4.12 利用 __stack_chk_fail

回顾 canary

在章节 4.4 中我们已经知道了有一种叫做 canary 的漏洞缓解机制,用来判断是否发生了栈溢出。

这一节我们来看一下,在开启了 canary 的程序上,怎样利用 __stack_chk_fail 泄漏信息。

一个例子:

  1. #include <stdio.h>
  2. void main(int argc, char **argv) {
  3.     printf("argv[0]: %s\n", argv[0]);
  5.     char buf[10];
  6.     scanf("%s", buf);
  8.     // argv[0] = "Hello World!";
  9. }

我们先注释掉最后一行:

  1. $ gcc chk_fail.c
  2. $ python -c 'print "A"*50' | ./a.out
  3. argv[0]: ./a.out
  4. *** stack smashing detected ***: ./a.out terminated
  5. Aborted (core dumped)

可以看到默认情况下 argv[0] 是指向程序路径及名称的指针,然后错误信息中打印出了这个字符串。

然后解掉注释再来看一看:

  1. $ python -c 'print "A"*50' | ./a.out
  2. argv[0]: ./a.out
  3. *** stack smashing detected ***: Hello World! terminated
  4. Aborted (core dumped)

由于程序中我们修改 argv[0],此时错误信息就打印出了 Hello World!。是不是很神奇。

main 函数的反汇编结果如下:

  1. gef  disassemble main
  2. Dump of assembler code for function main:
  3.    0x00000000004005f6 <+0>:    push   rbp
  4.    0x00000000004005f7 <+1>:    mov    rbp,rsp
  5. => 0x00000000004005fa <+4>:    sub    rsp,0x30
  6.    0x00000000004005fe <+8>:    mov    DWORD PTR [rbp-0x24],edi
  7.    0x0000000000400601 <+11>:    mov    QWORD PTR [rbp-0x30],rsi
  8.    0x0000000000400605 <+15>:    mov    rax,QWORD PTR fs:0x28
  9.    0x000000000040060e <+24>:    mov    QWORD PTR [rbp-0x8],rax
  10.    0x0000000000400612 <+28>:    xor    eax,eax
  11.    0x0000000000400614 <+30>:    mov    rax,QWORD PTR [rbp-0x30]
  12.    0x0000000000400618 <+34>:    mov    rax,QWORD PTR [rax]
  13.    0x000000000040061b <+37>:    mov    rsi,rax
  14.    0x000000000040061e <+40>:    mov    edi,0x4006f4
  15.    0x0000000000400623 <+45>:    mov    eax,0x0
  16.    0x0000000000400628 <+50>:    call   0x4004c0 <printf@plt>
  17.    0x000000000040062d <+55>:    lea    rax,[rbp-0x20]
  18.    0x0000000000400631 <+59>:    mov    rsi,rax
  19.    0x0000000000400634 <+62>:    mov    edi,0x400701
  20.    0x0000000000400639 <+67>:    mov    eax,0x0
  21.    0x000000000040063e <+72>:    call   0x4004e0 <__isoc99_scanf@plt>
  22.    0x0000000000400643 <+77>:    mov    rax,QWORD PTR [rbp-0x30]
  23.    0x0000000000400647 <+81>:    mov    QWORD PTR [rax],0x400704
  24.    0x000000000040064e <+88>:    nop
  25.    0x000000000040064f <+89>:    mov    rax,QWORD PTR [rbp-0x8]
  26.    0x0000000000400653 <+93>:    xor    rax,QWORD PTR fs:0x28    # 检查 canary 是否相同
  27.    0x000000000040065c <+102>:    je     0x400663 <main+109>      # 相同
  28.    0x000000000040065e <+104>:    call   0x4004b0 <__stack_chk_fail@plt>  # 不相同
  29.    0x0000000000400663 <+109>:    leave  
  30.    0x0000000000400664 <+110>:    ret
  31. End of assembler dump.

所以当 canary 检查失败的时候,即产生栈溢出,覆盖掉了原来的 canary 的时候,函数不能正常返回,而是执行 __stack_chk_fail() 函数,打印出 argv[0] 指向的字符串。

libc 2.23

Ubuntu 16.04 使用的是 libc-2.23,其 __stack_chk_fail() 函数如下:

  1. // debug/stack_chk_fail.c
  3. extern char **__libc_argv attribute_hidden;
  5. void
  6. __attribute__ ((noreturn))
  7. __stack_chk_fail (void)
  8. {
  9.   __fortify_fail ("stack smashing detected");
  10. }

调用函数 __fortify_fail()

  1. // debug/fortify_fail.c
  3. extern char **__libc_argv attribute_hidden;
  5. void
  6. __attribute__ ((noreturn)) internal_function
  7. __fortify_fail (const char *msg)
  8. {
  9.   /* The loop is added only to keep gcc happy.  */
  10.   while (1)
  11.     __libc_message (2, "*** %s ***: %s terminated\n",
  12.                     msg, __libc_argv[0] ?: "<unknown>");
  13. }
  14. libc_hidden_def (__fortify_fail)

__fortify_fail() 调用函数 __libc_message() 打印出错误信息和 argv[0]

还有一个错误信息输出到哪儿的问题,再看一下 __libc_message()

  1. // sysdeps/posix/libc_fatal.c
  3. /* Abort with an error message.  */
  4. void
  5. __libc_message (int do_abort, const char *fmt, ...)
  6. {
  7.   va_list ap;
  8.   int fd = -1;
  10.   va_start (ap, fmt);
  12. #ifdef FATAL_PREPARE
  13.   FATAL_PREPARE;
  14. #endif
  16.   /* Open a descriptor for /dev/tty unless the user explicitly
  17.      requests errors on standard error.  */
  18.   const char *on_2 = __libc_secure_getenv ("LIBC_FATAL_STDERR_");
  19.   if (on_2 == NULL || *on_2 == '\0')
  20.     fd = open_not_cancel_2 (_PATH_TTY, O_RDWR | O_NOCTTY | O_NDELAY);
  22.   if (fd == -1)
  23.     fd = STDERR_FILENO;

环境变量 LIBC_FATAL_STDERR_ 通过函数 __libc_secure_getenv 来读取,如果该变量没有被设置或者为空,即 \0NULL,错误信息 stderr 会被重定向到 _PATH_TTY,该值通常是 /dev/tty,因此会直接在当前终端打印出来,而不是传到 stderr。

CTF 实例

CTF 中就有这样一种题目,需要我们把 argv[0] 覆盖为 flag 的地址,并利用 __stack_chk_fail() 把flag 给打印出来。

实例可以查看章节 6.1.13 和 6.1.14。

libc 2.25

最后我们来看一下 libc-2.25 里的 __stack_chk_fail

  1. extern char **__libc_argv attribute_hidden;
  2. void
  3. __attribute__ ((noreturn))
  4. __stack_chk_fail (void)
  5. {
  6.   __fortify_fail_abort (false, "stack smashing detected");
  7. }
  8. strong_alias (__stack_chk_fail, __stack_chk_fail_local)

它使用了新函数 __fortify_fail_abort(),这个函数是在 BZ #12189 这次提交中新增的:

  1. extern char **__libc_argv attribute_hidden;
  3. void
  4. __attribute__ ((noreturn))
  5. __fortify_fail_abort (_Bool need_backtrace, const char *msg)
  6. {
  7.   /* The loop is added only to keep gcc happy.  Don't pass down
  8.      __libc_argv[0] if we aren't doing backtrace since __libc_argv[0]
  9.      may point to the corrupted stack.  */
  10.   while (1)
  11.     __libc_message (need_backtrace ? (do_abort | do_backtrace) : do_abort,
  12.                     "*** %s ***: %s terminated\n",
  13.                     msg,
  14.                     (need_backtrace && __libc_argv[0] != NULL
  15.                      ? __libc_argv[0] : "<unknown>"));
  16. }
  18. void
  19. __attribute__ ((noreturn))
  20. __fortify_fail (const char *msg)
  21. {
  22.   __fortify_fail_abort (true, msg);
  23. }
  25. libc_hidden_def (__fortify_fail)
  26. libc_hidden_def (__fortify_fail_abort)

函数 __fortify_fail_abort() 在第一个参数为 false 时不再进行栈回溯,直接以打印出字符串 <unknown> 结束,也就没有办法输出 argv[0] 了。

就像下面这样:

  1. $ python -c 'print("A"*50)' | ./a.out
  2. argv[0]: ./a.out
  3. *** stack smashing detected ***: <unknown> terminated
  4. Aborted (core dumped)

参考资料