SROP

最新推荐文章于 2023-05-04 22:50:10 发布
最新推荐文章于 2023-05-04 22:50:10 发布
阅读量725 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45878152/article/details/113617137
版权

SROP

Signal机制

SROP 的全称是 Sigreturn Oriented Programmingsigreturn是一个系统调用。

 ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用。因此,当 signal handler 执行完之后,栈指针就指向 rt_sigreturn ,所以,signal handler 函数的最后一条ret指令会使得执行流跳转到这段 sigreturn 代码,被动地进行 sigreturn 系统调用。

 ​ ​我们将被挂起的进程称为 Signal Frame

 ​ ​​在内核sigreturn系统调用处理函数中,会根据当前的栈指针指向的 Signal Frame 对进程上下文进行恢复,并返回用户态,从挂起点恢复执行。

Signal机制漏洞

  1. ​这个 Signal Frame 是被保存在进程的地址空间中的,是可以修改的;

  2. ​内核并没有将保存的过程和恢复的过程进行一个比较,也就是说,在 sigreturn 这个系统调用的处理函数中,内核并没有判断要恢复的这个 Signal Frame 就是之前内核为进程保存的那个 SignalFrame

Signal机制利用

 ​ ​​假设一个攻击者可以控制用户进程的栈,那么它就可以伪造一个 Signal Frame

​ ​ ​可以利用 SigreturnFrame 函数来伪造 Signal Frame

 ​ ​格式:xxx = SigreturnFrame()

 ​ ​​在这个伪造的 Signal Frame 中,将 rax = constants.SYS_xxx ,将 rdi 设置成字符串 /bin/sh 的地址,将 rip 设置成系统调用指令 syscall 的内存地址,最后,将 rt_sigreturn 手动设置成 sigreturn 系统调用的内存地址。

 ​ ​​当这个伪造的 sigreturn 系统调用返回之后,相应的寄存器就被设置成了攻击者可以控制的值。

SROP成立的条件

  1. 可以通过 stack overflow 等漏洞控制栈上的内容;
  2. 需要知道栈的地址(比如需要知道自己构造的字符串 /bin/sh 的地址); ​
  3. 需要知道 syscall 指令在内存中的地址;
  4. ​需要知道 sigreturn 调用的内存地址。

常用系统调用调用号

64位

系统调用调用号函数原型
read0read(int fd, void *buf, size_t count)
write1write(int fd, const void *buf, size_t count)
sigreturn15int sigreturn(…)
execve59execve(const char *filename, char *const argv[],char *const envp[])

32位

系统调用调用号函数原型
read3read(int fd, void *buf, size_t count)
write4write(int fd, const void *buf, size_t count)
sigreturn119int sigreturn(…)
execve11execve(const char *filename, char *const argv[],char *const envp[])
o琦野o
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
萌新学pwn之SROP
qq_36495104的博客
05-22 847
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
栈溢出SROP攻击
蚁景网安学院
10-09 480
高级ROP-SROP利用在刷题时碰到这个考察点,有点震撼,特意记录下。SROP简介SROP也即Sigreturn Oriented Programming。很显然这种攻击方式与Unix系...
SROP(Sigreturn Oriented Programming)
最新发布
菊花的老窝
05-04 555
如图所示,当有中断或异常产生时,内核会向某个进程发送一个 signal,该进程被挂起并进入内核(1),然后内核为该进程保存相应的上下文,然后跳转到之前注册好的 signal handler 中处理相应的 signal(2),当 signal handler 返回后(3),内核为该进程恢复之前保存的上下文,最终恢复进程的执行(4)。会从用户栈上恢复恢复所有寄存器的值,而用户栈是保存在用户进程的地址空间中的,是用户进程可读写的。和其他的系统调用串起来,形成一个链,从而达到任意代码执行的目的。
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
A 64 sub carrier OFDM system based on the parameter of Mean square error
随机舍入工具箱:MATLAB 工具箱,用于 IEEE 754 浮点算法中的随机舍入基本算术运算。-matlab开发
06-01
健壮的界面* srop:对上述所有内容进行参数检查。 3. 实用功能* twosum:增广求和 [Alg. 4.4, 2] * twoprodfma:增强产品 [Alg. 4.8,2] 1. 中的函数不检查输入参数,因此效率更高但鲁棒性较差。 2. 中的接口检查...
csapplab:学习csapp
04-04
不过效率还挺高的,嘿嘿,学了泄露libc的一个工具Dynelf,堆的fastbin attack的一部分(大致了解了相关概念(fastbin,smallbin,largebin)的结构和malloc,free的过程),还学了srop,栈迁移,fakeframe(这个原理...
politicalhub-api
03-29
自述文件用法列出政治组织GET..., " logo " : " https://aplicaciones007.jne.gob.pe//srop_publico/Consulta/Simbolo/GetSimbolo/2859 " }, { " id " : 18 , " name " : " PERU NACION " , " slug " : " peru-nacion
SROP简单介绍和例题
qq_45595732的博客
03-02 3830
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
SROP 32位DEMO
MillionSky的专栏
03-19 518
1 概述开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。主要参考这篇文章1. Sigreturn Oriented Programming攻击简介https://www.anquanke.com/post/id/85810直接拿原文中的程序测试,没有复现成功,主要的问题有:1. VDSO的爆破不成功,GDB调试发现对应的位置没有找到对应的指令:sig...
SROP 64位-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1195
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64位SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1506
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
SROP的一个实例
weixin_30908649的博客
04-21 128
以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便 unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest 00:54:15 Warning: Cannot in...
SROP简单姿势学习-Ciscn_s_3
aptx4869_li的博客
08-06 497
解题思路 安全机制检查 healer@healer-virtual-machine:~/Desktop/ciscn_s_3$ readelf -h ciscn_s_3 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, lit
SROP基本原理和利用
MillionSky的专栏
03-19 6855
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5475
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
srop的基本原理是什么
03-03
SROP(Sigreturn-Oriented Programming)是一种利用信号处理函数(signal handler)来执行攻击代码的技术。攻击者通过利用程序中的漏洞,将程序状态中的寄存器值篡改成指向一个虚假的信号处理函数,并且在这个虚假的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值