在缓冲区溢出、UAF(use-after-free)等常见漏洞利用中, 攻击者往往能够成功地控制线程调用栈中的返回地址或保存程序跳转目标(代码指针)的寄存器, 形成控制流劫持.通过将控制流重定向到其所期望的任何有效代码区域, 即可造成任意代码执行的高风险威胁.在早期的漏洞利用中, 攻击者直接将所劫持的控制流重定向到已精心布局(注入)在栈或堆中的外部代码(shellcode), 进行后续执行.但随着不可执行栈、NX(no-execute)、DEP等内存不可执行技术的引入, 使得攻击者直接注入到内存中的shellcode不具备执行权限, 从而攻击失效.而Apple在iOS系统中引入的代码签名机制则比DEP等更为严格, 只有包含已签名代码的内存页才具有执行权限, 这也同样限制了外部注入的代码执行[9, 10].
如果攻击者将控制流的跳转目标指向内存中某函数的入口处, 并在栈上布局了该函数的调用参数, 则可以实现对该函数的调用.若被调用的是类似system()或execv()等安全敏感的函数, 则可在不注入代码的情况下造成有效攻击.但在实际攻击过程中, 对单个函数的调用往往是不够的, 攻击者通过使用位于函数末尾的类ret的指令片段, 让控制流跳转的目标地址始终来自于其布局在栈上的数据, 从而实现内存中分散指令片段的连续调用, 形成具有特定功能的大规模代码片段重用攻击.
图 1是一个二进制代码重用示例, 其功能是通过代码重用的方式实现了两个值的加法运算, 并将结果写入指定内存地址0x400000.通过在调用栈上精心布局指向内存中已有指令片段的指针和指令运行期间需要引用的数据, 使得每个指令片段在完成其功能执行后能够通过ret指令“返回”到栈上预置数据指向的代码片段, 即下一个指令片段, 从而实现在具备不同功能的指令片段上的连续运行, 最终实现特定的完整功能逻辑.
|
| Fig. 1 An example of binary code reuse and connected code blocks图 1 二进制代码重用示例及指令片段连续调用 |
540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
