初遇缓冲区溢出(Stack Buffer Overflow)攻击
那天晚上,某种业务有好几个服务端进程在短时间内崩溃了。
同事上去看了,发现都是在处理来自同一个地方东莞的同一个IP地址过来的请求时发生core dump。
恩,诡异,当时我们先跟运维同事联系,在该业务的几个服务器上 临时紧急禁掉该IP的连接。
我也上去看了,用GDB查看core文件。看了trace back基本上知道,都是在处理某个类型的消息请求时出的问题。再查看了一下当时的一些临时变量,然后明白了。
接收到客户端发来的这种类型的请求消息后,进入处理函数。 服务端会根据请求消息中的一个字段 ,做某种计算,计算的结果放到一个函数中声明的长度为100的数组。
计算的结果的长度和请求消息中的字段的长度有关,请求消息中的数据越长,计算结果越长。
调试器中显示,当时计算结果有576个字节,显然长度为100字节的数组装不下(正常客户端发的都不会超过这个长度), 导致栈空间被胡写....
这不就是经常听说的缓冲区溢出攻击吗? 只要它重写了该函数本次调用的返回地址,就可以返回后执行攻击者的代码。而服务端进程基本都以root权限运行,所以这样攻击者可以做很多事情。
不过还好,正因为缓冲区溢出很经典,C/C++先驱们也有了一些对策。GCC编译器做了Stack-Smashing Protector 机制,在单字节数组后插入一些金丝雀(Canary, 因为大家在矿井作业时,会用金丝雀来预警,如果金丝雀死了,那证明有毒气),如果canary被改掉,在函数执行完成返回之前会检查一下Canary,发现被篡改则不再继续执行,中止程序,避免执行攻击者的代码。
所以我们的程序出现这个log:
“*** stack smashing detected ***
并且进程崩溃掉了,证明GCC的保护起作用了。缓冲区溢出攻击没有得逞。
GCC编译器的Stack-Smashing Protector 机制由编译选项-fstack-protector(或-fstack-protector-all)来开启,在那之前我们并没有刻意增加这个编译选项,幸好Ubuntu linux默认是打开-fstack-protector选项的。
http://soc.if.usp.br/doc/gcc-4.1-doc/gcc.html:
On Ubuntu the default is -fstack-protector, to turn it off use -fno-stack-protector.
事后,增加简单的长度检查就可以修复这个问题。因为这个代码来自服务区比较公用的一个基本库,所以我猜测其他和客户端直接连接的服务端进程也存在类似问题。虽然邮件抄送给大佬,不过没引起重视,不久之后其他组果然也发现类似问题.....
其实,平时在代码中有访问数组的地方,可以多考虑边界检查,从编程规范上预防类似问题。
-------------------------------------------------------------------------------------------------
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
