栈保护者Canary的实现细节

最新推荐文章于 2024-07-24 21:04:47 发布
最新推荐文章于 2024-07-24 21:04:47 发布
阅读量1.7k 收藏 6
点赞数
分类专栏: 计算机系统 文章标签: 反汇编 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43496675/article/details/105550598
版权

1.示例copy函数 在这里插入图片描述
汇编代码:
在这里插入图片描述
失去栈保护的汇编代码:
在这里插入图片描述
比对发现,在有栈保护的汇编代码中增加了一些指令,其中:

mov %gs:0x14,%eax
mov %eax,-0xc(ebp)

两句指令,是向栈中插入一个canary值。使用栈保护的copy函数栈是这样的:

canary的值是随机生成的,在内存中保存有两份:
①一个是保存在特殊的段内,这个段被标示为只读,不可修改。
②另一个在栈内,可修改。
③如果缓冲区溢出,canary在栈中的值被修改,系统比对两处的值发现不一样,就会调用一个错误处理例程。

另外,发现形式参数s在被调用者栈内多了一份拷贝
博主zq301在文章GCC编译器局部变量地址分配为什么总是从低地址向高地址增加?中提到:
SSP有意将局部变量中的数组放在函数栈的高地址,而将其他变量放在低地址。这样就使得通过溢出一个数组来修改其他变量(比如一个函数指针)变得更为困难。

在这里插入图片描述
2.canary实现
①gcc编译时选择canary的插入位置,生成含有canary的汇编代码。
②glibc产生实际的canary值,以及提供错误捕捉函数和报错函数。
因此canary是运行时动态产生的,不能通过查看静态的bianry得到。

也就是说gcc只是声明和使用了_ stack chk guard/_ stack_ chk_ fail,并没有定义定义是在glibc里.
stack_ chk_ guard_ stack_ chk_fail 的插入是在gcc将GIMPLE转换为RTL的pass里分别通过函数default__stack_ protect_guard()ix86_ stack_ protect _fail() 构建手动的tree,然后调用 expand_ normal() 自动转换为RTL再插入待分析的用户代码来进行的.

canary的值的流向
①kernel初始化了跟TLS相关的寄存器gs,并且提供了canary这个随机值。
②glibc写入%gs:0x14这个保存随机值的位置并且提供变定义和打印函数定义。
③gcc插入对canary的值的引用和出错函数到用户代码里。
详细细节见参考文章:最初九月雪《canary分析》

hnu哈哈
关注
专栏目录
溢出攻击的软&硬件缓解技术
security²-卢鸿波-安全二次方
04-02 293
溢出攻击的软&硬件缓解技术有哪些?在TF-A&OPTEE上的应用?
windows和Linux下的保护机制
不想当脚本小子的脚本小子
12-11 531
windows: 0x01、启用GS选项 启用GS选项是在编辑器中可以启用的一项选择。 启用GS选项之后,会在函数执行一开始先往上保存一个数据,等函数返回时候检查这个数据,若不一致则为被覆盖,这样就跳转进入相应的处理过程,不再返回,因此shellcode也就无法被执行,这个值被称为“Security cookie”。 感兴趣的同学可以编写一个DEMO启用GS后编译,使用IDA便可以看软件...
C语言函数调用溢出基础,canary和pie保护的绕过思路
WdIg-2023的博客
01-19 1102
C语言函数调用溢出基础,canary和pie保护的绕过思路
Canary保护机制
ATOD
10-25 4176
实验要求:调研 VC .net 或 GCC 4.*中的 Canary 技术实现, 弄懂原理并设计相应的实验例程进行测试,编制相应 报告。 实验环境: Windows 10, 编译器配置为 TDM-GCC 4.8.1 64-BIT Debug 实验主题: 调研 GCC 4.*中的 Canary 技术: 原理: 1、 在所有函数调用发生时,向帧内压入一个额外的随机 DWORD,这个随机数被称作 “c...
金丝雀 / 堆 Cookie (SC)
ds1234759的博客
07-24 64
关于堆金丝雀漏洞利用
canary溢出保护)纯新手入门(一)
qq_66690477的博客
05-08 1773
溢出保护是一种缓冲区溢出攻击的缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖上的返回地址让shellcode能够执行。 1.基础介绍 缓冲区:在计算机读取数据时, 在内存中开辟的临时存储数据的区域。 缓冲区溢出:针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁中断之际获取程序乃至系统的控制权。 计算机对接收的输入数据没有进行有效的检测(理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符),向缓冲区内填充数据
canary环境使用nginx实现原理
o544033135的博客
12-16 270
nginx实现多canary环境支持
gcc安全编译选项详解(NX(DEP)、RELRO、PIE(ASLR)、CANARY、FORTIFY)
键盘的起始页
09-02 9279
gcc安全编译选项详解(NX(DEP)、RELRO、PIE(ASLR)、CANARY、FORTIFY)
CSAPP LAB2 bomb8
Coral__的博客
12-27 1312
CSAPP LAB2。完成时间:2022.4.15。仅供参考
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
最新发布
时光隧道
07-24 1万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
那些年,我们一起踩过的 “Android 坑”
热门推荐
JackWaiting
07-19 2万+
69、多线程同时访问集合(ConcurrentModificationException)问题现象: 多线程同时修改集合时常常容易出现 ConcurrentModificationException ,即便是改成用 Collections.synchronizedCollection() 方法同步也无效。原因分析:当集合正在迭代时,如果进行修改就会出现异常,@问题13 已经说过该问题。而 synch
WINDOWS和LINUX的内存防护机制
x_nirvana的博客
03-11 6032
一、windows下的内存保护机制0x00、二进制漏洞二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。二进制漏洞早期主要以溢出为主。我们都知道在C语言中调用一个函数,在编译后执行的是CALL指令,CALL指令会执行两个操作:(1)、将CALL指令之后下一条指令入。 (2)、跳转到函数地址。函数在开始执行时主要工作为保存该函数会修改的寄存器的值和申请局
浅析保护机制
najdhdfh的博客
11-11 3540
保护机制 canary canary意为金丝雀,作为保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过 要绕过canary也很简单
linux汇编 约束条件m,linux – 什么是汇编中的%gs
weixin_39750195的博客
05-16 569
void return_input (void){char array[30];gets (array);printf("%s\n",array);}在gcc中编译之后,此函数将转换为以下程序集代码:push %ebpmov %esp,%ebpsub $0x28,%espmov %gs:0x14,%eaxmov %eax,-0x4(%ebp)xor %eax,%e...
深入理解计算机——拆解二进制炸弹
weixin_43297914的博客
04-01 1867
拆解二进制炸弹 一、实验目的二、 实验环境三、实验内容四、实验步骤及实验分析 准备工作 阶段一1.观察bomb.c源码2.启用gdb进行调试3.在gdb工具下输入disas phase_1观察4.所以下一步应该在运行的时候,查看0x402680地址的内容,这即是我们要输入的拆弹字符串,然后输入引号内的内容炸弹拆除。 阶段二:1.观察bomb.c源码2.启用gdb进行调试3.在gdb工具下输入disas phase_2观察反汇编代码4.按上面的反汇编代码依次推测,可得 阶段三1.观察bomb.c源码2
溢出技巧(下)
m0_59598029的博客
08-10 311
canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,通过爆破的办法去进行绕过canary保护,因为canary的值在每次程序运行时都是不同的,所以这需要一定的条件:fork的子进程不变,题目中很难遇到,所以我们可以使用stacksmash的方法进行泄漏内容。
Canary机制及绕过策略
helloworlddm的博客
06-14 3327
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常溢出的利用方式是通过溢出存在于上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖上的返回地址来让 shellcode
Canary 学习
H1zerguo的博客
10-04 666
pwn_Canary
start_kernel——boot_init_stack_canary
Burning Water
07-01 1710
/* * Initialize the stackprotector canary value. * * NOTE: this must only be called from functions that never return, * and it must always be inlined. */ static __always_inline void boot_init_stac
C语言实现linux系统的canary保护机制
05-05
canary保护机制是一种防止缓冲区溢出攻击的机制。在函数调用时,canary值会被放置在的尾部,在函数返回时再次检查canary值,如果发现canary值被改变,就会触发溢出异常。 下面是用C语言实现canary保护机制的步骤: 1. 定义一个canary变量,用来存储canary值。 ```c unsigned int canary = 0xdeadbeef; ``` 2. 在函数的开头将canary值放置在的尾部。 ```c void function() { char buffer[100]; *(unsigned int*)(buffer + 96) = canary; // ... } ``` 3. 在函数返回前,再次检查canary值是否被改变。 ```c void function() { char buffer[100]; *(unsigned int*)(buffer + 96) = canary; // ... if (*(unsigned int*)(buffer + 96) != canary) { printf("stack overflow detected!"); exit(1); } } ``` 这样就可以使用canary保护机制来防止缓冲区溢出攻击。请注意,这只是一个简单的示例,实际中还需要考虑更多的细节,如canary值的随机化等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hnu哈哈

请接受直女的么么哒????

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值