-
-
ret2shellcode利用mprotect修改内存权限进行shellcode
-
发表于: 2024-7-7 23:58 6629
-
参考链接 :基本 ROP - CTF Wiki (ctf-wiki.org)
参考链接: https://www.freebuf.com/vuls/266711.html
参考链接:PWN入门(1-3-4)-基本ROP-ret2shellcode (yuque.com)
栈溢出漏洞的一种利用方式,通过向可写入可执行内存写入shellcode,并利用栈溢出漏洞将返回地址覆盖为shellcode的首地址加以执行。
在讲原理之前我们先讲一下shellcode是什么?
shellcode 是一种小型程序代码,通常是以机器码的形式存在,被用于在目标系统上执行特定的服务。
一般来说就是一段可以获得shell的机器码
1.自包含性
shellcode通常是自包含的,这意味着它不依赖于外部的库或资源,能够独立运行。
2.编写方式
shellcode 通常是用汇编语言编写的,然后汇编成机器码,这是因为机器码可以直接在目标系统的处理器上执行,并且具有很高的执行效率。
3.常见用途
在CTF中主要用途为获得一个 shell。
这些都是机器码形式
Linux x86 shellcode
Linux x64 shellcode
ret2shellcode 即 通过向可写可执行内存中写入shellcode,并利用栈溢出漏洞将指针寄存器执行shellcode地址执行写入的shellcode代码的利用方式。
为了避免 ret2shellcode 利用漏洞,人们研究出了程序保护来防止利用。
下面介绍两个最常见的防止 ret2shellcode 的利用保护。
ASLR是一个Linux系统保护机制,有效的防止了很多漏洞。
ASLR是操作系统的功能选项,在ELF文件加载到内存的时候发动,会影响到栈、动态链接库、堆的基址。开启后,每次程序加载使栈、动态链接库、堆的基地址都会随机化。
ASLR有三种状态
/proc/sys/kernel/randomize_va_space的值决定着ASLR的状态
1.值为0,地址随机化关闭
2.值为1,随机化stack、mmap映射、vdso
3.值为2,随机化stack、mmap映射、vdso、heap(默认选项)
早期人们将shellcode写入缓冲区执行,但是因为ASLR保护的出现导致这种方法利用难度变高。
倒不是不可以将shellcode写入缓冲区,只不过泄露栈地址难度很高,与其花力气泄露栈地址向栈上写入shellcode还不如直接向数据段写入shellcode。
NX保护机制的全写为 NO-Execute(不可执行),NX的原理是将数据所在内存页标识为不可执行,当程序被劫持到数据页(不可执行内存)时,程序会尝试在数据页面上执行指令,因为数据页被标记为不可执行,此时CPU就会抛出异常,而不是去执行数据。
NX保护的出现导致向数据段写入shellcode并执行的方法也不可行了。
一般ret2shellcode的前提是没有NX保护,但是即便存在NX保护在一定条件下也有办法shellcode。
这里介绍一个可以修改内存权限的函数。
mprotect函数,可以改写内存权限
如果程序中存在这个函数就可以调用这个函数修改内存权限实现ret2shellcode。
checksec查保护,程序为32位,没有栈溢出保护和地址随机化保护。
ida打开分析
分析代码逻辑存在栈溢出。
这题是用来讲shellcode,我就直接讲shellcode的利用了。
搜索函数窗口
发现mprotect函数
可以通过栈溢出调用mprotect函数修改内存权限,写入shellcode获取shell。
gdb查看内存映射,查看数据段地址
可以看到起始地址 0x80ea000 到 0x80ec000 为数据段地址
回顾一下,mprotect的第一个参数的内存区间必须包含整个内存页(4K)。区间开始的地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。
由于要求的地址空间为4K的整数倍,因此后三位为 000, 即 mem_addr = 0x80ea000 或 0x80eb000、0x80ec000 都可以。
布栈
执行read函数后会将标准输入输入的内容写入到指定地址。
将 payload 发送之后再发送 shellcode 即可。
查找gadget
选中一个三次pop的gadget进行平栈。
根据思路构造exp。
\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80