checksec原理分析与C语言重写2

于 2024-09-24 15:55:37 发布
阅读量1.8k 收藏 50
点赞数 34
文章标签: c语言 开发语言 linux 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Honker_Novice/article/details/142487193
版权

checksec项目开源 https://github.com/slimm609/checksec.sh

checksec是一个用于检测文件、进程、内核安全特性的开源项目,开源在使用shell脚本编写,主要应用在Linux平台。
根据项目主页描述,checksec项目最早由漏洞挖掘专家Tobias Klein编写,目前该项目主要由slimm609、teoberi等人维护。

C语言重写项目开源 https://github.com/fuxxcss/checksecc建议下载main版本

根据项目主页描述,checksecc是checksec的C语言重写版,并给出了详细的安装和使用教程。项目全部由C语言和Makefile编写,适合C语言的初学者学习。

  本章节将简要分析checksec检测进程和内核的原理,重点分析使用C语言重写该项目的逻辑。下文以checksec.sh和checksecc来区分二者。

checksec.sh进程检测

checksec.sh进程检测有以下五个用法。

## Checksec Options
--proc={process name}
--proc-all
--proc-libs={process ID}
--fortify-proc={process ID}
--extended

  进程检测的逻辑在 src/functions/proccheck.sh,检测进程的文件的同时额外检测seccomp。

Seccomp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call),Seccomp本身并不是一个沙盒,它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。

  在Linux系统下,一个进程如果由可执行文件生成,那么该可执行文件的链接保存在 /proc/{pid}/ 目录下,链接名称为exe。例如,下面checksec.sh对进程RELRO的检测,只是将文件名改成/proc/{pid}/exe,执行错误消息改成权限不足(not root)。

proccheck() {
  # check for RELRO support
  if ${readelf} -l "${1}/exe" 2> /dev/null | grep -q 'Program Headers'; then
    if ${readelf} -l "${1}/exe" 2> /dev/null | grep -q 'GNU_RELRO'; then
      if ${readelf} -d "${1}/exe" 2> /dev/null | grep -q 'BIND_NOW' || ! ${readelf} -l "${1}/exe" 2> /dev/null | grep -q '\.got\.plt'; then
        echo_message '\033[32mFull RELRO   \033[m   ' 'Full RELRO,' ' relro="full"' '"relro":"full",'
      else
        echo_message '\033[33mPartial RELRO\033[m   ' 'Partial RELRO,' ' relro="partial"' '"relro":"partial",'
      fi
    else
      echo_message '\033[31mNo RELRO     \033[m   ' 'No RELRO,' ' relro="no"' '"relro":"no",'
    fi
  else
    echo -n -e '\033[31mPermission denied (please run as root)\033[m\n'
    exit 1
  fi
...
}

  seccomp是进程额外的检测,这一特性的指定保存在/proc/{pid}/status空文件中。这里空文件特指保存在内核空间内存中的数据,内核以文件作为接口将其暴露出来,使得用户空间可以读写这块内存区域。

 # check for Seccomp mode
  seccomp=$(grep 'Seccomp:' "${1}/status" 2> /dev/null | cut -b10)
  if [[ "${seccomp}" == "1" ]]; then
    echo_message '\033[32mSeccomp strict\033[m   ' 'Seccomp strict,' ' seccomp="strict"' '"seccomp":"strict",'
  elif [[ "${seccomp}" == "2" ]]; then
    echo_message '\033[32mSeccomp-bpf   \033[m   ' 'Seccomp-bpf,' ' seccomp="bpf"' '"seccomp":"bpf",'
  else
    echo_message '\033[31mNo Seccomp    \033[m   ' 'No Seccomp,' ' seccomp="no"' '"seccomp":"no",'
  fi

checksecc进程检测

  上文解释了进程检测=文件检测+seccomp检测,逻辑很简单,我们重点关注checksecc对细节的处理,代码逻辑在 srcs/chk_proc.c :
  比如我们要检测进程的PID=1,首先,需要拼接好exe的路径 /proc/1/exe,使用readlink函数读取进程可执行文件的实际路径,保存在字符数组中。

void chk_proc(char *option,chk_proc_option cpo){
    DIR *dir=NULL;
	...
        char *proc=str_append("/proc/",option);
        dir=opendir(proc);
        if(dir == NULL) CHK_ERROR2(proc,"pid is not exist or not unprivileged(not root)");
        char *link=str_append(proc,"/exe");
        // max len 64
        char exe[64];
        int len=readlink(link,exe,64);
        if(len < 0) CHK_ERROR2(option,"Permission denied. Requested process ID belongs to a kernel thread");
        chk_linux_proc(proc,option,exe);
        break;
        ...
    ...
}

  这里需要注意的是:从1号进程往后的若干PID中,并非都是由可执行文件生成的,而是由0号进程创建的内核线程。如果我们使用ps命令查看,可以看到这些内核线程对应的内核函数,被[ ]框住。

root@debian:~/ ps -aux
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  0.0  0.1 164524 10808 ?        Ss   08:52   0:02 /sbin/init
root           2  0.0  0.0      0     0 ?        S    08:52   0:00 [kthreadd]
root           3  0.0  0.0      0     0 ?        I<   08:52   0:00 [rcu_gp]
root           4  0.0  0.0      0     0 ?        I<   08:52   0:00 [rcu_par_gp]
root           6  0.0  0.0      0     0 ?        I<   08:52   0:00 [kworker/0:0H-events_highpri]
root           8  0.0  0.0      0     0 ?        I<   08:52   0:00 [mm_percpu_wq]
root           9  0.0  0.0      0     0 ?        S    08:52   0:00 [rcu_tasks_rude_]
root          10  0.0  0.0      0     0 ?        S    08:52   0:00 [rcu_tasks_trace]
root          11  0.0  0.0      0     0 ?        S    08:52   0:00 [ksoftirqd/0]
root          12  0.0  0.0      0     0 ?        I    08:52   0:05 [rcu_sched]
...

  回到cheksecc对seccomp的检测,chk_linux_proc_seccomp函数对空文件/proc/1/status进行读取,并且在末尾加入\0以便对字符串Seccomp匹配。Seccomp有三个模式:No、Strict、BPF。

// check Seccomp mode
char *chk_linux_proc_seccomp(char *path){
    char *status=str_append(path,"/status");
    FILE *fp;
    // status is empty file, read 4096 bytes
    fp=fopen(status,"r");
    if(fp == NULL) CHK_ERROR4("open /proc/pid/status failed");
    char *seccomp=MALLOC(MAXBUF+1,char);
    if(fread(seccomp,sizeof(char),MAXBUF,fp) < 0) CHK_ERROR4("read /proc/pid/status failed");
    // need to add '\0'
    seccomp[MAXBUF]='\0';
    char *location=strstr(seccomp,"Seccomp:");
    if(location == NULL) CHK_ERROR4("Seccomp flag not found");
    // Seccomp:	x , flag=x
    unsigned int offset=9;
    char flag=*(location+offset);
    // collect resource
    fclose(fp);
    free(seccomp);
    if(flag == '0') return "\033[31mNo Seccomp\033[m";
    else if(flag == '1') return "\033[32mSeccomp strict\033[m";
    else if(flag =='2') return "\033[32mSeccomp-bpf\033[m";
    else return "Unknown Seccomp LEVEL";
}

内核检测

  内核检测的原理很简单,checksec.sh和checksecc都是读取内核运行的配置文件或空文件,从中作字符串匹配,以checksecc逻辑为例。

  1. 首先要找到配置文件,不同发行版的配置文件不同,如果默认编译选项CONFIG_IKCONFIG=y,则配置文件会以/proc/config.gz的形式保存。gz格式的文件需要包含#include<zlib.h>文件头调用gz族的函数处理。
char *chk_kernel_config(char *option,char **kconfig){
		...
        // set CONFIG_IKCONFIG
        gzFile gzfp;
        config="/proc/config.gz";
        gzfp=gzopen(config,"rb");
        if(gzfp != NULL) {
            size=gzFILE_SIZE(gzfp);
            if(size == 0) CHK_ERROR4("/proc/config.gz empty file");
            kernelinfo=MALLOC(size+1,char);
            size_t result=gzread(gzfp,kernelinfo,size);
            gzclose(gzfp);
            if(result < 0){
                free(kernelinfo);
                CHK_PRINT1("read /proc/config.gz failed");
            }
            else goto kernelinfo_ok;
         ...
}

  如果没有设置CONFIG_IKCONFIG,配置文件会在/boot/config-{release}或/usr/src/linux-headers-{release}/.config。

  1. 接下来在配置文件或空文件中匹配字符串,checksecc调用以下九个检测函数。
void chk_kernel(char *kernelinfo,char *option){
    // kconfig path
    char *kconfig=NULL;
    if(kernelinfo == NULL)
        kernelinfo=chk_kernel_config(option,&kconfig);
    // chk kernel feature
    char *(*chk_kernel_func[CHK_KERN_NUM])(char *)={
        chk_user_aslr,
        chk_kernel_aslr,
        chk_kernel_nx,
        chk_kernel_stack_canary,
        chk_kernel_stack_poison,
        chk_kernel_slab_freelist_hardened,
        chk_kernel_slab_freelist_random,
        chk_kernel_smap,
        chk_kernel_pti
    };
    char *chk_kernel_array[CHK_KERN_NUM]={
        "User ASLR",
        "Kernel ASLR",
        "Kernel NX",
        "Kernel Stack Canary",
        "Kernel Stack Poison",
        "Slab Freelist Hardened",
        "Slab Freelist Random",
        "SMAP",
        "PTI"
    };
    ...
 }

  上述九个安全特性是x86体系下常用的安全特性,这些特性以内核编译选项的形式提供配置,官方的描述在 https://www.kernelconfig.io/ 都可以找到。

  • 用户态ASLR不必多说,要启用内核态ASLR则需要在编译内核时选项CONFIG_RANDOMIZE_BASE=y,官方解释在https://www.kernelconfig.io/config_randomize_base,大意是随机化内核映像解压的物理地址和映射内核映像的虚拟地址,即:加载内核时要随机化物理地址、页表中内核的虚拟地址也要随机化处理。
  • 内核态NX,我们都知道NX的实现基于两点:1.CPU MMU支持NX功能 2.虚拟内存页设置不可执行权限,内核态NX和用户态NX没什么区别,在编译内核时选项CONFIG_STRICT_KERNEL_RWX=y,官方解释在https://www.kernelconfig.io/config_strict_kernel_rwx,映射内核时配置好只读数据权限,数据区、代码区权限即可。
  • 内核栈保护,checksecc检测了两项特性:Kernel Stack Canary和Kernel Stack Poison,分别对应编译选项CONFIG_STACKPROTECTOR=y和CONFIG_GCC_PLUGIN_STACKLEAK=y。
  • Slab链表保护,checksecc检测了两项特性:Slab Freelist Hardened和Slab Freelist Random,分别对应编译选项CONFIG_SLAB_FREELIST_HARDENED=y和CONFIG_SLAB_FREELIST_RANDOM=y。
  • SMAP是基于硬件的安全特性,最早在x86 CPU中引入,默认开启选项CONFIG_X86_SMAP=y,官方解释https://www.kernelconfig.io/config_x86_smap,意在阻止ret2usr攻击。
  • PTI,在没有页表隔离之前,进程不论在用户态还是内核态都使用同一个页表,这意味着当在用户态运行时,TLB中可能缓存内核态的地址映射,进而Meltdown漏洞可以通过CPU的预测执行来访问内核态地址。PTI通过让内核态和用户态使用独立的页表来规避Meltdown漏洞攻击,这也使得性能开销剧增。默认开启选项CONFIG_PAGE_TABLE_ISOLATION=y,官方解释https://www.kernelconfig.io/config_page_table_isolation
C语言编程2333
关注
checksec.sh:Checksec.sh
02-28
校验码 Checksec是一个bash脚本,用于检查可执行文件的属性(例如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source)。 它最初是由Tobias Klein编写的,其原始资源可以在这里找到: : 更新 **主要更新** 2.1.0 将结构更改为更具模块化,并切换到getopts,以便选项可以按任何顺序排列。 但是,例如format = json现在可以在结尾。 现在所有选项都需要--$option=$value而不是--$option $value --extended选项现在包括clang CFI和安全堆栈检查 最后更新:2020-08-15 对于OSX 大多数工具不适用于mach-O二进制文件或OSX内核,因此不受支持 手动验证checksec openssl dgst -sha256 -verify checksec.pub -
elf文件分析--checksec--检查gcc安全编译配置
samli的博客
09-23 1395
checksec介绍 相关链接: GitHub - slimm609/checksec.sh: Checksec.sh checksec.sh 使用截图: checksec源代码分析 Checksec是一个bash脚本,用于检查可执行文件的属性(例如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source)。 通过阅读源码可以知道,脚本只要调用了readelf来检测二进制文件的特征;所以执行环境中要可以执行readelf,不然会...
checksec检查可执行文件时,可以获得一系列与安全相关的属性信息。这些信息有助于开发者和安全专家评估目标程序的安全性,并采取必要的措施来增强安全性。
最新发布
Jingged的博客
03-12 1428
此外,为了确保二进制文件的安全性,除了使用checksec进行检查外,还应结合其他安全最佳实践,如使用最新的编译器和安全选项进行编译,实施最小权限原则,以及定期更新和修补安全漏洞等。请注意,checksec的输出可能会因不同的系统和工具版本而略有不同。因此,在实际使用中,最好查阅checksec的官方文档或相关资源,以获取最准确和最新的信息。在checksec的输出中,每个安全特性的开启和关闭状态都有特定的表示。执行这个命令后,checksec会输出关于该可执行文件的一系列安全特性的状态信息。
checksec
Trick的博客
11-10 3079
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 8860
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
checksec-快速的多平台(ELF / PE / MachO)二进制checksec命令行实用程序和库-Rust开发
05-27
用Rust编写的快速多平台(ELF / PE / MachO)二进制checksec。 *在积极的发展下,货物箱定期释放使用地精来进行以Rust编写的mu Fast multi-platform(ELF / PE / MachO)二进制检查。 *在积极开发下,货箱定期发布使用地精提供多平台二进制分析支持,并忽略快速递归路径迭代,该迭代遵循各种过滤器(例如glob,文件类型和.gitignore文件)和serde进行序列化/反序列化。 背景技术对于这种类型的工具存在大量的现有技术。 一些是独立的命令行实用程序,一些是框架或de的插件
编译原理实验预测分析C语言
07-28
编译原理实验 C语言 预测分析方法 预测分析 预测分析
编译原理-语义分析器(C语言源码)
06-01
总之,"编译原理-语义分析器(C语言源码)"是一个深入学习编译器技术的宝贵资源,通过实际代码的研读,可以加深对编译过程的理解,提升编程技能,尤其是对于那些对编译器设计和实现感兴趣的开发者而言,这是一个不容...
词法分析C语言编写(附实验报告)
04-17
C语言中编写词法分析器,我们需要对C语言的语法特性有深入理解,例如知道哪些字符组合可以构成合法的标识符,哪些是关键字,哪些是运算符,以及如何处理数字、字符串等常量。此外,我们还需要了解正则表达式或者...
c语言程序设计实验结果与分析,C语言程序设计实验报告(7)
weixin_39854288的博客
05-17 3929
C程序设计实验报告姓名:蔡鹏 实验地点:学校 实验时间:2020.06.03实验项目:8.31.指针基础及指针运算8.3.2.数据交换8.3.3.字符串反转及字符串连接8.3.4.数组元素奇偶排列一、实验目的与要求1、加强对学生对指针数据类型的理解,熟悉指针的定义、通过指针间接访问变量的方法2、加强对指针类型作为函数参数传递的理解。3、加强对字符指针及将指针作为函数的返回类型的理解,并通过指针对字...
winchecksec
01-12
winchecksec performs static detection of common Windows security features. The following security features are currently detected: ASLR: /DYNAMICBASE with stripped relocation entries edge-case /HIGHENTROPYVA for 64-bit systems Code integrity/signing: /INTEGRITYCHECK Authenticode-signed with a valid (trusted, active) certificate DEP (a.k.a. W^X, NX) Manifest isolation via (/ALLOWISOLATION) Structured Exception Handling and SafeSEH support Control Flow Guard and Return Flow Guard instrumentation Stack cookie (/GS) support
编译原理C语言词法分析
热门推荐
NK_test的博客
04-25 1万+
编译原理的实验:完成对C++语言的词法分析 先说一下整体框架: 基类:Base  封装了一些基础的字符判断函数,如下: int charkind(char c);//判断字符类型 int spaces(char c); //当前空格是否可以消除 int characters(char c);//是否是字母 int keyword(char str[]);//是否是关键字 in
checksec使用
学海无涯——豆豆专栏
09-26 771
checksec使用
checksec安装
、moddemod
02-27 9474
项目地址:https://github.com/slimm609/checksec.sh 这是一个shell脚本,直接下载下来就可用。 git clone https://github.com/slimm609/checksec.sh checksec是一个bash脚本,将其拷贝到任意全局bin目录下方便使用 可创建链接也可直接拷过去 可正常使用! 如果你已经安装了pwntools这个库,默认自带了checksec,就不需要安装了. 安装pwntools参考:https://moddemod.b
Linux下程序的保护机制(checksec)
Y_peak的博客
02-02 1936
Linux下程序的保护机制 前言 相信很多人,查看程序信息时会用到,checksec这个命令。它会给你返回如下图的结果,但是很多最开始看到的人,很多都看不懂,如果身为小白的我,跟在大佬后面比葫芦画瓢,这样用。这篇博文就是用来解释下面信息的,希望对你有所帮助,同时也是为了以后自己忘记可以回顾。 Stack Canary Stack Canray是专门针对栈溢出攻击涉及的一中保护机制。由于栈溢出攻击的主要目标是通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即返回地址前写入一个字长的随机数据(c
checksec及其保护机制
G653214的博客
11-11 1318
保护机制分析 Arch: 程序构架信息,判断是64位还是32位,exp编写的时候是p64还是p32 canary(栈保护): 栈溢出保护是一种缓存区溢出攻击手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cokie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败...
checksec脚本(检测可执行文件开启的各种安全机制)
weixin_42072280的博客
05-15 1万+
checksecchecksec是一个脚本软件,也就是用脚本写的一个文件,不到2000行,可用来学习shell。 源码参见 http://www.trapkit.de/tools/checksec.html https://github.com/slimm609/checksec.sh/ 下载方法之一为 https://github.c...
透过 checksec 学习 Linux 防溢出攻击保护措施
CHOOOU的博客
11-13 2086
最近用到了 checksec,想整理整理一些 Linux 防溢出的保护措施,因为容易弄混。。 Checksec是一个bash脚本,用于检查可执行文件的属性(如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source),例如: USER@NAME:~# checksec a [*] '/a' Arch: i386-32-little RELRO: ...
C语言编译原理:词法分析代码实战与理解
本资源是一份关于编译原理中词法分析C语言程序实现教程。课程的核心目标是设计和编写一个词法分析器,以便深入理解编译器构造中的词法分析阶段。这个阶段是编译过程的第一步,它将源程序分解为有意义的符号单元,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值