linux内核堆栈保护浅析

最新推荐文章于 2024-05-09 04:45:51 发布
最新推荐文章于 2024-05-09 04:45:51 发布
阅读量9.8k 收藏 5
点赞数 1
分类专栏: 安全 文章标签: 内核 gcc 安全 堆栈保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/whuzm08/article/details/72731191
版权

一 启用方式

打开配置CONFIG_CC_STACKPROTECTOR,重新编译内核即可。


二 工作原理

搜索配置CONFIG_CC_STACKPROTECTOR产生的影响,可得到如下结果:

1.include/linux/stackprotector.h

#ifdef CONFIG_CC_STACKPROTECTOR
# include <asm/stackprotector.h>
#else
static inline void boot_init_stack_canary(void)
{
}
#endif

其中asm/stackprotector.h文件内容:

extern unsigned long __stack_chk_guard;


/*
 * Initialize the stackprotector canary value.
 *
 * NOTE: this must only be called from functions that never return,
 * and it must always be inlined.
 */
static __always_inline void boot_init_stack_canary(void)
{
unsigned long canary;


/* Try to get a semi random initial value. */
get_random_bytes(&canary, sizeof(canary));
canary ^= LINUX_VERSION_CODE;


current->stack_canary = canary;
__stack_chk_guard = current->stack_canary;
}


2.kernel/fork.c

#ifdef CONFIG_CC_STACKPROTECTOR
tsk->stack_canary = pax_get_random_long();
#endif


3.kernel/panic.c

#ifdef CONFIG_CC_STACKPROTECTOR

/*
 * Called when gcc's -fstack-protector feature is used, and
 * gcc detects corruption of the on-stack canary value
 */
void __stack_chk_fail(void)
{
dump_stack();
panic("stack-protector: Kernel stack is corrupted in: %pA\n",
__builtin_return_address(0));
}
EXPORT_SYMBOL(__stack_chk_fail);
#endif


4.arch/mips/kernel/process.c

#ifdef CONFIG_CC_STACKPROTECTOR
#include <linux/stackprotector.h>
unsigned long __stack_chk_guard __read_mostly;
EXPORT_SYMBOL(__stack_chk_guard);
#endif


5.include/linux/sched.h

struct task_struct {

......

#ifdef CONFIG_CC_STACKPROTECTOR
/* Canary value for the -fstack-protector gcc feature */
unsigned long stack_canary;
#endif

....

}

6.arch/mips/kernel/r4k_switch.s

LEAF(resume)

....

#if defined(CONFIG_CC_STACKPROTECTOR) && !defined(CONFIG_SMP)
PTR_LA t8, __stack_chk_guard
LONG_L t9, TASK_STACK_CANARY(a1)
LONG_S t9, 0(t8)
#endif


7.arch/mips/makefile

ifdef CONFIG_CC_STACKPROTECTOR
  KBUILD_CFLAGS += -fstack-protector
endif

这些搜索结果可以总结为:定义并设置了变量__stack_chk_guard,定义了函数__stack_chk_fail(),但是发现__stack_chk_guard设置后并没有使用,函数__stack_chk_fail()也没有被调用,顿时线索断了。

但是他们既然被定义了,就一定会被使用到,并且内核不会依赖于其他的库文件,于是打算从obj文件下手,随便找了个init/mounts.o,查看了下重定位表,如下所示:

RELOCATION RECORDS FOR [.init.text]:
OFFSET   TYPE              VALUE 

.......

00000120 R_MIPS_HI16       __stack_chk_guard
00000124 R_MIPS_LO16       __stack_chk_guard

........

00000344 R_MIPS_HI16       __stack_chk_guard
0000034c R_MIPS_LO16       __stack_chk_guard
00000358 R_MIPS_26         __stack_chk_fail
00000388 R_MIPS_HI16       __stack_chk_guard
00000390 R_MIPS_LO16       __stack_chk_guard

从重定位表看__stack_chk_fail和__stack_chk_guard确实是使用到了,查看对应的反汇编结果:

Disassembly of section .init.text

.........

00000120 <mount_block_root>:
     120:       3c020000        lui     v0,0x0
     124:       8c420000        lw      v0,0(v0)
     128:       27bdff98        addiu   sp,sp,-104
     12c:       afa2003c        sw      v0,60(sp)
     130:       3c020000        lui     v0,0x0
     134:       afb70060        sw      s7,96(sp)
     138:       0080b821        move    s7,a0
     13c:       8c440000        lw      a0,0(v0)
     140:       afb2004c        sw      s2,76(sp)

..........

     33c:       0c000000        jal     0 <readonly>
     340:       02002821        move    a1,s0
     344:       3c020000        lui     v0,0x0
     348:       8fa3003c        lw      v1,60(sp)
     34c:       8c420000        lw      v0,0(v0)
     350:       10620003        beq     v1,v0,360 <mount_block_root+0x240>
     354:       8fbf0064        lw      ra,100(sp)
     358:       0c000000        jal     0 <readonly>
     35c:       00000000        nop
     360:       8fb70060        lw      s7,96(sp)
     364:       8fb6005c        lw      s6,92(sp)
     368:       8fb50058        lw      s5,88(sp)
     36c:       8fb40054        lw      s4,84(sp)

打开init/mounts.c文件,找到mount_block_root()函数,发现并没有调用__stack_chk_fail和__stack_chk_guard,顿时就明白了,这个应该跟上面的搜索结果7,编译选项-fstack-protector相关,通过对比着看汇编代码,在函数入口:

     120:       3c020000        lui     v0,0x0
     124:       8c420000        lw      v0,0(v0)
     128:       27bdff98        addiu   sp,sp,-104
     12c:       afa2003c        sw      v0,60(sp)

将__stack_chk_guard的值存入栈顶,然后在函数返回之前:

     344:       3c020000        lui     v0,0x0
     348:       8fa3003c        lw      v1,60(sp)
     34c:       8c420000        lw      v0,0(v0)
     350:       10620003        beq     v1,v0,360 <mount_block_root+0x240>

取出保存在当前栈顶的值与__stack_chk_guard进行比较,如果相等,则跳转到360,顺利返回,否则继续顺序执行:

     354:       8fbf0064        lw      ra,100(sp)
     358:       0c000000        jal     0 <readonly>

通过上面查看到的重定位表,00000358 R_MIPS_26         __stack_chk_fail ,调用到的就是__stack_chk_fail ()这个函数,至此,整个过程应该非常明了了,编译选项-fstack-protector在函数编译时插入一些代码,函数入口在栈顶存储__stack_chk_guard的值,在函数返回之前取出存放在栈顶的值和__stack_chk_guard进行比较,如果内存溢出修改了这个存放的值,则比较的结果不相等,调用__stack_chk_fail,对于内核__stack_chk_fail()函数直接宕机。


三 补充说明

通过上面的推断,发现比较关键的是__stack_chk_guard这个值的安全性,这个值是在内核启动的时候,调用boot_init_stack_canary()函数随机生成的,所以理论上来说这个值是不可猜测的。另外每个进程都对应一个不同的值:tsk->stack_canary = pax_get_random_long();这样进一步增加了安全性,在每次进程切换时设置将要运行的进程的stack_canary到__stack_chk_guard,但是对于多核处理器,由于__stack_chk_guard只存了一份,并不是per cpu变量,所以__stack_chk_guard的值并不会在进程切换时改变,因为假设某个cpu核发生进程切换,重新设置改变了__stack_chk_guard的值,则此时正在内核中运行的其他cpu核可能在函数返回时检查不过二导致系统宕机。至于__stack_chk_guard为啥不搞成per cpu变量,这个就很好理解了,因为gcc只会引用__stack_chk_guard这个变量。

IDA 逆向代码 --- _stack_chk_guard变量 之后的局部 怎么处理
生命不息 折腾不止
03-25 2340
场景:IDA逆向代码的时候,看到反编译出来的有边界检测,一般使用最后一个四字节局部变量A做边界检测,但B也有些情况下,这个边界后面还会定义一个局部变量B,根据反编译出来的代码,可以看出这个 B 没有什么实际的意义,代码使用它的地址来进行偏移访问前面的局部变量。 char s_reqcomand[100]; // [sp+14h] [bp-ECh]@1 unsigned __int8 v...
值得一看的linux内核分析之fork()
m0_74282605的博客
12-16 606
从用户空间调用fork()函数到执行系统调用产生软件中断陷入内核空间,在内核空间执行do_fork()函数,主要是复制父进程的页表、内核栈等,如果要执行子进程代码还要调用exac()函数拷贝硬盘上的代码到位内存上,由于刚创建的子进程没有申请内存,目前和父进程共用父进程的代码段、数据段等,没有存放子进程自己代码段数据段的内存,此时会产生一个缺页异常,为子进程申请内存,同时定制自己的全局描述GDT、局部描述符LDT、任务状态描述符TSS,下面从代码中分析这个过程然后在回答上面为什么“+”是8次,“-”6次。
检测内核堆栈溢出
云行雨施 品物流形
12-23 2307
转载自:http://www.alivepea.me/kernel/kernel-overflow/ 内核堆栈溢出通常有两种情况。一种是函数调用栈超出了内核栈THREAD_SIZE的大小,这是栈底越界,另一种是栈上缓冲越界访问,这是栈顶越界。 检测栈底越界 以arm平台为例,内核栈THREAD_SIZE为8K,当调用栈层次过多或某调用栈上分配过大的空间,就会导致它越界。越界后stru
检测内核堆栈溢出【转】
weixin_34319374的博客
03-14 857
转自:http://bbs.chinaunix.net/thread-4117342-1-1.html 检测内核堆栈溢出 http://www.alivepea.me/kernel/kernel-overflow/ “如果建筑工人盖房子的方式跟程序员写程序一样,那第一只飞来的啄木鸟就将毁掉人 类文明。” – Gerald Weinberg 内核堆栈溢出通常有两种情况。一种是函数调...
内核栈溢出保护
u014089131的博客
04-28 5589
linux内核中有个编译选项CC_STACKPROTECTOR用来开启GCCstack-protector功能, 这个功能是在GCC4.1版本中引入,用来检测栈是否遭到溢出攻击。 目前我们用的版本中开启了这两个选项CONFIG_CC_STACKPROTECTOR、CONFIG_CC_STACKPROTECTOR_REGULAR。 编译器栈溢出保护原理: 函数栈存储结构,从
2024年Linux最新Linux内核 防御机制分析_内核保护机制(1),15个经典面试问题
最新发布
2401_83947398的博客
05-09 769
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux编译x86架构内核出现_stack_chk_guard未定义错误
yanxiangyfg的专栏
07-18 7158
背景android模拟器运行于virtualbox中,而virtualbox运行于x86架构的pc端,所以android及其Linux内核都编译成x86架构。当virtualbox的vt未开启的情况下android系统会出现各种问题,如arm库游戏不能运行,桌面平凡挂死重启。通过查看日志,都奔溃在了#00 pc 000183c6 /system/lib/libc.so (__get_thread
去除__stack_chk_guard
狂奔的鸡骨架的博客
05-18 2138
-fno-stack-protector
浅析Linux内核 TCP/IP、Socket参数调优
m0_74282605的博客
12-13 2083
IPV4协议栈的sysctl参数主要是sysctl.net.core、sysctl.net.ipv4,对应的/proc文件系统是/proc/sys/net/ipv4和/proc/sys/net/core。page是以页面为单位的,为系统中socket全局分配的内存容量。以上是TCP socket的读写缓冲区的设置,每一项里面都有三个值,第一个值是缓冲区最小值,中间值是缓冲区的默认值,最后一个是缓冲区的最大值,虽然缓冲区的值不受core缓冲区的值的限制,但是缓冲区的最大值仍旧受限于core的最大值。
Linux内核漏洞剖析:权限提升与TCP/IP堆栈安全风险
Linux内核漏洞浅析 Linux作为一款高度稳定且自由开源的操作系统,因其出色的性能和安全性备受青睐。然而,尽管其拥有精简的内核设计、高稳定性、良好的可扩展性以及低硬件要求等优点,但正如任何其他系统一样,...
Linux内核课程学习心得
lxbql121的专栏
05-04 1746
罗晓波 + 原创作品转载请注明出处 + 《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000  不知不觉,八周课程一晃而过,回想起当初选择这门课到学习完最后一个课件,也是一个习惯的养成了,到现在我倒是习惯性地在周五和周日上一下课程主页,不过在这八周的线上课程学习中,我还是有所收获的,下面把我的一点小感想分享一下吧。
全面解析Linux 内核 3.10.x - 内核进程
何文的专栏
12-25 2001
From: 全面解析Linux 内核 3.10.x - 进程管理 三千大世界,五千小世界,却是由生命组成 - XXXX进程类似于人类,它们被产生,有或多或少的有效生命。可以产生一个或者多个子进程,最终都要走向”死亡”。为什么说进程是操作系统的灵魂?因为它之于操作系统就犹如生命对于自然,犹如人之于家。一、透过现象看本质从用户程序的角度看,进程就是一次运行活动,是程序的执行实体! 从内核的角度看,进程
填坑记录4-编译ffpmg出现`__stack_chk_guard' can not be used when making a shared object; recompile with -fPIC
zk_ken的博客
10-24 978
出现如下错误: 解决办法: 到config.mak文件中在CFLAGS变量中添加-fPIC
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3384
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
linux编译选项-fno-stack-protector/-m32
公众号shadow sock7
07-11 6997
#默认的编译选项 cqq@kali:~/CTF$ gcc vuln.c -o vuln1 # -fno-stack-protector 禁用栈保护措施 cqq@kali:~/CTF$ gcc vuln.c -o vuln2 -fno-stack-protector # -m32 表示在64位系统下编译32位的二进制文件,需要额外的库支持 cqq@kali:~/CTF$ gcc vuln.c -o ...
关于__stack_chk_guard_ptr的理解
u011801482的专栏
02-21 7734
过年前几天公司无事,开始做些无关的事情,比如玩玩游戏,但是我作为程序员,玩游戏的总是想找一些捷径。比如破解下加密方式,发现一些游戏漏洞等等。 如此,便是反编译了游戏的加密SO。用到的工具是IDA 和 Hopper 这俩都行。因为Mac的IDA 不能变成C。 所以用了下Hopper 还挺好用的。 好了,开始说我遇到的问题: 在静态反汇编一个SO的过程中,开头得到这样一段汇编代码: .text
GCC 中的编译器堆栈保护技术
linux58的专栏
07-27 377
https://www.ibm.com/developerworks/cn/linux/l-cn-gccstack/ 以堆栈溢出为代表的缓冲区溢出攻击已经成为一种普遍的安全漏洞和攻击手段。本文首先对编译器层面的堆栈保护技术作简要介绍,然后通过实例来展示 GCC堆栈保护的实现方式和效果。最后介绍一些 GCC 堆栈保护的缺陷和局限。 4 评论 何
内核态栈 && 用户态栈
lyndon
04-26 1821
“用户态栈”只用于程序的函数调用,不参与进程切换或从用户态切换到内核态的相关操作。在进行进程切换或从用户态切换到内核态时,操作系统会使用“内核态栈”来存储关键的状态信息和寄存器值。
strncpy发生stack corruption detected(-fstack-protector)栈溢出
u012906122的专栏
12-20 3422
代码: char line[MAX] = {0}; strncpy(line,pBeginObj,(ptemp - pBeginObj + 1)); log如下: 解释: char *strncpy(char *dest, const char *src, int n) 把src所指向的字符串中以src地址开始的前n个字节复制到dest所指的数组中 0x746d498e86 -...
Linux内核堆栈设计演变
"Linux内核堆栈的实现与变化" Linux内核堆栈是操作系统核心中一个至关重要的组成部分,它用于存储进程执行时的上下文信息,包括函数调用的返回地址、局部变量以及保存的寄存器状态。本文将详细讨论Linux内核堆栈在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值