第2講：第2章-入侵方法與手段

0入侵檢測技術(shù)分析北京信息科技大學(xué)劉凱liukai@第2講1入侵檢測技術(shù)分析

第二章入侵方法與手段2課程安排入侵檢測概述

2學(xué)時入侵方法及手段

3學(xué)時入侵檢測系統(tǒng)

3學(xué)時入侵檢測流程

6學(xué)時基于主機(jī)的入侵檢測技術(shù)

4學(xué)時基于網(wǎng)絡(luò)的入侵檢測技術(shù)

4學(xué)時入侵檢測系統(tǒng)的標(biāo)準(zhǔn)與評估

4學(xué)時

Snort分析

4學(xué)時入侵檢測技術(shù)的發(fā)展趨勢

2學(xué)時共32學(xué)時3教材及參考書《入侵檢測技術(shù)》曹元大人民郵電出版社《入侵檢測技術(shù)》薛靜鋒等機(jī)械工業(yè)出版社《Snort2.0入侵檢測》BrianCaswell等著宋勁松等著國防工業(yè)出版社

《入侵檢測實用手冊》PaulE.Proctor中國電力出版社

/4上一講回顧

入侵檢測與傳統(tǒng)安全機(jī)制的不同入侵檢測在P2DR模型中的作用二個基于時間特性的反映系統(tǒng)安全性的公式入侵檢測的產(chǎn)生背景與發(fā)展歷史入侵及入侵檢測的相關(guān)概念入侵檢測系統(tǒng)的局限性5第二章入侵方法與手段

網(wǎng)絡(luò)入侵概述網(wǎng)絡(luò)入侵的各種手段6第二章入侵方法與手段

本講重點網(wǎng)絡(luò)入侵的一般流程網(wǎng)絡(luò)入侵的分類方法了解漏洞掃描攻擊、口令破解、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊等72.1網(wǎng)絡(luò)入侵概述2.2.1什么是網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵的定義(在線字典)：使用一定技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問，入侵進(jìn)入內(nèi)部網(wǎng)的行為。絕大多數(shù)網(wǎng)絡(luò)入侵的成功，緣于系統(tǒng)的不完善或者安全管理的薄弱。實現(xiàn)相對安全的網(wǎng)絡(luò)環(huán)境，需要研究者、管理者和使用者的不懈的努力和改進(jìn)。82.1網(wǎng)絡(luò)入侵概述2.1.2網(wǎng)絡(luò)入侵的一般流程：

確定目標(biāo)↓信息收集↓

漏洞挖掘

攻擊網(wǎng)絡(luò)攻擊系統(tǒng)

留下后門↓清除日志↓結(jié)束攻擊9信息收集技術(shù)-公開信息的分析從著名的”照片泄密”案件到“如何用google入侵網(wǎng)站”公開信息的合理利用和分析-信息后面能反饋出什么？1964年《中國畫報》封面衣著判斷：北緯46度至48度的區(qū)域-齊齊哈爾與哈爾濱之間所握手柄的架式->油井的直徑鉆井與背后油田間的距離和井架密度->儲量和產(chǎn)量因此設(shè)計出適合中國大慶的設(shè)備，一舉中標(biāo)\\\\\\\\\\\\\\\\\\\10信息收集技術(shù)-搜索引擎網(wǎng)站信息舉例：某網(wǎng)絡(luò)提供商在其網(wǎng)站上宣傳

“特惠服務(wù)器租用：RedHatLinux8.0支持MYSQL/PHP采用性能優(yōu)異的Apache1.3.XXWeb服務(wù)器”搜索引擎Google搜索 例：某Web服務(wù)器存在致命錯誤腳本“5sf67.jsp”

攻擊者可通過搜索引擎查找存在該錯誤腳本的網(wǎng)站11信息收集技術(shù)-域名與IP查詢域名與IP信息收集─WhoisWhois是一個標(biāo)準(zhǔn)服務(wù)，可以用來查詢域名是否被注冊以及注冊的詳細(xì)資料

Whois可以查詢到的信息域名所有者域名及IP地址對應(yīng)信息聯(lián)系方式域名到期日期域名注冊日期域名所使用的DNSServers……12信息收集技術(shù)-域名與IP查詢域名與IP查詢─nslookup

操作系統(tǒng)自帶命令，主要是用來查詢域名名稱和IP之間的對應(yīng)關(guān)系網(wǎng)絡(luò)狀況查詢─Ping系統(tǒng)自帶命令，測試與遠(yuǎn)端電腦或網(wǎng)絡(luò)設(shè)備的連接狀況網(wǎng)絡(luò)路徑狀況查詢─tracert系統(tǒng)自帶命令，測試與遠(yuǎn)端電腦或網(wǎng)絡(luò)設(shè)備之間的路徑132.1網(wǎng)絡(luò)入侵概述2.1.3典型網(wǎng)絡(luò)入侵方法分析

網(wǎng)絡(luò)攻擊分類基于攻擊術(shù)語分類基于攻擊種類列表基于攻擊效果分類基于弱點和攻擊者的攻擊分類基于攻擊過程分類多維角度網(wǎng)絡(luò)攻擊分類法

CERT的分類實例繼續(xù)14基于攻擊術(shù)語分類

Cohen給出了羅列攻擊術(shù)語的分類方法

特洛伊木馬、包監(jiān)測、計算機(jī)病毒、偽造網(wǎng)絡(luò)等

Icove給出另一種攻擊術(shù)語列表

竊聽、陷門、潛入、電磁泄漏、拒絕服務(wù)、流量分析等述語不具備相互排斥的特性返回15基于攻擊種類列表

Cheswock和Bellovin下述按攻擊種類的分類：

竊取口令社會工程錯誤和后門認(rèn)證失效協(xié)議失效信息泄漏拒絕服務(wù)返回16基于攻擊效果分類

Russell和Gangemi的分類

針對機(jī)密性的攻擊針對可用性的攻擊針對完整性的攻擊返回17基于弱點和攻擊者的攻擊分類

Perry和Wallich提出了一種基于弱點和攻擊者的二維結(jié)構(gòu)的分類方案

攻擊者包括操作員、程序員、數(shù)據(jù)錄入員、內(nèi)部用戶和外部用戶攻擊效果包括物理破壞、信息破壞、數(shù)據(jù)欺騙、竊取服務(wù)、流覽和竊取信息返回18基于攻擊過程分類

Stallings基于攻擊過程，定義了四種攻擊類型中斷（Interruption)

攔截偵聽(Interception)

篡改(Modification)

偽造(Fabrication)返回19多維角度網(wǎng)絡(luò)攻擊分類法

網(wǎng)絡(luò)攻擊的全過程是：攻擊者發(fā)起采用一定工具對目標(biāo)進(jìn)行訪問達(dá)到一定的攻擊效果實現(xiàn)攻擊者預(yù)定的攻擊目標(biāo)。攻擊者：黑客、間諜、恐怖分子、職員、罪犯、破壞者工具：用戶命令、程序、自治主體、工具包等訪問：利用不同的弱點進(jìn)行的各種操作效果：破壞信息、泄密、竊取服務(wù)、拒絕服務(wù)目標(biāo)：表現(xiàn)自己、政治意圖、經(jīng)濟(jì)意圖、破壞返回20CERT的分類實例

美國CERT將攻擊分成：緩沖器溢出(見CA-98.05)

文件非安全處理(見CA-96.16)

參數(shù)檢查不完全(見CA-96.06)

非安全程序特征(見CA-98.05)

特洛伊木馬(見CA-94.14)

弱認(rèn)證或加密(見CA-96.03)

配置錯誤(見CA-96.10)

程序?qū)崿F(xiàn)錯誤(見CA-93.7)返回212.1網(wǎng)絡(luò)入侵概述2.1.3典型網(wǎng)絡(luò)入侵方法分析

常見的安全威脅口令破解漏洞攻擊特洛伊木馬攻擊拒絕服務(wù)攻擊

IP地址欺騙網(wǎng)絡(luò)監(jiān)聽病毒攻擊社會工程攻擊等222.1網(wǎng)絡(luò)入侵概述2.1.3典型網(wǎng)絡(luò)入侵方法分析

主要入侵攻擊方法網(wǎng)絡(luò)信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計算機(jī)病毒后門、隱蔽通道蠕蟲特洛伊木馬232.1網(wǎng)絡(luò)入侵概述2.1.3典型網(wǎng)絡(luò)入侵方法分析

主機(jī)滲透方法簡析口令破解漏洞攻擊特洛伊木馬攻擊網(wǎng)絡(luò)攻擊方法簡析拒絕服務(wù)攻擊

IP地址欺騙網(wǎng)絡(luò)監(jiān)聽其它攻擊方法病毒攻擊社會工程攻擊等繼續(xù)24口令破解

口令是主機(jī)安全的第一道防線.

猜測口令也是網(wǎng)絡(luò)入侵者滲透主機(jī)系統(tǒng)行之有效的方法.

口令的安全與多種因素有關(guān):口令的強(qiáng)度、口令文件的安全、口令的存儲格式等。弱口令是口令安全的致命弱點增強(qiáng)口令的強(qiáng)度、保護(hù)口令存儲文件、服務(wù)器合理利用口令管理工具是對付口令破解的必要措施。返回25漏洞攻擊

目前發(fā)現(xiàn)的網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的漏洞多達(dá)上萬種。在操作系統(tǒng)滲透攻擊中被網(wǎng)絡(luò)入侵者利用的最多的一種漏洞是緩沖溢出漏洞。此外，利用漏洞的攻擊還有Unicode編碼漏洞、SQLInjection漏洞等。漏洞大多數(shù)是由于開發(fā)者的疏忽而造成的。返回26特洛伊木馬攻擊

特洛伊木馬技術(shù)是遠(yuǎn)程控制技術(shù)的一個實現(xiàn)，而特洛伊木馬和商業(yè)遠(yuǎn)程管理工具相比具有以下幾個特點：在未經(jīng)授權(quán)情況下滲透遠(yuǎn)端主機(jī)被控制端的應(yīng)用程序非常短小，便于上傳被控制端的應(yīng)用程序在運(yùn)行時不會彈出任何提示和界面被控制端的應(yīng)用程序一般具有自我保護(hù)功能，因此難以查殺新型的特洛伊木馬已經(jīng)開始與蠕蟲、病毒技術(shù)相結(jié)合返回27拒絕服務(wù)攻擊

拒絕服務(wù)攻擊通過消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源，使得目標(biāo)主機(jī)無法為合法用戶提供正常網(wǎng)絡(luò)服務(wù)。分布式拒絕服務(wù)攻擊則是利用多臺計算機(jī)對單個或者多個目標(biāo)同時發(fā)起拒絕服務(wù)攻擊目前分布式拒絕服務(wù)攻擊方式已經(jīng)成為一個非常嚴(yán)峻的公共安全問題，成為網(wǎng)絡(luò)攻擊中最難應(yīng)付的攻擊方式之一。目前有了一些防御方法，如SynCookie、HIP（History-basedIPfiltering)、ACC控制等返回28IP欺騙IP欺騙包括序列號欺騙、路由攻擊、源地址欺騙、授權(quán)欺騙等像rlogin、rcall、rsh等命令以IP地址為基礎(chǔ)的驗證。可以通過對IP堆棧進(jìn)行修改，放入任意滿足要求的IP地址，達(dá)到欺騙的目的。返回29網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽工具可以提供給管理員，以監(jiān)測網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流情況及網(wǎng)上傳輸?shù)男畔⒕W(wǎng)絡(luò)監(jiān)聽工具也是入侵者們常用的工具。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)上的任何位置實施，如局域網(wǎng)中的一臺主機(jī)、網(wǎng)關(guān)或者交換機(jī)等。網(wǎng)絡(luò)管理員一般選擇在網(wǎng)關(guān)、路由器和防火墻上進(jìn)行網(wǎng)絡(luò)監(jiān)聽，這是監(jiān)聽效果最好的地方。最方便部署網(wǎng)絡(luò)監(jiān)聽的位置是局域網(wǎng)中的主機(jī)，這是大多數(shù)網(wǎng)絡(luò)入侵者采用的方式。返回30病毒攻擊

隨著蠕蟲病毒的泛濫以及蠕蟲、計算機(jī)病毒、木馬和黑客攻擊程序的結(jié)合，病毒攻擊成為了因特網(wǎng)發(fā)展以來面臨的最大挑戰(zhàn)之一返回31社會工程攻擊

社會工程攻擊是利用社會工程學(xué)實施攻擊的一種總稱社會工程攻擊是一個陷阱，入侵者通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統(tǒng)的秘密。為了對付此類攻擊，必須增強(qiáng)員工和用網(wǎng)人員的安全意識，加強(qiáng)組織和管理措施。返回322.2漏洞掃描2.2.1掃描器簡介掃描器是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠(yuǎn)程或本地主機(jī)安全性弱點的程序.

掃描器有三項功能:

發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)的狀態(tài)可以判斷處于運(yùn)行的系統(tǒng)中有哪些服務(wù)已啟動通過測試運(yùn)行中的網(wǎng)絡(luò)服務(wù),發(fā)現(xiàn)漏洞按目的來分，掃描器可分為端口掃描器和漏洞掃描器.常見的端口掃描器有NMAP、portscan等；漏洞掃描器有ISS、NESSUS、SATAN等332.2漏洞掃描2.2.2秘密掃描

TCPConnect掃描342.2漏洞掃描2.2.2秘密掃描

TCPSYN掃描

這種掃描方法沒有建立完整的TCP連接，有時也被稱為“半打開掃描（half-openscanning）”。其步驟是先往端口發(fā)送一個SYN分組。如果收到一個來自目標(biāo)端口的SYN/ACK分組，那么可以推斷該端口處于監(jiān)聽狀態(tài)。如果收到一個RST/ACK分組，那么它通常說明該端口不在監(jiān)聽。執(zhí)行端口的系統(tǒng)隨后發(fā)送一個RST/ACK分組，這樣并未建立一個完整的連接。這種技巧的優(yōu)勢比完整的TCP連接隱蔽，目標(biāo)系統(tǒng)的日志中一般不記錄未完成的TCP連接。

352.2漏洞掃描2.2.2秘密掃描

TCPFIN掃描

這種掃描方法是直接往目標(biāo)主機(jī)的端口上發(fā)送FIN分組。按照RFC793，當(dāng)一個FIN分組到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST分組。否則，當(dāng)一個FIN分組到達(dá)一個打開的端口，分組只是簡單地被丟掉（不返回RST分組）。

362.2漏洞掃描2.2.2秘密掃描

TCPXmas掃描

無論TCP全連接掃描還是TCPSYN掃描，由于涉及TCP三次握手很容易被遠(yuǎn)程主機(jī)記錄下來。Xmas掃描由于不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽得多。這種掃描向目標(biāo)端口發(fā)送一個FIN、URG和PUSH分組。按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口發(fā)回一個RST分組。372.2漏洞掃描2.2.2秘密掃描

TCP空掃描

這種掃描發(fā)送一個關(guān)閉掉所有標(biāo)志位的分組，按照RFC793，目標(biāo)系統(tǒng)應(yīng)該給所有關(guān)閉著的端口返回一個RST分組。382.2漏洞掃描2.2.2秘密掃描

TCPACK掃描

TCPACK掃描和TCPSYN掃描原理差不多，是利用協(xié)議（詳見RFC793）規(guī)定，當(dāng)申請方主機(jī)向目標(biāo)主機(jī)一個端口發(fā)送一個只有ACK標(biāo)志的TCP數(shù)據(jù)包，如果目標(biāo)主機(jī)該端口是“開”狀態(tài)，則返回一個TCPRST數(shù)據(jù)包；否則不回復(fù)。

這種掃描一般用來偵測防火墻，他可以確定防火墻是否只是支持簡單的分組過濾技術(shù)，還是支持高級的基于狀態(tài)檢測的包過濾技術(shù)。392.2漏洞掃描2.2.2秘密掃描

UDP掃描

這種掃描往目標(biāo)主機(jī)的端口發(fā)送UDP數(shù)據(jù)分組，如果目標(biāo)端口是關(guān)閉狀態(tài)，則返回一個“ICMP端口不可達(dá)（ICMPportunreachable）”消息。否則，如果沒有收到上述返回信息，可以判斷該端口是開啟的.402.2漏洞掃描2.2.3OSFingerprint技術(shù)

OSFingerprint探測是網(wǎng)絡(luò)入侵者攻擊中的重要環(huán)節(jié)，常見的方法如下：一些端口服務(wù)的提示信息

TCP/IP棧指紋

DNS泄漏出OS系統(tǒng)等412.3口令破解2.3.1Windows口令文件的格式及安全機(jī)制

使用安全帳號管理器(SAM),SAM文件存放在“%systemroot%\system32\config\sam”（在域服務(wù)器中，SAM文件存放在活動目錄中，默認(rèn)地址“%system32%\ntds\ntds.dit”）。

422.3口令破解2.3.2UNIX口令文件的格式及安全機(jī)制

Unix系統(tǒng)中帳戶信息存放在passwd文件中，口令可以采用DES或MD5加密后存放在shadow文件中。passwd使用的是存文本的格式保存信息。UNIX中的passwd文件中每一行都代表一個用戶資料，每一個賬號都有七部分資料，不同資料中使用“:”分割。

432.3口令破解2.3.3破解原理及典型工具工具一PasswordCracker工具二LOphtCrack442.4拒絕服務(wù)攻擊2.4.1拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊的方式有很多種。最基本的拒絕服務(wù)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源。有許多拒絕服務(wù)的程序在網(wǎng)絡(luò)中散布：TribeFloodNetwork,tfn2k,smurf,targa等452.4拒絕服務(wù)攻擊2.4.2典型拒絕服務(wù)攻擊的手段

SYN湮沒

Land攻擊

Smurf攻擊

TeardropPingofDeath繼續(xù)46SYN湮沒

SYN是TCP/IP協(xié)議建立連接時使用的握手信號。在建立正常的TCP網(wǎng)絡(luò)連接時，客戶機(jī)首先發(fā)出一個SYN消息，服務(wù)器使用SYN-ACK應(yīng)答表示接收到了這個消息，最后客戶機(jī)再以ACK消息響應(yīng)。這種攻擊向一臺服務(wù)器發(fā)送許多SYN消息，該消息中攜帶的源地址根本不可用，但是服務(wù)器會當(dāng)真的SYN請求處理，當(dāng)服務(wù)器嘗試為每個請求消息分配連接來應(yīng)答這些SYN請求時，服務(wù)器就沒有其它資源來處理來真正用戶的合法SYN請求了。這就造成了服務(wù)器不能正常的提供服務(wù)。返回47Land攻擊

Land攻擊和其它拒絕服務(wù)攻擊相似，也是通過利用某些操作系統(tǒng)在TCP/IP協(xié)議實現(xiàn)方式上的漏洞來破壞主機(jī)。在Land攻擊中，一個精心制造的SYN數(shù)據(jù)包中的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址，這將導(dǎo)致接收到這個數(shù)據(jù)包的服務(wù)器向它自己發(fā)送SYN-ACK消息，結(jié)果又返回ACK消息并創(chuàng)建一個空連接……每個這樣的連接都將一直保持到超時。不同的操作系統(tǒng)對Land攻擊反應(yīng)不同，多數(shù)UNIX操作系統(tǒng)將崩潰，而WindowsNT會變的極其緩慢（大約持續(xù)五分鐘）。48Land攻擊1(SYN)hello,I’m1Syn+AckAck返回49Smurf攻擊

Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量數(shù)據(jù)充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)不能為正常系統(tǒng)進(jìn)行服務(wù)。簡單的Smurf攻擊將ICMP應(yīng)答請求（ping）數(shù)據(jù)包的回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，從而導(dǎo)致網(wǎng)絡(luò)阻塞。因此它比pingofdeath攻擊的流量高出一到兩個數(shù)量級。復(fù)雜的Smurf攻擊將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。50Smurf攻擊

目標(biāo)地址是網(wǎng)絡(luò)的廣播地址(netid:255:255:255)

源地址是受害者主機(jī)IP地址三部分組成:攻擊者、中間媒介、被攻擊者黑客偽裝受害者IP中間網(wǎng)站目標(biāo)子網(wǎng)絡(luò)主機(jī)目標(biāo)子網(wǎng)絡(luò)主機(jī)目標(biāo)子網(wǎng)絡(luò)主機(jī)攻擊信息大量ICMP封包(Layer3)子網(wǎng)絡(luò)主機(jī)子網(wǎng)絡(luò)主機(jī)子網(wǎng)絡(luò)主機(jī)目標(biāo)網(wǎng)站大量廣播(Layer2)返回51Teardrop

Teardrop是一種拒絕服務(wù)攻擊，可以令目標(biāo)主機(jī)崩潰或掛起。目前多數(shù)操作系統(tǒng)已經(jīng)升級或有了補(bǔ)丁程序來避免受到這種攻擊。Teardrop攻擊和其他類似的攻擊發(fā)出的TCP或UDP包包含了錯誤的IP重組信息，這樣主機(jī)就會使用錯誤的信息來重新組合成一個完整的包。結(jié)果造成崩潰、掛起或者執(zhí)行速度極其緩慢。52TeardropSYNSYN＋ACKACKPSH1:1025……PSH1025:2049……PSH2049:3073……FINACKPSH1:1025……PSH

1000:2049……PSH2049:3073……試圖重組時主機(jī)崩潰返回53PingofDeath

PingofDeath攻擊是利用網(wǎng)絡(luò)操作系統(tǒng)（包括UNIX的許多變種、windows和MacOS等）的缺陷，當(dāng)主機(jī)接收到一個大的不合法的ICMP回應(yīng)請求包（大于64KB）時，會引起主機(jī)掛起或崩潰。返回542.5分布式拒絕服務(wù)攻擊552.5分布式拒絕服務(wù)攻擊DDos攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式被DDos攻擊時的現(xiàn)象被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假IP地址制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求。嚴(yán)重時會造成系統(tǒng)死機(jī)562.6緩沖區(qū)溢出攻擊

堆棧原理一個簡單的例子example1.c：

voidfunction(inta,intb,intc){charbuffer1[5];charbuffer2[10];}voidmain(){function(1,2,3);}

使用gcc的-S選項編譯,以產(chǎn)生匯編代碼輸出:$gcc–S–oexample.sexample1.c

通過查看匯編語言輸出,可以看到對function()的調(diào)用被翻譯成:572.6緩沖區(qū)溢出攻擊

push1$3push1$2push1$1callfunction

指令call會把指令指針(IP)也壓入棧中,做為返回地址(RET).在函數(shù)中所首先做的第一件事是:pushebpmovl%esp,ebpsubl$20,%esp582.6緩沖區(qū)溢出攻擊

可以想像function()被調(diào)用時堆棧的模樣:

buffer2buffer1EBPRETabc堆棧頂部堆棧底部內(nèi)存低地址內(nèi)存高地址592.6緩沖區(qū)溢出攻擊

我們可以試著修改第一個例子,讓它可以覆蓋返回地址:example2.c:voidfunction(inta,intb,intc){charbuffer1[5];charbuffer2[10];int*ret;ret=buffer1+12(*ret)+=8}voidmain(){intx;x=0;function(1,2,3)x=1printf(“%d\n”,x);}602.6緩沖區(qū)溢出攻擊

緩沖區(qū)溢出的一個例子:example3.c

----------------------------------------------------------------------

voidfunction(char*str){

charbuffer[16];

strcpy(buffer,str);

}

voidmain(){

charlarge_string[256];

inti;

for(i=0;i<255;i++)

large_string[i]='A';

function(large_string);

}

612.7格式化字符串攻擊例2：

/**fmtme.c*Formatavalueintoafixed-sizebuffer*/

#include

int

main(intargc,char**argv)

{

charbuf[100];

intx;

if(argc!=2)

exit(1);

x=1;

snprintf(buf,sizeofbuf,argv[1]);

buf[sizeofbuf-1]=0;

printf("buffer(%d):%s\n",strlen(buf),buf);

printf("xis%d/%#x(@%p)\n",x,x,&x);

return0;

}

622.8跨站腳本攻擊

因為CGI程序沒有對用戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換，從而導(dǎo)致了跨站腳本執(zhí)行的漏洞。632.8跨站腳本攻擊

XXS的實例<?php$input=$_GET[“param”];Echo“<div>”,$input,”<div>”;?>

若用戶在客戶端提交

/test.php?param=這是一個測試;

頁面中會顯示用戶提交的”這是一個測試”但是如果用戶提交一段HTML代碼:/test.php?param=<script>alert(/x