缓冲区溢出和返回libc攻击之间的区别

Question

我想了解这两种类型的攻击之间的确切区别。根据我的阅读：

缓冲区溢出：它覆盖堆栈上的 ret 地址，以指向插入恶意代码的代码的另一部分。如此有效——这里我们需要修改程序的源代码才能实际执行攻击。

返回Libc-这里不修改源代码，而是使用C库提供的运行时函数调用（也就是说打开一个shell）。这里用于函数调用的参数也被传递到覆盖缓冲区中，结束在堆栈的 ret 部分之后。

以上描述准确吗？

另一个相关问题 - 是否有可能在不实际修改原始程序源代码的情况下进行缓冲区溢出攻击？可能如果我们编写一个新程序并允许它修改内存的某些部分（这是原始程序损坏的堆栈中的新 ret 地址）。话又说回来，我认为这可能是不可能的，因为内核中的进程之间提供了内存保护。

Answer 1

在经典的缓冲区溢出漏洞利用中，溢出的堆栈缓冲区填充了要执行的机器代码（称为 shellcode，因为它通常调用 shell 进程）和新的返回地址。新的返回地址将被设计为指向溢出的堆栈缓冲区本身。显然，这需要知道或猜测受攻击进程中堆栈缓冲区的地址。

在那些日子里，进程的内存布局通常是高度确定性的 - 攻击者通常可以很好地预测堆栈缓冲区的位置（特别是如果他们确切地知道正在攻击的目标软件的版本）。为了在涉及一些猜测时提高成功的机会，活动 shellcode 之前通常会出现大量不执行任何有用操作的可执行机器代码 - 称为“NOP sled”或“NOP slip”，其中“NOP”是执行“无操作”的机器代码指令的典型名称。返回到 NOP 雪橇中任何位置的点都会达到预期的效果。

另一方面，“返回 libc”漏洞不会导致被劫持的进程直接返回到 shellcode。相反，它使进程一个接一个地返回到一系列库函数的开头。这些库函数可能会直接执行攻击者想要的操作，但更常见的是它们将用于间接执行攻击者的shellcode。

Answer 2

两种攻击共享覆盖 ret 地址的部分。正如上面的回复所示，您过去只是简单地返回到您编写的汇编代码。然后，该汇编代码将生成一个 root 用户 shell。

在这两种攻击中，您都不会“覆盖”源代码。从汇编的角度来看，源代码位于 .text 段中，并且始终（或至少我知道的一直）处于写保护状态。您过去所利用的方法是编写预先组装到内存段中的代码，然后跳转到该代码。该代码通常位于“堆栈段”中或附近，并且通过溢出您选择溢出的任何内容，您可以从那里的 ret 地址（比如说）重定向流量。其他攻击场所包括您之前创建并填充 shellcode 的环境变量；或者还有堆、函数指针或 PLT。如此插入的代码通常会使用 system() 调用来执行所需的操作 - 但为此，您需要能够在内存区域上“执行”（或者将您打算使用的重定位条目声明为可写）。

这两种攻击之间的区别在于，一旦内存基本上变得不可执行，a 类攻击（堆栈溢出）就几乎被搞砸了。当您编写时，尝试绕过这种类型的攻击是直接访问共享库函数 - 也就是说，您不再需要先将代码写入堆栈段或其他地方并在那里执行。不过，我相信 libc 类型的攻击现在也已大部分得到修复；我手边没有详细信息；也许我错了。

如果您想了解这些攻击现在是如何被挫败的，或者至少了解一些关键想法，请搜索“Smashing the Stack in 2011”（或 2010）开始。

Answer 3

我想说缓冲区溢出是一类编程错误，返回libc是一种利用技术。最好不要将这些概念混在一起。

例如，您可以使用返回libc来利用缓冲区溢出漏洞。或者您可以使用其他技术，例如返回.text或返回shellcode。相反，您也可以使用返回libc来利用其他错误，例如格式字符串。

Answer 4

实际上，在缓冲区溢出攻击中，您会在覆盖 ret 指针的同时插入恶意代码。您不需要为此修改任何内容，因此作为结论，我看不出提到的两种攻击之间的区别。

例如：

char* str[5];
辛 << str;

这是可以被分解的代码，如果用户插入大于 5 个字符的字符串，则堆栈上随后的所有内容都将被覆盖。由于 ret-ptr 在堆栈上“较低”，因此如果距离正确，您可以覆盖它。覆盖时的意图是让它指向输入的开头，在其中插入恶意（汇编器）代码，一旦调用 ret-ptr 并执行“跳转”，该代码就会执行。