有没有办法绕过SSP（StackSmashing Protection）/Propolice？

Question

经过一番研究后，我没有找到任何描述执行此操作的方法的论文（甚至没有一篇不可靠的论文）。 好像是SSP（StackSmashing Protection）/Propolice

Answer 1

Canary 是一种非常好的安全措施，可以防止某些缓冲区溢出。 多年来，各种 Canary 实现已被破坏，然后变得更加安全。 重要的是，尽管有先进的内存保护，缓冲区溢出仍然在 Vista、Windows 7 和 Fedora 11 上被利用……值得

一提的是，Canary 只保护函数的调用框架（其中包括强大的 EIP！） 。 缓冲区溢出可能发生在另一段内存（例如堆）中，而金丝雀不会产生任何影响。 此外，应用程序可以使用缓冲区溢出进行黑客攻击，而无需覆盖 EIP。 控制 EIP 是一种非常直接且简单的方法，可以将缓冲区溢出转变为杀手级漏洞利用，这就是为什么它是最常见的漏洞利用方法。

这些利用方法以及其他方法在利用软件：如何破解代码中进行了详细介绍。

Answer 2

我更熟悉 Microsoft 的 GS 堆栈保护，但这两种方法看起来很相似。

以下来自 Microsoft 的博客文章展示了一个示例，即使在使用堆栈 cookie 时，攻击者仍然可以控制（第一个示例应该适用于非 Windows 系统）：

• http://blogs.technet.com/srd/archive/2009/03 /16/gs-cookie-protection-effectness-and-limitations.aspx

这篇博文讨论了一些即将到来的堆栈保护改进：

• http://blogs.technet.com/srd/archive/2009/03/20/enhanced-gs-in-visual-studio-2010.aspx

Answer 3

如果应用程序在堆栈上有一个数组/缓冲区，并且使用调用者控制的索引值而不进行边界检查，则调用者将能够访问任意内存位置，并且堆栈保护将无法阻止或检测到它。