以下是一个简单的ARM平台JOP利用案例,其中漏洞存在于vulnerable_func函数中:
#include <stdio.h>
void vulnerable_func() {
asm volatile (
"mov r0, #0\n"
"pop {pc}\n"
);
}
int main() {
void (*func_ptr)() = vulnerable_func;
// 函数指针越界将执行流转移到一个攻击者控制的代码段
func_ptr();
return 0;
}
在这个示例中,vulnerable_func函数中的汇编代码使用pop {pc}指令,该指令从堆栈中弹出一个值,并将其作为程序计数器(PC)的值,从而可以将执行流转移到攻击者控制的代码段,从而进行恶意操作。
为了阻止该JOP利用,我们可以使用ARM BTI指令在程序中插入Protect标签。当执行到Protect标签时,如果JOP攻击试图将执行流转移到保护的代码段,BTI机制会阻止此转移。
下面是一个在程序中插入ARM BTI指令来阻止JOP的示例:
#include <stdio.h>
void __attribute__((used, naked, section(".text.bti"))) Protect() {
asm volatile (
"bti J1F\n" // BTI类型为J1F,标记为合法分支
"nop\n" // 正常代码
"nop\n" // 正常代码
"nop\n" // 正常代码
"nop\n" // 正常代码
"bti NONE\n" // BTI类型为NONE,标记为非法分支
"nop\n" // 恶意代码,被BTI机制阻止
"nop\n" // 恶意代码,被BTI机制阻止
"nop\n" // 恶意代码,被BTI机制阻止
"nop\n" // 恶意代码,被BTI机制阻止
);
}
void vulnerable_func() {
asm volatile (
"mov r0, #0\n"
"bx lr\n"
);
}
int main() {
void (*func_ptr)() = vulnerable_func;
func_ptr();
return 0;
}
在这个示例中,我们首先使用__attribute__((used, naked, section(".text.bti")))指令定义了一个Protect函数,并将其放置在.text.bti节中。
然后,在Protect函数中,我们使用bti指令来插入BTI保护。其中,我们将前4个nop指令标记为合法分支(J1F类型),表示正常代码。而后4个nop指令标记为非法分支(NONE类型),表示恶意代码。当执行到非法分支时,BTI机制将阻止执行流的转移。
在main函数中,我们声明了一个指向vulnerable_func的函数指针,并进行调用。在这个例子中,因为vulnerable_func中的恶意代码无法跳转到Protect函数中的非法分支, BTI机制成功阻止了JOP攻击。
注意:需要在链接阶段指定-Wl,-z,notext来确保.text.bti节不可执行,这样才能保护BTI修饰的代码。
本文转载自: https://blog.csdn.net/didaliping/article/details/134981885
版权归原作者 车联网安全杂货铺 所有, 如有侵权,请联系我们删除。
版权归原作者 车联网安全杂货铺 所有, 如有侵权,请联系我们删除。