stylehack總結.緩衝區溢出原理淺析以及防護.

緩衝溢出; 程序跳轉; 長跳轉緩衝區;

 

近些年來,黑客攻擊事件頻繁發生,尤其是緩衝區溢出漏洞攻擊佔據了網絡遠程攻擊的絕大多數. 因爲這類攻擊可以使任何人獲得系統主機的完全控制權,所以它代表了一類十分嚴重的攻擊.

緩衝區溢出攻擊之所以常見,是因爲它太常見了,且易於實現, 這完全是軟件發展史上不可避免的問題. 緩衝區漏洞是程序員在編寫程序時未檢查內存空間,導致內存泄漏而引起,以下我們先來簡單瞭解一下它:

 

一、認識緩衝區溢出

緩衝溢出是一種系統攻擊的手段,藉着在程序緩衝區編寫超出其長度的代碼,造成溢出,從而破壞其堆棧,使程序執行攻擊者在程序地址空間中早已安排好的代碼,以達到其目的. 一般黑客攻擊root程序,然後執行類似exec(sh)的代碼獲得root的shell. 它造成了兩種嚴重的後果:

1.     覆蓋堆棧的相鄰單元. 使程序執行失敗, 嚴重可導致系統崩潰.

2.     可執行認識指令代碼,最後獲得系統root特級權限.

現在很多人使用C或C++編寫程序,但同時太多的人忽略了對其的數組邊界檢查和類型安全檢查,所以現今的大多數溢出都和C語言有關, C語言中中有可能產生溢出的函數有:char s[n],strlen(s),strcpy(dst, src),p=malloc(n),strcat(s,suffix)等等,所以我們要儘可能地避免使用這些危險函數,即使使用,也一定要做嚴格的檢查.爲容易理解,我們來看一個簡單的程序:

 

/*

 * example.c

 * written by Devil_Angel <[email protected]>

 * gcc –o example example.c

                */

void func(char * str)

{

char buf[8];

strcpy(buf, str);

printf(“%sn”,buf);

}

int main(int argc, char * argv[])

{

If(argc >1)

                            Func(argv[1]);

}//end of main

 

該程序在輸入時,並沒有對str的大小進行檢查便直接送入數組buf,一旦輸入超出buf長度,就產生了最簡單的溢出,當然象這樣的溢出一般只會出現Segmentation fault錯誤,而不能達到攻擊的目的. 這裏並沒有進一步深入分析,只是讓大家對溢出有一個大概的概念,在以後將會對其做進一步的分析.

 

二、緩衝區溢出漏洞攻擊方式

最常見的攻擊手段是通過製造緩衝區溢出使程序運行一個用戶shell,在通過shell執行其他命令. 若該程序輸入root且有suid權限的話,攻擊者就獲得了一個有root權限的shell,此時就可以對系統進行隨意操作了.下面我來介紹一下如何控制程序跳轉到攻擊代碼:

l         打開記錄(Activation Records)

在程序中,每一個函數調用發生,在堆棧中會留下一個Activation Records,它包括函數結束時返回的地址,攻擊者通過溢出這些自動變量,使地址指向攻擊程序代碼. 通過改變程序的返回地址,當調用結束時,程序就跳到攻擊者設定的地址,而不是原地址.這類溢出被稱爲 stacks mashing attack.

 

l         函數指針(Function Pointers)

void(*foo)(1)定義一個返回函數指針的變量foo, Function Pointers可用來定位任何地址空間. 所以只需在任何空間內的Function Pointers附近找到一個能溢出的緩衝區,然後溢出它來改變Function Pointers. 在某時刻,當程序通過Function Pointers調用函數時,程序的流程就按黑客的意圖實現了(典型的溢出程序有:Linux下的Superprobe程序).

 

l         長跳轉緩衝區(Longjmpbuffers)

在C語言中,包含了一個簡單的檢驗/恢復系統,稱爲setjmp/longjmp.即在檢驗點設定setjmp(buffer),用longjmp(buffer)恢復. 但若攻擊者能夠進入緩衝區空間,則longjmp(buffer)實際上跳轉到攻擊者的程序代碼. 像Function Pointers, longjmp緩衝區能指向任何地方,所以攻擊者要做的就是找到一個可供溢出的buffer即可.

 

最常見的是在一個字符串中綜合了代碼植入和打開記錄. 攻擊者定位或提供溢出的自動變量,然後向程序傳一個超大字符串,在引發buffer溢出改變打開記錄時植入程序代碼,由此達到入侵系統的目的.

 

三、應對遠程緩衝區溢出攻擊

對付緩衝區溢出攻擊的方法不少,但常見的也是最重要有一下四種方式:

1.     編寫嚴格的代碼

編寫正確嚴格的代碼是一件有意義但非常耗時的工作, 有C程序設計或彙編語言經驗的人會深有體會,儘管軟件的發展經歷了不短的時間了,但漏洞程序依舊存在,因此人們開發了一些工具和技術來幫助經驗不足的程序員編寫安全的程序.例如高級查錯工具,如faultinjection等. 這些工具的目的在於通過人爲隨機地產生一些緩衝區溢出來尋找代碼的安全漏洞.但由於C語言的特點,這些工具不可能找出所有的緩衝區溢出漏洞. 所以,偵錯技術只能用來減少緩衝區溢出漏洞,並不能完全地消除其存在. 錯誤的消除還是要靠程序員來編寫.

 

2.     不可執行堆棧數據段

通過操作系統時數據斷地址空間不可執行,從而使得攻擊者不能執行被植入的攻擊代碼,但攻擊者不一定是非要植入攻擊代碼來實現緩衝區溢出的攻擊,所以這種方法還是存在很多弱點的.

 

3.     利用程序編譯器的邊界檢查

植入代碼是引起緩衝區溢出的一個方面,改變程序執行流程是另一方面. 而利用編譯器邊界檢查則使得緩衝區溢出不可能實現,從而完全消除了緩衝區溢出的威脅,但相對而言代價較大.

 

4.     指針完整性檢查

程序指針完整性檢查和邊界檢查略微不同. 程序指針完整性檢查在程序指針被改變之前檢測.因此,即便攻擊者成功改變了程序的指針,也會因先前檢測到指針的改變而失效,這樣雖然不能解決所有問題,但它的確阻止了大多數的緩衝區攻擊,而且這種方法在性能上有很大的優勢,兼容性也很好.

 

從長遠來看,要想從根本上消除緩衝區溢出攻擊,需要對編程模式或CPU體系的基礎性修改才能解決問題. 不過,隨着信息技術的飛速發展和人們對網絡安全的重視程度不斷加深, 緩衝區溢出攻擊總會有解決的一天.