文章目录
内存攻防技术
内存攻击攻击者利用软件安全漏洞,构造恶意输入导致软件在处理输入数据时出现非预期错误,将输入数据写入内存中的某些特定敏感位置,从而劫持软件控制流,转而执行外部输入的指令代码,造成目标系统被获取远程控制或被拒绝服务。
根本原因是没有在内存中严格区分数据和指令。
缓冲区溢出漏洞机理
缓冲区溢出程序向缓冲区写数据,内容超过了程序员设定的缓冲区边界,从而覆盖了相邻的内存区域,造成覆盖程序中的其他变量甚至影响控制流。
分为栈溢出(stack overflow)和堆溢出。
栈溢出
- 覆盖缓冲区附近的程序变量,改变程序的执行流程和结果
- 覆盖栈中保存的函数返回地址,修改为攻击者指定的地址
- 覆盖某个函数指针或程序异常处理结构,溢出之后目标函数或异常处理例程被执行。
堆溢出
缓冲区溢出利用限制条件
防 | 攻 |
---|---|
GS保护选项 | 利用SEH的方式绕过 |
SafeSEH | 利用未启用的SEH模块,将修改后的SEH例程指针指向POP POP RET(P/P/R)指令代码块 |
SEHOP | 伪造SEH链表 |
ASLR | 堆喷射 |
数据执行保护DEP | –return to libc,ROP |
DEP+ASLR | JIT Spray |
网络服务渗透攻击面
Windows系统自带服务
- NetBIOS网络服务,
UDP 137,UDP 138, TCP 139
构造名字冲突数据包,造成该服务奔溃,形成拒绝服务攻击 MS00-047, MS03-034
- SMB网络服务
TCP 445,TCP 139
MS10-054,MS10-012
- MSRPC网络服务
ncacn_ip_tcp(tcp 135),ncadg_ip_udp(udp 135),ncacn_np(tcp 139 445)
MSRPC over SMB MS05-039, Server服务路径规范化处理不当 MS08-067
- RDP 远程桌面服务
TCP 3389
Rdp.wd.sys 内核级漏洞 MS12-020
Windows 微软网络服务的渗透攻击
- IIS Internet
IPP服务整数溢出漏洞 MS08-062, FTP服务远程代码执行漏洞 MS09-053, IIS认证内存破坏漏洞 MS10-040
- MS SQL SERVER
TCP 1433, UDP 1434
SQL Slammer蠕虫 MS02-039,DNS服务漏洞MS07-029
第三方网络服务
- Apache
- IBM WebSphere
- Tomcat
- Oracle
- MySQL
- Serv-U
- FileZilla
针对工业控制系统服务软件的渗透攻击
MS08-067
- 使用 procexp 查看
svchost.exe-k netsvcs
PID
Linux
SMB chain_reply
- 使用
ps -ef | grep smbd
查看pid - 使用
gdb --pid xxx
加载调试器
(gdb) set follow-fork-mode chile
(gdb) c
- msf设置为debug模式,使用
(gdb) i r $eip
查看EIP寄存器
gdb
i proc mappings 查看内存布局
find [/SIZE-CHAR] [/MAX-COUNT] START-ADDRESS, END-ADDRESS, EXPR1 [, EXPR2 …]
find /w 以双字格式查找
find /b 以字节格式查找
小结
- Oracle,覆盖异常处理结构SEH
- KingView,堆溢出覆盖函数指针
- Ubuntu Samba,堆溢出覆盖析构函数