SROP 是 Sigreturn Oriented Programming 的縮寫

Signal

一支程式接到 signal 後

1. kernel 會幫你把上下文 ( 各種暫存器 ) 保留到 stack 上，叫做 Signal Frame
2. 跳回 user mode，讓 signal handler 處理
3. signal handler 處理完會 return 回 __restore_rt，這個 function 裡面就是 mov rax, 0xf; syscall，去呼叫 sys_rt_sigreturn syscall，把上下文恢復 Signal Frame

SigReturn ROP

在做 ROP 的時候需要設定許多暫存器的值
這時候就可以用 SROP 的技巧
自己在 stack 上擺好 Signal Frame，然後呼叫 sys_rt_sigreturn syscall
就可以一次設定好所有的暫存器
缺點是需要夠大的空間塞下整個 Signal Frame

sys_rt_sigreturn syscall gadget

哪裡有 mov rax, 0xf; syscall 的 gadget 可以用

1. libc 裡面的 __restore_rt
2. 自己用 ROP 設定好 rax, 再接 syscall gadget

pwntools SigFrame

1
2
3
4
5
6
7
8
9

frame = SigreturnFrame()
frame.rsp = 0
frame.rax = 0
frame.rdi = 0
frame.rsi = 0
frame.rdx = 0
frame.rip = 0

rop = bytes(frame)

CTF 題目

pwnable.kr - unexploitable

1. https://www.slideshare.net/AngelBoy1/sigreturn-ori
2. http://weaponx.site/2017/02/28/unexploitable-Writeup-pwnable-kr/

RELRO (RELocation Read Only)

CANARY

stack overflow - gcc generate canary or not

NX (No-Execute) / DEP (Data Execution Prevention)

可以寫的地方不能執行

ASLR (Address Space Layout Randomization)

Configuring ASLR with randomize_va_space

1
2
3

0 - 表示關閉進程地址空間隨機化。
1 - 表示 mmap, stack, vdso 隨機化。
2 - 表示比 1 多了 heap 隨機化。

1
2

sudo -s echo 0 > /proc/sys/kernel/randomize_va_space
sudo sysctl -w kernel.randomize_va_space=0

PIE (Position Independent Executables)

FRAME POINTER

有開的話是

1
2

leave
ret

沒開的話是

1
2

add rsp, 0x18
ret

checksec

checksec 是一個用來查看上述所說的保護機制的 bash script

1
2

RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified       Fortifiable  FILE
Full RELRO      No canary found   NX enabled    PIE enabled     No RPATH   No RUNPATH   65 Symbols     No       0               1       ./hello

pwntools 也有內建一個名字和功能都一樣的指令

1
2
3
4
5

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      PIE enabled