保护机制分析
Arch:
程序构架信息,判断是64位还是32位,exp编写的时候是p64还是p32
canary(栈保护):
栈溢出保护是一种缓存区溢出攻击手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cokie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。
在函数返回值之前添加的一串随机数(不超过机器字长),末尾为/x00(提供了覆盖最后一字节输出泄露cancary的可能),如果出现缓冲区溢出攻击,覆盖内容覆盖到cancary处,就会该变原本该处的数值,当程序执行到此处时,会检查cancary值是否跟开始一样,如果不一样,程序会崩溃,从而达到保护返回地址的目的。
Fortify(不太常见):
这个保护机制防止缓冲区溢出。gcc生成了一些附加代码,通过对数组大小的判断替换strcpy,memcpy,memset等函数名,达到防止缓冲区的作用。
Nx:
NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
gcc编译器默认开启nx选项,如果需要关闭nx选项,可以给gcc编译器添加-z execstack参数
例:
gcc -z execstack -o test -test.c
在windows下,类似的概念为DEP(数据执行保护),在最新版Visual Studio中默认开启了DEO编译选项
PLE(ASLR)
一般情况下nx(windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工作。
内存地址随机化机制(address space layout randomization),有以下三种情况
0 -- 表示关闭进程地址空间随机化。
1 --表示将nmap的基址,stack和cdso页面随机化。
2 --表示在1的基础上增加(heap)的随机化。
可以防范基于Ret2libc方式的针对DEP的攻击。ASLR和DEP配合使用,能够有效的阻止攻击者在堆栈上运行恶意代码。
Built as PIE:位置独立于可执行区域(postitison-independent executables)。这样使得在利用缓冲溢出和移动操作系统中存在其他内存崩溃缺陷时采用面向返回的编程(return-oriented programming)方法变得难的多。
linux下关闭PIE的命令如下:
Sudo -s echo 0 > /proc/sys/kernel/randomize_va_space
RELRO:
设定重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。
RELRO:开启则无法修改got表
Stack:开启则无法直接覆盖EIP让程序任意跳转,跳转后会进行cookie校验;但这项保护可以被绕过
NX:开启则shellcode无法被执行
PIE:开启在每次程序运行地址都会变化,未开启则返回值括号内是程序的基址
总结
各种安全选择的编译参数如下:
NX:-z execstack / -z noexecstack (关闭 / 开启)
Canary: -fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启)
PIE:-no-pie / -pie (关闭 / 开启)
RELRO:-z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启)