4.12 利用 __stack_chk_fail
回顾 canary
在章节 4.4 中我们已经知道了有一种叫做 canary 的漏洞缓解机制,用来判断是否发生了栈溢出。
这一节我们来看一下,在开启了 canary 的程序上,怎样利用 __stack_chk_fail 泄漏信息。
一个例子:
#include <stdio.h>
void main(int argc, char **argv) {
printf("argv[0]: %s\n", argv[0]);
char buf[10];
scanf("%s", buf);
// argv[0] = "Hello World!";
}我们先注释掉最后一行:
可以看到默认情况下 argv[0] 是指向程序路径及名称的指针,然后错误信息中打印出了这个字符串。
然后解掉注释再来看一看:
由于程序中我们修改 argv[0],此时错误信息就打印出了 Hello World!。是不是很神奇。
main 函数的反汇编结果如下:
所以当 canary 检查失败的时候,即产生栈溢出,覆盖掉了原来的 canary 的时候,函数不能正常返回,而是执行 __stack_chk_fail() 函数,打印出 argv[0] 指向的字符串。
libc 2.23
Ubuntu 16.04 使用的是 libc-2.23,其 __stack_chk_fail() 函数如下:
调用函数 __fortify_fail():
__fortify_fail() 调用函数 __libc_message() 打印出错误信息和 argv[0]。
还有一个错误信息输出到哪儿的问题,再看一下 __libc_message():
环境变量 LIBC_FATAL_STDERR_ 通过函数 __libc_secure_getenv 来读取,如果该变量没有被设置或者为空,即 \0 或 NULL,错误信息 stderr 会被重定向到 _PATH_TTY,该值通常是 /dev/tty,因此会直接在当前终端打印出来,而不是传到 stderr。
CTF 实例
CTF 中就有这样一种题目,需要我们把 argv[0] 覆盖为 flag 的地址,并利用 __stack_chk_fail() 把flag 给打印出来。
实例可以查看章节 6.1.13 和 6.1.14。
libc 2.25
最后我们来看一下 libc-2.25 里的 __stack_chk_fail:
它使用了新函数 __fortify_fail_abort(),这个函数是在 BZ #12189 这次提交中新增的:
函数 __fortify_fail_abort() 在第一个参数为 false 时不再进行栈回溯,直接以打印出字符串 <unknown> 结束,也就没有办法输出 argv[0] 了。
就像下面这样:
参考资料
Last updated
Was this helpful?