数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.2 漏洞说明
CCProxy在代理Telnet协议时,可以接受 Ping命令
Ping命令格式:ping hostname\r\n
当hostname的长度大于或者等于1010字 节时,CCProxy 6.2会发生缓冲区溢出,导 致程序崩溃
3.3 漏洞演示
在目标主机运行CCProxy,使用默认设置 运行CCProxy的机器IP是192.168.121.129 使用telnet命令连接CCProxy:
3.4.3 构造shellcode
提供了许多通用的 Shellcode
3.4.3 构造shellcode
在目标主机中添加一个用户账号hack
3.4.4 定位shellcode存放位置
我们要把shellcode放置在程序崩溃时ESP 指向的地址处 那么,程序崩溃时,ESP指向什么位置呢? 同样,我们可以用定位RET偏移的方法来 定位ESP指向的位置
3.4.1 定位RET
利用一串不重复的字符填充缓冲区,然后 查看覆盖RET的字符串,计算它们在整个字 符串中的位置,从而得出缓冲区的大小及 RET的偏移 通过patternCreate.pl来生成不重复的字符
3.4.1 定位RET
3.4.1 定位RET
Telnet到目标主机,将这串字符串通过 ping命令发送给CCProxy,CDB捕捉到异常
war-ftp漏洞提示:向服务器发送超过480 字节的用户名可以触发漏洞(即使用命令 USER longString\r\n),溢出之后,ESP中 的内容包含了longString中的部分内容
4. 实验说明——3CTftpSvc
软件名称:3CTftpSvc 影响版本:Current version:2.0.1 漏洞描述:畸形的传输模式可以导致缓冲 区溢出,覆盖EIP,可能造成拒绝服务攻击和 远程代码执行。 漏洞调试:当传输模式为mode = "netascii" + "A" * 469时覆盖EIP
3.4.1 定位RET
查看一下此时各寄存器中的内容
ESP和ESI指向的内容都有我们植入的字符 串
3.4.1 定位RET
我们选择ESP寄存器来实现程序流程跳转 即:将shellcode放在ESP寄存器中,然后 在RET位置填充一条指向jmp esp指令的地 址,于是函数返回时,就能执行jmp esp, 跳转到ESP中的shellcode上运行 定位:缓冲区有多大? RET位置在哪里?
所谓shellcode就是一段能够完成特定功能的机 器码,因其最初的功能为获得目标主机的一个shell 而得名 由于受目标主机的缓冲区大小限制,shellcode 长度一般越小越好 Shellcode一般构造步骤:
用C语言实现功能 将其修改为带有shellcode特点的汇编(精通汇编语 言的人可直接使用汇编语言编写程序) 根据汇编程序得到机器码形式的shellcode
Socket编程 连接目标主机(connect) 构造溢出字符串(即构造后接shellcode的 ping命令:ping shellcode\r\n) 向目标主机发送溢出字符串(send) 关闭连接
3.4.5 编写攻击程序
运行攻击程序
在目标主机上查看攻击效果
4.溢出实验
CCProxy 6.2 war-ftp 1.65 3CTftpSvc 2.0.1
缓冲区溢出攻击
1.目标
掌握缓冲区溢出的原理 掌握常用的缓冲区溢出方法 理解缓冲区溢出的危害性 掌握防范和避免缓冲区溢出攻击的方法
2.工具
溢出对象:
CCProxy 6.2 war-ftp 1.65 3CTftpSvc 2.0.1
调试工具:
CDB/NTSD/WinDbg:这三个工具都包含在 Debugging Tools for Windows中(网上有下载) OllyDBG/IDAPro etc.
3.4.1 定位RET
可以发现,EIP的内容为41414141(字符A的 ASCII码是0x41) 这是因为栈中存放RET值的地方已经被41414141 覆盖,当函数返回时,就将这个值弹出到EIP寄存 器 EIP中存放的是程序下一条指令的地址。但程序 在0x41414141地址处找不到可执行的指令,因此 报错 很容易想到,如果覆盖RET位置的不是 0x41414141,而是指向某个跳转指令(eg. Jmp esp)的地址呢?
谢谢
ห้องสมุดไป่ตู้
3.4.4 定位shellcode存放位置
用CDB挂起CCProxy.exe 利用patternCreate.pl生成长为2000的字 符串 用ping命令向目标主机发送这个字符串 在CDB捕捉到CCProxy.exe的崩溃事件时, 查看ESP的内容 用patternOffset.pl计算出它在整个长为 2000的字符串中的偏移
3.4.1 定位RET
EIP寄存器的值为:0x68423768 通过patternOffset.pl计算出它在整个长为 2000的字符串中的偏移是1012
3.4.1 定位RET
这说明,RET相对缓冲区的偏移大小是 1012字节。 由于EBP占4字节,故存放局部变量的缓冲 区大小为1008字节。
需要使用高级语言编程 虚拟机(可选,自行安装)
3.步骤
1.介绍CCProxy 6.2 Proxy 6.2缓冲区溢出漏洞说明 Proxy 6.2缓冲区溢出漏洞演示 Proxy 6.2缓冲区溢出漏洞利用
3.1 介绍CCProxy
CCProxy因其设 置简单和使用方便 等特点,成为国内 最受欢迎的代理服 务器软件。 CCProxy不但支 持常见的HTTP和 SOCKS代理,而且还 支持FTP和Telnet这 类不常用的协议及 其它协议。
3.4.4 定位shellcode存放位置
这说明ESP指向字符串的第4个字节 因此,我们把shellcode放在字符串的第4 个字节处 由于这段shellcode长度只有476字节,而 缓冲区大小为1012字节,足够容纳下 shellcode
构造好的exploit的结构如下所示:
3.4.5 编写攻击程序
telnet 192.168.121.129 23
返回信息:
3.3 漏洞演示
输入ping命令,后接畸形数据:
ping AAAA…
在ping命令后接10个字符A,观察返回信息 将字符A的数量变为100个、1000个、2000个, 观察返回信息 如果终端提示“Host not found”,说明 CCProxy正确地处理了这个畸形数据,仍工作正常 如果终端提示“失去了跟主机的连接”,表明 CCProxy已经崩溃
局部变量n …… 局部变量1
EBP RET 函数实参1 …… 函数实参m
函数栈布局
3.4.1 定位RET
在目标主机上运行CCProxy 用CDB将其挂起
cdb –pn ccproxy.exe
3.4.1 定位RET
输入g继续运行 在攻击主机上按前面所述telnet到目标主机 上,并通过ping命令把2000个A组成的字符 串发送到CCProxy时,CDB捕捉到CCProxy 的Access Violation事件
3.4.2 寻找jmp指令地址
前面说到,我们选择通过jmp esp来实现程 序跳转,也就是说,要在RET的位置放置 jmp esp指令的地址,那么,到哪里找jmp esp指令呢? 最好是能在系统中找到现成的,而不需要 我们重新再构造 事实上,在Windows系统的许多DLL中都 能找到jmp esp这样一条指令,一个通用的 地址是0x7ffa4512
3.4.2 寻找jmp指令地址
前面分析,ping后接字符串的1012字节位 置开始的4个字节将覆盖RET 于是,我们便可以在字符串的这个位置上 填充0x120x450xfa0x7f 程序运行到此,就会转向地址0x7ffa4512 找到jmp esp指令并执行,其流程发生变化
3.4.3 构造shellcode
3.3 漏洞演示
输入10个A
输入1000个A
3.3 漏洞演示
输入2000个A
3.4 漏洞利用
于是,我们可以考虑利用 CCProxy 6.2的这个缓冲区 溢出漏洞,利用ping命令向 其发送一个长的字符串,溢 出局部变量,覆盖RET的位 置,从而实现程序跳转。
定位RET 寻找跳转指令地址 构造shellcode 定位shellcode存放位置 编写攻击程序
4. 实验说明——CCProxy
CCProxy官方发现CCProxy 6.2的这个 ping缓冲区溢出漏洞后,对其进行了修补, 当ping请求超过255字节时,会自动截断。 不过修补后的CCProxy版本号未变
因此,在网上下载的CCProxy 6.2有可能 是已修补了该漏洞的程序
4. 实验说明——War-ftp