前文中�,我們對于棧溢出的原理進(jìn)行了實(shí)例還原,本文將開始介紹黑客如何利用漏洞進(jìn)行數(shù)據(jù)庫攻擊�����,這里需要大家先對前文進(jìn)行回顧——“數(shù)據(jù)庫安全漏洞淺析之緩沖區(qū)溢出漏洞(2)”�,在此實(shí)例基礎(chǔ)上,我們將從2種角度講解棧溢漏洞的攻擊方式:
1改變程序邏輯����, 2.直接劫持程序運(yùn)行攻擊者的攻擊代碼��。
如何通過改變程序邏輯�����,繞過一些判斷使得某些限制無效��,最終達(dá)到上面的例子中假如liusicheng這個預(yù)設(shè)的密碼是某銀行的密碼�,通過密碼檢查后可以獲取該密碼保護(hù)的敏感信息����。那么攻擊者要想通過密碼檢查,要么輸入正確的密碼�,要么就需要改變程序流程(輸入錯的密碼但是還能走回對的分支)。為了達(dá)到這個目的���,我們尋找下choose的地址(re_choose的返回值)�,看re_choose的圖發(fā)現(xiàn)局部變量空間是0x30也就是48個字節(jié)�。在低地址的應(yīng)該就是用于溢出的buffer在最靠近棧底的4個字節(jié)的應(yīng)該是result的地址,也就是choose取值的地址�。result的地址是0012FB6C(由于input輸入的是qwe所以返回值是1)值是1,此時密碼驗(yàn)證過不去����?��?吹偷刂返?012F840這個就是字符串buffer�。buffer會拷入輸入的input值。buffer里面存儲的就是657771(win是小端字節(jié)序所以全是反的也就是qwe)�。到這里,如果想讓密碼驗(yàn)證通過���,就需要修改0012FB6C的值����。除了輸入正確的密碼外���,還可以嘗試輸入過長的input���,讓input向buffer拷數(shù)據(jù)的時候造成Buffer緩沖區(qū)溢出,用溢出的值覆蓋掉在0012FB6C的值��,把值修改成希望的0(0就表示通過密碼驗(yàn)證了)����。
buffer占44個字節(jié)也就是input需要至少輸入44個字節(jié)來占滿buffer���,然后再輸入的字節(jié)將會覆蓋result。修改choose的值�����,進(jìn)而改變程序流程��。由于這是字符串最后會有一位null所以咱們輸入44個w來占滿buffer把null擠到result中覆蓋原來的1.
輸入43個w
沒有緩沖區(qū)溢出12FB6C未被修改
輸入44個w達(dá)到緩沖區(qū)溢出
12FB6C正好被結(jié)束符null覆蓋掉從1改成0����,最終跳轉(zhuǎn)到密碼驗(yàn)證通過的支路。
至此���,基于棧溢出漏洞的原理���,黑客可以通過改編程序邏輯的方法,完成了繞過密碼檢驗(yàn)的全部步驟���,從而獲取了數(shù)據(jù)庫高權(quán)限賬戶�����。在過往的數(shù)據(jù)庫安全事件中�,此類漏洞攻擊方式屢見不鮮,這是緩沖區(qū)溢出漏洞的最基本用法���,也是黑客們的慣用手法���。
產(chǎn)品咨詢:4000 258 365 
