Android安全攻防指南_用户态软件的漏洞利用_编程案例解析实例详解课程教程.pdf_应用攻防资源-CSDN文库

版权申诉

17 浏览量 2023-05-05 14:50:50 上传评论收藏 918KB PDF 举报

资源推荐

资源详情

资源评论

206 第8 章用户态软件的漏洞利用

用户态软件的漏洞利用

本章主要介绍 Android 系统用户态软件中内存破坏漏洞的利用方法。我们会在 ARM 架构上

讨论常见的漏洞类型，例如栈溢出。本章首先解释开发漏洞利用代码（exploit）中的相关实现细

节；然后以一些曾经公开的 exploit 为例，帮助理解前面介绍的概念；最后以 WebKit 浏览器引擎

中一个可远程利用的漏洞为例，介绍高级堆利用技术。

8.1 内存破坏漏洞基础

要理解内存破坏漏洞的利用技术，最关键的是抽象。很重要的一点是，应当避免用 C 语言这

种高级语言的方式来思考问题。作为攻击者，只需要把目标机器的内存当作有限数量的内存单元，

由目标程序的语义进行操作。内存单元包括某些指令类型或者函数暗含的内存区域，例如栈和堆。

接下来的几节会讨论内存破坏漏洞的典型案例，以及它们在 Android 平台上是如何被利用的。

这些漏洞利用方法都有一个共同特点：攻击者利用目标代码破坏某些内存区域，使得目标程序转

入攻击者预期的状态。有的攻击方式比较直接，例如将原生代码的执行流转入攻击者所控制的内

存；有的则比较隐秘，攻击者可以让程序语义发生一些攻击者所设定的非预期变化（通常称之为

邪恶机器编程）。

用户空间中堆和栈上的利用技术有非常多的细节，也有很多高级方法。需要采用的技术取决

于漏洞本身，本章无法一一介绍。网上有不计其数的资源介绍与具体架构相关的细节，本章仅专

注于介绍 ARM 设备的 Android 系统中最常见的漏洞利用相关概念。

8.1.1 栈缓冲区溢出

就像其他体系架构中的应用程序二进制接口（ABI）一样，ARM 嵌入式 ABI（EABI）大量

使用了（特定于线程的）栈。下列是 ARM 使用的 ABI 规则：

 函数的参数如果超过 4 个，超过的部分会使用栈来传递；

 局部变量如果不能存储在寄存器中，则在当前栈帧中分配。特别是大于 32 比特的变量和

指针引用的变量；

 非叶节点函数（Non-leaf Function）的返回地址存储在栈上，更多关于函数返回地址的细

节将在第 9 章中介绍。

8.1 内存破坏漏洞基础 207

1

2

3

4

5

13

6

7

8

9

10

11

12

如果一个函数中用到了栈，那么它通常会以 prologue 代码开始，以 epilogue 代码结束。prologue

代码用来初始栈帧，epilogue 代码则用来还原栈帧。prologue 代码把函数执行过程中会遭到破坏

的寄存器值保存在栈上；函数返回时，epilogue 代码就会恢复相应的寄存器值。prologue 代码也

会通过调整栈指针来为栈上的局部变量分配空间。栈空间从虚拟内存高地址往低地址方向增长，

所以栈指针指向的地址会在 prologue 代码中变低，在 epilogue 代码中变高。嵌套的函数调用会产

生如图 8-1 所示的栈帧结构。

图 8-1 多栈帧示例

注意，尽管在 Thumb 模式下有一些处理栈指针寄存器的特殊指令（push 和 pop），栈的本

质概念只是不同函数之间的 ABI 约定。栈指针寄存器也可以被用作其他目的。因此，在攻击者

看来，栈上分配的局部变量与其他内存并无本质区别。

如果漏洞与栈上的局部变量有关，就十分有关注的价值，因为其附近有与控制相关的数据：

已保存的函数返回地址。如图 8-1 所示，所有的局部变量都挨得很近，没有交错的控制数据。事

实上，这样的栈帧布局信息被隐式地编码在了编译器生成的原生代码中。

利用局部变量越界的漏洞，攻击者可以很容易地向其他局部变量或者控制数据写入想要的数

据。Aleph1 是第一位公开发表相关文章的人，这篇有较大影响的文章名为“Smashing the Stack for

Fun and Profit”（Phrack 第 49 期，文章 14，http://phrack.org/issues/49/14.html#article）。由于临时字符

串或数组经常被分配在栈上，所以这是一种很常见的漏洞类型。下面这段代码是一个简单的例子。

栈溢出代码样例

void getname() {

struct {

char name[32];

int age

} info;

info.age = 23;

210 第8 章用户态软件的漏洞利用

的局部变量不同，堆分配变量的生命周期并非由编译器自动管理。这两个原因使堆上的漏洞变得

容易利用，攻击者可以利用的漏洞也就更多了。

1. 释放后重用问题

释放后重用问题是指，应用程序使用指针访问了一个已经通过

free 函数或 delete 操作符

释放过的对象。在复杂的软件中，这是一个很常见的 bug，并且很难通过人工源代码审计发现。

因为

delete 操作符内部也依赖于 free 函数释放内存，所以对 delete 和 free 不作区分。

大部分堆分配器在释放一块分配过的内存时不会修改其内容，原先使用时的内存数据会保持

不变。很多分配器会在释放内存块最开始的地方存储一些控制信息，但是大多数内存块内的数据

依然保持原样。释放后的内存被使用时，会产生不同的情况。

 被释放的内存还没有被用作新的内存分配释放后的内存被使用时，它们的内容与释放前

的相同。在这种情况下，bug 可能不会表现出来。但是有些时候，析构器可能会让对象的

内容失效，访问时就可能会造成程序崩溃。除此之外，这种情况还可能会导致信息泄露，

攻击者可以因此获得敏感内存数据。

 被释放的内存已经被全部或部分用作新的内存分配在这种情况下，两个语义上完全不同

的指针指向同一内存地址，如果两种语义下的代码互相冲突，就会导致程序崩溃。例如，

一个函数可能会在分配的内存中写入数据，而这些数据在另一个函数中则被用作内存地

址。如图 8-3 所示。

图 8-3 堆上的释放后重用示意

如果没有被其他的内存分配使用，被释放的内存块就没有多大用处了（除非可以让程序再一

次释放这块内存）。如果能通过精心构造应用的输入来产生大小相同的内存块分配，释放点就可

以正好被新的分配所用。不过这种方法与特定的堆分配器实现相关。

2. 自定义分配器

大多数开发者都认为堆分配器是操作系统的一部分，但事实并非如此。操作系统只提供了页

分配（大小通常是 4KB）的机制，堆分配器负责将页划分成想要分配的大小。大多数人使用的是

C 运行时库（libc）中的堆分配器，应用程序完全可以使用基于操作系统页分配机制的其他分配

器。事实上，大部分桌面浏览器出于性能的考虑而采取了该做法。

剩余21页未读，继续阅读

内容反馈

版权申诉

好知识传播者

粉丝: 490
资源: 4204

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈

feedback-tip