大部分的溢出攻击是由于不良的编程习惯造成。现在常用的C和C++语言因为宽松的程序语法限制而被广泛使用,它们在营造了一个灵活高效的编程环境的同时,也在代码中潜伏了很大的风险隐患。
为避免溢出漏洞的出现,在编写程序的同时就需要将安全因素考虑在内,软件开发过程中可利用多种防范策略,如编写正确的代码,改进C语言函数库,数组边界检查,使堆栈向高地址方向增长,程序指针完整性检查等,以及利用保护软件的保护策略,如StackGuard对付恶意代码等,来进行保证程序的安全性。
目前有几种基本的方法保护缓冲区免受溢出的攻击和影响:
①规范代码写法,加强程序验证。
②通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码。
③利用编译器的边界检查来实现缓冲区的保护。
④在程序指针失效前进行完整性检查。
IIS应用软件系统的安全性
IIS4.0和5.0版本曾经出现过严重的缓冲区溢出漏洞,在上面介绍了软件系统攻击技术和防范技术后,从IIS的安全性入手,简要介绍应用软件的安全性防范措施。
IIS是Windows系统中的Internet信息和应用程序服务器,利用IIS可以配置Windows平台方便地提供并且和 Windows系统管理功能完美融合在一起,使系统管理人员获得和Windows完全一致的管理。
为有效防范针对IIS的溢出漏洞攻击,首先需要对IIS了解其缓冲区溢出漏洞所在之处,然后进行修补。IIS4.0和IIS5.0的应用非常广,但由于这两个版本的IIS存在很多安全漏洞,它的使用也带来了很多安全隐患。
IIS常见漏洞包括:idc&ida 漏洞、“.htr”漏洞、NT Site Server Adsamples漏洞、.printer漏洞、Unicode解析错误漏洞、Webdav漏洞等。因此,了解如何加强Web 服务器的安全性,防范由IIS漏洞造成的入侵就显得尤为重要。
例如,缺省安装时,IIS支持两种脚本映射:管理脚本(.ida文件)、Internet数据查询脚本(.idq文件)。这两种脚本都由idq.dll来处理和解释。而idq.dll在处理某些URL请求时存在一个未经检查的缓冲区,如果攻击者提供一个特殊格式的URL,就可能引发一个缓冲区溢出。
通过精心构造发送的数据,攻击者可以改变程序执行流程,从而执行任意代码。当成功地利用这个漏洞入侵系统后,攻击者就可以在远程获取“Local System”的权限了。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮。在弹出“应用程序配置”对话框的“应用程序映射”页面,删除无用的程序映射。
在大多数情况下,只需要留下.asp一项即可,将.ida、.idq、.htr等全部删除,以避免利用.ida、.idq等这些程序映射存在的漏洞对系统进行攻击。
软件系统攻击技术.
常见的利用软件缺陷对应用软件系统发起攻击的技术包括:缓冲区溢出攻击、堆溢出攻击、栈溢出攻击、格式化串漏洞利用等,在上述漏洞利用成功后,往往借助于shellcode跳转或者执行攻击者的恶意程序。
缓冲区溢出利用
如果应用软件存在缓冲区溢出漏洞,可利用此漏洞实施对软件系统的攻击。缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会发生缓冲区溢出。
攻击者写一个超过缓冲区长度的字符串,程序读取该段字符串,并将其植入到缓冲区,由于该字符串长度超出常规的长度,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,导致程序出错,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,从而达到攻击者的某种目的。
程序运行的时候,将数据类型等保存在内存的缓冲区中。为了不占用太多的内存,一个由动态分配变量的程序在程序运行时才决定给它们分配多少内存空间。如果在动态分配缓冲区中放入超长的数据,就会发生溢出。
这时候程序就会因为异常而返回,如果攻击者用自己攻击代码的地址覆盖返回地址,这个时候,通过eip改变返回地址,可以让程序转向攻击者的程序段,如果在攻击者编写的 shellcode里面集成了文件的上传、下载等功能,获取到 root权限,那么就相当于完全控制了被攻击方。也就达到了攻击者的目的。
栈溢出利用
程序每调用一个函数,就会在堆栈里申请一定的空间,我们把这个空间称为函数栈,而随着函数调用层数的增加,函数栈一块块地从高端内存向低端内存地址方向延伸。
反之,随着进程中函数调用层数的减少,即各函数调用的返回,函数栈会一块块地被遗弃而向内存的高址方向回缩。
各函数的栈大小随着函数的性质的不同而不等,由函数的局部变量的数目决定。
进程对内存的动态申请是发生在Heap(堆)里的。也就是说,随着系统动态分配给进程的内存数量的增加,Heap(堆)有可能向高址或低址延伸,依赖于不同CPU 的实现。
但一般来说是向内存的高地址方向增长的。当发生函数调用时,先将函数的参数压入栈中,然后将函数的返回地址压入栈中,这里的返回地址通常是Call的下一条指令的地址。
例如定义buffer时程序可分配了24个字节的空间,在strcpy执行时向buffer里拷贝字符串时并未检查长度,如果向buffer里拷贝的字符串如果超过24个字节,就会产生溢出。
如果向buffer里拷贝的字符串的长度足够长,把返回地址覆盖后程序就会出错。一般会报段错误或者非法指令,如果返回地址无法访问,则产生段错误,如果不可执行则视为非法指令。
堆溢出利用
堆内存由分配的很多的大块内存区组成,每一块都含有描述内存块大小和其它一些细节信息的头部数据。如果堆缓冲区遭受了溢出,攻击者能重写相应堆的下一块存储区,包括其头部。如果重写堆内存区中下一个堆的头部信息,则在内存中可以写进任意数据。然而不同目标软件各自特点不同,堆溢出攻击实施较为困难。
格式化串漏洞利用
所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf, vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这一系列的*printf()函数中。在正常情况下这些函数只是把数据输出,不会造成什么问题,但是*printf()系列函数有3条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
可以被黑客利用的*printf()系列函数的三个特性:参数个数不固定造成访问越界数据;利用%n格式符写入跳转地址;利用附加格式符控制跳转地址的值。
shellcode技术
缓冲区溢出成功后,攻击者如希望控制目标计算机,必须用shellcode实现各种功能。
shellcode是一堆机器指令集,基于x86平台的汇编指令实现,用于溢出后改变系统的正常流程,转而执行shellocode代码从而完成对目标计算机的控制。
1996年Aleph One在Underground发表的论文给这种代码起了一个shellcode的名称,从而延续至今。