SROP 学习笔记

已于 2022-05-14 14:24:39 修改
阅读量911 收藏 9
点赞数 1
分类专栏: pwn 文章标签: 学习 安全
于 2022-05-14 14:10:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/124767629
版权
SROP(Sigreturn Oriented Programming)是Erik Bosman在2014年提出的安全技术,涉及信号处理机制和系统调用。攻击者可以伪造Signal Frame,通过sigreturn控制执行流程,实现权限提升。在CTF中,SROP常用于栈溢出漏洞的利用,通过泄露栈地址和构造SROP链来执行任意代码。
摘要由CSDN通过智能技术生成

文章目录

本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。

一、基本介绍

SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议 Oakland 2014 上,被评选为当年的 Best Student Papers。其中相关的 paper 以及 slides 的链接如下:

http://www.ieee-security.org/TC/SP2014/papers/FramingSignals-AReturntoPortableShellcode.pdf

https://tc.gtisc.gatech.edu/bss/2014/r/srop-slides.pdf

其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用。

二、signal 机制

signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。一般来说,信号机制常见的步骤如下图所示:
在这里插入图片描述

1.内核向某个进程发送 signal 机制,该进程会被暂时挂起,进入内核态。(①)

2.**内核会为该进程保存相应的上下文,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。**此时栈的结构如下图所示,我们称 ucontext 以及 siginfo 这一段为 Signal Frame。**需要注意的是,这一部分是在用户进程的地址空间的。**之后会跳转到注册过的 signal handler 中处理相应的 signal。因此,当 signal handler 执行完之后,就会执行 sigreturn 代码。(②③)
关于signal handler是什么可以参考https://www.jianshu.com/p/c5205495df2b
在这里插入图片描述

对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext

  • x86
struct sigcontext
{
   
  unsigned short gs, __gsh;
  unsigned short fs, __fsh;
  unsigned short es, __esh;
  unsigned short ds, __dsh;
  unsigned long edi;
  unsigned long esi;
  unsigned long ebp;
  unsigned long esp;
  unsigned long ebx;
  unsigned long edx;
  unsigned long ecx;
  unsigned long eax;
  unsigned long trapno;
  unsigned long err;
  unsigned long eip;
  unsigned short cs, __csh;
  unsigned long eflags;
  unsigned long esp_at_signal;
  unsigned short ss, __ssh;
  struct _fpstate * fpstate;
  unsigned long oldmask;
  unsigned long cr2;
};
  • x64
struct _fpstate
{
   
  /* FPU environment matching the 64-bit FXSAVE layout
最低0.47元/天 解锁文章
Assassin__is__me
关注
专栏目录
SROP 32位--Fun with SROP Exploitation
MillionSky的专栏
03-19 403
1 概述本文是这篇文章的笔记:Fun with SROP Exploitationhttps://v0ids3curity.blogspot.jp/2015/06/fun-with-srop-exploitation.html 环境:Ubuntu 16.042 程序nasm -felf32 vuln_s.asmld vuln_s.o -melf_i386 -o vuln_s millionsky@...
SROP简单介绍和例题
qq_45595732的博客
03-02 3938
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5679
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 498
SROP学习,例题 smallest ,ciscn_s_3
SROP——smallest-pwn(360春秋杯)
eiennoyoshiki的博客
01-06 1150
缝合了一些我认为比较好的smallest(srop)的wp
SROP相关知识和例题
最新发布
qq_60209620的博客
03-30 1773
参考书籍:《CTF权威指南(PWN篇)》
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
SROP基本原理和利用
MillionSky的专栏
03-19 6911
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
萌新学pwn之SROP
qq_36495104的博客
05-22 879
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
SROP
o琦野o的博客
02-03 841
SROPSignal机制Signal机制漏洞Signal机制利用SROP成立的条件常用系统调用调用号64位32位 Signal机制 SROP 的全称是 Sigreturn Oriented Programming 。sigreturn是一个系统调用。  ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用
关于对SROP详解
stopys6的博客
09-08 583
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1366
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1847
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
pwn-1
zip471642048的博客
12-19 480
附件拖进32位ida查看反编译c代码。 main函数 查看main函数发现调用了vuln函数 vuln函数 vuln函数会读取输入的字符串长度限制为32在读取字符串的时候并不会产生溢出漏洞,而是在strcpy出重新赋值时造成溢出。 int vuln() { const char *v0; // eax char s; // [esp+1Ch] [ebp-3Ch] char v3; // [esp+3Ch] [ebp-1Ch] char v4; // [esp+40h] [ebp-18h]
栈泄漏实践报告
qq_24599583的博客
10-09 668
0x00 栈溢出是啥呀! 栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。 例如:read(0, buf, 80); 要想栈溢出,我们????️满足两个条件。 第一,程序要有向栈写入数据的行为; 第二,程序并不限制写入数据的长度。 我们知道,UNIX本身以及其上的许多应用程序都是用C语言编写的,C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。 如果想用栈溢出来执行攻击指令,就要在溢
泄露地址和利用总结
inquisiter
07-17 868
已知libc.so 栈执行保护---------->调用libc.so system("/bin/sh") 关闭ASLR system在内存中的地址不会变化 如果elf中调用了print和read,那么我们就可以搜索内存直接调用。 如果开启ASLR, 我们可以根据got得到print@plt和system在libc.so中的偏移得到system 的地址。 read@plt ...
CTF-PWN-HouseOfGrey(栈溢出+maps泄露地址+mem泄露内存)
SuperGate的博客
01-27 1175
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 查看程序保护后发现保护全开 supergate...
srop的基本原理是什么
03-03
SROP(Sigreturn-Oriented Programming)是一种利用信号处理函数(signal handler)来执行攻击代码的技术。攻击者通过利用程序中的漏洞,将程序状态中的寄存器值篡改成指向一个虚假的信号处理函数,并且在这个虚假的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值