Linux保护机制

RELRO（RELocation Read Only）

在Linux中有两种RELRO模式：Partial RELRO 和 Full RELRO。Linux中Partical RELRO默认开启。

Partial RELRO：

编译命令：

gcc -o test test.c // 默认部分开启
gcc -Wl,-z,relro -o test test.c // 开启部分RELRO
gcc -z lazy -o test test.c //部分开启

• 该ELF文件的各个部分被重新排序。内数据段（internal data sections）（如.got，.dtors等）置于程序数据段（program’s data sections）（如.data和.bss）之前；
• 无 plt 指向的GOT是只读的；
• GOT表可写（应该是与上面有所区别的）。

Full RELRO：

编译命令：

gcc -Wl,-z,relro,-z,now -o test test.c // 开启Full RELRO
gcc -z now -o test test.c // 全部开启

• 支持Partial模式的所有功能；
• 整个GOT表映射为只读的。

NX（windows中得DEP）

NX：No-eXecute DEP：Data Execute Prevention 也就是数据不可执行，防止因为程序运行出现溢出而使得攻击者的shellcode可能会在数据区尝试执行的情况。

GCC默认开启（可选项如下）

gcc -o test test.c      // 默认情况下，开启NX保护
gcc -z execstack -o test test.c  // 禁用NX保护
gcc -z noexecstack -o test test.c  // 开启NX保护

绕过方法：

• 使用 ROP绕过 (如ret2data、ret2libc、ret2strcpy、ret2gets、ret2syscall)
• gadget：virtualprotect、jmp esp、mona.py

PIE(ASLR)

PIE：Position-Independent Excutable 可执行程序得基址随机，为aslr得编译选项，是aslr得一部分 ASLR：Address Space Layout Randomization地址空间随机化

GCC默认不开启（可选项如下）

gcc -fpie -pie -o test test.c    // 开启PIE
gcc -fPIE -pie -o test test.c    // 开启PIE
gcc -fpic -o test test.c         // 开启PIC
gcc -fPIC -o test test.c         // 开启PIC
gcc -no-pie -o test test.c       // 关闭PIE

绕过方法：

• 直接RET替换（一般进程也会加载没有随机化的模块，可以找到JMP ESP指令的跳板直接调用）
• 替换EIP一部分（找到没有随机化的模块然后使用利息泄漏确定EIP的位置，再算出模块的基地址，最后算出要跳的函数地址）
• NOP喷射（DEP没开的情况下，创建一大块NOP+shellcode，Heap Spray是在shellcode的前面加上大量的slide code（滑板指令），组成一个注入代码段。 然后向系统申请大量内存，并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流，使得程序执行到堆上，最终将导致shellcode的执行。 统slide code（滑板指令）一般是NOP指令，譬如0x0C（0x0C0C代表的x86指令是OR AL 0x0C），0x0D等等，不影响程序的执行的。）
• 暴力（如果漏洞不会造成程序崩溃，可以暴力测试256种模块基地址来测试，只到有满足的）最LOW

Canary（栈保护）

Canary对于栈的保护，在函数每一次执行时，在栈上随机产生一个Canary值。之后当函数执行结束返回时检测Canary值，若不一致系统则报出异常。

编译选项：

gcc -o test test.c                       //默认关闭
gcc -fno-stack-protector -o test test.c  //禁用栈保护
gcc -fstack-protector -o test test.c     //启用堆栈保护，不过只为局部变量中含有 char 数组的函数插入保护代码
gcc -fstack-protector-all -o test test.c //启用堆栈保护，为所有函数插入保护代码

​