一种新的Heap区溢出技术分析.doc

一种新的Heap区溢出技术分析★前言通常的Heap区溢出只能利用覆盖某些函数指针,jumpbuf或者重要变量等方式来完成攻击。这方面内容请参看我原来翻译整理的<?id="353">:http:bss>如果系统中没有这些条件,尽管能够发生溢出,攻击者仍然很难执行自己的代码。这里介绍一种利用malloc/realloc/free来进行攻击的方法。这种方法使得Heap攻击的可能性大大增加了。注:(x86)Linux系统下测试通过。(glibc--21)★.:Traceroute"-g"问题★()或者calloc()可以动态分配一段内存,并向用户返回一个内存地址,而实际上这个地址前面通常有8个字节的内部结构,用来记录分配的块长度以及一些标志。如果这些结构的内容被覆盖,在某些malloc实现下,可能导致攻击者将任意数据写到一个任意内存地址中去,从而可能改变程序执行流向,以至执行任意代码。,这是一个非常典型的Heap溢出问题程序。它分配两块内存,然后向其中的一块拷贝了一些数据,由于没有检查数据长度,发生溢出。/*Asimplevulnerableprogramformalloc/freetest-*bywarning3@()*2001/03/05*/#include<> intmain(intargc,char*argv[]){char*buf,*buf1;buf=malloc(16);/*分配两块16字节内存*/buf1=malloc(16);if(argc>1)memcpy(buf,argv[1],strlen(argv[1]));/*这里会发生溢出*/printf("%#p[buf](%.2d):%s\n",buf,strlen(buf),buf);printf("%#p[buf1](%.2d):%s\n",buf1,strlen(buf1),buf1);printf("Frombuftobuf1:%d\n\n",buf1-buf);printf("Beforefreebuf\n");free(buf);/*释放buf*/printf("Beforefreebuf1\n");free(buf1);/*释放buf1*/return0;}/*Endofmain*/现在让我们来看看结果:[******@redhat-6malloc]$gcc--g[******@redhat-6malloc]$./vul`perl-e'print"A"x16'`0x8049768[buf](16):AAAAAAAAAAAAAAAA<--一切正常0x8049780[buf1](00):Frombuftobuf1:24<--两个buffer之间相差16+8=24字节BeforefreebufBeforefreebuf1[******@redhat-6malloc]$./vul`perl-e'print"A"x20'`0x8049768[buf](21):AAAAAAAAAAAAAAAAAAAA<--为什么会是21字节??0x8049780[buf1](00):<--溢出的数据还没有进入buf1"境内"Frombuftobuf1:24BeforefreebufBeforefreebuf1[******@redhat-6malloc]$./vul`perl-e'print"A"x21'`0x8049768[buf](21):AAAAAAAAAAAAAAAAAAAAA<--这次字节数对了0x8049780[buf1](00):Frombuftobuf1:24BeforefreebufSegmentationfault(coredumped)<--出现可爱的段错误了<--"Beforefreebuf1"怎么没有出现?说明段错误发生在执行free(buf)时[******@redhat-6malloc]$./vul`perl-e'print"A"x28'`0x8049768[buf](28):AAAAAAAAAAAAAAAAAAAAAAAAAAAA0x8049780[buf1](04):AAAA<--这回溢出的数据才算到达buf1"境内"Frombuftobuf1:24BeforefreebufSegmentationfault(coredumped)看起来,似乎这种段错误并不足以让