针对缓冲区保护技术(ASLR)的一次初探

已于 2023-08-17 10:04:16 修改
阅读量174 收藏
点赞数 1
分类专栏: 漏洞分析 文章标签: ASLR 缓冲区溢出保护技术
于 2019-01-31 00:06:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38924942/article/details/86709465
版权

0x01 前言

  • ASLR 是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术
  • 目前 ASLR 技术据我所知对3种情况进行了保护,分别是映像基址随机化、堆栈基址随机化和 PEB / TEB 随机化(有论文为参考)。下面来亲自测试一下,看看地址到底会不会变
    在这里插入图片描述
  • 实验环境:Windows 10 ,编译器:C-Free

0x02 映像基址随机化

  • 当可执行文件或动态链接库文件被映射到内存时,系统会对其虚拟地址进行随机化(重启系统后会更新地址),示例程序如下(做缓冲区溢出实验的,这里直接拿来用了)
    在这里插入图片描述
  • 这里准备测试7个数据:(1)msvcrt.dll 基地址及大小(2)msvcrt._cexit 的地址及偏移地址(3)msvcrt.singnal 的地址及偏移地址(3)msvcrt.strcpy 地址及偏移地址(4)msvcrt.atexit 地址及偏移地址(5)msvcrt._fileno 地址及偏移地址(6)msvcrt._setmode 地址及偏移地址。其中第一个是动态链接库,其他都是动态链接库里面的函数。
  • 测试 msvcrt.dll 的基地址及大小的方法,将编译好的程序放入OD保持程序为运行状态
    在这里插入图片描述
  • 打开 PCHunter 软件,找到刚刚加载的进程,右击在下方显示模块窗口
    在这里插入图片描述
  • 右击显示所有模块
    在这里插入图片描述
  • 可以看到 msvcrt.dll 模块的地址
    在这里插入图片描述
  • 测试动态链接库 msvcrt.dll 中的函数地址及偏移地址的方法,下面是刚刚加载进OD的文件,我们需要找到一个 msvcrt.dll 中存在的函数,这个程序在加载的时候刚好调用了一个(也可以自己编写)
    在这里插入图片描述
  • enter 进入这个函数,可以看到很多 msvcrt.dll 动态链接库里面的函数
    在这里插入图片描述
  • 想看某一个函数的内存中的地址,可以直接 enter 进入这个函数,比如 strcpy,0x775a6400 就是内存中的地址,以上就是测试 scvcrt.dll 动态链接库文件中函数地址的方法
    在这里插入图片描述
  • 之后我测试了10次
    在这里插入图片描述
  • 汇总一下,根据测试的结果可以发现,msvcrt.dll 动态链接库的基地址会变化,但是函数在动态链接库的偏移地址不会变化,基地址大小不变
msvcrt.dll 基地址大小
测试 10x761800000xBF000
测试 20x757C00000xBF000
测试 30x779F00000xBF000
测试 40x76FD00000xBF000
测试 50x754B00000xBF000
测试 60x76CF00000xBF000
测试 70x74FE00000xBF000
测试 80x758800000xBF000
测试 90x772400000xBF000
测试 100x775200000xBF000
_cexit偏移地址singnal偏移地址strcpy偏移地址
测试 10x761e5f30 0x65F300x761d6fe0 0x56FE00x76206400 0x86400
测试 20x75825f30 0x65F300x75816fe0 0x56FE00x75846400 0x86400
测试 30x77a55f30 0x65F300x77a46fe0 0x56FE00x77a76400 0x86400
测试 40x77035f30 0x65F300x77026fe0 0x56FE00x77056400 0x86400
测试 50x75515f30 0x65F300x75506fe0 0x56FE00x75536400 0x86400
测试 60x76d55f30 0x65F300x76d46fe0 0x56FE00x76d76400 0x86400
测试 70x75045f30 0x65F300x75036fe0 0x56FE00x75066400 0x86400
测试 80x758e5f30 0x65F300x758d6fe0 0x56FE00x75906400 0x86400
测试 90x772a5f30 0x65F300x77296fe0 0x56FE00x772c6400 0x86400
测试 100x77585f30 0x65F300x77576fe0 0x56FE00x775a6400 0x86400
atexit偏移地址_fileno偏移地址_setmode偏移地址
测试 10x761d6ca0 0x56CA00x761f3130 0x731300x761c9d70 0x49D70
测试 20x75816ca0 0x56CA00x75833130 0x731300x75809d70 0x49D70
测试 30x77a46ca0 0x56CA00x77a63130 0x731300x77a39d70 0x49D70
测试 40x77026ca0 0x56CA00x77043130 0x731300x77019d70 0x49D70
测试 50x75506ca0 0x56CA00x75523130 0x731300x754f9d70 0x49D70
测试 60x76d46ca0 0x56CA00x76d63130 0x731300x76d39d70 0x49D70
测试 70x75036ca0 0x56CA00x75053130 0x731300x75029d70 0x49D70
测试 80x758d6ca0 0x56CA00x758f3130 0x731300x758c9d70 0x49D70
测试 90x77296ca0 0x56CA00x772b3130 0x731300x77289d70 0x49D70
测试 100x77576ca0 0x56CA00x77593130 0x731300x77569d70 0x49D70

0x03 堆栈随机化

  • 程序启动时,系统会随机选择堆栈的基址,从而导致内存中各种变量地址发生改变(程序每次启动前)
  • 首先看一下如何开启程序的ASLR防护,这个貌似只有微软的编译器才有的功能,在VS编译器中新建一个项目(我的是 VS2017在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 将随机基址改为是即可,那么怎么看一个可执行文件是否受到 ASLR 保护呢,可以用 PEview 这个工具看文件头中是否有 IMAGE_FILE_RELOCS_STRIPPED 这个标志,有表示没有受到 ASLR 保护,没有则表示收到了 ASLR 的保护
  • 这个是没有的在这里插入图片描述
  • 这个是有的
    在这里插入图片描述
  • 下面测试一下受到了 ASLR 保护的程序堆栈地址到底会不会变化,OD载入,到达程序的真正入口 OEP
    在这里插入图片描述
  • 看一下此时堆栈地址
    在这里插入图片描述
  • 之后重复 10 次,对比一下,可以看出入口堆栈地址防护较好,变化很大,随机性非常强
程序入口时的堆栈地址(有 ASLR)程序入口时的堆栈地址(无 ASLR)
测试 10x00B7F76C0x243FF24
测试 20x0137F7500x243FF24
测试 30x00BDF7FC0x243FF24
测试 40x00DAF8C00x243FF24
测试 50x0077F7B00x243FF24
测试 60x0057FC880x243FF24
测试 70x009FF8340x243FF24
测试 80x012FF8480x243FF24
测试 90x008FFA340x243FF24
测试 100x0075FDD00x243FF24

0x04 PEB\TEB随机化

  • 进程环境块(PEB)和线程环境块(TEB)随机化,在程序每次启动时(这个和编译时有没有加上 ASLR 防护没有关系,好像是系统默认的,加不加都会随机)
  • 利用 Windbg 查看 PEB 和 TEB 的地址(Windbg32Windbg64
  • 选择 File -> Open Executable,选择要查看的文件
    在这里插入图片描述
    在这里插入图片描述
  • 在最下面的命令行中输入 !peb 和 !teb 即可查询
    在这里插入图片描述
  • 测试 5 次汇总一下,变化并不是很大
PEB地址TEB地址
测试 10x00000000002FD0000x00000000002FF000
测试 20x00000000003520000x0000000000354000
测试 30x000000000039A0000x000000000039C000
测试 40x000000000038A0000x000000000038C000
测试 50x00000000003020000x0000000000304000
  • 对于 ASLR 的全部测试到此结束
WJ Clinton
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux缓冲区保护机制
山高路远
04-10 3545
前言 为了更好地对缓冲区进行利用,十分有必要了解一下checksec所检查出的漏洞缓解措施都意味着什么 如图上所示,RELRO、Stack、NX、PIE四种保护机制,下方介绍时,括号里的是在Windows系统中的名称 以下主要来源于《从0到1CTFer成长之路》 一、NX(DEP) NX即是No-execute,不可执行。原理是通过现代操作系统的内存保护单元机制(MPU)对程序内存按页的粒度进行权限设置,其基本规则为可写权限与可执行权限互斥。因此开启了NX的程序代表着堆栈上写入的代码数据将不可被执行,也就
论文研究-ASLR技术研究及其在抵御缓冲区溢出攻击中的性能分析 .pdf
08-16
ASLR技术研究及其在抵御缓冲区溢出攻击中的性能分析,郭慎平,陈明俊,缓冲区溢出漏洞是互联网和计算机系统中最普遍也是威胁最大的安全漏洞。地址空间布局随机化技术(ASLR)是近年来出现的一种防御缓冲区
Windows内存保护机制及绕过方法
sinat_31054897的博客
07-31 2449
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护(DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决栈溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代码...
缓冲区溢出漏洞原理及Linux下利用
热门推荐
江左盟的博客
12-26 1万+
常见保护措施 ASLR ASLR 是一种防范内存损坏漏洞被利用的计算机安全技术ASLR通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数,以防范恶意程序对已知地址进行Return-to-libc攻击。ASLR在每次启动操作系统时会随机化加载应用程序的基地址和dll,只能随机化 堆、栈、共享库的基址。 Linux下查看: cat /proc/sys/kernel/randomize_va_space 值为0表示未开启,值为1表示半开启,仅随机化栈和共享库,值为2表示全
缓冲区保护机制
qq_52434033的博客
04-10 1275
问题描述 如下程序pwd.c用于判断输入的密码是否正确 #include <stdio.h> #include <stdlib.h> #include <string.h> #define PASSWORD "1234567" int verify(char *password) { int auth; char buffer[8]; auth = strcmp(password, PASSWORD); strcpy(buffer, password
ASLR 基本概念
weixin_30924239的博客
09-17 688
ASLR (Address Space Layout Randomization) 解决方法 总结: 1 利用 未启用ASLR的模块的跳转 ,直接覆盖返回地址,!ASLRdynamicbase 查看未启用ASLR的模块中的跳转地址 注意输出并不可信,重启比较较好 2 基于SEH的exploit 那么 !pvefindaddr nosafeseh 搜索没safeseh保护...
关闭windows的随机地址加载(ASLR)功能。解决每次打开程序加载地址都不一样的问题
meanong的博客
04-20 6656
在windows xp之后的系统中,为了防止栈溢出,采用了ASLR(随机地址加载)的方案来保护用户程序的安全。通过ASLR可以增加系统的安全强度,但是一些手动脱壳的程序则将无法正常运行,逆向程序的难度也将增大。因此找到一种通过修改注册表的方式取消系统ASLR功能。该功能是一个安全选项,无特殊需要不建议关闭。 关闭方法: 修改注册表,win+r,输入regedit即可打开注册表,建注册...
vs2013中设置输出缓冲区
学而时习之
06-14 2813
//vs2013设置输出缓冲区 /*windows下是没有设置输出buffer的,也就是说C++中cout的时候,会直接输出,而不是先进入缓冲区缓冲区满或者被刷再输出。但是我们可以手动设置缓冲区*/ #include using namespace std; int main() { /* 这个段代码在Linux下用g++执行不会输出,因为1被存到缓冲区中,而windows下会输出,
去除ASLR小工具
12-26
od加载,每次基址都不同,是因为有aslr保护,用这个工具可以去除aslr保护
aslr.rar_ASLR_Minix ASLR_aslr minix_space
09-24
Minix操作系统中实现Address space layout randomization的补丁。
关闭windows7的aslr
10-25
关闭windows7的aslr
win10+vs2015缓冲区溢出实验
一个码农的笔记
12-01 4884
首先参考: http://blog.csdn.net/jiangwei0512/article/details/50856834 搭建vs2015的汇编环境 然后关闭aslr (附上一个aslr 的介绍:http://blog.csdn.net/better0332/article/details/5262990) 首先右键项目-》属性-》配置属性-》链接器-》高级 把随机基址选否,固定基址
vs开启/禁用随机基址
HappyBear1995的博客
04-11 5293
ALSR
samson
05-12 4603
一 ALSR介绍: 1.1定义 aslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。 Linux Linux已在内核版本2.6.12中添加ASLR。...
如何设置堆栈不可执行和ASLR
jimmyleeee的专栏
11-28 5708
最近,做一个调查,如何在Windows和Linux系统下,做堆栈执行保护,和ASLR(Address Space Layout Randomization)。找了好多材料,才找到,在这里总结一下:   OS Execution space protection ASLR (Address Space Layout Randomization) Description Che
缓冲区溢出保护机制
nibiru_holmes的博客
03-10 8730
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
Linux下缓冲区溢出攻击及Shellcode
xumesang的专栏
05-07 4925
4.3.2 Linux32环境下函数的返回地址 编译、链接、执行程序buffer_overflow.c,并关闭Linux的栈保护机制,参见截图: 下面用gdb调试程序: 在foo函数的入口、调用strcpy函数处和foo返回处设置断点:   继续运行,找到函数的返回地址:   buff的起始地址B到保存函数的返回地址A之间的偏移: A-B=0xbffff29c-
HP-Socket编译-Linux
最新发布
05-20
HP-Socket编译-Linux
seed labs 缓冲区
09-01
seed labs 缓冲区实验是一个针对缓冲区溢出攻击的实验。缓冲区溢出攻击是一种利用程序中的缓冲区漏洞,将恶意数据写入缓冲区导致系统崩溃或者攻击者执行恶意代码的攻击方式。 在这个实验中,我们将学习如何使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值