Return-into-libc分析

最新推荐文章于 2024-06-10 21:20:46 发布
原创 最新推荐文章于 2024-06-10 21:20:46 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ROP #Return-into-libc #缓冲区溢出

本文深入探讨了经典缓冲区溢出攻击及其防范机制,包括DEP/NX、ASLR及StackCanaries等。此外,还详细介绍了return-into-libc与ROP攻击原理,展示了如何通过精心构造的指令序列实现恶意代码的注入与执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

经典缓冲区溢出
利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位置,甚至包括控制程序 执行流的关键数据(比如函数调用后的返回地址),从而控制程序的执行过程并实施恶意行为。因此,攻击者通过篡改函数的返回地址以其指向自己纺织的恶意shellcode,这样函数返回时就可以跳转到相应的恶意代码来执行,即将恶意代码注入目标程序,并在以后跳转到此执行此代码。
提出的安全机制
针对这种先写后执行的攻击行为提出了DEP/NX机制,表示数据执行预防,此技术将内存区域标记为不可执行,通常将堆栈和堆标记为不可执行,从而预防攻击者执行驻留在这些内存区域的代码,保证内存只能被写或者被执行而不能先写后执行。
当然还有一些其他机制,ASLR、Stack Canaries等,ASLR表示地址空间层随机化,这种技术使共享库、堆栈和堆被占用的内存的地址随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置。Stack Canaries(函数栈)在这种技术中,编译器在堆栈帧的局部变量之后和保存的返回地址之前放置一个随机化保护值。在函数返回之前检查此保护,如果它不相同,然后程序退出,如果攻击者试图修改返回地址,Canary也将不可避免地被修改。因此,在函数返回之前,检查这个Canary,从而防止利用。(这些安全机制详解可见0day安全软件漏洞分析技术第二篇9、10、11、12、13、14、15章)
Return-into-libc 攻击原理
攻击者可以利用栈中的内容实施 return-into-libc 攻击。这是因为攻击者能够通过缓冲区溢出改写返回地址为一个库函数的地址,并且将此库函数执行时的参数也重新写入栈中。这样当函数调用时获取的是攻击者设定好的参数值(比如/bin/sh),并且结束后返回时就会返回到库函数而不是 main()。而此库函数实际上就帮助攻击者执行了其恶意行为。更复杂的攻击还可以通过 return-into-libc 的调用链(一系列库函数的连续调用)来完成(https://bbs.pediy.com/thread-217007.htm)。

于攻击者可用的指令序列只能为应用程序中已存在的函数,所以这种攻击方式的攻击能力有限。由于这种 return-into-libc 攻击方式的局限性,返回导向编程(Return-Oriented Programming, ROP)被提出,并成为一种有效的 return-into-libc 攻击手段。
ROP攻击原理
返回导向编程攻击的方式不再局限于将漏洞程序的控制流跳转到库函数中,而是可以利用程序和库函数中识别并选取的一组指令序列。攻击者将这些指令序列串连起来,形成攻击所需要的 shellcode 来从事后续的攻击行为。因此这种方式仍然不需要注入新的指令到漏洞程序就可以完成任意的操作。同时,它不利用完整的库函数,因此也不依赖于函数调用时通过堆栈传递参数。
返回导向编程攻击时,攻击者首先需要选取构建 shellcode 的指令,指令可以来自于应用程序二进制代码也可以来自于链接库。这些指令串连起来就可以形成整个 shellcode 的功能。最简单来讲,选取的每个连续指令序列都以“return”指令结束,这样如果攻击者在栈中放入后一个以“return”指令结束的指令序列的首指令地址,则在前一个”return”指令执行并返回时会 pop 栈中的后一个指令序列的首指令地址,并从前一个指令序列跳转到下一个指令序列执行。以此类推,就可以串连形成一个 ROP 链完成整个攻击。
ROP是一个复杂的技术,允许我们绕过DEP和ALSR,但不幸的是(或对于用户来说幸运的是)这不能绕过Canary,但如果有额外的内存泄漏,我们可以通过泄露,leak canary的值和使用它。ROP技术并不能绕过Canay保护措施。
ROP re-uses ,即我们可以重用Bin文件或者Libc文件(共享库)中的代码。这些代码,或者说指令,通常被我们称作“ROP Gadget”。
ROP 攻击代码的指令流在形式上具有一定的特征,即 ROP 代码中包含有大量的“ret”指令。 同时,每一小段指令序列通常都比较短小,一般只包含两到三个汇编语句,它们仅仅完成整个 shellcode 的一部分工作。这些指令通过“return”指令串连起来,实现最终 shellcode 的执行。其与传统 return-into-libc 攻击不同,在传统攻击中每个指令序列实际上是整个函数,而不是 ROP 攻击中的几条汇编指令。因此 ROP 攻击在一个更低的抽象层来进行攻击,更加灵活。构建 ROP 链有很多的技巧,具体可以参见参考资源中关于返回导向编程的论文内容。

相应实验网上一堆、、、、、

参考:
Paper:一种不完全依赖栈的ROP攻击技术的研究_林志添
     https://www.youkuaiyun.com/article/a/2014-03-03/15818077
0day安全软件漏洞分析技术第二篇安全机制
http://netsecurity.51cto.com/art/201703/534647.htm
看雪精华帖18之使用链接的return-to-libc绕过NX bit (NX bit是一种硬件保护机制,它通过设置页目录表中的相关属性位来表明分配出来的页内存是否可执行)
帖子地址:https://bbs.pediy.com/thread-217007.htm

return-into-libc 实验(报告)
ATOD
10-22 1113
实验说明 return-into-libc 方式(又称 arc injection)的 漏洞利用可以在不注入代码的情况下达到 攻击利用目的 – 使用已经存在代码的地址覆盖返回地址,通常 为一个函数的地址及相应的参数,如 system()、 exec()等 – 当返回时,通过调用 system()、exec()等函数, 执行攻击者指定的系统命令(函数参数中指定) – 利用 return-into-l...
SEED实验——return-to-libc实验
All In AI and Big Data
12-09 389
实验概述 本实验的学习目标是让学生获得缓冲区溢出攻击的一种有趣变体——return-to-libc攻击实验的亲身体验。这种攻击可以绕过目前在主要linux操作系统中实现的现有保护方案。利用缓冲区溢出漏洞通常的方法是使缓冲区溢出,然后在溢出部分的返回地址指向一段恶意的shellcode,使程序跳转到存储在堆栈中的shellcode。为了防止这些类型的攻击,一些操作系统允许管理员关闭堆栈的可执行功能...
Return-into-libc 攻击及其防御
朝歌
09-09 1523
Return-into-libc 攻击及其防御 本文首先分析return-into-libc 的攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段
信息安全实验二:return-to-libc
weixin_33817333的博客
03-07 317
title: return-to-libc date: 2016-01-11 17:40:30 categories: information-security tags: return-to-libc --- Exercise1 The Ubuntu 12.04 OS you've been using in this lab has the non-executable stack supp...
20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击
03-10 334
20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击 一、注入:shellcode 1、编写一段用于获取Shellcode的C语言代码 shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),它被用来发送到服务器利用其...
Lab2 : Return to Libc
Lansing999的专栏
11-02 1216
Lab 2 : Return to LibcLab Environment Setup Ubuntu 12.04 ( 64 bits ) Brief introduction This is a experiment of Information Security, about 10 exercises and challenges in this blog. May be a lot m
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 堆内存的基本组织形式 by arttnba3
arttnba3的博客
01-19 1350
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 堆内存的基本组织形式 by arttnba30x00.堆内存的组织形式一、malloc_chunk[The \_\_alignof\_\_ operator](https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_71/rzarg/sc09785202.htm?view=kc#ToC_180)二、chunk相关宏1.chunk size相关宏宏:off
浅谈GNU LIBC的版本间的变化
yeholmes的专栏
06-10 1049
本文记录了调试过程中发现的一些glibc多线程库libpthread的变化
MACE 使用笔记
u011279649的专栏
12-21 2114
环境安装 tensorflow 安装,一直不太想要mace的部分原因是不支持tensorflow2.模型。 Shell set -e 学习笔记: shell 中的 set -e , set +e 用法_滴水成川-优快云博客_linux set-eset-eset命令的-e参数,linux自带的说明如下:"Exitimmediatelyifasimplecommandexitswithanon-zerostatus."也就是说,在"set-e"之后出现的代码,一旦出现了返回值...
【无标题】
weixin_49521763的博客
12-12 285
2021-2022-1 20212825《Linux内核原理与分析》第十二周作业 一.实验描述 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。 不幸的是上面的保护方式并不是完全有效的,现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不
return-to-libc攻击
qq_39249347的博客
07-07 3530
栈的主要目的用来存储数据,很少需要在栈中运行代码,因此,大多数程序不需要可执行的程序栈,在一些体系架构中(包括x86),可以在硬件程序面上将一段内存区域标记为不可执行。 在Ubuntu系统中,如果使用gcc编译程序,可以让gcc生成一个特殊的二进制文件,这个二进制文件头部有一个比特位,表示是否将栈设置为不可执行,当程序被加载执行时,操作系统首先为程序分配内存,然后检查该比特位,如果它被置位,那么栈的内存区域将被标记为不可执行。#include <string.h> const char cod.
# Return to libc
qq_43674956的博客
02-01 392
Return to libc 在典型的栈溢出攻击中,需要把shellcode放在栈内,这样遇到不可执行栈防护的时候就无法成功。 这起源于我们对恶意代码有着自己的想法,想要自己编写一个恶意代码,然后将返回函数地址修改,但是能拿到rootshell,其实应该就大差不错的够了,而这样的功能的实现在动态链接库里有,如system函数这种老生常谈的不安全函数。如果我们能把返回地址修改为system函数所在地址,并且设法把参数成功传递,那我们就不需要自我编写恶意代码且担心栈的不可执行 这是对不可执行栈的绕过,当然我们也
seed-labs(return-to-libc)
u011632676的博客
06-18 1235
软件安全-return-to-libc概要 概要 缓冲区溢出漏洞是把恶意代码注入到目标程序栈中发动攻击。为了抵御这种攻击,操作系统采用一个称为不可执行栈 的防御措施。这种防御措施能被另一种无须在栈中运行代码的攻击方法绕过,这种方法叫return-to-libc攻击。 shellcode.c #include <string.h> const char code[] = "\x31\xc0" "\x50" "\x68""//sh" "\x68""/bin"
弧注入 return to libc(返回C函数标准库攻击)
mylyylmy的博客
08-01 1780
最近看到的一个弧注入的题目,了解一下原理 首先弧注入就是在不写入任何可执行代码的情况下注入程序,调用原有的库函数,达到攻击的目的,在Linux下使用较多,这次以windows为例 源程序 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; #include &lt;string&gt; #define PASSWORD "1234567"...
20145236《网络对抗》进阶实验——Return-to-libc攻击
weixin_30745641的博客
03-21 283
20145236《网络对抗》进阶实验——Return-to-libc攻击 基础知识 Return-into-libc攻击方式不具有同时写和执行的行为模式,因为其不需要注入新的恶意代码,取而代之的是重用漏洞程序中已有的函数完成攻击,让漏洞程序跳转到已有的代码序列(比如库函数的代码序列)。攻击者在实施攻击时仍然可以用恶意代码的地址(比如libc库中的system()函数等)来覆盖程序函数调用的返回地...
seedlab:return-to-libc
pang241的专栏
06-20 3333
声明:该教程是根据Seed Lab: return-to-libc的实验要求所写的,该教程只是演示了一下return-to-libc的一些基本的攻击原理,由于关了编译器及系统的一些保护措施,所以并不能在实际的情况下实现攻击(′▽`〃)一:背景介绍DEP数据执行保护溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的
linux进程栈溢出,Linux(x86)栈溢出exploit开发技巧“return-to-libc
weixin_32864391的博客
05-10 271
原标题:Linux(x86)栈溢出exploit开发技巧“return-to-libc”序言:早期的栈溢出是利用溢出点将shellcode(一段实现特定功能的二进制代码)写入栈内,再将函数的返回地址修改为jmpesp的指令地址上去,进而控制eip寄存器执行我们的shellcode。后来linux系统使用不可执行位(NX bit)的加固技术(Windows操作系统与之对应的就是DEP(Data Ex...
软件安全实验——lab9(缓冲区溢出return-to-libc绕过非可执行堆栈)
Onlyone_1314的博客
08-11 1518
目录标题1、实验室概况2、实验室任务2.1初始设置2.2脆弱程序2.3任务1:利用漏洞(1) 编译程序(2)找到“\bin\sh”的地址(3)查找libc函数的地址:(4)确定输入和bof函数的返回地址的距离(5)攻击代码(6)攻击Task 1附加任务(1)pop %esp(2)按照下图构造地址序列:(3)/bin/sh和/usr/bin/的地址(4)system函数和setuid函数的地址(5)确定输入和bof函数的返回地址的距离(6)修改buf数组大小(7)在Bof函数返回的地址设断点(8)攻击3、指导
全志T113-S3
最新发布
05-04
### 全志T113-S3芯片及相关开发板概述 全志T113-S3是一款基于ARM架构的低功耗处理器,广泛应用于嵌入式系统和物联网设备中。该芯片集成了丰富的硬件资源,能够满足多种应用场景的需求[^1]。 #### 芯片规格 全志T113-S3的主要规格包括: - **CPU核心**:采用单核Cortex-A7架构,运行频率可达1GHz。 - **内存支持**:内置128MB DDR3内存,提供稳定的计算能力。 - **存储接口**:支持多种外部存储介质,如SD卡、eMMC以及SPI NAND闪存等[^1]。 - **外设接口**:提供了UART、I2C、SPI等多种通用串行通信接口,便于与其他外围设备互联。 - **图形处理单元(GPU)**:集成Mali400 MP GPU,适用于轻量级图像渲染任务。 - **视频编解码能力**:支持H.264编码/解码,适合多媒体应用场合。 #### 开发板特性 围绕T113-S3设计的开发板具备以下特点: - 提供完整的硬件平台,方便开发者测试与验证设计方案; - 支持通过Buildroot构建定制化的Linux操作系统镜像[^1]; - 搭载RTL8211系列网口PHY芯片,可实现可靠的以太网连接功能[^2]; #### 使用方法与工具链搭建 为了顺利开展基于此款SoC的应用程序编写活动,需完成如下准备工作: ##### 工具安装 在宿主机端执行必要的软件包部署操作之前,请确认已正确设置了交叉编译器路径变量等内容。如果发现缺少某些依赖项,则可通过APT管理器补充缺失组件实例命令展示如下所示[^3]: ```bash sudo apt-get update && sudo apt-get upgrade -y sudo apt-get install build-essential git-core libncurses5-dev zlib1g-dev gawk flex bison device-tree-compiler ccache python3-pip python-is-python3 wget curl libssl-dev bc rsync unzip p7zip-full dosfstools parted kmod lzop pv xz-utils qemu-user-static libc6-armhf-cross gcc-arm-linux-gnueabihf binutils-arm-linux-gnueabihf libstdc++-arm-linux-gnueabihf-dev libgl1-mesa-dev:i386 u-boot-tools ``` ##### 关键配置文件说明 以下是几个重要的配置文件及其作用简介[^4]: - `board.dts`:描述特定主板布局参数给内核使用的DTB(Dynamic Translation Buffer)源代码形式存在; - `uboot-board.dts`: 定义Uboot引导加载期间所需初始化细节信息 ; - `linux/config-5.4`: 默认启用的一套针对目标系统的Linux Kernel选项集合 ; - `sys_config.fex & sys_partition.fex`: 控制固件打包流程里涉及的各项设置定义. 以上构成了整个项目的基础框架结构图谱. ```python def generate_dtb(source_file, output_directory): """ A function to compile DTS files into DTB format. Args: source_file (str): Path of the input .dts file. output_directory (str): Directory where compiled dtb should go. Returns: str: Full path of generated binary blob after successfull compilation process completes successfully otherwise raises exception upon failure condition encountered during execution phase . """ import os try: base_name = os.path.basename(os.path.splitext(source_file)[0]) target_path = f"{output_directory}/{base_name}.dtb" result = os.system(f"dtc -O dtb -o {target_path} {source_file}") if int(result)==0: return target_path else: raise Exception("Failed while trying to convert provided dts definition!") except Exception as e: print(e) # Example Usage Scenario Below Here For Demonstration Purposes Only Do Not Execute Directly Without Modifications Accordingly To Your Environment Setup Requirements First! compiled_blob=generate_dtb("/path/to/my_board.dts","./build_output/") print(compiled_blob) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值