栈保护杂记

一个局部变量在运行的过程中值被改变了。这个时候就有了栈保护这个东西。

假设这个函数是在进程上下文，那么有可能是进程被抢占了，另外一个进程的栈写过头了，把栈里面的变量写坏了。也有可能是中断打断了它，中断上下文把栈写坏了。

栈保护就是在栈里面插入一个数字，当我们出栈的时候去检查这个数字是否被改写。如果被改写了，则说明我们的栈被写坏了。反之则没有。

gcc test.c -fstack-protector-all -g -o test

-fstack-protector-all开启栈保护

-g会生成符号表，具体的作用参考该文章GCC/G++调试添加编译选项-g作用与用法_gcc -g_limanjihe的博客-CSDN博客

如果不-g，则无法使用gdb进行调试

下面这个程序可以看到栈保护插入的magic number的值。我是先看了反汇编的结果，写了的。

插入的魔数字每次运行都会变化。 

#include <stdio.h>
#include <stdlib.h>

void f(void)
{
		
	unsigned int a = 0x11223344;
	unsigned int b = 0x12345678;
	unsigned int c = 0x55667788;
	
	unsigned int *p = &c;
	p += 0x10;//-0xc(%ebp)-0x1c(%ebp) = 0x10
	printf("canary 0x%lx\n", *p);

	return;	
}

int main()
{
	unsigned int carry = 0xf1f2f3f4;

	//printf("carry %p\n", &carry);
	f();
	return 0;
}

下图被圈起来的就是栈保护插入魔数字和检测是否被改写的代码 

gdb test

可以看到栈保护就是在最开始的时候，在栈里面插入一个固定的值，然后在出栈的时候，检测一下这个值是否被改写。如果被改写了，即异或不为0。则转到__stack_chk_fail@plt进行处理

mov    -0xc(%ebp),%eax
xor    %gs:0x14,%eax

明天看看怎么插入异常代码？直接覆盖返回地址，将其改写为我写的一个函数好了

#include <stdio.h>
#include <stdlib.h>
void errfun()
{
	printf("ret address have changed\n");
}
void f(void)
{
		
	unsigned int i = 0x231;
	unsigned int a = 0x11223344;
	unsigned int b = 0x12345678;
	unsigned int c = 0x55667788;
	unsigned int *p = &c;
	p += 0x10;
	printf("canary 0x%lx\n", *p);
	for (i = 0, p = &c; i < 16; ++i, ++p)
	{
		printf("0x%lx, ", *p);
        /* 当i==9时,栈里面存放的就是返回地址 */
		if (i == 9)
		{
			*p = errfun;		
		}
	}
	printf("\n");
	return;	
}

int main()
{
	unsigned int carry = 0xf1f2f3f4;

	//printf("carry %p\n", &carry);
	f();
	return 0;
}

和上面是一样的。我先把栈里面的内存打印出来，然后看栈里面的内存和返回地址进行对比。这样我就得到了返回地址的为(i==9)。这样我直接把返回地址覆盖为我想执行的函数即可

1、查看返回地址   0x080485cd <+34>:    mov    $0x0,%eax

 查看打印信息，可以看到i==9时对应了返回地址0x80485cd。

所以在上面的代码里面将i=9的值，即返回地址改写为了errfun的地址。

    for (i = 0, p = &c; i < 16; ++i, ++p)
	{
		printf("0x%lx, ", *p);
        /* 当i==9时,栈里面存放的就是返回地址 */
		if (i == 9)
		{
			*p = errfun;		
		}
	}

最后运行结果。可以看到是运行了errfun的。报错估计是栈里面的东西不是程序预想的内容，跑飞了吧。 

 

  详细的信息参考该文章

浅析栈保护机制_李四先生的博客-CSDN博客