从汇编层看64位程序运行——栈保护

已于 2024-07-19 10:47:57 修改
阅读量951 收藏 13
点赞数 26
分类专栏: 从汇编层看64位程序运行 文章标签: 汇编
于 2024-07-17 00:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breaksoftware/article/details/140424008
版权

大纲

《从汇编层看64位程序运行——ROP攻击以控制程序执行流程》中,我们看到可以通过“微操”栈空间控制程序执行流程。现实中,黑客一般会利用栈溢出改写Next RIP地址,这就会修改连续的栈空间。而编译器针对这种场景,设计了“栈保护”机制。

栈保护

比如下面的代码,buffer[8] = 'b’这句会导致栈溢出。

int main() {
    char buffer[8] = {0};
    buffer[0] = 'a';
    buffer[1] = buffer[0] + 1;
    buffer[8] = 'b';
    return 0;
}

如果我们采用“栈保护”机制编译,即增加-fstack-protector-strong(或者-fstack-protector、-fstack-protector-all等)编译选项。

# makefile
# 定义编译器
CC := gcc

# 定义编译选项
CFLAGS := -Wall -Werror -O0 -fstack-protector-strong

# 定义目标目录
OBJDIR := build
BINDIR := bin

# 定义源文件和目标文件
SRCS := $(wildcard src/*.c)
OBJS := $(patsubst src/%.c,$(OBJDIR)/%.o,$(SRCS))

# 获取当前工作目录名,即工程目录名
PROJECT_DIR_NAME := $(notdir $(shell pwd))

# 最终目标:编译所有文件并生成可执行文件
$(BINDIR)/$(PROJECT_DIR_NAME): $(BINDIR) $(OBJS)
	$(CC) $(CFLAGS) $(OBJS) -o $@

# 通用规则:如何从每个.c文件生成.o文件
$(OBJDIR)/%.o: src/%.c $(OBJDIR)
	$(CC) $(CFLAGS) -c $< -o $@

# 规则:创建build目录
$(OBJDIR):
	mkdir -p $(OBJDIR)

# 规则:创建bin目录
$(BINDIR):
	mkdir -p $(BINDIR)

# 伪目标:清理项目
.PHONY: clean
clean:
	rm -rf $(OBJDIR) $(BINDIR)

# 伪目标:打印变量(用于调试)
.PHONY: print
print:
	@echo "SRCS = $(SRCS)"
	@echo "OBJS = $(OBJS)"
	@echo "PROJECT_DIR_NAME = $(PROJECT_DIR_NAME)"

则程序在运行时,会报出栈移除提示。
在这里插入图片描述
那编译器如何做到“栈保护”的呢?

也许听着挺高大上,但是代码面前了无秘密,其原理也非常的简单。

我们看下这段代码的汇编
在这里插入图片描述
+12和+21这两行,汇编将段寄存器fs偏移+0x28的值保存到main函数栈帧的第一个局部变量位置(-0x8(%rbp))。这个局部变量是一个隐藏变量,后续没有代码对其进行改动。

+58和+62这两行,将检测第一个局部变量的值和寄存器fs偏移+0x28的值是否一致。如果一致就说明没问题,如果不一致就说明栈被污染了。
在这里插入图片描述

延伸阅读

那么段寄存器fs偏移+0x28是什么值?它为什么会在函数调用期间值不变?

这是因为fs断寄存器保存的是当前线程的TLS(Thread Local Storage),这样这个函数在线程上调度时,并不会被其他线程影响这段空间值。

但是GDB却无法打印出FS段地址,这个需要我们对代码进行改造,引入自定义的fs_base方法

#include <asm/prctl.h>
#include <sys/syscall.h>
#include <unistd.h>
#include <stdint.h>

uint64_t fs_base() {
    uint64_t fs_base;
    long result = syscall(SYS_arch_prctl,ARCH_GET_FS,&fs_base);
    if (result == -1) {
        return 0;
    }
    return fs_base;
}

uint64_t gs_base() {
    uint64_t gs_base;
    long result = syscall(SYS_arch_prctl,ARCH_GET_GS,&gs_base);
    if (result == -1) {
        return 0;
    }
    return gs_base;
}

int main() {
    char buffer[8] = {0};
    buffer[0] = 'a';
    buffer[1] = buffer[0] + 1;
    buffer[8] = 'b';
    return 0;
}

然后我们调试这段代码,可以看到被赋值到rax寄存器中的,%fs:0x28指向的值是0x6ac935d29472ff00。
在这里插入图片描述
而fs段地址通过gdb看不到
在这里插入图片描述
我们在gdb中使用下面指令来查看fs段地址

 p/x (uint64_t) fs_base()

然后查看偏移0x28的空间中的值,可以发现这个值和上面被赋值到rax寄存器中的值一致。
在这里插入图片描述
那我们如何确定它是TLS中的地址呢?

我们可以通过下面指令查看TLS的起始地址

p (void*) pthread_self()

我们会发现这个地址和我们通过fs_base获得的地址是一样的。

在这里插入图片描述

参考资料

breaksoftware
关注
  • 26
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
什么是cookie保护
koozxcv的博客
01-18 1738
对于为何要保护,请以“缓冲区溢出”,“堆”为关键词google一下,本文不再赘述。      只要你的程序要调用函数,那么就要使用堆,不进行函数调用的程序已经很少了吧,难道你能忍受通篇的jmp,jne...等等手工作坊的方法吗?在linux和windows上,保护的方式最重要的莫过于两种, 一个是使用堆安全cookie;另一个是使不可执行(DEP)。    
浅析保护机制
najdhdfh的博客
11-11 3476
保护机制 canary canary意为金丝雀,作为保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过 要绕过canary也很简单
保护--windows和linux
Netfilter
02-09 5459
对于为何要保护,请以“缓冲区溢出”,“堆”为关键词google一下,本文不再赘述。只要你的程序要调用函数,那么就要使用堆,不进行函数调用的程序已经很少了吧,难道你能忍受通篇的jmp,jne...等等手工作坊的方法吗?在linux和windows上,保护的方式最重要的莫过于两种, 一个是使用堆安全cookie;另一个是使不可执行。 上面提到的两种方式中,安全cookie提供了更大的保
保护机制
hollk’s blog
06-22 5208
一、CANNARY(溢出保护) ​ 溢出保护是一种用缓冲区溢出攻击环节手段,当函数存在缓冲区溢出漏洞时,攻击者可以覆盖上的返回地址来让shellcode能够得到执行。当启用保护后,函数开始执行的时候就会向往里插入cookie信息,当函数真正返回的时候回验证cookie信息是否合法,若果不合法就会停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护检查失败...
MIPS汇编完成小程序程序——10个无符号字数并从大到小进行排序(选择排序)
04-13
总之,这个MIPS汇编程序提供了一个实际应用选择排序算法的例子,对于学习汇编语言的初学者来说,这是一个极好的实践项目。通过编写和调试这样的程序,可以提升对计算机底工作原理的认知,以及对数据处理和流程控制...
Linux0.11内核源码解读第一季——汇编启动部分
06-09
Linux 0.11内核源码的解读是理解操作系统工作原理的重要步骤,尤其是在汇编启动部分,这是系统从引导加载器接手后开始运行的第一段代码。这部分代码负责初始化硬件环境,为后续的C语言部分做好准备。让我们深入探讨...
汇编语言程序设计上机考试历年卷.zip
02-12
汇编语言程序设计》是计算机科学领域中的一个重要分支,主要涉及计算机硬件和软件之间的桥梁——汇编语言的编程技术。福州大学作为一所知名的高等学府,在计算机科学教育方面具有深厚的底蕴,其针对汇编语言的课程...
IBM——PC汇编语言程序设计(第2版)的配套课件
05-18
【IBM—PC汇编语言程序设计(第2版)配套课件】主要涵盖...这些知识是学习IBM PC汇编语言的基础,理解和掌握它们对于编写、调试和优化汇编程序至关重要。通过配套课件的学习,可以更深入地了解80x86架构及其编程细节。
0day 第10章 --中的保护机制:GS
I have a dream
10-11 776
实验环境: winxp sp3 、vs2010 10.1 GS的保护原理 看图就明白了 在vs2010中可通过以下选项选择是否开启GS,默认开启: 以下情况不会进行GS保护: (1) 函数不包含缓冲区 (2) 函数被定义为具有变量参数列表 (3) 函数使用无保护的关键字标记 (4) 函数在第一个语句中包含内嵌汇编代码 (5)缓冲区不是8字节类型且大小小于等于4个字节 针对(3)和(5)...
溢出几种保护方式
groundhappy的专栏
04-19 4316
溢出主要是通过覆盖内保存的函数返回地址eip,然后在EIP处写入shellcode地址做的。 对于溢出的保护有很多 1 使用保护 比如linux上的 -fstack-protector windows上的 GS开关。 这种处理的方式是。 进入函数时将一个特定的DATA保存在stack 的高位置 [buffer][DATA][ebp][eip] 低位置
【Linux】保护 溢出 stack smashing detected 定位方法
rentong123的博客
04-17 1万+
程序中能明确看到某个变量的值被篡改,这种情况一般定位思路:使用watch命令观察该变量;执行c继续运行,程序会停在观察点发生变化的地方;执行where命令,查看当前的位置,即定位到哪行语句篡改了被观察的变量。即先看堆,大致确定是哪个函数。然后进到该函数中,逐条语句执行、查看堆信息,直到看到被破坏。遇到函数调用次比较多时,效率会比较低,但也算有效。
关于GCC的stack-protector选项
Netfilter
06-02 6558
初看起来,觉得GCC的-fstack-protector选项并不是很好用,它对帧的保护程度非常有限! 该选项只能发现 guard被冲刷掉的情况 。面对精准的返回地址替换,guard变量是无能为力的,比如下面: #include <stdio.h> #include <stdlib.h> unsigned long orig; void stub_func() { u...
【计算机系统】缓冲区溢出攻击概念、演示及防御
最新发布
obstacle19的博客
04-12 4024
是一种常见的安全漏洞,也被称为缓冲区溢出。它发生在程序尝试向缓冲区写入数据时,。这种溢出可能破坏程序的堆,使程序转而执行其它指令,从而达到攻击的目的。缓冲区溢出攻击的原理主要是利用程序中存在的缓冲区溢出漏洞。当程序没有仔细检查用户输入的参数时,攻击者可以通过输入超出缓冲区边界的恶意数据来破坏程序的正常执行流程。这些数据可以,导致程序。例如,在一个简单的C语言程序中,如果程序使用固定大小的缓冲区来接收用户输入,而攻击者输入的数据超过该缓冲区的容量,就会发生缓冲区溢出。
溢出的几种保护机制
热门推荐
ATFWUS的博客
02-28 2万+
Stack Protector(保护) 也称 cannary。 说明:当启用保护后,函数开始执行的时候会先往里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。 canary...
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 8749
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
[转] GCC 中的编译器堆保护技术
weixin_30325793的博客
02-14 855
以堆溢出为代表的缓冲区溢出已成为最为普遍的安全漏洞。由此引发的安全问题比比皆是。早在 1988 年,美国康奈尔大学的计算机科学系研究生莫里斯 (Morris) 利用 UNIX fingered 程序的溢出漏洞,写了一段恶意程序并传播到其他机器上,结果造成 6000 台 Internet 上的服务器瘫痪,占当时总数的 10%。各种操作系统上出现的溢出漏洞也数不胜数。为了尽可能避免缓冲区溢出漏洞被攻...
如何对程序的进行保护————x86_64
zgl07的专栏
07-10 962
如何对程序进行保护,当要控制程序执行过程,需要先保护。然后执行要执行的代码,最后恢复 保护基本方法为: pushq %rsp pushq (%rsp) andq $-0x10, %rsp 执行要执行的代码 movl 8(%rsp), %rsp
Tiny6410裸机程序开发教程——Linux平台
第三章进一步讲述了在C语言环境中设置并点亮LED,解释了调用C函数为何需要设置,并逐步展示了从编写C代码到运行的过程。 第四章探讨了C语言中调用汇编函数的必要性,提供了程序示例,并指导如何进行编译和执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值