SROP - Sigreturn-Oriented Programming
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Sigreturn
es una syscall especial que se utiliza principalmente para limpiar después de que un manejador de señales ha completado su ejecución. Las señales son interrupciones enviadas a un programa por el sistema operativo, a menudo para indicar que ha ocurrido alguna situación excepcional. Cuando un programa recibe una señal, pausa temporalmente su trabajo actual para manejar la señal con un manejador de señales, una función especial diseñada para tratar con señales.
Después de que el manejador de señales termina, el programa necesita reanudar su estado anterior como si nada hubiera pasado. Aquí es donde sigreturn
entra en juego. Ayuda al programa a volver del manejador de señales y restaura el estado del programa limpiando el marco de pila (la sección de memoria que almacena llamadas a funciones y variables locales) que fue utilizado por el manejador de señales.
La parte interesante es cómo sigreturn
restaura el estado del programa: lo hace almacenando todos los valores de los registros de la CPU en la pila. Cuando la señal ya no está bloqueada, sigreturn
saca estos valores de la pila, restableciendo efectivamente los registros de la CPU a su estado antes de que se manejara la señal. Esto incluye el registro del puntero de pila (RSP), que apunta a la parte superior actual de la pila.
Llamar a la syscall sigreturn
desde una cadena ROP y agregar los valores de registro que nos gustaría cargar en la pila es posible para controlar todos los valores de registro y, por lo tanto, llamar por ejemplo a la syscall execve
con /bin/sh
.
Nota cómo esto sería un tipo de Ret2syscall que facilita mucho el control de parámetros para llamar a otras Ret2syscalls:
Ret2syscallSi tienes curiosidad, esta es la estructura sigcontext almacenada en la pila para recuperar los valores más tarde (diagrama de aquí):
Para una mejor explicación, consulta también:
Puedes encontrar un ejemplo aquí donde la llamada a signeturn se construye a través de ROP (poniendo en rxa el valor 0xf
), aunque este es el exploit final desde allí:
Revisa también el exploit desde aquí donde el binario ya estaba llamando a sigreturn
y por lo tanto no es necesario construir eso con un ROP:
Binario de ensamblaje que permite escribir en la pila y luego llama a la syscall sigreturn
. Es posible escribir en la pila un ret2syscall a través de una estructura sigreturn y leer la bandera que está dentro de la memoria del binario.
Binario de ensamblaje que permite escribir en la pila y luego llama a la syscall sigreturn
. Es posible escribir en la pila un ret2syscall a través de una estructura sigreturn (el binario tiene la cadena /bin/sh
).
64 bits, sin relro, sin canario, nx, sin pie. Desbordamiento de búfer simple abusando de la función gets
con falta de gadgets que realiza un ret2syscall. La cadena ROP escribe /bin/sh
en la .bss
llamando a gets nuevamente, abusa de la función alarm
para establecer eax en 0xf
para llamar a un SROP y ejecutar un shell.
Programa de ensamblaje de 64 bits, sin relro, sin canario, nx, sin pie. El flujo permite escribir en la pila, controlar varios registros y llamar a una syscall y luego llama a exit
. La syscall seleccionada es un sigreturn
que establecerá registros y moverá eip
para llamar a una instrucción de syscall anterior y ejecutar memprotect
para establecer el espacio binario en rwx
y establecer el ESP en el espacio binario. Siguiendo el flujo, el programa llamará a read en ESP nuevamente, pero en este caso ESP apuntará a la siguiente instrucción, por lo que pasar un shellcode lo escribirá como la siguiente instrucción y lo ejecutará.
SROP se utiliza para otorgar privilegios de ejecución (memprotect) al lugar donde se colocó un shellcode.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)