Переполнение буфера в Windows NT/2000/XP

Станислав Гошко

Пусть что угодно говорят поклонники *nix-систем, но защита в последних версиях операционных систем семейства Windows сделала громадный скачок вперёд. И так как языки C и C++ очень распространены и на платформах Windows, то атаки на переполнение буфера стали реальной угрозой безопасности. Атаки такого типа известны уже очень давно, со времен операции «Полуденный бес», которая проводилась в США, начиная с мая 1990 года, и была направлена против хакеров. Её проводила «Секретная Служба». Переполнение буфера, правда, на операционные системы семейства *nix использовалось хакерами по полной программе. Но реальная угроза данных атак на операционные системы семейства Windows появилась гораздо позднее, в 1995-2002 годах.

Смысл атак на переполнение буфера заключается в том, что существуют программы, запущенные с большими привилегиями, чем у пользователя, и благодаря переполнению буфера для пользователя стало возможно получить эти привилегии (уязвимой программы).

Мы рассмотрим одну из самых распространённых атак на переполнение буфера. Это так называемая атака на «срыв стека». В большинстве своём данные атаки возможны во многих программах, написанных на языках программирования C или C++.

Поэтому мы рассмотрим пример уязвимой программы, а также разработаем для неё эксплоит (программу, которая реализует данную уязвимость).

Начнём с разработки простой программы, содержащей данную уязвимость:

#include <stdio.h>

#include <windows.h>

void vuln_func(char *stroka)

{

    char buffer[100];

    // буфер

    lstrcpyA(buffer,stroka);

    // функция, в результате вызывающая переполнение буфера

}

void main (int argc, char *argv[])

{

    vuln_func(argv[1]);

    // вызов уязвимой функции

    printf("Parameter is : %s",argv[1]);

}

Откомпилируем её и выясним, что делает эта программа. Если запустить её без параметров, то она выведет следующее:

Parameter is : 0(null)

Запустим её следующим образом:

c:x-filesug.exe aaaaaaa

Тогда данная программа выведет:

Parameter is : aaaaaaa

Но если в качестве параметра передать количество «a» большее, чем 100, то данная программа просто ничего не выведет в отличие от Windows NT, которая выводила сообщение об ошибке. Поэтому реализовать атаку данного типа под операционной системой Windows XP будет несколько сложнее. Теперь давайте возьмём отладчик и посмотрим, что же происходит при вызове нашей уязвимой функции.

Будем рассматривать пошагово:

n  При вызове функции vuln_func в стек заносится адрес следующей инструкции (printf).

n  Рассмотрим вид стека перед вызовом функции lstrcpyA: