canary（栈溢出保护）纯新手入门（一）

注意！是纯纯纯小白！一点都没接触过，一点都不会的那种！大佬请移步

CANARY

栈溢出保护是一种缓冲区溢出攻击的缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址让shellcode能够执行。

1.基础介绍

缓冲区：在计算机读取数据时, 在内存中开辟的临时存储数据的区域。

缓冲区溢出：针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际获取程序乃至系统的控制权。

计算机对接收的输入数据没有进行有效的检测（理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符），向缓冲区内填充数据时超过了缓冲区本身的容量，而导致数据溢出到被分配空间之外的内存空间，使得溢出的数据覆盖了其他内存空间的数据。

数据覆盖：在计算机中，因粘贴使原有数据被现有数据所占有，就称被覆盖，使原有数据消失。一旦出现数据覆盖情况是无法对数据进行恢复的，一些以为被覆盖的数据其实还存在，这种情况下是可以恢复的。

栈的返回地址：

这里需要介绍一下栈的结构

每个栈帧中包含：

局部变量表

操作数栈（也可以叫表达式栈）

动态链接（或指向运行时常量的方法引用）

动态返回地址（或方法正常退出或者异常退出的引用的定义）

一些附加信息

一个一个介绍...

局部变量表

局部变量表定义为一个数字数组，主要用于存储方法参数和定义在方法体内的局部变量，这些数据类型包括各类基本数据类型、对象引用（reference），以及returnAddress类型

（很明显这里面一堆名词对新手很不友好，没关系，一个一个来解释）

数组：有序的元素序列。若将有限个类型相同的变量的集合命名，那么这个名称为数组名。（这个学过C的都知道吧）

局部变量：在程序中只在特定过程或函数中可以访问的变量。

变量分为局部与全局，局部变量又可称之为内部变量。由某对象或某个函数所创建的变量通常都是局部变量，只能被内部引用，而无法被其它对象或函数引用。全局变量既可以是某对象函数创建，也可以是在本程序任何地方创建。全局变量是可以被本程序所有对象或函数引用。

注意：

局部变量表中的变量只在当前方法调用中有效。在方法执行时，虚拟机通过使用局部变量表完成参数值到参数变量列表的传递过程，当方法调用结束后，随着方法栈帧的销毁，局部变量表也会随之销毁。

由于局部变量表是建立在线程的栈上，是线程的私有数据，因此不存在数据安全问题。
局部变量表所需的容量大小是在编译期就确定下来的，并保存在方法的Code属性的maximum local variables数据项中，在方法运行期间是不会改变局部变量表的大小的。

对象引用：编程中将函数实例化的一种方式。

在实际中，使用对象引用作函数参数要比使用对象指针作函数参数更普遍，这是因为使用对象引用作函数参数具有用对象指针作函数参数的优点，而用对象引用作函数参数将更简单，更直接。

returnaddress就是返回地址啦..

好了，现在局部变量表应该都知道是什么东西了，接下来说操作数栈

操作数栈

在方法执行过程中，根据字节码指令，在栈中写入数据或提取数据，即入栈push（出栈pop）

操作数栈和局部变量表在访问方式上存在着较大差异，操作数栈并非采用访问索引的方式来进行数据访问的，而是通过标准的入栈和出栈操作来完成一次数据访问。

每一个操作数栈都会拥有一个明确的栈深度用于存储数值，一个32bit的数值可以用一个单位的栈深度来存储，而2个单位的栈深度则可以保存一个64bit的数值，当然操作数栈所需的容量大小在编译期就可以被完全确定下来，并保存在方法的Code属性中。

字节码（Byte-code）：是一种包含执行程序，由一序列 op 代码/数据对组成的二进制文件，一种中间码，通过源码编译过来的，可读性没有源码高。

索引：数据库术语，使用索引可快速访问数据库表中的特定信息。

索引是对数据库表中一列或多列的值进行排序的一种结构。如果要按姓查找特定职员，与必须搜索表中的所有行相比，索引会帮助您更快地获得该信息。在关系数据库中，索引是一种与表有关的数据库结构，它可以使对应于表的SQL语句执行得更快。索引的作用相当于图书的目录，可以根据目录中的页码快速找到所需的内容。

Code属性：

这个首先要介绍一下“属性”：属性( attribute )是编程语言结构的任意特性。属性在其包含的信息和复杂性等方面变化很大，特别是当它们能确定时翻译/执行过程的时间。

例如，一个数的有效位数可以根据语言的定义确定(或者至少给出一个最小值)。属性也可以在程序执行期间才确定，如(非常数)表达式的值，或者动态分配的数据结构的位置。不同的属性变化，甚至不同语言的相同属性都可能有完全不同的联编时间。在执行之前联编的属性称作静态的( static )，而只在执行期间联编的属性是动态的( dynamic )。

用于文件，指出文件是否为只读、隐藏、准备存档（备份）、压缩或加密，以及是否应索引文件内容以便加速文件搜索的信息。

属性表里包含的属性很多很多，code属性是其中之一。

那么，code属性：使用位置方法表，含义java代码编译成的字节码指令。

动态返回地址

存放该调用方法的pc寄存器的值

一个方法的结束，有两种方式

遇到return，将返回值传递给上层方法调用者，简称正常完成出口，返回指令包括ireturn( boolean,byte,char,short,int),lreturn,freturn,dreturn,以及areturn，还有return 返回为void、实例初始化方法，类和接口的初始化方法

异常完成出口，即碰到了异常，并且没有在方法内进行处理，就会退出方法。方法在执行过程总抛出异常时的异常处理，储存在一个异常处理表，方法在发生异常时候找到处理异常的代码。

无论通过哪种方式退出，在方法退出后都返回到该方法被调用的位置。方法正常退出时，调用者的pc计数器的值作为返回地址，即调用该方法的指令的下一条指令的地址，而通过异常退出的，返回地址是要通过异常表来确定，栈帧中一般不会保存这部分信息。

本质上，方法的退出就是当前栈帧出栈的过程，此时，需要恢复上层方法的数据区等信息，让调用者方法继续执行下去。

正常完成出口和异常完成出口的区别在于，通过异常完成出口推出的不会给它的上层调用者产生任何的返回值。

上层调用者：顾名思义，通俗点说就是能调动它的东西。

shellcode

shellcode是16进制的机器码。

在暂存器eip溢出后，插入一段在cpu执行的shellcode码，从而达到攻击目的（这个后面细讲）

总结

综上所述，就是利用缓冲区溢出，覆盖栈上的返回地址，然后干一个shellcode过去，就行了。而canary就是防止这个手段的。

那么它是怎么防护的呢

它往那一段信息里插入了cookie，如果恶意覆盖的话会把这段cookie一起覆盖掉，就会出发保护。