Linux SRP 覆写和 ROP

原文：b0dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0#2k6X3k6W2M7X3g2V1i4K6u0W2K9h3!0Q4x3V1k6H3L8%4y4@1M7#2)9J5c8X3I4A6L8Y4g2^5i4K6u0V1M7%4u0H3i4K6u0V1L8%4k6W2M7Y4N6J5K9i4c8W2i4K6u0V1j5h3&6V1i4K6u0V1M7X3!0H3i4K6u0r3
译者：布 (看雪ID: 我有亲友团)

  最近我开始在 Twitch 上直播一些与安全相关的东西，因为我很喜欢向别人教授并展示我使用的技术，工具以及整个过程，同时我也会努力将这些东西系统化，而不是吸收一些零散的碎片。昨晚我完成了我的第二场直播，主要是针对以下几点：

   1. 对易受攻击的 32 位 Linux 二进制文件的快速分析；
   2. 解释为什么栈缓冲区溢出会导致返回地址(SRP)被重写；
   3. 描述如何通过 SRP 重写来控制 EIP 寄存器；
   4. 演示如何通过这种控制来执行未启用 NX 的栈上的 shellcode；
   5. 编写一个使用这种缺陷的利用程序，执行被攻击者控制的代码。

    在第一个二进制的前提下，第二个也就更容易了。第二个二进制文件与前一个相差无几，只是它是使用 NX 编译的，因此之前的利用程序也就无效了。本节主要包含以下几点：

    1. NX 导致之前的漏洞不能使用的原因；
    2. 如何控制 EIP，使其依然可以被用来执行大块的代码；
    3. ROP 的“合理”描述，以及它是如何工作的；
    4. 在操作中 ROP 的演示（这里比较单调乏味，是为了让之前没有见过这种方式的人更容易理解）；
    5. 构造一个利用程序来导致代码执行，即使已开启NX。

  这个视频的后半部分没有提前计划，比我预计的时间结束得要早一些。最后的利用程序是专门针对于我正在运行的机子（ Fedora Core 24 ），因此没法在远程系统上使用。其实，我最开始的想法是演示如何可能通过读取整个内存区域，来搜索感兴趣的指令（这种情况下是 int 0x80; ret ）。考虑到时间关系，我最后决定跳过这种方式，用更简单的方式实现它。

  该视频已发布到 YouTube ，链接在这里(effK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2&6L8%4g2@1N6h3u0W2i4K6u0W2j5$3!0E0i4K6u0r3N6$3q4@1j5$3S2Q4x3@1k6$3i4K6y4p5h3p5!0E0j5i4N6y4x3f1g2j5L8V1#2Q4x3U0k6X3k6h3q4@1N6i4u0W2i4K6y4p5P5h3!0#2N6s2g2Q4x3X3g2T1k6g2)9J5z5g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

  对于嵌入 YouTube 视频剪辑时默认包含的 DoubleClick 以及 Javascript crap ，我深表歉意。为了使你不留下痕迹，请运行 uBlock 或者类似的程序。

  最后，我将这两个二进制文件放在这里(b9aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0#2k6X3k6W2M7X3g2V1i4K6u0W2K9h3!0Q4x3V1k6H3L8%4y4@1M7#2)9J5c8X3I4A6L8Y4g2^5i4K6u0V1M7%4u0H3i4K6u0V1L8%4k6W2M7Y4N6J5K9i4c8W2i4K6u0V1j5h3&6V1i4K6u0V1M7X3!0H3i4K6u0r3i4K6t1&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1@1i4@1u0q4i4K6W2n7i4@1f1#2i4@1p5@1i4@1p5%4i4@1f1#2i4@1q4q4i4@1t1$3i4@1f1@1i4@1u0p5i4@1u0r3i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1K6i4K6R3H3i4K6R3J5

  对于由字体大小所引起的不满，我非常抱歉，我经常不知道我正在做什么。如果你有任何问题或者意见，欢迎来打我！谢谢！

[培训]科锐逆向工程师培训第53期2025年7月8日开班！