色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

芯片漏洞實戰之破解KASLR

Linux閱碼場 ? 來源:https://paper.seebug.org/497/ ? 作者:蒸米,白小龍 ? 2020-11-26 13:47 ? 次閱讀

Meltdown和Spectre分析以及CPU芯片漏洞攻擊實戰,教你如何破解macOS上的KASLR。

作者:蒸米,白小龍 @ 阿里移動安全 來源:

https://paper.seebug.org/497/

0x00 影響

早上突然就被Meltdown和Spectre這兩個芯片漏洞刷屏了,但基本上都是一些新聞報道,對漏洞的分析和利用的信息基本為0。作為安全研究者,不能只浮在表面,還是要深入了解一下漏洞才行,于是開始研究這方面的資料。結果發現其實這個硬件漏洞的影響非常廣,不光是IntelARMAMD也受影響,只是AMD的影響比較小罷了。因此基本上所有的操作系統(Windows,macOS,LinuxAndroid等)都有被攻擊的風險。漏洞有兩種攻擊模式:一種被稱為Meltdown,是在用戶態攻擊內核態,造成內核信息泄露。另一種被稱為Spectre,一個應用可以突破自己的沙盒限制,獲取其他應用的信息。另外,因為是硬件漏洞,這個攻擊對云的影響非常大,利用這個漏洞,一個guest可以獲取host或同一臺服務器上其他guest的信息,可以說是一個非常嚴重的漏洞,因此亞馬遜和google都在緊急加班修復漏洞。比如google就公布了漏洞修復的進度在:https://support.google.com/faqs/answer/7622138。雖然是硬件漏洞,但是在系統或軟件層面上通過犧牲性能的方法還是可以進行修補的。

0x01 原因

那么我們現在知道漏洞很嚴重了,那么漏洞形成的原因是什么呢?關鍵點在于Speculative execution(推測執行)。推測性執行是一種優化技術,CPU會執行一些可能在將來會執行任務。當分支指令發出之后,傳統處理器在未收到正確的反饋信息之前,是不會做任何工作的,而具有預測執行能力的新型處理器,可以估計即將執行的指令,采用預先計算的方法來加快整個處理過程。如果任務最終沒有被執行,CPU還可以回滾到之前的狀態,就當做什么都沒發生過一樣。但是這樣真的安全嗎?答案是,并不安全。攻擊者通過尋找或構建一些指令就可以在CPU回滾的時間窗口里進行一系列的攻擊。比如Google Blog中提到的邊界檢查繞過(CVE-2017-5753),分支目標注入(CVE-2017-5715), 惡意數據緩存加載(CVE-2017-5754)。

舉個例子,如果CPU執行下面這段代碼:

arr1->length沒有被緩存的時候, CPU會從arr1->data[untrusted_offset_from_caller]處讀取數據,如果untrusted_offset_from_caller的值超過arr1->length,就會造成越界讀。當然,正常情況下這并不會出現什么問題,因為在執行到判斷語句那一行的時候,CPU發現不對,后面的語句不應該被執行,于是會將狀態回滾到越界讀之前。

但是接下來,問題就出現了。假設arr1->length,arr2->data[0x200]和arr2->data[0x300]都沒有被緩存,CPU會繼續推測執行下面的代碼,在這里index2會根據value&1產生兩個不同的值0x200,0x300,而Value就是越界讀到的值。接下來,代碼會根據Value的值去讀取arr2->data[0x200]或arr2->data[0x300]的值并且這個值會被加入到緩存里。接下來,我們可以再次嘗試去讀取arr2->data[0x200]和arr2->data[0x300],讀取時間短的那個值說明被緩存過了,因此就可以判斷出value&1的值為0還是1,從而做到內核信息泄露。

其實,在google的blog發布之前,就已經存在類似的攻擊了,只是危害沒有這么大而已,今天我們就直接實戰一個利用Intel CPU芯片漏洞來破解macOS KASLR的攻擊。

0x02 芯片漏洞實戰之破解KASLR

這種攻擊比較簡單,但是是后面高級攻擊的基礎,因此我們先從這個攻擊講起。之前我們講到,為了讓CPU效率更高,它們依靠推測性執行在任務到來之前就提前執行任務。同樣,數據預取就利用這個思想推測性地先將數據加載到緩存中。Intel的CPU有五個軟件預取指令:prefetcht0,prefetcht1,prefetcht2,prefetchnta和prefetchw。這些指令作用是提示CPU,告訴他一個特定的內存位置可能很快被訪問。然而,Intel的手冊中卻提到,預取“未映射到物理頁面的地址”會導致不確定的性能損失。因此,我們可以通過CPU預讀指令執行的時間長短來判斷這個地址有沒有被映射到物理頁面上。

我們知道KASLR的原理是在內核的基址上增加一個slide,讓攻擊者無法猜測內核在內存中的位置。但是內核肯定是被映射到物理頁面上的,因此我們可以使用預取指令去遍歷內核可能的起始地址,如果執行預取指令的時間突然變短,就說明我們猜中了內核的起始地址。我們在網上成功找到了破解macOS 10.13 KASLR的POC,并做了一點簡單的修改:https://pastebin.com/GSfJY72J

其中關鍵代碼如下:

這是一段匯編參數會傳入想要預取的地址,然后利用rdtscp和rdtscp來統計指令執行的時間,并返回。于是我們從內核可能的起始地址開始,不斷地執行這段匯編代碼,直到我們找到內核的起始地址為止。

可以看到在0x15c00000這一行,指令執行的時間明顯縮短了。因此,我們可以猜出Kernel Side為0x15c00000。

0x03 修復

根據某內部漏洞修復人員在twitter上的回復,蘋果已經在macOS 10.13.2上對此類芯片漏洞進行了修復,采用了犧牲性能的針對用戶態使用兩次映射的方式來解決該問題。并號稱10.13.3上有更好的解決方案。另外iOS的A*系列芯片暫時還不受這類漏洞的影響。

0x04 總結

本篇文章只是給芯片的一系列漏洞開了個頭,我們隨后還會有更多關于芯片漏洞的分析和利用實戰,歡迎繼續關注本系列的文章,謝謝。

參考文獻:

1. https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html

2. https://siguza.github.io/IOHIDeous/

3. Prefetch Side-Channel Attacks: Bypassing SMAP and Kernel ASLR, CCS 2016.

責任編輯:PSY

原文標題:性能VS安全?CPU芯片漏洞攻擊實戰(1) - 破解macOS KASLR篇

文章出處:【微信公眾號:Linuxer】歡迎添加關注!文章轉載請注明出處。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 芯片
    +關注

    關注

    455

    文章

    50730

    瀏覽量

    423185
  • 漏電
    +關注

    關注

    4

    文章

    149

    瀏覽量

    20719
  • intel
    +關注

    關注

    19

    文章

    3482

    瀏覽量

    185932

原文標題:性能VS安全?CPU芯片漏洞攻擊實戰(1) - 破解macOS KASLR篇

文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    淺談加密芯片的一種破解方法和對應加密方案改進設計

    Key計算臨時過程秘鑰Key’,再使用臨時過程秘鑰Key’對數據做加解密和密文通訊,這樣來做到每一顆芯片、每一次通訊的加密數據都是不一樣,防止數據在通訊線路上被破解。 如上圖,主MCU函數FUNC
    發表于 12-20 15:31

    淺談加密芯片的一種破解方法和加密方案改進設計

    Key計算臨時過程秘鑰Key’,再使用臨時過程秘鑰Key’對數據做加解密和密文通訊,這樣來做到每一顆芯片、每一次通訊的加密數據都是不一樣,防止數據在通訊線路上被破解。 如上圖,主MCU函數FUNC
    發表于 12-20 15:10

    securecrt破解,securecrt破解的風險及建議

    securecrt破解的風險及建議。 使用未經授權的SecureCRT可能會導致以下問題: 1.法律風險: 侵犯版權:破解軟件侵犯了軟件開發者的版權,可能導致法律訴訟和罰款。 違反許可協議:大多數軟件都附帶許可協議,明確禁止未經授權的使用和分發。 2.安全風險: 惡意
    的頭像 發表于 12-17 13:00 ?217次閱讀
    securecrt<b class='flag-5'>破解</b>,securecrt<b class='flag-5'>破解</b>的風險及建議

    LuatOS開發4G模組隨機數(random)|實戰指南

    本次學習的實戰是關于4G模組LuatOS開發的隨機數示例指南,希望大家有所收獲。
    的頭像 發表于 11-30 09:51 ?181次閱讀
    LuatOS開發<b class='flag-5'>之</b>4G模組隨機數(random)|<b class='flag-5'>實戰</b>指南

    常見的漏洞分享

    #SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發現spf最后面跟著~all,代表有
    的頭像 發表于 11-21 15:39 ?95次閱讀
    常見的<b class='flag-5'>漏洞</b>分享

    高通警告64款芯片存在“零日漏洞”風險

    近日,高通公司發布了一項重要的安全警告,指出其多達64款芯片組中存在一項潛在的嚴重“零日漏洞”,編號為CVE-2024-43047。這一漏洞位于數字信號處理器(DSP)服務中,已經出現了有限且有針對性的利用跡象,引起了業界的廣泛
    的頭像 發表于 10-14 15:48 ?2467次閱讀

    漏洞掃描一般采用的技術是什么

    漏洞掃描是一種安全實踐,用于識別計算機系統、網絡或應用程序中的安全漏洞。以下是一些常見的漏洞掃描技術: 自動化漏洞掃描 : 網絡掃描 :使用自動化工具掃描網絡中的設備,以識別開放的端口
    的頭像 發表于 09-25 10:27 ?352次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網絡安全技術,用于識別計算機系統、網絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數據泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時發現并
    的頭像 發表于 09-25 10:25 ?394次閱讀

    《七劍下天山》“七劍利刃”:“新一代”漏洞掃描管理系統

    。該平臺七個方面功能尤其強大,堪稱梁羽生的武俠小說《七劍下天山》“七劍利刃”: ?日月劍?:多租戶管理。不同租戶間能設置符合各租戶自身特點的漏洞掃描策略,并只能查看當前租戶的漏洞分別情況;平臺管理員能進行全
    的頭像 發表于 09-09 11:23 ?363次閱讀

    內核程序漏洞介紹

    電子發燒友網站提供《內核程序漏洞介紹.pdf》資料免費下載
    發表于 08-12 09:38 ?0次下載

    微軟五月補丁修復61個安全漏洞,含3個零日漏洞

    值得注意的是,此次修復并不包含5月2日修復的2個微軟Edge漏洞以及5月10日修復的4個漏洞。此外,本月的“補丁星期二”活動還修復了3個零日漏洞,其中2個已被證實被黑客利用進行攻擊,另一個則是公開披露的。
    的頭像 發表于 05-15 14:45 ?685次閱讀

    模擬芯片電源管理芯片介紹

    相應的短矩波,推動后級電路進行功率輸出。本文詳細介紹芯伯樂XBLW-模擬芯片電源管理芯片的分類及各種類芯片特征,希望看完后有更深刻的了解。01—描述
    的頭像 發表于 04-30 08:34 ?2007次閱讀
    模擬<b class='flag-5'>芯片</b><b class='flag-5'>之</b>電源管理<b class='flag-5'>芯片</b>介紹

    蘋果承認GPU存在安全漏洞

    蘋果公司近日確認,部分設備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據報告,iPhone 12和M2 MacBook Air等設備也受到了這一
    的頭像 發表于 01-18 14:26 ?677次閱讀

    半導體芯片車規芯片——Lab Companion

    半導體芯片車規芯片 —— Lab Companion 半導體芯片車規芯片 一臺新能源汽車分為
    的頭像 發表于 01-11 14:30 ?768次閱讀
    半導體<b class='flag-5'>芯片</b><b class='flag-5'>之</b>車規<b class='flag-5'>芯片</b>——Lab Companion

    POC管理和漏洞掃描小工具

    本工具是采用javafx編寫,使用sqllite進行poc儲存的poc管理和漏洞掃描集成化工具。主要功能是poc管理,并且采用多線程進行漏洞掃描。
    的頭像 發表于 01-09 11:01 ?806次閱讀
    POC管理和<b class='flag-5'>漏洞</b>掃描小工具
    主站蜘蛛池模板: 日产2021免费一二三四区在线| 蜜桃精品成人影片| 久久99国产视频| 久久人人爽人人片AV人成| 麻豆国产人妻精品无码AV| 末班车动漫无删减免费| 日本 一二三 不卡 免费| 四虎免费影院| 亚洲色tu| 91交换论坛| 风月宝鉴之淫乱英雄传 电影| 国产精品美女久久久久AV超清| 国产最新精品亚洲2021不卡| 久久视频这里只精品99热在线| 欧美 亚洲 有码中文字幕| 兽交白浆喷水高潮| 亚洲一区成人| a级男女性高爱潮高清试看| 国产AV午夜精品一区二区入口| 狠狠狠的在啪线香蕉| 美女伊人网| 日日噜噜大屁股熟妇| 亚洲第一天堂无码专区| 中字幕视频在线永久在线| 超碰免费视频caoporn| 国产一区二区三区国产精品| 两个奶被男人揉了一个晚上| 肉动漫h黄动漫日本免费观看| 亚洲日韩欧美国产中文在线| 99人精品福利在线观看| 国产精品久久人妻无码网站一区L| 久久精品影院永久网址| 日本久久久久久久做爰片日本 | 欧洲-级毛片内射八十老太婆| 天天拍拍国产在线视频| 真人女人无遮挡内谢免费视频%| 大胸美女被cao哭| 久久久97丨国产人妻熟女| 色综合99久久久国产AV| 中文字幕福利视频在线一区| 国产精品AV色欲蜜臀在线|