内核栈溢出保护

最新推荐文章于 2024-07-25 15:06:29 发布
最新推荐文章于 2024-07-25 15:06:29 发布
阅读量5.6k 收藏 5
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014089131/article/details/70908499
linux内核中有个编译选项CC_STACKPROTECTOR用来开启GCC的stack-protector功能,
这个功能是在GCC4.9版本中引入,用来检测栈是否遭到溢出攻击。


目前我们用的版本中开启了这两个选项CONFIG_CC_STACKPROTECTOR、CONFIG_CC_STACKPROTECTOR_REGULAR。


编译器栈溢出保护原理:
函数栈存储结构,从栈底往上一般是形参,返回地址,控制信息(EBP),局部变量。
栈溢出往往是局部变量超过了他自身的存储位置,覆盖到了返回地址,
如果返回地址被恶意攻击者利用,就会导致执行攻击者设计的代码,造成安全隐患。
编译器对栈溢出的保护就是在控制信息前面多存储一个特殊的canary word,
函数返回时检测canary word是否有被改写,如果被改写,意味着发生了栈溢出。


以下面代码为例,看下栈溢出的过程:
int vulFunc() {
    char name[10];
    //…
    return 0;

}

图 1. 溢出前的函数栈
溢出前的函数栈
图 2. 溢出后的函数栈
溢出后的函数栈


如果能在运行时检测出这种破坏,就有可能对函数栈进行保护。目前的堆栈保护实现大多使用基于 “Canaries” 的探测技术来完成对这种破坏的检测。


GCC 4.9 中三个与堆栈保护有关的编译选项
-fstack-protector:
启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码。
-fstack-protector-all:
启用堆栈保护,为所有函数插入保护代码。
-fno-stack-protector:
禁用堆栈保护。

jerry_ms
关注
GCC:堆栈溢出保护
风静如云的博客
07-13 5080
因此在开发阶段最好使用-fstack-protector-all编译选项已便于早期捕捉到堆栈溢出问题。-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char。-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。-fstack-protector-strong:提供更广泛的堆栈保护。-fno-stack-protector:禁用堆栈保护。已放弃 (核心已转储)的函数插入保护代码。
【ARM Linux 系统稳定性分析入门及渐进 3 -- 栈溢出
CodingCos的博客
12-01 1865
是一块分配在栈之下的一块内存空间(假设栈stack是向下生长的),如图 2 所示,这样当栈 stack下溢时,就能在保护区留下痕迹 trace。,当子函数调用过程中,并不会去改变这些值的时候,就不需要压栈,说白了,压栈的目的就是为了在使用完的时候能恢复原来的状态。每个进程都会有自己的栈空间,而进程中的各个函数也会维护自己本身的一个栈的区域,这个区域就是。一般栈向下生长,即从高地址到低地址,如果栈空间不足,发生下溢,则栈之下的内存空间被写入。把栈空间填充成固定的值可以检测栈空间的下溢,如在程序开始前填充。
linux内核堆栈保护浅析
whuzm08的专栏
05-25 9972
一 启用方式 打开配置CONFIG_CC_STACKPROTECTOR,重新编译内核即可。 二 工作原理 搜索配置CONFIG_CC_STACKPROTECTOR产生的影响,可得到如下结果: 1.include/linux/stackprotector.h #ifdef CONFIG_CC_STACKPROTECTOR # include #else static inl
2024年Linux最新Linux内核 防御机制分析_内核保护机制(1),15个经典面试问题
2401_83947398的博客
05-09 784
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux关闭栈保护机制,禁用GCC中的堆栈保护不起作用
weixin_42129970的博客
05-14 1947
我正在尝试使用带有strcpy的经典溢出使用此函数重新创建堆栈缓冲区溢出:#include #include void main(int argc, char **argv) {char buf[100];strcpy(buf,argv[1]);printf("Done!\n");}我已经尝试使用所有各种标志进行编译,以便删除堆栈保护gcc -o vuln vuln.c -fno-stack-pr...
linux编译选项-fno-stack-protector/-m32
公众号shadow sock7
07-11 7035
#默认的编译选项 cqq@kali:~/CTF$ gcc vuln.c -o vuln1 # -fno-stack-protector 禁用保护措施 cqq@kali:~/CTF$ gcc vuln.c -o vuln2 -fno-stack-protector # -m32 表示在64位系统下编译32位的二进制文件,需要额外的库支持 cqq@kali:~/CTF$ gcc vuln.c -o ...
Linux日志保护机制,解读Linux安全机制之栈溢出保护
weixin_42407606的博客
05-06 1390
解读Linux安全机制之栈溢出保护0x00 概述栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护...
栈溢出攻击原理与防范
weixin_73512511的博客
07-25 1176
函数调用栈(Call Stack)是一种数据结构,用于管理程序中的函数调用。在调用函数时,计算机需要一种方式来跟踪函数的执行位置,以便函数执行完毕后能够返回到调用它的位置继续执行。函数调用栈就是用来实现这一目的的。返回地址:调用函数后的下一条指令的地址。局部变量:被调用函数中声明的局部变量。传递参数:从调用函数传递给被调用函数的参数。保存的寄存器值:某些寄存器的值,因为在函数执行过程中可能会被修改,所以在进入函数时需要先保存起来,以便在函数返回时能够恢复。每次函数调用都会在栈上创建一个。
FreeRTOS——栈溢出保护
weixin_44567318的博客
07-28 4020
FreeRTOS——堆栈溢出保护堆栈使用堆栈溢出检测 - 方法 1 堆栈使用 每个任务都维护自己的堆栈。如果使用xTaskCreate()创建任务,则用作任务堆栈的内存会从 FreeRTOS 堆自动分配 ,并通过传递给 xTaskCreate() API 函数的参数来确定大小。如果使用xTaskCreateStatic()创建任务,则用作任务堆栈的内存由应用程序设计者预先分配。堆栈溢出是应用程序不稳定的一个非常常见的原因。因此,FreeRTOS 提供了两种可选机制,可用于协助检测和纠正此类事件。使用的选项由
gcc-stack-protector机制
热门推荐
飞翔de刺猬
04-16 1万+
GCC “stack smashing detected”机制相信使用C/C++语言开发软件的程序猿们都经历过‘栈溢出’的问题。‘栈溢出’问题通常十分的隐蔽,有的时候问题复现也十分的困难。每当软件出现莫名其妙的问题时,总是有人怀疑是不是栈溢出了,但是问题的排查又十分的困难,所以,‘栈溢出’就是广大C/C++开发者的噩梦。大家不禁要问有没有通用的方法来避免或者来检测’栈溢出‘问题呢?其实,’栈溢出‘问
gcc选项-stack-protector栈保护机制
qq_41573572的博客
03-20 3134
`stack-protector`是一个安全相关的编译器选项,用于防止栈溢出攻击。当启用这个选项时,编译器会在函数的栈帧中插入一个称为"canary"的特殊值,并在函数返回之前检查这个值是否被篡改。如果"canary"值发生变化,这意味着栈被非法修改,编译器会触发一个信号(通常是`SIGABRT`),导致程序异常终止。这样可以防止攻击者通过栈溢出来执行任意代码。
内核态栈 && 用户态栈
lyndon
04-26 1914
“用户态栈”只用于程序的函数调用,不参与进程切换或从用户态切换到内核态的相关操作。在进行进程切换或从用户态切换到内核态时,操作系统会使用“内核态栈”来存储关键的状态信息和寄存器值。
关于GCC的stack-protector选项
TCP/IP
06-02 6823
初看起来,觉得GCC的-fstack-protector选项并不是很好用,它对栈帧的保护程度非常有限! 该选项只能发现 guard被冲刷掉的情况 。面对精准的返回地址替换,guard变量是无能为力的,比如下面: #include <stdio.h> #include <stdlib.h> unsigned long orig; void stub_func() { u...
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3452
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1824
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
内核stack_protector导致异常崩溃
wxywxywxy110的博客
11-06 1123
##问题描述: DMA写完数据后,产生DMA中断,中断中wake_up_interruptible唤醒等待队列(wait_event_interruptible_timeout),唤醒后,中断上下文程序会先执行,但偶尔唤醒的进程上下文会先于中断上下文执行。某次wake_up_interruptible唤醒等待队列后导致内核崩溃。崩溃堆栈打印pc是在__wake_up_common_lock,大致如下: Unable to handle kernel NULL pointer dereference at v
Linux缓冲区保护机制
山高路远
04-10 3760
前言 为了更好地对缓冲区进行利用,十分有必要了解一下checksec所检查出的漏洞缓解措施都意味着什么 如图上所示,RELRO、Stack、NX、PIE四种保护机制,下方介绍时,括号里的是在Windows系统中的名称 以下主要来源于《从0到1CTFer成长之路》 一、NX(DEP) NX即是No-execute,不可执行。原理是通过现代操作系统的内存保护单元机制(MPU)对程序内存按页的粒度进行权限设置,其基本规则为可写权限与可执行权限互斥。因此开启了NX的程序代表着堆栈上写入的代码数据将不可被执行,也就
CC_STACKPROTECTOR防内核堆栈溢出补丁分析【转】
weixin_34416754的博客
12-23 306
转自:https://yq.aliyun.com/articles/1723 摘要: 作者:王智通   CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启... 作者:王智通   ...
ctf栈溢出
最新发布
03-29
<think>嗯,用户想了解CTF比赛中栈溢出的攻击方式和防御方法。首先,我得回忆一下栈溢出的基本原理。栈溢出通常发生在程序没有正确检查输入数据长度时,攻击者通过覆盖返回地址来控制程序流程。常见的攻击方式有覆盖返回地址、ROP链、ret2libc、canary绕过等。防御方法包括栈保护机制如Canary、DEP/NX、ASLR,以及代码层面的安全措施如安全函数和静态分析工具。 然后需要结合用户提供的引用内容。引用2提到了栈溢出和ROP,引用3讨论了ret2libc技术,这些都是攻击方法。防御方面,引用3也提到了防御机制如ASLR和DEP。需要将这些引用内容自然地融入到回答中,并在适当的位置添加引用标识。 接下来要考虑如何组织内容。先介绍栈溢出攻击的基本原理,再分点列出常见攻击方式,每个方式配合例子或代码片段。然后讨论防御方法,对应每个攻击手段给出防护措施。最后生成相关问题,引导用户进一步学习。 需要注意的是,用户希望回答结构清晰,逐步解决问题,并且保证真实可靠。因此,每个攻击和防御方法都需要准确,必要时给出代码示例,比如展示如何覆盖返回地址的Python脚本,或者ROP链的汇编示例。同时,确保使用正确的中文术语,避免翻译错误。 可能还需要检查是否有遗漏的攻击或防御技术。比如,除了提到的ROP和ret2libc,还有整数溢出、格式化字符串漏洞等,但用户问题聚焦栈溢出,所以应集中在相关部分。防御方面,除了Canary、DEP、ASLR,还有编译器选项如-fstack-protector,代码审计等。 最后生成相关问题时要围绕栈溢出的扩展内容,比如ROP的原理,如何绕过ASLR,不同保护机制的工作原理等。确保问题与主题相关,帮助用户深入理解。</think>### CTF栈溢出攻击与防御技巧 栈溢出是CTF Pwn类题目中最经典的漏洞类型,攻击者通过覆盖栈上的关键数据实现控制流劫持。以下是其核心原理及攻防要点: --- #### 一、栈溢出攻击原理 当程序未对输入数据长度做严格校验时,超出缓冲区大小的数据会覆盖栈中的其他数据,包括: - 函数返回地址(控制程序执行流) - 栈帧基指针(EBP) - 函数局部变量 - 栈保护机制(如Canary) 典型攻击场景: $$ \text{缓冲区大小} < \text{输入数据长度} \Rightarrow \text{栈空间被覆盖} $$ --- #### 二、常见攻击方式 1. **覆盖返回地址** - 原理:覆盖函数返回地址为攻击者指定的地址 - 示例代码: ```python payload = b'A'*offset + p32(target_address) # offset为到返回地址的偏移量 ``` 2. **ROP(Return-Oriented Programming)** - 原理:利用程序已有的代码片段(gadgets)构造攻击链[^2] - 示例: ```assembly pop eax; ret # 控制寄存器值 mov [ebx], eax; ret # 写入内存 ``` 3. **ret2libc** - 绕过NX保护:调用libc库函数(如system("/bin/sh"))[^3] - 关键步骤: ```python system_addr = leak_libc_address() # 泄漏libc地址 binsh_addr = find_binsh() # 查找"/bin/sh"字符串地址 ``` 4. **Canary绕过** - 方法:泄漏Canary值、覆盖特定字节、触发异常处理 --- #### 三、防御技术 1. **栈保护机制** - **Canary**:在栈帧间插入随机值,验证完整性 ```bash gcc -fstack-protector-all -o program program.c # 开启栈保护 ``` - **DEP/NX**:阻止栈空间执行代码 - **ASLR**:随机化内存地址布局(需配合PIE) 2. **代码层防护** - 使用安全函数(如`snprintf`代替`sprintf`) - 严格校验输入长度 - 静态代码分析工具(如Coverity、CodeQL) 3. **运行环境加固** - SELinux/AppArmor限制进程权限 - 内核保护机制(如SMEP/SMAP) --- #### 四、CTF实战技巧 1. **信息泄露**:通过格式化字符串漏洞泄漏Canary或libc地址 2. **偏移计算**:使用cyclic模式确定覆盖偏移量 3. **工具辅助**: - `pwntools`构造payload - `ROPgadget`搜索可用gadgets - `checksec`检查程序保护机制 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值