地址空间布局随机化（Address Space Layout Randomization）与缓冲区溢出攻击

拼搏现实的明天。 2023-07-18 12:40 5阅读 0赞

记得以前在Linux下做缓冲区溢出攻击的实验，用了两台机器，一台装RedHat 8.0，另一台装RedHat 9.0，发现一个奇怪的现象。RedHat 8.0的栈基地址是固定的，而RedHat 9.0的栈基地址是浮动的。比如对于下面这个程序，RedHat 8.0每次运行的输出是相同的，而RedHat 9.0则不同。

int main()  
\{  
char buf\[256\];  
printf("0X%X/n", buf);  
gets(buf);  
\}

明显感觉到，由于栈基地址会变化，那种最普通的缓冲区溢出攻击（传一段shellcode给gets()函数）在RedHat 9.0下较难成功。（在RedHat 8.0下倒是一试一个准。）当时也没太在意，觉得这可能是RedHat 9.0增强系统安全性的一个做法。

今天偶然发现，这种做法叫做 address space layout randomization，不仅随机化栈地址，还可以随机化动态链接库（比如libc）的基地址（应对return-to-libc攻击）和mmap的地址。

我没有进一步深究，据说OpenBSD、Linux、Vista都有实现这一技术，以下是一些参考地址。

[http://pax.grsecurity.net/docs/aslr.txt][http_pax.grsecurity.net_docs_aslr.txt]  
[http://blogs.msdn.com/michael\_howard/archive/2006/05/26/608315.aspx][http_blogs.msdn.com_michael_howard_archive_2006_05_26_608315.aspx]  
[http://www.csc.ncsu.edu/faculty/junxu/software/aslp/][http_www.csc.ncsu.edu_faculty_junxu_software_aslp]  
[http://www.stanford.edu/~blp/papers/asrandom.pdf][http_www.stanford.edu_blp_papers_asrandom.pdf]

[http_pax.grsecurity.net_docs_aslr.txt]: http://pax.grsecurity.net/docs/aslr.txt
[http_blogs.msdn.com_michael_howard_archive_2006_05_26_608315.aspx]: http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx
[http_www.csc.ncsu.edu_faculty_junxu_software_aslp]: http://www.csc.ncsu.edu/faculty/junxu/software/aslp/
[http_www.stanford.edu_blp_papers_asrandom.pdf]: http://www.stanford.edu/~blp/papers/asrandom.pdf