我编写了下面的代码来测试安全类中的赋值的shellcode(用于取消链接/tmp/passwd)。
当我使用gcc -o test -g test.c进行编译时,我在跳转到shellcode时遇到了段错误。
当我使用execstack -s test对二进制文件进行后处理时,我不再获得段错误并且shellcode正确执行,删除了/tmp/passwd。
我正在运行gcc 4.7.2。为了使堆可执行,似乎要求堆栈是可执行的似乎是个坏主意,因为后者比前者有更多合法的用例。
这是预期的行为吗?如果是的话,理由是什么?
#include <stdio.h>
#include <stdlib.h>
char* shellcode;
int main(){
shellcode = malloc(67);
FILE* code = fopen("shellcode.bin", "rb");
fread(shellcode, 1, 67, code);
int (*fp)(void) = (int (*) (void)) shellcode;
fp();
}
以下是xxd shellcode.bin的输出:
0000000: eb28 5e89 760c 31c0 8846 0bfe c0fe c0fe .(^.v.1..F......
0000010: c0fe c0fe c0fe c0fe c0fe c0fe c0fe c089 ................
0000020: f3cd 8031 db89 d840 cd80 e8d3 ffff ff2f ...1...@......./
0000030: 746d 702f 7061 7373 7764 tmp/passwd
答案 0 :(得分:4)
这是预期的行为吗?
看看Linux内核代码,我认为这个标志的内核内部名称是&#34;读取意味着exec&#34;。是的,我认为这是预期的。
为了使堆可执行,似乎要求堆栈是可执行的似乎是个坏主意,因为后者比前者有更多合法的用例。
为什么需要完整的堆可执行?如果您确实需要动态生成机器代码并运行它,则可以使用mmap系统调用显式分配可执行内存。
理由是什么?
我认为这个想法是这个标志可以用于遗留程序,期望所有可读的东西都是可执行的。那些程序可能会尝试在堆栈上运行东西,他们可能会尝试在堆上运行东西,所以它都是允许的。
答案 1 :(得分:4)
真正的“意外”行为是设置标志使堆可执行以及堆栈。该标志用于生成基于堆栈的thunk的可执行文件(例如,当您获取嵌套函数的地址时使用gcc),并且不应该真正影响堆。但Linux通过全局使所有可读页面可执行来实现这一点。
如果您想要更细粒度的控制,您可以改为使用mprotect系统调用来控制每页的可执行权限 - 添加如下代码:
uintptr_t pagesize = sysconf(_SC_PAGE_SIZE);
#define PAGE_START(P) ((uintptr_t)(P) & ~(pagesize-1))
#define PAGE_END(P) (((uintptr_t)(P) + pagesize - 1) & ~(pagesize-1))
mprotect((void *)PAGE_START(shellcode), PAGE_END(shellcode+67) - PAGE_START(shellcode),
PROT_READ|PROT_WRITE|PROT_EXEC);