操作系统——缓冲区溢出

痛定思痛。 2022-02-01 00:51 289阅读 0赞

## 一、缓冲区溢出介绍 ##

1988年，世界上第一个缓冲区溢出攻击–Morris蠕虫在互联网上泛滥，短短一夜的时间全世界6000多台网络服务器瘫痪或半瘫痪，不计其数的数据和资料被毁。造成一场损失近亿美元的空前大劫难！

那么，缓冲区溢出到底是怎么一回事呢？

缓冲区溢出就好比一个杯子倒太多的水，洒出来，这叫溢出。它是一种非常普遍、非常危险的漏洞，最常出现在C/C++编写的程序中。

早期，人们还不那么重视安全的时候，往往会使用像strcpy这类不安全函数，这种函数对用户的输入不作任何检查，总之，来自不拒，那么，分配的内存空间是有限的，如果输入超长的字符串，必然会导致溢出。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70]

讲了这么多，小伙伴会不会有点晕吗？其实，缓冲区溢出很容易理解的。下面我们看一个具体的例子：

#include<stdio.h>
    
    #include<string.h>
    
    int main()
    
    { 
    
    char str[8];
    
    char input[256];
    
    gets(input);
    
    strcpy(str,input);
    
    return 0;
    
    }

这段代码存在一个经典的缓冲区溢出漏洞strcpy，为str变量分配了8个字节的空间，输入小于等于8个字符，那没问题：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 1]

但是当我们输入超长的数据时，问题出现了

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 2]

## 2、缓冲区溢出带来的危害 ##

上面是我们自己写的程序，存在漏洞这没什么大惊小怪并不会造成什么恶劣的影响。但是，如果问题出现在我们常用的一些软件，比如操作系统，浏览器，QQ，那后果不堪想象。

缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到系统权限，然后为所欲为。

利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，它可被利用来执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

有可能小伙伴你会对病毒/蠕虫没有概念，那我们来举一个简单的例子吧。平时玩电脑的时候，你正在听歌，突然间收到未知的“朋友”发给你的一个m3u音频文件，并引导你进行电击——“这首歌很好听呢，你也听听”。

凑巧的是，你电脑刚好了就装了VUPlayer.exe 这个播放器，不多想，就打开这个音乐想听听看，奇怪的是，软件闪了一下就退出了，你以为是文件损坏了了吧。其实，这个时候，你已经被黑了，没错！这就是那个播放器。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 3]

很普通的播放器，但是它存在致命缓冲区溢出漏洞。我们构造10000个A的m3u文件，然后用调试器附加VUPlayer.exe，打开文件：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 4]

我们看到下面的内存全部被字符A覆盖了，其实就是使用了不安全的lstrcpyA函数导致溢出，这个是栈溢出，还有一种是堆溢出，但本质是一样的。

证明有溢出漏洞之后，往往需要进一步分析写利用代码，不同的人目的不竟相同，类似我的很多安全爱好者之时弹弹计算器（在桌面上不停地弹出计算器工具），可是黑市上的人就会攻击你的系统，盗取机密文件等等。当然，这只是一个简单的实验。

## 3、目前常见的保护措施 ##

缓冲区攻击的日渐泛滥，微软并未任其张扬，陆陆续续推出了各种保存措施。其中重要的有GS，SafeSeh，ASLR，DEP等，接下来我们针对这些措施进行原理分析：

①.GS保护原理：

通过VC++编译器在函数前后添加额外的处理代码，前部分用于由伪随机数生成的cookie并放入.data节段，当本地变量初始化，就会向栈中插入cookie，它位于局部变量和返回地址之间在缓冲区溢出利用时，如果将恶意代码从局部变量覆盖到返回地址，那么自然就会覆写cookie，当检测到与原始cookie不同时，就会触发异常，最后终止进程。

②.SafeSeh保护

为了防止SEH节点被攻击者恶意利用，微软在．net编译器中加入/sdeseh编译选项引入SafeSEH技术。编译器在编译时将PE文件所有合法的异常处理例程的地址解析出来制成一张表，放在PE文件的数据块(LQAJ)一C0N—FIG)中，并使用shareuser内存中的一个随机数加密，用于匹配检查。

如果该PE文件不支持safesEH，则表的地址为0。当PE文件被系统加载后，表中的内容被加密保存到ntdl1．dll模块的某个数据区。在PE文件运行期间，如果发生异常需要调用异常处理例程，系统会逐个检查该例程在表中是否有记录：如果没有则说明该例程非法，进而不执行该异常例程。

③.ASLR保护

ASLR（地址空间布局随机化）技术的主要功能是通过对系统关键地址的随机化，防止攻击者在堆栈溢出后利用固定的地址定位到恶意代码并加以运行。

④.DEP保护

数据执行保护 (DEP) 是一套软硬件技术，能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码

这些保护机制的出现，一度使得攻击难度大大增加，但攻击者们也不是吃素的，他们也在研究绕过这些保护的办法。所谓千里之堤溃于蚁穴，对于上面的保护，攻击者只要找到了它们的一个弱点，便可以突破所有防线，实现攻击。攻击与防护，不断在对抗，可以预见，在未来一段时间，这种游戏还将持续上演。

但是，现在的漏洞门槛比十年前高了N倍，笔者在实际中也常常遇到有漏洞却不能利用的情况。但是也不要灰心，老的技术被淘汰，新的技术又会出来，本属正常，但像缓冲区溢出这种经典的东西，无论什么时候，都值得我们学习。

**注：**

> 本文来自：[https://zhuanlan.zhihu.com/p/21924662][https_zhuanlan.zhihu.com_p_21924662]

溢出实例见：  
[https://www.cnblogs.com/clover-toeic/p/3737011.html][https_www.cnblogs.com_clover-toeic_p_3737011.html]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70]: /images/20220201/074bd1756de8495bb3b2a7676d53e44b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 1]: /images/20220201/9aff18c339854149b40c06e2a6039b77.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 2]: /images/20220201/dbf6acac91564f96849ed5690e3dc868.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 3]: /images/20220201/77c353a63d19447e8d5a74227b51c2fd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3poYW9ob25nX2Jv_size_16_color_FFFFFF_t_70 4]: /images/20220201/77f8a7d45e354b2eb5702582e74935b6.png
[https_zhuanlan.zhihu.com_p_21924662]: https://zhuanlan.zhihu.com/p/21924662
[https_www.cnblogs.com_clover-toeic_p_3737011.html]: https://www.cnblogs.com/clover-toeic/p/3737011.html