linux溢出总结+windows aslr地址随机化绕过

最新推荐文章于 2024-07-16 23:50:22 发布
转载 最新推荐文章于 2024-07-16 23:50:22 发布 · 746 阅读 · 0

本文详细介绍了在Linux环境下如何利用缓冲区溢出漏洞执行特定代码,包括直接调用函数、利用system函数执行命令以及使用pop-pop-return指令实现代码执行。同时,探讨了在Windows环境下如何绕过ASLR保护机制。

实验一 Linux下缓冲区溢出 
通过缓冲区溢出漏洞执行自己的代码 
【实验代码】 
这里写图片描述 
【实验目的】 
通过缓冲区溢出,使其执行not_called函数。 
【实验原理及结果】 
(1)编译程序(关闭掉栈保护): 
这里写图片描述 
(2)gdb调试程序 
查看vulnerable_function函数汇编代码 
这里写图片描述 
我们可以看到该函数开辟了一个0x6c大小的缓冲区 
| argument | 
| return address | 
| old %ebp> | <= %ebp 
| 0x6c bytes of | 
| … | 
| buffer> | 
| argument | 
| address of buffer> | <= %esp 
因此构造的buffer如下所示: 
| not_called>的地址 | 
| BBBB | 
| 0x41414141 … | 
| … (0x6c bytes of ‘A’s) | 
| … 0x41414141 | 
查看not_called函数的地址 
这里写图片描述 
因此,如下所示: 
我们构造的缓冲区结构如下: 
“A”*0x6c + “BBBB” + “\x44\x84\x04\x08”

这里写图片描述

缓冲区溢出漏洞改进版(1) 
【实验代码】 
实验代码同上 
【实验目的】 
第一次实验是通过缓冲区溢出执行自己的其他代码,这次主要是通过缓冲区溢出执行system函数,例如执行system(“/bin/sh”); 
【实验原理及结果】 
执行system函数,很明显要找到函数system以及字符串”/bin/sh” 
(1) 找到system函数,函数地址如下所示:0x8048360 
这里写图片描述 
(2) 找到字符串/bin/sh 
首先在main函数入口处设断点

这里写图片描述 
找到system的地址 
这里写图片描述 
根据system找到字符串”/bin/sh”的地址 
这里写图片描述 
(3) 构造buffer 
| 0x40197fb8 “/bin/sh” | 
| 0x43434343 fake return address> | 
| 0x8048360 address of system@plt> | 
| 0x42424242 fake old %ebp> | 
| 0x41414141 … | 
| … (0x6c bytes of ‘A’s) | 
| … 0x41414141 |

【运行结果】 
这里写图片描述 
缓冲区溢出漏洞(方法2)—利用pop-pop-return指令 
【原理分析】 
在这里我们使用pop-pop-return指令来执行代码 
栈构造的格式如下: 
| address of mov %eax, (%ecx)> | 
| value to write> | 
| address to write to> | 
| address of pop %ecx; pop %eax; ret> | 
【实验代码】 
这里写图片描述 
这里写图片描述

【实验目的】 
本次试验的目的是先去call add_bin函数然后call add_sh函数,最后call exec_string函数 
当我们call add_bin函数时,栈的结构如下: 
| argument> | 
| return address> | 
首先我们要先构造参数0xdeadbeef返回地址是pop;ret。这样的话,函数就会从栈中弹出oxdeadbeef然后返回到下一个地址中。 
| 0xdeadbeef | 
| address of pop; ret> | 
| address of add_bin> | 
Add_sh函数需要两个参数,我们使用指令pop;pop;ret 
| 0x0badf00d | 
| 0xcafebabe | 
| address of pop; pop; ret> | 
| address of add_sh> | 
因此我们总体构造的栈的结构是: 
| address of exec_string> | 
| 0x0badf00d | 
| 0xcafebabe | 
| address of pop; pop; ret> | 
| address of add_sh> | 
| 0xdeadbeef | 
| address of pop; ret> | 
| address of add_bin> | 
| 0x42424242 (fake saved %ebp) | 
| 0x41414141 … | 
| … (0x6c bytes of ‘A’s) | 
| … 0x41414141 | 
【实验步骤】 
1.查看pop;ret pop;pop;ret 以及三个函数的地址 
Pop;ret的地址0x80484b7 
Pop;pop;ret的地址为0x80484b6 
函数add_bin:0x8048428 
函数add_sh的地址0x804846e 
函数exec_string的地址为0x8048414 
(2)构造shellcode 
这里写图片描述 
这里写图片描述

实验二windows缓冲区溢出绕过ASLR

【原理】

加载程序不再使用固定的基址加载,从而干扰 shellcode 定位的一种保护机制 
在 VS2005 VS2008 中启用里链接/dynmicbase 链接选项可以开启 ASLR 保护,如图为 vs 中 ASLR 的编 译选项:

这里写图片描述 

VS2008 VS2013 linker->Randomized Base Address 设置ASLR


ASLR 保护措施: 
1. 映像随机化: 
在 PE 文件映射到内存中时,对其加载的虚拟地址进行随机化处理,这个地址在系统启动 时确定,系统重启后这个地址会变化。但是虽然模块的加载基址变化了,但是各模块的入口点地址的低两位是不变的,也就是说映像随机化只是对加载基址的前两个字节做了随机处理。两次开机重启之后 PE 文件映射到内存中位置是不同的。 
这里写图片描述

2.堆栈随机化 
每个线程的堆栈基址都做了随机化处理,使得程序每次运行变量的地址都不相同。在程序运行时随机的选择堆栈的基址,与映像基址随机化不同的是堆栈的基址不是在程序启动 时候确定的,而是在打开程序的时候确定的,也就是说在同一个程序任意两次运行时的堆栈 基址都是不同的,进而各变量在内存中的位置也是不确定的。这种处理只能防止精准攻击, 但是由于跳板指令的使用使得程序不需要精准跳转,只需要跳到一个大概的位置即可。 如图,第一次运行程序时堆栈的位置如图: 
这里写图片描述

两次运行该代码堆栈情况分别如下: 
这里写图片描述 
这里写图片描述 
3.PEB 和 TEB 随机化 
编写程序获取当前进程的 TEB 和 PEB,TEB 存放在 FS:0 和 FS:[0x18]处,PEB 放在 TEB 
运行了几次,进程的 PEB,TEB 的地址没有什么变化,说明 ASLR 对 PEB(Process Environment Block,进程环境块)和 TEB(Thread Environment Block,线程环境块)的随机化并不好。

 

【攻击手段】

1.攻击未启用 ASLR 模块 
在当前进程里面找到一个使用 ASLR 的模块,利用它里面的指令来做跳板,跳入到 
shellcode 里面即可。 
2.利用 Heap apray 技术定位内存地址 
通过申请大量的内存,占领内存中的 0x0C0C0C0C 的位置,并在这些内存中放置 0x90 和

shellcode,最后控制程序转入 0x C0C0 C0C0 执行,在函数执行返回执行后就会转入我们申请 的内存空间中。 
3.利用 Java applet heap spray 技术定位内存空间 
4.用.NET 控件禁用 ASLR 
5.利用部分覆盖进行定位内存地址 映像随机化只是对映像加载基址的强两个字节做随机化处理,我们可以选择覆盖这个地址的 
最后一个字节;此外,ASLR 只是随机化了映像的加载基址,而没有对指令序列进行随机化, 
也就是说指令的执行相对于基址的位置是相对不变的。 
【利用部分覆盖进行定位内存地址】

3.1 实验环境

操作系统 Windows Vista SP0 
DEP 状态 Option 
编译器 Visual Studio 2008 
优化选项 禁用优化选项 
GS 选项 GS 关闭 
DEP 选项 /NXCOMPAT.NO 
Build 版本 Release 版本

3.2 实验代码 
这里写图片描述 
实验思路和代码的简要解释: 
(1)为了直观地反映绕过 ASLR 的过程,本次编译的程序不启用 GS 
(2)编译程序禁用 DEP 
(3)Test 函数中存在典型的溢出漏洞,通过复制超长字符串可以覆盖函数返回地址。 
(4)复制结束后,test 函数返回 tt 字符数组的首地址 
(5)我们找到跳板指令 call eax,用它地址的后两个字节覆盖返回地址的后两个字节 
3.3 实验步骤 
(1)先将 she llcode 设置为 2 62 个字节的 0x90,并将 memcpy 函数中的复制长度设置为 
262,用 od 加载,找到 call eax 对应的地址的后两个字节 
这里写图片描述

(2)构造 shellcode 
构造之后的 shellcode 代码如下: 
这里写图片描述

3.4 运行之后实验结果: 
这里写图片描述

【实验分析】 
(1)main 函数,栈中的变化图下图所示: 
这里写图片描述 
发现 call eax 的地址的后两位为 141C

(2)Call test 单步进入 test 函数: 
这里写图片描述

在 test 函数中,是一个典型的缓冲区溢出的代码,memcpy 将 26 2 字节的 shellcode 复制到 了栈中,由于栈开辟了 256 个字节的空间,这样的话,就会发生缓冲区溢出,多出来的 6 个字节就会淹没掉 ebp 以及返回地址的最后两个字节,这两个字节里面的内容如下。 
这里写图片描述

很明显函数的返回地址就是 call eax 的地址。 
这里写图片描述

所以在函数返回的时候代码会跳到 call eax 这条指令的地方,由于 eax 中存放的是 shellcode的首地址,这样我们就转到了 shellcode 里面并执行恶意代码,达到目的。

whatday
关注
pwn学习---ret2libc绕过地址随机化
gclome的博客
04-10 1422
前情回顾 之前的实践中,当我们开启了栈不可执行,但是关闭了地址随机化,我们可以通过找到system“/bin/sh”的地址,然后利用溢出跳转到system“/bin/sh”的地址去执行,当然,这一切都基于关闭了地址随机化,使得 system() 函数在内存中的地址是不会变化的,并且 libc.so 中也包含 “/bin/sh” 这个字符串,这个字符串的地址也是固定的。 那么问题来了。。。。。。 如...
二进制漏洞挖掘之栈溢出-开启NX开启ASLR
ylcangel的专栏
10-18 1153
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
绕过PE文件地址随机化
11-21
通过修改分析PE文件中的属性,修改地址随机化标志,并对PE文件进行重建,绕过PE文件地址随机化,方便逆向时地址的分析
linux地址随机化ASLR,linux溢出总结+windows aslr地址随机化绕过
weixin_29762151的博客
05-14 582
实验一 Linux下缓冲区溢出通过缓冲区溢出漏洞执行自己的代码【实验代码】 【实验目的】通过缓冲区溢出,使其执行not_called函数。【实验原理及结果】(1)编译程序(关闭掉栈保护): (2)gdb调试程序查看vulnerable_function函数汇编代码 我们可以看到该函数开辟了一个0x6c大小的缓冲区| argument || return address || old %ebp...
linux地址随机化ASLR,[翻译]Linux (x86) Exploit 开发系列教程之六(绕过ASLR - 第一部分)...
weixin_30404219的博客
05-14 297
前提条件:经典的基于堆栈的缓冲区溢出虚拟机安装:Ubuntu 12.04(x86)在以前的帖子中,我们看到了攻击者需要知道下面两样事情堆栈地址(跳转到shellcode)libc基地址(成功绕过NX bit)为了利用漏洞代码。 为了阻止攻击者的行为,安全研究人员提出了一个称为“ASLR”的漏洞利用。什么是 ASLR?地址空间布局随机化(ASLR)是随机化的利用缓解技术:堆栈地址地址共享库地址一旦...
Linux ASLR
weixin_30687051的博客
08-12 150
ASLR(Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率,如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。 转自...
Linux x86 漏洞开发系列教程:从栈溢出ASLR绕过
6. **绕过ASLR(Address Space Layout Randomization)**:ASLR是另一种安全措施,随机化程序内存布局以增加攻击难度。教程涵盖了多部分方法来规避ASLR,包括利用特定漏洞和技巧。 7. **理解glibcmalloc**:glibc是...
Linux ELF 32位与64位ASLR绕过漏洞利用技术
在某些情况下,堆栈喷射可以被用来绕过ASLR,使得攻击者即使在地址随机化的情况下也能预测或控制程序的执行流。 标题中提到的“ASLR bypass exploit with stack-spraying”表明了文档或代码提供的内容是关于如何...
Linux ELF x32/x64 ASLR绕过与堆栈喷涂利用技巧
3. 堆栈喷涂(Stack Spraying)技术:堆栈喷涂是一种安全漏洞攻击技术,通常用于绕过安全控制,如地址空间布局随机化ASLR)。此技术涉及向内存中的堆栈注入大量预设值(通常称为“画笔”或“垫片”),以便在程序...
linux-aslr:概述Linux ASLR的基本缺陷
05-20
Linux ASLR已损坏。 基本上,只要有一些合理的前提条件,您就可以将单个mmap的泄漏变成对ASLR的全面妥协。 而且,在某些公认的半罕见的上下文中,您应该能够盲目绕过linux ASLR。 前提条件是: 您可以访问相同的二进制文件。 理想转速 您知道有关分配的顺序; 这比给定prefork unix服务模型的听起来要微不足道 如果您可以获取分配结果,从而导致调用mmap()并将其指针变成映射的基地址,那么您可以对此指针执行简单的算术,以识别出该模块中任何模块的地址地址空间。 修复应为: 在分配器中引入更多的熵; 具体看一下OpenBSD如何使用arc4来做到这一点。 随机化模块加载顺序 消除将映射放置在地址空间中可预测位置的mmap基本偏差 原始目录包含一堆vsftp进程(每次重新启动服务)的/ proc / $ pid / map输出,这表明模块之间的空间未被随机分
Linux平台的ASLR机制
╰☆╮EvilCode的专栏╭☆╯
07-12 465
https://blog.youkuaiyun.com/Plus_RE/article/details/79199772
Linux下的内存安全机制随笔——ASLR
小小鱼的博客
09-01 606
linux中开启/关闭ASLR机制可以通过修改**/proc/sys/kernel/randomize_va_space**文件来实现,文件为不同数值表示不同的ASLR状态: 0:关闭ASLR 1:部分开启ASLR,只对 mmap()分配的内存地址、共享库、栈以及VSDO进行地址随机化 2:完全开启ASLR,除了1状态下随机化地址外,增加对brk()分配的内存地址随机化 注意: ASLR不会对程序的代码段和数据段(data、bss段)进行随机化Linux下代码段和数据段的随机化是通过PIE机制实现的
Linux ASLR的实现
weixin_30377461的博客
07-05 258
ASLR大家都会听说过,但是Linux平台下应用程序的ASLR的情况是怎么样的呢?我在这里将ASLR分为几个小的部分来阐述,包括了栈的随机化,堆的随机化,mmap的随机化,以及pie程序运行时的主模块随机化。目的是为了知道随机化了哪些比特,随机了多少比特。 我在这里以Linux 4.11.4进行分析,以x64为代表,分析通过静态观察内核的源代码和动态调试内核源代码结合。在这里分析的是用户态程序的...
Windows下的ASLR保护机制详解及其绕过
WdIg-2023的博客
04-09 2098
我们前面已经详细介绍过GS,SafeSEH,和DEP保护机制,大家想一想,如果没有开启任何保护,如果程序存在漏洞我们是不是很容易攻击成功?就算开了前面已经介绍过的保护,我们也有很容易的方法突破这些保护,进而完成攻击。那么我们再次站在开发者的角度,我们如何制定一种保护机制,从而让攻击很难完成呢?
Linux下的ASLR(PIE)内存保护机制
weixin_30454481的博客
06-13 1022
1.1 Linux下的ASLR内存保护机制 1.1.1 Linux下的ASLR工作原理 工作原理与window下的aslr类似 1.1.2 Linux下利用内存地址泄露绕过ASLR ⑴. 原理分析: 那么如何解决地址随机化的问题呢?思路是:我们需要先泄漏出libc.so某些函数在内存中的地址,然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/s...
LinuxASLR功能与 -no-pie 选项说明
wojiaxiaohuang2014的博客
11-11 6098
LinuxASLR功能与 -no-pie 选项说明
Linux基础 -- 运行安全之ASLR的作用与实现方式
最新发布
sz66cm 学习随笔
07-16 1153
ASLR 通过随机化进程的内存地址空间布局,有效地增加了攻击者利用已知漏洞进行攻击的难度,从而提升了系统的安全性。通过观察简单的 C 程序的运行结果,我们可以直观地看到 ASLR 对内存地址布局的影响。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值