SROP基本原理和利用

最新推荐文章于 2024-03-30 09:17:19 发布
最新推荐文章于 2024-03-30 09:17:19 发布
阅读量6.9k 收藏 10
点赞数 3
分类专栏: PWN 文章标签: SROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luozhaotian/article/details/79607572
版权
SROP(Sigreturn Oriented Programming)是一种利用信号处理机制来控制程序执行的技术。通过构造特殊的信号帧,并利用sigreturn系统调用,攻击者可以控制寄存器的值,执行任意代码。本文介绍了SROP的基本原理、信号帧结构(X86和X64)、sigreturn系统调用的使用,以及SROP的利用方法和注意事项。
摘要由CSDN通过智能技术生成

概述

SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。

资源

1. Framing Signals—A Return to Portable Shellcode

http://www.ieee-security.org/TC/SP2014/papers/FramingSignals-AReturntoPortableShellcode.pdf

PS:SROP的论文,不容易理解,未读。

 2. Sigreturn Oriented Programming (SROP) Attack攻击原理

http://www.freebuf.com/articles/network/87447.html

PS:介绍了SROP的基本原理。

3. Sigreturn Oriented Programming攻击简介

https://www.anquanke.com/post/id/85810

PS:介绍了SROP的基本原理。附带有32位的DEMO。

4. Playing around with SROP

https://x86overflow.blogspot.in/2014/04/playing-around-with-srop.html

PS:32位SROP DEMO

5. Sigreturn Oriented Programming

https://www.slideshare.net/AngelBoy1/sigreturn-ori

PS:介绍了SROP的基本原理

6. 2017 429 ichunqiu ctf smallest(pwn300) writeup

http://anciety.cn/2017/04/21/2017429ctf-smallest-writeup/

PS:64位SROP实例

7. Return to VDSO using ELF Auxiliary Vectors。https://v0ids3curity.blogspot.jp/2014/12/return-to-vdso-using-elf-auxiliary.html。

PS:VDSO的利用,SROP可以利用VDSO。

8. Defcon 2015 Qualifier fuckup

https://github.com/ctfs/write-ups-2015/tree/master/defcon-qualifier-ctf-2015/pwnable/fuckup

此题较难。

SROP原理

原理主要参考上面freebuf和 anquanke的文章,不再赘述。

SROP利用

4.1 Signal Frame

Ubuntu 16.04 64

4.1.1 X86

Sigcontext

x86来说,此数据结构为sigcontext。

大小为80字节,示例:

frame.set_regvalue("eax", SYS_MPROTECT) #125

frame.set_regvalue("ebx", page_text_segment) #0x08048000

frame.set_regvalue("ecx", 0x1000)

frame.set_regvalue("edx", 0x7)

frame.set_regvalue("ebp", page_text_segment)

frame.set_regvalue("eip", INT_80) #0x08048071

frame.set_regvalue("esp", page_text_segment+16)

frame.set_regvalue("cs", 0x23)

frame.set_regvalue("ss", 0x</
最低0.47元/天 解锁文章
MillionSky
关注
专栏目录
关于对SROP详解
stopys6的博客
09-08 580
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
SROP
o琦野o的博客
02-03 839
SROPSignal机制Signal机制漏洞Signal机制利用SROP成立的条件常用系统调用调用号64位32位 Signal机制 SROP 的全称是 Sigreturn Oriented Programming 。sigreturn是一个系统调用。  ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用
SROP简单姿势学习-Ciscn_s_3
aptx4869_li的博客
08-06 520
解题思路 安全机制检查 healer@healer-virtual-machine:~/Desktop/ciscn_s_3$ readelf -h ciscn_s_3 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, lit
srop学习 rootersctf_2019_srop
weixin_46521144的博客
10-12 513
rootersctf_2019_srop 前置知识 这里有必要讲一下什么是srop。ctf_wiki的描述 这里我也简单说一下我的理解。就是内核处理信号(软中断)的时候,会将寄存器压栈到用户地址空间(这里有点小疑惑,因为内核切换进程的时候压栈是属于到内核地址空间,这里是用户地址空间)然后切换回来的时候,调用rt_sigreturnpop回来之前保存的寄存器等。那么我们只要拥有这个gardet,就可以控制程序执行流以及次奥用的系统调用的参数。而触发pop这些寄存器的方法就是直接调用这个rt_sigreturn
srop基本原理是什么
03-03
SROP 原理的基本思想是,通过修改程序中的寄存器值,让程序跳转到一个虚假的信号处理函数,这个信号处理函数会执行攻击者构造的恶意代码,从而实现攻击目的。具体来说,攻击者在恶意代码中利用 syscall 指令实现系统...
Linux SROP 原理与攻击
4ct10n
06-30 2686
理解并掌握基本的SROP理论以及其攻击方法,这里主要结合freebuf的文章http://www.freebuf.com/articles/network/87447.html,以及i春秋360杯和2017广东省红帽杯的题目路整理一下思路。
SROP 学习笔记
Assassin
05-14 911
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
ROP攻击原理及其漏洞利用技术
## 1.1 ROP攻击的基本概念和原理 ROP(Return-Oriented Programming)攻击是一种利用程序已存在的代码片段(常为叫做gadget的短代码序列)来构造恶意执行代码的攻击方式。攻击者通过篡改程序的执行流程,将已有的...
SROP(Sigreturn Oriented Programming)
菊花的老窝
05-04 733
如图所示,当有中断或异常产生时,内核会向某个进程发送一个 signal,该进程被挂起并进入内核(1),然后内核为该进程保存相应的上下文,然后跳转到之前注册好的 signal handler 中处理相应的 signal(2),当 signal handler 返回后(3),内核为该进程恢复之前保存的上下文,最终恢复进程的执行(4)。会从用户栈上恢复恢复所有寄存器的值,而用户栈是保存在用户进程的地址空间中的,是用户进程可读写的。和其他的系统调用串起来,形成一个链,从而达到任意代码执行的目的。
SROP简单介绍和例题
qq_45595732的博客
03-02 3938
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
萌新学pwn之SROP
qq_36495104的博客
05-22 878
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
SROP相关知识和例题
最新发布
qq_60209620的博客
03-30 1771
参考书籍:《CTF权威指南(PWN篇)》
SROP 32位DEMO
MillionSky的专栏
03-19 537
1 概述开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。主要参考这篇文章1. Sigreturn Oriented Programming攻击简介https://www.anquanke.com/post/id/85810直接拿原文中的程序测试,没有复现成功,主要的问题有:1. VDSO的爆破不成功,GDB调试发现对应的位置没有找到对应的指令:sig...
SROP 64位-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1227
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64位SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1617
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
告诉我SROP的原理及利用方法
03-29
SROP(Sigreturn-oriented programming)是一种利用信号处理程序返回(sigreturn)操作来执行攻击代码的技术。 当进程捕获一个信号时,内核会保存当前进程的状态(寄存器状态、堆栈等)并跳转到信号处理程序的地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值