成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

在Linux中使用C語言實(shí)現(xiàn)控制流保護(hù)(CFG)

安全 網(wǎng)站安全
最近版本的Windows有一個新的緩解措施叫做控制流保護(hù)(CFG)。接下來我們就講講如何在Linux中使用C語言實(shí)現(xiàn)控制流保護(hù)(CFG)。

在Linux中使用C語言實(shí)現(xiàn)控制流保護(hù)(CFG)

一、前言

最近版本的Windows有一個新的緩解措施叫做控制流保護(hù)(CFG)。在一個非直接調(diào)用之前——例如,函數(shù)指針和虛函數(shù)——針對有效調(diào)用地址的表檢查目標(biāo)地址。如果地址不是一個已知函數(shù)的入口,程序?qū)K止運(yùn)行。

如果一個程序有一個緩沖區(qū)溢出漏洞,攻擊者可以利用它覆蓋一個函數(shù)地址,并且通過調(diào)用那個指針來控制程序執(zhí)行流。這是ROP攻擊的一種方法,攻擊者構(gòu)建一系列配件地址鏈,一個配件是一組包含ret指令的指令序列,這些指令都是原始程序中的,可以用來作為非直接調(diào)用的起點(diǎn)。執(zhí)行過程會從一個配件跳到另一個配件中以便做攻擊者想做的事,卻不需要攻擊這提供任何代碼。

兩種非常廣的緩解ROP攻擊的技術(shù)是地址空間布局隨機(jī)化(ALSR)和棧保護(hù)。前者是隨機(jī)化模塊的加載基址以便達(dá)到不可預(yù)料的結(jié)果。在ROP攻擊中的地址依賴實(shí)時內(nèi)存布局,因此攻擊者必須找到并利用信息泄漏來繞過ASLR。

關(guān)于棧保護(hù),編譯器在其他棧分配之上分配一個值,并設(shè)置為每個線程的隨機(jī)值。如果過緩沖區(qū)溢出覆蓋了函數(shù)返回地址,這個值將也被覆蓋。在函數(shù)返回前,將校驗(yàn)這個值。如果不能與已知值匹配,程序?qū)⒔K止運(yùn)行。

http://p5.qhimg.com/t0191f7827142776e18.png

CFG原理類似,在將控制傳送到指針地址前做一個校驗(yàn),只是不是校驗(yàn)一個值,而是校驗(yàn)?zāi)繕?biāo)地址本身。這個非常復(fù)雜,不像棧保護(hù),需要平臺協(xié)調(diào)。這個校驗(yàn)必須在所有的可靠的調(diào)用目標(biāo)中被通知,不管是來自主程序還是動態(tài)庫。

雖然沒有廣泛部署,但是值得一提的是Clang’s SafeStack。每個線程有兩個棧:一個“安全棧”用來保存返回指針和其他可安全訪問的值,另一個“非安全棧”保存buffer之類的數(shù)據(jù)。緩沖區(qū)溢出將破環(huán)其他緩沖區(qū),但是不會覆蓋返回地址,這樣限制了破環(huán)的影響。

二、利用例子

使用一個小的C程序,demo.c:

  1. int 
  2.    main(void) 
  3.    { 
  4.        char name[8]; 
  5.        gets(name); 
  6.        printf("Hello, %s.\n", name); 
  7.        return 0; 
  8.    } 

它讀取一個名字存到緩沖區(qū)中,并且以換行結(jié)尾打印出來。麻雀雖小五臟俱全。原生調(diào)用gets()不會校驗(yàn)緩沖區(qū)的邊界,可以用來緩沖區(qū)溢出漏洞利用。很明顯編譯器和鏈接器都會拋出警告。

簡單起見,假設(shè)程序包含危險函數(shù)。

  1. void     
  2.    self_destruct(void) 
  3.    { 
  4.        puts("**** GO BOOM! ****"); 
  5.    } 

攻擊者用緩沖區(qū)溢出來調(diào)用這個危險函數(shù)。

為了使攻擊簡單,假設(shè)程序不使用ASLR(例如,在GCC/Clang中不使用-fpie和-pie編譯選項(xiàng))。首先,找到self_destruct()函數(shù)地址。

  1. $ readelf -a demo | grep self_destruct     
  2.     46: 00000000004005c5  10 FUNC  GLOBAL DEFAULT 13 self_destruct 

因?yàn)樵?4位系統(tǒng)上面,所以是64位的地址。Name緩沖區(qū)的大小事8字節(jié),在匯編我看到一個額外的8字節(jié)分配上面,所以有16個字節(jié)填充,然后8字節(jié)覆蓋self_destruct的返回指針。

  1. $ echo -ne 'xxxxxxxxyyyyyyyy\xc5\x05\x40\x00\x00\x00\x00\x00' > boom     
  2.     $ ./demo < boom 
  3.     Hello, xxxxxxxxyyyyyyyy?@. 
  4.     **** GO BOOM! **** 
  5.     Segmentation fault 

使用這個輸入我已經(jīng)成功利用了緩沖區(qū)溢出來控制了執(zhí)行。當(dāng)main試圖回到libc時,它將會跳轉(zhuǎn)到威脅代碼,然后崩潰。打開堆棧保護(hù)可以阻止這種利用。

  1. $ gcc -Os -fstack-protector -o demo demo.c     
  2.    $ ./demo < boom 
  3.    Hello, xxxxxxxxaaaaaaaa?@. 
  4.    *** stack smashing detected ***: ./demo terminated 
  5.    ======= Backtrace: ========= 
  6.    ... lots of backtrace stuff ... 

棧保護(hù)成功阻止了利用。為了繞過過這個,我將不得不猜canary值或者發(fā)現(xiàn)可以利用的信息泄漏。

棧保護(hù)轉(zhuǎn)化為程序看起來就是如下這樣:

  1. int     
  2.    main(void) 
  3.    { 
  4.        long __canary = __get_thread_canary(); 
  5.        char name[8]; 
  6.        gets(name); 
  7.        printf("Hello, %s.\n", name); 
  8.        if (__canary != __get_thread_canary()) 
  9.            abort(); 
  10.        return 0; 
  11.    } 

然而,實(shí)際上不可能在C中實(shí)現(xiàn)堆棧保護(hù),緩沖區(qū)溢出是不確定行為,并且canary僅對緩沖區(qū)溢出有效,還允許編譯器優(yōu)化它。

三、函數(shù)指針和虛函數(shù)

在攻擊者成功上述利用后,上層管理加入了密碼保護(hù)措施??雌饋砣缦拢?/p>

  1. void     
  2.     self_destruct(char *password) 
  3.     { 
  4.         if (strcmp(password, "12345") == 0) 
  5.             puts("**** GO BOOM! ****"); 
  6.     } 

這個密碼是硬編碼的,它是比較愚蠢,但是假設(shè)它不為攻擊者所知。上層管理已經(jīng)要求堆棧保護(hù),因此假設(shè)已經(jīng)開啟。

另外,程序也做一點(diǎn)改變,現(xiàn)在用一個函數(shù)指針實(shí)現(xiàn)多態(tài)。

  1. struct greeter {     
  2.         char name[8]; 
  3.         void (*greet)(struct greeter *); 
  4.     }; 
  5.       
  6.     void 
  7.     greet_hello(struct greeter *g) 
  8.     { 
  9.         printf("Hello, %s.\n", g->name); 
  10.     } 
  11.       
  12.     void 
  13.     greet_aloha(struct greeter *g) 
  14.     { 
  15.         printf("Aloha, %s.\n", g->name); 
  16.     } 

現(xiàn)在有一個greeter對象和函數(shù)指針來實(shí)現(xiàn)運(yùn)行時多態(tài)。把他想想為手寫的C的虛函數(shù)。下面是新的main函數(shù):

  1. int     
  2.     main(void) 
  3.     { 
  4.         struct greeter greeter = {.greet = greet_hello}; 
  5.         gets(greeter.name); 
  6.         greeter.greet(&greeter); 
  7.         return 0; 
  8.     } 

(在真實(shí)的程序中,其他東西會提供greeter并挑選它自己的函數(shù)指針)

而不是覆蓋返回指針,攻擊者有機(jī)會覆蓋結(jié)構(gòu)中的函數(shù)指針。讓我們重新像之前一樣利用。

  1. $ readelf -a demo | grep self_destruct     
  2.     54: 00000000004006a5  10 FUNC  GLOBAL DEFAULT  13 self_destruct 

我們不知道密碼,但是我們確實(shí)知道密碼校驗(yàn)是16字節(jié)。攻擊應(yīng)該跳過16字節(jié),即跳過校驗(yàn)(0x4006a5+16=0x4006b5)。

  1. $ echo -ne 'xxxxxxxx\xb5\x06\x40\x00\x00\x00\x00\x00' > boom     
  2.    $ ./demo < boom 
  3.    **** GO BOOM! **** 

不管堆棧保護(hù)還是密碼保護(hù)都么有幫助。堆棧保護(hù)僅僅保護(hù)返回指針,而不保護(hù)結(jié)構(gòu)中的函數(shù)指針。

這就是CFG起作用的地方。開啟了CFG,編譯器會在調(diào)用greet()之前插入一個校驗(yàn)。它必須指向一個已知函數(shù)的開頭,否則將想堆棧保護(hù)一樣終止程序運(yùn)行。因?yàn)閟elf_destruct()不是函數(shù)的開頭,但是利用后程序還是會終止。

然而,linux還沒有CFG機(jī)制。因此我打算自己實(shí)現(xiàn)它。

四、函數(shù)地址表

正如文中頂端PDF鏈接中描述的,Windows上面的CFG使用bitmap實(shí)現(xiàn)。每個位代表8字節(jié)內(nèi)存。如果過8字節(jié)包含了函數(shù)開頭,這個位設(shè)置為1。校驗(yàn)一個指針意味著校驗(yàn)在bitmap中它關(guān)聯(lián)的位。

關(guān)于我的CFG,我決定保持相同的8字節(jié)解決方案:目標(biāo)地址的低3位將舍棄。其余24位用來作為bitmap的索引。所有指針中的其他位被忽略。24位的索引意味著bitmap最大只能是2MB。

24位對于32位系統(tǒng)已經(jīng)足夠了,但是在64位系統(tǒng)上面是不夠的:一些地址不能代表函數(shù)的開頭,但是設(shè)置他們的位為1.這是可以接受的,尤其是只有已知函數(shù)作為非直接調(diào)用的目標(biāo),降低了不利因素。

注意:根據(jù)指針轉(zhuǎn)化為整數(shù)的位是未指定的且不可移植,但是這個實(shí)現(xiàn)不管在哪里都能工作良好。

下面是CFG的參數(shù)。我將他們封裝為宏以便編譯是方便。這個cfg_bits是支持bitmap數(shù)組的整數(shù)類型。CFG_RESOLUTION是舍棄的位數(shù),一次“3”是8字節(jié)的一個粒度。

  1. typedef unsigned long cfg_bits;     
  2.     #define CFG_RESOLUTION  3 
  3.     #define CFG_BITS        24 

給一個函數(shù)指針f,下面的宏導(dǎo)出bitmap的索引。

  1. #define CFG_INDEX(f) \     
  2.       (((uintptr_t)f >> CFG_RESOLUTION) & ((1UL << CFG_BITS) - 1)) 

CFG bitmap只是一個整形數(shù)組。初始值為0。

  1. struct cfg {     
  2.         cfg_bits bitmap[(1UL << CFG_BITS) / (sizeof(cfg_bits) * CHAR_BIT)]; 
  3.     }; 

使用cfg_register()在bitmap中手動注冊函數(shù)。

  1. void     
  2.    cfg_register(struct cfg *cfg, void *f) 
  3.    { 
  4.        unsigned long i = CFG_INDEX(f); 
  5.        size_t z = sizeof(cfg_bits) * CHAR_BIT; 
  6.        cfg->bitmap[i / z] |= 1UL << (i % z); 
  7.    } 

因?yàn)樵谶\(yùn)行時注冊函數(shù),需要與ASLR一致。如果ASLR開啟了,bitmap每次運(yùn)行都會不同。將bitmap的每個元素與一個隨機(jī)數(shù)異或是值得的,加大攻擊者的難度。在完成注冊后,bitmap也需要調(diào)整為只讀權(quán)限(mprotect())。

最后,校驗(yàn)函數(shù)被用于非直接調(diào)用之前。它確保了f先被傳遞給cfg_register()。因?yàn)樗{(diào)用頻繁,所以需要盡量快和簡單。

  1. void     
  2.    cfg_check(struct cfg *cfg, void *f) 
  3.    { 
  4.        unsigned long i = CFG_INDEX(f); 
  5.        size_t z = sizeof(cfg_bits) * CHAR_BIT; 
  6.        if (!((cfg->bitmap[i / z] >> (i % z)) & 1)) 
  7.            abort(); 
  8.    } 

完成了,現(xiàn)在在main中使用它:

  1. struct cfg cfg;     
  2.     
  3.   int 
  4.   main(void) 
  5.   { 
  6.       cfg_register(&cfg, self_destruct);  // to prove this works 
  7.       cfg_register(&cfg, greet_hello); 
  8.       cfg_register(&cfg, greet_aloha); 
  9.     
  10.       struct greeter greeter = {.greet = greet_hello}; 
  11.       gets(greeter.name); 
  12.       cfg_check(&cfg, greeter.greet); 
  13.       greeter.greet(&greeter); 
  14.       return 0; 
  15.   } 

現(xiàn)在再次利用:

  1. $ ./demo < boom     
  2.     Aborted 

正常情況下self_destruct()不會被注冊,因?yàn)樗皇且粋€非直接調(diào)用的合法目標(biāo),但是利用依然不能起作用是因?yàn)樗趕elf_destruct()中間被調(diào)用,在bitmap中它不是一個可靠的地址。校驗(yàn)將在利用前終止程序。

在真實(shí)的應(yīng)用程序中,我將使用一個全局的CFG bitmap,在頭文件中使用inline函數(shù)定義cfg_check()。

盡管不使用工具直接在C中實(shí)現(xiàn)是可能的,但是這將變得更加繁瑣和意出錯。正確的是該在編譯器中實(shí)現(xiàn)CFG。

責(zé)任編輯:趙寧寧 來源: 安全客
相關(guān)推薦

2015-09-28 14:12:36

2014-05-26 09:50:19

訪問控制列表ACL文件保護(hù)

2014-08-01 15:16:05

SwiftC語言

2013-02-21 17:02:00

C語言

2011-03-04 10:04:31

Linux文件操作命令

2010-02-05 15:59:26

C++函數(shù)重載

2020-08-12 08:56:30

代碼凱撒密碼函數(shù)

2023-12-07 12:59:46

C語言循環(huán)隊(duì)列代碼

2023-07-04 16:36:03

Linuxcd 命令

2023-07-23 19:26:18

Linuxcat 命令

2011-05-25 13:22:05

PHPJSON

2022-08-30 20:00:37

零信任Linkerd

2023-07-04 15:11:30

TypeScript類型保護(hù)

2013-05-14 10:13:06

WindowsLinux操作系統(tǒng)

2023-08-12 15:05:26

Linuxcp 命令

2021-01-19 05:30:55

C# 8異步流IEnumerable

2023-03-02 19:36:34

C語言

2015-09-01 10:32:11

2015-09-01 14:29:33

2020-12-07 06:25:14

Linux Truncate 命令
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號

主站蜘蛛池模板: 成人免费一级 | 成人午夜免费在线视频 | 国产精品永久 | 日本久久久久久久久 | 国产精品美女久久久久久不卡 | 日韩欧美国产精品综合嫩v 一区中文字幕 | 国产精品久久久久久福利一牛影视 | 一区二区三区免费 | 日本黄色激情视频 | 国产精品大片在线观看 | 久久久91精品国产一区二区三区 | 精品一区二区在线视频 | 国产精品视频免费播放 | 国产视频1 | 日韩a| 欧美日韩在线观看一区 | 国产精品久久国产精品久久 | 免费观看毛片 | 国产中文字幕亚洲 | 国产一区二区精品在线 | 视频一区在线 | 国产精品免费一区二区三区四区 | 国产偷久久一级精品60部 | 国产精品一区二区三区四区 | 亚洲二区在线观看 | 欧美性久久 | 国产成人精品a视频一区www | 日韩在线精品视频 | 欧美精品三区 | 九色在线观看 | 一区二区三区四区在线视频 | a级大片 | 男女爱爱网站 | 国产成人精品a视频一区www | 国产精品不卡一区 | 夜夜骑首页 | 国产一区二区电影网 | 日韩一区二区三区在线 | 国产精品久久久久久中文字 | 国产午夜视频 | 在线观看免费av网 |