金丝雀是否可以防止返回到 libc 和面向返回的编程攻击？

Question

我试图了解如果使用金丝雀，返回到 libc 和面向返回的编程漏洞是否/如何可能。
金丝雀将被放置在堆栈上的返回值和要溢出的缓冲区之间，并且需要被覆盖才能将返回值更改为库函数或计算的位置。 Canary 自 1997 年 (StackGuard) 以来就已出现，而 ROP 是 2007 年首次引入的技术 (Shacham)。

金丝雀能让这些类型的攻击变得不可能吗？

Answer 1

金丝雀会使这些类型的攻击变得不可能吗？

不，事实并非如此。它使得执行 return-to-libc 或 ROP 变得更加困难，但它绝对不是对抗此类攻击的灵丹妙药。

首先，堆栈金丝雀只能防止由于缓冲区溢出而导致返回地址崩溃。但还有其他方法可以破坏内存：间接指针覆盖或格式字符串漏洞仅举两例。

其次，可以通过用原始值覆盖堆栈金丝雀来绕过它们。我并不是说这在现代实现中很容易，但它肯定不是不可能。

第三，虽然这些攻击被称为返回-to-libc和返回面向编程，但谁说我们需要返回指令来执行这些攻击？这些攻击可以通过破坏处理器加载和跳转到的任何内存位置来发起。最常见的例子是函数指针。但我们也可以覆盖 GOT 或 longjmp 缓冲区。 （作为旁注，已经表明 ROP 可以在不使用的情况下执行任何返回指令！）

第四个原因不是堆栈金丝雀本身的弱点，而是大多数实现之一。堆栈金丝雀通常只放置在具有基于堆栈的字符缓冲区且大小至少为 8 的函数中。因此，这些实现不会检测其他缓冲区中的溢出。 此漏洞使用了整数数组中的溢出，因此无法由堆栈金丝雀检测到。

Answer 2

这是一个解释使用 gcc 创建的金丝雀的网站。 http://xorl.wordpress.com/2010/ 10/14/linux-glibc-stack-canary-values/。
由于在执行 ret 指令之前会检查金丝雀，因此如果您覆盖金丝雀（在大多数情况下，为了覆盖堆栈上的返回地址，您必须这样做），您的漏洞利用将会失败。由于 ROP 和 Return to Lib c 也会覆盖返回地址，因此这两种方法都不起作用。