防缓冲区溢出工具StackShield分析

最新推荐文章于 2021-11-30 10:21:52 发布
最新推荐文章于 2021-11-30 10:21:52 发布
阅读量2.7k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/softee/article/details/16973729
版权

StackShield是一个防止缓冲区溢出的工具。主要是通过数组来保存返回地址,避免stack smashing攻击。stack smashing攻击如下图所示。图中展示的是x86下的一个栈帧结构,攻击者利用C语言中不检查数组边界的特点,在往数组局部变量写值的时候,写越界,以特定的值覆盖返回地址,从而达到在程序返回时执行恶意代码的目的。

StackShield的防护思路是,另外开辟一个数组保存返回地址,在函数返回时从数组中恢复返回地址,从而达到保护返回地址的目的,如下图所示。

其程序的主要结构如下所示:

 

 

其主要文件及其相关关系如下所示。

addrcallcheck.h

定义一个全局变量shielddatabase

const char accheader[] =

"#-----------------------------------------\n"

".data\n"

".comm shielddatabase,4,4\n"

"#-----------------------------------------\n";

 

把该全局变量的值与寄存器相比,如果不同,则报错。

const char acccall[] =

"#-----------------------------------------\n"

"       cmpl $shielddatabase,<REGISTER>\n"

"       jbe .LSHIELDCALL<CALLCOUNT>\n"

"       movl $1,%eax\n"

"       movl $-1,%ebx\n"

"       int $0x80\n"

".LSHIELDCALL<CALLCOUNT>:\n"

"#-----------------------------------------\n";

retrangecheck.h

定义一个全局变量shielddatabase

const char rrcheader[] = /* Identical to accheader */

"#-----------------------------------------\n"

".data\n"

".comm shielddatabase,4,4\n"

"#-----------------------------------------\n";

 

把该全局变量的值与寄存器相比,如果不同,则报错

const char rrcepilog[] =

"#-----------------------------------------\n"

"       cmpl $shielddatabase,(%esp)\n"

"       jbe .LSHIELDRETRANGE<EPILOGCOUNT>\n"

"       movl $1,%eax\n"

"       movl $-1,%ebx\n"

"       int $0x80\n"

".LSHIELDRETRANGE<EPILOGCOUNT>:\n"

"#-----------------------------------------\n";

globalretstack.h

定义三个全局变量:retptr,指向返回数组的当前指针;rettop,指向返回地址栈顶的指针;retarray,指向返回数组的指针(栈底);

const char grsheader[] =

"#-----------------------------------------\n"

".data\n"

".comm retptr,4,4\n"

".comm rettop,4,4\n"

".comm retarray,<BUFFSIZE>,4\n"

"#-----------------------------------------\n";

 

如果当前栈指针小于等于栈顶(栈是向下增长),则把当前的返回地址加入到数组中去;

const char grsprolog[] =

"#-----------------------------------------\n"

"        pushl %eax\n"

"        pushl %edx\n"

"        movl retptr,%eax\n"

"        cmpl %eax,rettop\n"

"        jbe .LSHIELDPROLOG<PROLOGCOUNT>\n"

"        movl 8(%esp),%edx\n"

"        movl %edx,(%eax)\n"

".LSHIELDPROLOG<PROLOGCOUNT>:\n"

"        addl $4,retptr\n"

"        popl %edx\n"

"        popl %eax\n"

"#-----------------------------------------\n";

 

如果当前指针小于等于栈顶指针,则把当前指针所指向的值写回栈中;

const char grsepilog[] =

"#-----------------------------------------\n"

"        pushl %eax\n"

"        pushl %edx\n"

"        addl $-4,retptr\n"

"        movl retptr,%eax\n"

"        cmpl %eax,rettop\n"

"        jbe .LSHIELDEPILOG<EPILOGCOUNT>\n"

"        movl (%eax),%edx\n"

"        movl %edx,8(%esp)\n"

".LSHIELDEPILOG<EPILOGCOUNT>:\n"

"        popl %edx\n"

"        popl %eax\n"

"#-----------------------------------------\n";

 

在函数的main入口处,为retptrrettop赋值;

const char grsmainprolog[] =

"#-----------------------------------------\n"

"        movl $retarray,retptr\n"

"        movl $retarray,rettop\n"

"        addl $<BUFFSIZE>,rettop\n"

"#-----------------------------------------\n";

 

检查堆栈中的返回地址是否与当前指针指向的返回地址是否一致,判断其是否被修改

const char grsdetectattackepilog[] =

"#-----------------------------------------\n"

"        pushl %eax\n"

"        pushl %edx\n"

"        addl $-4,retptr\n"

"        movl retptr,%eax\n"

"        cmpl %eax,rettop\n"

"        jbe .LSHIELDEPILOG<EPILOGCOUNT>\n"

"       movl (%eax),%edx\n"

"       cmpl %edx,8(%esp)\n"

"   je .LSHIELDEPILOG<EPILOGCOUNT>\n"

"   movl $1,%eax\n"

"   movl $-1,%ebx\n"

"   int $0x80\n"

".LSHIELDEPILOG<EPILOGCOUNT>:\n"

"        popl %edx\n"

"        popl %eax\n"

"#-----------------------------------------\n";

 

在向当前的retptr中写入当前堆栈返回值的时候,增加检查是否越界的功能(prolog,前序)

const char grsanticrashprolog[] =

"#-----------------------------------------\n"

"        pushl %eax\n"

"        pushl %edx\n"

"   cmpl $0xFFFFFFFF,retptr\n"

"   je .LSHIELDANTICRASHPROLOG<PROLOGCOUNT>\n"

"       movl retptr,%eax\n"

"       cmpl %eax,rettop\n"

"       jbe .LSHIELDPROLOG<PROLOGCOUNT>\n"

"       movl 8(%esp),%edx\n"

"       movl %edx,(%eax)\n"

".LSHIELDPROLOG<PROLOGCOUNT>:\n"

"       addl $4,retptr\n"

".LSHIELDANTICRASHPROLOG<PROLOGCOUNT>:\n"

"        popl %edx\n"

"        popl %eax\n"

"#-----------------------------------------\n";

 

在向当前的retptr中写入当前堆栈返回值的时候,增加检查是否越界的功能(epilog

const char grsanticrashepilog[] =

"#-----------------------------------------\n"

"   cmpl $0xFFFFFFFF,retptr\n"

"   je .LSHIELDEPILOG<EPILOGCOUNT>\n"

"#-----------------------------------------\n";

程序运行分析

程序的选项主要包括以下几类:

1.  -canticrash防止指针越界造成崩溃。

2.  -ddetectattack,当攻击发生时,也就是数组中保存的返回地址和堆栈指针中的返回地址不一致时,终止程序。如果没有这个选项,则直接使用数组的保存的返回地址,而不去计较是否一致。

3.  -faddrcallcheck

4.  –gglobalretstack

5.  –rretrangecheck

6.  –e,指定入口函数,从该函数起,启动返回地址检查机制。 

 

 

 

softee
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#编写的缓冲区溢出工具(源码)
11-05
war-ftp的一个版本中存在缓冲区溢出漏洞。这里利用C#编写了一个完整的利用工具(有源码),首先通过telnet登录到war-ftp服务器,然后向其发送超长字符串,程序崩溃。经过调试(实验报告中有详细的调试过程,压缩包里有调试工具和脚本),构造了shellcode(报告中详细叙述了构造过程)再发送给war-ftp,将会弹出计算器,目标实现。
缓存区溢出漏洞工具Doona
weixin_34380948的博客
04-13 134
2019独角兽企业重金招聘Python工程师标准>>> ...
缓存区溢出检测工具BED
04-12 481
缓存区溢出检测工具BED 缓存区溢出(Buffer Overflow)是一类常见的漏洞,广泛存在于各种操作系统和软件中。利用缓存区溢出漏洞进行攻击,会导致程序运行失败、系统崩溃。渗透测试人员利用这...
ELK StackShield介绍
weixin_34007879的博客
10-23 120
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 elk是日志分析的利器,但是就el...
缓冲区溢出工具实践,华工信息安全实验
05-06 1191
参考博文:http://ftcl.hit.edu.cn/main/?p=585 原文代码基本都漏掉转移符号"\",还有个不明所以的amp,应该是html代码复制时候带的垃圾 如果需要代码可以复制我下面的代码 您重新编译的代码大概跟我的代码,在虚拟地址空间中的地址是不一样的。也就是说应该不会是00401344 编码平台 : OS:Windows7 IDE:Codeblocks +
论文研究-一种抗地址淹没的缓冲区栈溢出算法.pdf
07-22
通过分析缓冲区溢出攻击的方法和特点,提出一种基于StackShield改进的RetProtect算法。首先利用IDA Pro对源程序反汇编分析,然后建立新的库函数,并通过修改GCC源代码来实现程序执行时对函数返回地址的备份的方法来...
Four different tricks to bypass StackShield and StackGuard protection
10-29
Four different tricks to bypass StackShield and StackGuard protection Four different tricks to bypass StackShield and StackGuard protection Four different tricks to bypass StackShield and StackGuard ...
基于Linux内核的页面不可执行的研究与实现.pdf
09-07
【基于Linux内核的页面不可执行的研究与实现】 ...它为缓冲区溢出攻击提供了一种新的、强有力的工具,对于提高系统的安全性具有重要意义。同时,这也为操作系统级别的安全护提供了新的思路和实践案例。
StackGuard 漏洞
12-05
在特定的条件下,攻击者可以让字符缓冲区溢出,用一个特定的值来覆盖指针 p,改变返回地址的值,从而跳到修改过的地址去执行,就象普通的溢出攻击一样。 这个漏洞的关键点在于攻击者可以绕过随机字堆栈保护机制,...
论文研究-CBOC:一个C语言缓冲区溢出漏洞有效检测工具 .pdf
08-20
CBOC:一个C语言缓冲区溢出漏洞有效检测工具,陈石坤,李舟军,冲区溢出是C程序中很多安全问题的根源。本文给出一个C语言缓冲区溢出漏洞的有效检测工具CBOC(C Buffer Overflow Checker)。该工具基于符��
buffer-overflow:一些可能有助于编写缓冲区溢出漏洞利用的工具
03-18
缓冲区溢出 一些工具可能有助于编写缓冲区溢出漏洞利用。 随意修改代码! #fuzzer.py一个模糊器 #fuzzer_simpler.py代码最少的模糊器。
分析缓冲区溢出漏洞并编写shellcode进行简单攻击(OllyDbg+VC6.0+WindowsXP)
qq_43685399的博客
07-12 2295
测试环境 操作系统:WindowsXP 选用工具:VC6.0、OllyDbg 因为古旧的系统漏洞比较多,所以本人在VMware Workstation虚拟机上装了XP系统来测试,VC6.0是写代码用的,OllyDbg是测试用的,工具就自己去下载吧 具体测试步骤 一、编写缓冲区溢出的代码并执行 代码如下: #include <stdio.h> #include <string.h> char name[] = "ABCDEFGHIJKLMNOPQRST"; int main()
[安全护]StackGuard和StackShield
weixin_34032792的博客
05-05 612
StackGuard:提供了两种技术来保证攻击者不能伪造canary值:"终止符"和"随机数". StackShield使用了另外一种不同的技术。它的做法是创建一个特别的堆栈用来储存函数返回地址的一份拷贝。它在受保护的函数的开头和结尾分别增加一段代码,开头处的代码用来将函数返回地址拷贝到一个特殊的表中,而结尾处的代码用来将返回地址从表中拷贝回堆栈。因此函数执行流程不会改变,将总是正确返回到主调函...
windows 缓冲区溢出 简单例子
ayangmax的博客
05-19 1095
#include //#define sz1 "hello" int main(int argc, char *argv[]) { //char sz1[8] = "hello"; //const char *sz1 = "hello"; char sz1[8]; char sz2[8]; memset(sz1,0x00,sizeof(sz1));
11. wireshark学习-使用wireshark分析缓冲区溢出漏洞
Daylight
07-13 1544
11. 使用wireshark分析缓冲区溢出漏洞 本文内容: 缓冲区溢出攻击的相关理论; 模拟缓冲区溢出攻击; 使用Wireshark分析缓冲区溢出攻击; 使用Wireshark检测远程控制; Wireshark数据包查找功能 11.1缓冲区溢出攻击的相关理论 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出进行攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,攻击者可以利用它执行非授权指令,甚至可以取得系统特权,进而执行各种操作。考虑到目前
Shield在ELK Stack中的权限保护实例
weixin_34266504的博客
10-23 135
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在上一篇博客中ELK Stack之...
缓冲区溢出漏洞浅析(三)
manok的专栏
10-08 1201
前面发了两篇都是关于C语言缓冲区溢出的文章,有的同行问,是否C#、Java语言有缓冲区溢出问题吗?答案是否定的。由于C#、Java语言需要虚拟机去执行,属于托管语言,虚拟机会自动检查边界。一般不会出现缓冲区溢出。但是通过JNI调用本机代码、以及JVM/CLR/ETC等虚拟机可能出现这些问题。所以缓冲区溢出最突出的语言是C和C++。 下面我们再深一步了解缓冲区溢出的原理。 缓冲区是一块连续的...
缓冲区溢出漏洞调试与分析
ChuMeng1999的博客
11-30 4058
目录预备知识实验目的实验环境实验步骤一实验步骤二 预备知识 war-ftpd 1.65存在缓冲区溢出漏洞,当登录时用户名过长时就会发生缓冲区溢出,程序进而崩溃。本实验正是利用这一点使用调试工具cdb找出溢出时相应寄存器记录的地址,通过利用shellcode构造用户名字符串,使得war-ftpd程序接收此用户名时发生溢出进而执行shellcode,达到攻击目的。 实验目的 1)掌握缓冲区溢出原理; 2)掌握常用的缓冲区溢出方法; 3)理解缓冲区溢出的危害性; 4)掌握范和避免缓冲区溢出攻击的方法。 实验环境
从程序员角度看ELF
xu的blog
05-01 1033
创建时间:2001-09-15文章属性:翻译文章来源:http://www.xfocus.org文章提交:alert7 (sztcww_at_sina.com)从程序员角度看ELF原文:《 ELF:From The Programmers Perspective》作者:Hongjiu Lu      NYNEX Science & Technology, Inc.      500 Westch
互联网生态峰会PPT模板
最新发布
07-13
【作品名称】:互联网生态峰会PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值