爆款云主机2核4G限时秒杀,88元/年起!
查看详情

活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
  • 618智算钜惠季 爆款云主机2核4G限时秒杀,88元/年起!
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
      • 文档
      • 控制中心
      • 备案
      • 管理中心

      缓冲区溢出与攻防博弈

      首页 知识中心 其他 文章详情页

      缓冲区溢出与攻防博弈

      2023-07-20 06:03:30 阅读次数:67

      溢出,缓冲

      在黑客圈子中,基于内存攻击技术的攻击手段在随着时代的变化而不断发展着,内存攻击是指通过利用软件的安全漏洞,构造恶意的输入,从而使正常程序造成拒绝服务或者是远程获得控制权,内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞,时至今日能够被广泛利用的 60% 以上的高危漏洞(CVE)都属于缓冲区溢出,接下来我将总结缓冲区溢出的相关知识点。

      参考文献:msf魔鬼训练营,灰冒黑客

      缓冲区溢出: 缓冲区溢出(Buffer Overflow),分为栈溢出与堆溢出,此类漏洞的原理是,程序由于缺乏对缓冲区的边界进行合理化的检测而引起的一种异常行为,通常是程序存在过滤不严格的输入点,通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界,从而覆盖了相邻的内存区域,造成程序中的变量覆盖,甚至控制EIP指针,从而造成程序的非预期行为,而像 C/C++ 程序中本身就缺乏内在的内存安全分配与管理,因此缓冲区溢出漏洞大部分都出现在编译型语言中。

      栈溢出: 栈溢出是缓冲区溢出中最为常见的一种攻击手法,其原理是,程序在运行时栈地址是由操作系统来负责维护的,在我们调用函数时,程序会将当前函数的下一条指令的地址压入栈中,而函数执行完毕后,则会通过ret指令从栈地址中弹出压入的返回地址,并将返回地址重新装载到EIP指令指针寄存器中,从而继续运行,然而将这种控制程序执行流程的地址保存到栈中,必然会给栈溢出攻击带来可行性。

      堆溢出: 除了栈溢出还有一个堆溢出,不同于栈溢出的是,堆是在程序运行时动态的分配的,以C/C++为例,当程序员需要堆空间时,可通过new(),calloc(),malloc()等函数来进行动态的申请,申请后会返回一个内存指针,我们可以通过返回的内存指针对分配的内存进行各种操作,但在使用完堆空间时必须手动的释放,由于堆在内从中的分配位置不固定,大小比较自由,多次申请释放后可能会让内存更加凌乱,轻者内存泄漏,重者可对程序的安全造成致命的威胁。

      堆空间虽然比较自由,但在分配时也会分配连续的内存空间,如果向堆区中写入了超出其长度的内容,就会导致数据溢出,并覆盖到堆块后方的相邻空闲堆块,而后方的堆区中可能存放着指向下一个堆区的指针,如果该指针被恶意控制的话,就会出现很恶劣的后果,虽然危险,但是堆溢出的利用方式灵活性非常高,而且利用起来非常的困难,这里我们不讨论这种溢出。


      攻防双方的博弈

      在大致弄清楚缓冲区溢出攻击之后,我这里总结了攻防双方的对抗博弈过程,攻击者与防御者的对抗博弈斗争从来都没有停止过,在大环境下防御始终落后于攻击,但不论如何正是因为有攻防双方的对抗,才使得系统安全水平呈现螺旋式上升的态势,如下是攻防双方的对抗过程总结:

      首先在当前的环境下,微软的内存保护机制大致分为以下几种:

      1. 堆栈缓冲区溢出检测保护 GS (编译器)
      2. 安全结构化异常处理保护 Safe SEH
      3. 堆栈 SEH 覆盖保护 SEHOP
      4. 地址空间布局随机化保护 ASLR
      5. 堆栈数据执行保护 DEP

      堆栈缓冲区溢出检测保护 GS (编译器)

      保护原理: 该保护是通过编译器进行限制的,GS选项是微软堆栈检测仪概念的具体实现:从 Visual Studio 系列的编译器上就加入了GS保护机制且默认开启,操作系统从 WindowsXP 开始就已经全面支持该选项了。

      其原理是,将缓冲区变量置于栈帧的底部,且在缓冲区与栈指针(EBP)之间插入一个随机化的 Cookie ,在函数返回时验证该 Cookie 是否发生了改变,如果发生了改变,则说明恶意代码覆盖了该区域,从而决定不在使用该返回地址。

      绕过措施: 实际上GS保护机制并没有保护存放在栈上的 SEH 异常处理结构,因此,如果能够写入足够的数据来覆盖栈上的 SEH 记录,并在函数收场白和 Cookie 检测之前触发 SEH 异常,那么将会绕过Cookie的检查从而去执行我们构建好的异常处理例程。

      安全结构化异常处理保护 Safe SEH

      保护原理: GS保护缺陷就是可以通过覆盖SEH结构实现绕过,随后防守方就在其编译器中加入了Safe SEH保护措施,该选项需要在链接时添加 linker /safessh:yes 来开启,采用 SEH 句柄验证技术验证堆栈中SEH的合法性,来确保 SEH 结构不会被非法覆盖。

      绕过措施: 为了突破 SefeSEH 的保护,攻击者又找到了新的绕过方式,通过利用进程中未被启用的 SEH 模块,将修改后的 SEH 例程指针指向这些模块中的 (POP/RET) 等一些跳板指令,从而跳转到栈上执行 ShellCode 代码,除此之外还可以将恶意代码布置到堆中,然后修改函数指针指向堆,同样可以绕过。

      堆栈 SEH 覆盖保护 SEHOP

      保护原理: 随后防守方进一步提出了 SEHOP 技术,该技术默认从 Windows Vista 开始支持,而该技术在Win7-Win8系统上默认是关闭的,你可以通过注册表开启该选项,该技术的核心原理是在程序运行时验证整个异常处理链表结构的完整性,如果攻击者覆盖了某个异常处理程序,那么该链表将被破坏,从而抛出异常停止执行。

      绕过措施: 为了绕过SEHOP保护机制,突破方法就是进一步伪造 SEH 链,该方法的核心是能够找到合适的跳板指令,且伪造最终异常处理函数指针应该与真实的相同,伪造最终异常处理函数指针前4字节(SEH链指针)应为0xFFFFFFFF,SEH链指针地址应该能被4整除即可。

      地址空间布局随机化保护 ASLR

      保护原理: 如上所说我们需要找到合适的跳板指令,但恰巧的是防守方在此基础上又添加了一个新的技术,ASLR 地址空间布局随机化,该技术的核心原理是不让攻击者预测到布置在内存中的 ShellCode 的内存地址,因此即使溢出发生并成功填充内存,攻击者也无法得知将EIP指针跳转到何处,从而无法执行恶意代码。

      绕过措施: 针对 ASLR 技术,攻击者同样的找到了能够绕过的方式,主要是利用堆喷射技术 (Heap Spray),通过使用脚本语言在堆上布置大量的含有 ShellCode 代码的指令块,从而增加某一个内存地址位于指令块中的命中率,通过执行概率实现挫败 ASLR技术。

      堆栈数据执行保护 DEP

      保护原理: DEP 保护直接切中了缓冲区溢出要害,数据执行保护将程序数据段所在的内存页面 (堆栈) 的属性强制设为 NX (不可执行),当程序执行这些内存页面上的数据时,将报错并禁止文件的执行,当今的CPU提供了硬件方面的安全防护,同样也支持了DEP保护技术。

      绕过措施: 为了绕过DEP保护,攻击者提出了新的绕过方式 ROP(返回导向编程),它是ret2libc的继承者,攻击者在溢出程序之后,并不去执行栈中的 ShellCode 代码,而是寻找程序中已加载的特殊指令块,配合栈上的压栈参数,将这些相对孤立的指令串联起来,形成一条链,并通过调用 VirtualProtect函数,将该栈设置为可执行属性,然后在执行栈中的 ShellCode 代码。


      如今信息安全时代经历了三代:病毒时代,漏洞时代,对抗时代,而如今已进入了对抗时代,对抗不只是人与机器之间的对抗,更多的是人与人的对抗,随着 Windows 10 系统的普及,且 Windows 10 默认开启 DEP+ASLR 双向保护,在这样的环境下,想要绕过这些障碍,其难度可想而知。

      最后总结: Web安全因为其简单,热门等特点,已成为了黑客们的下一个目标,而系统漏洞的挖掘已经变得非常困难了。

      注:理解上方文字需要具有一定的汇编与系统原理相关知识。

      版权声明:本文内容来自第三方投稿或授权转载,原文地址:https://my.oschina.net/lyshark/blog/5550787,作者:LyShark,版权归原作者所有。本网站转在其作品的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如因作品内容、版权等问题需要同本网站联系,请发邮件至ctyunbbs@chinatelecom.cn沟通。

      上一篇:CE修改器入门:查找多级指针

      下一篇:(20):event()

      相关文章

      2025-05-14 09:51:15

      java循环创建对象内存溢出怎么解决

      在Java中,如果在循环中不当地创建大量对象而不及时释放内存,很容易导致内存溢出(OutOfMemoryError)。

      2025-05-14 09:51:15
      内存 , 占用 , 对象 , 引用 , 循环 , 次数 , 溢出
      2025-03-28 07:42:20

      JS十大排序之冒泡排序

      JS十大排序之冒泡排序

      2025-03-28 07:42:20
      交换 , 元素 , 变量 , 溢出 , 运算
      2025-03-24 08:45:46

      【Clng与Cint】clng与cint的区别及防溢出函数

      【Clng与Cint】clng与cint的区别及防溢出函数

      2025-03-24 08:45:46
      end , response , string , write , 溢出
      2025-03-06 09:16:11

      C语言入坑指南-缓冲区溢出

      C语言入坑指南-缓冲区溢出

      2025-03-06 09:16:11
      溢出 , 程序 , 缓冲区
      2025-02-26 07:20:01

      Python 的整数与 Numpy 的数据溢出

      Python 的整数与 Numpy 的数据溢出

      2025-02-26 07:20:01
      int , Python , 数据类型 , 整数 , 溢出 , 表示
      2025-02-21 08:58:35

      fread,fwrite数据写磁盘流程|fflush--linux编程写文件注意问题(fwrite没有直接写入文件)

      fread,fwrite数据写磁盘流程|fflush--linux编程写文件注意问题(fwrite没有直接写入文件)

      2025-02-21 08:58:35
      write , 写入 , 磁盘 , 缓冲 , 调用
      2025-01-07 09:17:42

      InnoDB架构:内存篇

      InnoDB是MySQL数据库中默认的存储引擎,它为数据库提供了事务安全型(ACID兼容)、行级锁定和外键支持等功能。

      2025-01-07 09:17:42
      InnoDB , 写入 , 哈希 , 日志 , 磁盘 , 索引 , 缓冲
      2024-12-27 08:03:29

      Java解决递归照成的堆栈溢出问题

      在Java中,递归造成的堆栈溢出问题通常是因为递归调用的深度过大,导致调用栈空间不足。解决这类问题的一种常见方法是使用非递归的方式重写算法,即使用迭代替代递归。

      2024-12-27 08:03:29
      堆栈 , 数列 , 斐波 , 溢出 , 迭代 , 递归 , 那契
      2024-10-18 09:52:01

      利用SEH进行反跟踪

      利用SEH进行反跟踪

      2024-10-18 09:52:01
      eax
      2024-06-07 07:35:04

      Java缓冲流——效率提升深度解析

      Java缓冲流——效率提升深度解析

      2024-06-07 07:35:04
      Java , 缓冲 , 缓冲区
      查看更多
      推荐标签

      作者介绍

      天翼云小翼
      天翼云用户

      文章

      33561

      阅读量

      5223180

      查看更多

      最新文章

      【Clng与Cint】clng与cint的区别及防溢出函数

      2025-03-24 08:45:46

      利用SEH进行反跟踪

      2024-10-18 09:52:01

      查看更多

      热门文章

      利用SEH进行反跟踪

      2024-10-18 09:52:01

      【Clng与Cint】clng与cint的区别及防溢出函数

      2025-03-24 08:45:46

      查看更多

      热门标签

      linux java python javascript 数组 前端 docker Linux vue 函数 shell git 节点 容器 示例
      查看更多

      相关产品

      弹性云主机

      随时自助获取、弹性伸缩的云服务器资源

      天翼云电脑(公众版)

      便捷、安全、高效的云电脑服务

      对象存储

      高品质、低成本的云上存储服务

      云硬盘

      为云上计算资源提供持久性块存储

      查看更多

      随机文章

      【Clng与Cint】clng与cint的区别及防溢出函数

      利用SEH进行反跟踪

      • 7*24小时售后
      • 无忧退款
      • 免费备案
      • 专家服务
      售前咨询热线
      400-810-9889转1
      关注天翼云
      • 旗舰店
      • 天翼云APP
      • 天翼云微信公众号
      服务与支持
      • 备案中心
      • 售前咨询
      • 智能客服
      • 自助服务
      • 工单管理
      • 客户公告
      • 涉诈举报
      账户管理
      • 管理中心
      • 订单管理
      • 余额管理
      • 发票管理
      • 充值汇款
      • 续费管理
      快速入口
      • 天翼云旗舰店
      • 文档中心
      • 最新活动
      • 免费试用
      • 信任中心
      • 天翼云学堂
      云网生态
      • 甄选商城
      • 渠道合作
      • 云市场合作
      了解天翼云
      • 关于天翼云
      • 天翼云APP
      • 服务案例
      • 新闻资讯
      • 联系我们
      热门产品
      • 云电脑
      • 弹性云主机
      • 云电脑政企版
      • 天翼云手机
      • 云数据库
      • 对象存储
      • 云硬盘
      • Web应用防火墙
      • 服务器安全卫士
      • CDN加速
      热门推荐
      • 云服务备份
      • 边缘安全加速平台
      • 全站加速
      • 安全加速
      • 云服务器
      • 云主机
      • 智能边缘云
      • 应用编排服务
      • 微服务引擎
      • 共享流量包
      更多推荐
      • web应用防火墙
      • 密钥管理
      • 等保咨询
      • 安全专区
      • 应用运维管理
      • 云日志服务
      • 文档数据库服务
      • 云搜索服务
      • 数据湖探索
      • 数据仓库服务
      友情链接
      • 中国电信集团
      • 189邮箱
      • 天翼企业云盘
      • 天翼云盘
      ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
      公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
      • 用户协议
      • 隐私政策
      • 个人信息保护
      • 法律声明
      备案 京公网安备11010802043424号 京ICP备 2021034386号