Windows下的ASLR保护机制详解及其绕过

最新推荐文章于 2024-10-11 22:07:03 发布
最新推荐文章于 2024-10-11 22:07:03 发布
阅读量1.6k 收藏 25
点赞数 10
分类专栏: Windows保护机制详解及其绕过 文章标签: windows stm32 网络安全 安全 学习 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73985089/article/details/136323109
版权
本文详细介绍了ASLR保护机制的工作原理,包括映像基址和堆栈随机化,以及如何通过分析绕过策略,尤其是在未开启随机化或部分地址覆盖的情况下。作者展示了如何利用漏洞绕过ASLR保护并执行恶意代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面:

本篇博客为本人原创,但非首发,首发在先知社区
原文链接:

https://xz.aliyun.com/t/13924?time__1311=mqmxnQ0%3DqGwx2DBqDTlpzeG%3DKT8qQTID&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Fu%2F74789

各位师傅有兴趣的话也可以去先知社区个人主页逛逛(个人昵称:Shad0w_2023)。
我们前面已经详细介绍过GS,SafeSEH,和DEP保护机制,大家想一想,如果没有开启任何保护,如果程序存在漏洞我们是不是很容易攻击成功?就算开了前面已经介绍过的保护,我们也有很容易的方法突破这些保护,进而完成攻击。
那么我们再次站在开发者的角度,我们如何制定一种保护机制,从而让攻击很难完成呢?站在开发者的角度,相信我们能够更容易了解到ASLR保护机制,我们接下来就来看看ASLR:

一.ASLR保护机制详解

攻击者在攻击的时候,是瞄准了进程内的一个地址(shellcode起始地址或者是跳板地址),从而进行攻击的,那我们有没有办法让攻击者的这个地址无效呢?
我们知道在进程加载的时候,有自己的虚拟内存空间,首先将自己的PE文件加载入内存,然后加载所需模块的PE,而这些地址都是固定的,从而让攻击者瞄准了去攻击,所谓惹不起我们还躲不起吗?我们想办法,让这些地址在加载的时候随机化,是不是就可以让攻击者的地址无效了呢?
实际上ASLR保护机制也就是这样做的:我们知道在PE文件中有一个ImageBase字段,标识了程序加载基址,exe通常都是一个进程加载的第一个文件,所以通常不需要重定位,而DLL需要重定位。我们开启了ASLR保护机制之后,实际上就是ImageBase随机化了。
实际上,ASLR保护机制在Windows XP版本的时候就已经出现了,但是那时候只是对PEB和TEB做了简单的随机化处理,并没有对模块的加载基址随机化。
与SafeSEH类似,ASLR的实现也需要操作系统和应用程序的双重支持,而其中,应用程序的支持不是必须的。
我们来看看PE文件结构:
PE文件结构
我们可以看到在程序拓展头里面有一个字段:IMAGE_DLL_CHARACTERISTICS_SYNAMIC_BASE,这个字段就标识了其是否支持ASLR。
实际上,ASLR是对很多地方都做了随机化,我们来详细看看:

  1. 映像基址随机化:
    当PE文件映射到内存的时候,对其加载的虚拟地址进行随机化处理,注意这个地址实在系统启动时确定的,在重启系统后,这个地址就会变化。
    在前面的介绍中,我们都知道为了兼容性而牺牲了很多安全性,让攻击者有了可乘之机,而对于ASLR保护机制,出于兼容性考虑,也是做了一些操作:
    在注册表中,可以设定映像随机化的工作模式:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImage,在这个注册表项下可以设置,当设置为0时,映像随机化将被禁用、设置为-1时,可以强制对可随机化的映像进行处理,无论是否设置IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE标识、设置为其他值时,标识映像基址随机化正常工作。
    通常情况下,我们使用的计算机是没有MoveImage表项的,大家可以手动建立一个名称为MoveImage的表项,类型为DWORD:
    在这里插入图片描述

  2. 堆栈随机化
    前面文章介绍过的绕过保护的方式,我们可以将shellcode写道堆栈上,然后劫持程序执行流,让其去执行ShellCode,ASLR保护基址将堆栈地址也做了随机化,这样攻击者的目标地址就会变成了无效地址。与映像基址随机化不同的是,堆栈随机化是在程序启动的时候确定的,也就是说,在任何两次启动一个

最低0.47元/天 解锁文章
WindowsASLR机制(地址随机化)- 概念、PE操作、VS相关选项
bcbobo21cn的专栏
03-22 3272
1 ASLR机制 Address Space Layout Randomization=地址空间布局随机化; 是一种针对缓冲区溢出的安全保护技术; 没有ASLR时,每次进程执行,加载到内容中,代码所处堆栈stack的位置都是相同的,容易被破解; 如果开启了ASLR,操作系统加载器会针对基地址再去加上一个随机生成的偏移地址,然后再去加载程序模块,通过对堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度。 地址随机化需要程序自身和操作系统的双重支持...
Windows下堆保护机制原理及其绕过
WdIg-2023的博客
04-09 1107
1>.堆刚初始化,所以我们申请的堆是从FreeList[0]中申请的,从FreeList[0]中拆卸下来的chunk在分配好后将剩余的空间新建一个chunk插入到FreeList[0]中,这样的话,h1后面就会有一大段空闲的空间。.后面的chunk块首被覆盖了,当h2再申请空间的时候,程序就会从破坏了的chunk中申请空间,并将剩余的空间新建为一个chunk并插入到FreeList[0]中。大家考虑一下,如果说,我们将旧chunk的Flink和Blink都覆盖掉了,那么会发生什么情况?
实验七、绕过ASLR ---- 第二部分
weixin_30788239的博客
05-31 389
7.1 实验环境 VM 配置:Ubuntu 12.04 (x86) 7.2 实验原理 什么是爆破? 使用爆破技巧,来绕过共享库地址随机化。 7.3 实验过程 7.3.1 漏洞代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[])...
ASLR/DEP绕过技术概览
Walter的专栏
09-12 5022
ASLR/DEP绕过技术概览 by WinsOn@Cybersword      在经典的栈溢出模型中,通过覆盖函数的返回地址来达到控制程序执行流程(EIP寄存器),通常将返回地址覆盖为0x7FFA4512,这个地址是一条JMP ESP指令,在函数返回时就会跳转到这个地址去执行,也就是执行JMP ESP,而此时ESP刚好指向我们在栈上布置的Shellcode,于是就执行了Shellcode。
ASLR:保护计算机系统的安全壁垒
m0_72410588的博客
08-31 1760
这样,即使攻击者能够获取某一部分的地址,也无法确定其他部分的地址,从而增加了攻击的难度。ASLR的目标是通过随机化内存布局,使得每次程序加载时,各个段的起始地址都发生变化。这样做的好处是,即使攻击者能够发现系统的漏洞,但由于无法确定各个段的确切位置,攻击者很难进行准确的攻击。它不仅可以减少被攻击的风险,还可以降低攻击的成功率。基于PIE的ASLR通过将可执行文件编译成位置独立的格式,在运行时动态地将各个段的起始地址随机化。由于ASLR的引入,攻击者无法确定代码、数据和堆栈的确切位置,从而增加了攻击的难度。
Linux Exploit系列之七 绕过 ASLR -- 第二部分
weixin_30679823的博客
05-05 198
原文地址:https://github.com/wizardforcel/sploitfun-linux-x86-exp-tut-zh/blob/master/7.md 这一节是简单暴力的一节,作者讲的很清楚,有些坑我在之前的说明中也已经说过了。这次说一个坑,我调了很久,不一定每个人都会遇到。 TypeError: execv() arg 2 must contain only strings...
Linux (x86) Exploit 开发系列教程之八 绕过 ASLR -- 第三部分
热门推荐
龙哥盟
05-01 4万+
绕过 ASLR – 第三部分 译者:飞龙 原文:Bypassing ASLR – Part III 预备条件: 经典的基于栈的溢出 绕过 ASLR – 第一部分 VM 配置:Ubuntu 12.04 (x86)在这篇文章中,让我们看看如何使用 GOT 覆盖和解引用技巧。来绕过共享库地址随机化。我们在第一部分中提到过,即使可执行文件没有所需的 PLT 桩代码,攻击者也可以使用 GOT 覆盖和解引用技巧
Windows缓冲区溢出编程详解
4. **栈保护机制**:如SEH(结构化异常处理)和ASLR(地址空间布局随机化)等安全机制及其绕过方法。 5. **exploit构造**:如何构建payload(攻击载荷),使得溢出后的内存状态有利于执行攻击者的代码。 6. **实战...
【虚拟内存实现探秘】:保护模式下的页表与地址翻译机制解析
本文详细探讨了虚拟内存与保护模式的基础知识,深入解析了页表结构及其实现细节,包括页表项的访问和修改以及页表缓存机制。文章进一步阐述了地址翻译机制,包括其过程、异常处理以及优化技术,并对虚拟内存管理的...
详解移植的APC注入技术及其应用
移植的APC注入是一种高级的进程注入技术,它利用了APC机制,尤其是异步APC的特性,通过一系列精心设计的操作,绕过一些安全产品的检测,实现代码的注入。这种方式通常不会直接修改目标进程的内存,而是利用系统提供...
Linux (x86) Exploit 开发系列教程之七 绕过 ASLR -- 第二部分
龙哥盟
05-01 4万+
绕过 ASLR – 第二部分 译者:飞龙 原文:Bypassing ASLR – Part II 本文承接 @hackyzh 翻译的第六篇。 预备条件:经典的基于栈的溢出VM 配置:Ubuntu 12.04 (x86)这篇文章中,让我们看看如何使用爆破技巧,来绕过共享库地址随机化。 什么是爆破? 在这个技巧中,攻击者选择特定的 Libc 机制,并持续攻击程序直到成功。假设
windows 7的保护机制
操作系统/Windows7
07-20 821
近日,全球应用优化和全局安全访问解决方案提供商Array Networks宣布旗下SPX 系列 SSL VPN全方位支持微软的最新操作系统Windows7,成为首个支持Windows7的SSL VPN厂商。   有业内专家指出,SSL VPN在提高企业效率方面有两大特性,一是对外
内存保护机制绕过方法——通过覆盖部分地址绕过ASLR
weixin_30873847的博客
05-16 716
ASLR保护机制 ASLR简介 微软在Windows Vista、2008 server、Windows 7、Windows 8等系统的发布中, 开始将ASLR作为内置的系统保护机制运行, 将系统映像的基址设置到1/256的random slot上, 同时将各个线程的堆栈和堆进行随机化。这需要程序和系统的双重支持, 但是程序的支持并不是一定的。可以使用如下注册表选项来使用或禁用 ASLR ...
栈溢出0x09 ret2reg(绕过ASLR)
最新发布
砖家
10-11 363
查看栈溢出返回时哪个寄存器指向缓冲区空间。查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的)这比较像前边的ret2shellcode,但是ret2shellcode一般是要知道shellcode的具体地址,但是开启ASLR后难以获得固定的shellcode的地址,所以有了ret2reg。
栈溢出学习(五)之NX,ASLR绕过方法
Pz_mstr's Blog
03-29 4337
前言 栈溢出学习(五)之NX,ASLR绕过方法,讲述NX,ASLR保护机制及其绕过方法 系列文章 栈溢出学习(一)之利用预留后门 & return2shellcode 栈溢出学习(二)之 jmp esp & return2libc 栈溢出学习(三)之简单ROP 栈溢出学习(四)之Hijack GOT 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下...
栈溢出基本ROP绕过ASLR和NX保护
ditto的博客
12-28 3781
菜鸡刚学rop,总结下,算是对蒸米大佬这篇文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
Linux平台的ASLR机制
加号减减号的博客
01-30 1万+
简介 ASLR,全称为 Address Space Layout Randomization,地址空间布局随机化。ASLR 技术在 2005 年的 kernel 2.6.12 中被引入到 Linux 系统,它将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度,从而降低进程被成功入侵的风险。当前 Linux、Windows 等主流操作系统都已经采用该项技术。 具体实现 分级
PIE保护机制ASLR保护机制
Sakura给爷pwn全场
09-07 1895
ASLR内存随机化保护机制
[BUUCTF]PWN——[Black Watch 入群题]PWN
mcmuyanga的博客
10-26 2805
[Black Watch 入群题]PWN——栈劫持 入群题密码在 /password.txt Ubuntu 16 2020年02月27日:此入群题已作废,请看新版入群题。 附件 解题步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输入,测试时发现输入长度过长,会报错 32位ida载入,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shad0w-2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值