您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

黑客软件漏洞分析0基础教学 初级栈溢出 入门到地狱

时间:2022-11-10 13:56:01  来源:今日头条  作者:我不是hacker

初级栈溢出_A_初识数组越界

今夜月明星稀
本想来点大道理申明下研究思路啥的,,但稍微调整一下讲课的顺序。从今天开始,将用3~4次给大家做一下栈溢出的扫盲。
栈溢出的文章网上还是有不少的(其实优秀的也就两三篇),原理也不难,读过基本上就能够明白是怎么回事。本次讲解将主要集中在动手调试方面,更加着重实践。
经过这3~4次的栈溢出扫盲,我们的目标是:
会展溢出攻击的基本原理
能够动手调试简易的栈溢出漏洞程序,并能够利用漏洞执行任意代码(最简易的shellcode)
最主要的目的其实是激发大家的学习兴趣——寡人求学若干年,深知没有兴趣是决计没有办法学出名堂来的。

本节课的基本功要求是:会C语言就行(大概能编水仙花数的水平)
我会尽量用最最傻瓜的文字来阐述这些内存中的二进制概念。为了避免一开始涉及太多枯燥的基础知识让您失去了兴趣,我并不提倡从汇编和寄存器开始,也不想用函数和栈开头。我准备用一个自己设计的小例子开始讲解,之后我会以这个例子为基础,逐步加码,让它变得越来越像真实的漏洞攻击。
您需要的就是每天晚上看一篇帖子,然后用十分钟时间照猫画虎的在编译器里把例子跟着走一遍,坚持一个星期之后您就会发现世界真奇妙了。
不懂汇编不是拒绝这门迷人技术的理由——今天的课程就不涉及汇编——并且以后遇到问题会随时讲解滴

所以如果你懂C语言的话,不许不学,不许说学不会,也不许说难,哈哈
开场白多说了几句,下面是正题。今天我们来一起研究一段暴简单无比的C语言小程序,看看编程中如果不小心出现数组越界将会出现哪些问题,直到这个单元结束您能够用这些数组越界漏洞控制远程主机。

#include <stdio.h>
#define PASSword "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[8]; // add local buff to be overflowed
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password); //over flowed here!
return authenticated;
}
main()
{
int valid_flag=0;
char password[1024];
while(1)
{
printf("please input password: ");
scanf("%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password!nn");
}
else
{
printf("Congratulation! You have passed the verification!n");
break;
}
}
}

对于这几行简单无比的程序,我还是稍作解释。
程序运行后将提示输入密码
用户输入的密码将被程序与宏定义中的“1234567”比较
密码错误,提示验证错误,并提示用户重新输入
密码正确,提示正确,程序退出(真够傻瓜的语言)

所谓的漏洞在于verify_password()函数中的strcpy(buffer,password)调用。
由于程序将把用户输入的字符串原封不动地复制到verify_password函数的局部数组char buffer[8]中,用户的字符串可能大于8个字符。当用户输入大于8个字符的缓冲区尺寸时,缓冲区就会被撑暴——即所谓的缓冲区溢出漏洞。

冲区给撑暴了又怎么样?大不了程序崩溃么,有什么了不起!
此话不然,如果只是导致程序崩溃就不用我在这里浪费大家时间了。根据缓冲区溢出发生的具体情况,巧妙地填充缓冲区不但可以避免崩溃,还能影响到程序的执行流程,甚至让程序去执行缓冲区里的代码。
今天我们先玩一个最简单的游戏。函数verify_password()里边申请了两个局部变量
int authenticated;
char buffer[8];

当函数verify_password被调用时,系统会给它分配一片连续的内存空间,这两个变量就分布在那里(实际上就叫函数栈帧,我们后面会详细讲解),如下图

 

变量和变量紧紧地挨着。为什么紧挨着?当然不是他俩关系好,省空间啊,好傻瓜的问题,笑:)
用户输入的字符串将拷贝进buffer[8],从示意图中可以看到,如果我们输入的字符超过7个(注意有串截断符也算一个),那么超出的部分将破坏掉与它紧邻着的authenticated变量的内容!
再复习一下程序,authenticated变量实际上是一个标志变量,其值将决定着程序进入错误重输的流程(非0)还是密码正确的流程(0)

下面是比较有趣的部分:
当密码不是宏定义的1234567时,字符串比较将返回1或-1(这里只讨论1,结尾的时候会谈下-1的情况)
 

由于intel是所谓的大顶机,其实就是内存中的数据按照4字节(DWORD)逆序存储,所以authenticated为1时,内存中存的是0x01000000
 

如果我们输入包含8个字符的错误密码,如“qqqqqqqq”,那么字符串截断符0x00将写入authenticated变量
 

这溢出数组的一个字节0x00将恰好把逆序存放的authenticated变量改为0x00000000。
函数返回,main函数中一看authenticated是0,就会欢天喜地地告诉你,oh yeah 密码正确!这样,我们就用错误的密码得到了正确密码的运行效果

下面用5分钟实验一下这里的分析吧。将代码用VC6.0编译链接,生成可执行文件。注意,

VC6.0或者更早的编译器,不是7.0,不是8.0,不是.NET,不是VS2003,不是VS2005。为什么,其实不是高级的编译器不能搞,是比较难搞,它们有特殊的GS编译选项,为了不给咱们扫盲班增加负担,所以暂时飘过,用6.0!
按照程序的设计思路,只有输入了正确的密码”1234567”之后才能通过验证。程序运行情况如下:

 

要是输入几十个字符的长串,应该会崩溃。多少个字符会崩溃?为什么?卖个关子,下节课慢慢讲。现在来个8个字符的密码试下:

 

注意为什么01234567不行?因为字符串大小的比较是按字典序来的,所以这个串小于“1234567”,authenticated的值是-1,在内存里将按照补码存负数,所以实际存的不是0x01000000而是0xffffffff。那么字符串截断后符0x00淹没后,变成0x00ffffff,还是非0,所以没有进入正确分支。
总结一下,由于编程的粗心,有可能造成程序中出现缓冲区溢出的缺陷。
这种缺陷大多数情况下会导致崩溃,但是结合内存中的具体情况,如果精心构造缓冲区的话,是有可能让程序作出设计人员根本意向不到的事情的
本节只是用一个字节淹没了邻接变量,导致了程序进入密码正确的处理流程,使设计的验证功能失效。

其实作为cracker,大家可能会说这有什么难的,我可以说出一堆方法做到这一点:
直接查看PE,找出宏定义中的密码值,得到正确密码
反汇编PE,找到爆破点,JZ JNZ的或者TEST EAX,EAX变XOR EAX,EAX的在分支处改它一个字节

但是今天介绍的这种方法与crack的方法有一个非常重要的区别,非常非常重要~~

就是~~~我们是在程序允许的情况下,用合法的输入数据(对于程序来说)得到了非法的执行效果(对于程序员来说)——这是hack与crack之间的一个重要区别,因为大多数情况下hack是没有办法直接修改PE的,他们只能通过影响输入来影响程序的流程,这将使hack受到很多限制,从某种程度上讲也更加困难。这个区别将在后面几讲中得到深化,并被我不断强调。
好了,今天的扫盲课程暂时结束,作为栈溢出的开场白,希望这个自制的漏洞程序能够给您带来一点点帮助。



Tags:漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
近日,微软发布了针对Win11到Win7的11月“星期二补丁”,其中,Win11的补丁修复了AMD处理器中存在的一个漏洞。据悉,该漏洞代号为“CVE-2022-23824”,几乎影响了锐龙7000系以外,所有...【详细内容】
2022-11-11  Tags: 漏洞  点击:(16)  评论:(0)  加入收藏
初级栈溢出_A_初识数组越界今夜月明星稀 本想来点大道理申明下研究思路啥的,,但稍微调整一下讲课的顺序。从今天开始,将用3~4次给大家做一下栈溢出的扫盲。 栈溢出的文章网上还...【详细内容】
2022-11-10  Tags: 漏洞  点击:(8)  评论:(0)  加入收藏
一、扫描网站漏洞是要用专业的扫描工具,下面就是介绍几种工具Nikto这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新...【详细内容】
2022-11-08  Tags: 漏洞  点击:(7)  评论:(0)  加入收藏
浏览器漏洞存在是由于编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处。在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见...【详细内容】
2022-11-02  Tags: 漏洞  点击:(17)  评论:(0)  加入收藏
1、 什么是CSRF:CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像...【详细内容】
2022-10-14  Tags: 漏洞  点击:(23)  评论:(0)  加入收藏
记者 王蕙蓉币安因“跨链桥”漏洞被黑客攻击,创始人赵长鹏称受影响金额约为1亿美元。当地时间10月7日,币安(Binance)官网发布公告称,对于本次发生的漏洞进行道歉,并承认BNB信标链...【详细内容】
2022-10-09  Tags: 漏洞  点击:(30)  评论:(0)  加入收藏
Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过...【详细内容】
2022-09-22  Tags: 漏洞  点击:(48)  评论:(0)  加入收藏
很多人在使用手机时,经常会遇到“霸屏广告”的困扰。手机反复弹出广告,既无法关闭又找不到源头,甚至被无端扣费。近日,国家互联网信息办公室、工业和信息化部、国家市场监督管理...【详细内容】
2022-09-21  Tags: 漏洞  点击:(60)  评论:(0)  加入收藏
nessus号称是漏洞评估领域的全球黄金标准、世界上最流行的漏洞扫描程序,广受 30000 家企业的信赖,全球下载量达 2 百万。Nessus不同于传统的漏洞扫描软件,它的每个功能的设计都...【详细内容】
2022-09-20  Tags: 漏洞  点击:(84)  评论:(0)  加入收藏
威胁情报研究机构 Cisco Talos 周四表示,其观察到 APT38(又名 Lazarus)在今年 2-7 月期间,针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现,黑客利用了在 Log4j...【详细内容】
2022-09-09  Tags: 漏洞  点击:(60)  评论:(0)  加入收藏
▌简易百科推荐
初级栈溢出_A_初识数组越界今夜月明星稀 本想来点大道理申明下研究思路啥的,,但稍微调整一下讲课的顺序。从今天开始,将用3~4次给大家做一下栈溢出的扫盲。 栈溢出的文章网上还...【详细内容】
2022-11-10  我不是hacker  今日头条  Tags:漏洞   点击:(8)  评论:(0)  加入收藏
一、扫描网站漏洞是要用专业的扫描工具,下面就是介绍几种工具Nikto这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新...【详细内容】
2022-11-08  你头发掉啦  CSDN  Tags:漏洞   点击:(7)  评论:(0)  加入收藏
Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过...【详细内容】
2022-09-22  cnBeta.COM     Tags:Python漏洞   点击:(48)  评论:(0)  加入收藏
安全分析与研究专注于全球恶意软件的分析与研究前言近日,国外某人在社交媒体论坛上宣称,自己的团队入侵了LockBit勒索病毒的服务器,并找到了LockBit Black(3.0)勒索病毒的生成...【详细内容】
2022-09-21  安全分析与研究   企鹅号  Tags:LockBit   点击:(46)  评论:(0)  加入收藏
nessus号称是漏洞评估领域的全球黄金标准、世界上最流行的漏洞扫描程序,广受 30000 家企业的信赖,全球下载量达 2 百万。Nessus不同于传统的漏洞扫描软件,它的每个功能的设计都...【详细内容】
2022-09-20  程序猿研究中心  今日头条  Tags:Nessus   点击:(84)  评论:(0)  加入收藏
IT之家 9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个...【详细内容】
2022-09-07    IT之家  Tags:0 day 漏洞   点击:(59)  评论:(0)  加入收藏
log4j-2远程代码执行漏洞是因为log4j的版本中存在jndi(java Naming and Directory Interface)注入漏洞,jndi注入是利用的动态类加载机制完成攻击的,当程序将用户输入的数据进...【详细内容】
2022-09-04  互联网资讯看板     Tags:log4j2   点击:(109)  评论:(0)  加入收藏
【摘要】 漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。W...【详细内容】
2022-09-01  爱生活的VVGktA    Tags:Web漏洞   点击:(78)  评论:(0)  加入收藏
CVE-2022-22965A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific explo...【详细内容】
2022-08-31  BYsususu    Tags:漏洞   点击:(83)  评论:(0)  加入收藏
安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器...【详细内容】
2022-08-26  嘶吼RoarTalk  网易  Tags:漏洞   点击:(224)  评论:(0)  加入收藏
站内最新
站内热门
站内头条