其他
黑客攻防:缓冲区溢出攻击与堆栈保护
The following article is from 码农的荒岛求生 Author 陆小风
来源丨经授权转自 码农的荒岛求生(ID:escape-it)
作者丨陆小风
#include <stdio.h>
#include <stdlib.h>
void funcC() {
printf("jump to funcC !!!\n") ;
exit(-1) ;
}
void funcB() {
long *p = NULL ;
p = (long*)&p ;
*(p+2) = (long)funcC ;
}
void funcA() {
funcB();
}
int main() {
funcA() ;
return 0 ;
}
00000000004005ee <funcB>:
4005ee: 55 push %rbp
4005ef: 48 89 e5 mov %rsp,%rbp
4005f2: 48 83 ec 10 sub $0x10,%rsp
4005f6: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
4005fd: 00 00
4005ff: 48 89 45 f8 mov %rax,-0x8(%rbp)
400603: 31 c0 xor %eax,%eax
400605: 48 c7 45 f0 00 00 00 movq $0x0,-0x10(%rbp)
40060c: 00
40060d: 48 8d 45 f0 lea -0x10(%rbp),%rax
400611: 48 89 45 f0 mov %rax,-0x10(%rbp)
400615: 48 8b 45 f0 mov -0x10(%rbp),%rax
400619: 48 83 c0 10 add $0x10,%rax
40061d: ba d6 05 40 00 mov $0x4005d6,%edx
400622: 48 89 10 mov %rdx,(%rax)
400625: 90 nop
400626: 48 8b 45 f8 mov -0x8(%rbp),%rax
40062a: 64 48 33 04 25 28 00 xor %fs:0x28,%rax
400631: 00 00
400633: 74 05 je 40063a <funcB+0x4c>
400635: e8 66 fe ff ff callq 4004a0 <__stack_chk_fail@plt>
40063a: c9 leaveq
40063b: c3 retq
mov %fs:0x28,%rax
mov %rax,-0x8(%rbp)
mov -0x8(%rbp),%rax
xor %fs:0x28,%rax
答案是肯定的,这种方法要追溯到很久很久以前。在上世纪初,煤矿开采是一项很危险的工作,因为煤矿中的有毒气体通常极难被人类察觉,这给矿工的生命带来很大的威胁,而金丝雀对毒气非常敏感,这样矿工可以利用金丝雀来监控矿区,从而提早发现险情。
而金丝雀也就是fs:[0x28]是随机产生的(每次程序运行时都不一样),因此攻击者很难提前知道该值是多少。当然我们也可以看到,添加堆栈保护功能需要增加额外的机器指令,这些也会稍稍对性能产生影响,代价就是需要额外多执行一部分机器指令。这就是编译器的堆栈保护功能,当然这个功能也是可以去掉的,编译时添加-fno-stack-protector编译选项(在这里感谢小风哥微信技术群里同学的提示),这样即可关闭堆栈保护功能,生成的代码就可以复现上一篇文章《进程切换的本质是什么?》中提到的效果了。怎么样,想成为黑客还是没那么容易吧,就好比只有真正理解法律才能钻空子一样,只有真正理解计算机的工作原理才能hack它,当然,想成为顶尖黑客只有对计算机的理解还不够,你还需要有想象力。
点分享
点点赞
点在看