SROP 32位--Fun with SROP Exploitation

最新推荐文章于 2024-12-10 14:43:06 发布
最新推荐文章于 2024-12-10 14:43:06 发布
阅读量472 收藏
点赞数
分类专栏: PWN 文章标签: SROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luozhaotian/article/details/79608058
版权
本文详细介绍了32位SROP(System call Return Oriented Programming)攻击,通过一个Ubuntu 16.04环境下的示例程序,阐述了利用SROP进行权限提升的过程,包括控制EAX设置系统调用号、利用Sigreturn执行mprotect系统调用来改变.text段权限,以及执行shellcode。实验中遇到了寄存器设置问题,通过调试解决了该问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

本文是这篇文章的笔记:

Fun with SROP Exploitation

https://v0ids3curity.blogspot.jp/2015/06/fun-with-srop-exploitation.html

 

环境:Ubuntu 16.04

程序

nasm -felf32 vuln_s.asm

ld vuln_s.o -melf_i386 -o vuln_s

 

millionsky@ubuntu-16:~/tmp$ gdb ./vuln_s

 

(gdb) shell objdump -d vuln_s

 

vuln_s:     文件格式 elf32-i386

 

Disassembly of section .text:

 

08048060 <vuln>:

 8048060:       83 ec 08                sub    $0x8,%esp

 8048063:       b8 03 00 00 00          mov    $0x3,%eax

 8048068:       31 db                   xor    %ebx,%ebx

 804806a:       89 e1                   mov    %esp,%ecx

 804806c:       ba 00 04 00 00          mov    $0x400,%edx

 8048071:       cd 80                   int    $0x80

 8048073:       83 c4 08                add    $0x8,%esp

 8048076:       c3                      ret    

 

08048077 <_start>:

 8048077:       e8 e4 ff ff ff          call   8048060 <vuln>

 804807c:       31 c0                   xor    %eax,%eax

 804807e:       40                      inc    %eax

 804807f:       cd 80                   int    $0x80

EXP

3.1 思路

主要思路

1. Read返回值控制EAX,设置为sigreturn的系统调用号0x77

2. 栈溢出,Sigreturn执行mprotect系统调用

3. Mprotect将text段设置为RWX

4. 调用漏洞函数

5. 栈溢出,执行shellcode

 

关键点

l read返回值控制EAX,从而控制系统调用号;

l sigreturn可以将栈指向ELF header

l sigretrun可以设置EIP指向INT_80和相应的寄存器,从而执行mprotect;

mprotect将.text段设置为RWX

l ELF header + 0x18的地方为程序入口,即_start;

栈设置在这里,配合ret指令可以让程序重新执行_start;

3.2 实施过程

1. 执行sigreturn系统调用

/*for x86*/

    mov eax,0x77

    int 80h

 

l 栈溢出,覆盖返回地址指向INT_80 = 0x08048071;

l EAX的控制:发送0x77个字节,read返回后EAX即为0x77 

 

EIP: 0x08048076 <vuln+22>:        ret  
NOTE: read读取0x77个字节,执行完

 

char buf[8]

AAAAAAAA

 

Return addr
addr_of_int_0
最低0.47元/天 解锁文章
32linux系统调用
pk_20140716的专栏
11-12 1509
//打开 读 写 跳转 关闭 删除 普通文件 #define __NR_creat 8 #define __NR_open 5 #define __NR_read 3 #define __NR_write 4 #define __NR_lseek 19 #define __NR__llseek 140 #define __NR_close 6 #define __NR_unlink 10 //创建
pwn srop
清霂的博客
04-03 230
目录ciscn_s_3smallest ciscn_s_3 #!/usr/bin/env python2 from pwn import* context(os="linux",arch="amd64",log_level="debug") content=0 vuln_addr=0x00000000004004ED syscall_addr=0x0000000000400517 sig_addr=0x00000000004004DA def b(addr): bk="b*"+str(addr)
pwntools srop模块
qq_45540735的博客
08-22 239
pwntools中已经集成了SROP的利用工具pwnlib.rop.srop,类SigreturnFrame的构造总共分为三种情况,结构和初始化的值会有所不同:(1)32系统上运行32程序;(2)64系统上运行32程序;(3)64系统上运行64程序。
SROP 32DEMO
MillionSky的专栏
03-19 587
1 概述开始学习SROP技巧。希望找到一个简单的demo来了解SROP。找了很多资料,但都没有实作成功。主要参考这篇文章1. Sigreturn Oriented Programming攻击简介https://www.anquanke.com/post/id/85810直接拿原文中的程序测试,没有复现成功,主要的问题有:1. VDSO的爆破不成功,GDB调试发现对应的置没有找到对应的指令:sig...
SROP 32VDSO的爆破
MillionSky的专栏
03-19 688
1 概述https://www.anquanke.com/post/id/85810Sigreturn Oriented Programming攻击简介这篇文章描述了32vdso的爆破本文是对它的复现和笔记。2 32VDSO的爆破2.1 原理32的VDSO只有1个字节是随机的vdso_range = range(0xf7700000, 0xf7800000, 0x1000)2.2 程序#in...
linux内核pwn,Linux pwn入门教程(8)——SROP
weixin_28909779的博客
04-29 844
作者:Tangerine@SAINTSEC0x00 SROP应用场景与原理SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。正如这篇文章所说,传统的ROP技术,尤其是amd64上的ROP,需...
SROP 64-smallest(2017429ctf.ichunqiu)
MillionSky的专栏
03-19 1317
1 概述360春秋杯”国际网络安全挑战赛Challenge - smallest (pwn 300) - 429 ichunqiu ctf 2017http://2017429ctf.ichunqiu.com/competition/index 64SROP很好的练习题。2 程序分析millionsky@ubuntu-16:~/tmp/smallest$ objdump -d smallest ...
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
pwntools--SROP工具类SigreturnFrame使用详解
lifanxin的博客
03-25 2430
SROP--SigreturnFrame概念SigreturnFrame的使用一个例子程序分析漏洞利用wp总结 概念 这里简单介绍下SROP的概念,主要是帮助读者理解和使用pwntools提供的SigreturnFrame工具实现漏洞利用。 我们都知道ROP吧,即利用.text段中的gadgets,这些gadgets都以ret指令作为结尾,以此串联起来实现我们想要的系统调用进而达到获取目标主机shell的目的。那么如何判断是哪种系统调用呢?这里是根据寄存器的值来进行判断的,只要将相应的寄存器值设置为对应参数
SROP基本原理和利用
MillionSky的专栏
03-19 7044
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
PWN——SROP(高级ROP)
Pr0b1em的博客
12-10 349
Srop 的全称是Sigreturn Oriented ProgrammingSrop 可以理解成一种高级的ROP,利用了linux下15号系统调用的->rt_sigreturn。
SROP——smallest-pwn(360春秋杯)
eiennoyoshiki的博客
01-06 1533
缝合了一些我认为比较好的smallest(srop)的wp
萌新学pwn之SROP
qq_36495104的博客
05-22 979
这篇文章主要是讲解对ctf-wiki上面的SROP例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1719
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
CTF-PWN-栈溢出-高级ROP-SROP
llovewuzhengzi的博客
01-04 1180
SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议 Oakland 2014 上,被评选为当年的 Best Student Papers。论文和PPT如下。
SROP
热门推荐
钞sir的博客
12-20 1万+
简介 SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度… 前置知识 signal 机制 我们都知道在Linux中,系...
SROP ctfshow
最新发布
01-16
### SROP 技术详解 SROP (Sigreturn Oriented Programming) 是一种高级攻击技术,主要针对启用了 NX(No-eXecute)保护的系统。这种技术利用了类 Unix 系统中的 Signal 机制来绕过某些安全防护措施[^2]。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值