Wenn Ihr stack und heap sind nicht ausführbar, wie kann man den code ausführen?

Las ich ein Buch über Puffer-überlauf, und er schlage vor, die nächste zu tun haben:

Macht der stack und heap) non-executable bietet eine hohe
Schutz gegen viele Arten von buffer-overflow-Angriffe für bestehende
Programme.

Aber ich verstehe nicht, wie können wir es tun - denen die Ausführung stattfinden würde, wenn nicht auf dem heap oder auf dem stack?

InformationsquelleAutor Adam Sh | 2012-07-14
  1. 23

    Wenn ich verstehe deine Frage richtig, keine der anderen Antworten Adresse. Die Antwort ist, dass die Ausführung tritt in den code-Abschnitt, der weder stack noch heap. In einem typischen paged-memory-Systems, die code aus einer Programmdatei (z.B., ein .exe in Windows) geladen wird in ein ausführbares, aber nur-lese-Seiten. Zusätzliche beschreibbaren (und ausführbare) Seiten zugeordnet sind, um den Prozess für den stack und den heap. Der Vorschlag hier ist, dass das Betriebssystem und die hardware sollten zusammenarbeiten, um diejenigen markieren, die Seiten beschreibbar, aber nicht ausführbar ist (rgngl Antwort erklärt, wie man das in Windows).

    Auch mit den nicht-ausführbaren heap-und stack-exploits sind immer noch möglich, dass die Verwendung der return-oriented programming erwähnt Alexey Frunse Antwort, aber es gibt Schutz-Techniken, stymie, auch diejenigen, die wie stack-smashing-Schutz und address space layout randomization -- siehe http://en.wikipedia.org/wiki/Return-to-libc_attack#Protection_from_return-to-libc_attacks

    InformationsquelleAutor Jim Balter
  2. 10

    Gibt es den sogenannten "return-oriented programming" (AKA ROP) Art des exploits.

    Den Angreifer findet, wie man seine bösen code aus verschiedenen teilen des Programm, das ausgenutzt wird.

    Er findet nutzbare byte-Sequenzen (Anweisungen) vor der return-Anweisung byte(s), die nützliche Operationen auf Registern oder Speicher wie verschieben Sie einen Wert in einen Speicherort, Werte hinzufügen, Werte zu vergleichen, etc etc. Das sind Mikro-Unterprogramme, die das ausnutzen, wird gebaut.

    Dann durch die Ausnutzung eines Fehlers code der Angreifer zwingt das Programm zu starten, die Kette von diese Mikro-Unterprogramme, die nicht alle die böse Arbeit.

    So, nun guten code verwandelt sich in böse code. Nichts ausgeführt wird, auf dem stack oder im heap.

    Bemerkenswert ist auch, dass auf CPUs, wo Anweisungen, die über mehrere bytes und sind von variabler Länge, selbst über die unmittelbare Instruktion Operanden (IOW, numerische Konstanten), sind Teil der Anweisungen kann zu code, und so die Chancen auf nutzbare byte-Sequenzen dort höher sind als bei "einfacheren" CPUs.

    Es ist auch oft möglich zu konstruieren bösartigen code, die geändert wird, Speicherschutz und der exploit wird nicht mehr beschränkt durch die bestehende Anwendung code.

    InformationsquelleAutor Alexey Frunze
  3. 4

    Sehr konkretes Beispiel: Ordnen Sie für die Rückkehr-Adresse zu zeigen, um system und der nächste slot auf dem stack (oder das erste argument registrieren, auf der pass-by-register-Architekturen) ein Zeiger auf den string "/bin/sh".

    • Aber nicht Sie müssen auch Zugriff auf die Konsole in diesem Fall?
    • Nein. Ich war der Annahme, der Prozess ist stdin ein socket oder terminal, mit dem Sie verbunden sind, aber wenn nicht, ändern Sie einfach "/bin/sh" zu "/bin/sh 0<&n" wo n ist der Datei-Deskriptor-Nummer des server-socket für die Verbindung ein.
    • Oder natürlich, Sie können tun, was Sie wollen, ohne eine interaktive shell an, z.B. "echo 'toor::0:0::/:/bin/sh' >> /etc/passwd"
    InformationsquelleAutor R..
  4. 1

    Diese Art von Schutz wird durch die OS und kann nicht getan werden in der Anwendungsschicht.

    Siehe den wikipedia-Artikel, die auch erzählt, wie es zu aktivieren unter Windows: http://en.wikipedia.org/wiki/Data_Execution_Prevention

    • In der Theorie, Sie können es selbst tun, es ist im Grunde nur ein paar Anrufe zu mprotect(2).
    • Danke für die info 🙂
    • Kein problem 🙂 denken Sie daran, dass die wichtigste Sache zu tun ist, um sicherzustellen, dass der Speicher auch beschreibbar ist und gleichzeitig ausführbar.
    InformationsquelleAutor rgngl
  5. 0

    können Sie direkt zu jedem anderen Ort, die ausführbaren Segments und führen Ihre bösen code...

    Schließlich sind alle Daten auf einem Speicher -, Speicher-bits und bits können Anweisungen an die cpu, um Sie auszuführen.

    • Die Frage scheint zu sein, etwa der Fall, wenn alles außer der Programm-code wird in nicht ausführbaren Speicher. Wie wollen Sie laden Ihren code in ausführbaren Speicher dann? Springen kann es leicht sein.
    • der Angreifer kann den code zum Beispiel Aussehen für pop eax; jmp eax ...
    InformationsquelleAutor 0x90
  6. 0

    Können Sie mit Ihrem überlauf überschreiben der Rücksprungadresse einer Funktion, die springen können, um einige bekannte Adresse mit dem code drauf. Aber dann OS Schriftsteller reagierten, indem Sie zufällig die Adresse-code wird ausgeführt...

    • Um zu beginnen mit, wie wollen Sie laden Ihren code in ausführbare Standorten, wenn alles, aber der Programm-code wird in nicht ausführbaren Speicher? Address space randomization allein nicht verhindern, dass ROP-exploits. Siehe meine Antwort.
    InformationsquelleAutor argentage
  7. 0

    Ihr code ausgeführt wird, in das text-segment, nicht in den stack oder auf dem heap (die beide zur Speicherung von Daten). Also die Organisation ist: 

    <highest addresses>
stack
...
heap
data section (initialized data & bss - uninitialized data) 
code section (text)
<lowest addresses>

    Den code-Bereich ausführbar ist aber unveränderlich. Dieser wikipedia-Artikel hat mehr details: https://en.wikipedia.org/wiki/Data_segment

    InformationsquelleAutor Scott C Wilson
Schreibe einen Kommentar