linux程序保护机制

前言

从创建博客到现在也不少时间了,写了不少网络安全的学习笔记,但都集中在web类漏洞中,近日为了扩展自己的知识体系,准备在二进制上下些功夫,从基础开始记录一下二进制漏洞的笔记。所以就先拿linux程序的保护机制来开个头吧。

linux系统提供了很多安全机制来降低程序受到缓冲区溢出等攻击手法的攻击,而我们需要使用这些攻击手法来进行攻击,所以就要熟悉常见的安全机制,知己知彼,才能成功实施攻击。

checksec

checksec是一个检查linux程序开启的安全机制的shell脚本,脚本并不大,可以直接从github下载并使用:
https://github.com/slimm609/checksec.sh/

gdb的peda插件也带有checksec脚本,由于我们之后还要频繁使用gdb的分析二进制程序,所以直接使用gdb-peda中的checksec

gdb-peda安装:

1
2
$ git clone https://github.com/longld/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit

安装完成后原本的gdb会变成gdb-peda

随便使用一个程序尝试一下checksec

CANARY

CANARY是金丝雀的意思,来源于”金丝雀与矿工”的故事,金丝雀曾经经常被用作煤矿开采的预警系统。矿井中的一氧化碳或甲烷等有毒气体会在影响矿工之前杀死这些金丝雀,矿工们会根据金丝雀的状态,判断矿井是否安全。

和金丝雀的作用类似,在linux程序中,CANARY是一种栈保护机制,栈保护机制开启后,函数执行时会先往栈中插入随机值,这个随机值就被称为CANARY,当函数返回时,会先验证这个随机数是否被更改,如果被更改说明有栈溢出行为,就会使程序强制停止,从而规避栈溢出带来的危害。

canary所在位置图解:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
  High
Address | |
+-----------------+
| args |
+-----------------+
| return address |
+-----------------+
rbp => | old ebp |
+-----------------+
rbp-8 => | canary value |
+-----------------+
| 局部变量 |
Low | |
Address

gcc编译时,可通过编译选项选择是否启用canary机制

1
2
3
-fno-stack-protector 禁用栈保护
-fstack-protector 启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
-fstack-protector-all 启用堆栈保护,为所有函数插入保护代码

FORTIFY

FORTIFY机制用于检查程序是否存在缓冲区溢出错误,适用于memcpy,memset,stpcpy,strcpy,strncpy,strcat,strncat,sprintf,snprintf,vsprintf,vsnprintf,gets等函数。

在函数编译时,加入FORTIFY机制的代码会在编译过程中自动添加一部分代码,判断数组的大小,削减缓冲区溢出的危害。

gcc编译时,默认不开启FORTIFY机制,可通过编译选项选择开启的FORTIFY机制强度

1
2
gcc -D_FORTIFY_SOURCE=1 仅仅只会在编译时进行检查
gcc -D_FORTIFY_SOURCE=2

NX

NX是No-eXecute的缩写,设置NX会限制数据页面内存中不可执行代码,若程序尝试在被限制内存中执行代码,CPU会抛出异常。这种防御手段可以很好的克制ret2shellcode方式的攻击手段。

gcc默认开启NX机制防止数据内存中执行代码,可以通过编译选项关闭NX机制

1
2
gcc -z execstack 关闭NX保护
gcc -z noexecstack 开启NX保护

在Windows下,类似的概念为DEP(数据执行保护),在最新版的Visual Studio中默认开启了DEP编译选项。

PIE

PIE叫做代码部分地址无关,PIE能使程序像共享库一样在主存任何位置装载,这需要将程序编译成位置无关,并链接为ELF共享对象。

PIE和内存地址随机化机制ASLR(address space layout randomization)会同时工作,使代码

如果不开启PIE的话,那么每次ELF文件加载的地址都是相同的。如果开启PIE,那么每次都会不同。

liunx下关闭PIE的命令如下:

1
sudo -s echo 0 > /proc/sys/kernel/randomize_va_space

gcc中可以通过编译选项选择不同强度的PIE

1
2
3
4
5
gcc -o test test.c // 默认情况下,不开启PIE
gcc -fpie -pie -o test test.c // 开启PIE,此时强度为1
gcc -fPIE -pie -o test test.c // 开启PIE,此时为最高强度2
gcc -fpic -o test test.c // 开启PIC,此时强度为1,不会开启PIE
gcc -fPIC -o test test.c // 开启PIC,此时为最高强度2,不会开启PIE

RELRO

RELRO机制全名是read only relocation,指定binary的一块区域使其权限变为只读。
在linux程序中,很多攻击都是由于存储数据的区域被写入恶意代码进行的,RELRO机制主要可以缓解对GOT表的攻击(Global Offset Table)

gcc中可以通过编译选项控制RELRO

1
2
3
4
gcc -o test test.c // 默认情况下,是Partial RELRO
gcc -z norelro -o test test.c // 关闭,即No RELRO
gcc -z lazy -o test test.c // 部分开启,即Partial RELRO
gcc -z now -o test test.c // 全部开启,即

fork me on github