स्टैक कैनरी प्रदूषण कैसे लॉग होते हैं?


11

ध्वज GCC -fstack- रक्षक ध्वज ढेर अतिप्रवाह सुरक्षा के लिए स्टैक कैनरी के उपयोग को सक्षम करता है। डिफ़ॉल्ट रूप से इस ध्वज का उपयोग हाल के वर्षों में अधिक प्रमुख रहा है।

यदि एक पैकेज को -स्टैक-रक्षक के साथ संकलित किया जाता है, और हम प्रोग्राम में एक बफर को ओवरफ्लो करते हैं, तो हमें एक त्रुटि मिलने की संभावना है जैसे:

*** buffer overflow detected ***: /xxx/xxx terminated

हालांकि, "कौन" इन त्रुटि संदेशों का प्रभारी है? ये संदेश कहां से लॉग इन होते हैं? क्या सिसलॉग डेमॉन इन संदेशों को उठाता है?

जवाबों:


10

स्टैक मुंहतोड़ द्वारा पता लगाया जाता है libssp, जिसका हिस्सा है gcc। यह संदेश को टर्मिनल में आउटपुट करने की बहुत कोशिश करता है , और केवल अगर यह विफल हो जाता है तो यह सिस्टम लॉग में प्रवेश नहीं करता है - इसलिए व्यवहार में आप डेमोंस और शायद जीयूआई अनुप्रयोगों के लिए लॉग में बफर अतिप्रवाह संदेश देखेंगे।

एक बार जब यह अपने संदेश को आउटपुट कर देता है, libsspतो एप्लिकेशन को क्रैश करने के लिए कई तरह के तरीके से बाहर निकलने की कोशिश करता है; यह असामान्य निकास लॉगर्स में से एक द्वारा पकड़ा जा सकता है, लेकिन इसकी गारंटी नहीं है।


1
मुझे इस स्पष्टीकरण का पता लगाने के तरीके के रूप में एक ठोस उदाहरण देना चाहिए। आइए इस उदाहरण के लिए nginx को चुनें। मैंने स्टैक कैनरी के साथ नंगेक्स को संकलित किया है। जब मैं नेग्नेक्स चलाता हूं, तो यह एक प्रक्रिया शुरू करता है लेकिन शेल में कुछ भी आउटपुट नहीं करता है। इसके बजाय, किसी भी संदेश को उसकी कई लॉग फ़ाइलों में लॉग किया जाता है। यदि nginx स्टैक मुंहतोड़ता का पता लगाता है, libsspतो अपने संदेश को nginx द्वारा उपयोग किए गए stderr आउटपुट द्वारा आउटपुट करेगा। फिर, libsspप्रक्रिया से बाहर निकलने की कोशिश कर सकते हैं (या नगीनेक्स के लिए बच्चे की प्रक्रिया)। यदि एप्लिकेशन को "क्रैश" करने की आवश्यकता नहीं है, तो असामान्य निकास लकड़हारा इसे नहीं उठाएगा। क्या यह एक सही व्याख्या है?
एडीसीवी

बिलकुल नहीं - यह पहली बार उपयोग करते हुए एप्लिकेशन को क्रैश करने की कोशिश करेगा__builtin_trap() , फिर यदि वह विफल हो जाता है, तो एक खंड उल्लंघन को भड़काने की कोशिश कर रहा है, और केवल अगर वह विफल रहता है, तो स्थिति 127 से बाहर निकल जाएगी।
स्टीफन किट

संदेश भाग की छपाई एक मुख्य उपज विधि (जैसे abort()) के माध्यम से बाहर निकलने की तुलना में सफलता की बेहतर गारंटी नहीं है ।
मैक्सक्लेपजिग

7

CentOS / Fedora जैसे आधुनिक लिनक्स वितरण डिफ़ॉल्ट रूप से एक क्रैश हैंडलिंग डेमॉन (जैसे systemd-coredumpया abortd) सेट करते हैं ।

इस प्रकार, जब आपका कार्यक्रम असामान्य रूप से समाप्त हो जाता है (सेगफॉल्ट, अनकहा अपवाद, गर्भपात, अवैध निर्देश आदि) तो यह घटना उस डेमॉन द्वारा पंजीकृत और लॉग इन होती है। इस प्रकार, आपको सिस्टम जर्नल में कुछ संदेश मिलते हैं और संभवतः कुछ अतिरिक्त विवरण (जैसे कोर फ़ाइल, लॉग, आदि) के साथ एक निर्देशिका का संदर्भ होता है।

उदाहरण

$ cat test_stack_protector.c 
#include <string.h>

int f(const char *q)
{
  char s[10];
  strcpy(s, q);
  return s[0] + s[1];
}

int main(int argc, char **argv)
{
  return f(argv[1]);
}

संकलित करें:

$ gcc -Wall -fstack-protector test_stack_protector.c -o test_stack_protector

निष्पादित:

$ ./test_stack_protector 'hello world'
*** stack smashing detected ***: ./test_stack_protector terminated
======= Backtrace: =========
/lib64/libc.so.6(+0x7c8dc)[0x7f885b4388dc]
/lib64/libc.so.6(__fortify_fail+0x37)[0x7f885b4dfaa7]
/lib64/libc.so.6(__fortify_fail+0x0)[0x7f885b4dfa70]
./test_stack_protector[0x400599]
./test_stack_protector[0x4005bd]
/lib64/libc.so.6(__libc_start_main+0xea)[0x7f885b3dc50a]
./test_stack_protector[0x40049a]
======= Memory map: ========
00400000-00401000 r-xp 00000000 00:28 1151979                            /home/juser/program/stackprotect/test_stack_protector
00600000-00601000 r--p 00000000 00:28 1151979                            /home/juser/program/stackprotect/test_stack_protector
00601000-00602000 rw-p 00001000 00:28 1151979                            /home/juser/program/stackprotect/test_stack_protector
0067c000-0069d000 rw-p 00000000 00:00 0                                  [heap]
7f885b1a5000-7f885b1bb000 r-xp 00000000 00:28 1052100                    /usr/lib64/libgcc_s-7-20170915.so.1
7f885b1bb000-7f885b3ba000 ---p 00016000 00:28 1052100                    /usr/lib64/libgcc_s-7-20170915.so.1
7f885b3ba000-7f885b3bb000 r--p 00015000 00:28 1052100                    /usr/lib64/libgcc_s-7-20170915.so.1
7f885b3bb000-7f885b3bc000 rw-p 00016000 00:28 1052100                    /usr/lib64/libgcc_s-7-20170915.so.1
7f885b3bc000-7f885b583000 r-xp 00000000 00:28 945348                     /usr/lib64/libc-2.25.so
7f885b583000-7f885b783000 ---p 001c7000 00:28 945348                     /usr/lib64/libc-2.25.so
7f885b783000-7f885b787000 r--p 001c7000 00:28 945348                     /usr/lib64/libc-2.25.so
7f885b787000-7f885b789000 rw-p 001cb000 00:28 945348                     /usr/lib64/libc-2.25.so
7f885b789000-7f885b78d000 rw-p 00000000 00:00 0 
7f885b78d000-7f885b7b4000 r-xp 00000000 00:28 945341                     /usr/lib64/ld-2.25.so
7f885b978000-7f885b97b000 rw-p 00000000 00:00 0 
7f885b9b0000-7f885b9b3000 rw-p 00000000 00:00 0 
7f885b9b3000-7f885b9b4000 r--p 00026000 00:28 945341                     /usr/lib64/ld-2.25.so
7f885b9b4000-7f885b9b6000 rw-p 00027000 00:28 945341                     /usr/lib64/ld-2.25.so
7ffc59966000-7ffc59987000 rw-p 00000000 00:00 0                          [stack]
7ffc5999c000-7ffc5999f000 r--p 00000000 00:00 0                          [vvar]
7ffc5999f000-7ffc599a1000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
zsh: abort (core dumped)  ./test_stack_protector 'hello world'

बाहर निकलने की स्थिति 134 है जो 128 + 6 है, अर्थात 128 प्लस गर्भपात संकेत संख्या।

सिस्टम जर्नल:

Oct 16 20:57:59 example.org audit[17645]: ANOM_ABEND auid=1000 uid=1000 gid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 pid=17645 comm="test_stack_prot" exe="/home/juser/program/stackprotect/test_stack_protector" sig=6 res=1
Oct 16 20:57:59 example.org systemd[1]: Started Process Core Dump (PID 17646/UID 0).
Oct 16 20:57:59 example.org audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=systemd-coredump@21-17646-0 comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
Oct 16 20:57:59 example.org systemd-coredump[17647]: Process 17645 (test_stack_prot) of user 1000 dumped core.

                           Stack trace of thread 17645:
                           #0  0x00007f885b3f269b raise (libc.so.6)
                           #1  0x00007f885b3f44a0 abort (libc.so.6)
                           #2  0x00007f885b4388e1 __libc_message (libc.so.6)
                           #3  0x00007f885b4dfaa7 __fortify_fail (libc.so.6)
                           #4  0x00007f885b4dfa70 __stack_chk_fail (libc.so.6)
                           #5  0x0000000000400599 f (test_stack_protector)
                           #6  0x00000000004005bd main (test_stack_protector)
                           #7  0x00007f885b3dc50a __libc_start_main (libc.so.6)
                           #8  0x000000000040049a _start (test_stack_protector)
Oct 16 20:57:59 example.org audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=systemd-coredump@21-17646-0 comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
Oct 16 20:58:00 example.org abrt-notification[17696]: Process 17645 (test_stack_protector) crashed in __fortify_fail()

आप से प्रवेश करने पाने का मतलब है कि auditdलेखा परीक्षा डेमॉन औरsystemd-coredump दुर्घटना हैंडलर।

यह सत्यापित करने के लिए कि क्या क्रैश हैंडलिंग डेमॉन कॉन्फ़िगर किया गया है /proc, जैसे आप जाँच कर सकते हैं :

$ cat /proc/sys/kernel/core_pattern
|/usr/lib/systemd/systemd-coredump %P %u %g %s %t %c %e

(फेडोरा 26, x86-64 पर सब कुछ परीक्षण किया गया)


1
मुझे बहुत खुशी है कि आपने यह उदाहरण पोस्ट किया है। कनकियों को जीसीसी द्वारा डाला जाता है। (कृपया मुझे गलत होने पर सही करें) मुझे लगता है कि ऐसा कुछ होता है: जीसीआर कैनरी कार्यक्षमता को लागू करने के लिए कार्यक्रम में "अतिरिक्त कोड" डालता है; निष्पादन के दौरान, और फ़ंक्शन वापस आने से पहले, मूल्य की जाँच की जाती है; प्रदूषित होने पर, प्रोग्राम "स्टैक स्मैशिंग डिटेक्ट" संदेश को आउटपुट करेगा और एक त्रुटि उठाएगा। इस त्रुटि को ओएस द्वारा उठाया जाता है, एक विभाजन दोष को पहचानता है और आपके द्वारा पोस्ट किए गए बैकट्रेस और मेमोरी मैप को प्रिंट करता है। अंत में, ओएस एप्लिकेशन को मारता है, एक कोर डंप उत्पन्न करता है, और sys जर्नल में लॉग करता है
aedcv

@aedcv, यह बहुत अधिक कहानी है - अधिक सटीक होने के लिए: स्टैक मुंहतोड़ कोडिंग कॉल abort()जो एक गर्भपात संकेत देता है, यानी कोई विभाजन दोष नहीं चल रहा है। यह सिर्फ इतना है कि गर्भपात / विभाजन दोष आदि के लिए डिफ़ॉल्ट सिग्नल हैंडलर एक ही कार्रवाई करते हैं: कोर लिखें और बाहर निकलने की स्थिति असमान शून्य के साथ प्रक्रिया से बाहर निकलें जो सिग्नल संख्या को भी एन्कोड करता है। कोर लेखन कर्नेल द्वारा किया जाता है और इसका व्यवहार विन्यास योग्य होता है /proc/.../core_pattern। उपर्युक्त उदाहरण में एक उपयोगकर्ता-स्पेस हेल्पर कॉन्फ़िगर किया गया है और इस प्रकार कहा जाता है। कर्नेल ऑडिटिंग को भी ट्रिगर करता है।
मैक्सक्लेपजिग

@ maxschlepzig यह काफी नहीं है abort(), एसएसपी कोड का उपयोग करता है __builtin_trap()(लेकिन प्रभाव समान है)।
स्टीफन किट

1
@StephenKitt, ठीक है, उपरोक्त उदाहरण में स्टैक ट्रेस पर एक नज़र डालें। वहां आप स्पष्ट रूप से देखते हैं कि कैसे abort()कहा जाता है।
मैक्सक्लेपज़िग

1
@maxschlepzig हां, निश्चित रूप से, लेकिन यह एक कार्यान्वयन विवरण है (जीसीसी कोड __builtin_trap()एक स्पष्ट निर्भरता होने से बचने के लिए उपयोग करता है abort())। अन्य वितरणों में अलग-अलग स्टैक के निशान हैं।
स्टीफन किट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.