SROP 64位-smallest(2017429ctf.ichunqiu)

最新推荐文章于 2024-01-06 21:43:10 发布
最新推荐文章于 2024-01-06 21:43:10 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: PWN 文章标签: SROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luozhaotian/article/details/79608220
版权

概述

360春秋杯”国际网络安全挑战赛

Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017

http://2017429ctf.ichunqiu.com/competition/index

 

64位SROP很好的练习题。

程序分析

millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest

 

smallest:     文件格式 elf64-x86-64

 

 

Disassembly of section .text:

 

00000000004000b0 <.text>:

  4000b0:       48 31 c0                xor    %rax,%rax

  4000b3:       ba 00 04 00 00          mov    $0x400,%edx

  4000b8:       48 89 e6                mov    %rsp,%rsi

  4000bb:       48 89 c7                mov    %rax,%rdi

  4000be:       0f 05                   syscall

  4000c0:       c3                      retq   

漏洞利用

3.1 关键点

1. 可以通过发送字节的数量控制read的返回值控制RAX

这里可以利用的系统调用为:

#define __NR_write 1

#define __NR_rt_sigreturn 15

 

2. 如何进行SROP

问题:sigreturn在64位syscall号为15,Signal Frame的大小位0xF8,明显比15要大,如何传输SignalFrame?

 

方案:两次read,第一次传输SignalFrame,第二次设置rax为15

 第一次read时传输的数据格式为

    Return Address or SYS_read

    PlaceHolder for syscall

    SignalFrame

 第二次read时传输的数据格式为(总共15个字节)

    syscall_addr

    7个字节的填充

Syscall gadget

 程序本身有,如果没有,vsyscall中有

3. SROP中RSP的设置

RSP必须设置为一个可写的地址。

栈中的某些数据是指向栈的指针,泄露这些数据可以得到栈的值或一个可写的地址。

l 通过argv[0]和envp获取栈所在的页

int main(int argc, char *argv[], char *envp[])

argv[0]是一个栈地址,指向的是程序的名称;

envp中保存的都是环境变量的地址,都位于栈中;

addr = leak() & 0xfffffffffffffff000

l 通过附加向量的AT_RANDOM/AT_PLATFORM获取RSP的值

附加向量中的AT_RANDOM指示栈中16字节随机数的地址。在栈中位于附加向量的后面,环境字符串的前面。可以通过这个地址计算栈中数据的地址。

AT_PLATFORM位于AT_RANDOM后面,同样可以计算RSP的值。

l SROP指向mprotect系统调用,将.text变为可写的

这样也可以得到一个可写的地址;

特别是EFL头中有程序的入口,通过它可以再次跳转到read gadget。

4. 如何泄露栈中的数据

通过read控制RAX的值为1(SYS_write),进而调用write系统调用。

3.2 思路1

1. Sigreturn

Read返回值控制EAX,设置为sigreturn的系统调用号0x0f

栈溢出,发送Signal Frame,执行sigreturn系统调用;

Sigreturn设置RSP指向ELF header中的entry point

2. Mprotect

sigreturn执行mprotect系统调用,将text段设置为RWX

3. read gadget

通过Entry point再次执行read gadget

4. Shellcode

read读取shellcode放入栈中,执行shellcode

3.3 思路2

1. Write泄露envp,获取栈地址

2. Sigreturn设置RSP为获取的地址,RIP设置为read gadget

3. Read gadget发送Signal Frame和/bin/sh

4. Sigreturn执行execve系统调用

3.4 思路3

1. Write泄露auxv AT_RANDOM/AT_PLATFORM,获取栈地址

2. Read gadget发送Signal Frame和/bin/sh

3. Sigreturn执行execve系统调用

EXP1

1. Sigreturn&mprotect&设置RSP

Sigreturn设置RSP指向ELF header中的entry point

RIP: 400c0(sys_read(pg)执行完毕)

+1

Return addr
addr_of_sys_read(1)

 

+2

PlaceHolder

 'A' * 8

+3

Signal Frame

 

+4

 '\n'

 

 

RIP: 400c0(sys_read(1)执行完毕)
发送了0x0f个字节,即sys_sigreturn

+2

Return addr
addr_of_syscall

sigreturn

+3

Signal Frame

前7个字节被覆盖为6个\x11和1个\n

+4

 '\n'

 

 

2. 通过Entry point再次执行read gadget

RIP: 400c0(sys_sigreturn&mprotect执行完毕)
  RSP=elf_hdr_addr+0x18

N+0
0x400018

Return addr
addr_of_sys_read(2)

 

N+1

 

 

 

3. 传输并执行shellcode

RIP: 400c0(sys_read(2)执行完毕)

N+1
0x40020

Return addr
shellcode_addr

 0x400028

N+1
0x40028

 shellcode

 

 

0x0a

 

EXP2

代码来自http://anciety.cn/2017/04/21/2017429ctf-smallest-writeup/

见附件

 

1. 泄露argv[0]

RIP: 400c0(sys_read(pg)执行完毕)

+0

Return addr
最低0.47元/天 解锁文章
MillionSky
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
2017 429 ichunqiu ctf smallest(pwn300) writeup
jmp esp
05-22 2290
Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017吐槽这次这道smallest确实很有创造力,算是这次比赛我感觉比较好的地方了。这次比赛本身槽点是无数的,10点开始的比赛,11点都进不去平台,紧急修复到12点,然后12点半在网站通知比赛时间到1点,中途一直不肯决定 比赛到底推迟到几点进行,一早上的课都不敢好好上,确实是非常的坑。然后在做这道
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 467
SROP学习,例题 smallest ,ciscn_s_3
9.9. Program Interpreter
mounter625的专栏
10-26 375
9.9. Program Interpreter The term “program interpreter” comes from the ELF standard. On Linux, the program interpreter is ld.so (/lib/ld-linux.so), the run time linker/loader. The program interpreter...
创龙TMS320C6748开发板———中断介绍(2)中断向量表配置及说明
xiaoluoshan的专栏
01-13 3284
一、中断模块寄存器介绍             本节我们主要介绍中断向量汇编文件。为方便说明,程序前面是后加的序号。 1     ; Global symbols defined here 2     .global _intcVectorTable 3     .global _c_int00 4   .global _UPP_INT_isr 5   .glo
360chunqiu2017_smallest
qq_34010404的博客
05-26 132
stack地址不好泄露,但是发现elf的入口处刚好保存了start地址,只要把rsp设置为这个位置就能再次利用溢出 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29216) context.arch = 'amd64' syscall = 0x4000BE start = 0x4000B0 _context = SigreturnFrame() _context.rip = syscall _conte
信息安全_数据安全_eu-16-Sullivan-Towards-A-Policy-.pdf
08-22
攻击与防御之间的军备竞赛仍在继续,各种新的攻击技术如ROP、SROP、JIT-ROP等不断出现,而防御策略也相应地发展出CFI、ROPGuard、BinCFI等一系列工具。尽管如此,寻找一种既实用又安全的解决方案仍然是一个挑战,这...
politicalhub-api
03-29
自述文件用法列出政治组织GET..., " logo " : " https://aplicaciones007.jne.gob.pe//srop_publico/Consulta/Simbolo/GetSimbolo/2859 " }, { " id " : 18 , " name " : " PERU NACION " , " slug " : " peru-nacion
计算机系统设计作业-张宁1
08-04
SRop控制信号至少需要2位,因为它控制3种操作。 - Srout控制计算机运算结果的输出。 - 端点①至⑨中,与控制部件输出端相连的是①②③⑤⑧。 - 数据流动方向的连线应为⑥→⑨(ALU结果到总线)和⑦→④(SR输出到...
201608010219-罗枭鸿-练习题1
08-04
冯诺依曼计算机指令系统和Cache存储器 在冯诺依曼计算机中,指令和数据都是以二进制形式存放在存储器中。CPU 区别它们的依据是指令操作码的译码结果。...控制信号 AULop 和 Srop 是用于控制 ALU 和 SR 的操作。
360chunqiu2017_smallest —— 从例题理解SROP
Tokameine的博客
08-29 1274
前言: 本篇博客为个人学习过程中的理解,仅记录个人理解,WIKI写的要比本篇详细得多。若与其存在矛盾,请以WIKI为准,也感谢读者指出问题。 正文: SROP(Sigreturn Oriented Programming),与常规ROP的区别在于通过sigreturn函数来进行返回而不是retn指令 这里引用WIKI中对Signal机制的介绍: Signal 机制¶ Signal 机制是类 unix 系统中进程之间相互传递信息的一...
CTF-PWN-栈溢出-高级ROP-【SROP
llovewuzhengzi的博客
01-04 935
SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议 Oakland 2014 上,被评选为当年的 Best Student Papers。论文和PPT如下。
好好说话之SROP
hollk’s blog
07-26 1570
这个例子写的也非常详细,前面的理论部分出自wiki,是因为博主觉得自己写出来的理论并没有wiki表达的好。但是不要着急关闭,往后看一看,后面的尝试、思路构建及自己做题遇到的问题,都会有详细的讲解。编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
SROP——smallest-pwn(360春秋杯)
最新发布
eiennoyoshiki的博客
01-06 1059
缝合了一些我认为比较好的smallestsrop)的wp
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5534
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
CTF wiki srop 学习记录
m0_57754423的博客
03-04 343
参考wiki,hollk师傅博客。 说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。 srop: 在unix系统发生signal的时候会执行sigreturn 系统调用。 signal机制: signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。 介绍: 1.内核向某个程序中发送signal机制
高级ROP
听鬼哥说故事
08-29 4913
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
srop学习 rootersctf_2019_srop
weixin_46521144的博客
10-12 495
rootersctf_2019_srop 前置知识 这里有必要讲一下什么是sropctf_wiki的描述 这里我也简单说一下我的理解。就是内核处理信号(软中断)的时候,会将寄存器压栈到用户地址空间(这里有点小疑惑,因为内核切换进程的时候压栈是属于到内核地址空间,这里是用户地址空间)然后切换回来的时候,调用rt_sigreturnpop回来之前保存的寄存器等。那么我们只要拥有这个gardet,就可以控制程序执行流以及次奥用的系统调用的参数。而触发pop这些寄存器的方法就是直接调用这个rt_sigreturn
告诉我SROP的原理及利用方法
03-29
SROP(Sigreturn-oriented programming)是一种利用信号处理程序返回(sigreturn)操作来执行攻击代码的技术。 当进程捕获一个信号时,内核会保存当前进程的状态(寄存器状态、堆栈等)并跳转到信号处理程序的地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值