我刚刚开始研究buffer overflow攻击是如何工作的,并尝试使用Visual C 2010模拟对 Windows 7 的攻击。缓冲区溢出攻击是非常人为的,它只是覆盖了返回地址到“缓冲区”局部变量的地址。缓冲区包含shellcode字符串。
无论我是否在Visual Studio 2010 Debug中运行该程序,该程序将跳转到shellcode 并几乎开始执行它,但是我收到了Access Violation错误,并且该程序不会继续执行shellcode。
为什么我收到此错误?这是对Windows中缓冲区溢出的某种保护吗?
你如何让程序在缓冲区中执行shellcode?
编辑:
汉斯(回答)是对的。这在Windows Internals 5th的安全章节中讨论,错误的原因是Microsoft的Executable Space Protection实现。如果这个问题对任何人都有帮助,那么任何赞成票都会受到赞赏。
void execute_my_shellcode()
{
char buffer[24];
memcpy(buffer, "\x6A\x21\xFF\x15\x40\x62\x40\x00\x83\xC4\x04\x6A\x0A\xFF\x15\x40\x62\x40\x00\x83\xC4\x04\xC3", 24);
printf("current return address: %p\n", *(int*)((char*)&buffer + 24 + 4));
*(int*)((char*)&buffer + 24 + 4) = (int)&buffer;
printf("return address is now : %p\n\n", (int*)*(int*)((char*)&buffer + 24 + 4) );
}
答案 0 :(得分:7)
这可能在10年前奏效了。这些明显的安全漏洞已被修补,现在处理器支持的no-execute bit是对策之一。
答案 1 :(得分:1)
还有其他针对缓冲区溢出攻击的保护可能会使这种情况变得不可能,例如在堆栈帧的每个开始和结束时都有Guard Pages。有地址空间布局随机化等。 Here是一篇关于此的文章。
事实上,你的shellcode可能包含nullbytes或其他类型的无效char,它们在转换时不会变成指令或有效地址......这是你要弄清楚的。
note 我没有给后一条建议滥用。您负责 合法并正确使用此建议。
答案 2 :(得分:1)
首先,你的shellcode中有空值。返回shellcode并查找不产生空操作码(0x00)的指令,这样就不会将shellcode视为字符串。
其次,访问冲突并不一定意味着它是某种保护方案的原因。可能(出于奇思妙想)您的返回地址或shellcode试图使EIP寄存器跳转到无法在内存中执行的位置。
你必须更多地过期。每个编译器和计算机都会有所不同。几乎所有事情都有办法。您可能希望在一般情况下对该主题进行更多研究,但我建议的第一件事是创建一个重复的返回地址,该地址指向shellcode之前缓冲区中的NOP sled,以便您的shellcode更有效地执行并且可能更多准确。
正如您所说,可执行空间保护是正确的,但我的答案在大多数情况下都是非正式和必要的。快乐的黑客行为:)
答案 3 :(得分:0)
程序到底在哪里?您是否尝试使用OllyDbg逐步执行汇编指令,以确定您是否至少开始执行缓冲区或在此之前失败?如果你甚至没有执行缓冲区中的第一条指令,那么堆栈页面(或者本例中的数据部分,因为你将它作为字符串文字提供)已被标记为不可执行,你将不得不使用另一种技术。可能有一种方法告诉Windows使堆栈页面可执行(或在本例中为数据部分)用于测试/学习目的(我知道ELF二进制文件具有可执行堆栈标志,Linux提供execstack实用程序来编辑标志)。
如果它在缓冲区中的几条指令后断开,则可能是因为缓冲区中的指令试图(间接)调用绝对地址(0xff 0x15 0x40 0x62 0x40 x00 => call dword ptr ds:[406240])并且在W7中,address space layout randomization(ASLR)可能已启用(我不确定VS2010链接器是否默认设置PE头中的IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE位。)
修改
根据您在问题中添加的其他信息,我的第一段中提到的不可执行堆栈的问题似乎是罪魁祸首。但是,即使你解决了第二个问题可能仍然是一个问题,因为你不知道如果ASLR被启用将在0x00406240处。