获课：97it.top/17273/

### 保护机制绕过：ASLR、PIE、Canary与RELRO的识别与对抗策略详解

在现代二进制安全领域，无论是进行漏洞挖掘、渗透测试还是参与CTF竞赛，理解并绕过操作系统与编译器内置的保护机制是核心技能。这些机制旨在增加漏洞利用的难度，阻止攻击者轻易控制程序执行流。本文将深入探讨四大主流保护技术——ASLR、PIE、Canary与RELRO的识别方法与对抗策略。

#### 识别先行：安全态势感知

在尝试任何攻击之前，首要任务是识别目标程序开启了哪些保护。这通常通过`checksec`等工具完成，它能快速展示一个二进制文件的RELRO、Canary、NX和PIE状态。这一过程如同战场侦察，明确了攻击者面临的“防御工事”，从而可以制定针对性的攻击路线。

#### RELRO：重定位只读的攻防

RELRO（ReLocation Read-Only）旨在保护全局偏移表（GOT）等关键数据结构，防止其被恶意篡改。它分为两种级别：

1. **Partial RELRO（部分RELRO）**：这是较弱的保护。它将`.got`段设为只读，但`.got.plt`段在程序启动后依然可写，以支持延迟绑定。

2. **Full RELRO（完全RELRO）**：这是最强的保护。程序在启动时会解析所有动态符号，随后将整个GOT表设为只读，彻底杜绝了通过修改GOT表劫持控制流的可能。

**对抗策略**：

- **对抗Partial RELRO**：攻击者可以利用GOT覆盖（GOT Hijacking）技术。通过漏洞（如栈溢出）修改`.got.plt`中某个函数（如`printf`）的地址，将其指向恶意函数（如`system`）。当下次程序调用该函数时，便会执行攻击者的代码。

- **对抗Full RELRO**：此保护下GOT覆盖失效。攻击者必须转向其他技术，如面向返回的编程（ROP），或者寻找程序中未初始化的全局变量等其他可写区域进行攻击。

#### Stack Canary：栈帧的“金丝雀”哨兵

Stack Canary是一种栈溢出保护机制。它在函数调用时，于局部变量和返回地址之间插入一个随机值（即Canary）。在函数返回前，会校验这个值是否被修改。如果发生栈溢出并覆盖了返回地址，Canary值通常也会被一同覆盖，导致校验失败，程序随即终止。

**对抗策略**：

Canary的核心在于其“随机性”和“保密性”。因此，绕过它的关键在于**信息泄露**。

- **格式化字符串漏洞**：这是最常见的泄露方式。通过`%x`或`%p`等格式化占位符，攻击者可以读取栈上的内存内容，从而获取Canary的值。

- **暴力破解**：在32位程序中，Canary的熵值较低，且其第一个字节固定为`\x00`（以兼容字符串函数）。在某些可以多次尝试的场景下，可以通过暴力方式猜测Canary的低字节。

一旦获取了Canary的值，攻击者便可以在构造的溢出载荷中将其原样填回，从而骗过校验，成功覆盖返回地址。

#### ASLR与PIE：地址随机化的迷雾

ASLR（Address Space Layout Randomization）是操作系统层面的保护，它会在程序每次启动时随机化内存布局，包括栈、堆和共享库（如libc）的基地址。PIE（Position Independent Executable）则是ASLR在程序本身的体现，它使程序代码段的加载基址也随机化。这两者共同作用，使得攻击者无法再使用硬编码的地址来定位gadgets或函数。

**对抗策略**：

对抗地址随机化的核心思想是 **“先泄露，后利用”** 。

1. **信息泄露**：攻击者首先需要利用一个信息泄露漏洞（如格式化字符串漏洞或一个能读取内存的函数`read`/`write`），来获取某个已知函数的运行时地址。通常会选择libc中的函数，如`puts`或`__libc_start_main`。

2. **基址计算**：获取到泄露的函数地址后，结合本地相同版本的libc文件，通过“泄露地址 - 函数在libc中的偏移 = libc基址”的公式，计算出libc在内存中的真实加载基址。

3. **动态构造攻击链**：一旦掌握了libc的基址，攻击者就可以计算出`system`函数和`"/bin/sh"`字符串在内存中的确切位置，从而动态地构造出ROP链，最终调用`system("/bin/sh")`来获取shell。

#### 总结

现代二进制保护机制将漏洞利用从简单的地址覆盖，转变为一场复杂的信息战。RELRO保护了关键数据区，Canary守卫了栈帧完整性，而ASLR/PIE则隐藏了内存布局。然而，这些保护并非无懈可击。通过精准的识别和组合运用信息泄露、GOT覆盖、ROP等高级技术，安全研究人员依然能够穿透这些防御，揭示程序的脆弱性。理解这些攻防对抗，是构建更安全软件的基础。