checksec及其保护机制

最新推荐文章于 2025-05-14 12:20:32 发布
最新推荐文章于 2025-05-14 12:20:32 发布
阅读量1.8k 收藏 32
点赞数 25
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62531518/article/details/146921383
版权

pwn四大保护

对保护机制在稍微学习一下

NX保护

简述原理:全称为No-eXecute即不可执行的意思,在Linux中,开启nx保护后,程序载入内存后,将text保存可执行权限,stack(栈)、data(数据段)、bss(未初始化全局变量段)设置为不可执行权限

主要防护攻击:

shellcode攻击

bss栈迁移攻击

绕过方式:(但没必要,一般有很多其他方法做题)

利用mrprotect将地址段提权为可执行

开启了nx保护的权限

1732874553486

关闭nx保护的权限

1732874565675

stack、data、bss都失去了可执行权限,我们就是可以读入shellcode到这些区域,也无法执行shellcode

如果我们没开启nx保护的话,例如将shellcode读入到bss段即可,然后控制返回地址就可以执行我们读入的shellcode了,因为栈存在可执行权限

1732874574480

但如果开启了nx保护的话,光看栈的话你会觉得没什么区别,照样会正常返回,但是由于缺失了可执行权限导致后续的代码不能执行的,而上面哪些代码可以正常执行是因为在test段存在可执行权限

1732874580404

canary保护(栈保护)

简述原理:canary保护主要用于防范栈溢出漏洞,开启了canary保护后,会在程序启动的时候从fs/gs寄存器附近取到一个00结尾的随机值,一般会填充到rbp(或ebp)寄存器的上方,当函数结束时候会检查这个栈上的值(canary)是否和存进去的值一样,如果canary被修改则触发_stack_chk_fail导致程序终止。(且不同线程的canary不相同)

1732874588870

主要防范攻击:

栈溢出攻击

绕过方法:

泄露canary(格式化字符串,函数截断)

canary爆破(逐位爆破,针对于fork函数的程序)

ssp打印(ubuntu16之后不适用)

tls劫持

canary判断

1732874608111

canary报错

1732874616537

调试中的canary

1732874622987

将其覆盖掉的话就会导致后续的_stack_chk_fali检查不通过

1732874630575

1732874638821

其实对于canary来说呢,它就像是晚上必经路上的路灯,它坏了,你的路也走不下去了,我们进行栈溢出攻击的时候,你给他摘下来擦擦,安上去更亮了,你的路也好走了

PIE保护(ASLR)

简述原理: pie保护是针对于text(代码段)、data(数据段)、bss(未初始化全局变量段)等固定地址随机化的防护技术,开启pie保护后,每次加载程序时都变化加载地址,从而不能使用ROPgadget等一些工具来帮忙解题,但是程序中的相对寻址不会改变(相对于基址的偏移),如果可以获得基址的话加上偏移(一字节8个字节,低12位是不变的)我们依旧可以找到对应的程序地址、段地址

主要防范攻击:

ret2libc

rop链攻击

程序信息泄露

绕过方式:

泄露基地址(格式化字符串,函数字符串截断)

partial write(爆破低位字节)

未开启pie在ida中的地址显示

1732874653811

你可以直接在gdb中查看到代码段内容

1732874661234

开启了pie在ida中的地址显示

1732874785878

你无法直接用偏移查看内容

1732874796525

而你加上基地址就可以了

1732874807679

1732874814031

做开启pie的题的时候一般利用格式化字符串泄露地址,在减去偏移找到基地址,在加上ida中的偏移找到对应地址就可以像没开启pie一样使用了

1732874824165

其实对于pie保护的话,只是为了让你没法直接获得具体的地址,而进行的随机化,可是程序也要寻址执行函数,如果无迹可寻那是不可能的,而这个逻辑就是我们所说的地址偏移(对于基址的相对寻址),libc的寻址亦是如此

RELRO保护

简述原理:由于got表和plt表以及延迟绑定的原因,导致got.plt必须可以写,这就给了攻击者篡改got表劫持程序的可能,RELRO保护机制就是为了解决延迟绑定的安全问题,在程序启动时就解析并保定所有的动态符号,从而避免got表地址被修改

延迟绑定简述:plt(程序连链接表)存储了一个跳表,在第一次执行一个函数的时候进行跳转执行函数并往got表(全局偏移量表)中填充真实地址

详细的可以自己看看延迟绑定(pwn第三课)-优快云博客

主要防范攻击:

修改got表

绕过方式:(但是一般没必要,很多方法可以攻击)

利用mrprotect将got地址段提权为可写

这是未开启RELRO保护的情况

刚运行程序的got表情况,很多函数还并没有进行第一次调用,got表中还没存入真实地址,所以还要存在可写权限去修改

1732874840313

got地址段权限

1732874848427

这是开启了RELRO保护

程序启动got表的情况,got表中已经存入了真实地址,然后就失去了可写的权限

1732874857663

got地址段权限

1732874866434

对于RELRO保护来说,其实就是在最开始不需要执行函数就进行了got表绑定,然后将got地址段设置为了不可写(也就是后续程序不能在修改了)而防止修改got表的防御

链图片转存中…(img-JB6eV2BY-1743508235227)]

got地址段权限

[外链图片转存中…(img-QoZLaJvy-1743508235227)]

对于RELRO保护来说,其实就是在最开始不需要执行函数就进行了got表绑定,然后将got地址段设置为了不可写(也就是后续程序不能在修改了)而防止修改got表的防御

NEWYM__
关注
Linux缓冲区保护机制
山高路远
04-10 3729
前言 为了更好地对缓冲区进行利用,十分有必要了解一下checksec所检查出的漏洞缓解措施都意味着什么 如图上所示,RELRO、Stack、NX、PIE四种保护机制,下方介绍时,括号里的是在Windows系统中的名称 以下主要来源于《从0到1CTFer成长之路》 一、NX(DEP) NX即是No-execute,不可执行。原理是通过现代操作系统的内存保护单元机制(MPU)对程序内存按页的粒度进行权限设置,其基本规则为可写权限与可执行权限互斥。因此开启了NX的程序代表着堆栈上写入的代码数据将不可被执行,也就
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 1082
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
checksec及其包含的保护机制
Kelly_Young的博客
09-20 1947
转载自: http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ 作者: Yun liunx checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的...
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 8935
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
elf文件分析--checksec--检查gcc安全编译配置
samli的博客
09-23 1585
checksec介绍 相关链接: GitHub - slimm609/checksec.sh: Checksec.sh checksec.sh 使用截图: checksec源代码分析 Checksec是一个bash脚本,用于检查可执行文件的属性(例如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source)。 通过阅读源码可以知道,脚本只要调用了readelf来检测二进制文件的特征;所以执行环境中要可以执行readelf,不然会...
pwn学习---保护机制
gclome的博客
03-20 2702
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR(PIE)的话各个系统调用的地址就是随机化的。 解读: Arch: i386-32-little ...
Linux保护技术绕过小结
kelxLZ的博客
12-30 1645
Linux保护技术绕过小结 Author:ZERO-A-ONE Date:2020-12-30 一、基础知识 1.1 内存布局 大部分的Linux操作系统的内存布局: .text 汇编代码 .data 有初始值的数据 .bss 无初始值的数据 heap 堆 shared object 共享对象区域(libc.so之类的) stack 栈 kernel-area 内核区域 实际大概像这样: gdb-peda/pwndbg 下可以直接使用vmmap 也可以通过cat /proc/$PID/maps
ctf wiki pwn(入门实操)
至臻求学,胸怀云月
01-11 2541
gets函数溢出 源码 #include <stdio.h> #include <string.h> void success() { puts("you are succeed!"); } void volunter() { char s[12]; gets(s); puts(s); re...
windows pwn 基础知识
sky123博客
06-21 5654
在 Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 6535
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
x64dbg插件Checksec助力C/C++开发安全检查
通过上述内容,我们可以了解到x64dbg及其checksec插件的基本概念、功能、应用场景以及如何进行调试和版本迭代。同时,我们也了解到如何使用Visual Studio 2017来编译和开发这样的工具。对于C/C++开发者来说,这是一...
ctfshowpwn
01-15
在尝试解决任何具体的 PWN 题目前,应该先掌握一些基础的安全机制及其绕过方法[^2]: - DEP (Data Execution Prevention): 数据保护防止被执行 - ASLR (Address Space Layout Randomization): 地址空间布局随机化 -...
pwn ret2shellcode
young‘s blog
02-08 1737
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
深入剖析 Linux 进程的睡眠与唤醒机制
Cheese_Y的博客
05-13 952
Linux 进程的睡眠与唤醒机制是操作系统实现高效资源管理和任务调度的基石。从基本概念到实现机制,再到实际应用与调试,这一机制贯穿于系统运行的各个环节。深入理解并熟练掌握这一机制,不仅有助于优化系统性能,还能在面对进程阻塞、资源争用等问题时快速定位和解决问题。随着 Linux 内核的不断演进,睡眠与唤醒机制也在持续优化,以适应日益复杂的应用场景和硬件环境。以上详细阐述了 Linux 进程睡眠和唤醒的相关内容。若你对其中某部分还想深入了解,或有其他技术方向想探讨,欢迎随时和我说。
Linux文件编程——write函数
weixin_45720999的博客
05-12 497
函数是一个系统调用,用于将数据从缓冲区写入文件描述符(file descriptor)指向的文件或设备。它是 Unix/Linux 系统编程中非常重要的底层 I/O 操作之一。,可以高效、可靠地完成文件 I/O 操作。在 Linux 文件编程中,
Linux干货(三)
最新发布
2501_91732643的博客
05-14 768
从B站黑马程序员Linux课程摘选的学习干货,新手友好!若有侵权,会第一时间处理。目录前言1.which find命令1.which命令2.find命令2.grep wc 管道符1.grep命令2.wc命令3.管道符3.echo tail 重定向符1.echo命令2.`反引号符3.重定向符4.tail命令4.vi编译器1.vi/vim编辑器2.基础命令3.运行模式1.命令模式2.输出模式3.底线命令模式。
Linux sysvinit 系统启动
求变,从思想开始
05-12 619
智能座舱,车机仪表系统
[Linux]从零开始的STM32MP157 Busybox根文件系统构建
c858845275的博客
05-11 891
讲解了STM32MP157 使用Busybox构建根文件系统以及根文件系统挂载!
使用checksec检测是否开启重定向保护
03-19
`checksec` 是一款用于检查 ELF、PE 或 Mach-O 等二进制文件安全特性的工具,它可以快速帮助开发者评估目标程序的安全状况。通过 `checksec` 我们可以方便地了解诸如 NX(No-eXecute)、PIE(Position Independent Executable)、Canary、RELRO (Relocation Read-Only)等关键防护功能是否已启用。 关于您提到的“重定向保护”,实际上对应的是 **RELRO (Read-only relocations)** 设置情况。下面详细讲解一下如何用 `checksec` 来检测这项设置: ### 检测步骤 假设我们要对名为 `example.bin` 的二进制文件进行分析,首先安装好 checksec 工具之后就可以直接运行命令: ```bash checksec --file=example.bin ``` 这会生成一份详细的报告,其中包含以下内容片段: ``` RELRO STACK CANARY NX PIE RPATH RUNPATH FILE Partial RELRO No canary found NX enabled PIE enabled No RPATH No RUNPATH example.bin ``` 从上述示例结果来看,“Partial RELRO” 表明此应用仅实现了部分重定位表只读化;理想状态下我们应该追求 "Full RELRO" ,即完整版的重定向保护。 #### 结果解释 - **Full RELRO**: 动态解析过程完成后立即把 GOT 区域置为只读,提供最强有力的防御能力。 - **Partial RELRO**: 在初始化阶段就把静态解析的部分标记成不可更改状态,不过对于剩余那些需待到运行时期再解决的地方依旧允许写入操作直至整个动态装载结束才改设限。所以相比之下 Full RELRO 更加稳妥可靠些。 ### 总结 如果希望获得更强硬的抗攻击性能的话,则务必争取做到全盘式 RELRO 加固而非仅仅满足于局部层级的实施而已。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值