為什么緩沖區(qū)溢出會帶來危害?會帶來哪些危害? - 全文

　　堆棧溢出對于我們軟件開發(fā)人員來說，最嚴(yán)重的后果是破壞了內(nèi)存中的指針，及其造成的一系列難查的bug。

　　在當(dāng)前網(wǎng)絡(luò)與分布式系統(tǒng)安全中，被廣泛利用的50%以上都是緩沖區(qū)溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕蟲。而緩沖區(qū)溢出中，最為危險(xiǎn)的是堆棧溢出，因?yàn)槿肭终呖梢岳枚褩Ｒ绯?，在函?shù)返回時(shí)改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到shell，然后為所欲為。我在這里演示一下堆棧溢出的原理。

　　堆棧有關(guān)概念

　　首先，介紹一下，與堆棧有關(guān)的一些概念：動態(tài)內(nèi)存有兩種，堆棧（stack），堆（heap）。堆棧在內(nèi)存上端，堆在內(nèi)存下端，當(dāng)程序執(zhí)行時(shí)，堆棧向下朝堆增長，堆向上朝堆棧增長。通常，局部變量，返回地址，函數(shù)的參數(shù)，是放在堆棧里面的。

　　低地址

　　局部變量

　　舊的基指針

　　返回地址

　　函數(shù)的參數(shù)（左）

　　函數(shù)的參數(shù)（。。。）

　　函數(shù)的參數(shù)（右）

　　高地址

　　我們可以寫一個小程序測試：

　　Copycode

　　#include“string.h”

　　voidtest（char*a）;

　　intmain（intargc，char*argv［］）

　　{

　　chara［］=“hello”;

　　test（a）;

　　return0;

　　}

　　voidtest（char*a）

　　{

　　char*j;

　　charbuf［5］;

　　strcpy（buf，a）;

　　printf（“&main=%p\n”，&main）;

　　printf（“&buf=%p\n”，&buf）;

　　printf（“&a=%p\n”，&a）;

　　printf（“&test=%p\n”，&test）;

　　for（j=buf-8;j《（（char*）&a）+8;j++）

　　printf（“%p:0x%x\n”，j，*（unsignedchar*）j）;

　　}

　　Main定義一個字符串hello，然后調(diào)用test函數(shù)，在test函數(shù)中，有一個長度為5的局部字符串變量buf，然后把復(fù)制參數(shù)a復(fù)制到buf中，這里因?yàn)闆]有a的長度小于等于buf的長度，所以并沒有溢出buf。然后顯示各個函數(shù)，參數(shù)，局部變量的地址，以及局部字符串變量buf和參數(shù)a之間的地址，我們看到：

　　Quote：

　　&main=0040100A

　　&buf=0012FF14

　　&a=0012FF28

　　&test=00401005

　　0012FF0C:0xcc

　　0012FF0D:0xcc

　　0012FF0E:0xcc

　　0012FF0F:0xcc

　　0012FF10:0xcc

　　0012FF11:0xcc

　　0012FF12:0xcc

　　0012FF13:0xcc

　　0012FF14:0x68 h 這里就是buf了！

　　0012FF15:0x65 e

　　0012FF16:0x6c l

　　0012FF17:0x6c l

　　0012FF18:0x6f o

　　0012FF19:0x0 \0

　　0012FF1A:0xcc

　　0012FF1B:0xcc

　　0012FF1C:0x1c 這里是

　　0012FF1D:0xff 兩個

　　0012FF1E:0x12 舊的

　　0012FF1F:0x0 基指針，不管他

　　0012FF20:0x80

　　0012FF21:0xff

　　0012FF22:0x12

　　0012FF23:0x0

　　0012FF24:0x34 這個就是

　　0012FF25:0xb8 返回地址了

　　0012FF26:0x40 和main的地址很

　　0012FF27:0x0 接近吧！

　　0012FF28:0x78 這個是

　　0012FF29:0xff 參數(shù)a，即

　　0012FF2A:0x12

　　a字符串的

　　0012FF2B:0x0 地址

　　0012FF2C:0xe

　　0012FF2D:0x0

　　0012FF2E:0x0

　　0012FF2F:0x0

　　由于c編譯器不會自己做邊界檢查的，所以，如果buf中的內(nèi)容足夠長，而不是hello，那么很有可能覆蓋掉原來的返回地址，那么程序就會跳轉(zhuǎn)到其他地方，為了試驗(yàn)，我們定義一個簡單的函數(shù)echo，讓test返回的時(shí)候跳轉(zhuǎn)到echo。

　　用printf（“&echo=%p\n”，&echo）;我已經(jīng)知道了echo的地址是0x0040100f，從上面的例子已經(jīng)知道從0012ff14到0012ff27要覆蓋多少數(shù)據(jù)，數(shù)一下就知道了?改寫如下：

　　Copycode

　　#include“string.h”

　　voidtest（char*a）;

　　voidecho（）;

　　intmain（intargc，char*argv［］）

　　{

　　chara［16］;

　　inti;

　　for（i=0;i《16;i++）a［i］=‘x’; //覆蓋不重要的部分，為了達(dá)到返回地址

　　a［16］=0xf; //在這里改寫了返回地址

　　a［17］=0x10;

　　a［18］=0x40;

　　a［19］=0x00; //一方面高字節(jié)正好是00，同時(shí)00又是字符串的結(jié)尾

　　test（a）;

　　return0;

　　}

　　voidtest（char*a）

　　{

　　char*j;

　　charbuf［5］;

　　strcpy（buf，a）; //分配的緩沖區(qū)只有5，結(jié)果卻有19，溢出了！

　　printf（“&main=%p\n”，&main）;

　　printf（“&buf=%p\n”，&buf）;

　　printf（“&a=%p\n”，&a）;

　　printf（“&echo=%p\n”，&echo）;

　　printf（“&test=%p\n”，&test）;

　　for（j=buf-8;j《（（char*）&a）+8;j++）

　　printf（“%p:0x%x\n”，j，*（unsignedchar*）j）;

　　}

　　voidecho（）

　　{

　　printf（“haha！\n”）;

　　printf（“haha！\n”）;

　　printf（“haha！\n”）;

　　printf（“haha！\n”）;

　　}

　　結(jié)果，我們看到地址顯示完以后，出現(xiàn)了echo函數(shù)里面的haha！\nhaha！\nhaha！\nhaha！\n，說明溢出跳轉(zhuǎn)成功，但是，在結(jié)束的時(shí)候出現(xiàn)了程序崩潰，這是因?yàn)閑cho找不到它的返回地址導(dǎo)致的。但是今天我們的目的，利用溢出執(zhí)行其他代碼的任務(wù)已經(jīng)實(shí)現(xiàn)了

　　1988年，世界上第一個緩沖區(qū)溢出攻擊——Morris蠕蟲在互聯(lián)網(wǎng)上泛濫，短短一夜的時(shí)間全世界6000多臺網(wǎng)絡(luò)服務(wù)器癱瘓或半癱瘓，不計(jì)其數(shù)的數(shù)據(jù)和資料被毀。造成一場損失近億美元的空前大劫難！

　　緩沖區(qū)

　　計(jì)算機(jī)程序一般都會使用到一些內(nèi)存，這些內(nèi)存或是程序內(nèi)部使用，或是存放用戶的輸入數(shù)據(jù)，這樣的內(nèi)存一般稱作緩沖區(qū)。

　　溢出

　　溢出是指盛放的東西超出容器容量而溢出來了，在計(jì)算機(jī)程序中，就是數(shù)據(jù)使用到了被分配內(nèi)存空間之外的內(nèi)存空間。

　　緩沖區(qū)溢出

　　緩沖區(qū)溢出簡單的說就是計(jì)算機(jī)對接收的輸入數(shù)據(jù)沒有進(jìn)行有效的檢測（理想的情況是程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符），向緩沖區(qū)內(nèi)填充數(shù)據(jù)時(shí)超過了緩沖區(qū)本身的容量，而導(dǎo)致數(shù)據(jù)溢出到被分配空間之外的內(nèi)存空間，使得溢出的數(shù)據(jù)覆蓋了其他內(nèi)存空間的數(shù)據(jù)。

　　緩沖區(qū)溢出是一種非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。

　　緩沖區(qū)溢出就好比一個杯子倒太多的水，灑出來，這叫溢出。它是一種非常普遍、非常危險(xiǎn)的漏洞，最常出現(xiàn)在C/C++編寫的程序中。

　　早期，人們還不那么重視數(shù)據(jù)安全的時(shí)候，往往會使用像strcpy這類不安全函數(shù)，這種函數(shù)對用戶的輸入不作任何檢查，總之，來自不拒，那么，分配的內(nèi)存空間是有限的，如果輸入超長的字符串，必然會導(dǎo)致溢出。

　　講了這么多，小伙伴會不會有點(diǎn)暈嗎？其實(shí)，緩沖區(qū)溢出很容易理解的。下面我們看一個具體的例子：

　　這段代碼存在一個經(jīng)典的緩沖區(qū)溢出漏洞strcpy，為str變量分配了8個字節(jié)的空間，輸入小于等于8個字符，那沒問題：

　　但是當(dāng)我們輸入超長的數(shù)據(jù)時(shí)，問題出現(xiàn)了

　　緩沖區(qū)溢出帶來的危害

　　在計(jì)算機(jī)安全領(lǐng)域，緩沖區(qū)溢出就好比給自己的程序開了個后門，這種安全隱患是致命的。緩沖區(qū)溢出在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。而利用緩沖區(qū)溢出漏洞實(shí)施的攻擊就是緩沖區(qū)溢出攻擊。

　　緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)關(guān)機(jī)、重新啟動，或者執(zhí)行攻擊者的指令，比如非法提升權(quán)限。假如問題出現(xiàn)在常用的一些軟件，比如操作系統(tǒng)、瀏覽器、通訊軟件等，那后果不堪想象。

　　緩沖區(qū)溢出中，最為危險(xiǎn)的是堆棧溢出，因?yàn)槿肭终呖梢岳枚褩Ｒ绯觯诤瘮?shù)返回時(shí)改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到系統(tǒng)權(quán)限，然后為所欲為。

　　有可能小伙伴你會對病毒/蠕蟲沒有概念，那我們來舉一個簡單的例子吧。平時(shí)玩電腦的時(shí)候，你正在聽歌，突然間收到未知的“朋友”發(fā)給你的一個m3u音頻文件，并引導(dǎo)你進(jìn)行電擊——“這首歌很好聽呢，你也聽聽”。

　　湊巧的是，你電腦剛好了就裝了VUPlayer.exe 這個播放器，不多想，就打開這個音樂想聽聽看，奇怪的是，軟件閃了一下就退出了，你以為是文件損壞了了吧。其實(shí)，這個時(shí)候，你已經(jīng)被黑了，沒錯！這就是那個播放器。

　　很普通的播放器，但是它存在致命緩沖區(qū)溢出漏洞。我們構(gòu)造10000個A的m3u文件，然后用調(diào)試器附加VUPlayer.exe，打開文件：

　　我們看到下面的內(nèi)存全部被字符A覆蓋了，其實(shí)就是使用了不安全的lstrcpyA函數(shù)導(dǎo)致溢出，這個是棧溢出，還有一種是堆溢出，但本質(zhì)是一樣的。

　　證明有溢出漏洞之后，往往需要進(jìn)一步分析，不同的人目的不竟相同，但需要注意的是，也有很多“黑市”的不法分子會攻擊政府機(jī)構(gòu)或企業(yè)的系統(tǒng)，盜取機(jī)密文件等，這是非常危險(xiǎn)的。

　　如何預(yù)防

　　緩沖區(qū)溢出是代碼中固有的漏洞，除了在開發(fā)階段要注意編寫正確的代碼之外，對于用戶而言，一般的防范措施為

　　1、關(guān)閉端口或服務(wù)，管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么，并且哪些服務(wù)正在運(yùn)行。

　　2、安裝軟件廠商的補(bǔ)丁，需要及時(shí)安裝漏洞補(bǔ)丁。

　　3、在防火墻上過濾特殊的流量，無法阻止內(nèi)部人員的溢出攻擊。

　　4、檢查關(guān)鍵的服務(wù)程序，看看是否有可怕的漏洞。

　　5、以所需要的最小權(quán)限運(yùn)行軟件。

　　6、可借助安防軟件提升操作系統(tǒng)安全級別，比如優(yōu)炫操作系統(tǒng)安全增強(qiáng)系統(tǒng)。