SROP - Sigreturn-Oriented Programming
Información Básica
Sigreturn
es una llamada al sistema especial que se utiliza principalmente para limpiar después de que un manejador de señales haya completado su ejecución. Las señales son interrupciones enviadas a un programa por el sistema operativo, a menudo para indicar que ha ocurrido alguna situación excepcional. Cuando un programa recibe una señal, pausa temporalmente su trabajo actual para manejar la señal con un manejador de señales, una función especial diseñada para tratar las señales.
Después de que el manejador de señales termina, el programa necesita resumir su estado anterior como si nada hubiera pasado. Aquí es donde entra en juego sigreturn
. Ayuda al programa a regresar desde el manejador de señales y restaura el estado del programa limpiando el marco de la pila (la sección de memoria que almacena las llamadas a funciones y variables locales) que fue utilizado por el manejador de señales.
La parte interesante es cómo sigreturn
restaura el estado del programa: lo hace almacenando todos los valores de los registros de la CPU en la pila. Cuando la señal ya no está bloqueada, sigreturn
saca estos valores de la pila, restableciendo efectivamente los registros de la CPU a su estado antes de que se manejara la señal. Esto incluye el registro del puntero de pila (RSP), que apunta a la parte superior actual de la pila.
Llamar a la llamada al sistema sigreturn
desde una cadena ROP y agregar los valores de registro que nos gustaría que cargue en la pila es posible controlar todos los valores de los registros y, por lo tanto, llamar por ejemplo a la llamada al sistema execve
con /bin/sh
.
Observa cómo esto sería un tipo de Ret2syscall que facilita mucho el control de los parámetros para llamar a otras Ret2syscalls:
pageRet2syscallSi tienes curiosidad, esta es la estructura sigcontext almacenada en la pila para luego recuperar los valores (diagrama de aquí):
Para obtener una mejor explicación, consulta también:
Ejemplo
Puedes encontrar un ejemplo aquí donde la llamada a signeturn se construye a través de ROP (colocando en rxa el valor 0xf
), aunque este es el exploit final a partir de allí:
Revisa también el exploit desde aquí donde el binario ya estaba llamando a sigreturn
y por lo tanto no es necesario construirlo con un ROP:
Otros Ejemplos y Referencias
Ensamblador binario que permite escribir en la pila y luego llama a la syscall
sigreturn
. Es posible escribir en la pila un ret2syscall a través de una estructura sigreturn y leer la bandera que está dentro de la memoria del binario.Ensamblador binario que permite escribir en la pila y luego llama a la syscall
sigreturn
. Es posible escribir en la pila un ret2syscall a través de una estructura sigreturn (el binario tiene la cadena/bin/sh
).64 bits, sin relro, sin canary, nx, sin pie. Desbordamiento de búfer simple abusando de la función
gets
con falta de gadgets que realiza un ret2syscall. La cadena ROP escribe/bin/sh
en el.bss
llamando a gets nuevamente, abusa de la funciónalarm
para establecer eax en0xf
para llamar a un SROP y ejecutar un shell.Programa de ensamblador de 64 bits, sin relro, sin canary, nx, sin pie. El flujo permite escribir en la pila, controlar varios registros, llamar a una syscall y luego llamar a
exit
. La syscall seleccionada es unsigreturn
que establecerá registros y moveráeip
para llamar a una instrucción de syscall anterior y ejecutarmemprotect
para establecer el espacio binario enrwx
y establecer el ESP en el espacio binario. Siguiendo el flujo, el programa llamará a leer en ESP nuevamente, pero en este caso ESP apuntará a la siguiente instrucción, por lo que al pasar un shellcode lo escribirá como la siguiente instrucción y lo ejecutará.SROP se utiliza para otorgar privilegios de ejecución (memprotect) al lugar donde se colocó un shellcode.
Última actualización