文章目錄
-
- 記憶體攻防技術
-
- 緩沖區溢出漏洞機理
- 棧溢出
- 堆溢出
- 緩沖區溢出利用限制條件
- 網絡服務滲透攻擊面
-
- Windows系統自帶服務
- Windows 微軟網絡服務的滲透攻擊
- 第三方網絡服務
- 針對工業控制系統服務軟體的滲透攻擊
- MS08-067
- Linux
-
- SMB chain_reply
- 小結
記憶體攻防技術
記憶體攻擊攻擊者利用軟體安全漏洞,構造惡意輸入導緻軟體在處理輸入資料時出現非預期錯誤,将輸入資料寫入記憶體中的某些特定敏感位置,進而劫持軟體控制流,轉而執行外部輸入的指令代碼,造成目标系統被擷取遠端控制或被拒絕服務。
根本原因是沒有在記憶體中嚴格區分資料和指令。
緩沖區溢出漏洞機理
緩沖區溢出程式向緩沖區寫資料,内容超過了程式員設定的緩沖區邊界,進而覆寫了相鄰的記憶體區域,造成覆寫程式中的其他變量甚至影響控制流。
分為棧溢出(stack overflow)和堆溢出。
棧溢出
- 覆寫緩沖區附近的程式變量,改變程式的執行流程和結果
- 覆寫棧中儲存的函數傳回位址,修改為攻擊者指定的位址
- 覆寫某個函數指針或程式異常處理結構,溢出之後目标函數或異常處理例程被執行。
堆溢出
緩沖區溢出利用限制條件
防 | 攻 |
---|---|
GS保護選項 | 利用SEH的方式繞過 |
SafeSEH | 利用未啟用的SEH子產品,将修改後的SEH例程指針指向POP POP RET(P/P/R)指令代碼塊 |
SEHOP | 僞造SEH連結清單 |
ASLR | 堆噴射 |
資料執行保護DEP | –return to libc,ROP |
DEP+ASLR | JIT Spray |
網絡服務滲透攻擊面
Windows系統自帶服務
- NetBIOS網絡服務,
UDP 137,UDP 138, TCP 139
構造名字沖突資料包,造成該服務奔潰,形成拒絕服務攻擊 MS00-047, MS03-034
- SMB網絡服務
TCP 445,TCP 139
MS10-054,MS10-012
- MSRPC網絡服務
ncacn_ip_tcp(tcp 135),ncadg_ip_udp(udp 135),ncacn_np(tcp 139 445)
MSRPC over SMB MS05-039, Server服務路徑規範化處理不當 MS08-067
- RDP 遠端桌面服務
TCP 3389
Rdp.wd.sys 核心級漏洞 MS12-020
Windows 微軟網絡服務的滲透攻擊
- IIS Internet
IPP服務整數溢出漏洞 MS08-062, FTP服務遠端代碼執行漏洞 MS09-053, IIS認證記憶體破壞漏洞 MS10-040
- MS SQL SERVER
TCP 1433, UDP 1434
SQL Slammer蠕蟲 MS02-039,DNS服務漏洞MS07-029
第三方網絡服務
- Apache
- IBM WebSphere
- Tomcat
- Oracle
- MySQL
- Serv-U
- FileZilla
針對工業控制系統服務軟體的滲透攻擊
MS08-067
- 使用 procexp 檢視
PIDsvchost.exe-k netsvcs
Linux
SMB chain_reply
- 使用
檢視pidps -ef | grep smbd
- 使用
加載調試器gdb --pid xxx
(gdb) set follow-fork-mode chile
(gdb) c
- msf設定為debug模式,使用
檢視EIP寄存器(gdb) i r $eip
gdb
i proc mappings 檢視記憶體布局
find [/SIZE-CHAR] [/MAX-COUNT] START-ADDRESS, END-ADDRESS, EXPR1 [, EXPR2 …]
find /w 以雙字格式查找
find /b 以位元組格式查找
小結
- Oracle,覆寫異常處理結構SEH
- KingView,堆溢出覆寫函數指針
- Ubuntu Samba,堆溢出覆寫析構函數