棧溢出(stack smashing)

未檢查輸入緩沖區(qū)長度，導(dǎo)致數(shù)組越界，覆蓋棧中局部變量空間之上的棧楨指針%ebp以及函數(shù)返回地址retaddr，當(dāng)函數(shù)返回執(zhí)行ret指令時，retaddr從棧中彈出，作為下一條指令的地址賦給%eip寄存器，繼而改變原程序的執(zhí)行流程指向我們的shellcode.

堆溢出(malloc/free heap corruption)

一種是和傳統(tǒng)的棧溢出一樣，當(dāng)輸入超出malloc()預(yù)先分配的空間大小，就會覆蓋掉這段空間之后的一段存儲區(qū)域，如果該存儲區(qū)域有一個重要的變量比如euid，那么我就可以用它來攻擊。另一種是典型的double-free堆腐敗，在內(nèi)存回收操作中，合并相鄰空閑塊重新插入雙向鏈表時會有一個寫4字節(jié)內(nèi)存的操作，如果弱點程序由于編程錯誤free()一個不存在的塊，我們就可以精心偽造這個塊，從而覆蓋任何我們想要的值：函數(shù)的返回地址、庫函數(shù)的plt地址等。

格式化字符竄漏洞(format string vulnerability)

如果格式竄由用戶定制，攻擊者就可以任意偽造格式竄，利用*printf()系列函數(shù)的特性就可以窺探堆棧空間的內(nèi)容，超常輸入可以引發(fā)傳統(tǒng)的緩沖區(qū)溢出，或是用“%n”覆蓋指針、返回地址等。

整形變量溢出(integer variable overflow)

利用整數(shù)的范圍、符號等問題觸發(fā)安全漏洞，大多數(shù)整形溢出不能直接利用，但如果該整形變量決定內(nèi)存分配等操作，我們就有可能間接利用該漏洞。

其他的攻擊手法(others)

只能算是手法，不能算是一種單獨的類別。利用ELF文件格式的特性如：覆蓋。plt(過程連接表)、。dtor(析構(gòu)函數(shù)指針)、。got(全局偏移表)、return-to-libc(返回庫函數(shù))等的方式進行攻擊。

一、編譯保護技術(shù)

Stackguard

因為緩沖區(qū)溢出的通常都會改寫函數(shù)返回地址，stackguard是個編譯器補丁，它產(chǎn)生一個"canary"值(一個單字)放到返回地址的前面，如果當(dāng)函數(shù)返回時，發(fā)現(xiàn)這個canary的值被改變了，就證明可能有人正在試圖進行緩沖區(qū)溢出攻擊，程序會立刻響應(yīng)，發(fā)送一條入侵警告消息給syslogd，然后終止進程。

"canary"包含：NULL(0x00)， CR(0x0d)， LF (0x0a) 和 EOF (0xff)四個字 符，它們應(yīng)該可以阻止大部分的字符串操作，使溢出攻擊無效。一個隨機數(shù)canary在程序執(zhí)行的時候被產(chǎn)生。所以攻擊者不能通過搜索程序的二進制文件得到"canary"值。如果/dev/urandom存在，隨機數(shù)就從那里取得。否則，就從通過對當(dāng)前時間進行編碼得到。其隨機性足以阻止絕大部分的預(yù)測攻擊。

ImmUnix系統(tǒng)為采用stackguard編譯的Red Hat Linux，但stackguard所提供的保護并非絕對安全，滿足一些條件就可以突破限制：如覆蓋一個函數(shù)指針、可能存在的exit()或_exit()系統(tǒng)調(diào)用地址、GOT等。Stackguard官方鏈接：http://immUnix.org/

Stackshield

StackShield使用了另外一種不同的技術(shù)。它的做法是創(chuàng)建一個特別的堆棧用來儲存函數(shù)返回地址的一份拷貝。它在受保護的函數(shù)的開頭和結(jié)尾分別增加一段代碼，開頭處的代碼用來將函數(shù)返回地址拷貝到一個特殊的表中，而結(jié)尾處的代碼用來將返回地址從表中拷貝回堆棧。

因此函數(shù)執(zhí)行流程不會改變，將總是正確返回到主調(diào)函數(shù)中。在新的版本中已經(jīng)增加了一些新的保護措施，當(dāng)調(diào)用一個地址在非文本段內(nèi)的函數(shù)指針時，將終止函數(shù)的執(zhí)行。Stackshield無法防御只覆蓋%ebp的單字節(jié)溢出，同樣，我們也可以通過覆蓋其他的ELF結(jié)構(gòu)來繞過限制。

二、庫函數(shù)鏈接保護

Formatguard

Formatguard是個Glibc的補丁，遵循GPL，它使用特殊的CPP(gcc預(yù)編譯程序)宏取代原有的*printf()的參數(shù)統(tǒng)計方式，它會比較傳遞給*printf的參數(shù)的個數(shù)和格式竄的個數(shù)，如果格式竄的個數(shù)大于實際參數(shù)的個數(shù)，就判定為攻擊行為，向syslogd發(fā)送消息并終止進程。如果弱點程序調(diào)用Glibc以外的庫，formatguard就無法保護。

Libsafe

Libsafe是一個動態(tài)鏈接庫，在標準的C庫之前被加載，主要加固了gets()，strcpy()，strcat()，sprintf()……等容易發(fā)生安全問題的C函數(shù)，它設(shè)計為只針對stack smashing && format string類型的攻擊。

三、棧不可執(zhí)行

Solar designer’s nonexec kernel patch

從名字可以看出這是一個Linux上的內(nèi)核補丁，該補丁最主要的特性是：用戶區(qū)堆棧不可執(zhí)行[Non-executable User Stack]由于x86 CPU上并沒有提供頁(page)執(zhí)行的bit位，所以該補丁通過減小代碼段的虛擬地址來區(qū)分數(shù)據(jù)段和代碼段，程序執(zhí)行流返回 0xC0000000以下一段用戶堆?？臻g的操作都被認為是緩沖區(qū)溢出攻擊行為，隨即產(chǎn)生一個通用保護異常而終止進程。

這樣把shellcode安置在buffer或環(huán)境變量(都位于堆棧段)的exploit都會失效。當(dāng)然其安全也不是絕對的，利用PLT返回庫函數(shù)的文章里詳細描述了突破該補丁的攻擊方法。該補還有一些其他的特性：動態(tài)鏈接庫映射到地址低端(0x00開始)、限制符號鏈接攻擊、/tmp目錄限制、/proc目錄限制、execve系統(tǒng)調(diào)用加固等。

Solaris/SPARC nonexec-stack protection

在Solaris/SPARC下可以通過去掉堆棧的執(zhí)行權(quán)限來禁止堆棧段執(zhí)行，方法如下，在/etc/system中加入兩條語句：Set noexec_user_stack = 1Set noexec_user_stack_log = 1第一條禁止堆棧執(zhí)行，第二條記錄所有嘗試在堆棧段運行代碼的活動。Reboot之后才會生效。所有只讓棧不可執(zhí)行的保護是有限的。Return-to-libc、fake frame之類的技術(shù)都可以突破限制，不過棧不可執(zhí)行的保護已經(jīng)極大了提升了攻擊難度。

Unix下的緩沖區(qū)溢出的防御還有很多內(nèi)容，希望大家多多掌握，我們還會在以后的文章中繼續(xù)向大家介紹。

【編輯推薦】

1. Unix系統(tǒng)的安全策略
2. UNIX系統(tǒng)安全危機評估
3. Unix系統(tǒng)的安全策略之常用命令解析