雪城大学信息安全讲义 4.5
2017-04-21 11:52
169 查看
5 堆或 BSS 的缓冲区溢出
堆或 BSS 的内容字符串常量
全局变量
静态变量
动态分配的内存
示例:覆盖文件指针
/* The following variables are stored in the BSS region */ static char buf[BUFSIZE], *tmpfile; tmpfile = "/tmp/vulprog.tmp"; gets(buf); /* buffer overflow can happen here */ ... Open tmpfile, and write to it ...
Set-UID 程序的文件指针指向了
/tmp/vulprog.tmp。
程序需要在执行期间,使用用户输入写入文件、
如果我们可以使文件指针指向
/etc/shadow,我们就可以使程序写入它。
我们可以使用缓冲区溢出来改变变量
tmpfile的内存。通常,它指向了
/tmp/vluprog.tmp字符串。使用缓冲区溢出漏洞,我们就可以将
tmpfile的内容修改为
0x903040,它就是字符串
/etc/shadow的地址。之后,当程序使用
tmpfile变量打开文件来写入时,它实际上打开了
shadow文件。
如何寻找
/etc/shadow?
我们可将字符串作为参数传入程序,这样字符串
/etc/shadow就储存在内存中。我们现在需要猜测它在哪里。
示例:覆盖函数指针:
int main(int argc, char **argv) { static char buf[16]; /* in BSS */ static int (*funcptr)(const char *str); /* in BSS */ funcptr = (int (*)(const char *str))goodfunc; /* We can cause buffer overflow here */ strncpy(buf, argv[1], strlen(argv[1])); (void)(*funcptr)(argv[2]); return 0; } /* This is what funcptr would point to if we didn’t overflow it */ int goodfunc(const char *str) { ... ... }
函数指针(例如
int (*funcptr)(char *str))允许程序员动态修改被调用的函数。我们可以通过覆盖它的地址来覆盖函数指针,使之在执行时,它调用我们指向的函数。
argv[]方式:将 Shellcode 储存在程序的参数中。这会使 Shellcode 储存在栈上。之后我们需要猜测它的地址(就像我们在栈溢出中那样)。这个方式需要可执行的栈。
堆方式:将 Shellcode 储存在堆或 BSS 中(通过使用溢出)。之后我们需要猜测它的地址,并将估算的地址赋给函数指针。这个方式需要可执行的堆(比可执行的栈概率更大)。
函数指针
函数指针可以通过多种手段储存在堆或 BSS 中。这不需要由程序员定义。
如果程序调用了
atexit,函数指针就会由
atexit储存在堆上,并且会在程序终止前调用。
svc/rpc注册函数(
librpc,
libnsl以及其他)将回调函数储存在堆上。
其它示例
BSDI
crontab基于堆的溢出:长文件名的传递会溢出静态缓冲区。在内存中的缓冲区上面,我们拥有
pwd结构,它储存用户名、密码、UID、GID,以及其他。通过覆盖
pwd的 UID/GID 字段,我们可以修改权限,使
crond使用它执行我们的
crontab(只要他尝试执行我们的
crontab)。这个脚本之后可以产生 Suid Root Shell,因为我们的脚本会使用 UID/GID 0 来执行。
参考
P. J. Salzman. Memory Layout And The Stack. In Book Using GNU’s GDB Debugger. URL: http://dirac.org/linux/gdb/02a-Memory_Layout_And_The_Stack.php.相关文章推荐
- 雪城大学信息安全讲义 3.2 Set-UID 程序的漏洞
- 雪城大学信息安全讲义 3.3 提升 Set-UID 程序的安全性
- 雪城大学信息安全讲义 3.4 最小权限原则
- 雪城大学信息安全讲义 4.1~4.2
- 雪城大学信息安全讲义 4.3~4.4
- 雪城大学信息安全讲义 一、引言
- 雪城大学信息安全讲义 六、输入校验
- 雪城大学信息安全讲义 二、Unix 安全概览
- 雪城大学信息安全讲义 3.1 Set-UID 机制如何工作
- 雪城大学信息安全讲义 七、格式化字符串漏洞
- 雪城大学信息安全讲义 五、竞态条件
- 2009信息安全五大威胁 网络威胁集成化
- 2017-2018 20155309南皓芯 信息安全系统基础设计第十三周博客
- 美国联邦政府云计算战略—2011年RSA全球信息安全大会“云安全联盟峰会”白宫首席信息官特邀报告
- 20145229&20145316 《信息安全系统设计基础》 实验二 固件设计
- 20145218 《信息安全系统设计基础》实验五 网络通信
- 信息安全
- 20145202马超《信息安全系统设计基础》实验三总结
- 20145213《信息安全系统设计基础》实验四 外设驱动程序设计
- 国家网络与信息安全中心紧急通报:请升级安装补丁!