浙大邢以群教学课件.pptVIP

浙大邢以群教学课件信息安全与漏洞利用专题讲解

目录课程基础课程简介与教学目标缓冲区溢出漏洞详解Return-to-libc攻击技术高级漏洞与攻击ASLR与绕过方法Shellshock与环境变量攻击格式化字符串漏洞竞态条件漏洞新兴领域安全智能合约安全DirtyCOW攻击案例分析课程总结与未来展望

第一章：课程简介与教学目标教授简介邢以群教授，浙江大学计算机科学与技术学院教授，网络空间安全研究所所长，主要研究方向包括系统安全、漏洞分析与利用技术、移动安全等领域。课程覆盖本课程深入探讨缓冲区溢出、Return-to-libc攻击、格式化字符串、Shellshock等多种核心安全漏洞类型，从原理到实践全面剖析。学习目标

缓冲区溢出漏洞基础什么是缓冲区溢出？缓冲区溢出是指程序向缓冲区写入的数据超过了缓冲区本身的容量，导致溢出的数据覆盖了相邻的内存区域。这种漏洞常见于使用C/C++等语言编写的程序中，特别是那些没有进行边界检查的代码。缓冲区溢出漏洞在MITRE的CWE排名中常年位居前列，是最常见也最危险的漏洞类型之一。栈溢出与堆溢出的区别栈溢出：发生在程序栈上，可能覆盖返回地址，导致执行流被劫持堆溢出：发生在动态分配的内存区域，通常通过覆盖控制结构实现攻击典型溢出案例

栈溢出原理与结构栈是程序运行时用于存储局部变量、函数参数和返回地址的内存区域。当发生栈溢出时，攻击者可以精心构造输入数据，覆盖栈上的返回地址，从而控制程序的执行流程。输入数据超长的用户输入数据被写入程序的缓冲区溢出发生数据超出缓冲区边界，覆盖栈中的其他数据返回地址被覆盖精心构造的数据覆盖了函数的返回地址执行shellcode

Return-to-libc攻击原理Return-to-libc是一种高级的缓冲区溢出利用技术，特别适用于不允许在栈上执行代码的环境。这种攻击不需要注入shellcode，而是利用程序中已存在的代码（如C库函数）来实现攻击目的。这种攻击技术是对NX（不可执行）保护措施的一种有效绕过方法。攻击流程详解1寻找目标函数通常选择system()等强大的库函数作为攻击目标2构造栈结构精心安排栈上的数据，包括函数地址和参数触发溢出通过溢出覆盖返回地址，指向目标函数执行命令

ASLR（地址空间布局随机化）介绍随机化原理ASLR通过在每次程序执行时随机化内存中库、堆栈和可执行文件的位置，增加攻击者预测内存地址的难度。防御机制即使攻击者成功触发溢出，也难以准确跳转到预期位置，因为关键函数和数据的地址在每次运行时都会变化。局限性ASLR的随机化范围有限，且某些系统实现存在弱点，可能被信息泄露漏洞或暴力破解所绕过。实现方式现代操作系统（如Windows、Linux、macOS）都默认启用ASLR，但实现方式和强度各有不同。ASLR作为一种关键的内存保护机制，与DEP（数据执行保护）、栈保护（StackCanary）等技术共同构成了现代系统的多层次防御体系。但随着攻击技术的发展，单一防御措施已不足以抵御复杂的攻击方式。

Return-to-libc结合ASLR的攻击技巧信息泄露辅助地址获取攻击者首先需要利用信息泄露漏洞获取程序或库的实际加载地址，这通常通过以下方式实现：格式化字符串漏洞读取内存利用程序本身的地址输出功能通过崩溃信息间接推断地址动态计算函数地址获取到某个已知函数的地址后，攻击者可以：计算出与目标函数的偏移量在运行时动态确定目标函数地址构造新的ROP链或Return-to-libc攻击即使启用了ASLR，共享库内部的函数相对位置通常是固定的，这为攻击者提供了可利用的特性。执行system构造攻击链计算偏移信息泄露

Shellshock漏洞解析Bash环境变量漏洞背景Shellshock（CVE-2014-6271）是2014年发现的一个严重的Bash漏洞，影响了大量Linux、Unix和Mac系统。这个漏洞存在于Bash处理环境变量的方式中，允许攻击者在环境变量中注入恶意代码。漏洞触发机制envx=(){:;};echo漏洞已触发bash-cecho测试当Bash解析上述环境变量时，会错误地将花括号后的命令作为函数定义的一部分执行，从而导致注入的命令被执行。这种特殊的语法利用了Bash在解析函数定义时的缺陷。影响范围及危害Web服务器上的CGI脚本通过SSH远程执行的命令DHCP客户端使用Bash处理配置的系统各种使用Bash作为底层解释器的应用程序

Shellshock攻击案例1漏洞公开（2014年9月）Shellshock漏洞被公开后，攻击者迅速开始在互联网上扫描易受攻击的系统。2早期攻击浪潮首批攻击主要针对暴露在互联网上的CGI脚本，攻击者通过HTTP请求中的自定义头部注入恶意命令。3僵尸网络利用多个僵尸网络开始利用Shellshock