从汇编层看64位程序运行——栈保护

大纲

• 栈保护
• 延伸阅读
• 参考资料

在《从汇编层看64位程序运行——ROP攻击以控制程序执行流程》中，我们看到可以通过“微操”栈空间控制程序执行流程。现实中，黑客一般会利用栈溢出改写Next RIP地址，这就会修改连续的栈空间。而编译器针对这种场景，设计了“栈保护”机制。

栈保护

比如下面的代码，buffer[8] = 'b’这句会导致栈溢出。

int main() {
    char buffer[8] = {0};
    buffer[0] = 'a';
    buffer[1] = buffer[0] + 1;
    buffer[8] = 'b';
    return 0;
}

如果我们采用“栈保护”机制编译，即增加-fstack-protector-strong（或者-fstack-protector、-fstack-protector-all等）编译选项。

# makefile
# 定义编译器
CC := gcc

# 定义编译选项
CFLAGS := -Wall -Werror -O0 -fstack-protector-strong

# 定义目标目录
OBJDIR := build
BINDIR := bin

# 定义源文件和目标文件
SRCS := $(wildcard src/*.c)
OBJS := $(patsubst src/%.c,$(OBJDIR)/%.o,$(SRCS))

# 获取当前工作目录名，即工程目录名
PROJECT_DIR_NAME := $(notdir $(shell pwd))

# 最终目标：编译所有文件并生成可执行文件
$(BINDIR)/$(PROJECT_DIR_NAME): $(BINDIR) $(OBJS)
	$(CC) $(CFLAGS) $(OBJS) -o $@

# 通用规则：如何从每个.c文件生成.o文件
$(OBJDIR)/%.o: src/%.c $(OBJDIR)
	$(CC) $(CFLAGS) -c $< -o $@

# 规则：创建build目录
$(OBJDIR):
	mkdir -p $(OBJDIR)

# 规则：创建bin目录
$(BINDIR):
	mkdir -p $(BINDIR)

# 伪目标：清理项目
.PHONY: clean
clean:
	rm -rf $(OBJDIR) $(BINDIR)

# 伪目标：打印变量（用于调试）
.PHONY: print
print:
	@echo "SRCS = $(SRCS)"
	@echo "OBJS = $(OBJS)"
	@echo "PROJECT_DIR_NAME = $(PROJECT_DIR_NAME)"

则程序在运行时，会报出栈移除提示。

那编译器如何做到“栈保护”的呢？

也许听着挺高大上，但是代码面前了无秘密，其原理也非常的简单。

我们看下这段代码的汇编

+12和+21这两行，汇编将段寄存器fs偏移+0x28的值保存到main函数栈帧的第一个局部变量位置（-0x8(%rbp)）。这个局部变量是一个隐藏变量，后续没有代码对其进行改动。

+58和+62这两行，将检测第一个局部变量的值和寄存器fs偏移+0x28的值是否一致。如果一致就说明没问题，如果不一致就说明栈被污染了。

延伸阅读

那么段寄存器fs偏移+0x28是什么值？它为什么会在函数调用期间值不变？

这是因为fs断寄存器保存的是当前线程的TLS（Thread Local Storage），这样这个函数在线程上调度时，并不会被其他线程影响这段空间值。

但是GDB却无法打印出FS段地址，这个需要我们对代码进行改造，引入自定义的fs_base方法

#include <asm/prctl.h>
#include <sys/syscall.h>
#include <unistd.h>
#include <stdint.h>

uint64_t fs_base() {
    uint64_t fs_base;
    long result = syscall(SYS_arch_prctl,ARCH_GET_FS,&fs_base);
    if (result == -1) {
        return 0;
    }
    return fs_base;
}

uint64_t gs_base() {
    uint64_t gs_base;
    long result = syscall(SYS_arch_prctl,ARCH_GET_GS,&gs_base);
    if (result == -1) {
        return 0;
    }
    return gs_base;
}

int main() {
    char buffer[8] = {0};
    buffer[0] = 'a';
    buffer[1] = buffer[0] + 1;
    buffer[8] = 'b';
    return 0;
}

然后我们调试这段代码，可以看到被赋值到rax寄存器中的，%fs:0x28指向的值是0x6ac935d29472ff00。

而fs段地址通过gdb看不到

我们在gdb中使用下面指令来查看fs段地址

 p/x (uint64_t) fs_base()

然后查看偏移0x28的空间中的值，可以发现这个值和上面被赋值到rax寄存器中的值一致。

那我们如何确定它是TLS中的地址呢？

我们可以通过下面指令查看TLS的起始地址

p (void*) pthread_self()

我们会发现这个地址和我们通过fs_base获得的地址是一样的。

参考资料

• https://stackoverflow.com/questions/23095665/using-gdb-to-read-msrs