ASLR
Temel Bilgiler
Adres Alanı Düzeni Rastgeleleştirme (ASLR), işletim sistemlerinde kullanılan bir güvenlik tekniğidir ve sistem ve uygulama süreçleri tarafından kullanılan bellek adreslerini rastgeleleştirir. Böylece, belirli süreçlerin ve verilerin konumunu, özellikle tampon taşmalarını hafifletirken, bir saldırganın tahmin etmesini önemli ölçüde zorlaştırır.
ASLR Durumunu Kontrol Etme
Linux sistemlerinde ASLR durumunu kontrol etmek için, ASLR'nin uygulandığı türü belirleyen /proc/sys/kernel/randomize_va_space
dosyasından değeri okuyabilirsiniz:
0: Rastgeleleştirme yok. Her şey statiktir.
1: Muhafazakar rastgeleleştirme. Paylaşılan kütüphaneler, yığın, mmap(), VDSO sayfası rastgeleleştirilir.
2: Tam rastgeleleştirme. Muhafazakar rastgeleleştirme tarafından rastgeleleştirilen öğelerin yanı sıra
brk()
ile yönetilen bellek de rastgeleleştirilir.
ASLR durumunu aşağıdaki komutla kontrol edebilirsiniz:
ASLR'nin Devre Dışı Bırakılması
ASLR'yi devre dışı bırakmak için /proc/sys/kernel/randomize_va_space
değerini 0 olarak ayarlarsınız. ASLR'nin devre dışı bırakılması genellikle test veya hata ayıklama senaryoları dışında önerilmez. İşte nasıl devre dışı bırakabileceğiniz:
Ayrıca, bir yürütme için ASLR'yi devre dışı bırakabilirsiniz:
ASLR'yi Etkinleştirme
ASLR'yi etkinleştirmek için, genellikle kök izinleri gerektiren /proc/sys/kernel/randomize_va_space
dosyasına 2 değerini yazabilirsiniz. Tam rasgeleleştirme ise aşağıdaki komutla yapılabilir:
Yeniden Başlatmalara Karşı Kalıcılık
echo
komutları ile yapılan değişiklikler geçicidir ve yeniden başlatıldığında sıfırlanacaktır. Değişikliği kalıcı hale getirmek için /etc/sysctl.conf
dosyasını düzenleyip aşağıdaki satırı eklemeniz veya değiştirmeniz gerekmektedir:
/etc/sysctl.conf
dosyasını düzenledikten sonra değişiklikleri uygulamak için:
Bu, ASLR ayarlarınızın yeniden başlatmalar arasında kalmasını sağlayacaktır.
Atlatmalar
32 bit kaba kuvvet saldırısı
PaX işlem adres alanını 3 gruba ayırır:
Kod ve veri (başlatılmış ve başlatılmamış):
.text
,.data
ve.bss
—>delta_exec
değişkeninde 16 bit entropi. Bu değişken her işlemle rastgele olarak başlatılır ve başlangıç adreslerine eklenir.mmap()
tarafından ayrılan Bellek ve paylaşılan kütüphaneler —> 16 bit,delta_mmap
olarak adlandırılır.Yığın —> 24 bit,
delta_stack
olarak adlandırılır. Ancak, etkili olarak 11 bit kullanır (10. ile 20. bayt arasında dahil), 16 bayt'a hizalanmıştır —> Bu, 524,288 olası gerçek yığın adresine yol açar.
Önceki veriler 32 bit sistemler içindir ve azaltılmış son entropi, saldırı başarılı bir şekilde tamamlanana kadar işlemi tekrar tekrar deneyerek ASLR'yi atlatmayı mümkün kılar.
Kaba kuvvet fikirleri:
Kabul edilebilir büyüklükte bir taşma ile büyük bir NOP kaydı barındırabilecek kadar büyükse, yığında adresleri kaba kuvvetle deneyebilir ve akışın NOP kaydının bir kısmının üzerinden atlamasını sağlayabilirsiniz.
Taşma yeterince büyük değilse ve saldırı yerel olarak çalıştırılabilirse, NOP kaydını ve shellcode'u bir ortam değişkenine eklemek mümkündür.
Saldırı yerel ise, libc'nin temel adresini kaba kuvvetle deneyebilirsiniz (32 bit sistemler için faydalıdır):
Uzak bir sunucuyu hedef alıyorsanız,
usleep
libc
fonksiyonunun adresini kaba kuvvet uygulayabilirsiniz, örneğin 10'u argüman olarak geçirerek. Eğer sunucu cevap vermek için 10 saniye daha fazla zaman alıyorsa, bu fonksiyonun adresini buldunuz demektir.
64 bit sistemlerde entropi çok daha yüksektir ve bu mümkün olmamalıdır.
64 bit yığın kaba kuvvet saldırısı
Çevre değişkenleriyle yığının büyük bir kısmını işgal etmek ve ardından binleri/yüzleri kez yerel olarak kötüye kullanmak mümkündür. Aşağıdaki kod, yığında yalnızca bir adres seçmenin ve her birkaç yüz kez çalıştırmanın bu adresin NOP talimatını içereceğini göstermektedir:
Yerel Bilgiler (/proc/[pid]/stat
)
/proc/[pid]/stat
)Bir işlemin /proc/[pid]/stat
dosyası her zaman herkes tarafından okunabilir ve şunlar gibi ilginç bilgiler içerir:
startcode & endcode: Binary'nin TEXT kısmının üstünde ve altındaki adresler
startstack: stack'in başlangıç adresi
start_data & end_data: BSS'nin bulunduğu adreslerin üstünde ve altındaki adresler
kstkesp & kstkeip: Mevcut ESP ve EIP adresleri
arg_start & arg_end: cli argümanlarının bulunduğu adreslerin üstünde ve altındaki adresler
env_start & env_end: çevre değişkenlerinin bulunduğu adreslerin üstünde ve altındaki adresler
Bu nedenle, saldırgan, söz konusu binary'nin aynı bilgisayarda olduğu ve bu binary'nin ham argümanlardan taşma beklemiyor olması durumunda, ancak bu dosyayı okuduktan sonra oluşturulabilecek farklı bir girdiden taşma bekliyorsa, saldırganın bu dosyadan bazı adresleri alıp bunlardan ofsetler oluşturması mümkündür.
Bu dosya hakkında daha fazla bilgi için https://man7.org/linux/man-pages/man5/proc.5.html adresine giderek /proc/pid/stat
'ı arayın.
Bir sızıntıya sahip olmak
Zorluk, bir sızıntı vermek
Eğer bir sızıntı verilirse (kolay CTF zorlukları), bu sızıntılardan ofsetler hesaplayabilirsiniz (örneğin, söz konusu sistemin kullandığı kesin libc sürümünü bildiğinizi varsayalım). Bu örnek exploit, buradan örnekten çıkarılmıştır (daha fazla ayrıntı için o sayfaya bakın):
ret2plt
Tampon taşması kullanılarak ret2plt'yi istismar etmek, bir libc fonksiyonunun adresini dışarı sızdırmak mümkün olabilir. Kontrol edin:
pageRet2pltFormat Strings Arbitrary Read
Ret2plt'de olduğu gibi, bir format dizileri zafiyeti aracılığıyla keyfi okuma yeteneğiniz varsa, bir libc fonksiyonunun adresini GOT'tan dışarı sızdırmak mümkündür. Aşağıdaki örnek buradan alınmıştır:
Format Strings arbitrary read hakkında daha fazla bilgiyi aşağıda bulabilirsiniz:
pageFormat StringsRet2ret & Ret2pop
Stack içindeki adresleri istismar ederek ASLR'yi atlamayı deneyin:
pageRet2ret & Reo2popvsyscall
vsyscall
mekanizması, belirli sistem çağrılarının çekirdek parçası olmalarına rağmen kullanıcı alanında yürütülmesine izin vererek performansı artırmak için hizmet verir. Vsyscalls'ın kritik avantajı, ASLR'ye (Adres Alanı Düzeni Rastgeleleştirme) tabi olmayan sabit adreslerinde yatmaktadır. Bu sabit doğa, saldırganların adreslerini belirlemek ve bir saldırıda kullanmak için bir bilgi sızıntısı zafiyetine ihtiyaç duymamaları anlamına gelir.
Ancak, burada çok ilginç araçlar bulunmayacak (örneğin bir ret;
eşdeğerini almak mümkündür)
(Aşağıdaki örnek ve kod bu yazıdan alınmıştır)
Örneğin, bir saldırgan, bir saldırıda 0xffffffffff600800
adresini kullanabilir. Bir ret
talimatına doğrudan atlamaya çalışmak, birkaç araç yürütüldükten sonra kararsızlığa veya çökmelere yol açabilir, ancak yürütmenin vsyscall bölümü tarafından sağlanan bir syscall
'ın başlangıcına atlaması başarılı olabilir. Bir ROP aracını dikkatlice yerleştirerek, saldırgan bu vsyscall adresine yürütmeyi yönlendiren bir ROP aracı yerleştirerek, bir saldırının bu kısmı için ASLR'yi atlamaya gerek duymadan kod yürütme başarabilir.
vDSO
Bu nedenle, kernel CONFIG_COMPAT_VDSO ile derlenmişse vdso'nun adresi rastgele hale getirilmeyeceğinden ASLR'yi atlayabilirsiniz. Daha fazla bilgi için kontrol edin:
pageRet2vDSOLast updated