qu'est-ce que Linux nx

linux nx fait référence à "No-eXecute", qui est un mécanisme de protection sous Linux, c'est-à-dire que les données ne sont pas exécutables, empêchant le shellcode de l'attaquant d'essayer de s'exécuter dans la zone de données en raison d'un débordement pendant le fonctionnement du programme.

L'environnement d'exploitation de ce tutoriel : système linux5.9.8, ordinateur Dell G3.

Qu'est-ce que Linux nx ?

Certains mécanismes de protection couramment utilisés dans les programmes Linux

1. NX (DEP sous Windows)

NX : No-eXecute, DEP : Prévention de l'exécution des données

• C'est-à-dire que les données ne sont pas exécutables pour empêcher Un débordement se produit lors de l'exécution du programme et le shellcode de l'attaquant peut tenter de s'exécuter dans la zone de données.
• gcc est activé par défaut, les options sont :

gcc -o test test.c      // 默认情况下，开启NX保护
gcc -z execstack -o test test.c  // 禁用NX保护
gcc -z noexecstack -o test test.c  // 开启NX保护

2, PIE (ASLR)

PIE : exécutable indépendant de la position, ASLR : randomisation de la disposition de l'espace d'adressage

• fpie/fPIE : exigences et options -pie est utilisé avec l'option pie pour compiler le fichier exécutable afin qu'elf ait des attributs de bibliothèque partagés et puisse être chargé et exécuté n'importe où dans la mémoire. Semblable à cela, fpic/fPIC, dont la description est https://gcc.gnu.org/onlinedocs/gcc/Code-Gen-Options.html-pie一起使用开启pie选项编译可执行文件使得elf拥有共享库属性，可以在内存任何地方加载运行。与之相似的还有fpic/fPIC，关于其说明https://gcc.gnu.org/onlinedocs/gcc/Code-Gen-Options.html

-fpic

	Generate position-independent code (PIC) suitable for use in a shared library, if supported for the target machine. Such code accesses all constant addresses through a global offset table (GOT). The dynamic loader resolves the GOT entries when the program starts (the dynamic loader is not part of GCC; it is part of the operating system). If the GOT size for the linked executable exceeds a machine-specific maximum size, you get an error message from the linker indicating that -fpic does not work; in that case, recompile with -fPIC instead. (These maximums are 8k on the SPARC, 28k on AArch64 and 32k on the m68k and RS/6000. The x86 has no such limit.)

	Position-independent code requires special support, and therefore works only on certain machines. For the x86, GCC supports PIC for System V but not for the Sun 386i. Code generated for the IBM RS/6000 is always position-independent.

	When this flag is set, the macros `__pic__` and `__PIC__` are defined to 1.

-fPIC

	If supported for the target machine, emit position-independent code, suitable for dynamic linking and avoiding any limit on the size of the global offset table.This option makes a difference on AArch64, m68k, PowerPC and SPARC.

	Position-independent code requires special support, and therefore works only on certain machines.

	When this flag is set, the macros `__pic__` and `__PIC__` are defined to 2.

-fpie
-fPIE

	These options are similar to -fpic and -fPIC, but the generated position-independent code can be only linked into executables. Usually these options are used to compile code that will be linked using the  -pie  GCC option.

	-fpie and -fPIE both define the macros `__pie__` and `__PIE__`. The macros have the value 1 for `-fpie` and 2 for `-fPIE`.

• 区别在于fpic/fPIC用于共享库的编译，fpie/fPIE则是pie文件编译的选项。文档中说 pic（位置无关代码）生成的共享库只能链接于可执行文件，之后根据自己编译简单C程序，pie正常运行，即如网上许多文章说的 pie 选项生成的位置无关代码可假定于本程序，但是我也没看出fpie/fPIE有啥区别，只是宏定义只为1和2的区别，貌似...
  编译命令（默认不开启PIE）：

gcc -fpie -pie -o test test.c    // 开启PIE
gcc -fPIE -pie -o test test.c    // 开启PIE
gcc -fpic -o test test.c         // 开启PIC
gcc -fPIC -o test test.c         // 开启PIC
gcc -no-pie -o test test.c       // 关闭PIE

• 而ASLR（地址空间随机化），当初设计时只负责栈、库、堆等段的地址随机化。ASLR的值存于/proc/sys/kernel/randomize_va_space中，如下：

0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址，stack和vdso页面随机化。
2 - 表示在1的基础上增加栈（heap）的随机化。（默认）

更改其值方式：echo  0 >  /proc/sys/kernel/randomize_va_space

vDSO：virtual dynamic shared object；
mmap：即内存的映射。
PIE 则是负责可执行程序的基址随机。
以下摘自Wiki：

Position-independent executable (PIE) implements a random base address for the main executable binary and has been in place since 2003. It provides the same address randomness to the main executable as being used for the shared libraries.

PIE为ASLR的一部分，ASLR为系统功能，PIE则为编译选项。
注： 在heap分配时，有mmap()和brk()两种方式，由malloc()分配内存时调用，分配较小时brk，否则mmap，128k区别。

三、Canary（栈保护）

  Canary对于栈的保护，在函数每一次执行时，在栈上随机产生一个Canary值。之后当函数执行结束返回时检测Canary值，若不一致系统则报出异常。

• Wiki：
• Canaries or canary words are known values that are placed between a buffer and control data on the stack to monitor buffer overflows. When the buffer overflows, the first data to be corrupted will usually be the canary, and a failed verification of the canary data will therefore alert of an overflow, which can then be handled, for example, by invalidating the corrupted data. A canary value should not be confused with a sentinel value.

  如上所述，Canary值置于缓冲区和控制数据之间，当缓冲区溢出，该值被覆写，从而可以检测以判断是否运行出错或是受到攻击。缓解缓冲区溢出攻击。

• 编译选项：

gcc -o test test.c                       //默认关闭
gcc -fno-stack-protector -o test test.c  //禁用栈保护
gcc -fstack-protector -o test test.c     //启用堆栈保护，不过只为局部变量中含有 char 数组的函数插入保护代码
gcc -fstack-protector-all -o test test.c //启用堆栈保护，为所有函数插入保护代码

四、RELRO（RELocation Read Only）

在Linux中有两种RELRO模式：”Partial RELRO“ 和 ”Full RELRO“

rrreee

La différence est que fpic/fPIC est utilisé pour la compilation des fichiers partagés. bibliothèques, fpie/fPIE est l'option pour la compilation des fichiers à tarte. Le document indique que la bibliothèque partagée générée par pic (code indépendant de la position) ne peut être liée qu'au fichier exécutable. Ensuite, vous pouvez compiler un simple programme C par vous-même et Pie fonctionnera normalement. Internet dit, le code indépendant de la position généré par l'option pie peut être supposé être dans ce programme, mais je ne vois aucune différence entre fpie/fPIE. C'est juste que la définition de la macro n'est que la différence entre 1 et 2. Il semble... Commande de compilation (PIE n'est pas activé par défaut) :

rrreee
• 
  Et ASLR (randomisation de l'espace d'adresse), lors de sa conception initiale, elle n'était responsable que de la randomisation des adresses de la pile, de la bibliothèque, du tas et d'autres segments . La valeur d'ASLR est stockée dans /proc/sys/kernel/randomize_va_space, comme suit :
  
  
• 0 - indique la désactivation de la randomisation de l'espace d'adressage du processus.
1 - signifie randomiser l'adresse de base des pages mmap, stack et vdso.
• 2 - signifie augmenter la randomisation de la pile (tas) sur la base de 1. (Par défaut)

Changer sa méthode de valeur : echo 0 > /proc/sys/kernel/randomize_va_space

vDSO : objet partagé dynamique virtuel

mmap : mappage de la mémoire. 🎜PIE est responsable de la randomisation de l'adresse de base du programme exécutable. 🎜Ce qui suit est tiré du Wiki : 🎜🎜🎜L'exécutable indépendant de la position (PIE) implémente une adresse de base aléatoire pour le binaire exécutable principal et est en place depuis 2003. Il fournit le même caractère aléatoire d'adresse à l'exécutable principal que celui utilisé pour les bibliothèques partagées .🎜🎜🎜PIE fait partie d'ASLR, ASLR est une fonction système et PIE est une option de compilation. 🎜🎜Remarque : 🎜 Lors de l'allocation du tas, il existe deux méthodes : mmap() et brk(). Lors de l'allocation de mémoire, malloc(). Appelez, brk lorsque l'allocation est plus petite, mmap sinon, différence de 128k. 🎜

3. Canary (protection de la pile) 🎜🎜 Canary protège la pile Chaque fois que la fonction est exécutée, une valeur Canary est générée aléatoirement sur la pile. Ensuite, lorsque la fonction revient de l'exécution, la valeur Canary est détectée. Si elle est incohérente, le système signalera une exception. 🎜🎜🎜Wiki : 🎜🎜Canaries ou mots canari sont des valeurs connues qui sont placées entre un tampon et contrôlent les données sur la pile pour surveiller les débordements du tampon. En cas de débordement, la première donnée à être corrompue sera généralement le canari, et un échec de vérification des données canary alertera donc d'un débordement, qui pourra ensuite être traité, par exemple, en invalidant la donnée corrompue. Une valeur canary ne devrait pas l'être. confondu avec une valeur sentinelle.🎜🎜🎜  Comme mentionné ci-dessus, la valeur Canary est placée entre le tampon et les données de contrôle. Lorsque le tampon déborde, la valeur est écrasée, elle peut donc être détectée pour déterminer s'il y a une erreur ou une attaque. . Atténuation des attaques par débordement de tampon. 🎜🎜🎜Options de compilation : 🎜🎜rrreee

4. RELRO (RELocation Read Only) 🎜🎜Il existe deux modes RELRO sous Linux : "Partial RELRO" code > et <code>"RELRO complet". Le RELRO partiel est activé par défaut sous Linux. 🎜🎜🎜RELRO partiel : 🎜🎜🎜🎜Commande de compilation : 🎜gcc -o test test.c // Partiellement activé par défaut 🎜gcc -Wl,-z,relro -o test test.c // RELRO partiel activé🎜gcc - z lazy -o test test.c // Partiellement activé🎜🎜Les différentes parties du fichier ELF sont réorganisées. Les sections de données internes (telles que .got, .dtors, etc.) sont placées avant les sections de données du programme (telles que .data et .bss) 🎜🎜Le GOT pointé par aucun plt est en lecture seule ; est inscriptible (il doit être différent de ce qui précède). 🎜🎜🎜🎜RELRO complet :🎜🎜

• Commande de compilation :
  gcc -Wl,-z,relro,-z,now -o test test.c // Activer Full RELRO
  gcc -z now -o test test.c // Activer tout
• Support Mode partiel Toutes les fonctions ;
• La table GOT entière est mappée en lecture seule.

gcc -z norelro -o a a.c // RELRO est désactivé, c'est-à-dire pas de RELRO

Remarque :

• .dtors : appelé lorsqu'une bibliothèque partagée définie avec .dtors est chargée ; dans bss ou en cas d'erreurs de débordement de données, les RELRO partiels et complets protègent les segments de données de l'ELF contre l'écrasement. Cependant, seul Full RELRO peut atténuer les attaques par écrasement de table GOT, mais cela est relativement coûteux car le programme doit analyser tous les symboles avant de démarrer.
• Recommandations associées : "
Tutoriel vidéo Linux
• "
  

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!