東華大學(xué)2018~2019學(xué)年第二學(xué)期期終試題踏實(shí)學(xué)習(xí)，弘揚(yáng)正氣；誠信做人，誠實(shí)考試；作弊可恥，后果自負(fù)。課程名稱代碼安全機(jī)制與實(shí)現(xiàn)技術(shù)使用專業(yè)信息安全16級班級_____________________姓名________________學(xué)號__________試題得分一二三四五六七八九十總分=1\*GB4㈠簡答題（每題10分，共20分）=1\*GB1⒈請簡述緩沖區(qū)溢出攻擊的原理、后果及如何防范。答：(3分)當(dāng)程序?qū)懭氤^緩沖區(qū)的邊界時，這就是所謂的“緩沖區(qū)溢出”。(4分)發(fā)生緩沖區(qū)溢出時，會覆蓋下一個相鄰的內(nèi)存塊。緩沖區(qū)溢出攻擊就是通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。(3分)造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)，因此在書寫代碼時要注意邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)，使得緩沖區(qū)溢出不可能出現(xiàn)。=2\*GB1⒉請簡述shellcode在注入到被攻擊代碼后，主要有哪兩種內(nèi)存布局方式？這兩種布局方式的各自特點(diǎn)是什么？如果shellcode的長度小于被其溢出的緩沖區(qū)，適于采用哪種布局方式？答：(4分)shellcode在注入到被攻擊代碼后，主要有兩種內(nèi)存布局方式。其一，把shellcode直接保存在植入緩沖區(qū)中，位于函數(shù)返回地址之前。通過將函數(shù)返回地址覆蓋為緩沖區(qū)的首地址來定位shellcode。其二，把shellcode布置在函數(shù)返回地址之后，使用跳轉(zhuǎn)指令jmpesp來定位shellcode。(4分)第一種方法的優(yōu)點(diǎn)是可以合理利用緩沖區(qū)，使攻擊串的總長度減小；同時對程序破壞小，比較穩(wěn)定。第二種方法的優(yōu)點(diǎn)是不用擔(dān)心自身被壓棧數(shù)據(jù)破壞，但可能會破壞前棧幀數(shù)據(jù)而引發(fā)問題。(2分)如果shellcode的長度小于被其溢出的緩沖區(qū)，適于采用第一種布局方式。=2\*GB4㈡按要求回答問題（共80分）=1\*GB1⒈答：(5分)000012345678(5分)Thenumberofbytesformattedinthepreviousprintfstatementwas12···printf的返回地址格式化串"%s%d%d%x\n"···printf的返回地址格式化串"%s%d%d%x\n"在內(nèi)存的首地址壓入堆棧的buf首地址壓入堆棧的變量i的值壓入堆棧的變量j的值buf[]="aaaa"變量k變量j變量i····前棧幀EBPmain的返回地址（2）程序的輸出為：aaaa1261616161解釋：第一個%s輸出第一個參數(shù)buf所指向的地址中字符串，所以輸出aaaa第二個%d輸出第二個參數(shù)i的值，所以輸出1第三個%d輸出第三個參數(shù)j的值，所以輸出2第四個%x沒有對應(yīng)的輸出參數(shù)，所以將buf數(shù)組的前四個字節(jié)作為整數(shù)輸出，所以輸出616161=3\*GB1⒊答：（1）在登錄模塊的用戶名和口令輸入框中分別輸入字符串：'OR''='即：一個單引號、一個空白、OR、一個空白、兩單引號、=、一個單引號（2）按（1）中的輸入，這個SQL語句是：select*frommemberwhereusername=''OR''=''andpassword=''OR''=''在where子句中，因?yàn)?'=''的結(jié)果為true，所以username=''OR''=''的結(jié)果為true，同理，password=''OR''=''的結(jié)果為true，這樣，SQL語句等同于select*frommemberwheretrueandtrue，這樣SQL語句不會驗(yàn)證用戶名和密碼文本框所輸入的值，而是直接查詢member數(shù)據(jù)表內(nèi)的所有記錄。···password[0-3]password[4-7···password[0-3]password[4-7]valid_flag····前棧幀EBPmain的返回地址（2）設(shè)計(jì)的輸入數(shù)據(jù)是任意八個字節(jié)的字符串，例如：aaaaaaaa（3）輸入的字符串加上尾部添加的'\0'字符共是九個字節(jié)，而password數(shù)組的長度是八個字節(jié)，所以，輸入的八個字節(jié)的字符串保存到password數(shù)組中，而尾部的'\0'則溢出保存到valid_flag變量，使其值變?yōu)?。=5\*GB1⒌答：（1）……buf[12]12字節(jié)yy4字節(jié)xx4字節(jié)前棧幀的EBPtest的返回地址buff的首地址….nbuff[1024]前棧幀的EBPmain的返回地址test函數(shù)的棧幀結(jié)構(gòu)test函數(shù)的棧幀結(jié)構(gòu)main函數(shù)的棧幀結(jié)構(gòu)main函數(shù)的棧幀結(jié)構(gòu)（2）test函數(shù)中的for(i=0;i<n;i++)buf[i]=s[i]；語句存在緩沖區(qū)溢出漏洞；如果傳入test函數(shù)的s數(shù)組長度超過buf數(shù)組的長度，則發(fā)生數(shù)組越界，越界的數(shù)組元素就有可能破壞test函數(shù)棧中相鄰變量的值（如yy、xx），甚至破壞棧中所保存的EBP值、返回地址等重要數(shù)據(jù)。如果攻擊者精心設(shè)計(jì)一段攻擊代碼作為輸入，則這段惡意代碼便會被植入到buf數(shù)組中；如果惡意代碼的利用緩沖區(qū)溢出漏洞修改test的返回地址，使其指向buf數(shù)組的首地址，則當(dāng)test函數(shù)返回時計(jì)算機(jī)便會去執(zhí)行buf數(shù)組中保存的惡意代碼。（3）因?yàn)檩斎霐?shù)據(jù)是從buf[0]開始存放的，從buf[[0]到test函數(shù)的“前棧幀的EBP”共有12+4+4+4=24個字節(jié)，所以設(shè)計(jì)的攻擊字符串由三部分組成：前導(dǎo)是24個字節(jié)的填充數(shù)據(jù)（如24個字符'a'，\x61\x61。。。\x61）；然后是jmpesp的地址0x12345678；最后是shellcode代碼：\x61\xe4\x52\x2f\xa1\x75\xcd\x31（4）在復(fù)制s數(shù)組元素到buf數(shù)組時，檢查是否會發(fā)生數(shù)組越界。例如，作如下修改：將for(i=0;i<n;i++)buf[i]=s[i]；改為for(i=0;i<n&&i<12;i++)buf[i]=s[i]；···printf的返回地址壓入堆棧的str首地址str[12]string[8]="test···printf的返回地址壓入堆棧的str首地址str[12]string[8]="test"前棧幀EBPmain的返回地址程序輸出是bbbbtest。因?yàn)閜rintf("bbbb%s");語句首先輸出bbbb，然后再根據(jù)%s指示輸出相應(yīng)的字符串。但是由于printf("bbbb%s");語句缺少與%s相對應(yīng)的輸出參數(shù)，于是printf函數(shù)將棧中str首地址參數(shù)后的四個字節(jié)內(nèi)容（str[0]-str[3]）作為與%s對應(yīng)的輸