ASLR
Informazioni di Base
Address Space Layout Randomization (ASLR) è una tecnica di sicurezza utilizzata nei sistemi operativi per randomizzare gli indirizzi di memoria utilizzati dai processi di sistema e dalle applicazioni. In questo modo, rende significativamente più difficile per un attaccante prevedere la posizione di processi e dati specifici, come lo stack, l'heap e le librerie, mitigando così determinati tipi di exploit, in particolare gli overflow di buffer.
Verifica dello Stato di ASLR
Per verificare lo stato di ASLR su un sistema Linux, è possibile leggere il valore dal file /proc/sys/kernel/randomize_va_space
. Il valore memorizzato in questo file determina il tipo di ASLR applicato:
0: Nessuna randomizzazione. Tutto è statico.
1: Randomizzazione conservativa. Le librerie condivise, lo stack, mmap(), la pagina VDSO sono randomizzati.
2: Randomizzazione completa. Oltre agli elementi randomizzati dalla randomizzazione conservativa, la memoria gestita tramite
brk()
è randomizzata.
È possibile verificare lo stato di ASLR con il seguente comando:
Disabilitazione di ASLR
Per disabilitare ASLR, imposti il valore di /proc/sys/kernel/randomize_va_space
a 0. Disabilitare ASLR non è generalmente consigliato al di fuori di scenari di testing o debug. Ecco come puoi disabilitarlo:
Puoi anche disabilitare ASLR per un'esecuzione con:
Abilitazione di ASLR
Per abilitare ASLR, è possibile scrivere un valore di 2 nel file /proc/sys/kernel/randomize_va_space
. Questo richiede tipicamente privilegi di root. Abilitare la piena randomizzazione può essere fatto con il seguente comando:
Persistenza attraverso i riavvii
Le modifiche apportate con i comandi echo
sono temporanee e verranno ripristinate al riavvio. Per rendere persistente la modifica, è necessario modificare il file /etc/sysctl.conf
e aggiungere o modificare la seguente riga:
Dopo aver modificato /etc/sysctl.conf
, applica le modifiche con:
Questo assicurerà che le impostazioni di ASLR rimangano attive anche dopo i riavvii.
Bypass
Forzatura a 32 bit
PaX divide lo spazio degli indirizzi del processo in 3 gruppi:
Codice e dati (inizializzati e non inizializzati):
.text
,.data
, e.bss
—> 16 bit di entropia nella variabiledelta_exec
. Questa variabile viene inizializzata casualmente con ogni processo e aggiunta agli indirizzi iniziali.Memoria allocata da
mmap()
e librerie condivise —> 16 bit, chiamatidelta_mmap
.Lo stack —> 24 bit, indicato come
delta_stack
. Tuttavia, utilizza effettivamente 11 bit (dal 10° al 20° byte incluso), allineati a 16 byte —> Ciò porta a 524.288 possibili indirizzi reali dello stack.
I dati precedenti sono per sistemi a 32 bit e la ridotta entropia finale rende possibile aggirare l'ASLR riprovando l'esecuzione più volte fino a quando l'exploit viene completato con successo.
Idee per la forzatura:
Se si dispone di un overflow sufficientemente grande per ospitare un ampio NOP sled prima del codice shell, è possibile forzare gli indirizzi nello stack fino a quando il flusso salta una parte del NOP sled.
Un'altra opzione in questo caso, nel caso in cui l'overflow non sia così grande e l'exploit possa essere eseguito in locale, è possibile aggiungere il NOP sled e il codice shell in una variabile di ambiente.
Se l'exploit è locale, è possibile tentare di forzare l'indirizzo di base di libc (utile per sistemi a 32 bit):
Se stai attaccando un server remoto, potresti provare a forzare l'indirizzo della funzione
usleep
dellalibc
, passando come argomento 10 (per esempio). Se a un certo punto il server impiega 10 secondi in più per rispondere, hai trovato l'indirizzo di questa funzione.
Nei sistemi a 64 bit l'entropia è molto più alta e questo non dovrebbe essere possibile.
Forzatura dello stack a 64 bit
È possibile occupare una grande parte dello stack con variabili d'ambiente e poi provare ad abusare del binario centinaia/migliaia di volte in locale per sfruttarlo. Il codice seguente mostra come sia possibile selezionare semplicemente un indirizzo nello stack e ogni centinaia di esecuzioni quell'indirizzo conterrà l'istruzione NOP:
Informazioni locali (/proc/[pid]/stat
)
/proc/[pid]/stat
)Il file /proc/[pid]/stat
di un processo è sempre leggibile da chiunque e contiene informazioni interessanti come:
startcode & endcode: Indirizzi sopra e sotto con il TESTO del binario
startstack: L'indirizzo di inizio dello stack
start_data & end_data: Indirizzi sopra e sotto dove si trova il BSS
kstkesp & kstkeip: Indirizzi correnti di ESP e EIP
arg_start & arg_end: Indirizzi sopra e sotto dove si trovano gli argomenti della riga di comando
env_start & env_end: Indirizzi sopra e sotto dove si trovano le variabili d'ambiente
Pertanto, se l'attaccante si trova nello stesso computer del binario che viene sfruttato e questo binario non si aspetta l'overflow dagli argomenti grezzi, ma da un diverso input che può essere creato dopo aver letto questo file. È possibile per un attaccante ottenere alcuni indirizzi da questo file e costruire offset da essi per lo sfruttamento.
Per ulteriori informazioni su questo file controlla https://man7.org/linux/man-pages/man5/proc.5.html cercando /proc/pid/stat
Avere una fuga
La sfida consiste nel fornire una fuga
Se ti viene fornita una fuga (sfide CTF facili), puoi calcolare offset da essa (supponendo ad esempio di conoscere l'esatta versione di libc utilizzata nel sistema che stai sfruttando). Questo exploit di esempio è estratto dall'esempio da qui (controlla quella pagina per ulteriori dettagli):
ret2plt
Sfruttando un overflow del buffer sarebbe possibile sfruttare un ret2plt per estrarre un indirizzo di una funzione dalla libc. Controlla:
pageRet2pltFormat Strings Arbitrary Read
Proprio come in ret2plt, se si dispone di una lettura arbitraria tramite una vulnerabilità delle stringhe di formato, è possibile estrarre l'indirizzo di una funzione della libc dal GOT. Il seguente esempio è da qui:
Puoi trovare ulteriori informazioni sull'arbitrary read delle stringhe di formato in:
pageFormat StringsRet2ret & Ret2pop
Prova a eludere l'ASLR sfruttando gli indirizzi all'interno dello stack:
pageRet2ret & Reo2popvsyscall
Il meccanismo vsyscall
serve per migliorare le prestazioni consentendo a determinate chiamate di sistema di essere eseguite nello spazio utente, anche se fanno fondamentalmente parte del kernel. Il vantaggio critico delle vsyscall risiede nei loro indirizzi fissi, che non sono soggetti a ASLR (Randomizzazione della disposizione dello spazio degli indirizzi). Questa natura fissa significa che gli attaccanti non necessitano di una vulnerabilità di leak di informazioni per determinare i loro indirizzi e utilizzarli in un exploit.
Tuttavia, qui non saranno trovati gadget super interessanti (anche se ad esempio è possibile ottenere un equivalente di ret;
)
(L'esempio e il codice seguenti sono tratti da questo writeup)
Ad esempio, un attaccante potrebbe utilizzare l'indirizzo 0xffffffffff600800
all'interno di un exploit. Mentre tentare di saltare direttamente a un'istruzione ret
potrebbe portare a instabilità o crash dopo l'esecuzione di un paio di gadget, saltare all'inizio di una syscall
fornita dalla sezione vsyscall può risultare vincente. Posizionando attentamente un gadget ROP che porta l'esecuzione a questo indirizzo vsyscall, un attaccante può ottenere l'esecuzione del codice senza dover eludere ASLR per questa parte dell'exploit.
vDSO
Nota quindi come potrebbe essere possibile bypassare ASLR abusando del vdso se il kernel è compilato con CONFIG_COMPAT_VDSO poiché l'indirizzo vdso non verrà randomizzato. Per ulteriori informazioni controlla:
pageRet2vDSOLast updated