這是一定要的啦-逢甲大學(xué)課件

BufferOverflow原理簡(jiǎn)介參考資料:SmashingTheStackForFunAndProfit(ByAlephOne)逢甲大學(xué)資工所平行實(shí)驗(yàn)室鍾宜勳BufferOverflow原理簡(jiǎn)介參考資料:逢甲大學(xué)資1Stack的運(yùn)作方式(1/9)Stack的運(yùn)作方式(1/9)2Stack的運(yùn)作方式(2/9)Stack的運(yùn)作方式(2/9)3Stack的運(yùn)作方式(3/9)Stack的運(yùn)作方式(3/9)4Stack的運(yùn)作方式(4/9)Stack的運(yùn)作方式(4/9)5Stack的運(yùn)作方式(5/9)Stack的運(yùn)作方式(5/9)6Stack的運(yùn)作方式(6/9)Stack的運(yùn)作方式(6/9)7Stack的運(yùn)作方式(7/9)Stack的運(yùn)作方式(7/9)8Stack的運(yùn)作方式(8/9)Stack的運(yùn)作方式(8/9)9Stack的運(yùn)作方式(9/9)Stack的運(yùn)作方式(9/9)10Stack向下成長(zhǎng),Array向上遞增.Stack的成長(zhǎng)方向,與Array的成長(zhǎng)方向剛好相反.Stack向下成長(zhǎng),Array向上遞增.Stack的成長(zhǎng)方向11Array被寫入超過(guò)其容量的資料

(BufferOverflow)造成ReturnAddress和SFP被覆寫Array被寫入超過(guò)其容量的資料

(BufferOverf12BufferOverflow

造成ReturnAddress不正確可能造成程式Return到隨機(jī)的Address去BufferOverflow

造成ReturnAddre13Idea1.利用ReturnAddress

利用BufferOverflow可以更改ReturnAddress的特性,透過(guò)巧妙的安排,我們可以執(zhí)行我們想執(zhí)行的任何程式區(qū)段.甚至我們把code放在Stack中,code也可以順利執(zhí)行.Idea1.利用ReturnAddress

利用Buf14Idea2.取得Root權(quán)限的Shell

那個(gè)被我們Overflow的執(zhí)行檔,如果它的suid是root的話,那麼我們可以在overflow時(shí),產(chǎn)生一個(gè)shell出來(lái),而得到一個(gè)有root權(quán)限的shell.然後我們就可以為所欲為了.Idea2.取得Root權(quán)限的Shell

那個(gè)被我們Ov15Idea3.由命令列參數(shù)引發(fā)

BufferOverflow在前面的二個(gè)Idea中,我們知道Stack裡也可以執(zhí)行code,而且這樣的作法有機(jī)會(huì)可以取得“具有Root權(quán)限的Shell”來(lái)為所欲為,不過(guò)有幾個(gè)問(wèn)題要解決:Stack中要執(zhí)行的code要從哪來(lái)?ReturnAddress要怎麼去更改?要怎麼去bufferoverflow別人的程式?這個(gè)答案就是透過(guò)命令列參數(shù)輸入code以及所想要return的新位址.sh-2.04$./vulnerable$CODEIdea3.由命令列參數(shù)引發(fā)

B16初步的作法把要輸入Stack的code及returnaddress放到環(huán)境變數(shù)中,這樣進(jìn)行bufferoverflow的輸入會(huì)方便許多.缺點(diǎn):我們所需的returnaddress很難求得,必需靠許多次的嘗試才能得到結(jié)果.初步的作法把要輸入Stack的code及returnadd17ShellCode欲輸入Stack的code,我們稱之為Shellcode.其結(jié)構(gòu)如下:ShellCode欲輸入Stack的code,我們稱之為S18ShellCode的運(yùn)作過(guò)程(1/6)ShellCode的運(yùn)作過(guò)程(1/6)19ShellCode的運(yùn)作過(guò)程(2/6)ShellCode的運(yùn)作過(guò)程(2/6)20ShellCode的運(yùn)作過(guò)程(3/6)ShellCode的運(yùn)作過(guò)程(3/6)21ShellCode的運(yùn)作過(guò)程(4/6)ShellCode的運(yùn)作過(guò)程(4/6)22ShellCode的運(yùn)作過(guò)程(5/6)ShellCode的運(yùn)作過(guò)程(5/6)23ShellCode的運(yùn)作過(guò)程(6/6)ShellCode的運(yùn)作過(guò)程(6/6)24初步作法

技術(shù)細(xì)節(jié)(1/3)ShellCode的內(nèi)容必需避免有00H的值.因?yàn)橛械某淌娇赡軙?huì)用strcpy()等函式,將命令列參數(shù)予以複製並進(jìn)行處理.這時(shí),ShellCode如果有00H的值,將會(huì)被誤以為是字串結(jié)尾‘\0’,而使得ShellCode被複製的不完全,而喪失完整性,進(jìn)而導(dǎo)致Code無(wú)法運(yùn)作.我們也就沒(méi)辦法得到Shell了.透過(guò)暫存器與自己做xor運(yùn)算,產(chǎn)生我們所需要的0,並且避免使用highword是0的立即值,使code中能夠不再有00H出現(xiàn).例:movb$0x0,0x7(%esi)代換成xorl%eax,%eax

初步作法

技術(shù)細(xì)節(jié)(1/3)ShellCode的內(nèi)容必需避25透過(guò)使用環(huán)境變數(shù),簡(jiǎn)化輸入ShellCode的動(dòng)作.初步作法

技術(shù)細(xì)節(jié)(2/3)sh-2.04$./vulnerable$CODEshellcode[]= "\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46\x0c\x00\x00\x00" "\x00\xb8\x0b\x00\x00\x00\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" "\xb8\x01\x00\x00\x00\xbb\x00\x00\x00\x00\xcd\x80\xe8\xd1\xff\xff" "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x89\xec\x5d\xc3";輸入容易輸入不便透過(guò)使用環(huán)境變數(shù),簡(jiǎn)化輸入ShellCode的動(dòng)作.初步作26要BufferOverflow別人的程式,常常會(huì)算不準(zhǔn)要Return的Address,我們可以在ShellCode前面增加一段nop指令來(lái)增加我們的成功機(jī)會(huì).初步作法

技術(shù)細(xì)節(jié)(3/3)要BufferOverflow別人的程式,常常會(huì)算不準(zhǔn)要R27Array太小

無(wú)法成功Overflow不時(shí)會(huì)遇到左圖的情形,導(dǎo)致無(wú)法順利地跳到我們的ShellCode執(zhí)行.所以必需予以改善.Array太小

無(wú)法成功Overflow不時(shí)會(huì)遇到左圖的情形28為了改善Array太小,無(wú)法動(dòng)作的窘?jīng)r.將ShellCode也移到環(huán)境變數(shù)中.Stack中只充填新的ReturnAddress.進(jìn)階作法

技術(shù)細(xì)節(jié)為了改善Array太小,無(wú)法動(dòng)作的窘?jīng)r.將ShellCod29結(jié)論透過(guò)BufferOverflow的方式,我們可以不需要擁有root的password,就可以由一般使用者變成superuser,進(jìn)而掌控整個(gè)系統(tǒng).C語(yǔ)言並沒(méi)有bo