天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

无代码执行溢出攻击的解析

2012-11-2751CTO佚名

  对于溢出攻击来说,有时除了运行溢出代码以外,我还发现了其它一些利用溢出方式,而且并不是所有的溢出都会弹出异常。某些溢出不允许攻击者获得控制权,但是肯能允许他们读取或操纵额外数据。例如,Logon.exe,这是一个允许管理员登录某个服务的工具。由于登录的密码每次都是随机产生的,很难猜测得到。如果不知道密码,要想登录服务就需要查看内存(我假设这是没有限制的)或使用某些狡猾的计策。让我们看看Logon.exe是如何工作的。

  C:Documents and SettingsCzy>Logon.exe

  USAGE: Logon.exe

  试试输入伪造的参数:

  C:Documents and SettingsCzy>Logon.exe spy W7g6351a

  Access Denied.

  再试试输入长字符串:

  有点奇怪,当全部为字母a时,服务允许你登录。再检查一下,看看这种情况是否还会发生:

  使用同一个用户名、不同的密码,登录仍然有效!只要你指定了一个长密码,无论这个密码是否正确,程序都允许你登录,这样看来,你必须不把这种行为作为一个漏洞进行汇报。让我们看看为什么会发生这样的事。

  Logon.exe中的类是如下定义的:

  www.2cto.com

  #define CREDENTIAL_LENGTH 64

  class Login {

  public:

  Login();

  void ClearCreds();

  bool IsLoggedIn();

  bool TryCreds(char *Username, char *Password);

  virtual ~Login();

  private:

  char UserName[CREDENTIAL_LENGTH];

  char PassPhrase[CREDENTIAL_LENGTH];

  char CorrectPassPhrase[CREDENTIAL_LENGTH];

  char Buffer[521];

  };

  这个类的定义中有几个非常有趣的地方:PassPhrase和CorrectPassPhrase是顺序存储在内存中的。查看一下用于检查密码是否正确的代码:

  bool Password::IsLoggedIn()

  {

  return(0==memcmp(passPhrase,CorrectPassPhrase,CREDENTIAL_LENGTH));

  }

  看起来一切正常。再来看看调用者。

  bool Login::TryCreds(char *User, char *Password)

  {

  FillMemory(UserName,CREDENTIAL_LENGTH,0x00);

  strcpy(UserName,User);

  FillMemory(PassPhrase,CREDENTIAL_LENGTH,0x00);

  strcpy(PassPhrase,Password);

  retrun IsLoggedIn();

  }

  注意到了吗?strcpy(PassPhrase,Password);这行代码看起来很可疑。如果PassPhrase[]缓冲区溢出会怎样呢?由于CorrectPassPhra[]缓冲区在内存中的位置刚好在PassPhrase[]缓冲区的后面,很显然,溢出的数据会覆盖CorrectPassPhra[]缓冲区。如果Password的字节长度为2*CREDENTIAL_LENGTH,而且该密码的前半部分和后半部分完全一样,那么不管CorrectPassPhrase的真实数值是多少,函数IsLoggedIn返回的值都是true。

  修补这个漏洞非常容易:只要检查一下输入的长度,如果过长,返回false就可以了。

  bool Login::TryCreds(char *User, char *Password)

  {

  if ((strlen(User) < CREDENTIAL_LENGTH) &&

  (STRLEN(pASSWORD) < CREDENTIAL_LENGTH)

  {

  FillMemory(UserName,CREDENTIAL_LENGTH,0x00);

  strcpy(UserName,User);

  FillMemory(PassPhrase,CREDENTIAL_LENGTH,0x00);

  strcpy(PassPhrase,Password);

  retrun IsLoggedIn();

  }

  else

  {

  retrun false;

  }

  }

  尾声:

  测试一下修订后的版本,你可以发现这个演示中的漏洞已经得到了修补。如果你经过仔细研究,其实它并不难。

本文来源:51CTO 作者:佚名

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行