Glibc中canary的实现

2019-03-19

0x00 前言

解决一下历史遗留问题，顺便晒一波式姐，其实这篇文章在好久之前就说要写的，之后就拖到了现在。。。。。

关于canary的作用以及各种编译命令下的形式在栈溢出中关于canary的总结中已经说过了，这里就不在赘述了，本篇文章主要讨论Canary如何实现。

0x01 canary概述

编译开启canary的样例代码（64位）

#include
int main(void)
{
    printf("hello");
    return 0;
}
//gcc -fstack-protector-all h.c -o h

在64位下程序从一个神奇的地方（fs:28h）取出8（rax）字节的值，插入到栈中。放到栈上以后，rax中的副本也会被清空（xor eax,eax）。在函数基本执行完时，程序会再次从那个神奇的地方把canary的值取出来，和之前放在栈上的canary进行比较，如果发生栈溢出覆盖到了canary而导致canary发生了改变则跳到函数 ___stack_chk_fail 直接终止程序。

而32位基本相同只不过取出canary的地方变成（gs:14h）,而且取出的canary字节为4字节，具体汇编代码可以看我上一篇文章。

在这里要多说的就是以64位为例，fs寄存器是被glibc定义为存放TLS信息的。

上面这个被定义在glibc/sysdeps/x86_64/nptl/tls.h中结构体tcbhead_t就是用来描述TLS的，同时也是%fs寄存器所指向的位置，其中0x28偏移位置的成员变量uintptr_t stack_guard就是canary的值。至于canary值的产生以及如何存放入fs:28h将在下面进行说明。

0x02 canary细节

总的来说canary的实现分为两部分，在gcc编译时选择canary的插入位置, 以及引入与canary有关的汇编代码, 而glibc则产生实际的canary值, 以及提供报错函数。也就是gcc使用glibc提供的函数来生成canary值和报错,而gcc本身只是插入相关引用的汇编代码自身并不定义canary的值。因此canary的值只有运行时才知道, 而不能通过查看静态的binary得到。

Gcc

在gcc里canary的实现靠的是引用了结构体tcbhead_t的成员变量uintptr_t stack_guard 和函数__stack_chk_faillai。而变量uintptr_t stack_guard存就是canary的值，至于函数__stack_chk_fail的作用就是当比较canary不一样时输出错误信息。

这两东西具体实现都在Glibc里，__stack_chk_fail在上一篇文章的0x03 ssp leak里已经讨论过了，这里不再赘述，而变量uintptr_t stack_guard则会再下面Glibc里说明。也就是说gcc只是声明和使用了变量uintptr_t stack_guard和__stack_chk_fail, 并没有定义。定义是在glibc里。