关于GCC的stack-protector选项

最新推荐文章于 2024-05-05 17:41:49 发布
最新推荐文章于 2024-05-05 17:41:49 发布
阅读量6.5k 收藏 6
点赞数 3
文章标签: stack protector
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/90735908
版权

初看起来,觉得GCC的-fstack-protector选项并不是很好用,它对栈帧的保护程度非常有限!

该选项只能发现 guard被冲刷掉的情况 。面对精准的返回地址替换,guard变量是无能为力的,比如下面:

#include <stdio.h>
#include <stdlib.h>

unsigned long orig;

void stub_func()
{
	unsigned long *p;
	printf("stub\n");
	exit(0);
}


void func(int n)
{
	printf("call function\n");
	asm (
		"movq %0, %%r12 \n\t"
		"mov %%r12, 8(%%rbp)\n\t"
		:
		: "m" (orig));
}

int main()
{
	orig = stub_func;
	func(2);
	printf("function return\n");

	return 0;
}

执行一下:

[root@localhost make_1]#
[root@localhost make_1]# gcc -fstack-protector-all new.c
new.c: 在函数‘main’中:
new.c:26:7: 警告:赋值时将指针赋给整数,未作类型转换 [默认启用]
  orig = stub_func;
       ^
[root@localhost make_1]# ./a.out
call function
stub

这其实很容易理解,看一下汇编便知:

00000000004005f8 <func>:
  4005f8:   55                      push   %rbp
  4005f9:   48 89 e5                mov    %rsp,%rbp
  4005fc:   48 83 ec 20             sub    $0x20,%rsp
  400600:   89 7d ec                mov    %edi,-0x14(%rbp)
  400603:   64 48 8b 04 25 28 00    mov    %fs:0x28,%rax
  40060a:   00 00
  40060c:   48 89 45 f8             mov    %rax,-0x8(%rbp)
	...
  400627:   48 8b 45 f8             mov    -0x8(%rbp),%rax
  40062b:   64 48 33 04 25 28 00    xor    %fs:0x28,%rax
  400632:   00 00
  400634:   74 05                   je     40063b <func+0x43>
  400636:   e8 65 fe ff ff          callq  4004a0 <__stack_chk_fail@plt>
  40063b:   c9                      leaveq
  40063c:   c3                      retq

只是把一个固定的随机数放在了栈帧上而已。

而我们知道,有意而为的栈溢出的最终目的是替换RBP下面的返回地址,由于攻击者无法直接修改程序代码,比如像我这样嵌入内联汇编这样,唯一的方法就是找到字符串拷贝的漏洞,发送刻意构造的字符串,利用拷贝漏洞将栈溢出,从而使得程序执行ret指令时,跳转到自己的逻辑。

因此,字符串缓冲区拷贝并不是目的,而只是一个攻击途径,几乎是唯一的途径。

为什么不直接针对目标进行保护,让函数返回地址参与到guard计算中呢?

其实根本没有必要。如果攻击者具有一次性精确打击返回地址的能力,那么他便同时具备了绕过guard校验的能力,比如直接ret。然而攻击者不是代码的作者,他们只能操作数据,而不能操作代码。

栈上(以及堆上)的数据缓冲区是沟通数据和代码的纽带,不管哪种溢出攻击都利用了这一点:

  • 数据和逻辑元数据统一保存在连续的内存中。
  • 数据拷贝以某种刻意的方式冲刷掉逻辑元数据。
  • 代码使用了错误的元数据导致了错误的结果。

stack-protector选项更多的就是对付这种 利用数据而不是修改代码的攻击者 的,而不是为了对付我这样的本地代码编写者,比如说,我就是故意写这样的程序来达到一些有益的目的的。我不是攻击者,我是代码的作者。

换句话说, 攻击者没有精准打击函数返回地址的能力,他们只能实施大摆拳式的栈缓冲区溢出!

所以,一个随机数作为guard就够了!

如果不理解这些,可能大部分会觉得让函数返回地址直接参与guard值计算会更 安全 些。确实更安全,但却没必要。

那么为什么%FS:0x28里会保存着一个随机数呢?如果你strace程序,就会发现:

[root@localhost make_1]# strace -e trace=arch_prctl ./a.out
arch_prctl(ARCH_SET_FS, 0x7fef43a5c740) = 0
call function
stub
+++ exited with 0 +++

FS和GS一样,都是段寄存器,但是却不像CS,DS,SS那样有明确的用途,在内存模式早就平坦化的现在,这些寄存器的原始意义已经不大,换句话说,FS和GS寄存器,操作系统可以随意用它们。

比如Windows的结构化异常处理的数据结构就是保存在FS中的,而Linux的FS则保存一些TLS相关的数据,栈帧的guard就在其中。

如strace所示,每一个程序一开始arch_prctl会设置FS的地址,然后程序就可以在这个地址处存值了。

让我们探究一番,直接看代码:

#include <stdio.h>
#include <stdlib.h>

unsigned long addr, guard = 0;

void func()
{
	// 用-fstack-protector-all选项编译,获取rbp上面的guard值
	asm (
		"movq -8(%%rbp), %%r12 \n\t"
		"movq %%r12, %0 \n\t"
		: "=m"(guard)
		:);
	printf("guard value at [%fs:0x28] is:%llx\n", guard);
}

#define GET_FS	0x1003

int main()
{
	unsigned long *off;
	arch_prctl(GET_FS, &addr);

	off = (unsigned long *)addr;;
	off += 0x28/sizeof(unsigned long);

	// 从FS的0x28偏移获取值
	printf(" %llx\n", *off);
	func();
	
	return 0;
}

两个值应该相等的:

[root@localhost make_1]# ./a.out
 3326e4ab95fc9100
guard value at [0.000000s:0x28] is:3326e4ab95fc9100

OK,我们从当前进程本身来把TLS数据给篡改了试试看:

#include <stdio.h>
#include <stdlib.h>

#define GET_FS	0x1003
unsigned long addr, guard = 0;
unsigned long *off;

void func()
{
	int p;
	asm (
		"movq -8(%%rbp), %%r12 \n\t"
		"movq %%r12, %0 \n\t"
		: "=m"(guard)
		:);
	*off = 0; // 这个相当于修改了fs在0x28偏移的值
	printf("guard value at [%fs:0x28] is:%llx\n", guard);
}


int main()
{
	arch_prctl(GET_FS, &addr);

	off = (unsigned long *)addr;;

	off += 0x28/sizeof(unsigned long);
	printf(" %llx\n", *off);
	func();

	return 0;
}

结果是:

[root@localhost make_1]# ./a.out
 dea850fc2de9ef00
guard value at [0.000000s:0x28] is:dea850fc2de9ef00
*** stack smashing detected ***: ./a.out terminated
======= Backtrace: =========
/lib64/libc.so.6(__fortify_fail+0x37)[0x7f11d3e959e7]
/lib64/libc.so.6(+0x1179a2)[0x7f11d3e959a2]
./a.out[0x40063a]
./a.out[0x4006ad]
/lib64/libc.so.6(__libc_start_main+0xf5)[0x7f11d3da03d5]
./a.out[0x400519]
======= Memory map: ========
00400000-00401000 r-xp 00000000 fd:00 117053769                          /root/AC/tcp_ac/src/7u/test/make_1/a.out
00600000-00601000 r--p 00000000 fd:00 117053769                          /root/AC/tcp_ac/src/7u/test/make_1/a.out
00601000-00602000 rw-p 00001000 fd:00 117053769                          /root/AC/tcp_ac/src/7u/test/make_1/a.out
020bd000-020de000 rw-p 00000000 00:00 0                                  [heap]
7f11d3b68000-7f11d3b7d000 r-xp 00000000 fd:00 94335                      /usr/lib64/libgcc_s-4.8.5-20150702.so.1
7f11d3b7d000-7f11d3d7c000 ---p 00015000 fd:00 94335                      /usr/lib64/libgcc_s-4.8.5-20150702.so.1
7f11d3d7c000-7f11d3d7d000 r--p 00014000 fd:00 94335                      /usr/lib64/libgcc_s-4.8.5-20150702.so.1
7f11d3d7d000-7f11d3d7e000 rw-p 00015000 fd:00 94335                      /usr/lib64/libgcc_s-4.8.5-20150702.so.1
7f11d3d7e000-7f11d3f40000 r-xp 00000000 fd:00 76401                      /usr/lib64/libc-2.17.so
7f11d3f40000-7f11d4140000 ---p 001c2000 fd:00 76401                      /usr/lib64/libc-2.17.so
7f11d4140000-7f11d4144000 r--p 001c2000 fd:00 76401                      /usr/lib64/libc-2.17.so
7f11d4144000-7f11d4146000 rw-p 001c6000 fd:00 76401                      /usr/lib64/libc-2.17.so
7f11d4146000-7f11d414b000 rw-p 00000000 00:00 0
7f11d414b000-7f11d416d000 r-xp 00000000 fd:00 76111                      /usr/lib64/ld-2.17.so
7f11d435a000-7f11d435d000 rw-p 00000000 00:00 0
7f11d4369000-7f11d436c000 rw-p 00000000 00:00 0
7f11d436c000-7f11d436d000 r--p 00021000 fd:00 76111                      /usr/lib64/ld-2.17.so
7f11d436d000-7f11d436e000 rw-p 00022000 fd:00 76111                      /usr/lib64/ld-2.17.so
7f11d436e000-7f11d436f000 rw-p 00000000 00:00 0
7ffe5f754000-7ffe5f775000 rw-p 00000000 00:00 0                          [stack]
7ffe5f7ce000-7ffe5f7d0000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
已放弃

我想说的是,我们也可以在这些寄存器里藏匿一些值的。

浙江温州皮鞋湿,下雨进水不会胖。

dog250
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
GCC:堆栈溢出保护
风静如云的博客
07-13 3992
因此在开发阶段最好使用-fstack-protector-all编译选项已便于早期捕捉到堆栈溢出问题。-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char。-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。-fstack-protector-strong:提供更广泛的堆栈保护。-fno-stack-protector:禁用堆栈保护。已放弃 (核心已转储)的函数插入保护代码。
ARMCC/GCC下的stack protector
u011280717的博客
05-20 4911
Stack overflow攻击是一种很常见的代码攻击,armcc和gcc等编译器都实现了stack protector来避免stack overflow攻击。虽然armcc和gcc在汇编代码生成有些不同,但其原理是相同的。这篇文章以armcc为例,看一看编译器的stack protector。armcc提供了三个编译选项来打开/关闭stack protector。 –no_protect_stac
*** stack smashing detected ***,彻底搞懂GCC栈保护的实现原理以及问题分析套路
最新发布
点滴路程
05-05 1521
本文通过工作中的案例,了解到gcc实现栈保护的原理,以及分享遇到相关问题的排查思路及技巧。希望能够帮助到您。若我的内容对您有所帮助,还请关注我的公众号。不定期分享干活,剖析案例,也可以一起讨论分享。踩完您工作中的所有坑并分享给您,让你的工作无bug,人生尽是坦途参考文章:https://applink.feishu.cn/client/message/link/open?
gcc选项-stack-protector栈保护机制
qq_41573572的博客
03-20 1142
`stack-protector`是一个安全相关的编译器选项,用于防止栈溢出攻击。当启用这个选项时,编译器会在函数的栈帧中插入一个称为"canary"的特殊值,并在函数返回之前检查这个值是否被篡改。如果"canary"值发生变化,这意味着栈被非法修改,编译器会触发一个信号(通常是`SIGABRT`),导致程序异常终止。这样可以防止攻击者通过栈溢出来执行任意代码。
gcc-stack-protector机制
热门推荐
飞翔de刺猬
04-16 1万+
GCCstack smashing detected”机制相信使用C/C++语言开发软件的程序猿们都经历过‘栈溢出’的问题。‘栈溢出’问题通常十分的隐蔽,有的时候问题复现也十分的困难。每当软件出现莫名其妙的问题时,总是有人怀疑是不是栈溢出了,但是问题的排查又十分的困难,所以,‘栈溢出’就是广大C/C++开发者的噩梦。大家不禁要问有没有通用的方法来避免或者来检测’栈溢出‘问题呢?其实,’栈溢出‘问
【原创】实验验证 -fstack-protector 编译选项效果
weixin_33937778的博客
05-16 2672
2019独角兽企业重金招聘Python工程师标准>>> ...
-fno-stack-protector
南京大学的CS渣
10-24 3429
4down voteaccepted In the standard/stock GCC, stack protector is off by default. However, some Linux distributions have patched GCC to turn it on by default. In my opinion, this is rather h
gcc9.1.0-9.3.0.rar全集
05-30
8. **安全性强化**:GCC 9.x中还包含了对安全编程实践的支持,比如地址空间布局随机化(ASLR)、栈保护(Stack Smashing Protector)等,以帮助开发者构建更安全的软件。 9. **编译器诊断**:GCC 9.x引入了新的诊断...
Stack-Smashing:现代 Linux 系统上的堆栈粉碎
06-09
2. 使用编译器的防护选项,如GCC的`-fstack-protector`,自动插入检查代码。 3. 限制函数参数和局部变量的大小,避免大缓冲区。 4. 使用安全的编程语言或库,如使用C++的智能指针或C的`alloca()`函数来动态分配栈...
Linux GCC 5.2.0.rar_Protection_Stack protection_gcc5_gcc5.2
09-20
使用GCC 5.2.0进行编译时,可以通过特定的编译选项启用或调整栈保护,例如 `-fstack-protector` 和 `-fstack-protector-all`。前者仅对某些已知易受攻击的函数启用保护,而后者则会尽可能地保护所有函数。 总的来说...
gcc常用命令(这几天用到的)
01-20
此外,如果在Linux下使用GCC编译而不链接相应的库,可能会遇到 `stack_chk_fail` 错误,此时添加 `-fno-stack-protector` 可以消除这个错误。 最后,`__inline__ attribute__((always_inline))` 是C/C++中的一个...
GCC_DSA
03-30
例如,使用-O2或-O3优化级别可以提升代码运行速度,而-fno-stack-protector等选项可以控制编译器的安全特性。 此外,该项目可能包含了测试用例和示例代码,帮助用户理解和使用这个C语言实现的DSA库。这些测试用例...
内核stack_protector导致异常崩溃
wxywxywxy110的博客
11-06 920
##问题描述: DMA写完数据后,产生DMA中断,中断中wake_up_interruptible唤醒等待队列(wait_event_interruptible_timeout),唤醒后,中断上下文程序会先执行,但偶尔唤醒的进程上下文会先于中断上下文执行。某次wake_up_interruptible唤醒等待队列后导致内核崩溃。崩溃堆栈打印pc是在__wake_up_common_lock,大致如下: Unable to handle kernel NULL pointer dereference at v
Android stack corruption detected (-fstack-protector)
highersister的博客
08-31 560
Abort message: 'stack corruption detected (-fstack-protector)'
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3121
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
GCC安全保护机制
phenixyf的专栏
12-04 5694
0x0 介绍 本文记录软件安全课程一项实验内容,为”分析一款编译器的安全特性”,偷懒选了Linux下的gcc,网上有很多相关资料,这里做一实验总结,主要是测试该特性在当前版本Linux平台下是否工作,顺便比较和Windows平台的异同. 另:有更多关于Windows平台下的安全保护机制,但由于windows平台编译器众多(特别是vs开头的),十分依赖编译器和操作系统的配合(虽然在linux平台...
GCC关闭Stack-Smashing Protecto(stack smashing detected) zz
摸爬滚打
04-19 736
zz http://blog.csdn.net/white_eyes/article/details/7168062 Ubuntu下面的GCC默认开启了Stack Smashing Protector,如果想在这个系统中学习缓冲区溢出的原理,在编译时要加上fno-stack-protector选项,否则运行时会出现*** stack smashing detected ***: xxx te
GCC中的堆栈保护机制
luoxn28的专栏
06-25 1万+
1.1 编译选项gcc -fstack-protector-all main.c #include int main(void) { int i; /* 此时i的声明在数组a之前 */ int a[4]; //int i; printf("&a=%p,&i=%p\n",&a,&i); //a[4] = 0; printf("%d\n", a[4]); a[5] =
内核栈溢出保护
u014089131的博客
04-28 5342
linux内核中有个编译选项CC_STACKPROTECTOR用来开启GCCstack-protector功能, 这个功能是在GCC4.1版本中引入,用来检测栈是否遭到溢出攻击。 目前我们用的版本中开启了这两个选项CONFIG_CC_STACKPROTECTOR、CONFIG_CC_STACKPROTECTOR_REGULAR。 编译器栈溢出保护原理: 函数栈存储结构,从
如何确认正确使用-fno-stack-protector选项
06-11
要确认是否正确使用了-fno-stack-protector选项,您可以通过以下方法之一: 1. 使用命令行选项-v查看gcc的版本信息。如果版本信息中包含"-fno-stack-protector"选项,则表示该选项已正确使用。例如,以下是gcc 7.5.0的版本信息: ``` gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04) ... -fno-stack-protector ... ``` 2. 使用反汇编工具来检查生成的二进制文件是否包含栈保护代码。如果-fno-stack-protector选项生效,则不应该看到任何栈保护代码。以下是使用objdump工具查看二进制文件的示例命令: ``` objdump -d test | grep "__stack_chk" ``` 如果输出中包含了任何与栈保护相关的代码,则表示-fno-stack-protector选项未生效。 3. 使用GDB调试器来检查程序在运行时是否启用了栈保护机制。以下是使用GDB来运行程序并检查是否启用了栈保护机制的示例命令: ``` gdb test (gdb) start (gdb) info variables __stack_chk_guard ``` 如果输出中包含了__stack_chk_guard变量,则表示程序启用了栈保护机制。如果输出中没有该变量,则表示-fno-stack-protector选项生效。 如果您使用这些方法仍然无法确认-fno-stack-protector选项是否生效,请尝试使用其他方法,例如使用其他工具或查看编译器文档。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值