缓冲区溢出攻击原理及ShellCode的构造

2017-04-26 23:59张华
电脑知识与技术 2017年6期
关键词:漏洞网络安全

张华

摘要:缓冲区溢出是一种常见的网络安全漏洞,可以对计算机操作系统,应用软件造成巨大的威胁。通过缓冲区溢出攻击,网络黑客可以远程执行恶意代码,甚至获得主机的控制权,从而开始各种非法操作。该文分析了缓冲区溢出漏洞的产生原因及其原理,结合具体代码介绍了ShellCode的构造方法。

关键词:缓冲区溢出;网络安全;漏洞;ShellCode

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)06-0085-02

Abstract: Buffer overflow is a common network security vulnerability, which can pose a great threat to computer operating system and application software. Through buffer overflow attacks, network hackers can execute malicious code remotely , or even get the control of the host to carry out a variety of illegal operations. This paper analyzes the causes and principles of buffer overflow vulnerability, introduces the construction method of ShellCode with the specific code.

Key words: buffer overflow; network security; vulnerability; ShellCode

1 概述

缓冲区溢出攻击并非一种新的攻击手段。早在1989年,Spafford就做了一個关于缓冲区溢出程序的分析报告。2003年的“冲击波”病毒,2004年的“震荡波”病毒就是利用了缓冲区溢出的漏洞。然而时至今日,我们仍然时时刻刻感受着来自缓冲区溢出漏洞的威胁。图1所示的是中国国家信息安全漏洞库在2017年2月份下旬收录的缓冲区溢出漏洞。不到十天时间,现有的计算机系统就出现如此多的缓冲区溢出漏洞。依据CNVD(中国信息安全漏洞共享平台)的统计数据,缓冲区溢出类型的漏洞在各种类型的漏洞比例中,仍然名列前茅。因此深入学习探讨缓冲区溢出漏洞是很有必要的。

缓冲区溢出漏洞原因可以分为栈溢出、堆溢出、文件流溢出、格式化字符串溢出。本文主要介绍栈溢出漏洞的原因、原理,实施该攻击手段的一个核心步骤-ShellCode的编写。

2 漏洞原因和原理

2.1 产生原因

堆栈溢出漏洞是通过在程序的堆栈里写入超过其长度的内容,造成堆栈溢出,从而使得程序的堆栈遭到破坏。例如下列程序:

这段程序中buffer数组只能存放8个字符,而strcpy()把一个长度超过8的字符串复制到buffer数组中,就会造成缓冲区buffer的溢出。类似这样的函数还有strcat(),sprintf(),gets(),scanf(),getchar()等。这些函数都没有边界检查,因此为缓冲区溢出攻击提供了基础条件。如果开发人员没有检查参数的长度就直接复制到缓冲区中去,这个软件产品就存在着缓冲区溢出的漏洞,为别有用心的攻击者创造了有利的条件。

2.2 原理

要深入理解缓冲区溢出的原理,我们得先从Windows函数执行原理说起。调用一个函数时,计算机需要执行如下步骤:

1)函数的各个参数(假设有3个参数,分别是param1,param2,param3)从右到左依次入栈;

2)指令寄存器(EIP)的内容作为返回地址入栈;

3)基址寄存器(EBP)的内容入栈;

4)把当前的ESP的内容赋值给EBP,作为新的基地址;

5)为函数的局部变量分配空间,假设先后有两个int类型的变量var1,var2,则var1,var2变量的地址分别为[EBP-4],[EBP-8];

函数执行完毕时,根据堆栈原理,出栈顺序为:局部变量var2,var1,基址寄存器(EBP)的内容,指令寄存器(EIP)的内容,param1,param2,param3。

根据本文2.1的程序,局部变量buffer数组8个元素的从低到高地址分别为[EBP-32],[EBP-28],…,[EBP-4]。函数strcpy()把字符串复制到buffer数组时,数组元素操作顺序为从低地址向高地址,如果字符串长度超过8个字符,超过部分的字符串就会覆盖了EBP,RET返回地址,从而造成缓冲区溢出。通过构造特殊的字符串,使其覆盖RET返回地址,从而让程序执行特定程序(ShellCode),这就是堆栈溢出攻击。

3 构造ShellCode

ShellCode实际上是用机器语言编写的一段程序,当计算机出现缓冲区溢出时转而去执行的代码。攻击者可以通过ShellCode获得主机的系统特权,从而进行非法操作。ShellCode的编写是缓冲区溢出攻击最关键的步骤。

本文以打开远程主机DOS窗口为例。在VC++6.0中,通过图3所示这段程序就可以完成此功能。

从汇编(机器)语言的角度来说,上述代码最关键的是LoadLibrary("msvCRT.dll"),以及System("command.com")这两个函数调用。要调用一个函数,需要知道这个函数的内存地址,并获得函数参数。对于函数内存地址问题,我们可以在VC++6.0中按F10进入调试模式,点击调试工具栏的“Disassembly”按钮,在反编译模式中开启“Code Bytes”选项。笔者在32位windows7操作系统调试,得到LoadLibrary(),System()函数的地址分别为0x7689DE15,0x77B1C976。而函数参数问题,我们可以逐个字符地将参数字符串入栈,最后再通过汇编指令push esp完成参数字符串偏移地址入栈操作。调用System("command.com")函数的汇编代码如图4所示,LoadLibrary("msvCRT.dll")可参考此代码编写。

将上述汇编语言程序在VC++6.0中转成机器语言形式,即为通过缓冲区溢出漏洞远程启动主机DOS窗口的ShellCode,如图5所示。

4 结论

本文详细分析了缓冲区溢出漏洞的原因及原理,并以远程启动主机的DOS窗口为例,指出ShellCode构建方法。由于缓冲区溢出漏洞与软件开发过程中的软件设计、编码规范、软件测试息息相关,因此这种漏洞难以彻底解决,将一直是计算机系统安全的重要威胁。因此该问题的研究工作仍然具有实际意义。

参考文献:

[1] 中国信息安全漏洞共享平台.漏洞信息月度通报2016(12)[EB/OL].http://www.cnvd.org.cn/webinfo/show/4026.

[2] 刘绍翰,许建真,张福炎.基于缓冲溢出漏洞的攻击及其预防研究综述[J].计算机应用与软件,2004,21(1):83-86.

[3] 闳刘鑫,张永涛,李鸥.Windows系统下缓存区溢出攻击实现与防范[J].微计算机信息,2005(26): 3-12.

[4] 石志国,薛为民,江俐.计算机网络安全教程[M].北京:清华大学出版社,北京交通大学出版社,2004.

[5] 沈美明,温冬婵.IBM—PC汇编语言程序设计[M].北京:清华大学出版社,1998.

[6] 鲁珂,赵继东.计算机信息系统安全实验教程[M].成都:电子科技大学出版社,2007

猜你喜欢
漏洞网络安全
网络安全知多少?
漏洞
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
侦探推理游戏(二)
三明:“两票制”堵住加价漏洞
高铁急救应补齐三漏洞
细数监管漏洞
“4.29首都网络安全日”特别报道