如何利用GCC编译选项检测栈溢出

标签: Linux GCC 堆栈溢出 | 发表时间:2014-03-17 09:12 | 作者:lonelylizard
出处:http://www.geekfan.net

gdb10

Stack smashing是堆栈缓冲区溢出(stack buffer overflow)的一个时髦称谓。它表示利用代码中存在的缓冲区溢出bug而发起的攻击。在早期,这完全是程序员的责任,他们要确保代码中不存在缓冲区溢出的问题。但是随着时间推移,技术的不断发展,现在像gcc这样的编译器已经有编译选项用来确保缓冲区溢出问题不被攻击者利用来破坏系统或者程序。

有一次当我试图重现一个缓冲区溢出的问题时我才了解到这些编译选项。我是在Ubuntu 12.04上进行试验的,gcc版本为4.6.3。我所做的很简单:

#include <stdio.h>
#include <string.h>

int main(void)
{
    int len = 0;
    char str[10] = {0};

    printf("\n Enter the name \n");

    gets(str); // Used gets() to cause buffer overflow

    printf("\n len = [%d] \n", len);

    len  = strlen(str);
    printf("\n len of string entered is : [%d]\n", len);

    return 0;
}

在上面的代码中,我故意使用gets()函数来接收字符串,之后计算字符串的长度,并输出到标准输出—默认是屏幕。这里的想法是输入超过10个长度的字符串,由于gets()函数并不检测数组边界,所以它将会把字符写入到10个以外的地址,这样就会发生缓冲区溢出。我运行程序之后的结果如下所示:

$ ./stacksmash 

 Enter the name
TheGeekStuff

 len = [0] 

 len of string entered is : [12]
*** stack smashing detected ***: ./stacksmash terminated
======= Backtrace: =========
/lib/i386-linux-gnu/libc.so.6(__fortify_fail+0x45)[0xb76e4045]
/lib/i386-linux-gnu/libc.so.6(+0x103ffa)[0xb76e3ffa]
./stacksmash[0x8048548]
/lib/i386-linux-gnu/libc.so.6(__libc_start_main+0xf3)[0xb75f94d3]
./stacksmash[0x8048401]
======= Memory map: ========
08048000-08049000 r-xp 00000000 08:06 528260     /home/himanshu/practice/stacksmash
08049000-0804a000 r--p 00000000 08:06 528260     /home/himanshu/practice/stacksmash
0804a000-0804b000 rw-p 00001000 08:06 528260     /home/himanshu/practice/stacksmash
0973a000-0975b000 rw-p 00000000 00:00 0          [heap]
b75af000-b75cb000 r-xp 00000000 08:06 787381     /lib/i386-linux-gnu/libgcc_s.so.1
b75cb000-b75cc000 r--p 0001b000 08:06 787381     /lib/i386-linux-gnu/libgcc_s.so.1
b75cc000-b75cd000 rw-p 0001c000 08:06 787381     /lib/i386-linux-gnu/libgcc_s.so.1
b75df000-b75e0000 rw-p 00000000 00:00 0
b75e0000-b7783000 r-xp 00000000 08:06 787152     /lib/i386-linux-gnu/libc-2.15.so
b7783000-b7784000 ---p 001a3000 08:06 787152     /lib/i386-linux-gnu/libc-2.15.so
b7784000-b7786000 r--p 001a3000 08:06 787152     /lib/i386-linux-gnu/libc-2.15.so
b7786000-b7787000 rw-p 001a5000 08:06 787152     /lib/i386-linux-gnu/libc-2.15.so
b7787000-b778a000 rw-p 00000000 00:00 0
b7799000-b779e000 rw-p 00000000 00:00 0
b779e000-b779f000 r-xp 00000000 00:00 0          [vdso]
b779f000-b77bf000 r-xp 00000000 08:06 794147     /lib/i386-linux-gnu/ld-2.15.so
b77bf000-b77c0000 r--p 0001f000 08:06 794147     /lib/i386-linux-gnu/ld-2.15.so
b77c0000-b77c1000 rw-p 00020000 08:06 794147     /lib/i386-linux-gnu/ld-2.15.so
bfaec000-bfb0d000 rw-p 00000000 00:00 0          [stack]
Aborted (core dumped)

令我惊讶的是,运行环境居然可以检测到缓冲区溢出的情况。你可以在输出信息上看到“检测到栈溢出”(stack smashing detected)的信息。这促使我去探索缓冲区溢出是如何被检测到的。

当我探索原因时,我发现了gcc的一个编译选项:-fstack-protector,以下是关于这个选项的描述:

-fstack-protector

启用该选项后编译器会产生额外的代码来检测缓冲区溢出,例如栈溢出攻击。这是通过在有缺陷的函数中添加一个保护变量来实现的。这包括会调用到alloca的函数,以及具有超过8个字节缓冲区的函数。当执行到这样的函数时,保护变量会得到初始化,而函数退出时会检测保护变量。如果检测失败,会输出一个错误信息并退出程序。

!注意:在Ubuntu 6.10以及之后的版本中,如果编译时没有指定-fno-fstack-protector, -nostdlib或者-ffreestanding选项的话,那么这个选项对于C,C++,ObjC, ObjC++语言默认是启用的。

所以,你会发现gcc已经使用插入附加代码的方式来检测缓冲区溢出的问题。我想到的下一个问题是,我从来没有在编译时加入这个编译选项,这个功能是怎样启用的?然后我读到最后两行,在Ubuntu6.10之后的版本上,此功能已经默认启用了。

下一步,我决定使用-fno-fstack-protector选项来取消这个栈溢出检测功能。我对同样的代码编译之后运行,使用和之前一样输入,下面是我的做法以及运行结果:

$ gcc -Wall -fno-stack-protector stacksmash.c -o stacksmash
$ ./stacksmash 

 Enter the name
TheGeekStuff

 len = [26214] 

 len of string entered is : [12]

可以看到,一旦使用了这个编译选项(根据前面的编译选项说明,这里-fstack-protector是不会默认开启的),使用相同的输入,运行环境根本无法检测到缓冲区溢出的问题,len的值已经被破坏了。  

如何利用GCC编译选项检测栈溢出,首发于 极客范 - GeekFan.net

相关 [利用 gcc 编译] 推荐:

如何利用GCC编译选项检测栈溢出

- - 极客范 - GeekFan.net
Stack smashing是堆栈缓冲区溢出(stack buffer overflow)的一个时髦称谓. 它表示利用代码中存在的缓冲区溢出bug而发起的攻击. 在早期,这完全是程序员的责任,他们要确保代码中不存在缓冲区溢出的问题. 但是随着时间推移,技术的不断发展,现在像gcc这样的编译器已经有编译选项用来确保缓冲区溢出问题不被攻击者利用来破坏系统或者程序.

GCC、LLVM-GCC、DragonEgg和Clang编译性能对比

- allengaller - Solidot
Phoronix利用Phoronix Test Suite测试了GCC 4.2.1、4.3.0、4.4.0、4.5.0、GCC 4.6.0 2010-10-30开发预览版,以及LLVM-GCC 2.8、LLVM DragonEgg 2.8和Clang 2.8编译器的编译性能. 测试结果显示,与新贵LLVM-GCC和Clang相比,有二十多年历史的GCC编译器确实比较慢 虽然LLVM和Clang的新版本提供了完整的C++支持,并且能编译Linux kernel,但它们目前还达不到取代成熟GCC的程度,Clang或DragonEgg还无法完成某些常见任务的编译,性能也未能如意.

GCC安装 配置

- - CSDN博客推荐文章
下载:  http://ftp.gnu.org/gnu/gcc/gcc-4.5.1/gcc-4.5.1.tar.bz2. 浏览:  http://ftp.gnu.org/gnu/gcc/gcc-4.5.1/. 查看Changes:  http://gcc.gnu.org/gcc-4.5/changes.htm.

GCC将用C++实现

- Chris - Solidot
Lwn.net报道,GCC(GNU Compiler Collection,GNU编译器套装)将从一个C语言实现变成C++语言实现. Mark Mitchell在官方邮件列表上宣布,GCC指导委员会和自由软件基金会(FSF)同意GCC本身的代码将使用C++语言编写. 此举是为了向用户提供一个更好的编译器,而不是因为C++代码库本身的原因.

GCC功能及使用

- - CSDN博客推荐文章
编译过程(从源代码到可执行文件). 预处理:gcc -Ehello.c -o hello.i //生成预处理后的源文件. 汇编:gcc -S hello.i //生成hello.s. 目标代码生成:gcc -c hello.s //生成hello.o. 连接:gcc hello.o -o hello //生成可以行文件hello.

RMS谈GCC、LLVM和Copyleft

- - Solidot
ESR(Eric S.Raymond)在GCC邮件列表上发贴预言,LLVM/Clang编译器将在3到5年内威胁到GCC的统治地位,认为GCC编译器的反插件政策正成为一大障碍. 虽然Clang尚未达到GCC的成熟度,但在某些方面它拥有比GCC更出色的特性,例如错误信息. ESR建议GCC应允许非自由的插件.

关于gcc、glibc和binutils模块之间的关系

- - 博客园_iTech's Blog
转自: http://www.mike.org.cn/articles/linux-about-gcc-glibc-and-binutils-the-relationship-between-modules/. 一、关于gcc、glibc和binutils模块之间的关系.   1、gcc(gnu collect compiler)是一组编译工具的总称.

gcc创建和使用动态库、静态库

- - CSDN博客综合推荐文章
本文以工程 libtest为例来说明用gcc创建和使用静态库、动态库的过程. libtest工程目录结构如下:. libtest/include/hello.h文件内容:. libtest/lib/hello.c文件内容:. libtest/src/main.c文件内容:. 1,进入libtest/lib目录,执行命令:.

linux下用gcc创建静态链接库和动态链接库

- - CSDN博客推荐文章
上一篇文章介绍了在windows下如何创建静态链接库和动态链接库( http://blog.csdn.net/love_cppandc/article/details/8502773),这一篇介绍一下在linux下如何创建静态链接库和动态链接库. 在linux下,静态库文件是.o结尾,动态库文件是.so结尾.

CentOS6.9完全离线升级安装gcc-5.4.0 - weixin_40420213的博客 - CSDN博客

- -
系统自带的gcc版本为4.4.7,升级至5.4.0版本,需要提前准备以下安装包:. gcc-5.4.0.tar.gz 安装包. gmp-4.3.2.tar.bz2 gcc依赖包. mpfr-2.4.2.tar.bz2 gcc依赖包. mpc-0.8.1.tar.gz gcc依赖包. 上面三个依赖包的版本依据,可以将gcc-5.4.0.tar.gz解压后在gcc-5.4.0/contrib/download_prerequisites文件中找到.