不借助rop_jit绕过dep_aslr方法的解析.pdfVIP

不借助ROP/JIT绕过DEP/ASLR 方法的分析 2013/9/12 攻防实验室 桂加睿 主要内容：  议题背景 Xcon2013  Windows溢出保护原理与绕过方法概览  基于SharedUserData 的绕过方法  利用UAF获取执行流程的控制  漏洞的利用及演示  总结与启发 议题背景 Xcon2013 XCon2013安全焦点信息安全技术峰会 • 这次会议主要围绕系统安全及网络安全，涉及漏洞挖掘、 病毒木马检测、渗透测试、工业控制安全等四个方面的探 讨和研究。 • TombKeeper介绍一种通过直接调用SharedUserData数据 区函数指针绕过Windows系统ASLR和DEP内存保护机制 的漏洞利用方法。该方法对x64版Windows 7和Vista有效 ，适用于绝大多数Use After Free、Vtable Overflow类漏 洞。 《一种不依赖于ROP和JIT 的漏洞利用方法》 • 潜伏鹰介绍反封锁、反追踪、反监听、反检测、按需服务 的“无痕-2A”反追踪支援平台。在“反封锁接入”、“反监听截 获”、“按需路由”和“抗毁进化”等方面进行了有益的探索。 《“无痕-2A”反追踪支援平台的设计与改进》 主要内容：  议题背景 Xcon2013  Windows溢出保护原理与绕过方法概览  基于SharedUserData 的绕过方法  利用UAF获取执行流程的控制  漏洞的利用及演示  总结与启发 Windows溢出保护原理与绕过方法概览 Windows漏洞及对抗 • 在经典的栈溢出模型中，通过覆盖函数的返回地址来达到 控制程序执行流程（EIP寄存器), Call/JMP ESP跳回堆栈 执行。 • 从Windows XP SP2开始，windows利用CPU提供的不可 执行位（XN ），实现了数据执行保护（Data Execution Prevention）,引入DEP之后，堆、栈上的内存页属性默认 不再具有可执行属性，常用的绕过DEP的技术是ROP。 • 从Windows Vista起，Windows操作系统开始引入ASLR ， ASLR使得加载程序时不再使用固定的加载基地址加载。 这一方法使程序和模块在内存中的加载位置变得难以预测 ，使ROP这样的技术难以实施。 • GS、SafeSEH 、Safe Unlinking 、Heap Cookie、DEP、ASLR 、 SEHOP Windows溢出保护原理与绕过方法概览 常用的绕过ASLR 的方法 ASLR （地址空间布局随机化）技术的主要功能是通过对系 统关键地址的随机化，防止攻击者在堆栈溢出后利用固定的地 址定位到恶意代码并加以运行。  攻击未启用ASLR 的模块  堆喷射（HeapSpray）技术  覆盖部分返回地址  Java Applet Spray  JIT Spray  TombKeeper提出的基于SharedUserData的方法 主要内容：  议题背景 Xcon2013  Windows溢出保护原理与绕过方法概览  基于SharedUserData 的绕过方法  利用UAF获取执行流程的控制  漏洞的利用及演示  总结与启发 基于SharedUserData 的绕过方法