5.1 缓冲区溢出与攻防博弈

缓冲区,溢出,攻防,博弈 · 浏览次数 : 41

小编点评

5.1.2 SafeSEH安全结构化异常处理保护机制实现原理GS保护缺陷 GS保护机制是通过覆盖SEH结构实现绕过,随后防守方就在其编译器中加入了Safe SEH保护措施,该选项需要在程序运行时对异常处理链表进行验证,确保链表中每个异常处理程序的指针都指向有效的代码段。 5.1.4 ASLR地址布局随机化保护保护机制实现原理如上所说 ASLR(Address Space Layout Randomization)是一种内存随机化技术,它通过在每次程序运行时随机化程序的代码、数据和堆栈等内存空间的布局,使攻击者难以准确地预测代码和数据存放的位置,从而防止针对特定内存地址的攻击。 5.1.5 DEP堆栈数据执行保护保护机制实现原理 DEP(Data Execution Prevention)是一种硬件和软件结合的保护机制,旨在防止攻击者利用缓冲区溢出等漏洞执行恶意代码。它通过将内存中的数据区域(如堆、栈和可执行代码)标记为可执行或不可执行来实现保护。 5.1.6 ROP堆栈数据执行保护机制实现原理 ROP(Return Oriented Programming)是一种攻击方法,它通过在溢出程序之后,并不去执行栈中的ShellCode代码,而是寻找程序中已加载的特殊指令块,配合栈上的压栈参数,将这些相对孤立的指令串联起来,形成一条链,并通过调用 VirtualProtect函数,将该栈设置为可执行属性,然后在执行栈中的ShellCode代码。

正文

在黑客安全圈子中,基于内存攻击技术的攻击手段在随着时代的变化而不断发展着,内存攻击是指通过利用软件的安全漏洞,构造恶意的输入,从而使正常程序造成拒绝服务或者是远程获得控制权,内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞,时至今日能够被广泛利用的并具有较大破坏性的高危漏洞(CVE)几乎都属于缓冲区溢出。

首先读者应该明白缓冲区溢出(Buffer Overflow),它分为栈溢出堆溢出,此类漏洞的原理是,程序由于缺乏对缓冲区的边界进行合理化的检测而引起的一种异常行为,通常是程序存在过滤不严格的输入点,通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界,从而覆盖了相邻的内存区域,造成程序中的变量覆盖,甚至控制CPU中的EIP寄存器指针,从而造成程序的非预期行为,而像C/C++程序中本身就缺乏内在的内存安全分配与管理,因此缓冲区溢出漏洞大部分都出现在编译型语言中。

缓冲区溢出攻击,内存攻击技术还包括以下攻击方式:

  • 栈溢出攻击:与缓冲区溢出攻击类似,但是攻击者利用的是程序的栈空间。
  • 堆溢出攻击:攻击者利用程序中堆的分配方式中存在的漏洞,向堆中写入恶意代码,从而控制程序的执行流程。
  • 格式化字符串攻击:利用程序对格式化字符串的处理不当,向内存中写入恶意代码。
  • 内核攻击:利用内核漏洞,攻击内核模块,获取系统权限。
  • 内存映射文件攻击:攻击者通过访问内存映射文件,可以修改文件的内容,从而导致程序崩溃或执行恶意代码。

以上这些攻击手段都可以利用软件中的漏洞,从而使程序发生异常,控制程序执行流程,进而实现攻击者的恶意目的。为了避免内存攻击,软件开发者需要注意代码的安全性,防范漏洞的产生。

本章我们将具体探讨远程栈溢出的挖掘与利用技术,栈溢出是缓冲区溢出中最为常见的一种攻击手法,其原理是,程序在运行时栈地址是由操作系统来负责维护的,在我们调用函数时,程序会将当前函数的下一条指令的地址压入栈中,而函数执行完毕后,则会通过ret指令从栈地址中弹出压入的返回地址,并将返回地址重新装载到EIP指令指针寄存器中,从而继续运行,然而将这种控制程序执行流程的地址保存到栈中,必然会给栈溢出攻击带来可行性。

在大致弄清楚缓冲区溢出攻击之后,我这里总结了攻防双方的对抗博弈过程,攻击者与防御者的对抗博弈斗争从来都没有停止过,在大环境下防御始终落后于攻击,但不论如何正是因为有攻防双方的对抗,才使得系统安全水平呈现螺旋式上升的态势,如下是攻防双方的对抗过程总结:

首先在当前的环境下,微软的内存保护机制大致分为以下几种:

1.堆栈缓冲区溢出检测保护GS (编译器)
2.安全结构化异常处理保护 Safe SEH
3.堆栈 SEH 覆盖保护 SEHOP
4.地址空间布局随机化保护 ASLR
5.堆栈数据执行保护 DEP

5.1.1 GS堆栈缓冲区溢出检测保护

保护机制实现原理

GS(/GS)是微软针对缓冲区溢出攻击提出的一种保护机制,全称为"Buffer Security Check",也称为"Stack Buffer Overflow Detection"。该保护机制是通过编译器进行限制的,它在程序运行时会对程序使用的栈空间进行检测,以便及早发现缓冲区溢出攻击,并在攻击发生时触发异常处理程序,从而避免攻击成功。

GS保护机制是通过向代码中插入额外的安全检查代码来实现的。具体来说,编译器会在程序的函数调用前后分别插入一个称为"Prolog""Epilog"的代码段,在这些代码段中会包含一些额外的栈空间检测代码。这些检测代码会在函数调用时检测栈空间是否被篡改,如果检测到异常情况,就会触发异常处理程序,从而避免攻击成功。

GS保护机制是微软堆栈检测仪概念的具体实现,从Visual Studio系列的编译器上就加入了GS保护机制且默认开启,操作系统从WindowsXP开始就已经全面支持该选项了。GS保护机制可以帮助程序员在编写代码时检测缓冲区溢出漏洞,从而提高程序的安全性。然而,GS保护机制并不是万能的,它只能检测部分缓冲区溢出攻击,而无法检测所有的攻击。因此,还需要其他的安全措施来提高程序的安全性。

如何绕过该保护

实际上GS保护机制并没有保护存放在栈上的SEH异常处理结构,因此,如果能够写入足够的数据来覆盖栈上的SEH记录,并在函数收场白和Cookie检测之前触发SEH异常,那么将会绕过Cookie的检查从而去执行我们构建好的异常处理例程。

SEH(Structured Exception Handling)是Windows操作系统提供的一种异常处理机制,类似于C++中的try-catch语句,它用于处理程序中的异常情况。在Windows操作系统中,SEH信息是存储在栈上的,因此可以被利用来进行缓冲区溢出攻击。

SEH Overwrite攻击的基本思路是利用缓冲区溢出漏洞,将恶意代码写入SEH记录中,从而覆盖SEH处理程序的返回地址,从而控制程序的执行流程。攻击者可以通过修改SEH记录中的指针,将其指向自己构造的恶意代码,从而实现任意代码执行。由于GS保护机制并没有保护存放在栈上的SEH异常处理结构,攻击者可以利用这一点来绕过Cookie的检查,从而执行恶意代码。

为了防止SEH Overwrite攻击,可以采用一些措施来加强程序的安全性。例如,可以使用安全编程实践,如输入验证、缓冲区长度检查等,来防止缓冲区溢出漏洞。此外,还可以使用一些防御措施,如使用栈保护技术(如GS、ASLR、DEP等),以及使用代码审计、反汇编等技术来发现和修复漏洞。综合运用这些措施,可以有效地防止SEH Overwrite攻击和其他类型的缓冲区溢出攻击。

5.1.2 SafeSEH安全结构化异常处理保护

保护机制实现原理

GS保护缺陷就是可以通过覆盖SEH结构实现绕过,随后防守方就在其编译器中加入了Safe SEH保护措施,该选项需要在链接时添加 linker /safessh:yes 来开启,采用SEH句柄验证技术验证堆栈中SEH的合法性,来确保SEH结构不会被非法覆盖。

SafeSEH是一种Microsoft Windows操作系统提供的安全性机制,用于检测并防止针对SEH异常处理结构的攻击。它通过验证SEH处理程序是否在可信的SEH链表中来保护程序免受SEH Overwrite攻击的影响。

在启用SafeSEH的情况下,程序会在运行时验证SEH处理程序是否在可信的SEH链表中,如果不在,则会终止程序的执行。要启用SafeSEH保护,需要在编译和链接过程中进行相应的设置。在Visual Studio中,可以使用/safeseh编译器选项和/link /safeseh链接器选项来启用SafeSEH保护。

使用SafeSEH保护可以有效地防止SEH Overwrite攻击。然而,一些攻击者可能会使用其他技术来绕过SafeSEH保护,例如使用ROP(Return-Oriented Programming)技术来构造精心设计的代码片段,以避免触发SafeSEH保护。因此,在设计安全应用程序时,应该综合考虑多种防御措施,而不是仅仅依赖于单一的防御措施。

如何绕过该保护

为了突破SefeSEH的保护,攻击者又找到了新的绕过方式,通过利用进程中未被启用的SEH模块,将修改后的SEH例程指针指向这些模块中的(POP/RET)等一些跳板指令,从而跳转到栈上执行ShellCode代码,除此之外还可以将恶意代码布置到堆中,然后修改函数指针指向堆,同样可以绕过。

利用未被启用的SEH模块来绕过SafeSEH保护机制的一种方法。攻击者可以通过将恶意代码写入堆中,然后将函数指针修改为指向堆中的代码,从而跳转到恶意代码执行。此外,攻击者还可以使用一些跳板指令(如POP/RET指令)来绕过SafeSEH保护,因为这些指令并不被认为是SEH处理程序。

为了防止这种攻击,可以在堆上实施堆随机化(heap randomization)地址空间随机化(ASLR)等技术。堆随机化可以使恶意代码难以找到并利用堆中的内存地址,从而增加攻击者的难度。地址空间随机化则可以使代码段、数据段和堆栈等内存区域的基地址随机化,从而增加攻击者的难度。此外,还可以使用代码签名(code signing)等技术来验证代码的完整性和来源,从而确保代码的可信性。

5.1.3 SEHOP堆栈SEH覆盖保护

保护机制实现原理

随后防守方进一步提出了SEHOP技术,该技术默认从Windows Vista开始支持,而该技术在Win7-Win8系统上默认是关闭的,你可以通过注册表开启该选项,该技术的核心原理是在程序运行时验证整个异常处理链表结构的完整性,如果攻击者覆盖了某个异常处理程序,那么该链表将被破坏,从而抛出异常停止执行。

SEHOP(SEH Overwrite Protection)技术是微软在Windows Vista中引入的一种强化保护措施,旨在提高SEH处理程序的安全性。SEHOP通过验证整个异常处理链表的完整性,防止攻击者通过覆盖单个SEH处理程序来破坏整个链表,从而使得SEH处理程序难以被利用。

SEHOP的实现原理是在程序运行时对异常处理链表进行验证,确保链表中每个异常处理程序的指针都指向有效的代码段,并且链表中每个元素都是按照规定的顺序排列的。如果检测到异常处理链表被破坏,SEHOP会立即抛出一个异常,停止程序的执行。

如何绕过该保护

为了绕过SEHOP保护机制,突破方法就是进一步伪造SEH链,该方法的核心是能够找到合适的跳板指令,且伪造最终异常处理函数指针应该与真实的相同,伪造最终异常处理函数指针前4字节(SEH链指针)应为0xFFFFFFFF,SEH链指针地址应该能被4整除即可。

需要补充一点,虽然伪造SEH链可以绕过SEHOP的保护,但是这种攻击方式需要了解目标程序的具体结构和代码实现,因此它的适用范围比较有限,也需要攻击者具有一定的技术水平和经验。同时,使用SEHOP技术仍然可以有效提高系统的安全性。

5.1.4 ASLR地址布局随机化保护

保护机制实现原理

如上所说我们需要找到合适的跳板指令,但恰巧的是防守方在此基础上又添加了一个新的技术,ASLR地址空间布局随机化,该技术的核心原理是不让攻击者预测到布置在内存中的ShellCode的内存地址,因此即使溢出发生并成功填充内存,攻击者也无法得知将EIP指针跳转到何处,从而无法执行恶意代码。

ASLR(Address Space Layout Randomization)是一种内存随机化技术,它通过在每次程序运行时随机化程序的代码、数据和堆栈等内存空间的布局,使攻击者难以准确地预测代码和数据存放的位置,从而防止针对特定内存地址的攻击。该技术通常通过在操作系统内核中实现,对每个进程都使用不同的随机偏移量来布局内存空间,防止攻击者利用事先获取到的内存地址来进行攻击。同时,ASLR 技术还可以增加攻击者需要的时间和资源,因为攻击者需要在每次攻击前重新计算内存地址的位置。

ASLR 技术可以在一定程度上提高系统的安全性,但也有一些绕过它的攻击技术,比如通过泄露内存地址、使用内存泄漏漏洞等方式来获取目标内存的地址,进而绕过 ASLR 的保护。因此,在使用 ASLR 技术的同时,还需要结合其他安全措施来提高系统的安全性。

如何绕过该保护

针对ASLR技术,攻击者同样的找到了能够绕过的方式,主要是利用堆喷射技术 (Heap Spray),通过使用脚本语言在堆上布置大量的含有ShellCode代码的指令块,从而增加某一个内存地址位于指令块中的命中率,通过执行概率实现挫败ASLR技术。

5.1.5 DEP堆栈数据执行保护

保护机制实现原理

DEP保护直接切中了缓冲区溢出要害,数据执行保护将程序数据段所在的内存页面(堆栈)的属性强制设为NX (不可执行),当程序执行这些内存页面上的数据时,将报错并禁止文件的执行,当今的CPU提供了硬件方面的安全防护,同样也支持了DEP保护技术。

DEP(Data Execution Prevention)是一种硬件和软件结合的保护机制,旨在防止攻击者利用缓冲区溢出等漏洞执行恶意代码。它通过将内存中的数据区域(如堆、栈和可执行代码)标记为可执行或不可执行来实现保护。

当攻击者试图在一个不可执行的内存区域中运行代码时,DEP机制就会触发异常,从而导致程序崩溃或者被终止。这种保护机制可以有效地防止攻击者利用缓冲区溢出等漏洞来执行恶意代码,从而提高系统的安全性。

如何绕过该保护

为了绕过DEP保护,攻击者提出了新的绕过方式 ROP(返回导向编程),它是ret2libc的继承者,攻击者在溢出程序之后,并不去执行栈中的ShellCode代码,而是寻找程序中已加载的特殊指令块,配合栈上的压栈参数,将这些相对孤立的指令串联起来,形成一条链,并通过调用 VirtualProtect函数,将该栈设置为可执行属性,然后在执行栈中的ShellCode代码。

原文地址

https://www.lyshark.com/post/48aa93e.html

与5.1 缓冲区溢出与攻防博弈相似的内容:

5.1 缓冲区溢出与攻防博弈

在黑客安全圈子中,基于内存攻击技术的攻击手段在随着时代的变化而不断发展着,内存攻击是指通过利用软件的安全漏洞,构造恶意的输入,从而使正常程序造成拒绝服务或者是远程获得控制权,内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞,时至今日能够被广泛利用的并具有较大破坏性的高危漏洞(CVE)几乎都属于缓冲区溢出。首先读者应该明白缓冲区溢出(Buffer Overflow),它分为栈溢出与堆溢出,此类漏洞

14.3 Socket 字符串分块传输

首先为什么要实行分块传输字符串,一般而言`Socket`套接字最长发送的字节数为`8192`字节,如果发送的字节超出了此范围则后续部分会被自动截断,此时将字符串进行分块传输将显得格外重要,分块传输的关键在于封装实现一个字符串切割函数,将特定缓冲区内的字串动态切割成一个个小的子块,当切割结束后会得到该数据块的个数,此时通过套接字将个数发送至服务端此时服务端在依次循环接收数据包直到接收完所有数据包之后

MyBatis 的缓存机制

1. MyBatis 的缓存机制 @目录1. MyBatis 的缓存机制2. 准备工作3. MyBatis 的一级缓存3.1 一级缓存失效情况/条件4. MyBatis 的二级缓存5. MyBatis 集成 EhCache 第三方缓存6. 总结:7. 最后: 缓存(Cache) 缓存的作用:通过减少

《系列二》-- 5、单例bean缓存的获取

[TOC] > 阅读之前要注意的东西:本文就是主打流水账式的源码阅读,主导的是一个参考,主要内容需要看官自己去源码中验证。全系列文章基于 spring 源码 5.x 版本。 写在开始前的话: 阅读spring 源码实在是一件庞大的工作,不说全部内容,单就最基本核心部分包含的东西就需要很长时间去消化了

每天5分钟复习OpenStack(十三)存储缓存技术Bcache

Ceph作为一个分布式存储,在项目中常见的形态有两者,一种是采用 SSD 或NVME 磁盘做Ceph的日志盘,使用SATA磁盘来做数据盘。这样的好处是比较经济实惠。另一种则是全部采用 SSD 或NVME磁盘,其性能更好,但是其价格比较昂贵。在第一种形态中,我们能像中间件那样加上一层缓存层,从而实现给

Django性能之道:缓存应用与优化实战

title: Django性能之道:缓存应用与优化实战 date: 2024/5/11 18:34:22 updated: 2024/5/11 18:34:22 categories: 后端开发 tags: 缓存系统 Redis优点 Memcached优缺点 Django缓存 数据库优化 性能监控

[转帖]ESXi主机网卡识别为10Mb导致业务缓慢

某企业所有业务系统及应用运行在由5台安装了ESXi 6.0的服务器组成的虚拟化环境中,已经稳定运行了多年,基本上没有出过问题。 今天下午企业工程师联系我,说单位的业务系统访问很慢。在业务系统中PING网关的延时超过2ms,平常都是小于1ms。近期单位服务器与网络没有改动。 检查发现有台物理主机内存报

[转帖]10GB/s 存储方案设计测试:用PCIe 5.0单盘还是SSD RAID?

https://zhuanlan.zhihu.com/p/558884542 - 测试平台介绍 - M.2 NVMe SSD散热方案浅析 - Intel RST RAID的Write Back写缓存适用于SSD吗? - RAID 0、10读写带宽线性提升 - 选择软RAID还是硬RAID? - SL

[转帖]global cache cr request等待事件分析及优化

在RAC环境中,和全局调整缓存相关的最常见的等待事件无非就是:global cache cr request,global cache busy和equeue 在XX电信做了一次数据库巡检中发现,spreport中的top 5 wait events中出现了global cache cr reque

Django性能优化:提升加载速度

title: Django性能优化:提升加载速度 date: 2024/5/20 20:16:28 updated: 2024/5/20 20:16:28 categories: 后端开发 tags: 缓存策略 HTTP请求 DNS查询 CDN分发 前端优化 服务器响应 浏览器缓存 第一章:Djan