理解stack_chk_guard

Posted on 2022-03-07 by zzidun

Tags:

栈溢出攻击

如果了解riscv的函数调用,会知道这样一件事:

进入一个函数之后,程序会把返回地址和原本的s0寄存器的值,存到栈的开头.

就像这样

地址 内容
[sp+24, sp+32) 返回地址寄存器ra的值
[sp+16, sp+24) 进入函数之前,寄存器s0的值
[sp,sp+16) 其他内容

着看起来没啥毛病,但是黑客不这么认为.

如果这个函数有一个读取输入的语句,并且可以输入很长的内容.

比如你让用户输入一个字符串,并存到栈上,但是没有对字符串的长度做限制.

那么输入的字符串就会把栈前面的数据也覆盖掉.

这时候攻击者可以输入一个超长的字符串,覆盖掉栈上记录的返回地址.

从而使函数返回时,跳转到攻击者想要的位置.

__stack_chk_guard的用处

如果我们在一个函数获取输入,并且存到一个局部变量中.

那么编译器除了会生成功能相关的代码之外,还会一些额外的代码,对一个叫做__stack_chk_guard的符号进行操作.

例如以下代码

#include <stdio.h>

int main()
{
    int a = 0;
    scanf("%d", &a);
    return 0;
}

如果我们使用riscv64-linux-gnu-g++编译,会产生以下汇编代码(节选)

main:
	addi	sp,sp,-32 # 栈顶指针-32
	sd	ra,24(sp) # ra存到sp+24
	sd	s0,16(sp) # s0存到sp+16
	addi	s0,sp,32 # 计算新的栈底地址,s0=sp+32
	la	a5,__stack_chk_guard # 加载__stack_chk_guard的地址到寄存器a5
	ld	a5,0(a5) # 加载寄存器a5中所存的地址指向的内容到寄存器a5
	sd	a5,-24(s0) # 把寄存器a5中的内容存到s0-24(也就是sp+8)
	sw	zero,-28(s0) # 下面是输入的操作,不再多说
	addi	a5,s0,-28
	mv	a1,a5
	lla	a0,.LC0
	call	__isoc99_scanf@plt
	li	a5,0 # 把返回值传到寄存器a3中
	mv	a3,a5
	la	a5,__stack_chk_guard # 再次加载__stack_chk_guard的地址到寄存器a5
	ld	a4,-24(s0) # 把之前存到sp+8的内容拿出来,放到寄存器a4
	ld	a5,0(a5) # 加载寄存器a5中所存的地址指向的内容到寄存器a5
	beq	a4,a5,.L3 # 对比寄存器a4,a5的内容,如果相同就跳转到.L3
	call	__stack_chk_fail@plt # 否则报错
.L3
	mv	a0,a3 # 返回值传到寄存器a0
	ld	ra,24(sp) # 取出之前的ra
	ld	s0,16(sp) # 取出之前的s0
	addi	sp,sp,32 # sp恢复到-32前
	jr	ra # 跳转到返回地址ra

很显然,这个栈的布局是这样的

地址 内容
[sp+24, sp+32) 返回地址寄存器ra的值
[sp+16, sp+24) 进入函数之前,寄存器s0的值
[sp+8,sp+16) __stack_chk_guard
[sp+4,sp+8) 栈上定义的变量

另外多出一点,因为需要对齐.

我们在进入函数之前把一个数值__stack_chk_guard存到了栈上定义的变量之前.

在返回前,又把之前存的数值拿出来,和原本的__stack_chk_guard进行对比.

如果没有发生变化,就说明输入的时候没有没有影响到sp+8之前的值.

因为输入操作的影响通常是连续的,我们可以认为只要sp+8没有变化,前面的值就没有被影响.

因为__stack_chk_guard是一个随机值,攻击者应该无法将一模一样的值写回去.

这时候可以认为返回地址是安全的.