kỹ thuật tấn công và phòng thủ trên không gian mạn - kỹ thuật tấn công mạng - buffer overflow
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.07 MB, 36 trang )
Institute of Network Security - istudy.ispace.edu.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security - istudy.ispace.edu.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa
Module 02: Kỹ thuật tấn công
Institute of Network Security - istudy.ispace.edu.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer hệ thống mạng
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow
Institute of Network Security - istudy.ispace.edu.vn
Buffer Overflows
Institute of Network Security - istudy.ispace.edu.vn
Nội dung
• Giới thiệu về lỗi tràn bộ đệm
• Windows Assembly
• Stack Overflows
• Heap Corruption
• Format String Vulnerability
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Buffer(bộ đệm) là một vùng dữ liệu (trên RAM) được cấp
phát trong quá trình thực thi ứng dụng.
• Buffer OverFlow (BoF –tràn bộ đệm) là lỗi của phần
mềm khi ghi khối dữ liệu quá lớn so với kích thước thực
của Buffer.
• Lỗ hổng tràn bộ đệm là lỗi tràn bộ đệm của phần mềm
cho phép Hacker lợi dụng cài đặt mã độc và kiểm soát
hệ thống.
• Giới thiệu về Shellcode:
– Là một đoạn mã máy dùng để thực hiện một việc gì đó khi được
gọi đến như: mở cmd, bind port, load dll…
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
void buffover(int i)
{
byte buffer[5];
strcpy(buffer,”123”);
}
void demo_function(int i)
{
byte buffer[8];
strcpy(buffer,”123456…shellcode”); -> Tấn công ở đây!
}
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Dấu hiệu nhận diện ứng dụng bị lỗi tràn bộ đệm
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Sơ đồ phân bố vùng nhớ
của ứng dụng
• Windows x86 32 bit
– System dll
– Stack
– Heap
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Memory Allocation
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Application Memory Layout
– 2GB của bộ nhớ ảo sẽ được cấp cho user mode và 2GB còn lại là
cho kernel mode.
– Trong Windows địa chỉ từ 0x00000000 đến 0x7fffffff dành cho
user mode và từ 0x80000000 đến 0xBfffffff cho kernel mode.
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Application Structure
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Phân loại vùng đệm
– Stack OverFlow
• (Buffer trên Stack)
– Heap OverFlow
• (Buffer trên Heap)
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu về lỗi tràn bộ đệm
• Tăng tốc lây lan và phá hoại của Virus
– Code Red (2001) –lỗi trong IIS.
– Blaster (2003) –lỗi trong DCOM RPC.
– Sasser (2004) –lỗi trong LSASS.
– Conficker (2009) –lỗi RPC…
• Mất quyền kiểm soát hệ thống, mất thông tin nhạy
cảm…
Institute of Network Security - istudy.ispace.edu.vn
Shell Code
• Đoạn mã máy nhỏ.
• Thực thi nhiệm vụ đơn
giản.
• Phụ thuộc hệ điều hành,
cấu trúc tập lệnh CPU.
• Mã độc.
Institute of Network Security - istudy.ispace.edu.vn
Shell Code
• Conflicker Shellcode
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
• LIFO.
• Biến cục bộ.
• Lời gọi hàm.
• Exception
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
• Buffer Injection Techniques
• Optimizing the Injection Vector
– Quyết định vị trí đặt payload.
– File trên đĩa.
– Những biến môi trường được điều khiển bởi local user.
– Biến môi trường bên trong một Web request.
– Những vùng có thể điều chỉnh bởi người dùng trong một giao thức
mạng.
• Những phương pháp để payload được xử lý
– Direct jump ( Guessing Offsets)
– Blind Return
– Pop Return
– Call Register
– No Operation (NOP) Sled
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
A(){
// …
A1(“Xin chào”);
A2(“tiếp tục’);
}
A1(char* in){
char *bar;
char c[12];
strcpy(c,in);
return;
}
Institute of Network Security - istudy.ispace.edu.vn
Stack Overflow
• Gọi hàm A1(AAAAAAAA…AAAAAAAA);
