时时勤拂拭,勿使惹尘埃

TOC

Categories

Linux PWN(一)漏洞缓解机制&checksec


学习整理,参考:linux程序的常用保护机制

0x1 漏洞缓解机制

现代操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)就不能直接执行栈上的数据,存在ASLR各个系统调用的地址就是随机化的。
各种安全选择的编译参数如下:
NX:-z execstack / -z noexecstack (关闭 / 开启)
Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启)
PIE:-no-pie / -pie (关闭 / 开启)
RELRO:-z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启)

0x11 CANNARY(栈保护)

这个选项表示栈保护功能有没有开启。
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中将cookie信息称为canary。
gcc在4.2版本中添加了-fstack-protector-fstack-protector-all编译参数以支持栈保护功能,4.9新增了-fstack-protector-strong编译参数让保护的范围更广。
因此在编译时可以控制是否开启栈保护以及程度,例如:
gcc -fno-stack-protector -o test test.c  //禁用栈保护
gcc -fstack-protector -o test test.c   //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码

0x12 FORTIFY

fority是非常轻微的检查,用于检查是否存在缓冲区溢出的错误。适用情形是程序采用大量的字符串或者内存操作函数,如memcpy,memset,stpcpy,strcpy,strncpy,strcat,strncat,sprintf,snprintf,vsprintf,vsnprintf,gets以及宽字符的变体。
_FORTIFY_SOURCE设为1,并且将编译器设置为优化1(gcc -O1),以及出现上述情形,那么程序编译时就会进行检查但又不会改变程序功能
_FORTIFY_SOURCE设为2,有些检查功能会加入,但是这可能导致程序崩溃。
gcc -D_FORTIFY_SOURCE=1 仅仅只会在编译时进行检查 (特别像某些头文件 #include )
gcc -D_FORTIFY_SOURCE=2 程序执行时也会有检查 (如果检查到缓冲区溢出,就终止程序)
举个例子,一段简单的存在缓冲区溢出的C代码:
void fun(char *s) {
        char buf[0x100];
        strcpy(buf, s);
        /* Don't allow gcc to optimise away the buf */
        asm volatile("" :: "m" (buf));
}
用参数-U_FORTIFY_SOURCE编译:
08048450 <fun>:
  push   %ebp               ; 
  mov    %esp,%ebp
  sub    $0x118,%esp        ; 将0x118存储到栈上
  mov    0x8(%ebp),%eax     ; 将目标参数载入eax
  mov    %eax,0x4(%esp)     ; 保存目标参数
  lea    -0x108(%ebp),%eax  ; 数组buf
  mov    %eax,(%esp)        ; 保存
  call   8048320 <[email protected]>
  leave                     ; 
  ret
用参数-D_FORTIFY_SOURCE=2编译:
08048470 <fun>:
  push   %ebp               ; 
  mov    %esp,%ebp
  sub    $0x118,%esp        ; 
  movl   $0x100,0x8(%esp)   ; 把0x100当作目标参数保存
  mov    0x8(%ebp),%eax     ; 
  mov    %eax,0x4(%esp)     ; 
  lea    -0x108(%ebp),%eax  ; 
  mov    %eax,(%esp)        ; 
  call   8048370 <__strcpy_ch[email protected]>
  leave                      ; 
  ret
可以看到gcc生成了一些附加代码,通过对数组大小的判断替换strcpy, memcpy, memset等函数名,达到防止缓冲区溢出的作用。

0x13 NX(DEP)

NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
工作原理如图:

gcc编译器默认开启了NX选项,如果需要关闭NX选项,可以给gcc编译器添加-z execstack参数。
例如:
gcc -o test test.c                   // 默认情况下,开启NX保护
gcc -z execstack -o test test.c      // 禁用NX保护
gcc -z noexecstack -o test test.c    // 开启NX保护
在Windows下,类似的概念为DEP(数据执行保护),在最新版的Visual Studio中默认开启了DEP编译选项。

0x14 PIE(ASLR)

一般情况下NX(Windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工作。
内存地址随机化机制(address space layout randomization),有以下三种情况
0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址,stack和vdso页面随机化。
2 - 表示在1的基础上增加栈(heap)的随机化。
ASLR和DEP配合使用,能有效阻止攻击者在堆栈上运行恶意代码,可以防范基于Ret2libc方式的针对DEP的攻击。
Built as PIE:位置独立的可执行区域(position-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在的其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难得多。
liunx下关闭PIE的命令如下:
sudo -s echo 0 > /proc/sys/kernel/randomize_va_space
gcc编译参数:PIE:-no-pie / -pie (关闭 / 开启)
gcc -pie -o test test.c        // 开启PIE
gcc -no-pie -o test test.c        // 关闭PIE

0x15 RELRO

在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.
GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由linker指定binary的一块经过dynamic linker处理过 relocation之后的区域为只读。
设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。RELRO为” Partial RELRO”,说明对GOT表具有写权限。
gcc编译:
gcc -o test test.c                        // 默认情况下,是Partial RELRO
gcc -z norelro -o test test.c            // 关闭,即No RELRO
gcc -z lazy -o test test.c                // 部分开启,即Partial RELRO
gcc -z now -o test test.c                // 全部开启

0x2 checksec

checksec可以用来检查ELF可执行文件的保护属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等。
另外checksec工具只是一个shell脚本,不到2000行,可用来学习shell,源码参见:
http://www.trapkit.de/tools/checksec.html/
https://github.com/slimm609/checksec.sh/
下载安装:
//macOS需安装binutils,但只能检查elf文件,不支持mach-O
$ brew install binutils
$ git clone https://github.com/slimm609/checksec.sh.git
$ ln -s /*/checksec.sh/checksec /usr/local/bin/checksec //绝对路径
$ checksec
Usage: checksec [--output {cli|csv|xml|json}] [OPTION]

Options:

  --file (-f) <executable-file>
  --dir (-d) <directory> [-v]
  --proc (-p) <process name>
  --proc-all (-pa)
  --proc-libs (-pl) <process ID>
  --kernel (-k) [kconfig]
  --fortify-file (-ff)<executable-file>
  --fortify-proc (-fp) <process ID>
  --version
  --help
  --update

For more information, see:
  http://github.com/slimm609/checksec.sh
checksec的使用方法:
$ checksec -f /bin/bash
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH    Symbols        FORTIFY    Fortified    Fortifiable  FILE
Full RELRO      Canary found      NX enabled    PIE enabled     No RPATH   No RUNPATH   No Symbols      Yes    13        33    /bin/bash
另外gdb的peda插件自带有checksec功能,安装及使用方式如下:
//安装peda
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
$ gdb
//加载目标程序
gdb-peda$ exec-file ./wget-1.19.1/src/wget
//使用peda checksec
gdb-peda$  checksec
[+] checksec for './wget-1.19.1/src/wget'
Canary                        : No
NX                            : Yes
PIE                           : Yes
Fortify                       : No
RelRO                         : Partial