security - 缓冲区溢出攻击和 ROP 攻击有什么区别？

Question

我开始研究软件安全，但我无法理解缓冲区溢出攻击和 ROP 攻击是什么。

据我了解，

缓冲区溢出攻击:

When a buffer has a certain size, fill the buffer and an add additional code so that the attacker can execute another function in the code or his/her own shellcode.

ROP 攻击:

Give a certain input which can override the return address, so that the attacker can control the flow.

但是两者之间的确切区别是什么？

我觉得两者都只是给出了过多的输入来覆盖不应该接近的区域。

例如，如果我有一个代码

  1 #include <stdio.h>
  2 
  3 void check(){
  4     printf("overflow occurs!\n");
  5 }
  6 
  7 int main(int argc, char* argv[]){
  8     char buffer[256];
  9     gets(buffer);
 10     printf("%s\n", buffer);
 11     return 0;
 12 }

并尝试执行函数 check()通过给 gets() 提供一定的输入功能。

这是 ROP 攻击还是缓冲区溢出攻击？

Answer 1

ROP 攻击是一种可以通过缓冲区溢出漏洞传递的有效负载，用于堆栈上的缓冲区。 (溢出其他缓冲区可能会让您覆盖其他数据，例如在结构或附近的其他全局变量中，但不能控制程序计数器。)

缓冲区溢出是指不正确的边界检查或隐式长度数据的处理(例如 strcpy 或 strcat )让恶意输入将内存写入数组末尾。当数组在调用堆栈上分配时，这变得很有趣，所以它后面的一件事就是这个函数的返回地址。
(理论上，在静态数组末尾覆盖静态变量可能是有用的，这也是缓冲区溢出。但通常缓冲区溢出意味着堆栈上的缓冲区，允许攻击者控制返回地址. 从而获得对指令指针的控制。)
除了新的返回地址外，您的恶意数据还将包含更多数据，这些数据将位于该返回地址下方和上方的内存中。其中一部分是有效载荷。单独控制返回地址通常是不够的:在大多数进程中，没有任何地方可以跳转到(没有其他输入)将 execve例如，监听 TCP 端口的 shell。
传统上，您的有效负载将是机器代码(“shellcode”)，返回地址将是您知道有效负载将着陆的堆栈地址。 (+- NOP 幻灯片，因此您不必完全正确)。
堆栈 ASLR 和不可执行堆栈使利用缓冲区溢出的传统 shellcode 注入(inject)方法在普通现代程序中变得不可能。 “缓冲区溢出攻击”过去(我认为)意味着 shellcode 注入(inject)，因为不需要寻找更复杂的攻击。 但这不再是真的。

ROP 攻击是指有效负载是一系列返回地址 和要弹出的数据pop指令和/或一些字符串，如 "/bin/sh" .有效载荷中的第一个返回地址将执行发送到可执行页面中已知地址处的一些已存在字节。

and try to execute the function check() by giving a certain input to gets() function.

check() 的代码目标程序中已经存在，所以最简单的攻击是ROP攻击。
这是最简单的 ROP 攻击形式，其中代码可以完全按照您的要求存在于单个已知地址中，而无需任何“函数参数”。所以它是一个很好的例子来介绍这个话题。

Is this a ROP attack or a buffer overflow attack?

两者都是。注入(inject) ROP 有效负载是缓冲区溢出。
如果程序是用 -z execstack -no-pie 编译的，您也可以选择注入(inject)例如执行 mov eax, imm32 的 x86 shellcode/ jmp eax跳转到 check 的已知绝对地址.在这种情况下，这将是缓冲区溢出，而不是 ROP 攻击；这将是一种代码注入(inject)攻击。
(你可能不会称它为“shellcode”，因为其目的不是运行一个 shell 来替换程序，而是使用现有的代码来做一些事情。
程序。但是术语经常被草率地使用，所以我想很多人都会把任何可注入(inject)的机器代码称为“shellcode”，不管它是做什么的。)

Buffer overflow attack:

When a buffer has a certain size, fill the buffer and an add additional code so that the attacker can execute another function in the code or his/her own shellcode.

“在代码中”选项将是 ROP 攻击。您将返回地址指向已经在内存中的代码。
“或他/她自己的 shellcode”选项将是代码注入(inject)攻击。您将返回地址指向刚刚溢出的缓冲区。 (直接或通过 ret2reg ROP 攻击来击败堆栈 ASLR，例如在 x86 上查找 jmp esp 小工具。)
这个“缓冲区溢出”定义仍然有点过于狭窄:它排除了覆盖其他一些关键变量(如 bool user_authenticated )而不覆盖返回地址。
但是，是的，代码注入(inject)和 ROP 攻击是两种主要方式，代码注入(inject)通常通过不可执行的堆栈内存来实现。