DOP_SR

今天展示的是2016年IEEE S&P安全会议的一篇Data-Oriented Programming，我们简称DOP攻击。

在讲DOP之前，我们首先要看一下ROP。ROP全称Return-Oriented Programming ，顾名思义，就是以返回地址为目标的攻击手段。攻击者首先通过内存漏洞改写当前过程调用的返回地址，当过程调用结束了执行返回操作的时候，就陷入攻击者的目标代码处；随后攻击者通过串联事先在目标程序和共享库中找到的指令片段，来执行恶意语义。这些指令片段我们称之为gadget，每个gadget都是以ret指令结尾。

我们可以看到，ROP这类攻击的本质上是对程序控制流的劫持，操控程序的控制流。于是，有学者提出保护控制流完整性的策略CFI，之后针对CFI的研究层出不穷，理论上已经可以多种方法实现控制流的完整性检查。DOP的目标和ROP是一致的，但是它只操控程序的数据段，而不改变程序的控制流图，因此可以绕过CFI的检查。

DOP的前身追溯到2005年S&P安全会议的一篇“Non-Control Data Attacks Are Realistic Threats”，讲述了非控制数据攻击的方法；随后2015年S&P安全会议上又出现一篇“Automatic Generation of Data-Oriented Exploits”，讲述了自动化构造非控制流数据攻击的方法。图中给出了一个数据攻击的例子，攻击者通过内存漏洞直接改写pw->pw_uid的值为0，这样就使应用程序获得了root权限。可以看到这种攻击根本不会改变控制流。但是这类数据攻击一眼看上去，令人直觉上觉得攻击语义十分有限，只能改变存在数据段的条件变量或者泄露内存敏感内容。

但是DOP在现实中找到了这段代码：图中第7行readData存在内存漏洞，它可以溢出缓冲区数组buf，覆盖到buf之前的所有变量，那下面这整个循环就在攻击者的控制之下。攻击者可以控制循环条件，选择分支的条件，来实现各种赋值操作，解引用操作，逻辑运算操作。在这个例子中，12行13行的的操作我们称之为DOP的gadget，而攻击所需的循环我们称之为dispatcher，中文可以理解为调度器。

论文为了系统化DOP攻击，定义了MINDOP语言，包含六种操作，分别是：逻辑运算，赋值操作，加载和存储操作，跳转操作和条件跳转操作。这些操作在真实机器上都很容易找到相对应的gadget。前四种很容易理解，只要找到对应的指针操作即可。那为什么是必须是指针操作呢，因为在DOP中我们是对内存数据进行操作，通过覆盖指针值，我们很容易指向需要操作的内存数据段。

我们再来看下所谓的dispatcher，之前展示的例子中这个while循环就是一个dispatcher。dispatcher有个所谓的selector，控制需要用到的gadget，在该例子中就是type指针。

有了dispatcher后，我们来看一下如何实现MINDOP操作中的跳转语义。在这个例子中，第五行的函数是一个dispatcher，该dispatcher接收一个输入cmd来完成数据gadget，而cmd在第四行通过指针数组buf来赋值，指针数组buf里存储的是n轮操作的攻击语义，每轮操作后，更新cmd的值为下一个buf的指针值。那如何实现跳转语义呢，我们只要在当前轮操作完成后，更改cmd的值到buf数组的某处，比如buf[i-1]，这样dispatcher就回到第i轮进行数据操作了。