內(nèi)存結(jié)構(gòu)

?緩沖區(qū)溢出漏洞

????????緩沖區(qū)溢出漏洞就是在向緩沖區(qū)寫入數(shù)據(jù)時，由于沒有做邊界檢查，導(dǎo)致寫入緩沖區(qū)的數(shù)據(jù)超過預(yù)先分配的邊界，從而使溢出數(shù)據(jù)覆蓋在合法數(shù)據(jù)上而引起系統(tǒng)異常的一種現(xiàn)象。

ESP、EPB

????????ESP：擴(kuò)展棧指針（Extended Stack Pointer）寄存器，其存放的指針指向當(dāng)前棧幀的棧頂。

????????EBP：擴(kuò)展基址指針（Extended Base Pointer）寄存器，其存放的指針指向當(dāng)前棧幀的棧底。

????????EIP:控制了進(jìn)程的執(zhí)行流程，EIP指向哪里，CPU就會執(zhí)行哪里的指令！

一個函數(shù)棧幀中主要包含如下信息：

????????1）前一個棧幀的棧底位置，即前棧幀EBP，用于在函數(shù)調(diào)用結(jié)束后恢復(fù)主調(diào)函數(shù)的棧幀（前棧幀的棧頂可計算得到）。

????????2）該函數(shù)的局部變量。

????????3）函數(shù)調(diào)用的參數(shù)。

????????4）函數(shù)的返回地址RET，用于保存函數(shù)調(diào)用前指令的位置，以便函數(shù)返回時能恢復(fù)到調(diào)用前的代碼區(qū)中繼續(xù)執(zhí)行指令。?

棧溢出攻擊

????????棧溢出攻擊是一種利用棧溢出漏洞所進(jìn)行的攻擊行動，目的在于擾亂具有某些特權(quán)運行的程序的功能，使得攻擊者取得程序的控制權(quán)。

JMP ESP覆蓋方法

????????在實際的漏洞利用中，由于動態(tài)鏈接庫的裝入和卸載等原因，Windows進(jìn)程的函數(shù)棧幀可能發(fā)生移位，即Shellcode在內(nèi)存中的地址是動態(tài)變化的，所以上述采用直接賦地址值的簡單方式在以后的運行過程中會出現(xiàn)跳轉(zhuǎn)異常。

????????JMP ESP覆蓋方法是覆蓋函數(shù)返回地址的一種攻擊方式?？紤]到函數(shù)返回時ESP總是指向函數(shù)返回后的下一條指令，根據(jù)這一特點，如果用指令JMP ESP的地址覆蓋返回地址，則函數(shù)也可以跳轉(zhuǎn)到函數(shù)返回后的下一條指令，而從函數(shù)返回后的下一條指令開始都已經(jīng)被Shellcode所覆蓋，那么程序就可以跳轉(zhuǎn)到該Shellcode上并執(zhí)行，從而實現(xiàn)了程序流程的控制。

SEH覆蓋方法

????????SEH覆蓋方法就是覆蓋異常處理程序地址的一種攻擊方式。由于SHE結(jié)構(gòu)存放在棧中，因此攻擊者可以利用棧溢出漏洞，設(shè)計特定的溢出數(shù)據(jù)，將SEH中異常函數(shù)的入口地址覆蓋為Shellcode的起始地址或可以跳轉(zhuǎn)到Shellcode的跳轉(zhuǎn)指令地址，從而導(dǎo)致程序發(fā)生異常時，Windows異常處理機(jī)制執(zhí)行的不是預(yù)設(shè)的異常處理函數(shù)，而是Shellcode。

堆溢出漏洞及利用?

????????如果能夠修改鏈表節(jié)點的指針，在“卸下”和“鏈入”的過程中就有可能獲得一次讀寫內(nèi)存的機(jī)會。

DWORD Shoot

????????堆溢出利用的精髓就是用精心構(gòu)造的數(shù)據(jù)去溢出覆蓋下一個堆塊的塊首，使其改寫塊首中的前向指針（flink）和后向指針（blink），然后在分配、釋放、合并等操作發(fā)生時伺機(jī)獲得一次向內(nèi)存任意地址寫入任意數(shù)據(jù)的機(jī)會。 攻擊者可以進(jìn)而劫持進(jìn)程，運行shellcode。

Heap Spray

????????首先將shellcode放置到堆中，然后在棧溢出時，控制函數(shù)執(zhí)行流程，跳轉(zhuǎn)到堆中執(zhí)行shellcode。

格式化串漏洞

????????格式化串漏洞的產(chǎn)生源于數(shù)據(jù)輸出函數(shù)中對輸出格式解析的缺陷，其根源也是C語言中不對數(shù)組邊界進(jìn)行檢查的緩沖區(qū)錯誤。

????????printf函數(shù)進(jìn)行格式化輸出時，會根據(jù)格式化串中的格式化控制符在棧上取相應(yīng)的參數(shù)，然后按照所需格式輸出。 如果函數(shù)調(diào)用給出的輸出數(shù)據(jù)列表少于格式控制符個數(shù)，甚至于沒有給出輸出數(shù)據(jù)列表，系統(tǒng)仍然會按照格式化串中格式化控制符的個數(shù)輸出棧中的數(shù)據(jù)。

格式化串漏洞利用

格式化串漏洞的利用可以通過如下方法實現(xiàn)：

????????通過改變格式化串中輸出參數(shù)的個數(shù)實現(xiàn)修改指定地址的值：可以修改填充字符串長度實現(xiàn)；也可以通過改變輸出的寬度實現(xiàn)，如%8d。

???????? 通過改變格式化串中格式符的個數(shù)，調(diào)整格式符對應(yīng)參數(shù)在棧中位置，從而實現(xiàn)對棧中特定位置數(shù)據(jù)的修改。

Windows平臺溢出漏洞保護(hù)機(jī)制

棧溢出檢測選項/GS

????????調(diào)用函數(shù)時將一個隨機(jī)生成的秘密值存放在棧上，當(dāng)函數(shù)返回時，檢查這個堆棧檢測儀的值是否被修改，以此判斷是否發(fā)生了棧溢出。

對抗/GS保護(hù)

• 猜測Cookie值
• 通過同時替換棧中的Cookie和Cookie副本
• 覆蓋SEH繞過Cookie檢查
• 覆蓋父函數(shù)的棧數(shù)據(jù)繞過Cookie檢查

數(shù)據(jù)執(zhí)行保護(hù)DEP

????????通過使可寫內(nèi)存不可執(zhí)行或使可執(zhí)行內(nèi)存不可寫來消除類似的威脅。

????????執(zhí)行已經(jīng)加載的模塊中的指令或調(diào)用系統(tǒng)函數(shù)則不受DEP影響，而棧上的數(shù)據(jù)只需作為這些函數(shù)/指令的參數(shù)即可。

對抗數(shù)據(jù)執(zhí)行保護(hù)DEP

• 利用ret-to-libc執(zhí)行命令或進(jìn)行API調(diào)用，如調(diào)用WinExec實現(xiàn)執(zhí)行程序。
• 將包含Shellcode的內(nèi)存頁面標(biāo)記為可執(zhí)行，然后再跳過去執(zhí)行。
• 通過分配可執(zhí)行內(nèi)存，再將Shellcode復(fù)制到內(nèi)存區(qū)域，然后跳過去執(zhí)行。
• 先嘗試關(guān)閉當(dāng)前進(jìn)程的DEP保護(hù)，然后再運行Shellcode。?

地址空間布局隨機(jī)化ASLR?

????????通過對堆、棧、共享庫映射等線性區(qū)域布局的隨機(jī)化，增加攻擊者預(yù)測目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止漏洞利用的目的。

ASLR機(jī)制的缺陷和繞過方法?

• 對本地攻擊者無能為力
• 造成內(nèi)存碎片的增多
• 利用沒有采用/DYNAMICBASE選項保護(hù)的模塊做跳板???

安全結(jié)構(gòu)化異常處理SafeSEH?

????????SafeSEH保護(hù)機(jī)制的作用是防止覆蓋和使用存儲棧上的SEH結(jié)構(gòu)。

????????其實現(xiàn)原理是，編譯器在鏈接生成二進(jìn)制IMAGE時，把所有合法的異常處理函數(shù)的地址解析出來制成一張安全的SEH表，保存在程序的IMAGE數(shù)據(jù)塊里面，當(dāng)程序調(diào)用異常處理函數(shù)時會將函數(shù)地址與安全SEH表中的地址進(jìn)行匹配，檢查調(diào)用的異常處理函數(shù)是否位于該表中。

????????微軟在.Net編譯器中加入了/safeSEH連接選項。

對抗SafeSEH機(jī)制的方法

• 利用未啟用SafeSEH的模塊作為跳板進(jìn)行繞過
• 利用加載模塊之外的地址進(jìn)行繞過

增強緩解體驗工具包EMET

• 增強型DEP
• SafeSEH的升級版——SEHOP
• 強制性ASLR
• HeapSpray防護(hù)