シェルコードを試してみて、Linux保護を無効にしたいと思います。
フラグを使用してコンパイルできることを知っていますが、これらの保護を無効にする他の方法があることを知っていますが、覚えていません。助けてください?
答え1
vonbrand(右、+1)が言った内容を拡張すると、Linuxのスタック保護は2つの部分に分けられます。
スタックカナリア
スタックカナリアは、vonbrandがコンパイラ適用機能と呼ばれるものです。これらの機能は、再コンパイルせずに無効にすることはできません。
これを自分で証明し、その仕組みを理解するには、次のコードを使用します。
#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
int mybadfunction(char* a_bad_idea)
{
char what[100];
strcpy(what, a_bad_idea);
printf("You passed %s\n", what);
}
int main(int argc, char** argv)
{
printf("Tralalalaala\n");
mybadfunction(argv[1]);
}
gcc -fstack-protector -masm=intel -S test.c
gnuエントリでcompile()を実行すると、出力をうまく組み立てて読み取ることができます。重要なのは、関数を終了するときに次のmybadfunction
ような小さなコードがあることです。
mov edx, DWORD PTR [ebp-12]
xor edx, DWORD PTR gs:20
je .L2
call __stack_chk_fail
推測できるように、これはスタッククッキーを取得し[ebp-12]
て値と比較することですgs:20
。不一致?次に、glibcで関数を呼び出して__stack_chk_fail
プログラムを終了します。
Exploitを書いてこの問題を解決する方法はさまざまですが、シェルコードテストケースを構築する最も簡単な方法は-fno-stack-protector
。
実行できないページ
最新のLinuxシステムにはいくつかの異なる考慮事項があります。一般的なシェルコードテストスタブを使用する場合:
char buffer[] = {...};
typedef void (* func)(void);
int main(int argc, char** argv)
{
func f = (func) buffer;
f();
return 0;
}
.rodata
最新のGCC / Linuxは、実行権限なしでPEファイルの読み取り専用部分をマッピングします。この機能をオフにする必要があります。次のコード例を使用してください。このブログ投稿。基本概念:mprotect
シェルコードデータを含むページに必要な権限を追加できます。
実行不可能なスタック
シェルコードを使用して既存の攻撃シナリオ(たとえば、上記のエラーコード)をテストする場合は、単純なケースに対してスタックを実行できることも確認する必要があります。 PEファイル形式には、スタックが実行可能かどうかを決定するフィールドが含まれています。以下を使用してこれを照会および制御できます。実行スタック。実行可能スタックを有効にするには、次を実行します。
execstack -s /path/to/myprog
これできる再コンパイルなしですべてのプログラムでこれを実行できますが、スタックカナリアはコンパイル時に組み込まれるため、自動的に無効になりません。
ボーナス: aslr:
この機能をオフにするにはecho 0 > /proc/sys/kernel/randomize_va_space
。
私の貴重なペンギンの使い方を誰かに教えてくれましたか?
いいえ。すべてのエクスプロイトは、スタックカナリア(非常に重要)を避け、execstack
それを設定するセットを持つプログラムを見つけるか(すでに任意のコマンドを実行できることを意味します)、libc / return指向プログラミングリターンなどのより難しい技術を使用する必要があります。
答え2
スタック保護はコンパイラによって実行されます(スタックにいくつかの追加データを追加し、呼び出し時に一部のデータを保存し、返されたときの整合性を確認します)。再コンパイルしないと無効にすることはできません。それがポイントの一部です。本当に...
答え3
これらのオプションを使用して、特定の保護(スタックスマッシング検出とスタック実行可能の作成)を無効にできます。
--z execstack
-f no-stack-protector
次のコマンドを使用して、Bashを使用してAddress Space Layout Randomization(ASLR)をオフにすることもできます。
echo 0 > /proc/sys/kernel/randomize_va_space