参考wiki,hollk师傅博客。
说一下我的个人理解,当题目中没有足够的gadget ,可以直接或者间接控制rax,题目中有syscall就可以利用这种攻击手法。
srop:
在unix系统发生signal的时候会执行sigreturn 系统调用。
signal机制:
signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。
介绍:
1.内核向某个程序中发送signal机制,该进程会被挂起,进入内核态。
内核会为该进程保存山下文,也就是将所有的寄存器压入栈中,以及压入signal信息,还有就是指向sigreturn 的系统调用地址,随后跳转到注册过的signal handler 中处理相应的signal,当hander执行完以后,就会执行sigreturn的系统调用。为该进程恢复之前保存的上下文,其中包括将所有压入的寄存器,重新 pop 回对应的寄存器,最后恢复进程的执行。其中,32 位的 sigreturn 的调用号为 77,64 位的系统调用号为 15。
攻击原理:
signal frame是保存在用户地址空间的,这部分是可读可写的,所有在执行sigreturn习题调用之前,我们可以修改 signal frame中的信息,比如 rip rax rdi rsi等寄存器的值。
利用条件:
需要知道栈的地址,有syscall的gadget。有sigreturn。(其实如果题目中没有sigrerturn在很多时候我们也可以间接的控制相关寄存器的值,来实现一个新的系统调用)
学习的时候看到很多师傅是讲的一道题目 ,这里我也跟着做一下这道题目。
春秋杯 2016 smallest。
首先放到ida里面看一下:
?只有几行汇编代码,别的什么都没有,甚至连write都没有,不过有syscall ret,很容易让人想到通过控制相关寄存器来实现系统调用。这里动态调试一下。发现我们写入的数据就是最后函数返回的地址,所以肯定是不能乱写的,要不然程序直接崩溃了。
?我们应该明白的一点就是,如果我们想要getshell那肯定是是要泄露栈上的地址的,这个程序里没有/bin/sh字符串,也没有libc,首先要想办法调用write函数,write系统调用为1,所有如果我们输入一个字节就可以控制rax,但同时我们也要绕过xor rax rax 这个指令 这时候输入b'\xb3'就可以控制系统调用了。那么第一次read的栈布局,我们可以这样布局。
如果第一次布局成这样,那么下一次read我们只需要输入一个字节b'\xb3',就可以绕过rax清零的指令,同时调用write函数,泄露栈的地址。像这样,我们的第一步就实现了:
from pwn import *
p = process("./smallest")
elf = ELF("./smallest")
context.log_level = 'debug'
pl1 = p64(0x4000b0)*2
p.send(pl1)
# gdb.attach(p,'b *0x4000b0')
pl2 = b'\xb3'
p.send(pl2)
stack_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
success(hex(stack_addr))
success("rsp->"+hex(stack_addr - 0x1b1d))
p.interactive()
?
成功泄露栈地址!!
泄露之后我们还有对栈进行写入/bin/sh字符串等,所以接下来肯定还要执行read,那么我们可以在第一次写入的时候多写一个read也就是这样:
但我们是不能在第三次read中直接写入'/BIN/SH’字符串的,因为这样会覆盖他的返回地址,所有我们可以利用sigreturn 来向刚刚泄露的地址处写入'/bin/sh'
第三次read之后我们布置好了栈的结构,还有 fake_signal_Frame,但我们还需要第四次read去调用sigreturn,所以我们需要再次read,由于rso和rsi指向的是同一个地方,所以在第三次布置栈的结构事,我们应该这样:
第三次read之后rsp和rsi来到了sys_ret在栈上的位置,这都是我们布置好的,所以不能修改,那么第四次read的时候这样布置payload就可以了,这里的话要用u16,u20打不通,这个题目我事边做边写的,所以我临时换成了u16,下面继续:
本次我们只需要输入b'/bin/sh'字符串以及fake_frame就可以了。
可以这样构造:
?
?
这样就可以成功getshell
?
?
?
?
?