___security_cookie机制

最新推荐文章于 2021-03-12 03:54:25 发布
最新推荐文章于 2021-03-12 03:54:25 发布
阅读量704 收藏
点赞数
原文链接:http://www.cnblogs.com/gm-201705/p/9864079.html
版权

.text:00411500 ; int __cdecl wmainCRTStartup()
.text:00411500 _wmainCRTStartup proc near              ; CODE XREF: startj
.text:00411500                 mov     edi, edi
.text:00411502                 push    ebp
.text:00411503                 mov     ebp, esp
.text:00411505                 call    j____security_init_cookie
.text:0041150A                 call    __tmainCRTStartup
.text:0041150F                 pop     ebp
.text:00411510                 retn
.text:00411510 _wmainCRTStartup endp

__tmainCRTStartup前调用___security_init_cookie进行全局___security_cookie初始化,___security_cookie开始时固定为0BB40E64Eh:

.data:00417014 ___security_cookie dd 0BB40E64Eh

 ___security_init_cookie负责___security_cookie初始化工作,首先将___security_cookie与0BB40E64Eh比较,相同则表示未初始化过,跳入初始化代码loc_411D01,否则向下执行。将___security_cookie和0FFFF0000h进行与操作,高4字节为0则跳入初始化代码loc_411D01,否则保存___security_cookie到ecx。

初始化代码中,首先取时间,分别与进程ID,线程ID,TickCount,性能计数器等异或,保证随机性,结果存入___security_cookie。到此全局的___security_cookie初始化完毕,并且初始化后在进程中这个值不再变化。

使用/GS选项编译,或使用了Windows SEH的代码,都会在CRT中加入 ___security_init_cookie。在受保护的函数中:

.text:00413200 var_4           = dword ptr -4
……
.text:0041321E                 mov     eax, ___security_cookie
.text:00413223                 xor     eax, ebp
.text:00413225                 mov     [ebp+var_4], eax

首先取 ___security_cookie与ebp异或存入eax,将eax值放到栈上ebp-4位置。与ebp异或保证了栈上cookie值不可预测。栈上的cookie是放在ebp&返回地址与本地变量之间,这样可以保护ebp&返回地址及以上地址空间不被覆写。

但保护不了本地变量,微软没有实现本地变量重排:

0106321E  mov         eax,dword ptr [___security_cookie (1067014h)]  
01063223  xor         eax,ebp  
01063225  mov         dword ptr [ebp-4],eax  

int a = 10;
01063228  mov         dword ptr [ebp-0Ch],0Ah  

int b = 2;
0106322F  mov         dword ptr [ebp-18h],2  

char str[16];
printf("%p\n", str);
01063236  mov         esi,esp  
01063238  lea         eax,[ebp-30h]  
0106323B  push        eax  
0106323C  push        offset string "%s\n" (10657A0h)  
01063241  call        dword ptr [__imp__printf (10682ACh)]  

受保护的函数返回前:

.text:00413283                 mov     ecx, [ebp+var_4]
.text:00413286                 xor     ecx, ebp        ; cookie
.text:00413288                 call    j_@__security_check_cookie@4 ;__security_check_cookie(x)

从栈上取出cookie与ebp异或,将还原后___security_cookie存入ecx,然后调用__security_check_cookie检查。

.text:00412A00 @__security_check_cookie@4 proc near    ; CODE XREF: __security_check_cookie(x)j
.text:00412A00
.text:00412A00 cookie          = dword ptr -4
.text:00412A00
.text:00412A00                 cmp     ecx, ___security_cookie
.text:00412A06                 jnz     short failure
.text:00412A08                 rep retn
.text:00412A0A ; ---------------------------------------------------------------------------
.text:00412A0A
.text:00412A0A failure:                                ; CODE XREF: __security_check_cookie(x)+6j
.text:00412A0A                 jmp     j____report_gsfailure
.text:00412A0A @__security_check_cookie@4 endp

__security_check_cookie函数将全局___security_cookie与ecx中存放的还原出的___security_cookie比较,若不同则表示发生了溢出,调用____report_gsfailure执行异常处理。

下面分析一下StackCookie绕过的可行性,有利条件:

1、__security_cookie可以从内存读到。
2、ebp与esp地址相邻,通过泄漏esp可猜测ebp。

不利条件:

1、程序检测到溢出,____report_gsfailure崩溃退出。
2、栈布局随机化,重新运行程序,ebp变化即上次泄漏的esp失效。

Hook掉____report_gsfailure等异常处理函数可以轻松绕过stack cookie,但已经能在目标系统执行代码,再写这个溢出就没什么意义了。

因为___security_cookie+ASLR的存在,Windows的栈溢出漏洞已经很难利用。覆盖SEH链这类方法虽然可行,但并不是获取了cookie值,所以不能算作对cookie机制的破解。

下面引用tombkeeper在微博上的一段话:

内存破坏类漏洞攻防对抗的发展形势大概会是这样:目前所有已知攻击方式在未来几年内被逐渐阻止或充分缓解,新的攻击方式将不仅难以被设计出来,而且实现过程也很复杂——如果没有相关研究作为基础,即使捕捉到野外样本,分析者甚至可能难以理解样本是如何被制作出来的。

转载于:https://www.cnblogs.com/gm-201705/p/9864079.html

weixin_30907523
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
1-2 Windows下启动函数(真正的入口函数) 之 寻找入口函数与_security_init_cookie
coolbrucekai的专栏
06-20 3409
___security_cookie机制,防止栈溢出
走在北风里
11-07 572
(转)___security_cookie机制,防止栈溢出 原文链接 从研究底层和汇编以来,已经多次接触到“栈溢出”这个名词了。 这次在汇编码中看到了个不明就里的 ___security_cookie ,查了下,原来是编译器的安全检查机制。转载一篇文章: 首先,security cookie并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的 程序,放到带security cookie保护的环境中,就不能正常溢出了。 那么,到底是什么是security cookie呢? 我觉得从广义上讲,
浅谈缓冲区溢出检查_security_cookie
zhuobattle的专栏
12-17 7411
介绍: 当应用程序启动时,程序的cookie(4字节(dword),无符号整型)被计算出来(伪随机数)并保存在 加载模块的.data节中,在函数的开头这个cookie被拷贝到栈中,位于EBP和返回地址的正前方(位于返 回地址和局部变量的中间)。   [buffer][cookie][savedEBP][savedEIP] 在函数的结尾处,程序会把这个cookie和保存在.da
__security_check_cookie 解决办法
06-24 3676
__raise_securityfailure((EXCEPTION_POINTERS*)&GS_ExceptionPointers); __security_check_cookie 今天把框架程序编译长Release的时候,突然弹出这个错误 解决办法 VS2017 编译器,项目属性,C/C++ // 代码生成 //安全检查//禁止 ...
Windows驱动(2)-Driver安装调试报错security_init_cookie&蓝屏
iextract的博客
05-08 1394
在完成测试驱动的编写后,F7生成,然后拿到虚拟机进行调试,发现每次载入WinDbg就会给出一段很莫名的报错 RtlpBreakWithStatusInstruction security_init_cookie 以下是编写&测试环境 编写环境:vs community 2015 + SDK 10.0.15063.137 + WDK 10.0.15063.0 测试环境:Windo
spring_security_c5
03-07
它通过存储一个长期的cookie来实现,当用户下次访问时,Spring Security会自动完成身份验证过程。 7. **CSRF防护(Cross-Site Request Forgery Protection)**:Spring Security 默认提供了CSRF防护,这是一种防止...
bbs_s.rar_bbs jsp_web网站
09-19
Spring Security或Apache Shiro等框架可以提供这些安全服务,包括登录验证、权限控制等。 5. **用户界面**:使用HTML、CSS和JavaScript创建用户友好的界面,可能还涉及到了前端框架如Bootstrap或Vue.js,以实现响应...
spring_security_c4
03-07
6. **CSRF防护**:防止跨站请求伪造攻击,Spring Security 提供了 CSRF 保护机制,确保只有来自可信源的请求才能执行有状态的操作。 7. **自定义扩展**:Spring Security 具有高度可扩展性,允许开发者自定义认证和...
jwt_security.zip
04-19
总结,`jwt_security.zip`提供的教程涵盖了构建安全的Web应用程序所需的多个核心组件,包括快速开发的`Spring Boot`、强大的安全框架`Spring Security`、安全的令牌认证机制JWT以及数据库操作的`MyBatis`。...
弹簧231Security_242
02-07
它通过存储在cookie中的持久化令牌来实现这一功能。 6. **Session管理** Spring Security可以帮助管理会话,防止会话固定攻击、会话劫持等。例如,它支持基于时间的会话超时策略,以及跨站请求伪造(CSRF)防护。 ...
/GS 编译选项,_security_cookie,软件强制DEP
hambaga的博客
01-21 343
如果启用了 /GS 编译选项,那么编译器会在可能出现缓冲区溢出的地方插入 cookie 校验代码,检查是否存在溢出。 原理是在缓冲区末尾,高地址处存储一个校验值,如果发生溢出,那么这个校验值会被覆盖,函数返回时检查这个值,如果被覆盖了,就代表出现溢出。 ...
ddctf再来一杯java,2019DDCTF的一道简单逆向
weixin_33503373的博客
03-12 211
昨晚躺尸的时候看到群里大佬发了一张DDCTF战况的图就起床做了一下,也就有了这个题解,RE2跟RE1其实核心思想是差不多的,只是多了一些移位操作罢了,算是弥补上个月0CTF、“西湖论剑”逆向零的突破吧终究还是太菜了,另外一道CPP逆向也是看得头疼——2019.4.130x00 查壳一看是UPX壳,修复一下然后直接脱!0x01 分析1.载入IDA X86main函数伪代码int __cdecl ma...
关于security cookie
左雪菲的专栏
06-15 1659
这里主要讨论栈,不是堆。   首先,security cookie并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带security cookie保护的环境中,就不能正常溢出了。   那么,到底是什么是security cookie呢?   我觉得从广义上讲,它应该是一种保护栈的机制,提供这种保护的,是程序本身,编译进程序本身的代码提供的,而不是系统中某个
网络安全学习第1篇 - 简单使用ida工具和破解分析
一清道长的个人博客
04-03 4306
实验目的 目的:了解使用ida工具和破解分析(题目如下) 请使用IDA等工具逆向分析Sample_1、Sample_2以及Sample_3这三个exe文件。 说明: 1、IDA Pro下载链接:https://pan.baidu.com/s/1ErHbDG70jD-bg9eW_rEPsA 提取码:91sc 1、IDA查看地址方法:Options->General,在Line prefix...
security cookie
free2o的专栏
06-20 5597
     在微软的c/c++ 编译器中,增加了对于栈溢出进行检测的参数 “/GS”,在调试shellcode 的时候,发现vs2005 产生的code 和 vc6 产生的code 有些不同,才让我注意到这个问题。     写了这样的一个测试程序:     void foo(const char * datas)      {       char szbuf[32];     
无法解析外部符号 __security_cookie”问题解决
danxuezx的专栏
04-30 1032
编译VC工程时出现了标题所示问题,资料搜索一下,在微软网站找到答案了,解决方法如下:1)选择“项目”-》“属性”-》“C/C++”-》“代码生成”-》“缓冲区安全检查”,设为“否”2)选择“项目”-》“属性”-》“链接器”-》“输入”-》“附加依赖项”,增加”bufferoverflowU.lib” http://blog.csdn.net/tonxi/archive/2007/04/09
SpringSecurity笔记
最新发布
09-24
SpringSecurity笔记 ...SpringSecurity为开发人员提供了一个强大且易于集成的安全解决方案,帮助他们在Spring应用中实现高效、灵活和安全的身份验证和授权机制,极大地提高了开发效率和系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值