浅析security cookie原理

元始天尊 · 发表于 2015-8-23 00:11:38

欢迎访问技术宅的结界，请注册或者登录吧。

您需要登录才可以下载或查看，没有账号？立即注册→加入我们

×

老话题了，前几天遇到了，这里便总结一下，没什么新意~~，（不是从网上摘的，保证原创）
定义在vc源码目录下secchk.c:

extern UINT_PTR __security_cookie;
void __declspec(naked) __fastcall __security_check_cookie(UINT_PTR cookie)
{
/* x86 version written in asm to preserve all regs */
__asm {
cmp ecx, __security_cookie
jne failure
rep ret /* REP to avoid AMD branch prediction penalty */
failure:
jmp __report_gsfailure
}
}

复制代码

编译器生成二进制机器码后，便通过某种逻辑硬性指定了__security_cookie

在用到栈变量的函数中，函数序言部分：
013C7210 push ebp
013C7211 mov ebp,esp
013C7213 sub esp,10Ch
013C7219 mov eax,dword ptr [___security_cookie (141E078h)]
013C721E xor eax,ebp
013C7220 mov dword ptr [ebp-4],eax
函数结语部分：
013C723F mov ecx,dword ptr [ebp-4]
013C7242 xor ecx,ebp
013C7244 call @ILT+370(@__security_check_cookie@4) (13C5177h)
013C7249 mov esp,ebp
013C724B pop ebp
013C724C ret

复制代码

栈桢：
_________________
........
_________________
cookie=ebp^eax 预存的溢出检测数据
_________________

10Ch

_________________
ebp
_________________
返回地址
_________________

一般溢出的范围是一段地址，而非单个DWORD，因此溢出到返回地址的位置时，cookie也会被改写，所以这里__security_check_cookie@4通过检测cookie值是否能和固定值匹配上决定是否栈溢出

0x01810 · 发表于 2015-8-24 20:51:42

有没有绕过的可能?

账号		自动登录	找回密码
密码			立即注册→加入我们