王建宇

（黑龍江省計(jì)算機(jī)軟件研究中心，黑龍江　哈爾濱　150028）

格式化串讀寫攻擊的利用及動(dòng)態(tài)防御技術(shù)的研究

王建宇

（黑龍江省計(jì)算機(jī)軟件研究中心，黑龍江哈爾濱150028）

本文基于對(duì)格式化串讀寫越界的定義較深入地探討了格式化串攻擊的利用，并基于此提出對(duì)格式化串攻擊進(jìn)行動(dòng)態(tài)防御的技術(shù)，對(duì)于提高格式化串的安全性具有一定的借鑒意義。

格式化串；動(dòng)態(tài)防御技術(shù)；信息安全

1　格式化串攻擊

格式化串讀寫越界攻擊主要是利用產(chǎn)生格式化串讀寫越界對(duì)進(jìn)程堆棧布局進(jìn)行窺視，對(duì)程序執(zhí)行進(jìn)而惡意控制的行為。主要采用因設(shè)計(jì)的格式化函數(shù)程序中存在的錯(cuò)誤而導(dǎo)致安全漏洞，利用對(duì)精心編制的含有格式化指令的文本字符串進(jìn)行傳遞，使任意命令由目標(biāo)程序進(jìn)行執(zhí)行的過程被稱為格式化串攻擊。格式化字符串漏洞與很多安全漏洞相同，都是因程序員不細(xì)心而引起。如程序中printf（"%s"，str），為提高效率并使執(zhí)行時(shí)間得到一定程度的節(jié)約，在源碼中就有時(shí)編寫為printf（str），少編寫6字節(jié)字符。這樣編寫的程序盡管沒有錯(cuò)誤，但容易產(chǎn)生格式化串攻擊。

2　格式化串讀寫越界攻擊的不利后果

2.1導(dǎo)致進(jìn)程發(fā)生崩潰

攻擊者若對(duì)格式化串進(jìn)行構(gòu)造，就可利用其存在的讀寫越界漏洞引起進(jìn)程的崩潰。編制如printf（"%s%s%s%s%s%s%s %s%s%s%s"）的程序代碼就容易形成無效指針，由于“%s”將根據(jù)堆棧地址對(duì)相應(yīng)內(nèi)容進(jìn)行顯示，應(yīng)用較多的“%s”就將引起遇到無效地址的可能性，進(jìn)而使進(jìn)程因無效地址而發(fā)生崩潰。

2.2任意讀

"%x"等格式符在格式串函數(shù)中可以對(duì)應(yīng)變量值進(jìn)行顯示，但格式化函數(shù)不存在對(duì)其對(duì)應(yīng)變量存在性的檢查機(jī)制，也不論對(duì)應(yīng)變量地址是何種類型。攻擊者若對(duì)格式串進(jìn)行構(gòu)造，對(duì)該格式化串讀寫越界漏洞進(jìn)行利用，就可對(duì)內(nèi)存任意地址進(jìn)行讀取。比如printf （"%08x%08x%08x%08x "），能夠從當(dāng)前進(jìn)程棧底向棧頂顯示內(nèi)容，在輸入%x較多時(shí)，攻擊者甚至可實(shí)現(xiàn)對(duì)進(jìn)程棧內(nèi)容的全部獲取。程序流、局部函數(shù)變量等重要信息存放于棧中，攻擊者通過這些信息非法得到的攻擊代碼偏移值都是正確的。若將讀取地址置于棧中的合適位置，就可實(shí)現(xiàn)對(duì)任意地址內(nèi)容的讀取。如自0x07504612開始要顯示相應(yīng)內(nèi)容，可將x12x46x50x07作為開始的格式化串，再采取對(duì)進(jìn)程棧中內(nèi)容查看方法確定顯示地址和%s間存在%x的數(shù)量，利用構(gòu)造字符串通過%s將0x07504612開始的內(nèi)容進(jìn)行顯示。

2.3任意寫

"%n"等向內(nèi)存寫入的格式符都位于格式化串中，而格式化函數(shù)不存在確保寫入地址為當(dāng)前進(jìn)程的合法地址的而有效機(jī)制。攻擊者對(duì)格式化串讀寫越界漏洞進(jìn)行利益，若可對(duì)格式化串進(jìn)行構(gòu)造，就可以向內(nèi)存任意地址進(jìn)行寫入。如格式符"%n"在遇到該格式符前將格式串函數(shù)的字符打印個(gè)數(shù)向?qū)?yīng)整數(shù)指針地址中寫入。以下程序?qū)?6向printf（"1a2a3a4a5a6a7a8a%n"，&x）寫入，利用這種方法對(duì)程序printf （"x12x46x50x07%07x%07x%07x%07x%n"）進(jìn) 行 構(gòu)造，%07x格式移動(dòng)格式化串指針，當(dāng)移至根據(jù)低位字節(jié)在前的順序，即0x07504612。0x0750 4612被最后的%n格式視為整數(shù)指針，由于x12x46x50x07是4個(gè)字符，4個(gè)%07x為32字符，因此寫入到0x07504612地址中的內(nèi)容就是36。利用對(duì)字符串的構(gòu)造，還能構(gòu)造數(shù)字。但數(shù)字較大時(shí)，就要構(gòu)造很長(zhǎng)的字符串，導(dǎo)致難以實(shí)現(xiàn)。改進(jìn)方法主要是在每次寫入時(shí)確保低位字節(jié)的數(shù)值就是想要的內(nèi)容，每次寫入數(shù)值都不能大于255，再向前移動(dòng)指針一字節(jié)，利用連續(xù)4次寫入操作實(shí)現(xiàn)這個(gè)效果。為提高定位的精確性，格式符還能利用%u。

2.4受到高級(jí)攻擊

攻擊者對(duì)格式化串讀寫越界漏洞的利用，可導(dǎo)致進(jìn)程崩潰并對(duì)任意地址進(jìn)行讀寫，利用以上的基本技術(shù)還能增加攻擊的復(fù)雜性。如對(duì)返回當(dāng)前執(zhí)行函數(shù)的地址進(jìn)行覆蓋，在執(zhí)行完函數(shù)返回時(shí)，可根據(jù)攻擊者意愿對(duì)程序流程進(jìn)行改變。該技術(shù)應(yīng)了解堆棧中返回存儲(chǔ)函數(shù)地址的存儲(chǔ)單元地址及shellcode首地址，格式化串讀寫越界對(duì)覆蓋函數(shù)返回地址進(jìn)行攻擊，一般會(huì)采取兩種方法：一是對(duì)調(diào)用該函數(shù)的函數(shù)返回地址進(jìn)行覆蓋，這類似于攻擊普通緩沖區(qū)溢出。二是對(duì)格式化函數(shù)返回地址進(jìn)行覆蓋，該方法精確度更高，即便是在比較苛刻的條件下也能進(jìn)行應(yīng)用。

3　動(dòng)態(tài)防御技術(shù)

動(dòng)態(tài)防御技術(shù)是以進(jìn)程格式化串讀寫越界為基礎(chǔ)，其主要思想是在運(yùn)行進(jìn)程過程中，執(zhí)行程序防御格式化串讀寫越界，在運(yùn)行過程中防御系統(tǒng)各部分內(nèi)容。利用執(zhí)行處理機(jī)過程中對(duì)寫入格式化函數(shù)指令加強(qiáng)邊界檢查，實(shí)現(xiàn)對(duì)格式化串寫越界的動(dòng)態(tài)防御。在布局程序內(nèi)存方面，利用將另外一段內(nèi)存的開辟對(duì)起始終止地址中的內(nèi)容進(jìn)行保存，確定寫入當(dāng)前內(nèi)存的內(nèi)容是否產(chǎn)生格式化串讀寫越界。利用對(duì)緊鄰最后格式參數(shù)后的保存內(nèi)容對(duì)寫入是否產(chǎn)生格式化串讀寫越界進(jìn)行比較，根據(jù)對(duì)輸入?yún)?shù)邊界后的緊鄰格式化函數(shù)保存數(shù)據(jù)，當(dāng)發(fā)生格式化串讀寫越界時(shí)可將被破壞數(shù)據(jù)進(jìn)行恢復(fù)。

4　結(jié)語(yǔ)

綜上所述，本文利用分析格式化串攻擊的原因及不利后果，提出動(dòng)態(tài)防御技術(shù)，使其在運(yùn)行程序過程中對(duì)產(chǎn)生的格式化串讀寫越界攻擊進(jìn)行動(dòng)態(tài)防御，以提高程序運(yùn)行的安全性。

［1］ 葉焰峰.數(shù)組越界的故障模型及其檢測(cè)方法研究［J］，微計(jì)算機(jī)信息，2013.15

［2］ 高傳平.數(shù)組越界的靜態(tài)測(cè)試分析［J］，計(jì)算機(jī)工程，2014.10

［3］ 潘勇慧.淺談?dòng)?jì)算機(jī)病毒的特點(diǎn)及防御技術(shù)［J］，硅谷，2014.8

［4］ 閔銳，楊楚華.防火墻協(xié)同防御技術(shù)研究［J］，計(jì)算機(jī)安全，2013.11

TP393.08

A

1003-5168（2015）11-006-01

王建宇（1977—），男，助理研究員，主要從事應(yīng)用技術(shù)研究工作。