堆栈溢出第三话--GS机制

最新推荐文章于 2022-08-31 11:44:04 发布
最新推荐文章于 2022-08-31 11:44:04 发布
阅读量2.9k 收藏 6
点赞数 5
分类专栏: 漏洞分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_37552052/article/details/69783221
版权
本文介绍了堆栈溢出防护机制GS(Stack Canary),详细阐述了其工作原理,包括计算随机种子、写入栈帧和校验过程。讨论了不同编译器版本对变量布局的影响,并探讨了三种绕过GS的方法:攻击S.E.H、泄露Canary和覆盖Canary。尽管GS提供了一定的安全性,但攻击者仍可通过特定技术绕过防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈中的守护天使--GS,亦称作Stack Canary / Cookie,从VS2003起开始启用(也就说,GS机制是由编译器决定的,跟操作系统无关),是堆栈溢出中最令人头疼的一道关卡

GS机制分三个步骤:计算随机种子 --> canary写入栈帧 --> GS校验

[1]程序启动时,读取.data的第一个DWORD作为基数,然后和各种元素(时间戳,进程ID,线程ID,计数器等等)进行XOR加密

[2]然后将加密后的种子再次写入.data的第一个DWORD

[3]函数在执行前,把加密后的种子取出,与当前

最低0.47元/天 解锁文章
溢出防御之——Windows安全机制GS编译选项
BetaBin
10-14 8377
安全漏洞中有个重灾区:溢出。利用类似memset之类的字符串修改函数,输入超出正常长度的字符串,导致溢出,从而影响其它数据(返回地址、标志变量等)。 维基百科给出的资料http://zh.wikipedia.org/wiki/%E5%A0%86%E6%A0%88%E6%BA%A2%E5%87%BA主要是函数无限调用导致的堆栈溢出,下面给出个0day2里面的例子温习下溢出: #includ
《Windows安全机制》之GS机制
weixin_43742894的博客
06-02 2927
Windows安全机制第三弹——GS机制 第一篇《Windows安全机制——ASLR(地址随机化)及如何关闭ASLR》,地址如下:https://blog.youkuaiyun.com/weixin_43742894/article/details/105702886 第二篇《Windows安全机制——DEP保护》 ...
Windows安全机制---保护:GS机制
每昔的博客
10-08 5507
文章目录Windows安全机制 Windows安全机制 GS编译技术 SEH的安全校验机制 Heap Cookie,Safe Unlinking等一系列堆安全机制 DEP数据执行保护 ASLR加载地址随机 SEHOP SEH的覆盖保护 ...
堆栈的保护机制GS
足球先生的专栏
04-24 1966
缓冲区溢出是漏洞利用中的重要一步。 通过设置编译选项/gs会给可执行文件中添加一些特殊的代码,来防止缓存区的溢出。比如#include <stdio.h> #include <string.h> #define BUF_LEN 16 unsigned char str[16+4+4]; void fun(unsigned char *data) { unsigned char buffer
溢出的几种保护机制
热门推荐
ATFWUS的博客
02-28 3万+
Stack Protector(保护) 也称 cannary。 说明:当启用保护后,函数开始执行的时候会先往里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。 canary...
Linux日志保护机制,解读Linux安全机制溢出保护
weixin_42407606的博客
05-06 1374
解读Linux安全机制溢出保护0x00 概述溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖上的返回地址来让shellcode能够得到执行。当启用保护后,函数开始执行的时候会先往里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致保护...
Windows内核漏洞学习-溢出(无GS
WocW的博客
05-16 1069
0x00: 前言 在上一节中,将HEVD的环境配置完成,接下来进行内核漏洞的调试复现。为什么首先做溢出呢,因为我以前学过一些Pwn知识,溢出算是最简单的漏洞了。使用的环境为: Windows7 x86 虚拟机系统 双机调试环境 HEVD靶场环境 0x01:漏洞原理 溢出原理 溢出,即在局部变量拷贝时,没有控制好拷贝进局部变量的长度。而局部变量又是保存在中的,一旦长度过长,就会导致数据溢出淹没环境,覆盖EBP甚至返回地址。 HEVD漏洞原理分析 给出实验漏洞代码。这里安全和不安全的操作都对比给
VC++中利用/GS开关防止缓冲区溢出
07-26
若`source`由第三方提供,则存在安全漏洞风险,允许攻击者通过特定方式修改内容。 #### 缓冲区溢出的攻击方式 1. **已知漏洞利用**:攻击者寻找固定地址处的函数,修改中返回地址,等待该函数被调用。 2. **...
pwn入门:sploitfun-典型的基于堆栈的缓冲区溢出详解
EternalBurning的博客
04-12 1783
虚拟机环境:Ubuntu 14.04(x86) 本文是基于sploitfun系列教程的详细解析,sploitfun对于纯新手而言,其中有些东西还是不够详细,新手不能很好的接触到其中原理,故作此文进行补充 编译代码第一行,表示关闭ASLR(地址空间布局随机化)。kernel.randomize_va_space堆栈地址随机初始化,很好理解,就是在每次将程序加载到内存时,进程地址空间的...
深入GS保护机制
weixin_30904593的博客
12-09 701
大多数溢出漏洞产生的原因是由于数组越界,导致溢出。首先要明白溢出漏洞这个我在很早前就写过烂大街的文章了 我们知道大部分的溢出攻击主要是覆盖程序函数的返回地址那么看完再讲讲GS的工作流程=检测某些覆盖函数的返回地址、异常处理程序地址(SEH)或者类型参数的缓冲区溢出。在执行缓冲区溢出时会有安全检查GS 缓冲区。 GS 缓冲区可以是下列之一: +++++++++++++++++++++++++++...
堆栈溢出漏洞原理及测试.pdf
10-09
堆栈溢出漏洞原理及测试.pdf 堆栈溢出漏洞原理及测试.pdf 堆栈溢出漏洞原理及测试.pdf
溢出保护测试(非GS保护机制
weixin_30817749的博客
03-26 183
今天做了一个溢出实验,主要目的是弹出一个对框。还是用老办法,利用strcpy拷贝字符串时的漏洞,输入较长的字符串产生溢出,覆盖返回地址,从而劫持进程。 产生对框部分字符串的是:33DB5368 7765737468 6661696C68 6661696C8BC453505053B8 71EAD677FFD0 对应汇编是: 33DB xor ebx...
南京邮电大学网络信息安全——软件漏洞分析与防范(实验一——溢出gs保护机制
weixin_42559271的博客
09-09 2975
南京邮电大学网络信息安全——软件漏洞分析与防范(实验一——溢出)前言实验环境实验代码实验过程示例一编译分析程序尝试payload 前言 这个实验的示例2的代码没有给出,所以暂时没有做,如果以后要做的会补上,包括GS保护部分也是如此 实验环境 由于实验需要有Windows和Ubuntu环境,所以我这里准备了两个环境。 Windows:Visual Studio+Win10+IDA+Ollydbg+gcc Ubuntu:Ubuntu 18.04+Vmware+IDA 实验代码 示例一(用于Windows
关于Windows安全保护机制——守护天使GS的问题
4SecNet团队专栏
03-13 696
首先,这次记录的是GS守护机制的一些理解和问题,并不是基于守护的原理,去做相关的突破和溢出,所以如果发现主题不对,还请及时退出,避免浪费您的时间。当然如果您不介意 给我看看哪里有出错的地方,也欢迎给出意见 ————————————————————分割线————————————————————— 我们都知道,所谓的缓冲区溢出的最重要的一个点就是,将返回地址覆盖为Shellcode执行的地址,也就...
内存保护机制及绕过方案——通过覆盖SEH异常处理函数绕过/GS机制
weixin_30892763的博客
05-04 1054
通过SEH链绕过GS保护机制 ⑴. 原理分析: i.异常处理结构(SEH)处理流程如下: SEH是基于线程的,每一个线程都有一个独立的SEH处理结果,在线程信息块中的第一个结构指向线程的异常列表,Fs:[0]总是指向当前线程的TIB,其中0偏移的指向线程的异常链表,即ExceptionList是指向异常处理链表(EXCEPTION_REGISTRATION结构)的一...
堆栈溢出一般是由什么原因导致的 堆栈溢出怎么解决
weixin_52626887的博客
08-31 8561
过多的函数调用,导致调用堆栈无法容纳这些调用的返回地址,一般在递归中产生。堆栈溢出很可能由无限递归(Infinite recursion)产生,但也可能仅仅是过多的堆栈层级。下面小编给大家介绍一下“堆栈溢出一般是由什么原因导致的 堆栈溢出怎么解决”...
【干货】堆栈溢出一般是什么原因?
teach2004的博客
12-14 9786
堆栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性: 最后一个放入堆栈中的物体总是被最先拿出来, 这个特性通常称为后进先出(LIFO)队列。 堆栈中定义了一些操作。 两个最重要的是PUSH和POP。 PUSH操作在堆栈的顶部加入一 个元素。POP操作相反, 在堆栈顶部移去一个元素, 并将堆栈的大小减一。 堆栈溢出的产生是由于过多的函数调用,导致调用堆栈无法容纳这些调用的返回...
溢出保护原理——Stack Canaries
weixin_62675330的博客
02-26 4341
溢出保护原理——Stack Canaries Stack Canaries (名自地下煤矿的金丝雀,因为它能比矿工更早地发现煤气泄露,有预警的作用) 是一种对抗溢出攻击的技术,即SSP安全机制 Canary的值是上的一个随机数,在程序启动时随机生成并保存在比函数返回地址更低的位置。由于溢出是从低地址向高地址进行覆盖,因此攻击者要想控制函数的返回指针,就一定要先覆盖到Canary。程序只需要在函数返回前检查Canary是否被篡改,就可以达到保护的目的。 一,Canaries的分类 canar
溢出从入门到放弃(下)
zhaoqg666的博客
04-25 1519
转自https://zhuanlan.zhihu.com/p/25892385 0x00 写在前面 首先还是广播一下2017 Pwn2Own 大赛的最终赛果,本次比赛共发现51个漏洞,长亭安全实验室贡献11个,以积26分的总成绩,在11支参赛团队中名列第三!同时,也祝贺国内的安全团队包揽本次大赛的前三名! 0x10 上期回顾 上篇文章介绍了溢出的原理和两种执行方法,两种方
系统在此应用程序检测到基于堆栈的缓冲区溢出
最新发布
02-11
### 基于堆栈的缓冲区溢出漏洞解析 #### 定义与成因 基于堆栈的缓冲区溢出是一种常见的安全漏洞,当程序试图向固定大小的缓冲区内写入超过其容量的数据时会发生这种现象。这可能导致覆盖相邻内存区域的内容,进而破坏程序控制流或允许攻击者注入恶意代码并执行[^1]。 #### 防护措施概述 为了防止此类漏洞的发生,开发人员应当遵循最佳实践来编写更健壮的安全代码: - **输入验证**:严格检查所有外部输入数据的有效性和范围。 - **使用现代编译器特性**:启用编译期优化选项如`/GS`(Microsoft Visual C++),这些功能可以在运行时检测潜在的堆栈溢出情况。 - **采用高级编程技术**:比如C++中的标准模板库(STL),它提供了更加安全的数据结构替代传统的数组操作;对于字符串处理,则推荐使用`std::string`而非字符指针加长度的方式管理文本信息。 - **定期审查源码质量**:通过静态分析工具扫描项目文件寻找不安全函数调用模式,并及时修正发现的问题。 #### 技术层面的具体建议 ##### 启用防护机制 操作系统通常提供了一些内置的安全特性用于抵御这类攻击,例如地址空间布局随机化(ASLR) 和 数据执行保护(DEP)[^2]。确保目标平台已开启上述设置有助于增加利用难度。 ##### 修改易受攻击部分 针对具体案例提到的应用场景,在接收网络传输过来的游戏用户名之前应该先做适当裁剪以适应内部表示所需的最大尺寸限制。此外,考虑到Unicode转换过程可能会使原始ASCII序列膨胀两倍甚至更多,因此预留额外的空间也是必要的预防手段之一。 ```c++ // 示例:安全用户名称至指定最大长度 void safe_read_username(char* dest, size_t max_len) { char temp[max_len]; fgets(temp, sizeof(temp), stdin); // 移除可能存在的换行符 temp[strcspn(temp, "\r\n")] = '\0'; strncpy(dest, temp, max_len - 1); dest[max_len - 1] = '\0'; // 确保null终止 } ``` ##### 更新依赖项 保持第三方组件处于最新状态同样重要。正如描述中所提及的情况那样,过时版本可能存在未修复的风险点。所以务必关注官方发布的补丁公告,并尽快应用到生产环境中去[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值