GDB调试之栈指针破坏

最新推荐文章于 2024-04-06 10:23:40 发布
原创 最新推荐文章于 2024-04-06 10:23:40 发布 · 1.2w 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fun #c

本文通过一个实例展示了栈指针被破坏的情况,分析了源代码和使用GDB查看栈帧内容,发现栈上非法操作导致的问题。在另一台电脑上的调试结果显示了__stack_chk_fail()函数指针,暗示栈指针错误。尽管在复杂代码库中定位此类问题颇具挑战,但理解栈指针的工作原理对于有效调试至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记录一个因为栈上非法操作导致栈指针被破坏的例子。

源代码如下:

#include <stdio.h>
#include <string.h>


char name[] = "aabbccddeeffgghhiijjkkllmmnnooppqqrrsstt";

void fun()
{
    char buf[3];
    strcpy(buf, name);
}
int main(void)
{
    fun();
    return 0;
}

运行时出现了段错误,然后来看内存转储后得到的内容。

1、首先查看栈帧的内容:

(gdb) bt
#0  0x6a696968 in ?? ()
#1  0x6c6b6b6a in ?? ()
#2  0x6e6d6d6c in ?? ()
#3  0x706f6f6e in ?? ()
#4  0x72717170 in ?? ()
#5  0x74737372 in ?? ()
#6  0xbff60074 in ?? ()
Backtrace stopped: previous frame inner to this frame (corrupt stack?)

栈中所有函数指针全部显示成“?”,从中无法获取任何信息,这种情况可以怀疑是栈缓冲溢出。

然后看最后1行,它就提示我们有可能是栈指针出现的错误,所以我们需要做的事情就是去查看这个栈指针怎么回事。

注:我还在另外一个电脑上实验了这个程序,可能是GDB版本不同还是什么,另外一个电脑上最顶上的几个栈指针是对的,但是可以注意到的一点是它内部有一个函数指针是“__stack_chk_fail()”,这很明显的就告诉我们是栈指针出现问题了。

2、查看栈上的内容:

(gdb) x/30c $esp-15
0xbff6a311:	9
最低0.47元/天 解锁文章

新学期VIP享超值加赠
35、内存管理与GDB调试指南
time3的博客
07-21 28
本文详细介绍了内存管理与GDB调试的相关知识,涵盖内存泄漏检测工具如mtrace和Valgrind的使用,以及应对内存不足问题的策略。同时,深入讲解了GDB调试工具的应用,包括本地与远程调试设置、核心文件分析、线程与分叉调试,以及内核代码调试方法。适合开发者学习如何高效排查内存问题和调试应用程序。
利用gdb定位线程栈被破坏场景: Backtrace stopped
pkyang2004的博客
05-18 1427
调试RK3399模块时,开发人员遇到程序启动时小概率异常的问题。使用gdb调试时,发现主线程被挂死,且线程栈信息被破坏,无法完整查看。通过gdb的x命令分析寄存器信息和内存信息,最终定位到问题根源:公共日志函数Kb_LogStr中的日志长度判断不足,导致vfprintf内存溢出,进而引发系统异常和死锁。解决方案包括修复Kb_LogStr中的日志长度判断问题,并修改信号量处理回调函数ITP_Handle_Sig中的日志调用逻辑,避免死锁。
3 gdb如何从堆栈破坏的堆栈中定位问题(ucontext_t)
u012906122的专栏
04-05 3591
本文介绍了在gdb堆栈破坏但有ucontext_t进程上下文信息时调试定位问题的完整过程。通过分析段错误日志和core dump,结合ucontext_t结构中的寄存器信息(包括fault_address、LR返回地址等),成功定位到X11_XUnsetICFocus接口中的指针越界问题。通过反汇编代码和寄存器分析,发现是函数指针变为野指针导致异常。最终通过加线程ID打印验证,确定是多线程环境下先析构后调用导致的访问越界问题。文章详细展示了利用ucontext_t上下文信息进行问题分析的思路和方法。
gdb 环境问题:Backtrace stopped: previous frame identical to this frame (corrupt stack?)
点滴路程
04-06 7643
若您与我遇到了相似的问题,不妨试试将以上三个库重新编译一份,替换成具备debug_info,以及not stripped。若依旧不能解决,坚决一点,就是供应商的问题,让他们去解决。若我的内容对您有所帮助,还请关注我的公众号。不定期分享干活,剖析案例,也可以一起讨论分享。踩完您工作中的所有坑并分享给您,让你的工作无bug,人生尽是坦途。
项目经验之谈--栈破坏 -- 案例二
卐意志的胜利卐
03-01 8434
1.前言前一篇 《项目经验之谈–栈溢出》 已经写到过栈破坏从来导致的程序崩溃问题,这次在项目中又发现此类似BUG。故此再记录下来,谨记下次再犯。2.项目需求通过二维码扫描配置camera ID,然后程序就崩溃了。项目需求不是紧要的,这里不多累赘。3.代码以下代码为出问题的函数static void trigger_callback(NV_HANDLE handle, NV_S32 fd, void
gdb调试coredump文件,函数名称是问号
yudingding6197的专栏
04-26 2万+
今天总算解决了一个大的bug,爽!我的程序crash,有了coredump文件,在Linux PC上用arm-linux-gdb debug it. The result is:#0  0x4022b178 in ?? ()(gdb) bt#0  0x4022b178 in ?? ()#1  0x4022b134 in ?? ()#2  0x4022b134 in ??
linux gdb显示运行堆栈,使用 GDB 恢复堆栈信息
weixin_39538877的博客
05-01 623
用 C/C++ 编写的程序, 如果遇到 Segmentation Fault 则可以通过生成 coredump 来进行调试, 根据记录的信息定位到出错代码行. 但很多时候可能用 gdb 打开 coredump 文件查看堆栈时, 却出现一堆问号, 无法直接定位到出错代码行. 本文介绍另一种方法来还原错乱的堆栈信息.例如, 下图是 coredump 后用 gdb 看到的堆栈信息, 可以看到这些代码都是...
Linux下gdb调试工具指南
06-11
### Linux下gdb调试工具指南:深入解析与实践 #### 引言 在软件开发领域,尤其是对于系统级编程和复杂应用的维护,一个高效、功能全面的调试工具是不可或缺的。GNU调试器(GDB)正是这样一款强大的调试工具,它...
GDB调试core dump
Sison_w的博客
07-24 1219
如何通过core dump文件来定位错误代码
C++ 内存分配常见错误Stack corrupted.
u011230317的博客
04-08 7882
BUG:Run-Time Check Failure #2 - Stack around the variable 'a' was corrupted.Why?#include &lt;iostream&gt; int main() { char a[] = "hello"; a[6] = 'A'; std::cout &lt;&lt; a; system("pause"); ret...
Backtrace stopped: previous frame identical to this frame (corrupt stack?)错误
u010949023的博客
07-27 2万+
gdb调试出现这个错误. 这个一般是内存出现错误,我遇到的是,cv::Mat image从vio传给pose_graph,但是我没有clone,也就是vio和pose_graph使用的是同一片内存,而vio又在改变这片内存,导致pose_graph使用时出现错误。 ...
QT线程引发Backtrace stopped: previous frame identical to this frame (corrupt stack?)
QtHalcon
11-02 2万+
1.简介 由于在主线程以及多线程中对GUI进行绘画刷新,导致了出现莫名其妙的问题。例如: 1、在程序运行了一段时间后,程序UI不会刷新,运行的获取当前程序时间的程序一直在运行,但是不会将当前时间显示到界面上,其他后台显示信息,一切正常。经过鼠标的再次点击,程序会暂时恢复正常或者是直接程序终止退出。 2、出现QT gui界面假死现象(即是后台显示程序运行正常,结果是界面一直不刷新,并且top...
QT UI线程错误(Backtrace stopped: previous frame identical to this frame (corrupt stack?))
gmq_syy的博客
06-02 4820
1. 简述 在qt程序中出现了Backtrace stopped: previous frame identical to this frame (corrupt stack?)错误,导致程序崩溃,gdb查看如下图: 2. 原因分析 自己是在一个QT线程中接收别的线程的消息,接收到消息后刷新主界面,所以刷新主界面的动作并不是在主线程做的,这有可能会导致Qt程序发生错误,后面做出了修改,界面的操作放在了主界面类的信号槽函数中,消息线程接收到消息后发送信号来通知主界面,由此解决了此问题,关于这个问题的具体原因
报错stack corruption detected(-fstack-protector)
deamer_的博客
11-24 2250
Android运行到某个环节的时候,log出现:stack corruption detected(-fstack-protector)
__stack_chk_fail栈检查失败
热门推荐
青梅煮酒的专栏
06-06 2万+
1. __stack_chk_fail的作用 在了函数的局部变量和保存的指令指针(译注:此处指返回地址和EBP)之间。这个值被称作金丝雀(“canary”)值 参考 http://www.freebuf.com/articles/system/24177.html 2. 发生原因及原理 数组越界写入,导致 canary值被修改。在函数退出时检查canary,发现canar
nepctf pwn easystack(_stack_chk_fail)
qq_51868336的博客
03-24 1177
这道题考察的是对_stack_chk_fail的利用 _stack_chk_fail 简单来说就是检测到canary被修改后就会触发_stack_chk_fail函数抛出异常并结束进程,这个函数的利用点在于它调用 _fortify_fail 来输出异常信息,其中包含libc_argv[0]指向的程序名 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __fortify_fail ("stack smashing detected");
Coredump-N: __stack_chk_fail: stack smashing detected;stack-protector
mzhan017的博客
11-04 500
栈 (gdb) bt #0 0x00007f4a4e6e637f in raise () from /lib64/libc.so.6 #1 0x00007f4a4e6d0db5 in abort () from /lib64/libc.so.6 #2 0x00007f4a4e7294e7 in __libc_message () from /lib64/libc.so.6 #3 0x00007f4a4e7bc365 in __fortify_fail_abort () from /lib64/lib
栈溢出 __stack_chk_fail
tianyexing2008的博客
08-13 944
今天在调试多进程时,发现有一个进程崩溃了,打印堆栈如: 在调用本地接口reportHashSTL后,进到c库接口__stack_chk_fail,上网搜索了一下,这个错误表示栈溢出,一般是数组越界写入导致,__stack_chk_fail相关的可自行网上搜索。这里记录排查过程。 1,首先是找到调用源码,如下: 注意这里数组大小为84。 2,reportHash 源码片段,如下: 一开始以为是for循环里循环次数太大导致入参tszTemp不够装下,但第一次加打印时mInternal-&gt.
__stack_chk_fail问题分析
风之伤
02-24 2529
再说一下,canary破坏很大可能是memset memcpy越界修改造成的,而且是栈中的变量,如下static概率就比较小,因为static变量不在栈中,所以,大概率是tmp这个数组。,canary存放位置如下,如果func1函数中有越界操作,很可能会修改到canary,stack_chk_fail检测canary就会失败。所以大概率问题出现在32行的memcpy,p2-p1可能越界了,因为tmp与stlog大小一样,tmp在开头加了一断字符,p2-p1+l。发生了缓冲区溢出,canary被破坏
gdb 看汇编 栈溢出
最新发布
08-23
<think>我们正在处理一个关于使用GDB查看汇编代码以分析栈溢出问题的请求。根据引用内容,我们知道栈溢出通常是由于向栈中写入的数据超过了为其分配的空间,从而覆盖了返回地址或重要数据,导致程序崩溃。以下是使用GDB进行汇编级调试的步骤: ### 步骤1:编译程序时包含调试信息 在编译程序时,必须使用`-g`选项来包含调试信息,这样GDB才能显示源代码和行号等信息。 ```bash gcc -g -o test test.c # 假设源文件为test.c ``` ### 步骤2:运行程序生成核心转储文件(core dump) 如果程序因为栈溢出而崩溃,我们需要生成核心转储文件以便后续分析。首先,确保系统允许生成核心转储文件: ```bash ulimit -c unlimited ``` 然后运行程序,直到它崩溃并生成core文件。 ### 步骤3:启动GDB并加载核心转储文件 使用以下命令启动GDB并加载可执行文件和核心转储文件: ```bash gdb ./test core # 假设可执行文件为test,core文件为core ``` ### 步骤4:查看崩溃时的调用栈 在GDB中,使用`backtrace`(或简写`bt`)命令查看程序崩溃时的调用栈: ``` (gdb) bt ``` 这将显示函数调用序列,帮助我们定位崩溃发生在哪个函数中。 ### 步骤5:查看汇编代码 为了分析栈溢出,我们需要查看发生崩溃的函数的汇编代码。使用`disassemble`(或简写`disas`)命令: ``` (gdb) disas function_name # 如果知道函数名 或 (gdb) disas address_range # 如果知道地址范围 ``` 如果不知道函数名,可以先通过`bt`找到发生崩溃的函数,然后使用`frame`命令切换到该帧,再使用`disas`查看当前函数的汇编代码: ``` (gdb) frame n # n是帧号,如frame 0表示当前帧 (gdb) disas ``` ### 步骤6:分析栈帧 在汇编代码中,我们需要关注函数的入口(prologue)和出口(epilogue)指令,这些指令通常用于设置和恢复栈帧。 - **函数入口**:通常包括`push %rbp`(保存旧的基指针)和`mov %rsp, %rbp`(设置新的基指针)。 - **函数出口**:通常包括`leave`(相当于`mov %rbp, %rsp`和`pop %rbp`)和`ret`(返回)。 栈溢出通常发生在函数内部,当向栈上的缓冲区写入超过其分配大小的数据时,会覆盖返回地址(位于`%rbp`上方)。在汇编代码中,我们可以计算缓冲区的起始地址(通常是`%rbp`减去一个偏移量)和返回地址的位置(`%rbp+8`)。 ### 步骤7:检查寄存器和栈内容 使用以下命令查看寄存器的值: ``` (gdb) info registers ``` 特别是栈指针(`rsp`)和基指针(`rbp`)的值,它们定义了当前栈帧的范围。 查看栈内容可以使用: ``` (gdb) x/40x $rsp # 查看从rsp开始的40个字(word)的内容,以十六进制显示 ``` ### 步骤8:定位溢出点 在栈溢出时,返回地址被覆盖会导致程序跳转到非法地址。我们可以检查崩溃时指令指针(`rip`)的值,以及返回地址是否被修改: ``` (gdb) p $rip (gdb) x $rbp+8 # 查看返回地址 ``` 如果返回地址被修改,那么它可能指向一个无效地址,导致段错误。 ### 示例分析 假设我们有一个函数`vulnerable`,其中包含一个局部缓冲区`buf`,大小为10字节。在汇编代码中,我们可能会看到: ``` 0x0000000000400566 <+0>: push %rbp 0x0000000000400567 <+1>: mov %rsp,%rbp 0x000000000040056a <+4>: sub $0x10,%rsp # 分配16字节栈空间(包括buf和可能的对齐) ``` 这里,`buf`的地址可能是`%rbp-0x10`(实际上,由于对齐和编译器优化,可能不是精确的10字节,而是16字节)。如果我们向`buf`写入超过10字节的数据(比如16字节以上),就可能覆盖保存的`%rbp`和返回地址。 ### 注意事项 - 在64位系统中,函数参数通常通过寄存器传递(前6个参数),但局部变量仍然在栈上分配。 - 栈溢出攻击可能利用这一点覆盖返回地址,控制程序流。 ### 相关问题 1. 如何防止栈溢出攻击?[^1] 2. 在GDB中如何设置断点以监控栈内容的变化? 3. 除了栈溢出,还有哪些常见的内存安全问题? 4. 如何通过编译器选项(如`-fstack-protector`)来检测栈溢出?[^2] 5. 在Linux中如何调整栈大小限制?[^3] [^1]: 栈溢出攻击可以通过使用安全的函数(如`fgets`代替`gets`)和栈保护机制来防止。 [^2]: 编译器选项`-fstack-protector`可以在函数中插入栈保护代码,检测栈溢出。 [^3]: 使用`ulimit -s`可以查看和设置栈大小限制,例如`ulimit -s 8192`设置栈大小为8MB。</think>### 使用GDB查看汇编代码分析栈溢出的完整指南 #### 步骤1:编译程序并启用调试信息 ```bash gcc -g -fno-stack-protector -z execstack -o vulnerable vulnerable.c ``` - `-g`:包含调试信息 - `-fno-stack-protector`:禁用栈保护机制(便于演示) - `-z execstack`:允许栈执行(仅用于实验环境) #### 步骤2:启动GDB并设置汇编语法 ```bash gdb ./vulnerable (gdb) set disassembly-flavor intel # 设置Intel汇编语法 ``` #### 步骤3:查看关键函数汇编代码 ```c // vulnerable.c 示例代码 void vulnerable_function() { char buffer[64]; gets(buffer); // 危险函数,导致栈溢出 } int main() { vulnerable_function(); return 0; } ``` 在GDB中查看函数汇编: ```gdb (gdb) disassemble vulnerable_function Dump of assembler code for function vulnerable_function: 0x0804845b <+0>: push ebp 0x0804845c <+1>: mov ebp,esp 0x0804845e <+3>: sub esp,0x48 ; 分配栈空间(0x48=72字节) 0x08048461 <+6>: lea eax,[ebp-0x40] ; buffer起始地址(ebp-0x40) 0x08048464 <+9>: mov DWORD PTR [esp],eax 0x08048467 <+12>: call 0x8048320 <gets@plt> ; 调用危险函数 0x0804846c <+17>: leave 0x0804846d <+18>: ret End of assembler dump. ``` #### 步骤4:关键内存区域分析 | 内存位置 | 内容说明 | 偏移量示例 | |----------------|------------------------|------------| | `ebp-0x40` | 缓冲区起始位置 | -64字节 | | `ebp` | 保存的ebp值 | 0 | | `ebp+0x4` | 返回地址(关键目标) | +4字节 | | `ebp+0x8` | 函数参数起始位置 | +8字节 | #### 步骤5:设置断点并运行 ```gdb (gdb) break *0x08048467 # 在gets调用前设置断点 (gdb) run ``` #### 步骤6:检查栈状态(触发溢出前) ```gdb (gdb) x/32xw $esp # 查看栈内容(32个4字节字) 0xffffd550: 0xffffd560 0x00000000 0xf7e2a4d3 0xffffd574 0xffffd560: 0x00000000 0x00000000 0x00000000 0x00000000 # 缓冲区 0xffffd570: 0x00000000 0x00000000 0x08048480 0xffffd588 # 保存的ebp 0xffffd580: 0x0804848d 0xf7ffd000 0x08048480 0x00000000 # 返回地址 ``` #### 步骤7:触发溢出并分析 当输入超过64字节的数据时: ```gdb (gdb) continue 输入: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBCCCC ``` 检查溢出后的栈状态: ```gdb (gdb) x/32xw $esp 0xffffd550: 0xffffd560 0x00000000 0xf7e2a4d3 0xffffd574 0xffffd560: 0x41414141 0x41414141 0x41414141 0x41414141 # 缓冲区被'A'填满 0xffffd570: 0x41414141 0x41414141 0x41414141 0x42424242 # 覆盖保存的ebp(BBBB) 0xffffd580: 0x43434343 0xf7ffd000 0x08048480 0x00000000 # 覆盖返回地址(CCCC) ``` #### 步骤8:分析崩溃原因 ```gdb (gdb) continue Program received signal SIGSEGV, Segmentation fault. 0x43434343 in ?? () # 程序尝试跳转到0x43434343('CCCC') ``` 使用`backtrace`确认调用栈损坏: ```gdb (gdb) bt #0 0x43434343 in ?? () #1 0x42424242 in ?? () #2 0x00000000 in ?? () # 调用栈完全破坏 ``` #### 栈溢出分析关键点 1. **缓冲区大小确认**: - 通过`sub esp,X`指令确定分配的栈空间大小 - 计算`缓冲区起始地址 = ebp - 分配大小` 2. **返回地址定位**: - 返回地址始终位于`ebp + 4` - 溢出攻击目标:覆盖此位置的控制流 3. **栈帧结构验证**: ``` | 高地址 | | ... | | 参数2 | <- ebp + 12 | 参数1 | <- ebp + 8 | 返回地址 | <- ebp + 4 | 保存的ebp| <- ebp | 局部变量 | <- ebp - N | ... | | 低地址 | ``` 4. **溢出特征识别**: - 返回地址被修改为非代码区域地址 - 保存的ebp值被覆盖为异常数据 - 程序计数器($eip)指向无效地址 #### 防护技术验证 ```gdb # 重新编译启用保护 gcc -g -fstack-protector -o protected vulnerable.c (gdb) run 输入超长数据后... *** stack smashing detected ***: ./protected terminated ``` 此时GDB会显示__stack_chk_fail的调用栈,帮助定位溢出点[^1]。 ### 相关问题 1. 如何利用GDB在栈溢出时自动捕获核心转储?[^2] 2. 64位系统和32位系统在栈溢出分析中有哪些关键区别?[^3] 3. 如何通过GDB脚本自动化栈溢出分析过程? 4. 除了gets函数,还有哪些常见函数会导致栈溢出漏洞? 5. 如何通过汇编指令识别金丝雀值(canary)的保护机制?[^1]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值