地址空间布局随机化（Address Space Layout Randomization）与缓冲区溢出攻击

<iframe align="top" marginwidth="0" marginheight="0" src="http://www.zealware.com/46860.html" frameborder="0" width="468" scrolling="no" height="60"></iframe>

记得以前在Linux下做缓冲区溢出攻击的实验，用了两台机器，一台装RedHat 8.0，另一台装RedHat 9.0，发现一个奇怪的现象。RedHat 8.0的栈基地址是固定的，而RedHat 9.0的栈基地址是浮动的。比如对于下面这个程序，RedHat 8.0每次运行的输出是相同的，而RedHat 9.0则不同。

int main()
{
char buf[256];
printf("0X%X/n", buf);
gets(buf);
}

明显感觉到，由于栈基地址会变化，那种最普通的缓冲区溢出攻击（传一段shellcode给gets()函数）在RedHat 9.0下较难成功。（在RedHat 8.0下倒是一试一个准。）当时也没太在意，觉得这可能是RedHat 9.0增强系统安全性的一个做法。

今天偶然发现，这种做法叫做 address space layout randomization，不仅随机化栈地址，还可以随机化动态链接库（比如libc）的基地址（应对return-to-libc攻击）和mmap的地址。

我没有进一步深究，据说OpenBSD、Linux、Vista都有实现这一技术，以下是一些参考地址。

http://pax.grsecurity.net/docs/aslr.txt
http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx
http://www.csc.ncsu.edu/faculty/junxu/software/aslp/
http://www.stanford.edu/~blp/papers/asrandom.pdf

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1051355