使用ROP攻击绕过Windows的DEP

使用ROP攻击绕过Windows的DEP

基础知识

DEP

• DEP（Data Execution Prevention）意为数据执行保护，是Windows的一项安全机制，主要可以在内存上执行额外检查以帮助防止在系统上运行恶意代码，简单的说也就是之前直接将shellcode插入到堆栈中执行的方法已经不可行了，由于在开启DEP后，堆栈上的shellcode默认不可执行，所以也就不能使用之前的技术来成功攻击了。
• DEP工做状态可分为四种：
  • Optin：默认仅将DEP保护应用于Windows系统服务和组件，对其余程序不予保护；
  • Optout：为排除列表程序外的全部程序和服务启用DEP；
  • AlwaysOn：对全部进程启用DEP的保护，不存在排除列表，此模式下DEP不可被关闭，该模式只能工做在64位的操做系统上；
  • AlwaysOff：对全部进程都禁用DEP，此模式下DEP不能被动态开启。

绕过DEP实现攻击

• 绕过DEP的方法能大体分为两种：
  • 新建可执行内存区域，将shellcode复制进去；相关函数： VirtualAlloc() 、 HeapCreate() 、 WriteProcessMemory()
  • 经过系统API关掉DEP保护；相关函数： SetProcessDEPPolicy() 、 NtSetInformationProccess() 、 VirtualProtect()

• 各函数在Windows各个系统的存在状况以下，其中（1）表明不存在，（2）表明将因为默认DEP策略设置而失败：
  

• 绕过DEP须要构造ROP链，ROP链的做用就是用一连串的gadgets来实现这些函数的调用关闭DEP保护，而后转到shellcode上执行。

实验环境

• 主机：kali
  

• 靶机：Windows XP Professional SP3
  

• 软件：Immnunity Debugger、OllyDbg、shellcode.exe（漏洞程序）

实践过程

DEP保护关闭

• shellcode.exe是在网上找的一个漏洞程序，它的功能就是在启动时会在本地1000端口绑定socket并进行监听，当有用户链接而且用户发送大于64bytes的数据时，堆栈会发生溢出，从而产生攻击。

• 在Windows XP SP3中，默认以Optin方式开启DEP，即仅将DEP保护应用于Windows系统服务和组件，对其余程序不予保护。shellcode.exe是用户进程，天然也不会受到DEP保护：
  

• 首先，咱们在没有DEP保护的状况下看程序可否成功溢出，在主机上进行nc监听，打开4444端口：
  

• 而后在靶机中运行shellcode.exe程序：
  

• 编写Python攻击代码exploit.py，将返回地址覆盖为0x7FFA4512（jmp esp指令），发送shellcode到靶机，而后回连主机的4444端口，编写完成后运行：
  

• 能够看到，经过缓冲区溢出攻击，此时主机上成功得到了xp的shell：
  

DEP保护打开

• 如图所示，在控制面板中设置打开DEP：
  

• 重启靶机，再次运行shellcode.exe，发现出错了：
  

• 使用OllyDbg进行调试，能够看到程序是成功溢出了并执行了jmp esp指令（0x7FFA4512）：
  

• 从上图中能够知道，在DEP开启的状况下是溢出成功了，可是shellcode处在堆栈中，因为DEP的保护，所以并不能触发执行，于是报错。
• 由于SetProcessDEPPolicy函数简单且ROP链构建相对容易，因此我就构建ROP链来调用SetProcessDEPPolicy函数关闭DEP保护，而后转向shellcode执行。基础知识中提到ROP链是由gadgets构造的，要想快速的找到gadgets来构造链，能够用到Immunity Debugger上的一个python模块：mona.py，具体介绍能够参考这篇文档，将它下载后复制到Immunity Debugger的PyCommands目录下就可使用了。

• 使用Immunity Debugger载入shellcode.exe，而后能够查看当前程序加载的可执行模块：
  

• 在下方命令行处输入命令!mona rop -m kernel32.dll在kernel32.dll中进行扫描，查找完成后，会在IM Debugger的安装目录下生成报表文件，咱们打开rop_chains.txt进行查看，找到SetProcessDEPPolicy的ROP链说明处，能够看到针对不一样语言有不一样的说明，有Ruby语言的、Python的、JavaScript等等，咱们找到Python对应的说明：
  
  

• 整个ROP链的最终构造结果是构造出一个特定的寄存器结果，就像上图所示的同样，由于咱们知道PUSHAD是依次将EAX、ECX、EDX…ESI、EDI入栈，那么当咱们经过ROP链构造好各个寄存器并经过gadget执行PUSHAD RETN后，此时堆栈的结构大概就是这个样子的：
  

• 这里能够看到，入栈前咱们将EDI和ESI的值存储为RETN指令的地址，而后会执行EBP处的SetProcessDEPPolicy函数，由于PUSHAD RETN在shellcode的上一个位置，执行完后ESP会指向shellcode，当SetProcessDEPPolicy执行完毕后会直接转到咱们shellcode处执行（此时已经经过调用SetProcessDEPPolicy取消DEP保护了），因此通过分析能够看到咱们构造的具体的ROP链：

0x????????,  # POP EBP # RETN
0x????????,  # ptr SetProcessDEPPolicy（“SetProcessDEPPolicy”的指针）
0x????????,  # POP EBX # RETN
0x00000000,  # dwFlags
0x????????,  # POP EDI # RETN
0x????????,  # ptr RETN（“retn指令”的地址）
0x????????,  # POP ESI # RETN
0x????????,  # ptr RETN（“retn指令”的地址）
0x????????,  # PUSHAD # RETN

• 上面的问号表明咱们须要寻找的ROP gadget的地址，这里还要指出一个问题，不少时候咱们须要的gadget不必定能在当前程序的执行模块中直接找到，可是咱们能够经过其余方法来实现，好比我想使得EBX为0x00000000，咱们能够先找到POP EBX; RETN;，将EBX先赋值为0xffffffff，而后在找到INC EBX; RETN;，这样两个gadget合在一块儿执行达到了咱们的目的。

• 其实，刚才经过执行mona.py已经在IM Debugger安装目录下记录了一些小配件的地址，打开rops.txt，经过查找咱们能够找到在0x7c87f30f处找到咱们想要的ROP小配件：
  

• 这里，咱们能够从新在IM Debugger中利用mona.py模块来进行特定指令的查找，retn指令的机器码为\xc3，咱们在命令行中输入!mona find -s '\xc3 -m kernel32.dll'，命令执行完成后，结果会在IM Debugger安装目录下find.txt文件中，以下图所示：
  

• 能够选择其中几个做为咱们RETN的gadget，其余gadget的寻找方法和这个相似，经过mona.py最后找到的各个ROP gadget构成的ROP链以下所示：

0x77bf4f42,   # RETN
0x90909090,
0x7c80df32,   # POP EBP # RETN
0x7c862144,   # ptr to SetProccessDEPPolicy()
0x7c81ae28,   # POP EBX # RETN [kernel32.dll]
0x00000000,   # 0x00000000（dwFlags）
0x7c86ce63,   # POP EDI # RETN [kernel32.dll] 
0x77bf54c4,   # ptr RETN
0x7c87b976,   # POP ESI # RETN [msvcrt.dll]
0x77bf5502,   # ptr RETN
0x77d23ad9,   # PUSHAD # RETN [user32.dll]

• 由于shellcode.exe在溢出点函数返回时是RETN 0x04，所以我加入了前两个ROP gadget进行过渡，使得整个ROP链可以串起来。

• 最后将构造的ROP链与最开始编写的Python攻击代码从新结合一下，构成新的攻击代码exlpoit_dep.py：
  

• 而后，咱们在系统开启DEP保护的状况下，使用新的攻击代码进行测试：
  

• 能够看到成功获得了shell，至此使用ROP攻击绕过Windows的DEP成功：