前言
linux系统提供了很多安全机制来降低程序受到缓冲区溢出等攻击手法的攻击,而我们需要使用这些攻击手法来进行攻击,所以就要熟悉常见的安全机制,知己知彼,才能成功实施攻击。
checksec
checksec是一个检查linux程序开启的安全机制的shell脚本,脚本并不大,可以直接从github下载并使用:
https://github.com/slimm609/checksec.sh/
gdb的peda插件也带有checksec脚本,由于我们之后还要频繁使用gdb的分析二进制程序,所以直接使用gdb-peda中的checksec
gdb-peda安装:
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
安装完成后原本的gdb会变成gdb-peda
./checksec
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x400000)
RELRO
RELRO机制全名是read only relocation,指定binary的一块区域使其权限变为只读。
在linux程序中,很多攻击都是由于存储数据的区域被写入恶意代码进行的,设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,RELRO机制主要可以缓解对GOT表的攻击(Global Offset Table)。
Partial RELRO: gcc -Wl, -z, relro:
ELF节重排
.got, .dtors,etc. precede the .data and .bss
GOT表仍然可写
Full RELRO: gcc -Wl, -z, relro, -z, now
支持Partial RELRO的所有功能
GOT表只读
gcc中可以通过编译选项控制RELRO
gcc -o test test.c // 默认情况下,是Partial RELRO
gcc -z norelro -o test test.c // 关闭,即No RELRO
gcc -z lazy -o test test.c // 部分开启,即Partial RELRO
gcc -z now -o test test.c // 全部开启,即Full RELRO
CANARY/STACK
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。
当启用栈保护后,函数开始执行的时候会先往栈里插入随机值,当函数真正返回的时候会验证随机值是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将随机值给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将随机值称为canary。
canary所在位置图解:
High
Address | |
+-----------------+
| args |
+-----------------+
| return address |
+-----------------+
rbp => | old ebp |
+-----------------+
rbp-8 => | canary value |
+-----------------+
| 局部变量 |
+-----------------+
Low | |
Address
gcc编译时,可通过编译选项选择是否启用canary机制
gcc -o test test.c // 默认情况下,不开启Canary保护
gcc -fno-stack-protector -o test test.c //禁用栈保护
gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码
FORTIFY
FORTIFY机制用于检查程序是否存在缓冲区溢出错误,适用于memcpy,memset,stpcpy,strcpy,strncpy,strcat,strncat,sprintf,snprintf,vsprintf,vsnprintf,gets等函数。
在函数编译时,加入FORTIFY机制的代码会在编译过程中自动添加一部分代码,判断数组的大小,削减缓冲区溢出的危害。
gcc编译时,默认不开启FORTIFY机制,可通过编译选项选择开启的FORTIFY机制强度
gcc -D_FORTIFY_SOURCE=1 仅仅只会在编译时进行检查
gcc -D_FORTIFY_SOURCE=2
NX
NX是No-execute的缩写,设置NX会限制数据页面内存中不可执行代码,如果开启的话就不能让IP寄存器指向堆栈。若程序尝试在被限制内存中执行代码,CPU会抛出异常。这种防御手段可以很好的克制ret2shellcode方式的攻击手段。
gcc默认开启NX机制防止数据内存中执行代码,可以通过编译选项关闭NX机制
gcc -z execstack 关闭NX保护
gcc -z noexecstack 开启NX保护
在Windows下,类似的概念为DEP(数据执行保护),在最新版的Visual Studio中默认开启了DEP编译选项。
PIE/ASLR
PIE叫做代码部分地址无关,PIE能使程序像共享库一样在主存任何位置装载,这需要将程序编译成位置无关,并链接为ELF共享对象。
PIE和内存地址随机化机制ASLR(address space layout randomization)会同时工作,如果不开启PIE的话,那么每次ELF文件加载的地址都是相同的。如果开启PIE,那么每次都会不同。
liunx下关闭PIE的命令如下:
sudo -s echo 0 > /proc/sys/kernel/randomize_va_space
linux中ASLR的等级
在linux系统中ASLR被分为0,1,2三个等级,可以通过 sudo bash -c "echo 2 > /proc/sys/kernel/randomize_va_space" 设置。
0)没有随机化。即关闭ASLR。
1)保留的随机化。共享库、栈、mmap()分配的内存空间以及VDSO将被随机化。
2)完全的随机化。在1的基础上,通过 brk()分配的内存空间也将被随机化。
gcc中可以通过编译选项选择不同强度的PIE
gcc -o test test.c // 默认情况下,不开启PIE
gcc -fpie -pie -o test test.c // 开启PIE,此时强度为1
gcc -fPIE -pie -o test test.c // 开启PIE,此时为最高强度2
gcc -fpic -o test test.c // 开启PIC,此时强度为1,不会开启PIE
gcc -fPIC -o test test.c // 开启PIC,此时为最高强度2,不会开启PIE
