Linux日志保护机制,解读Linux安全机制之栈溢出保护

解读Linux安全机制之栈溢出保护

0x00 概述

栈溢出保护是一种缓冲区溢出攻击缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后，函数开始执行的时候会先往栈里插入cookie信息，当函数真正返回的时候会验证cookie信息是否合法，如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉，导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary(以下统一使用canary)。

gcc在4.2版本中添加了-fstack-protector和-fstack-protector-all编译参数以支持栈保护功能，4.9新增了-fstack-protector-strong编译参数让保护的范围更广。以下是-fstack-protector和-fstack-protector-strong的区别：

参数

gcc支持版本

说明

-fstack-protector

4.2

只为局部变量中包含长度超过8-byte(含)的char数组的函数插入保护代码

-fstack-protector-strong

4.9

满足以下三个条件都会插入保护代码：1.局部变量的地址作为赋值语句的右值或函数参数；2.局部变量包含数组类型的局部变量，不管数组的长度；3.带register声明的局部变量

Linux系统中存在着三种类型的栈：

应用程序栈：工作在Ring3,由应用程序来维护；

内核进程上下文栈：工作在Ring0，由内核在创建线程的时候创建；

内核中断上下文栈：工作在Ring0，在内核初始化的时候给每个CPU核心创建一个。

0x01 应用程序栈保护

1. 栈保护工作原理

下面是一个包含栈溢出的例子：

/* test.c */

#include

#include

int main(int argc, char **argv)

{

char buf[16];

scanf("%s", buf);

printf("%s\n", buf);

return 0;

}

我们先禁用栈保护功能看看执行的结果

[root@localhost stackp]# gcc -o test test.c -fno-stack-protector

[root@localhost stackp]# python -c "print 'A'*24" | ./test

AAAAAAAAAAAAAAAAAAAAAAAA

Segmentation fault

当返回地址被覆盖后产生了一个段错误，因为现在的返回地址已经无效了，所以现在执行的是CPU的异常处理流程。我们打开栈保护后再看看结果：

[root@localhost stackp]# gcc -o test test.c -fstack-protector

[root@localhost stackp]# python -c "print 'A'*25" | ./test

AAAAAAAAAAAAAAAAAAAAAAAAA

*** stack smashing detected ***: ./test terminated

这时触发的就不是段错误了，而是栈保护的处理流程，我们反汇编看看做了哪些事情：

0000000000400610 :

400610: 55 push %rbp

400611: 48 89 e5 mov %rsp,%rbp

400614: 48 83 ec 30 sub $0x30,%rsp

400618: 89 7d dc mov %edi,-0x24(%rbp)

40061b: 48 89 75 d0 mov %rsi,-0x30(%rbp)

40061f: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax

400626: 00 00

400628: 48 89 45 f8 mov %rax,-0x8(%rbp)

40062c: 31 c0 xor %eax,%eax

40062e: 48 8d 45 e0 lea -0x20(%rbp),%rax

400632: 48 89 c6 mov %rax,%rsi

400635: bf 00 07 40 00 mov $0x400700,%edi

40063a: b8 00 00 00 00 mov $0x0,%eax

40063f: e8 cc fe ff ff callq 400510 <__isoc99_scanf>

400644: 48 8d 4