Читаем Защита от хакеров корпоративных сетей полностью

Любая последующая попытка переслать из буфера bufl данные может привести к копированию 64-байтной строки данных и переполнению буфера, в который записываются данные.

Другое часто встречающееся неверное использование функций с ограничениями заключается в ошибках программирования или в неправильном расчете контролирующих величин во время выполнения программы. Это может произойти из-за нелепой ошибки или несогласованных изменений в программе в процессе разработки, например в программе был определен буфер фиксированного размера, размер которого не был откорректирован в соответствии с внесенными в программу изменениями. Помните, что размер обрабатываемых данных должен быть согласован с размером буфера получателя информации, а не ее источника. Известны примеры использования в проверках функций strlen, которые во время выполнения программы подсчитывали число байт в буфере, из которого данные копировались. Эта простая ошибка делает бесполезной любую проверку размеров буферов.

Опасно переполнение не только всего стека, но и так называемое частичное переполнение буфера, когда в стеке происходит подмена не всех, а только отдельных сохраненных значений. Месторасположение буфера в стеке и контроль адресов, по которым копируются в буфер данные, могут сделать невозможным запись в буфер такого количества данных, чтобы при переполнении буфера добраться до области хранения в стеке значения регистра EIP и подменить его. В этом случае при помощи команды ret нельзя передать управление нужной программе, но возможность контроля процессора сохраняется. Для этого можно попытаться подменить содержимое регистра EBP или доступные данные в стеке. Позднее этим можно воспользоваться для взятия под свой контроль атакуемой программы, чтобы заставить ее выполнить не предусмотренные в ней действия.

Например, на сайте www.phrack.org была опубликована статья, в которой рассказан способ получения контроля над вызванной функцией путем изменения единственного байта сохраненного в стеке содержимого регистра EBP. Познакомиться со статьей можно по адресу www.phrack.org/show.php?p=55&a=8.

Побочный эффект проявляется при переполнении буфера вблизи вершины стека, рядом с которым сначала находится область сохранения критических данных, а затем содержимое регистра EIP. При подмене этих данных предпочтительнее было бы завершить работу уязвимой программы, чем позволить злоумышленнику воспользоваться ею. Часто после подмены критических данных программа пытается выполниться с поврежденным стеком. Для противодействия подобным атакам переполнения буфера были придуманы, например, системы, защищенные проверочными величинами (canary-protected systems). В этих системах перед командой завершения функции ret проверяется целостность сохраненных в стеке проверочных величин. Если их целостность нарушена, то, как правило, программа завершается. Но и они не гарантируют полной защиты. Если проверочные величины не псевдослучайные величины, то их можно восстановить. При использовании неизменяемых проверочных величин, а для контроля целостности иногда используются и они, можно подменить данные стека при переполнении буфера, но при этом восстановить проверочные величины для обхода проверки.

Перезапись указателя функции в стеке

Иногда программисты сохраняют в стеке указатели функций и затем по мере необходимости используют их. Часто указатели используются там, где требуется динамически изменять часть программы. Машины сценариев (scripting engines; машина сценариев – приложение, способное выполнять сценарии (script), написанные наязыке сценариев, например VBScript или JavaScript) и программы синтаксического анализа часто пользуются этим приемом. Указатель функции – это адрес, по которому будет передано управление командой вызова функции call прямо или косвенно, основываясь на сохраненных в стеке данных. При подмене в стеке указателей можно будет управлять вызовами функций, не влияя на содержимое регистра EIP.

Чтобы воспользоваться указателем функции в стеке, следует вместо подмены содержимого регистра EIP подменить часть стека с сохраненным адресом функции. Подмена указателя вызываемой функции, как и перезапись области хранения содержимого регистра EIP, позволит выполнить нужный программный код. Нужно только выяснить содержимое регистров и написать программу переполнения буфера, что вполне возможно.

Переполнения области динамически распределяемой памяти

До сих пор в главе описывались атаки на буфер памяти, размещенный в стеке. Известны простые способы влияния на работу программы, если ее буфер данных расположен в стеке. Поэтому можно считать, что вопросы переполнения буфера хорошо изучены. Кроме стека, в программе используется еще один тип распределения памяти – область динамически распределяемой памяти («куча»).

Функции malloc- типа HeapAlloc, malloc и new выделяют программе область динамически распределяемой памяти, а функции HeapFree, free и delete освобождают ее. Управляет областью динамически распределяемой памяти компонента операционной системы, известная как менеджер кучи (heap manager), который выделяет динамически распределяемую память процессам, обеспечивая при необходимости увеличение ее размера.

Динамически распределяемая память отличается от памяти стека тем, что это постоянный объект, время жизни которого не ограничено временем выполнения создавшей и использующей его функции. Это означает, что распределенная функцией динамически распределяемая память остается распределенной, пока она не будет явно освобождена. Поэтому переполнение динамически распределяемой памяти может никак не отразиться на работе программы до тех пор, пока она не будет повторно использована. В динамически распределяемой памяти не хранится что-либо похожее на содержимое регистра EIP, но в ней часто хранятся не менее важные вещи.

Подобно сохранению указателей функций в стеке, указатели функции могут быть сохранены в динамически распределяемой памяти.

Основная уловка, применяемая к динамически распределяемой памяти, – разрушение указателя функции. Для этого существует много способов. Для начала можно попробовать подменить один объект из динамически распределяемой памяти на другой из соседней «кучи». Объекты класса и структуры часто хранятся в динамически распределяемой памяти, поэтому такая возможность существует. Например, для этого можно воспользоваться простым для понимания способом, известным под названием «нарушение границы» или «посягательство на объект» (trespassing).