zoukankan      html  css  js  c++  java
  • 使用ROP攻击绕过Windows的DEP

    使用ROP攻击绕过Windows的DEP

    基础知识

    DEP

    • DEP(Data Execution Prevention)意为数据执行保护,是Windows的一项安全机制,主要能够在内存上执行额外检查以帮助防止在系统上运行恶意代码,简单的说也就是以前直接将shellcode插入到堆栈中执行的方法已经不可行了,因为在开启DEP后,堆栈上的shellcode默认不可执行,因此也就不能使用以前的技术来成功攻击了。
    • DEP工作状态可分为四种:
      • Optin:默认仅将DEP保护应用于Windows系统服务和组件,对其他程序不予保护;
      • Optout:为排除列表程序外的所有程序和服务启用DEP;
      • AlwaysOn:对所有进程启用DEP的保护,不存在排除列表,此模式下DEP不可被关闭,该模式只能工作在64位的操作系统上;
      • AlwaysOff:对所有进程都禁用DEP,此模式下DEP不能被动态开启。

    绕过DEP实现攻击

    • 绕过DEP的方法能大致分为两种:

      • 新建可执行内存区域,将shellcode复制进去;相关函数: VirtualAlloc() 、 HeapCreate() 、 WriteProcessMemory()
      • 通过系统API关掉DEP保护;相关函数: SetProcessDEPPolicy() 、 NtSetInformationProccess() 、 VirtualProtect()
    • 各函数在Windows各个系统的存在情况如下,其中(1)代表不存在,(2)代表将由于默认DEP策略设置而失败:

    • 绕过DEP需要构造ROP链,ROP链的作用就是用一连串的gadgets来实现这些函数的调用关闭DEP保护,然后转到shellcode上执行。

    实验环境

    • 主机:kali

    • 靶机:Windows XP Professional SP3

    • 软件:Immnunity Debugger、OllyDbg、shellcode.exe(漏洞程序)

    实践过程

    DEP保护关闭

    • shellcode.exe是在网上找的一个漏洞程序,它的功能就是在启动时会在本地1000端口绑定socket并进行监听,当有用户连接并且用户发送大于64bytes的数据时,堆栈会发生溢出,从而产生攻击。

    • 在Windows XP SP3中,默认以Optin方式开启DEP,即仅将DEP保护应用于Windows系统服务和组件,对其他程序不予保护。shellcode.exe是用户进程,自然也不会受到DEP保护:

    • 首先,我们在没有DEP保护的情况下看程序能否成功溢出,在主机上进行nc监听,打开4444端口:

    • 然后在靶机中运行shellcode.exe程序:

    • 编写Python攻击代码exploit.py,将返回地址覆盖为0x7FFA4512(jmp esp指令),发送shellcode到靶机,然后回连主机的4444端口,编写完成后运行:

    • 可以看到,通过缓冲区溢出攻击,此时主机上成功获得了xp的shell:

    DEP保护打开

    • 如图所示,在控制面板中设置打开DEP:

    • 重启靶机,再次运行shellcode.exe,发现出错了:

    • 使用OllyDbg进行调试,可以看到程序是成功溢出了并执行了jmp esp指令(0x7FFA4512):

    • 从上图中可以知道,在DEP开启的情况下是溢出成功了,但是shellcode处在堆栈中,由于DEP的保护,因此并不能触发执行,因而报错。

    • 因为SetProcessDEPPolicy函数简单且ROP链构建相对容易,所以我就构建ROP链来调用SetProcessDEPPolicy函数关闭DEP保护,然后转向shellcode执行。基础知识中提到ROP链是由gadgets构造的,要想快速的找到gadgets来构造链,可以用到Immunity Debugger上的一个python模块:mona.py,具体介绍可以参考这篇文档,将它下载后复制到Immunity Debugger的PyCommands目录下就可以使用了。

    • 使用Immunity Debugger载入shellcode.exe,然后可以查看当前程序加载的可执行模块:

    • 在下方命令行处输入命令!mona rop -m kernel32.dllkernel32.dll中进行扫描,查找完成后,会在IM Debugger的安装目录下生成报表文件,我们打开rop_chains.txt进行查看,找到SetProcessDEPPolicy的ROP链说明处,可以看到针对不同语言有不同的说明,有Ruby语言的、Python的、JavaScript等等,我们找到Python对应的说明:

    • 整个ROP链的最终构造结果是构造出一个特定的寄存器结果,就像上图所示的一样,因为我们知道PUSHAD是依次将EAX、ECX、EDX…ESI、EDI入栈,那么当我们通过ROP链构造好各个寄存器并通过gadget执行PUSHAD RETN后,此时堆栈的结构大概就是这个样子的:

    • 这里可以看到,入栈前我们将EDI和ESI的值存储为RETN指令的地址,然后会执行EBP处的SetProcessDEPPolicy函数,因为PUSHAD RETN在shellcode的上一个位置,执行完后ESP会指向shellcode,当SetProcessDEPPolicy执行完毕后会直接转到我们shellcode处执行(此时已经通过调用SetProcessDEPPolicy取消DEP保护了),所以经过分析可以看到我们构造的具体的ROP链:

    0x????????,  # POP EBP # RETN
    0x????????,  # ptr SetProcessDEPPolicy(“SetProcessDEPPolicy”的指针)
    0x????????,  # POP EBX # RETN
    0x00000000,  # dwFlags
    0x????????,  # POP EDI # RETN
    0x????????,  # ptr RETN(“retn指令”的地址)
    0x????????,  # POP ESI # RETN
    0x????????,  # ptr RETN(“retn指令”的地址)
    0x????????,  # PUSHAD # RETN
    
    • 上面的问号代表我们需要寻找的ROP gadget的地址,这里还要指出一个问题,很多时候我们需要的gadget不一定能在当前程序的执行模块中直接找到,但是我们可以通过其他方法来实现,比如我想使得EBX为0x00000000,我们可以先找到POP EBX; RETN;,将EBX先赋值为0xffffffff,然后在找到INC EBX; RETN;,这样两个gadget合在一起执行达到了我们的目的。

    • 其实,刚才通过执行mona.py已经在IM Debugger安装目录下记录了一些小配件的地址,打开rops.txt,通过查找我们可以找到在0x7c87f30f处找到我们想要的ROP小配件:

    • 这里,我们可以重新在IM Debugger中利用mona.py模块来进行特定指令的查找,retn指令的机器码为xc3,我们在命令行中输入!mona find -s 'xc3 -m kernel32.dll',命令执行完成后,结果会在IM Debugger安装目录下find.txt文件中,如下图所示:

    • 可以选择其中几个作为我们RETN的gadget,其他gadget的寻找方法和这个类似,通过mona.py最后找到的各个ROP gadget构成的ROP链如下所示:

    0x77bf4f42,   # RETN
    0x90909090,
    0x7c80df32,   # POP EBP # RETN
    0x7c862144,   # ptr to SetProccessDEPPolicy()
    0x7c81ae28,   # POP EBX # RETN [kernel32.dll]
    0x00000000,   # 0x00000000(dwFlags)
    0x7c86ce63,   # POP EDI # RETN [kernel32.dll] 
    0x77bf54c4,   # ptr RETN
    0x7c87b976,   # POP ESI # RETN [msvcrt.dll]
    0x77bf5502,   # ptr RETN
    0x77d23ad9,   # PUSHAD # RETN [user32.dll]
    
    • 因为shellcode.exe在溢出点函数返回时是RETN 0x04,因此我加入了前两个ROP gadget进行过渡,使得整个ROP链能够串起来。

    • 最后将构造的ROP链与最开始编写的Python攻击代码重新结合一下,构成新的攻击代码exlpoit_dep.py

    • 然后,我们在系统开启DEP保护的情况下,使用新的攻击代码进行测试:

    • 可以看到成功得到了shell,至此使用ROP攻击绕过Windows的DEP成功:

  • 相关阅读:
    JavaScript学习总结【5】、JS DOM
    JavaScript学习总结【11】、JS 运动
    JavaScript学习总结【7】、JS RegExp
    JavaScript学习总结【1】、初识JS
    JavaScript学习总结【10】、DOM 事件
    直接选择排序及交换二个数据的实现
    快速排序
    Lucene.net搜索结果排序(单条件和多条件)
    冒泡排序
    直接插入排序的三种实现
  • 原文地址:https://www.cnblogs.com/lxm20145215----/p/7003538.html
Copyright © 2011-2022 走看看