ida7.0
ubuntu16.04 lts
0x00:环境配置
使用IDA远程调试Linux程序步骤如下:
1. 在进行远程调试之前需要对Linux平台进行一些准备工作。在IDA的安装目录中的dbgsrv文件夹中,选择linux_server或者linux_serverx64复制到需要调试Linux程序所在的目录下。将复制过来的文件赋予执行权限chmod 777 linux_server*。执行该文件./linux_server或者./linux_server64。
2. 在IDA中选择菜单Debugger-Run-Remote Linux debugger。如图。分别将程序所在位置,程序所在目录,参数(没有可不写),主机IP,主机端口,点击OK。相对路径路径要填写相对
linux_server或者linux_serverx64的相对路径。
图1
图2
图3
3. 此时,下关键函数下好断点后,即可进行动态调试,如下图:
图4
常用快捷键包括:
a. 单步步过:F8
b. 单步步入:F7
c. 执行到光标位置:F4
d. 设置断点:F2
e. 顺序执行:F9
0x01:漏洞简介
1.一个简单的linux x64平台栈溢出漏洞,漏洞定位到vuln函数,如下图:
图5
图6
图7
0x02.漏洞调试
1.从上面汇编代码可以看出,进入该vuln后 sub rsp-0x40 ,堆栈开辟了0x40字节空间,然后调用gets函数读入数据到edi所指向的空间,edi此时实际上是等于rsp的指向栈顶的位置,gets函数读入数据以换行符号为结束标志,在遇到换行符号前,会读取任意数据到栈里,这样当读入超长字符串后,就会覆盖函数的返回地址,在该函数执行retn时就会可以返回到任意我们指定的地方去执行代码。产生缓冲溢出漏洞,下好断点后开始动态调试。
2.尝试构造字符去覆盖函数的返回地址,代码如下:
1 from pwn import * 2 import pdb 3 context.log_level = 'debug' 4 target = process('./test') 5 elf=ELF('./test') 6 pdb.set_trace() 7 #poc 8 rop='A'*0x40# 9 rop+='B'*0x8# 10 rop+=p64(0x400763)#pop rdi ret 11 rop+=p64(0x7FFFF7B99D57)#/bin/sh 12 rop+=p64(0x7FFFF7A52390)#System 13 target.sendline(rop) 14 target.interactive()
代码执行后栈此时的情况如下:
图8
图9
后面用8个字符c就可以覆盖返回地址了,函数返回时将会跳转到cccccccc 指向的空间去执行,如图9所示。
0x03:利用Ret2Lib突破NX保护
1.用checksec来检查目标文件进发现它开启了NX保护,如图10所示:
图10
2.NX就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,结束进程。栈空间也被操作系统设置了不可执行属性,因此我们注入的Shellcode就无法执行了。
既然注入Shellcode无法执行,进程和动态库的代码段怎么也要执行吧,具有可执行属性,那我们能否利用进程空间现有的代码段给合成想要的功能代码,答案是肯定的。
在系统函数库(Linux称为libc)有个system函数,它就是通过/bin/sh命令去执行一个用户执行命令或者脚本,我们完全可以利用system函数来实现Shellcode的功能。EIP改写成system函数地址后,在执行system函数时,它需要获取参数。而根据Linux X86 32位函数调用约定,参数是压到栈上的。但是栈空间完全由我们控制了,所以控制system的函数不是一件难事情。
这种攻击方法称之为ret2libc,即return-to-libc,返回到系统库函数执行的攻击方法。
但是我们使用的环境是64bit系统,它和32位系统的一个区别就是system函数的参数传递方式。32位系统使用堆栈来传参,在64位系统中使用RDI来传递参数,所以我们不仅需要控制系统栈,还需要控制RDI,这无疑给我们增加了许多难度,但是这并不是做不到的!
要获得shell需要做如下步骤:
a. 获取system函数的地址。
b. 获取“/bin/sh”字符串的地址。
c. 将RDI中的值,改成“/bin/sh”字符串的地址。
3.所以Shellcode不能放在栈下来执行,因此我们就需用用到ROP技术来间接执行功能代码。
0x04:简单ROP构造
1.由于目标程序有数据执行保护,所以我们往栈中的填充的数据并不能执行。所以在内存中代码最好找到类似“pop rdi, ret”这样的语句,由于我们可以完全控制栈中的数据,所以我们就可以通过pop为rdi赋值,再通过ret指令跳转到我们希望的地方。
但是很不幸,目标程序并没有到这样的指令,不过我们可以找到其它代替指令,图11所示:
图11
pop rdi 的机器码是 5f c3,然而 pop r15 的机器码是 41 5f c3,而且一般pop r15之后一般都是紧跟ret指令。
所以我们就可以使用pop r15指令的后半部分,即 5f (pop rdi)。
2.由于系统开户地址空间随机化,我们先临时通过echo 0 > /proc/sys/kernel/randomize_va_space关闭地址随机化功能写死地址进行测试。
3.最后构造后rop代码如下:
1 from pwn import * 2 import pdb 3 context.log_level = 'debug' 4 target = process('./test') 5 elf=ELF('./test') 6 pdb.set_trace() 7 #poc 8 rop='A'*0x40# 9 rop+='B'*0x8# 10 rop+=p64(0x400763)#pop rdi ret 11 rop+=p64(0x7FFFF7B99D57)#/bin/sh address 12 rop+=p64(0x7FFFF7A52390)#System address 13 target.sendline(rop) 14 target.interactive()
4.运行poc后通过IDA调试看看栈的情况如图12所示:
图12
5.执行完后就可以正确获得shell,如图13所示:
图13
0x05:通过plt和got绕NX与ascii armoring
1. 上面这个poc成功执行得利于关闭ASLR,system函数和“/bin/sh”的地址才能固定下来。我们构造poc才方便很多。虽然目标程序编译时默认没有开启ALSR,但程序使用的系统动态链接库会受到ALSR的约束,每次重新启动程序后,libc.so的地址会随机生成。所以我们的poc就会失效,下面我们就来构造一个不受libc.so基地址随机变化影响的poc。
2.通过return-to-plt来实现绕过libc.so基地址随机化。
什么是return-to-plt?
在这种技术中,而不是返回到libc函数(其地址是随机的)攻击者返回到一个函数的PLT(其地址不是随机的、其地址在执行之前已知)。由于'function@PLT'不是随机的,所以攻击者不再需要预测libc的基地址,而是可以简单地返回到“function@PLT”来调用“function”。
什么是PLT,如何通过调用“function@PLT”来调用“函数”?
要了解过程链接表(PLT),先让我简要介绍一下共享库!
与静态库不同,共享库代码段在多个进程之间共享,而其数据段对于每个进程是唯一的。这有助于减少内存和磁盘空间。由于代码段在多个进程之间共享,所以应该只有read和execute权限,因此动态链接器不能重新定位代码段中存在的数据符号或函数地址(因为它没有写权限)。那么动态链接如何在运行时重新定位共享库符号而不修改其代码段?它使用PIC完成!
什么是PIC?
位置无关代码(PIC)是为了解决这个问题而开发的 - 它确保共享库代码段在多个进程之间共享,尽管在加载时执行重定位。PIC通过一级间接寻址实现这一点-共享库代码段不包含绝对虚拟地址来代替全局符号和函数引用,而是指向数据段中的特定表。该表是全局符号和函数绝对虚拟地址的占位符。动态链接器作为重定位的一部分来填充此表。因此,只有重定位数据段被修改,代码段保持不变!
动态链接器以两种不同的方式重新定位PIC中发现的全局符号和函数,如下所述:
全局偏移表(GOT):
全局偏移表包含每个全局变量的4字节条目,其中4字节条目包含全局变量的地址。当代码段中的指令引用全局变量时,而不是全局变量的绝对虚拟地址,指令指向GOT中条目。当加载共享库时,GOT条目由动态链接器重新定位。因此,PIC使用该表来重新定位具有单个间接级别的全局符号。
过程链接表(PLT): 过程链接表包含每个全局函数的存根代码。代码段中的调用指令不直接调用函数('function'),而是调用存根代码(function @ PLT)。这个存根代码在动态链接器的帮助下解析了函数地址并将其复制到GOT(GOT [n])。这次解析仅在函数('function')的第一次调用期间发生,稍后当代码段中的调用指令调用存根代码(function @PLT)时,而不是调用动态链接器来解析函数地址('function')存根代码直接从GOT(GOT [n])获取功能地址并跳转到它。因此,PIC使用这个表来重新定位具有两级间接的功能地址。
图14
用ida反编译目标程序后发现其中有printf,gets ,setvbuf,在内存这几个函数的got表地址是固定的。从图14可以看出在执行printf函数前,edi指向的是格式化串,rsi指向的是被打印串的地址。如果控制了rsi那么我们就可以打印任何地址的内容。然后通过当前函数地址(gets) - system = 偏移地址 (两个函数的相对偏移是固定的),得到一个固定的相对偏移地址,得到偏移地址后通过当前地址加上偏移得到system函数的内存地址,然后传入’/bin/sh’,执行system就达到目的。
3.通过构造ROP获得system函数地址,在目标程序中找到图15代码。
图15
图16
看看printf_got_addr=0x600af0 这个数据里面刚好有个0x0a,这个就是换行符号对应的内存值,因此在读取0xf0后gets就结束读取了,所以后面的就无法正常覆盖了,我们得换一种方法来实现调用printf,就是将printf_got_addr=0x600af0地址拆开,然后在通过 call qword ptr [r12+rbx*8] 来组合,只要没有0x0a就行,最后执行后如图16所示。执行完后再让它返回到发生漏洞的函数中,再将构造rop来执行system,通过pop edi ret来实现,步骤和第4步相同。
执行后成功获得shell,如图17、18所示:
图17
图18
0x06:总结
1. Linux系统中对应用程序漏洞防护有三个:
SSP(Stack-Smashing Protectot):堆栈防溢出保护,它会在每个函数的栈帧底部添加一个随机字节,每次函数将要返回时,都会这个随机字节进行验证,如果这个随机字节被篡改,则说明该栈帧发生数据溢出,报出异常,程序终止。在编译时可以通过-fno-stack-protector选项取消这项保护。
NX(Never eXecute):数据执行保护,在64位系统的CPU中增加一位NX位,用来标示数据如果可写就不可执行。在overflow这个程序中我们具有对栈数据写的权限,就没有对栈数据可执行的权限。
ASLR(Address Space Layout Randomization):地址空间随机化,在每次程序加载运行的时候,堆栈数据的定位都会进行随机化处理。由于每次程序运行时堆栈地址都会发生变化,所以无疑给溢出利用增加了很大的难度。可以通过这个命令
echo 0 > /proc/sys/kernel/randomize_va_space ,取消ASLR保护,然后方便验证poc。最后通过plt方式过掉ASLR。