【GDB】__stack_chk_fail 栈溢出问题定位

原创 已于 2022-02-03 11:28:37 修改 · 2w 阅读 · 76
标签
#gdb #定位
于 2020-12-16 23:52:45 首次发布
本文详细解析了进程收到SIGABRT信号时的异常退出,聚焦于__stack_chk_fail异常。通过分析C代码和使用GDB定位,展示了如何通过反汇编追踪canary,揭示了不同.so依赖的lua.h头文件不一致导致的栈溢出问题。同时介绍了如何利用GCC的fstack-protector选项加强栈保护。

一、问题描述

进程收到SIGABRT信号异常退出,异常调用栈显示__stack_chk_fail

二、原因分析和定位思路

原因分析: __stack_chk_fail说明发生了缓冲区溢出,canary被破坏。这说明代码设置GCC编译选项fstack-protector,开启了栈保护机制canary

定位思路:

  • 先通过反汇编找到canary在栈上的存放地址。
  • 用GDB对canary的存放地址打数据断点,定位出导致栈破坏的指令,再结合C代码具体分析。

三、定位过程

以下给出一个简化案例:一个可执行程序test, 依赖两个.so:libcomp1.so, libcomp2.so。执行test程序后会异常退出,调用栈显示__stack_chk_fail

├── CMakeLists.txt			—— 可执行程序 test, 依赖libcomp1.so, libcomp2.so
├── comp1					
│   ├── CMakeLists.txt		—— libcomp1.so
│   ├── comp1.c
│   ├── lua.h
├── comp2
│   ├── CMakeLists.txt		-- libcomp2.so
│   ├── comp2.c
│   ├── lua.h
├── main.c

C代码如下:

// main.c
extern void func1();	// defined in libcomp1.so
void main() {
    func1();
}

// comp1/comp1.c
#include "lua.h"
extern func2(struct lua_Debug *a, char *b, int c); // defined in libcomp2.so
void func1() {
    struct lua_Debug a = {0};
    char *b = 0x12345678;
    int c = 0xFFFFFFFF;
    func2(&a, b, c);
    return;
}

// comp2/comp2.c
#include "lua.h"
void func2(struct lua_Debug *a, char *b, int c) {
    a->i_ci = 1;
    return;
}

用GDB调试test程序,出现如下的异常调用栈

(gdb) bt
#0  __GI_raise (sig=sig@entry=6) at ../sysdeps/unix/sysv/linux/raise.c:50
#1  0x00007ffff7e1c535 in __GI_abort () at abort.c:79
#2
最低0.47元/天 解锁文章
Coredump-N: __stack_chk_failstack smashing detected;stack-protector
mzhan017的博客
11-04 743
栈 (gdb) bt #0 0x00007f4a4e6e637f in raise () from /lib64/libc.so.6 #1 0x00007f4a4e6d0db5 in abort () from /lib64/libc.so.6 #2 0x00007f4a4e7294e7 in __libc_message () from /lib64/libc.so.6 #3 0x00007f4a4e7bc365 in __fortify_fail_abort () from /lib64/lib
__stack_chk_fail之栈帧溢出检测技术
03-01 1366
一.参考文章 (52条消息) canary介绍与绕过技巧_0pt1mus-CSDN博客_canary绕过https://blog.csdn.net/weixin_43713800/article/details/105273284 (52条消息) 【GDB】__stack_chk_fail 栈溢出问题定位_pcj_888的博客-CSDN博客___stack_chk_fail定位手段https://blog.csdn.net/pcj_888/article/details/111305718#:~:te.
国产编译器报错“undefined reference to __stack_chk_fail”?这不是Bug,是安全栈保护机制切换信号——C语言适配中的3层防护适配策略(含patch实测代码)
最新发布
ProceNest的博客
05-02 359
快速定位并解决国产编译器栈保护报错问题,提供C语言国产化编译器适配优化步骤:涵盖GCC/龙芯LoongCC/毕昇编译器的3层防护(-fstack-protector开关、libc适配、符号重定向patch),实测有效且兼容信创环境,值得收藏。
ld:a.o:in function `main‘:a.c:(.text+0x4f):undefined reference to `__stack_chk_fail()(程序员的自我修养4.1)
wuqindeyunque的博客
07-07 912
在阅读《程序员的自我修养:链接、装载与库》的4.1节时,书中实例通过将a.o,b.o直接链接到一起形成一个新的可执行文件ab来分析重定位过程,但是在实际运行命令ld a.o b.o -e main -o ab,会报错: ld: a.o: in function。然后使用GCC编译器对a.c和b.c进行编译,并使用ld链接器将a.o和b.o文件链接在一起。上述命令将使用GCC编译器分别对a.c和b.c进行编译,并在编译命令中使用-fno-stack-protector选项来禁用栈溢出保护机制。
__stack_chk_fail问题及解决方案
qq_39864882的博客
03-05 8720
遇到的问题: 程序在进入ComputeMisclosures()函数后,执行到函数结尾的括号处出现如下错误: *** stack smashing detected ***: < unknown > terminated Signal: SIGABRT (Aborted) 调试窗口显示:__stack_chk_fail 在网上找资料,出现__stack_chk_fail是因为发生了栈溢出,引起栈溢出可能有:1)数组越界,2)sprintf()、memcpy()、strcpy()等函数,3)写
__stack_chk_fail栈检查失败
热门推荐
青梅煮酒的专栏
06-06 2万+
1. __stack_chk_fail的作用 在了函数的局部变量和保存的指令指针(译注:此处指返回地址和EBP)之间。这个值被称作金丝雀(“canary”)值 参考 http://www.freebuf.com/articles/system/24177.html 2. 发生原因及原理 数组越界写入,导致 canary值被修改。在函数退出时检查canary,发现canar
__stack_chk_fail问题分析
风之伤
02-24 2882
再说一下,canary破坏很大可能是memset memcpy越界修改造成的,而且是栈中的变量,如下static概率就比较小,因为static变量不在栈中,所以,大概率是tmp这个数组。,canary存放位置如下,如果func1函数中有越界操作,很可能会修改到canary,stack_chk_fail检测canary就会失败。所以大概率问题出现在32行的memcpy,p2-p1可能越界了,因为tmp与stlog大小一样,tmp在开头加了一断字符,p2-p1+l。发生了缓冲区溢出,canary被破坏。
GDB调试实战:如何用watch命令精准捕获__stack_chk_fail的元凶(附64位栈帧分析)
weixin_42531516的博客
04-03 205
本文深入探讨了GDB调试中如何利用watch命令精准定位__stack_chk_fail错误的根源,结合64位栈帧分析,详细解析了栈保护机制与canary原理。通过实战案例演示了在多模块协作中如何发现栈溢出问题,并提供了高级调试技巧与编译期防护建议,帮助开发者有效解决内存错误问题
二进制漏洞挖掘之栈溢出-开启Canary
ylcangel的专栏
10-18 1283
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
栈溢出 __stack_chk_fail
tianyexing2008的博客
08-13 1044
今天在调试多进程时,发现有一个进程崩溃了,打印堆栈如: 在调用本地接口reportHashSTL后,进到c库接口__stack_chk_fail,上网搜索了一下,这个错误表示栈溢出,一般是数组越界写入导致,__stack_chk_fail相关的可自行网上搜索。这里记录排查过程。 1,首先是找到调用源码,如下: 注意这里数组大小为84。 2,reportHash 源码片段,如下: 一开始以为是for循环里循环次数太大导致入参tszTemp不够装下,但第一次加打印时mInternal-&gt.
Ubuntu Linux上编译kernel出错__stack_chk_fail
coldwindflyrain的专栏
02-04 4966
init/built-in.o: In function `try_name:do_mounts.c.text+0x5e3):对‘__stack_chk_fail’未定义的引用init/built-in.o: In function `name_to_dev_t:(.text+0x8cb):对‘__stack_chk_fail’未定义的引用init/built-in.o: In functio
nepctf pwn easystack(_stack_chk_fail)
qq_51868336的博客
03-24 1305
这道题考察的是对_stack_chk_fail的利用 _stack_chk_fail 简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程,这个函数的利用点在于它调用 _fortify_fail 来输出异常信息,其中包含libc_argv[0]指向的程序名 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fortify_fail ("stack smashing detected");
格式化字符串漏洞修改stack_check_fail
2301_79880074的博客
02-21 918
通过两道例题学习一下格式化字符串漏洞的两种方法。
编译遇到“__stack_chk_fail_local”错误
pk_20140716的专栏
11-19 1413
若在ubuntu上编译代码遇到”__stack_chk_fail_local”错误时,在makefile CFLAGS中加入”-fno-stack-protector”注意是在gcc编译时加上参数,不是在ld链接时加上
mips-openwrt交叉编译 undefined reference to `__stack_chk_guard 错误
好记性不如赖笔头
12-02 1万+
最近在mips-openwrt的工具链中交叉编译可执行程序时,出现了以下的错误:     undefined reference to `__stack_chk_guard'     undefined reference to `__stack_chk_fail'     百度一下,得知这个错误的引起是因为启用了Stack Guard堆栈保护,什么是堆栈保护呢?如下:
Xcode 运行时错误
爱学习的人
11-26 717
在Xcode 运行时出现"__stack_chk_fail"错误, 主要是由于内存被破坏, 仔细地检查, 出现该问题的函数, 找出哪里出现内存溢出, 把Obj-c的runtime运行时堆栈破坏了.
操作系统真相还原-编译遇到“__stack_chk_fail_local”错误
weixin_51259834的博客
12-16 1674
编译遇到“__stack_chk_fail_local”错误
linux 'stack'未声明(在此函数内第一次使用,未定义的引用`__stack_chk_fail'
weixin_39870092的博客
07-04 881
编译C++代码时出现此错误:undefined reference to `__stack_chk_fail'已尝试的选项:在编译时添加-fno-stack-protector - 不起作用,错误仍然存​​在在我的代码中添加了一个void __stack_chk_fail(void)的虚拟实现.仍然得到同样的错误.详细错误:/u/ac/alanger/gurobi/gurobi400/linux...
栈上格式化字符串漏洞修改stack_checkfail
2301_81031055的博客
02-21 482
这一行pay=(b'%7$saaaa'+p64(elf.got['printf'])).ljust(0x100,b'\x00')后面的.ljust(0x100,b'\x00')是因为读入的字节较少,不足以覆盖canary的数值,所以在任意读入较大的数值就行。我们可以利用格式化字符串漏洞去修改stack_chk_fail函数的got表使得程序继续进行,在这里,我们将stack_chk_fail函数改成fmt函数,然后通过格式化字符串漏洞去泄露libc基址。checksec指令查看。用64位IDA打开分析。
Java面试题之写一个死锁代码片段的正确姿势
微信公众号:一颗向上的草莓
08-31 510
1、引言 面试的时候可能会让你写一段死锁的代码,其实如果对死锁理解深刻,写出来并不难。 其中一个典型场景,就是一个线程持有A锁,然后请求获取B锁。另外一个线程正好相反,持有B锁,等待获取A锁。 2、死锁必备的四个条件 互斥条件:资源是独占的且排他使用,进程互斥使用资源,即任意时刻一个资源只能给一个进程使用,其他进程若申请一个资源,而该资源被另一进程占有时,则申请者等待直到资源被占有者释放。 不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pcj_888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值