二进制漏洞挖掘之栈溢出-开启FORTIFY

二进制漏洞-栈溢出

github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow

你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。

测试平台

系统:CentOS release 6.10 (Final)、32位

内核版本:Linux 2.6.32-754.10.1.el6.i686  i686 i386 GNU/Linux

gcc 版本: 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC)

gdb版本:GNU gdb (GDB) Red Hat Enterprise Linux (7.2-92.el6)

libc版本:libc-2.12.so

漏洞原理

       在对栈缓冲区进行写操作时(如memcpy),未对缓冲区大小进行判断,导致写入数据长度可能大于缓冲区长度。

通用利用方式

       写入数据覆盖返回地址,使返回地址指向恶意代码起始地址。由于我是基于本地测试,也就是libc库的版本已知,而基于远程攻击或不同版本的libc库可能会存在差异。

漏洞测试程序

二进制漏洞挖掘之栈溢出-开启FORTIFY_第1张图片

 

很明显代码在执行scanf时未对缓冲区大小进行判断,存在栈溢出漏洞。

注意如无特殊说明,本文的exp都是基于该源码编译的二进制实现的。

所有测试均在linux环境下进行

开启FORTIFY

1、FORTIFY其实非常轻微的检查,用于检查是否存在缓冲区溢出的错误。适用情形是程序采用大量的字符串或者内存操作函数,如memcpy,memset,stpcpy,strcpy,strncpy,strcat,strncat,sprintf,snprintf,vsprintf,vsnprintf,gets以及宽字符的变体

2、FORTIFY_SOURCE机制对格式化字符串有两个限制(1)包含%n的格式化字符串不能位于程序内存中的可写地址。(2)当使用位置参数时,必须使用范围内的所有参数。所以如果要使用%7$x,你必须同时使用1,2,3,4,5和6。

gcc -D_FORTIFY_SOURCE=1 -O1仅仅只会在编译时进行检查 (特别像某些头文件 #include )

gcc -D_FORTIFY_SOURCE=2 -O2程序执行时也会有检查 (如果检查到缓冲区溢出,就终止程序)

二进制漏洞挖掘之栈溢出-开启FORTIFY_第2张图片

 

先让我们看看添加FORTIFY编译选项(第一条影响)前后的汇编区别,未添加fortify选项:

二进制漏洞挖掘之栈溢出-开启FORTIFY_第3张图片

 

添加编译forify编译选项后的反汇编,从两幅图对比可以看到开启forify后调用memset汇编指令被替换了其他指令。

二进制漏洞挖掘之栈溢出-开启FORTIFY_第4张图片

 

同样我们通过gdb调试可以看到原来的memset被替换成了__builtin__memset_chk

二进制漏洞挖掘之栈溢出-开启FORTIFY_第5张图片

 

我们继续覆盖返回地址看程序是否会被终止,从下图可以看出程序没有被终止,和我们之前

二进制漏洞挖掘之栈溢出-开启FORTIFY_第6张图片

 

测试没什么两样。

我先后在编译时测试,编译选项中不加入-O1、-O2发现memset不会被替换,并且用checksec检测也不到开启fortify,也就是说加了优化选项memset就被优化了,而只有加了优化选项后fortify才会被开启。

在让我们看看添加了FORTIFY编译选项后对第二条关于printf格式化的影响,我们重新编写一个明显包含格式化字符串的程序,代码如下:

二进制漏洞挖掘之栈溢出-开启FORTIFY_第7张图片

 

测试运行如下图,很明显它检测出了格式化字符串异常。

 

漏洞分析(略)

实现exp(略)

 

你可能感兴趣的:(漏洞挖掘)