日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
緩沖區(qū)溢出漏洞那些事:C-gets函數(shù)

基本概念

緩沖區(qū)是在數(shù)據(jù)從一個(gè)位置傳輸?shù)搅硪粋€(gè)位置時(shí)臨時(shí)保存數(shù)據(jù)的內(nèi)存存儲(chǔ)區(qū)域。當(dāng)數(shù)據(jù)量超過(guò)內(nèi)存緩沖區(qū)的存儲(chǔ)容量時(shí),就會(huì)發(fā)生緩沖區(qū)溢出(或緩沖區(qū)溢出)。結(jié)果,試圖將數(shù)據(jù)寫入緩沖區(qū)的程序會(huì)覆蓋相鄰的內(nèi)存位置。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了祥符免費(fèi)建站歡迎大家使用!

緩沖區(qū)溢出原指當(dāng)某個(gè)數(shù)據(jù)超過(guò)了處理程序回傳堆棧地址限制的范圍時(shí),程序出現(xiàn)的異常操作。造成此現(xiàn)象的原因有:

  • 存在缺陷的程序設(shè)計(jì)
  • 尤其是C語(yǔ)言?,不像其他一些高級(jí)語(yǔ)言?會(huì)自動(dòng)進(jìn)行數(shù)組或者指針的堆棧區(qū)塊邊界檢查,增加溢出風(fēng)險(xiǎn)。
  • C語(yǔ)言中的C標(biāo)準(zhǔn)庫(kù)還具有一些非常危險(xiǎn)的操作函數(shù),使用不當(dāng)也為溢出創(chuàng)造條件。

什么是緩沖區(qū)溢出攻擊

攻擊者通過(guò)覆蓋應(yīng)用程序的內(nèi)存來(lái)利用緩沖區(qū)溢出問(wèn)題。這會(huì)改變程序的執(zhí)行路徑,觸發(fā)損壞文件或暴露私人信息的響應(yīng)。例如,攻擊者可能會(huì)引入額外的代碼,向應(yīng)用程序發(fā)送新指令以訪問(wèn) IT 系統(tǒng)。

如果攻擊者知道程序的內(nèi)存布局,他們可以故意提供緩沖區(qū)無(wú)法存儲(chǔ)的輸入,并覆蓋保存可執(zhí)行代碼的區(qū)域,用他們自己的代碼替換它。例如,攻擊者可以覆蓋指針(指向內(nèi)存中另一個(gè)區(qū)域的對(duì)象)并將其指向漏洞利用負(fù)載,從而獲得對(duì)程序的控制權(quán)。

緩沖區(qū)溢出攻擊的類型

基于堆棧的緩沖區(qū)溢出更為常見(jiàn),并利用僅在函數(shù)執(zhí)行期間存在的堆棧內(nèi)存。

基于堆的攻擊更難執(zhí)行,并且涉及將分配給程序的內(nèi)存空間泛濫到超出用于當(dāng)前運(yùn)行時(shí)操作的內(nèi)存。

哪些編程語(yǔ)言更容易受到攻擊?

C 和 C++ 是兩種極易受到緩沖區(qū)溢出攻擊的語(yǔ)言,因?yàn)樗鼈儧](méi)有內(nèi)置的保護(hù)措施來(lái)防止覆蓋或訪問(wèn)內(nèi)存中的數(shù)據(jù)。Mac OSX、Windows 和 Linux 都使用用 C 和 C++ 編寫的代碼。

PERL、Java、JavaScript 和 C# 等語(yǔ)言使用內(nèi)置的安全機(jī)制來(lái)最大限度地減少緩沖區(qū)溢出的可能性。

如何防止緩沖區(qū)溢出

開發(fā)人員可以通過(guò)代碼中的安全措施或使用提供內(nèi)置保護(hù)的語(yǔ)言來(lái)防止緩沖區(qū)溢出漏洞。

此外,現(xiàn)代操作系統(tǒng)具有運(yùn)行時(shí)保護(hù)。三種常見(jiàn)的保護(hù)措施是:

  • 地址空間隨機(jī)化 (ASLR)— 隨機(jī)移動(dòng)數(shù)據(jù)區(qū)域的地址空間位置。通常,緩沖區(qū)溢出攻擊需要知道可執(zhí)行代碼的位置,而隨機(jī)化地址空間使得這幾乎不可能。
  • 數(shù)據(jù)執(zhí)行預(yù)防——將某些內(nèi)存區(qū)域標(biāo)記為不可執(zhí)行或可執(zhí)行,從而阻止攻擊在不可執(zhí)行區(qū)域中運(yùn)行代碼。
  • 結(jié)構(gòu)化異常處理程序覆蓋保護(hù) (SEHOP)— 幫助阻止惡意代碼攻擊結(jié)構(gòu)化異常處理 (SEH),這是一種用于管理硬件和軟件異常的內(nèi)置系統(tǒng)。因此,它可以防止攻擊者利用 SEH 覆蓋利用技術(shù)。在功能級(jí)別上,使用基于堆棧的緩沖區(qū)溢出來(lái)覆蓋存儲(chǔ)在線程堆棧中的異常注冊(cè)記錄來(lái)實(shí)現(xiàn) SEH 覆蓋。

代碼和操作系統(tǒng)保護(hù)中的安全措施是不夠的。當(dāng)組織發(fā)現(xiàn)緩沖區(qū)溢出漏洞時(shí),它必須迅速做出反應(yīng)以修補(bǔ)受影響的軟件,并確保軟件用戶可以訪問(wèn)補(bǔ)丁。

示例代碼展示

根據(jù)STACK1_VS_2017.cpp代碼進(jìn)行修改;

#include 
#include  
#include "Windows.h"

int main(int argc, char **argv) {

MessageBoxA((HWND)-0, (LPCSTR) "緩沖區(qū)溢出測(cè)試\n", (LPCSTR)"功能", (UINT)0);

int cookie;
char buf[2];
    int *a = &cookie;
    char * b = buf;
printf("buf: %08x cookie: %08x\n", b, a);
    u_int64 p =(u_int64)a-(u_int64)b;
    printf("兩變量?jī)?nèi)存地址之差=%d\n",p);
gets(buf);
if (cookie == 0x41424344)
printf("緩沖區(qū)溢出成功!\n");

}

運(yùn)行效果展示;

使用MessageBoxA函數(shù)檢測(cè)程序是否正常運(yùn)行,點(diǎn)擊確定開始測(cè)試

使用printf()函數(shù)輸出提示信息,使用gets()函數(shù)獲取用戶輸入信息;

任意輸入兩個(gè)數(shù)值,不滿足條件,程序運(yùn)行完畢;

代碼分析漏洞成因

誘因:char buf[2]; 代碼部分解析---使用char 將變量buf聲明成了一個(gè)擁有2個(gè)元素?cái)?shù)組其中元素類型為字符.buf有了兩個(gè)自己長(zhǎng)度,

提示:u_int64 p =(u_int64)a-(u_int64)b; 代碼部分對(duì)程序涉及變量了內(nèi)存地址進(jìn)行了一個(gè)減分計(jì)算并對(duì)賦值給變量 p,(為使其運(yùn)算成立還對(duì)其進(jìn)行了類型轉(zhuǎn)義),結(jié)果可告知兩個(gè)變量?jī)?nèi)存地址距離,方便溢出利用

隱患:使用gets()函數(shù)獲取輸入數(shù)據(jù),因gets()函數(shù)無(wú)限讀取數(shù)據(jù)并不檢查緩沖區(qū)的大小限制,會(huì)將超出緩沖區(qū)的數(shù)據(jù)繼續(xù)寫入堆棧,導(dǎo)致存在溢出隱患。

為方便理解此處代碼演示下:

#include 
#include  
#include "Windows.h"

int main() {
    char test[] = "test1";
    printf("test1初始值為%s\n清輸入st值:",test);
    char st[2];
    gets(st);
    printf("輸出test:%s\n",test);
    printf("輸出st:%s\n",st);
}

在運(yùn)行效果上可以看到超出堆棧空間的值繼續(xù)寫入堆棧導(dǎo)致覆蓋了test在堆棧內(nèi)對(duì)應(yīng)的值,導(dǎo)致其數(shù)值進(jìn)行了改變:test1-3456

反匯編分析其運(yùn)行過(guò)程堆棧是如何變化的

有運(yùn)行得知(外加源代碼)程序初始關(guān)鍵詞:test1初始值為test1。

可通過(guò)此關(guān)鍵詞,在反匯編程序快速定位到程序相關(guān)函數(shù)運(yùn)行區(qū)域。

在入口指令處下斷點(diǎn)方便分析。

并在實(shí)際運(yùn)行發(fā)現(xiàn)運(yùn)行到此處為顯示相關(guān)特征字符信息,初步判斷正確。

將此區(qū)域字符串進(jìn)行反編譯與源碼對(duì)照進(jìn)一步驗(yàn)證。

沒(méi)匯編指令對(duì)照不太直觀換個(gè)插件與工具,進(jìn)行展示。

未輸入st值時(shí)test對(duì)應(yīng)數(shù)據(jù)堆棧情況。

000000000061FDE8 000000000061FE0A "test1"。

輸入后查看。

000000000061FDE8 000000000061FE08 "123456"。

000000000061FDF0 000000000061FE0A "3456" //之前為test1。

根據(jù)此思路分析之前的示例程序。

反匯編分析

根據(jù)之前的思路定位關(guān)閉區(qū)域。

定位特征代碼:

根據(jù)特征代碼搜索;

在入口指令處下斷點(diǎn);

運(yùn)行看到一個(gè)變量的對(duì)應(yīng)地址;

繼續(xù)運(yùn)行看到另一個(gè)變量的地址;

因剩下的只是運(yùn)行用就不展示了。

輸入數(shù)值后可看到由之前空白數(shù)據(jù)已被輸入的數(shù)據(jù)覆蓋;

擴(kuò)展知識(shí):發(fā)現(xiàn)棧中對(duì)應(yīng)的值與內(nèi)存對(duì)應(yīng)的值是相反的,因?yàn)槎褩V械闹底裱冗M(jìn)后出原則故是相反的。

擴(kuò)展分析

看到此區(qū)域有個(gè)je跳轉(zhuǎn)指令,其上方有個(gè)cmp指令(功能是用來(lái)比較),其中有一值被固定為:41424344。

可以看到明顯不滿足跳轉(zhuǎn)故跳轉(zhuǎn)不會(huì)執(zhí)行,不顯示隱藏的信息。

根據(jù)此思路:輸入兩值將緩沖區(qū)堆滿,之后數(shù)據(jù)溢出覆蓋思路,并且根據(jù)提示計(jì)算出兩變量相距離為2與堆棧數(shù)據(jù)先進(jìn)后出原則,故輸入如下條件即可使跳轉(zhuǎn)成立,進(jìn)而輸出隱藏信息

12DCBA;

跳轉(zhuǎn)成立;

可以看到隱藏信息已顯示;

擴(kuò)展知識(shí)

RSP+2C = rsp對(duì)應(yīng)的地址+2c 即000000000061FDE0+2C=61FE0C;

將16進(jìn)制轉(zhuǎn)10進(jìn)制計(jì)算;

IDA調(diào)試分析使其跟清晰地去查看變化;

為方便分析可在關(guān)鍵函數(shù)處下斷點(diǎn)單步執(zhí)行看執(zhí)行效果;

由之前可知MesssageBoxA后才開始正式運(yùn)行,故可在此call后下斷點(diǎn);

運(yùn)行,直到到斷點(diǎn)暫停;

運(yùn)行后發(fā)現(xiàn)rsi對(duì)應(yīng)數(shù)值無(wú)變化,正常因除了初始賦值后無(wú)其它賦值給rsi的指令;

gets函數(shù)執(zhí)行前rsi對(duì)應(yīng)數(shù)據(jù)仍未變化;

gets函數(shù)執(zhí)行后rsi對(duì)應(yīng)數(shù)據(jù)發(fā)生改變;

ush    rsi
.text:00000000004078D1 push    rbx
.text:00000000004078D2 sub     rsp, 38h
.text:00000000004078D6 call    __main
.text:00000000004078DB lea     rsi, [rsp+48h+var_1E]    初始rsi值
.text:00000000004078E0 xor     r9d, r9d        ; uType
.text:00000000004078E3 xor     ecx, ecx        ; hWnd
.text:00000000004078E5 lea     rbx, [rsp+48h+var_1C]
.text:00000000004078EA lea     r8, Caption     ; lpCaption
.text:00000000004078F1 lea     rdx, Text       ; lpText
.text:00000000004078F8 call    cs:__imp_MessageBoxA
.text:00000000004078FE mov     r8, rbx
.text:0000000000407901 mov     rdx, rsi
.text:0000000000407904 sub     rbx, rsi
.text:0000000000407907 lea     rcx, aBuf08xCookie08 ; "buf: %08x cookie: %08x\n"
.text:000000000040790E call    _Z6printfPKcz   ; printf(char const*,...)
.text:0000000000407913 lea     rcx, byte_40902D ; char *
.text:000000000040791A mov     rdx, rbx
.text:000000000040791D call    _Z6printfPKcz   ; printf(char const*,...)
.text:0000000000407922 mov     rcx, rsi
.text:0000000000407925 call    gets
.text:000000000040792A cmp     [rsp+48h+var_1C], 41424344h
.text:0000000000407932 jz      short loc_40793D

根據(jù)此區(qū)域匯編代碼分析得知,除了初始運(yùn)行對(duì)rsi進(jìn)行賦值后均無(wú)對(duì)其賦值的指令,故可得知存在溢出漏洞,覆蓋了rsi原始數(shù)據(jù),導(dǎo)致其值改變,根據(jù)單步跟蹤執(zhí)行流程可值執(zhí)行完gets函數(shù)后其值發(fā)生變化,故可判斷使用gets函數(shù)獲取的數(shù)據(jù)導(dǎo)致堆棧數(shù)據(jù)溢出。

修復(fù)

可使用fgets或gets_s函數(shù)替換gets函數(shù)。

函數(shù)解析:

fgets()函數(shù)的第2個(gè)參數(shù)指明了讀入字符的最大數(shù)量。如果該參數(shù)的值是n,那么fgets()將讀入n-1個(gè)字符,或者讀到遇到的第一個(gè)換行符為止;
這里為3,故獲取的數(shù)值為12,共輸入6個(gè)數(shù)讀取到第2個(gè)結(jié)束

IDA附加進(jìn)程并單步執(zhí)行查看執(zhí)行流程;

fgets執(zhí)行前rsi對(duì)應(yīng)數(shù)據(jù);

fgets執(zhí)行后rsi對(duì)應(yīng)數(shù)據(jù)

可以看到數(shù)據(jù)未溢出,分析到此告一段落。


名稱欄目:緩沖區(qū)溢出漏洞那些事:C-gets函數(shù)
瀏覽路徑:http://www.dlmjj.cn/article/cocisje.html