Board logo

标题: [溢出][转帖]堆栈溢出系列讲座(10)--总结 [打印本页]
作者: 青蛙    时间: 2007-1-19 13:48     标题: [溢出][转帖]堆栈溢出系列讲座(10)--总结

堆栈溢出系列讲座(10)--总结

 window系统下的堆栈溢出--总结
  
经过这次实战的演练,大家一定对windows下的buffer overflow有了很深的掌握了。
我们可以看到,windows下的堆栈溢出攻击和unix下的,原理基本相同。但是,
由于windows用户进程地址空间分配和堆栈处理有其独立的特点,导致了windows
环境下堆栈溢出攻击时,使用的堆栈溢出字符串,与unix下的,区别很大。这也
是我在写完linux下的堆栈溢出系列之后,另外写windows系列的原因。
  
另外,大家从破解的过程中,可以发现我一再强调windows的版本。事实上,这
也导致了windows下的exploit不具有通用性。大家的windows版本不一,
而exploit使用了很多动态链接库里面的库函数,其地址都是与dll的版本有
关系的。不同的dll版本,里面的库函数的偏移地址就可能(注意:是可能)
不同。因为windows的patch天天有,他的一些dll就更新很快。甚至可能不同
语言版本的windows,其核心dll的版本都不同。用户的dll一变更,
那么,我们的exploit里面的shellcode就要重新写。
  
为了解决这个问题,我想我们可以尽量减少固定地址的使用。即,使用
GetProcAddress来获得我们将使用的每一个系统函数,当然这就大大加长了
我们的shellcode。但是,这也无法消除对kernel32.dll的中LoadLibrary和
GetProcAddress的地址的直接引用,因为这两个是shellcode中最基本的
函数,自然就导致了对kernel32.dll版本的依赖。
  
这里奉劝大家,当你写的exploit发生无效页错误时,不要灰心。运行sice,
跟踪你的shellcode,会发现问题的根源的。
  
因此,这也回答了去年xsz,littleworm它们的问题。当时我们实验IIS4.0
的exploit总是没有成功,client端执行完了以后server端我们经常看到
access violation的框,就是因为shellcode的版本依赖问题导致的。
  
所以,对于windows下的堆栈溢出exploit,必须公开原代码,才能由其他人完成
别的版本的修改,这一点,大家以后公布exploit时,要记住。
  
说一句题外话:
很多人运行了堆栈溢出exploit以后没有成功,就认为自己的机器没有毛病。
对此,dark spyrit AKA Barnaby Jack曾有这样的建议:
If the exploit failed......
Do not determine the threat to your servers solely on the results of one
public exploit - the vulnerability exists, fix it.If you think that was
the only demonstration code floating around you need your head examined.
  
以前咱们水木黑客版97年堆栈溢出大讨论的时候,raner就很高水平的探讨过
windows下的buffer overflow。他的文章现在还在,大家可以去精华区看看。
不过当时只是探讨原理,还停留在堆栈溢出的可行性,远没有探讨利用他来攻击。
  
我也曾经以为windows的堆栈溢出攻击是不必要的。
  
后来,NT的中普通用户获取admin,我想到过仿照UNIX,搞缓冲区溢出攻击。
因为NT里面有很多系统进程,都是以system账号启动的。如果我们可以将它们
overflow,按照上面的方法,可以得到dos,(NT下是cmd.exe),将拥有
超级用户的权限。当然可以为所欲为了。
  
这只是windows NT下堆栈溢出攻击的一个应用。去年,我研究IIS4.0的溢出之后,
  
发现带有问题的windows网络服务程序导致了windows堆栈溢出,可以帮助我们
获得远程控制。才认识到windows堆栈溢出攻击将是一个很有研究价值的攻击
手段。
  
在后续的研究中,有时候因为困难几乎要放弃。好在有小懒虫(sysword),
小四(hellguard),康师傅(kxn)这些网友
给我的督促和帮助。在此感谢,同时感谢以前一起讨论过windows系列堆栈溢出
的朋友littleworm,xsz它们。

  
最后,我希望我的讲座作为抛砖引玉,能够引发大家更深入的探讨。希望大家在
看了之后,能够对windows堆栈溢出技术有一定了了解。如果大家能够提出改进的
算法,或者发现新的exploit,就真正是光大了我们黑客版的精神。
  
让我们以下面这句话共勉:
"If you assume that there';s no hope, you guarantee there will be no hope.
If you assume that there is an instinct for freedom, there are
opportunities to change things."
  






欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2