【正文】 言的 setjmp/longjmp是一個檢驗 /恢復系統(tǒng)，可以在檢驗點設(shè)定 setjmp（ buffer），用 longjmp（ buffer）恢復檢驗點。 – 修改程序返回地址 ：將預(yù)先設(shè)定好的地址替換程序原來的返回地址。 ? （ 3）控制程序跳轉(zhuǎn)，改變程序流程。／bin／ sh39。 – 利用已經(jīng)有的代碼 ：攻擊者想要的攻擊代碼已經(jīng)在被攻擊的程序中了，攻擊者 所要做的只是對代碼傳遞一些參數(shù)，然后使程序跳轉(zhuǎn)到我們的目標。攻擊者向被攻擊的程序輸入一個字符串，程序會把這個字 符串放到緩沖區(qū)里。 ? （ 2）將需要執(zhí)行的代碼放到目標系統(tǒng)的內(nèi)存。 77 緩沖區(qū)溢出攻擊 ? 入侵者為了修改以較高權(quán)限運行的程序跳轉(zhuǎn)指令的地址，一般要經(jīng)過如下 3步。如果入侵者獲得了某臺服務(wù)器的一個普通權(quán)限賬號，而服務(wù)器上某個以 root或 system權(quán)限運行的程序存在緩沖溢出漏洞，入侵者就可以利用該漏洞生成的 Shell去獲得 root權(quán)限。 如果入侵者在預(yù)定的地址中放置代碼用于產(chǎn)生一個 Shell，則當程序被溢出時，入侵者將獲得一個 Shell。然而這一要求往往被人們忽視，從而給黑客有機可乘。因此，數(shù)據(jù)棧的溢出，會覆蓋程序的返回地址 ，從而造成如下局面：要么程序會取到一個錯誤地址，要么將因程序無權(quán)訪問該地址而產(chǎn)生一個錯誤。當發(fā)生數(shù)據(jù)棧溢出時，多余的內(nèi)容就會越過棧底，覆蓋棧底后面的內(nèi)容。因此， 在函數(shù)中訪問實參和局部變量時都是以堆棧幀指針為基址，再加上一個偏移。一個堆棧幀通常都有兩個指針，其中一個稱為 堆棧幀指針 ，另一個稱為 棧頂指針 。 ? return 0。 ? } ? int main(int argc, char* argv[]) ? { ? int result = func(1, 2)。 典型的堆棧幀結(jié)構(gòu) 74 函數(shù)調(diào)用示例 ? 函數(shù)： ? int func(int a, int b){ ? int retVal = a + b。堆棧中存放的是與每個函數(shù)對應(yīng)的堆棧幀。 發(fā)生緩沖區(qū)溢出時，就會覆蓋下一個相鄰的內(nèi)存塊，導致一些不可預(yù)料的結(jié)果 ：也許程序可以繼續(xù)，也許程序的執(zhí)行出現(xiàn)奇怪現(xiàn)象，也許程序完全失敗。盡管堆棧幀結(jié)構(gòu)的引入為在高級語言中實現(xiàn)函數(shù)或過程這樣的概念提供了直接的硬件支持，但是由于將 函數(shù)返回地址 這樣的重要數(shù)據(jù) 保存在程序員可見的堆棧 中。 72 緩沖區(qū)溢出攻擊 ? 從邏輯上講 進程的堆棧是由多個堆棧幀構(gòu)成 的，其中每個堆棧幀都對應(yīng)一個函數(shù)調(diào)用。 – } 運行這個程序可以發(fā)現(xiàn)，當輸入的字符數(shù)少時，程序運行正常；當輸入的字符數(shù)太多時（超過 8），程序就不能正常結(jié)束。 – gets(name)。 – include – int main(){ – char name[5]。 所有局部變量以及所有按值傳遞的函數(shù)參數(shù)都通過堆棧機制自動地進行內(nèi)存空間的分配 。但是，光有靜態(tài)的代碼段和數(shù)據(jù)段是不夠的，進程在運行過程中還要有其動態(tài)環(huán)境。 ?任何一個源程序通常都包括代碼段和數(shù)據(jù)段，這些代碼和數(shù)據(jù)本身都是靜態(tài)的。 69 緩沖區(qū)溢出攻擊 ? 2. 緩沖溢出的基本原理 ? 緩沖區(qū)溢出的根本原因來自 C語言（以及其后代 C++）本質(zhì)的不安全性： ?沒有邊界來檢查數(shù)組和指針的引用； ?標準 C 庫中還存在許多非安全字符串操作，如 strcpy() 、 sprintf() 、 gets() 等。根據(jù)綠盟科技提供的漏洞報告（ 2022年共發(fā)現(xiàn)各種操作系統(tǒng)和應(yīng)用程序的漏洞 1830個，其中緩沖區(qū)溢出漏洞有 432個，占總數(shù)的 %；而2022年程度嚴重、影響范圍最大的十個安全漏洞中，和緩沖區(qū)溢出相關(guān)的就有 6個。 68 緩沖區(qū)溢出攻擊 ? 緩沖溢出漏洞是一種很普遍的漏洞。目前新出現(xiàn)的 MSBLAST病毒正是利用了微軟關(guān)于 RPC接口中遠程任意可執(zhí)行代碼漏洞， “ 中招 ” 的機器會反復重啟，或者拷貝、粘貼功能不工作等現(xiàn)象?！?SQL Slammer” 蠕蟲王的發(fā)作原理，就是利用未及時更新補丁的 MS SQL Server數(shù)據(jù)庫緩沖溢出漏洞。 67 緩沖區(qū)溢出攻擊 ? 早在 1988年，美國康奈爾大學的計算機科學系研究生， 23歲的莫里斯（ Morris）利用了 UNIX fingered程序不限制輸入長度的漏洞使緩沖器溢出。這個空間是有限的。 ? 使用一次性口令。 ? 對字典或字符列表進行掃描，剔除用戶選擇的弱口令。此外，采用下面一些措施，也可以增強口令的安全性： ? 除進行口令驗證外，還應(yīng)使口令完全不可讀（包括超級用戶）。 ?循環(huán) 4步，直到口令破解成功。 64 口令攻擊 ? 3. 網(wǎng)絡(luò)服務(wù)口令攻擊 ? 網(wǎng)絡(luò)服務(wù)口令攻擊往往是一種遠程在線攻擊，攻擊過程大致如下： ?1 建立與目標網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接； ?2 選取一個用戶列表文件和一個字典文件； ?3 在用戶列表文件和一個字典文件中，選取一組用戶和口令，按照網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名和口令發(fā)給目標網(wǎng)絡(luò)服務(wù)端口。 ? 4 調(diào)用 crypt（）函數(shù)對使用規(guī)則生成的字符串進行加密變換； ? 5 用一組子程序打開口令文件，取出密文口令，與 crypt（）函數(shù)的輸出進行比較。典型的規(guī)則有： – 使用幾個單詞或數(shù)字的組合； – 大小寫交替使用； – 把單詞正向、反向拼寫后，接在一起； – 在單詞的開頭或結(jié)尾加上一些數(shù)字； – 規(guī)則可以多種多樣。 它采用逆向比較法進行口令破解。 ? 真正的加密口令一般是很難逆向破解的，黑客們常用的口令入侵工具所采用的技術(shù)是 仿真對比，利用與原口令程序相同的方法，通過對比分析，用不同的加密口令去匹配原口令 。因此，在破解口令時，需要作UnShadow變換，將 /etc/passwd與 /etc/shadow合并起來。后來由于安全的需要，把 passwd文件中與用戶口令相關(guān)的域提取出來，組織成文件 shadow，并規(guī)定只有超級用戶才能讀取。 ?搜索垃圾箱。 61 口令攻擊 ? （ 4）其他破解類型 ?社會工程學：通過對目標系統(tǒng)的人員進行游說、欺騙、利誘，獲得口令或部分。這時可以 基于詞典單詞而在單詞尾部串接幾個字母和數(shù)字 。使用強行破解法又非常費時間。窮舉破解法能發(fā)現(xiàn)所有的口令，但是破解時間很長。如果攻擊者希望在盡量短的時間內(nèi)破解口令，也可能會求助幾個有大批計算機的公司并利用他們的資源破解口令。如先從字母 a開始，嘗試aa、 ab、 ac等等，然后嘗試 aaa、 aab、 aac…… 。如果有速度足夠快的計算機能嘗試字母、數(shù)字、特殊字符所有的組合，將最終能破解所有的口令。 59 口令攻擊 ? （ 2）窮舉破解法 ?有人認為使用足夠長的口令或者使用足夠完善的加密模式，就會攻不破。此外，還有一些可以生成口令字典的程序。 ? （ 1）口令字典猜測破解法 ?攻擊者基于某些知識，編寫出口令字典，然后對字典進行窮舉或猜測攻擊。 56 口令攻擊 ? 1. 口令破解的基本技術(shù) ? 口令破解首先要獲取口令文件，然后采取一定的攻擊技術(shù)進行口令的破解。所以口令攻擊是入侵者最常用的攻擊手段。 54 入侵類攻擊 55 口令攻擊 ? 口令機制是資源訪問的第一道屏障。 ? （ 5） NIS服務(wù) ? NIS（ Network Information Service，網(wǎng)絡(luò)信息服務(wù)）是為分布式網(wǎng)絡(luò)環(huán)境設(shè)計的一個統(tǒng)一管理系統(tǒng)，它把公共的配置文件，如用戶賬號和口令文件、用戶組文件、主機名與 IP對應(yīng)文件，轉(zhuǎn)變成一種映射數(shù)據(jù)結(jié)構(gòu)。攻擊者只需實施一次轉(zhuǎn)換，就能得到目標系統(tǒng)（網(wǎng)絡(luò)）的所有主機名稱和內(nèi)部 IP地址。 53 其他信息收集類攻擊 ? （ 2） finger服務(wù) ? finger服務(wù)同 rusers 命令一樣，用于收集目標計算機上的有關(guān)用戶的信息。 52 其他信息收集類攻擊 ? 2. 利用信息服務(wù) ? （ 1） whois服務(wù) ?whois是一個客戶程序。 ? （ 5） showmount命令 ?showmount命令可以列出一臺機器上共享的所有目錄及其相關(guān)信息。 51 其他信息收集類攻擊 ? （ 3） rusers ?這個命令是 Unix命令，用于收集目標計算機上的有關(guān)用戶的信息。 50 其他信息收集類攻擊 ? 1. 利用信息獲取命令舉例 ? （ 1） ping命令 ?ping命令的基本格式： ping 主機名 ?ping還有許多高級應(yīng)用，如命令 ?ping –f 主機名 ?可以向指定主機發(fā)送大量數(shù)據(jù)，使該主機忙于回應(yīng)而死機。 ? （ 5）亂序掃描 ?亂序掃描就是對掃描的端口號集合，隨機地產(chǎn)生掃描順序，并且 每次的掃描順序不同 。根據(jù)不在線的主機，進行求逆可以獲得在線主機列表。具體方法是 使用可以穿過防火墻的 RST數(shù)據(jù)報文對網(wǎng)絡(luò)地址進行掃描 。 48 掃描器 ? （ 3）反向掃描 ?反向掃描是一種地址掃描技術(shù)，主要 用于獲得可到達網(wǎng)絡(luò)和主機的地址列表 ，借以 推斷出一個網(wǎng)絡(luò)的結(jié)構(gòu)分布圖 。 ?但是，有的系統(tǒng)不管端口打開與否，一律回復 RST。 “ TCP FIN掃描 ” 的原理是向目標端口發(fā)送 FIN報文，如果收到了 RST的回復，表明該端口沒有開放；反之（沒有回復），該端口是開放的，因為 打開的端口往往忽略對 FIN的回復 。 ?FIN是 中斷連接的數(shù)據(jù)報文 。有些入侵掃描系統(tǒng)也能檢測到這類掃描，許多過濾設(shè)備能過濾 SYN數(shù)據(jù)報文。這樣對于掃描要獲得的信息已經(jīng)足夠了，也不會在目標主機的日志中留下記錄。針對這一缺陷，便產(chǎn)生了半開放掃描 ——“ TCP SYN掃描 ” 。這種掃描方式稱為“ TCP connect掃描 ” 。 ?攻擊者進行端口掃描最常用的方法就是嘗試與遠程主機的端口建立一次正常的 TCP連接。主機 B收到主機 A的確認報文，完成第三次握手過程。主機 A接收到該確認報文，完成第二次握手。 – 主機 B如果同意連接，其 TCP就向 A發(fā)回確認報文。當它需要服務(wù)器的服務(wù)時，就要向它的 TCP發(fā)出主動連接命令，由其 TCP向主機 B的 TCP發(fā)出連接請求報文，在該連接請求報文中將同步比特位置 1，并選擇一個將要傳送的數(shù)據(jù)的序號 x。若主機 B運行一個服務(wù)器進程，則它要首先發(fā)出一個被動打開命令，要求它的 TCP準備接收客戶進程的連接請求，然后服務(wù)器進程就處于 “ 聽 ” 狀態(tài)，不斷檢測有無客戶進程發(fā)起連接的請求。 44 掃描器 ? 2. 掃描技術(shù) ? （ 1）半開放掃描 ? TCP連接通過三次握手建立。管理人員可以 通過掃描對所管理的系統(tǒng)和網(wǎng)絡(luò)進行安全審計，檢測系統(tǒng)中的安全脆弱環(huán)節(jié) 。 ? （ 3）漏洞掃描 ?漏洞是系統(tǒng)所存在的安全缺陷或薄弱環(huán)節(jié)。例如， FTP服務(wù)的端口號為 2 Tel服務(wù)的端口號為 2 DNS服務(wù)的端口號為 5 Http服務(wù)的端口號為 80等。 ?但是，由于用戶安全意識的提高，很多路由器和防火墻的規(guī)則中都增加了丟棄 ICMP回顯請求數(shù)據(jù)包，或在主機中進行了禁止請求應(yīng)答，使得地址掃描難于進行。如果 ping不到某臺主機，就表明它不在線。 42 掃描器 ? （ 1）地址掃描 ? 地址掃描就是 判斷某個 IP地址上有無活動主機，以及某臺主機是否在線 。 ? 1. 掃描類型 具體地說，掃描是通過向目標主機發(fā)送數(shù)據(jù)報文，從響應(yīng)中獲得目標主機的有關(guān)信息。 主要用于收集系統(tǒng)信息（遠程操作系統(tǒng)的識別、網(wǎng)絡(luò)結(jié)構(gòu)的分析以及其他敏感信息的收集）和發(fā)現(xiàn)漏洞 。 ?（ e）測試網(wǎng)絡(luò)接口有無被設(shè)置成混雜模式，因為雖然在非混雜模式下可以運行 Sniffer，但只有在混雜模式下才可以捕獲共享網(wǎng)絡(luò)中的所有會話。當有 Sniffer運行時，會觀察到一些異常情況，如 ?（ a）用 ping命令等測試發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)較高的丟包率，因為監(jiān)聽會使數(shù)據(jù)包不順暢傳送； ?（ b）通過帶寬控制器觀察網(wǎng)絡(luò)帶寬反常； ?（ c）使用 MD5校驗工具（如 TripWare——下載地址為 Sniffer。目前比較流行的做法是使用 SSL協(xié)議和 SSH（下在地址為 品。 ? （ 1）規(guī)劃網(wǎng)絡(luò) ?一般將網(wǎng)絡(luò)分段劃分得越細， Sniffer收集到的信息越少。為了達到好的 攻擊效果，它要被放置在下列位置： ? 被攻擊對象（主機或網(wǎng)絡(luò)）附近； ? 網(wǎng)關(guān)上。 ? （ 4） Tcpdump/Windump ?Tcpdump是一個傳統(tǒng)的嗅覺器，通過將網(wǎng)卡設(shè)置為混雜模式截取幀進行工作。 Winpcap是 Libpcap的 Win32版本。 ? （ 2） Libpcap/Winpcap ?Libpcap是 Packet Capture Library（數(shù)據(jù)包捕獲函數(shù)庫）的縮寫與重組。 37 Sniffer的工作原理 ? 2. Sniffer產(chǎn)品 ? （ 1） Sniffer Pro ?Sniffer Pro是 NAI公司開發(fā)的一種圖形界面嗅覺器。 36 Sniffer的工作原理 ? 當然，如果在 A上用 ARP命令查看 ARP高速緩存，可以發(fā)現(xiàn)網(wǎng)關(guān)地址已經(jīng)被換掉了。這樣，當 A需要同其他網(wǎng)絡(luò)中的主機進行通信時，就會依據(jù)緩存中的網(wǎng)