二进制漏洞挖掘之栈溢出-开启FORTIFY

二进制漏洞-栈溢出

github地址：https://github.com/ylcangel/exploits/tree/master/stack_overflow

你可以用于学习，但不能用于商用（如出书、以盈利为目的的课程、文章等），转载需标明出处。

测试平台

系统：CentOS release 6.10 (Final)、32位

内核版本：Linux 2.6.32-754.10.1.el6.i686  i686 i386 GNU/Linux

gcc 版本： 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC)

gdb版本：GNU gdb (GDB) Red Hat Enterprise Linux (7.2-92.el6)

libc版本：libc-2.12.so

漏洞原理

       在对栈缓冲区进行写操作时（如memcpy），未对缓冲区大小进行判断，导致写入数据长度可能大于缓冲区长度。

通用利用方式

       写入数据覆盖返回地址，使返回地址指向恶意代码起始地址。由于我是基于本地测试，也就是libc库的版本已知，而基于远程攻击或不同版本的libc库可能会存在差异。

漏洞测试程序

 

很明显代码在执行scanf时未对缓冲区大小进行判断，存在栈溢出漏洞。

注意如无特殊说明，本文的exp都是基于该源码编译的二进制实现的。

所有测试均在linux环境下进行

开启FORTIFY

1、FORTIFY其实非常轻微的检查，用于检查是否存在缓冲区溢出的错误。适用情形是程序采用大量的字符串或者内存操作函数，如memcpy，memset，stpcpy，strcpy，strncpy，strcat，strncat，sprintf，snprintf，vsprintf，vsnprintf，gets以及宽字符的变体。

2、FORTIFY_SOURCE机制对格式化字符串有两个限制(1)包含%n的格式化字符串不能位于程序内存中的可写地址。(2)当使用位置参数时，必须使用范围内的所有参数。所以如果要使用%7$x，你必须同时使用1,2,3,4,5和6。

gcc -D_FORTIFY_SOURCE=1 -O1仅仅只会在编译时进行检查 (特别像某些头文件 #include )

gcc -D_FORTIFY_SOURCE=2 -O2程序执行时也会有检查 (如果检查到缓冲区溢出，就终止程序)

 

先让我们看看添加FORTIFY编译选项（第一条影响）前后的汇编区别，未添加fortify选项：

 

添加编译forify编译选项后的反汇编，从两幅图对比可以看到开启forify后调用memset汇编指令被替换了其他指令。

 

同样我们通过gdb调试可以看到原来的memset被替换成了__builtin__memset_chk

 

我们继续覆盖返回地址看程序是否会被终止，从下图可以看出程序没有被终止，和我们之前

 

测试没什么两样。

我先后在编译时测试，编译选项中不加入-O1、-O2发现memset不会被替换，并且用checksec检测也不到开启fortify，也就是说加了优化选项memset就被优化了，而只有加了优化选项后fortify才会被开启。

在让我们看看添加了FORTIFY编译选项后对第二条关于printf格式化的影响，我们重新编写一个明显包含格式化字符串的程序，代码如下：

 

测试运行如下图，很明显它检测出了格式化字符串异常。

 

漏洞分析（略）

实现exp（略）