研究幽灵漏洞及其变种(包括但不限于V1-V5)的攻击原理和基于Github的尝试

一、研究幽灵漏洞及其变种(包括但不限于V1-V5)的攻击原理

1.1 基本漏洞原理(V1)

幽灵漏洞的基本原理是由于glibc库中的gethostbyname()函数在处理域名解析时,调用了__nss_hostname_digits_dots()函数存在缓冲区溢出漏洞。

具体来说,__nss_hostname_digits_dots()使用一个固定大小(1024字节)的栈缓冲区来存储解析后的数字和点字符。但在复制用户输入的域名字符串时,没有进行足够的长度检查,导致如果域名过长,就会发生栈缓冲区溢出。

攻击者可以构造一个超过1024字节的精心设计的域名字符串作为gethostbyname()的输入,在复制到栈缓冲区时就会覆盖相邻的内存区域,包括局部变量和返回地址。这样攻击者就可以控制程序执行流,实现任意代码执行。

2.1 变种攻击原理(V2-V5)

虽然V1漏洞被修补后,但研究人员发现__nss_hostname_digits_dots()函数对其他格式的字符串解析也存在缺陷,可以绕过补丁继续利用缓冲区溢出漏洞。主要变种包括:

V2: 带#字符的IPv6地址字符串

V3: 不合法的IPv4地址字符串

V4: 带%字符的域名字符串

V5: 以@@@开头的域名字符串

这些变种利用了函数在解析这些特殊格式字符串时的边界检查不严格,依然可以触发栈溢出。

以V5为例,攻击者可以构造一个类似"@@@###........###@@@"的域名字符串,在解析时会导致缓冲区溢出,从而劫持控制流。

2.3 攻击过程

无论是V1还是其他变种,攻击过程大致如下:

攻击者构造精心设计的、带有恶意荷载的域名/IP字符串

当gethostbyname()调用__nss_hostname_digits_dots()解析该字符串时,由于解析函数缺陷,发生栈缓冲区溢出,可控制返回地址

攻击者将返回地址覆盖为自己预先注入的shellcode地址

程序返回时将执行shellcode,攻击者获取目标系统控制权限

通过这种方式,攻击者可在目标系统上执行任意恶意操作,如安装后门、窃取信息等。

二、基于Github的幽灵漏洞尝试

通过git clone 下载github代码

make之后生成spectre.out

执行spectre.out,结果如图

┌──(itheima㉿itheima)-[~/john/spectre-attack]
└─$ ./spectre.out                          
Putting 'The Magic Words are Squeamish Ossifrage.' in memory, address 0x55cabec78008
Reading 40 bytes:
Reading at malicious_x = 0xffffffffffffdfa8... Unclear: 0xFE='?' score=999 (second best: 0xF2='?' score=999)
Reading at malicious_x = 0xffffffffffffdfa9... Unclear: 0xF6='?' score=999 (second best: 0xE7='?' score=999)
Reading at malicious_x = 0xffffffffffffdfaa... Unclear: 0xF3='?' score=999 (second best: 0xF2='?' score=999)
Reading at malicious_x = 0xffffffffffffdfab... Unclear: 0xFF='?' score=999 (second best: 0xFE='?' score=999)
Reading at malicious_x = 0xffffffffffffdfac... Unclear: 0xF4='?' score=999 (second best: 0xE0='?' score=999)
Reading at malicious_x = 0xffffffffffffdfad... Unclear: 0xE9='?' score=999 (second best: 0xE0='?' score=999)
Reading at malicious_x = 0xffffffffffffdfae... Unclear: 0xE7='?' score=999 (second best: 0xA5='?' score=999)
Reading at malicious_x = 0xffffffffffffdfaf... Unclear: 0xFF='?' score=999 (second best: 0xF2='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb0... Unclear: 0xF6='?' score=999 (second best: 0xF5='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb1... Unclear: 0x83='?' score=999 (second best: 0x7B='{' score=999)
Reading at malicious_x = 0xffffffffffffdfb2... Unclear: 0xFF='?' score=999 (second best: 0xFE='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb3... Unclear: 0xFD='?' score=999 (second best: 0xF2='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb4... Unclear: 0xF4='?' score=999 (second best: 0xF3='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb5... Unclear: 0xFD='?' score=999 (second best: 0xF2='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb6... Unclear: 0xFF='?' score=999 (second best: 0xF5='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb7... Unclear: 0xF5='?' score=999 (second best: 0xA8='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb8... Unclear: 0xFF='?' score=999 (second best: 0xFE='?' score=999)
Reading at malicious_x = 0xffffffffffffdfb9... Unclear: 0xFE='?' score=999 (second best: 0xF5='?' score=999)
Reading at malicious_x = 0xffffffffffffdfba... Unclear: 0xFF='?' score=999 (second best: 0xF5='?' score=999)
Reading at malicious_x = 0xffffffffffffdfbb... Unclear: 0xFE='?' score=999 (second best: 0xF6='?' score=999)
Reading at malicious_x = 0xffffffffffffdfbc... Unclear: 0xFF='?' score=999 (second best: 0xFD='?' score=999)
Reading at malicious_x = 0xffffffffffffdfbd... Unclear: 0xF2='?' score=999 (second best: 0xE9='?' score=999)
Reading at malicious_x = 0xffffffffffffdfbe... Unclear: 0xF5='?' score=999 (second best: 0xE0='?' score=999)
Reading at malicious_x = 0xffffffffffffdfbf... Unclear: 0xFE='?' score=999 (second best: 0xFD='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc0... Unclear: 0xFF='?' score=999 (second best: 0xF6='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc1... Unclear: 0xFE='?' score=999 (second best: 0xF6='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc2... Unclear: 0xF4='?' score=999 (second best: 0xE9='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc3... Unclear: 0xFF='?' score=999 (second best: 0xF3='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc4... Unclear: 0xE0='?' score=999 (second best: 0xA6='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc5... Unclear: 0xA7='?' score=998 (second best: 0x2E='.' score=998)
Reading at malicious_x = 0xffffffffffffdfc6... Unclear: 0xDF='?' score=999 (second best: 0xA7='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc7... Unclear: 0x90='?' score=999 (second best: 0x8F='?' score=999)
Reading at malicious_x = 0xffffffffffffdfc8... Unclear: 0xFF='?' score=999 (second best: 0x64='d' score=999)
Reading at malicious_x = 0xffffffffffffdfc9... Unclear: 0xEA='?' score=999 (second best: 0xDF='?' score=999)
Reading at malicious_x = 0xffffffffffffdfca... Unclear: 0xE0='?' score=999 (second best: 0x78='x' score=999)
Reading at malicious_x = 0xffffffffffffdfcb... Unclear: 0xF5='?' score=999 (second best: 0xDF='?' score=999)
Reading at malicious_x = 0xffffffffffffdfcc... Unclear: 0x8E='?' score=999 (second best: 0x7B='{' score=999)
Reading at malicious_x = 0xffffffffffffdfcd... Unclear: 0xF5='?' score=999 (second best: 0x92='?' score=999)
Reading at malicious_x = 0xffffffffffffdfce... Unclear: 0xF2='?' score=999 (second best: 0xE0='?' score=999)
Reading at malicious_x = 0xffffffffffffdfcf... Unclear: 0xE0='?' score=999 (second best: 0x92='?' score=999)
                       

结果显示读取数据unclear,即无法读取,因为漏洞被发现之后,就有多种修复方式。

       主流Linux发行版厂商如Red Hat、Ubuntu、Debian等都发布了安全补丁修复。补丁修改了glibc库中处理主机名解析的__nss_hostname_digits_dots()等函数,增加了边界检查,修复了缓冲区溢出漏洞。

        glibc版本升级

        除了针对性补丁,升级到最新版本的glibc库(2.26及以上)也可以彻底解决这个漏洞。新版本重写了相关的解析代码,消除了缓冲区溢出的可能性。

         编译器保护措施

        现代编译器和操作系统默认启用了多种安全保护措施,如ASLR(地址空间布局随机化)、DEP(数据执行防护)、RELRO(重定位读写保护)等,这使得即使存在缓冲区溢出,也很难成功利用执行shellcode。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/622890.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

牛客网刷题 | BC82 乘法表

目前主要分为三个专栏,后续还会添加: 专栏如下: C语言刷题解析 C语言系列文章 我的成长经历 感谢阅读! 初来乍到,如有错误请指出,感谢! 描述 输出九九乘法表&am…

[GWCTF 2019]re3

int mprotect(void *addr, size_t len, int prot);实现内存区域的动态权限控制: addr:要修改保护权限的内存区域的起始地址。len:要修改保护权限的内存区域的长度(以字节为单位)。prot:要设置的新的保护权限&#xff…

宠物管理系统带万字文档

文章目录 宠物管理系统一、项目演示二、项目介绍三、19000字论文参考四、部分功能截图五、部分代码展示六、底部获取项目源码和万字论文参考(9.9¥带走) 宠物管理系统 一、项目演示 宠物管理系统 二、项目介绍 基于springbootvue的前后端分离…

CentOs搭建Kubernetes集群

kubeadm minikube 还是太“迷你”了,方便的同时也隐藏了很多细节,离真正生产环境里的计算集群有一些差距,毕竟许多需求、任务只有在多节点的大集群里才能够遇到,相比起来,minikube 真的只能算是一个“玩具”。 Kuber…

如何利用甘特图来提高资源的是使用效率?

在项目管理中,甘特图是一种常用的工具,用于规划和跟踪项目进度。它通过条形图的形式展示项目的时间表和任务依赖关系,帮助项目经理和团队成员清晰地了解项目的时间线和进度。通过合理利用甘特图,可以显著提高资源的使用效率&#…

【C++】学习笔记——继承_1

文章目录 十一、模板进阶5. 模板的优缺点 十二、继承1. 继承的概念及定义2. 基类和派生类对象赋值转换3. 继承中的作用域4. 派生类的默认成员函数 未完待续 十一、模板进阶 5. 模板的优缺点 优点: 模板复用了代码,节省资源,更快的迭代开发&a…

网络安全快速入门(十二) linux的目录结构

我们前面已经了解了基础命令,今天我们来讲讲linux中的目录结构,我们在了解linux的目录结构之前,我们先与Windows做一个对比 12.1linux和windows的目录结构对比 在之前认识liunx的章节中,我们已经简单说明了linux和window的目录结构…

一文入门DNS

概述 DNS是一个缩写,可以代表Domain Name System,域名系统,是互联网的一项基础服务。也可以代表Domain Name Server,域名服务器,是进行域名和与之相对应的IP地址相互转换的服务器。DNS协议则是用来将域名转换为IP地址…

blender cell fracture制作破碎效果,将一个模型破碎成多个模型

效果: 1.打开编辑-》偏好设置。搜索cell,勾选上如下图所示的,然后点击左下角菜单里的保存设置。 2.选中需要破碎的物体,按快捷键f3(快速搜索插件),搜索cell fracture。 3.调整自己需要的参数配置…

机器学习之sklearn基础教程:新手入门指南

引言 在机器学习领域,sklearn(Scikit-learn)是一个广受欢迎的开源库,它为各种常见的机器学习算法提供了高效的实现。对于初学者来说,sklearn 提供了一个简单且易于上手的工具,可以用来实现分类、回归、聚类…

git使用及github

文章目录 操作命令基本组成框架在开发中git分支的重要性 github的使用将本地仓库关联到远程仓库将远程仓库关联到本地和拉取指定分支、切换远程分支提交本地仓库到远程仓库修改分支名称 保存当前工作切换分支将别的分支修改转移到自己的分支远程删除分支后本地git branch -a依然…

MongoDB事务的理解和思考

3.2版本开始引入Read Concern,解决了脏读,支持Read Commit 3.6版本引入Session,支持多个请求共享上下文,为后续的事务支持做准备 4.0支持多行事务,但4.0的事务只是个过渡的版本 4.2开始支持多文档事务 1. Mongo的架…

具备教学意义的实操(用栈实现队列)

具备教学意义的实操(用队列实现栈)-CSDN博客https://blog.csdn.net/Jason_from_China/article/details/138729955 具备教学意义的实操(用栈实现队列) 题目 232. 用栈实现队列 - 力扣(LeetCode) ​ 逻辑​​…

一、VIsual Studio下的Qt环境配置(Visual Studio 2022 + Qt 5.12.10)

一、下载编译器Visual Studio2022和Qt 5.12.10 Visual Studio 2022 社区版就够学习使用了 Qt5.12.10 安装教程网上搜,一大堆 也很简单,配置直接选默认,路径留意一下即可 二、配置环境 Ⅰ,配置Qt环境变量 系统变量下的Path&a…

C++的数据结构(五):树和存储结构及示例

在计算机科学中,树是一种抽象数据类型(ADT)或是实现这种抽象数据类型的数据结构,用来模拟具有树状结构性质的数据集合。这种数据结构以一系列连接的节点来形成树形结构。在C中,树的概念和存储结构是实现各种复杂算法和…

Golang | Leetcode Golang题解之第87题扰乱字符串

题目: 题解: func isScramble(s1, s2 string) bool {n : len(s1)dp : make([][][]int8, n)for i : range dp {dp[i] make([][]int8, n)for j : range dp[i] {dp[i][j] make([]int8, n1)for k : range dp[i][j] {dp[i][j][k] -1}}}// 第一个字符串从 …

61、内蒙古工业大学、内蒙科学技术研究院:CBAM-CNN用于SSVEP - BCI的分类方法[脑机二区还是好发的]

前言: 之前写过一篇对CBAM模型改进的博客,在CBAM中引入了ECANet结构,对CBAM中的CAM、SAM模块逐一改进,并提出ECA-CBAM单链双链结构,我的这个小的想法已经被一些同学实现了,并进行了有效的验证,…

算法-卡尔曼滤波之为什么要使用卡尔曼滤波器

假设使用雷达来预测飞行器的位置; 预先的假设条件条件: 1.激光雷达的激光束每5s发射一次; 2.通过接受的激光束,雷达估计目标当前时刻的位置和速度; 3.同时雷达要预测下一时刻的位置和速度 根据速度,加速度和位移的…

ROS2 - 创建项目 (Ubuntu22.04)

本文简述:在 Ubuntu22.04 系统中使用 VS CODE 来搭建一个ROS2开发项目。 1. 创建工作空间 本文使用 Ubuntu 22.04, 已安装配置完成 VS Code,C 环境(g/gdb) 1.1 创建目录 选择文件夹作为工作空间,并在这…

Django开发实战之定制管理后台界面及知识梳理(下)

接上一篇:Django开发实战之定制管理后台界面及知识梳理(中) 1、前台设置 1、隐藏路由 当你输入一个错误地址时,可以看到这样的报错: 从这样的报错中,我们可以看到,这个报错页面暴漏了路由&a…