北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所

1、北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊技術(shù)棧溢出攻擊技術(shù)北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所內(nèi)容北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊的威脅北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊的基本概念北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊的發(fā)展歷史北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊背景知識與技巧北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所GCC編譯器基礎(chǔ)北京

2、大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所GDB調(diào)試器的使用北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所VC6.0命令行北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32平臺調(diào)試器北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所背景知識進(jìn)程內(nèi)存空間ESPEIP0 xc00000000 x80000000LinuxWin32北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Linux進(jìn)程內(nèi)存空間北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32進(jìn)程內(nèi)存空間北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所匯編語言基礎(chǔ)知識寄

3、存器寄存器名寄存器名說明說明功能功能eax:累加器加法乘法指令的缺省寄存器, 函數(shù)返回值ecx計(jì)數(shù)器REP & LOOP指令的內(nèi)定計(jì)數(shù)器edx除法寄存器存放整數(shù)除法產(chǎn)生的余數(shù)ebx: 基址寄存器在內(nèi)存尋址時(shí)存放基地址esp棧頂指針寄存器SS：ESP當(dāng)前堆棧的棧頂指針ebp棧底指針寄存器SS：EBP當(dāng)前堆棧的棧底指針esi, dei源、目標(biāo)索引寄存器在字符串操作指令中，DS：ESI指向源串ES：EDI指向目標(biāo)串eip 指令寄存器CS:EIP指向下一條指令的地址eflags標(biāo)志寄存器標(biāo)志寄存器cs代碼段寄存器當(dāng)前執(zhí)行的代碼段ss椎棧段寄存器stack segment, 當(dāng)前堆棧段ds數(shù)據(jù)段

4、寄存器data segment, 當(dāng)前數(shù)據(jù)段北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所匯編語言基礎(chǔ)知識匯編指令命令命令解釋解釋PUSH%esp -= 4; movl %REG, (%esp)POP movl (%esp), %REG; %esp += 4JMPmovl addr, %eipCALLpushl %eip; %eip = addressLEAVEmov %ebp, % esp; pop %ebpRETpopl %eip北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所棧的基本結(jié)構(gòu)北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所函數(shù)調(diào)用過程北京大學(xué)計(jì)算機(jī)科

5、學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所函數(shù)調(diào)用過程示例21Ret-addebpretValStack frameespespespespmain ebpespfunc ebpespespespespesp北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出攻擊的本源北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所緩沖區(qū)溢出示例北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所棧溢出攻擊的原理北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Return addBuffer(96bytes)ilong_ptr高地址低地址Para2 Para1Return ad

6、dReturn addReturn addReturn addshellcode棧溢出攻擊示例北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Linux系統(tǒng)下的棧溢出攻擊北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所NOPshellcodeLow AddressNOPNOPRETRETRETHigh Addressvulnerable1.c: stackexploit1.c:NSR溢出模式北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所RETshellcodeLow AddressRETRETNOPNOPNOPHigh Addressvulnerable2. c: s

7、tackexploit2.c:RNS溢出模式北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所shellcodeLow AddressFILE NULLHigh Addressvulnerable2.c: stackexploit3.c:0 xc0000000RETRETRETR.S溢出模式利用環(huán)境變量北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所棧溢出模式分析北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Shellcode C版本北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Shellcode 匯編版本shellcode_asm.cshellcode_as

8、m_fix.c去除0北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Shellcode Opcode版本北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所給出遠(yuǎn)程登錄的Shellcode北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所滲透防火墻的Shellcode北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所在真實(shí)Linux世界中的棧溢出攻擊北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32系統(tǒng)下的棧溢出攻擊北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所漏洞程序北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所如何利用？與Linu

9、x平臺有何不同？北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32對廢棄棧的處理調(diào)用者的棧調(diào)用參數(shù)返回地址EBP局部變量 Shellcode地址RSSSSSSSSNNNNNNNNEBPESPESP%北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所調(diào)用者的棧調(diào)用參數(shù)Return addressEBP局部變量 Shellcode地址地址R中含空字節(jié)SSSSRNNNNNNNNWin32棧地址含有空字節(jié)北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所如何解決?北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所通過跳轉(zhuǎn)指令執(zhí)行Shellcode調(diào)用者的棧調(diào)用參數(shù)Re

10、turn addressEBP局部變量SSSSRNNNNNNNNEBPESPESPESPESP北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32遠(yuǎn)程緩沖區(qū)溢出北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32 Shellcode C語言版北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32 Shellcode 匯編語言版北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32 Shellcode Opcode版北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所Win32完整的本地Shellcode北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所從Kernel32.dll獲取地址北京大學(xué)