Linux防止stack缓冲区溢出的有效方法
扫描二维码
随时随地手机看文章
检测和防治stack缓冲区溢出的方法可谓是汗牛充栋,如果讲起来,那便是一个系列,我也不知道该从何说起。
然而,总觉得有点纸上谈兵的意思。为什么我会这么说?
因为这玩意儿大家都懂,想破解还是很容易的,只需要破解FS:0x28即可,然后就一泻千里了,我把guard保留,实际上里面已经糜烂…
若攻若防,都要出其不意,当然了,这里有一个比较直接的方案:
-
每一次函数调用均使用 __builtin_return_address(0) 作为最后一个参数,函数的最后检测8(%rbp)的值和它是否相等。
这种方法可行,姑且不谈__builtin_return_address需要绝对地址转换,单凭可操作性,这种方法绝不优雅!
有没有什么办法,不需要程序做任何改变,就能做到检测stack缓冲区溢出呢?
当然有!在编译过程中添加stub即可!
只需要为每一个函数调用的开头和结尾加两段修饰即可:
-
开头在代码执行前的第一时间保存rbp下面的return address到fs寄存器0x28偏移处。
-
函数返回前最后一刻检查rbp下面的return address和fs寄存器0x28偏移处值是否相等。
-
…[其实fs寄存器还有很多偏移没有用到,为啥非要瞄准0x28,因为我想替掉stack protector]
我无心修改Linux的gcc编译器,我也无力修改,所以我这里只能演示,下面是一个代码:
我在func函数中主动制造了一个控制权转移:
如果不加那两段stub,很显然,控制流程将转入到别处:
然而,这两段stub成功保护了stack按照原有逻辑继续下去:
当然了,在发生了这种情况的时候,至少要记录一条日志:
执行一下试试看:
你可能记得__stack_chk_failed函数,我觉得这个机制不妥,因为我曾经成功绕过了它,所以就我个人而言,我忘掉了它。
记住两件套:
至于当前栈帧的return address保存在哪里,我觉得要区分用户态和内核态。若是用户态,那就放在FS寄存器索引的固定偏移处,若是内核态,per cpu变量再好不过了,毕竟一个CPU同时只能处在一个栈帧。
周日的上海阴风怒号,这正是我喜欢的天气,从此以后,所有的一切和经理再无关系,然而还是有一点点,因为经理洒不了水。谢…
————————————————
版权声明:本文为CSDN博主「dog250」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:
https://blog.csdn.net/dog250/java/article/details/105611497
下载文档
