Linux SROP 原理与攻击

最新推荐文章于 2024-10-10 21:40:00 发布
最新推荐文章于 2024-10-10 21:40:00 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31481187/article/details/73929569
版权
本文详细介绍了Linux系统的Sigreturn Oriented Programming(SROP)原理,包括信号处理机制、sigreturn系统调用的关键作用。文章还探讨了如何利用SROP进行攻击,包括攻击流程、构造frame结构和执行sigreturn,并通过具体的CTF题目解析了SROP的利用方法。
摘要由CSDN通过智能技术生成

理解并掌握基本的SROP理论以及其攻击方法,这里主要结合freebuf的文章http://www.freebuf.com/articles/network/87447.html,以及i春秋360杯和2017广东省红帽杯的题目路整理一下思路。

0x01 原理

SROP的全称是Sigreturn Oriented Programming。在这里sigreturn是一个系统调用,它在unix系统发生signal的时候会被间接地调用。

Signal这套机制在1970年代就被提出来并整合进了UNIX内核中,它在现在的操作系统中被使用的非常广泛,比如内核要杀死一个进程(kill -9 $PID),再比如为进程设置定时器,或者通知进程一些异常事件等等。

当内核向某个进程发起(deliver)一个signal,该进程会被暂时挂起(suspend),进入内核(1),然后内核为该进程保存相应的上下文,跳转到之前注册好的signal handler中处理相应signal(2),当signal handler返回之后(3),内核为该进程恢复之前保存的上下文,最后恢复进程的执行(4)。

这里写图片描述

在这里我们主要理解sigreturn的意义是,去执行一段pop函数将堆栈中的值全部pop到寄存器中,相当于一个恢复现场的作用(攻击的时候主要运用的这一点)。

在这四步过程中,第三步是关键,即如何使得用户态的signal handler执行完成之后能够顺利返回内核态。在类UNIX的各种不同的系统中,这个过程有些许的区别,但是大致过程是一样的。这里以Linux为例:
在第二步的时候,内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址rt_sigreturn,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用。因此,当signal handler执行完之后,栈指针(stack pointer)就指向rt_sigreturn,所以,signal handler函数的最后一条ret指令会使得执行流跳转到这段sigreturn代码,被动地进行sigreturn系统调用。下图显示了栈上保存的用户进程上下文、signal相关信息,以及rt_sigreturn
这里写图片描述
我们将这段内存称为一个Signal Frame

0x02 攻击

最低0.47元/天 解锁文章
4ct10n
关注
专栏目录
SROP
o琦野o的博客
02-03 864
SROPSignal机制Signal机制漏洞Signal机制利用SROP成立的条件常用系统调用调用号64位32位 Signal机制 SROP 的全称是 Sigreturn Oriented Programming 。sigreturn是一个系统调用。  ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用
SROP基本原理和利用
MillionSky的专栏
03-19 6964
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
Sigreturn Oriented Programming (SROP) Attack攻击原理
zsj2102的专栏
11-17 1773
Sigreturn Oriented Programming (SROP) Attack攻击原理 mctrain 2015-12-01 共264259人围观 ,发现 6 个不明物体 网络安全 本文原创作者:mctrain 去年投了一篇文章,介绍BROP攻击。反响还挺好的,也帮助了很多人去理解这个非常smart的攻击原理。当然大家也可以去我的博客看这个攻击的重现。 这
SROP验证
最新发布
yjh_fnu_ltn的博客
10-10 1155
额外关注一下函数的调用栈上,__restore_rt是直接从函数头开始的,说明调用signal_hand函数的不是 restore_rt函数,而是内核直接安排在栈上,用来执行完signal_hand信号处理函数后直接恢复进程原来的上下文,来模仿一个call 指令(将返回地址入栈)之后,会执行一系列的 pop 指令恢复相应寄存器的值,当执行到pop rip 时,就会将程序执行流指向 syscall 地址,根据相应寄存器的值,此时,便会得到一个 shell。上面的例子中,我们只是单独的获得一个 shell。
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 393
64位,开启了NX保护 main函数调用了vuln
深入理解Linux内核-进程-信号
x13262608581的博客
08-10 1049
信号
告诉我SROP原理及利用方法
03-29
SROP(Sigreturn-oriented programming)是一种利用信号处理程序返回(sigreturn)操作来执行攻击代码的技术。 当进程捕获一个信号时,内核会保存当前进程的状态(寄存器状态、堆栈等)并跳转到信号处理程序的地址...
srop的基本原理是什么
03-03
SROP 原理的基本思想是,通过修改程序中的寄存器值,让程序跳转到一个虚假的信号处理函数,这个信号处理函数会执行攻击者构造的恶意代码,从而实现攻击目的。具体来说,攻击者在恶意代码中利用 syscall 指令实现系统...
SROP 学习笔记
Assassin
05-14 971
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
linux内核pwn,Linux pwn入门教程(8)——SROP
weixin_28909779的博客
04-29 770
作者:Tangerine@SAINTSEC0x00 SROP应用场景与原理SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。正如这篇文章所说,传统的ROP技术,尤其是amd64上的ROP,需...
栈溢出SROP攻击
蚁景网安学院
10-09 526
高级ROP-SROP利用在刷题时碰到这个考察点,有点震撼,特意记录下。SROP简介SROP也即Sigreturn Oriented Programming。很显然这种攻击方式与Unix系...
《趣谈Linux》总结七:进程间通信
chuixue24的博客
03-25 369
29 进程间通信 29.1 管道模型 上一个阶段完全做完,才将输出结果交给下一个阶段 “|”就是一个管道。它会将前一个命令的输出,作为后一个命令的输入。 管道是一种单向传输数据的机制,它其实是一段缓存,里面的数据只能从一端写入,从另一端读出。 如果想互相通信,需要创建两个管道才行。 管道分为两种类型: “|” 表示的管道称为匿名管道,意思就是这个类型的管道没有名字,用完了就销毁了。 竖线代表的管道随着命令的执行自动创建、自动销毁。用户甚至都不知道自己在用管道这种技术,就已经解决了问题。 另外
Linux操作系统之进程间通信
Carroll的博客
08-28 704
文章目录进程间通信的各种模式信号管道IPC(Inter-Process Communication,进程间通信) 进程间通信的各种模式 管道模型:类似瀑布开发模式的管道 消息队列模型:类似邮件模式的消息队列 共享内存模型:类似会议室联合开发的共享内存加信号量 信号量:类似应急预案的信号 信号量其实是一个计数器,主要用于实现进程间的互斥与同步,而不是用于存储进程间通信数据。 将信号量初始化为一个数值,来代表某种资源的总体数量。对于信号量来讲,会定义两种原子操作,一个是P 操作,我们称为申请资源操作。
linux 信号优先级,linux内核中的信号机制
weixin_34696080的博客
05-14 683
linux内核中的信号机制--信号处理Kernel version:2.6.14CPU architecture:ARM920TAuthor:ce123(http://blog.csdn.net/ce123)当进程被调度时,会调用do_notify_resume()来处理信号队列中的信号。信号处理主要就是调用sighand_struct结构中对应的信号处理函数。do_notify_resume()...
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 597
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
关于对SROP详解
stopys6的博客
09-08 663
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
sigaction 用法实例
热门推荐
imxiangzi的专栏
05-19 1万+
sigaction,是为替代signal 来设计的较稳定的信号处理。 signal的使用比较简单。signal(signalNO,signalproc); 而signaction,则可以设置比较多的消息。尤其是在信号处理函数过程中接受信号,进行何种处理。   使用示例为:   #include #include void WrkProcess(int nsi
浅谈Linux 信号(Signal)
不知道起啥名称的博客
06-19 1291
1.在linux用命令 kill -l 查看系统信号2.前32个信号是unix经典信号,后32为实时信号(自定义信号)3.前台进程永远只有一个,后台进程可以有n个4 用用命令ctl+c 可以结束唯一一个后台进程5.产生信号的几种方式     1)终端组合按键产生信号 (ctl+c (15  SIGTERM)  ctl+\(3  SIGQUIT)  ctl+z(20  SIGTSTP))     2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值