0x01 概述
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的。下面是常见的linux保护机制
0x02 canary (栈保护)
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。因此在编译时可以控制是否开启栈保护以及程度,例如:
gcc -fno-stack-protector -o test test.c //禁用栈保护
gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码
0x03 fortify
这个保护机制防止缓冲区溢出攻击。gcc生成了一些附加代码,通过对数组大小的判断替换strcpy, memcpy, memset等函数名,达到防止缓冲区溢出的作用。就是gcc自动对一些函数进行检查有没有缓冲区溢出
0x04 NX(DEP)
NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
gcc编译器默认开启了NX选项,如果需要关闭NX选项,可以给gcc编译器添加-z execstack参数。例如:
gcc -z execstack -o test test.c
在Windows下,类似的概念为DEP(数据执行保护),好像在的Visual Studio 2008以后就默认开启了DEP编译选项。
0x05 PIE(ASLR)
一般情况下NX(Windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工作。内存地址随机化机制(address space layout randomization),有以下三种情况:
- 0 - 表示关闭进程地址空间随机化。
- 1 - 表示将mmap的基址,stack和vdso页面随机化。
- 2 - 表示在1的基础上增加栈(heap)的随机化。
可以防范基于Ret2libc方式的针对DEP的攻击。ASLR和DEP配合使用,能有效阻止攻击者在堆栈上运行恶意代码。
Built as PIE:位置独立的可执行区域(position-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在的其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难得多。
liunx下关闭PIE的命令如下:
sudo -s echo 0 > /proc/sys/kernel/randomize_va_space
PIE有关的知识详情:https://blog.csdn.net/counsellor/article/details/81543197
0x06 relro
设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。总之,需要执行
sudo -s echo 0 > /proc/sys/kernel/randomize_va_space//可选,如果要关闭系统的ALSR功能就执行这个
我们在打ctf时,可以使用下面的命令就行了
gcc -no-pie -fno-stack-protector -z execstack -m32 -o exp1 exp1.c
- -op-pie:内存地址不随机化
- -fno-stack-protector:不栈保护,没有canary
- -z execstack :栈可执行,没有NX
0x07 objdump
objdump命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。详情https://man.linuxde.net/objdump
-j name
–section=name 仅仅显示指定名称为name的section的信息
-t
–syms 显示文件的符号表入口。类似于nm -s提供的信息
objdump -t -j .text exp1//查看read程序的.text段有哪些函数
0x08 例子
首先我们准备一个C文件
使用gcc编译
gcc -m32 read.c -o exp1
- -m32:使用32位编译
- -o:后面就编译的名字
我们检查文件的保护机制
checksec exp1
将这些保护机制去掉:
gcc -no-pie -fno-stack-protector -z execstack -m32 -o exp1 read.c