SROP (Sigreturn Oriented Programming) 利用技术详解<\/h1>

1. SROP 基础知识<\/h2>

1.1 SROP 概念<\/h3>
SROP (Sigreturn Oriented Programming) 是一种利用 `sigreturn<\/code> 系统调用的高级ROP攻击技术。其核心原理是通过伪造 Signal Frame 来控制程序执行流程。<\/p>`

1.2 Signal 机制原理<\/h3>
Signal 机制是类 Unix 系统中进程间通信的一种方法，也称为软中断信号。其工作流程如下：<\/p>

内核向进程发送 signal，进程被挂起进入内核态<\/li>
内核保存进程上下文（所有寄存器压入栈中），包括：

Signal 信息<\/li>
指向 sigreturn<\/code> 的系统调用地址<\/li>
<\/ul>
<\/li>
跳转到注册的 signal handler 处理 signal<\/li>
signal handler 返回后，执行 sigreturn<\/code> 系统调用恢复保存的上下文<\/li>
<\/ol>
1.3 Signal Frame 结构<\/h3>
Signal Frame 包含以下关键部分：<\/p>

ucontext 结构（保存的寄存器值）<\/li>
siginfo 结构（signal 信息）<\/li>
sigreturn<\/code> 系统调用地址<\/li>
<\/ul>
32位和64位系统的 sigreturn<\/code> 调用号：<\/p>

32位：119 (0x77)<\/li>
64位：15 (0xf)<\/li>
<\/ul>
2. SROP 利用条件<\/h2>
要成功利用 SROP 攻击，需要满足以下条件：<\/p>

栈溢出<\/strong>：能够控制栈的内容<\/li>
控制 rax 寄存器<\/strong>：能够设置 rax 为 sigreturn<\/code> 的系统调用号<\/li>
syscall 可用<\/strong>：存在 syscall<\/code> 指令或函数<\/li>
足够的栈空间<\/strong>：能够布置伪造的 Signal Frame<\/li>
<\/ol>
3. SROP 攻击步骤<\/h2>
3.1 基本攻击流程<\/h3>

通过栈溢出劫持返回地址<\/li>
构造 SROP 链：

控制 rax 寄存器为 sigreturn<\/code> 的系统调用号<\/li>
执行 syscall<\/code> 进入 sigreturn<\/code> 系统调用<\/li>
<\/ul>
<\/li>
精心构造栈布局，使 sigreturn<\/code> 系统调用后的 pop 指令能够控制各寄存器<\/li>
<\/ol>
3.2 获取 shell 的寄存器设置<\/h3>
要执行 execve("\/bin\/sh", 0, 0)<\/code>，需要设置以下寄存器：<\/p>

rax → 59 (execve<\/code> 的系统调用号)<\/li>
rdi → "\/bin\/sh" 字符串地址<\/li>
rsi → 0<\/li>
rdx → 0<\/li>
rip → syscall<\/code> 指令地址<\/li>
<\/ul>
4. SROP 链构造<\/h2>
当需要多次系统调用时（如沙箱环境下需要 open\/read\/write），可以构造 SROP 链：<\/p>

通过设置 rsp 寄存器，使一个 SROP 结束后自动进入下一个 SROP<\/li>
每个 SROP 负责一个特定的系统调用<\/li>
链式调用直到完成所有需要的操作<\/li>
<\/ol>
5. 工具使用<\/h2>
pwntools 提供了方便的 SROP 构造工具 SigreturnFrame()<\/code>：<\/p>
frame =<\/span> SigreturnFrame()
<\/span><\/span>frame.<\/span>rax =<\/span> constants.<\/span>SYS_execve
<\/span><\/span>frame.<\/span>rdi =<\/span> binsh_addr
<\/span><\/span>frame.<\/span>rsi =<\/span> 0<\/span>
<\/span><\/span>frame.<\/span>rdx =<\/span> 0<\/span>
<\/span><\/span>frame.<\/span>rip =<\/span> syscall_addr
<\/span><\/span><\/code><\/pre>在 payload 中使用 bytes(frame)<\/code> 将其转换为字节序列。<\/p>
6. 注意事项<\/h2>
6.1 syscall 的两种形式<\/h3>


syscall 函数<\/strong>：<\/p>

在 IDA 中显示为 call _syscall<\/code><\/li>
需要遵循寄存器传参规则<\/li>
构造时需要考虑函数调用约定<\/li>
<\/ul>
<\/li>

syscall 指令<\/strong>：<\/p>

在 IDA 中显示为 syscall<\/code> 机器码 (0F 05)<\/li>
通常以 sys_read<\/code>、sys_write<\/code> 等伪代码形式出现<\/li>
直接执行系统调用，无需额外处理<\/li>
<\/ul>
<\/li>
<\/ol>
6.2 栈空间不足的解决方案<\/h3>
当溢出空间不足时，可以采用栈迁移技术：<\/p>

利用有限的溢出空间修改 rsp<\/li>
将栈迁移到更大的空间（如 .bss 段）<\/li>
在新的栈空间布置完整的 SROP 链<\/li>
<\/ol>
7. 实战案例分析<\/h2>
7.1 案例1：2023江西省赛初赛pwn2<\/h3>
漏洞点<\/strong>：<\/p>
char<\/span> buf[16<\/span>];
<\/span><\/span>sys_read(0<\/span>, buf, 0x200uLL<\/span>);  \/\/ 明显的栈溢出
<\/span><\/span><\/span><\/code><\/pre>利用步骤<\/strong>：<\/p>

利用溢出控制返回地址<\/li>
设置 rax 为 15 (sigreturn<\/code> 调用号)<\/li>
构造 Signal Frame 执行 execve("\/bin\/sh", 0, 0)<\/code><\/li>
<\/ol>
关键点<\/strong>：<\/p>

通过栈迁移将控制流转移到 .bss 段<\/li>
分阶段构造 SROP 链（先 read 再 execve）<\/li>
<\/ul>
7.2 案例2：第六届安洵杯网络安全挑战赛pwn2<\/h3>
特殊条件<\/strong>：<\/p>

开启了沙箱保护（仅允许 read\/write\/open\/chmod\/rt_sigreturn\/exit_group）<\/li>
输入长度有限（需要栈迁移）<\/li>
<\/ul>
利用步骤<\/strong>：<\/p>

利用有限的溢出空间进行栈迁移<\/li>
将栈迁移到 .bss 段的大空间<\/li>
构造三段式 SROP 链：

open(".\/flag", 0, 0)<\/li>
read(3, buf, 0x50)  \/\/ 3 是打开的文件描述符<\/li>
write(1, buf, 0x50) \/\/ 1 是标准输出<\/li>
<\/ul>
<\/li>
<\/ol>
关键点<\/strong>：<\/p>

通过调试确定 rsp 的正确位置<\/li>
确保每个 SROP 结束后 rsp 指向下一个 SROP 的起始点<\/li>
处理文件描述符的传递<\/li>
<\/ul>
8. 调试技巧<\/h2>


使用 gdb 调试时，可以在关键位置设置断点：<\/p>
gdb.<\/span>attach(io, 'b *0x40136e'<\/span>)
<\/span><\/span><\/code><\/pre><\/li>

观察栈布局和寄存器变化，确保 Signal Frame 被正确解析<\/p>
<\/li>

对于复杂的 SROP 链，可以分段调试，确保每一段都能正确执行<\/p>
<\/li>
<\/ol>
9. 防御措施<\/h2>

启用栈保护机制（如 Canary）<\/li>
限制 sigreturn<\/code> 系统调用的使用<\/li>
使用地址随机化（ASLR）增加预测难度<\/li>
对敏感系统调用进行过滤<\/li>
<\/ol>
10. 总结<\/h2>
SROP 是一种强大的攻击技术，它通过伪造 Signal Frame 实现了对程序完全控制。相比传统 ROP，SROP 具有以下优势：<\/p>

一次性设置所有寄存器，减少 gadget 需求<\/li>
可以构造复杂的调用链<\/li>
在沙箱环境下尤其有效<\/li>
<\/ol>
掌握 SROP 技术需要深入理解 signal 机制和系统调用约定，通过实际案例练习可以更好地掌握这一技术。<\/p>

SROP (Sigreturn Oriented Programming) 利用技术详解<\/h1>

1. SROP 基础知识<\/h2>

1.1 SROP 概念<\/h3> SROP (Sigreturn Oriented Programming) 是一种利用 sigreturn<\/code> 系统调用的高级ROP攻击技术。其核心原理是通过伪造 Signal Frame 来控制程序执行流程。<\/p>

3. SROP 攻击步骤<\/h2>

7. 实战案例分析<\/h2>

1.1 SROP 概念<\/h3>
SROP (Sigreturn Oriented Programming) 是一种利用 `sigreturn<\/code> 系统调用的高级ROP攻击技术。其核心原理是通过伪造 Signal Frame 来控制程序执行流程。<\/p>`