Heap overflow attacks

Question

Làm thế nào các cuộc tấn công tràn bộ đệm được thực hiện?

Trong trường hợp có các cuộc tấn công chồng lên nhau, kẻ tấn công sẽ thay thế địa chỉ trả về hàm bằng địa chỉ của anh ấy.

Điều này được thực hiện như thế nào trong các cuộc tấn công tràn vùng heap? Ngoài ra, nó có thể chạy mã từ heap?

Answer 1

Lưu ý điều này thay đổi theo nền tảng và ví dụ của tôi quá đơn giản. Về cơ bản nó đi xuống để quản lý đống có danh sách liên kết có thể bị tràn ngập, và bạn có thể sử dụng các con trỏ danh sách liên kết để ghi đè lên các phần ngẫu nhiên của bộ nhớ của quá trình.

Hãy tưởng tượng tôi có một thực hiện đống ngây thơ mà kiểm soát khối là như thế này:

struct HeapBlockHeader 
{ 
    HeapBlockHeader* next; 
    HeapBlockHeader* prev; 
    int size; 

    // Actual heap buffer follows this structure. 
}; 

Khi đống được trả tự do, khối điều khiển này quay ngược lại vào một danh sách các khối tự do, bằng cách sửa đổi tiếp theo/con trỏ trước . Nếu tôi overrun một bộ đệm heap, tôi có thể ghi đè lên con trỏ trong khối điều khiển tiếp theo với dữ liệu tôi kiểm soát. Giả sử tôi ghi đè các liên kết này để trỏ đến một con trỏ tới mã (có lẽ chỉ trong vùng đệm I overran) và đến địa chỉ trả về của hàm trên ngăn xếp. Khi trình quản lý heap cố gắng liên kết khối đó trở lại danh sách được giải phóng, nó sẽ thực sự ghi đè địa chỉ trả về trên ngăn xếp bằng một con trỏ tới mã mà tôi kiểm soát.

Bài viết này có một cái nhìn tổng quan tốt đẹp trên các cuộc tấn công tràn heap: http://www.h-online.com/security/features/A-Heap-of-Risk-747161.html

Bài viết này mô tả một số xơ cứng mà đi vào quản lý đống Vista để ngăn chặn loại tấn công này: http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Marinescu.pdf

EDIT: Trên khả năng chạy mã từ heap, có thể. Nhiều nền tảng bây giờ làm cho bộ nhớ heap không thực thi theo mặc định, làm tăng rào cản để nhận được mã tùy ý để chạy. Tuy nhiên, bạn vẫn có thể thực hiện một cuộc tấn công kiểu "nhảy tới libc" - Ghi đè địa chỉ trả về tới một hàm đã biết sẽ thực thi.