首页
社区
课程
招聘
ret2shellcode利用mprotect修改内存权限进行shellcode
发表于: 2024-7-7 23:58 6629

ret2shellcode利用mprotect修改内存权限进行shellcode

2024-7-7 23:58
6629

参考链接 :基本 ROP - CTF Wiki (ctf-wiki.org)
参考链接: https://www.freebuf.com/vuls/266711.html
参考链接:PWN入门(1-3-4)-基本ROP-ret2shellcode (yuque.com)

栈溢出漏洞的一种利用方式,通过向可写入可执行内存写入shellcode,并利用栈溢出漏洞将返回地址覆盖为shellcode的首地址加以执行。

在讲原理之前我们先讲一下shellcode是什么?

shellcode 是一种小型程序代码,通常是以机器码的形式存在,被用于在目标系统上执行特定的服务。

一般来说就是一段可以获得shell的机器码

1.自包含性

shellcode通常是自包含的,这意味着它不依赖于外部的库或资源,能够独立运行。

2.编写方式

shellcode 通常是用汇编语言编写的,然后汇编成机器码,这是因为机器码可以直接在目标系统的处理器上执行,并且具有很高的执行效率。

3.常见用途

在CTF中主要用途为获得一个 shell。

这些都是机器码形式

Linux x86 shellcode

Linux x64 shellcode

ret2shellcode 即 通过向可写可执行内存中写入shellcode,并利用栈溢出漏洞将指针寄存器执行shellcode地址执行写入的shellcode代码的利用方式。

为了避免 ret2shellcode 利用漏洞,人们研究出了程序保护来防止利用。

下面介绍两个最常见的防止 ret2shellcode 的利用保护。

ASLR是一个Linux系统保护机制,有效的防止了很多漏洞。

ASLR是操作系统的功能选项,在ELF文件加载到内存的时候发动,会影响到栈、动态链接库、堆的基址。开启后,每次程序加载使栈、动态链接库、堆的基地址都会随机化。

ASLR有三种状态

/proc/sys/kernel/randomize_va_space的值决定着ASLR的状态

1.值为0,地址随机化关闭

2.值为1,随机化stack、mmap映射、vdso

3.值为2,随机化stack、mmap映射、vdso、heap(默认选项)

早期人们将shellcode写入缓冲区执行,但是因为ASLR保护的出现导致这种方法利用难度变高。

倒不是不可以将shellcode写入缓冲区,只不过泄露栈地址难度很高,与其花力气泄露栈地址向栈上写入shellcode还不如直接向数据段写入shellcode。

NX保护机制的全写为 NO-Execute(不可执行),NX的原理是将数据所在内存页标识为不可执行,当程序被劫持到数据页(不可执行内存)时,程序会尝试在数据页面上执行指令,因为数据页被标记为不可执行,此时CPU就会抛出异常,而不是去执行数据。

NX保护的出现导致向数据段写入shellcode并执行的方法也不可行了。

一般ret2shellcode的前提是没有NX保护,但是即便存在NX保护在一定条件下也有办法shellcode。

这里介绍一个可以修改内存权限的函数。

mprotect函数,可以改写内存权限

如果程序中存在这个函数就可以调用这个函数修改内存权限实现ret2shellcode。

checksec查保护,程序为32位,没有栈溢出保护和地址随机化保护。

ida打开分析

分析代码逻辑存在栈溢出。

这题是用来讲shellcode,我就直接讲shellcode的利用了。

搜索函数窗口

发现mprotect函数

可以通过栈溢出调用mprotect函数修改内存权限,写入shellcode获取shell。

gdb查看内存映射,查看数据段地址

可以看到起始地址 0x80ea000 到 0x80ec000 为数据段地址

回顾一下,mprotect的第一个参数的内存区间必须包含整个内存页(4K)。区间开始的地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。

由于要求的地址空间为4K的整数倍,因此后三位为 000, 即 mem_addr = 0x80ea000 或 0x80eb000、0x80ec000 都可以。

布栈

执行read函数后会将标准输入输入的内容写入到指定地址。

将 payload 发送之后再发送 shellcode 即可。

查找gadget

选中一个三次pop的gadget进行平栈。

根据思路构造exp。

\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//