0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

简述缓冲区溢出攻击与堆栈保护

jf_78858299 来源:码农的荒岛求生 作者:陆小风 2023-02-15 14:40 次阅读

在上一篇文章《进程切换的本质是什么?》中举了一个示例,也就是这段代码:

#include #include 
void funcC() { printf("jump to funcC !!!\\n") ; exit(-1) ;}
void funcB() { long *p = NULL ; p = (long*)&p ; *(p+2) = (long)funcC ;}
void funcA() { funcB();}
int main() { funcA() ; return 0 ;}

有同学问不能在自己的机器上复现,并给出了编译后的机器指令:

00000000004005ee :  4005ee:       55                      push   %rbp  4005ef:       48 89 e5                mov    %rsp,%rbp  4005f2:       48 83 ec 10             sub    $0x10,%rsp  4005f6:       64 48 8b 04 25 28 00    mov    %fs:0x28,%rax  4005fd:       00 00  4005ff:       48 89 45 f8             mov    %rax,-0x8(%rbp)  400603:       31 c0                   xor    %eax,%eax  400605:       48 c7 45 f0 00 00 00    movq   $0x0,-0x10(%rbp)  40060c:       00  40060d:       48 8d 45 f0             lea    -0x10(%rbp),%rax  400611:       48 89 45 f0             mov    %rax,-0x10(%rbp)  400615:       48 8b 45 f0             mov    -0x10(%rbp),%rax  400619:       48 83 c0 10             add    $0x10,%rax  40061d:       ba d6 05 40 00          mov    $0x4005d6,%edx  400622:       48 89 10                mov    %rdx,(%rax)  400625:       90                      nop  400626:       48 8b 45 f8             mov    -0x8(%rbp),%rax  40062a:       64 48 33 04 25 28 00    xor    %fs:0x28,%rax  400631:       00 00  400633:       74 05                   je     40063a   400635:       e8 66 fe ff ff          callq  4004a0 <__stack_chk_fail@plt>  40063a:       c9                      leaveq  40063b:       c3                      retq

仔细看这段代码,有这样一段可疑的指令:

mov    %fs:0x28,%raxmov    %rax,-0x8(%rbp)

这两行指令将fs:[0x28] (段寻址的方式)处的值push到了调用栈上(%rbp偏移8字节),并在函数即将返回的时候又检查了一遍该值有没有被修改:

mov    -0x8(%rbp),%raxxor    %fs:0x28,%rax

接下来如果保存到栈上的值不等于fs:[0x28]处的值(xor指令进行比较)那么跳转到__stack_chk_fail函数,我们的疑问是为什么要有这么一遍检查呢?

本质上我们在开头给出的代码相对于缓冲区溢出攻击,做法是修改上一个栈帧的返回地址,将其修改为某个特定地址(黑客希望跳转到的地方);

图片

在开头的这段代码中本来funcA函数调用完funcB后需要返回funcA,但在我们的“精心”设计下调用完funcB后却跳转到了funcC ,那么我们有没有办法防范这种攻击呢?

答案是肯定的,这种方法要追溯到很久很久以前。

在上世纪初,煤矿开采是一项很危险的工作,因为煤矿中的有毒气体通常极难被人类察觉,这给矿工的生命带来很大的威胁,而金丝雀对毒气非常敏感,这样矿工可以利用金丝雀来监控矿区,从而提早发现险情。

这里也是一样的道理,我们可以在栈区中放置一个“金丝雀”(fs:[0x28]处的值):

图片

当函数返回时我们会再次拿fs:[0x28]处的值与栈上的“金丝雀”进行对比, 一旦发现这两个值不同我们就可以认为当前的栈已经被破坏了,由于栈上的数据已然不可信,因此我们必须及早撤离矿区 ,也就是调用__stack_chk_fail函数提前终止进程。

而金丝雀也就是fs:[0x28]是随机产生的(每次程序运行时都不一样),因此攻击者很难提前知道该值是多少。

当然我们也可以看到,添加堆栈保护功能需要增加额外的机器指令,这些也会稍稍对性能产生影响,代价就是需要额外多执行一部分机器指令。

这就是编译器的堆栈保护功能,当然这个功能也是可以去掉的,编译时添加-fno-stack-protector编译选项(在这里感谢小风哥微信技术群里同学的提示),这样即可关闭堆栈保护功能,生成的代码就可以复现上一篇文章《进程切换的本质是什么》中提到的效果了。

怎么样,想成为黑客还是没那么容易吧,就好比只有真正理解法律才能钻空子一样,只有真正理解计算机的工作原理才能hack它,当然,想成为顶尖黑客只有对计算机的理解还不够,你还需要有想象力。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 缓冲区
    +关注

    关注

    0

    文章

    33

    浏览量

    9107
  • 堆栈
    +关注

    关注

    0

    文章

    182

    浏览量

    19753
  • 代码
    +关注

    关注

    30

    文章

    4779

    浏览量

    68521
收藏 人收藏

    评论

    相关推荐

    溢出队列缓冲区

    我用和谐建立了CDC的USB堆栈。如果我慢慢地发送数据,效果会很好。我想尽可能快地发送数据。当这样做时,我溢出队列缓冲区。USB_DEVICE_CDC_Write函数返回以下错误,USB_DEVICE_CDC_RESULT_ER
    发表于 03-24 09:51

    缓冲区溢出的危害及避免缓冲区溢出的三种方法

    1. 蠕虫病毒简介2. 缓冲区溢出3. 缓冲区溢出举例4. 缓冲区溢出的危害5. 内存在计算机中
    发表于 03-02 07:55

    缓冲区溢出的危害及避免缓冲区溢出的三种方法

    1. 蠕虫病毒简介2. 缓冲区溢出3. 缓冲区溢出举例4. 缓冲区溢出的危害5. 内存在计算机中
    发表于 03-30 14:01

    缓冲区溢出攻击模式及其防御的研究

    借助统一建模语言,概括近十年来利用缓冲区溢出进行攻击攻击模式,从预防、发现、抵御缓冲区溢出
    发表于 12-18 16:42 7次下载

    基于中间汇编的缓冲区溢出检测模型

    提出一种基于中间汇编的缓冲区溢出检测模型,用于对可执行代码进行静态分析和检测。采用中间汇编形式可以使算法对硬件平台透明,增强代码可阅读性,有利于对缓冲区溢出
    发表于 03-29 11:10 20次下载

    基于状态图的缓冲区溢出攻击分析

    结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对
    发表于 04-10 08:46 32次下载

    基于可执行代码的缓冲区溢出检测模型

    根据缓冲区溢出原理,提出一种基于可执行代码的缓冲区溢出检测模型,给出该模型的理论基础,描述模型构建的过程,提出新的缓冲区引用实例的识别方法。
    发表于 04-20 09:26 31次下载

    二进制扫描的缓冲区溢出漏洞探测技术

    缓冲区溢出漏洞自从出现以来,一直引起许多严重的安全性问题,而且随着软件系统越做越大,越来越复杂,缓冲区溢出漏洞的出现越来越普遍。本文从检测程序的漏洞方面着
    发表于 08-10 10:19 17次下载

    Windows缓冲区溢出攻击的实例研究

    本文首先详细分析了Windows 缓冲区溢出的基本原理和具体流程。在此基础上,通过对一个Windows 网络缓冲区溢出攻击实例的详细调试分析
    发表于 08-28 09:44 17次下载

    缓冲区溢出攻击的防护技术分析

    缓冲区溢出攻击已经成为网络攻击的主要方式。本文首先分析了缓冲区溢出
    发表于 09-02 10:50 9次下载

    缓冲区溢出攻击的原理和防范技术分析

    基于解决缓冲区溢出这一普遍发生的网络安全漏洞的目的,通过软件、硬件技术层面的验证方法,结合人工检查、静态发现技术、动态防御技术等实验手段,得出了在向缓冲区中传输数
    发表于 05-27 16:20 17次下载

    为什么缓冲区溢出会带来危害?会带来哪些危害?

    在当前网络与分布式系统安全中,被广泛利用的50%以上都是缓冲区溢出,其中最著名的例子是1988年利用fingerd漏洞的蠕虫。而缓冲区溢出中,最为危险的是
    发表于 11-28 14:46 1.2w次阅读
    为什么<b class='flag-5'>缓冲区</b><b class='flag-5'>溢出</b>会带来危害?会带来哪些危害?

    消除IoT上的缓冲区溢出漏洞

    黑客可以使用堆栈缓冲区溢出将可执行文件替换为恶意代码,从而允许他们利用堆内存或调用堆栈本身等系统资源。例如,控制流劫持利用堆栈
    的头像 发表于 10-12 15:25 919次阅读
    消除IoT上的<b class='flag-5'>缓冲区</b><b class='flag-5'>溢出</b>漏洞

    消除物联网上的缓冲区溢出漏洞

      黑客可以使用堆栈缓冲区溢出将可执行文件替换为恶意代码,从而使他们能够利用堆内存或调用堆栈本身等系统资源。例如,控制流劫持利用堆栈
    的头像 发表于 12-02 11:57 1013次阅读

    WebP图像编解码库libwebp存在堆缓冲区溢出漏洞

    WebP图像编解码库libwebp存在堆缓冲区溢出漏洞(CVE-2023-4863),攻击者可以通过发送植入恶意代码的WebP图像获得设备的部分权限。
    的头像 发表于 09-25 09:48 4939次阅读
    WebP图像编解码库libwebp存在堆<b class='flag-5'>缓冲区</b><b class='flag-5'>溢出</b>漏洞