PWN——SROP(高级ROP)

已于 2024-12-11 21:22:46 修改
阅读量435 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 学习笔记 文章标签: 安全 linux
于 2024-12-10 14:43:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51701860/article/details/144373710

Srop

在这里插入图片描述
Srop 的全称是Sigreturn Oriented Programming

Srop 可以理解成一种高级的ROP,利用了linux下15号系统调用的->rt_sigreturn

Signal

Signal是Unix系统中的一种通信机制,通常用于在进程之间传递信息,也可以说是软中断信息

常见于在一个进程中,内核向其发送发送软中断信号,该进程将暂时被挂起,系统进入内核态

因为是暂时被挂起,所以系统会保留该进程的上下文 (部分内容摘自ctf-wiki)

将所有的寄存器压入栈中,以及signal信息和指向sigreturn的系统调用地址在栈顶上放置rt_sigreturn

此时栈上的内存分布:
在这里插入图片描述

这一段内存也被称为Signal Frame

漏洞利用点

Signal Frame 被放置在用户进程的内存空间中,也就说Signal Frame是可以读写的

在恢复Signal信号的时候没有检测,也就是说我们可以通过改变Signal Frame中的信息来劫持控制流

例如:
1 | rax = 59//对应59号系统调用-> exceve
2 | rdi = ‘/bin/sh’
3 | rsi = 0
4 | rdx = 0

这样就能进行一个最简单的Srop

Srop链

有时候我们希望执行一系列的操作,此时可以通过syscall ret;这个gadget去串联起我们我们的Srop链

执行完一个SignalFrame接着执行下一个SignalFrame。

高级ROP
m0_49959202的博客
10-01 1481
文章目录高级ROP1.原理1.1 ret2_dl_runtime_resolve1.1.1 _dl_runtime_resolve()函数机制介绍1.1.2 利用思路1.1.2.1 思路 1:直接控制重定位表项的相关内容1.1.2.2 思路 2 - 间接控制重定位表项的相关内容1.1.2.3 思路 3 - 伪造 link_map1.2 SROP1.2.1 signal机制1.2.2 攻击原理1.2.3 相关工具介绍1.3 ret2VDSO1.3.1 概述1.3.2 vdso.so内函数和gadget1.3.
pwn srop
清霂的博客
04-03 245
目录ciscn_s_3smallest ciscn_s_3 #!/usr/bin/env python2 from pwn import* context(os="linux",arch="amd64",log_level="debug") content=0 vuln_addr=0x00000000004004ED syscall_addr=0x0000000000400517 sig_addr=0x00000000004004DA def b(addr): bk="b*"+str(addr)
关于对SROP详解3
woshiyanfu的博客
09-26 261
在打NepCTF2023的时候,pwn的第一题就是srop,但是我发现我好像没学hhh,当时比赛的时候恶补了一下,赛后整理一下写一篇文章吧。SROP全称为(Sigreturn Oriented Programming),在ctfwiki中将其归类为了高级ROP,其中,sigreturn是一个系统调用,在类 unix 系统发生 signal 的时候会被间接地调用,其实就是利用了linux中的系统调用号,利用linux下的15号系统调用号调用->rt_sigreturn。
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5950
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
萌新学pwnSROP
qq_36495104的博客
05-22 999
这篇文章主要是讲解对ctf-wiki上面的SROP的例子的理解,题目是360ctf的一个题目 代码很简单 .text:00000000004000B0 public start .text:00000000004000B0 start proc near ; DATA XREF: LOAD:0000000000400018↑o .text:00000000004000B0 xor rax,
Linux pwn入门教程(8)——SROP
子曰小玖的博客
06-04 1742
https://bbs.ichunqiu.com/thread-44068-1-1.html 0x00 SROP应用场景与原理 SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。 正如这...
SROP
weixin_30794499的博客
02-23 376
title: SROP date: 2018-02-21 19:58:12 categories: 栈溢出 tags: - CTF - PWN - 栈溢出 SROP全称为 Sigreturn Oriented Programming ,表明利用sigreturn这个函数实现ROP的技术。 参考资料 http://www.freebuf.com/articles/network/87447.ht...
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1295
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
带exp的pwn测试文件
09-12
8. **SROP(Secure Return Oriented Programming)**:在现代安全防御机制下,传统的ROP(Return-Oriented Programming)可能会受到限制,SROP是其变种,利用安全的、非危险的系统调用来构造链条,绕过防御。...
pwn】学pwn日记(栈学习)(随缘更新)
woodwhale的博客
08-04 5565
pwn】学pwn日记(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教学视频 学习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟安全PWN系列教程(持续更新) 学习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译出来在内存中bss中 初始化的全局变量str(没有被修改过),编译出来在内存中data 而hello world在text段中 main和sum
SROP ctfshow
01-16
SROP (Sigreturn Oriented Programming) 是一种高级攻击技术,主要针对启用了 NX(No-eXecute)保护的系统。这种技术利用了类 Unix 系统中的 Signal 机制来绕过某些安全防护措施[^2]。 #### 工作原理 当一个信号被...
SROP——smallest-pwn(360春秋杯)
eiennoyoshiki的博客
01-06 1603
缝合了一些我认为比较好的smallest(srop)的wp
linux内核pwn,Linux pwn入门教程(8)——SROP
weixin_28909779的博客
04-29 865
作者:Tangerine@SAINTSEC0x00 SROP应用场景与原理SROP是一个于2014年被发表在信安顶会Okaland 2014上的文章提出的一种攻击方式,相信很多读者对这个方式的了解都源于freebuf上的这篇文章'http://www.freebuf.com/articles/network/87447.html'。正如这篇文章所说,传统的ROP技术,尤其是amd64上的ROP,需...
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1524
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
SROP(Sigreturn Oriented Programming)
菊花的老窝
05-04 1165
如图所示,当有中断或异常产生时,内核会向某个进程发送一个 signal,该进程被挂起并进入内核(1),然后内核为该进程保存相应的上下文,然后跳转到之前注册好的 signal handler 中处理相应的 signal(2),当 signal handler 返回后(3),内核为该进程恢复之前保存的上下文,最终恢复进程的执行(4)。会从用户栈上恢复恢复所有寄存器的值,而用户栈是保存在用户进程的地址空间中的,是用户进程可读写的。和其他的系统调用串起来,形成一个链,从而达到任意代码执行的目的。
高级栈溢出技术—ROP实战(fluff)
ChuMeng1999的博客
01-09 824
目录预备知识关于ROP本系列rop实战题目的背景fluff涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium
pwnsrop原理
最新发布
01-22
SROP (Sigreturn Oriented Programming) 是一种高级漏洞利用技术,在 PWN 攻击中被广泛应用。该方法通过精心构建信号处理机制来实现任意代码执行。 当程序接收到信号时会触发相应的处理器中断,保存当前寄存器状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pr0b1em

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值