实践一:mipsel-栈溢出漏洞_开启telnet服务_反弹shell

最新推荐文章于 2024-08-20 18:32:25 发布
最新推荐文章于 2024-08-20 18:32:25 发布
阅读量362 收藏
点赞数
分类专栏: 嵌入式-硬件黑客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mira_Hu/article/details/104623168
版权
本文介绍了MIPSel架构下如何利用栈溢出漏洞,通过ida分析发现可以覆盖ra。在无NX和PIE保护的情况下,通过gdb调试找到libc基地址,构造ROP链。执行poc开启telnet服务,再通过反弹shell脚本,成功在目标系统上开启telnet服务并建立连接。调试过程中强调了针对qemu-mipsel模拟器的注意事项。
摘要由CSDN通过智能技术生成

保护信息检查

在这里插入图片描述
没有开启NX 、PIE等保护

漏洞分析

ida 分析

# 栈分析
.text:00400930 var_244         = -0x244
.text:00400930 var_242         = -0x242
.text:00400930 var_50          = -0x50				#sprintf 缓冲区
.text:00400930 var_4E          = -0x4E
.text:00400930 var_1C          = -0x1C
.text:00400930 var_18          = -0x18
.text:00400930 var_16          = -0x16
.text:00400930 var_14          = -0x14
.text:00400930 var_8           = -8
.text:00400930 var_4           = -4							# 保存 ra
.text:00400930 arg_0           =  0
.text:00400930 arg_4           =  4
.text:00400930
.text:00400930                 li      $gp, 0x489E0
.text:00400938                 addu    $gp, $t9
.text:0040093C                 addiu   $sp, var_270
.text:00400940                 sw      $ra, 0x270+var_4($sp)

#漏洞分析

read(fd, 0x270+var_244, 0x1f4)   # 可以读取0x1f4字节

.text:00400CE8                 lw      $gp, 0x270+var_258($fp)
.text:00400CEC                 addiu   $v0, $fp, 0x270+var_244
.text:00400CF0                 lw      $a0, 0x270+var_24C($fp)  # fd
.text:00400CF4                 move    $a1, $v0         # buf
.text:00400CF8                 li      $a2, 0x1F4       # nbytes
.text:00400CFC                 la      $t9, read
.text:00400D00                 nop
.text:00400D04                 jalr    $t9 ; read
.text:00400D08                 nop


 sprintf((char *)&0x270+var_50,"nom nom nom, you sent me %s",&0x270+var_244);
 
.text:00400D0C                 lw      $gp, 0x270+var_258($fp)
.text:00400D10                 addiu   $v0, $fp, 0x270+var_50
.text:00400D14                 addiu   $v1, $fp, 0x270+var_244
.text:00400D18                 move    $a0, $v0         # s
.text:00400D1C                 li      $v0, 0x400000
.text:00400D20                 nop
.text:00400D24                 addiu   $a1, $v0, (aNomNomNomYouSe - 0x400000)  # "nom nom nom, you sent me %s"
.text:00400D28                 move    $a2, $v1
.text:00400D2C                 la      $t9, sprintf
.text:00400D30                 nop
.text:00400D34                 jalr    $t9 ; sprintf
.text:00400D38                 nop

根据栈的情况:

var_50          = -0x50  	#sprintf 缓冲区
var_4           = -4	 		# 保存 ra
read(fd, 0x270+var_244, 0x1f4)   # 可以读取0x1f4字节
sprintf((char *)&0x270+var_50,"nom nom nom, you sent me %s",&0x270+var_244);

代码分析可知,没有对var_50 缓冲区进行条件检查,只需要向var_50 位置写入0x50字节便可覆盖 ra
padding = 0x50 - 0x4 = 0x4c
over_ra = 0x4 #覆盖ra
而且 var_244缓冲区可存放 0x1f4 字节,因此sprintf 可造成 var_50 缓冲区溢出,覆盖 ra 等值。

构造rop

1.查找基地址

没有开启 NX 以及 PIE 保护,所以可以通过调试查看 libc_addr。

1.1gdb调试

  • qemu-mipsel调试

     mira@ubuntu:squashfs-root$ qemu-mipsel -g 1234 -L ./ pwnable/ShellCode_Required/socket_bof 8888
 
 #开启新终端,gdb调试
 mira@ubuntu:ShellCode_Required$ gdb-multiarch ./socket_bof 
 pwndbg> b *0x00400930
 pwndbg> target remote 127.0.0.1:1234

  • 挂载根文件系统,gdbserver 调试

    root@debian-mipsel:chandler# mount -o bind /dev/ ./squashfs-root/dev/
root@debian-mipsel:chandler# mount -t proc /proc/ ./squashfs-root/proc/
root@debian-mipsel:chandler# chroot ./squashfs-root sh

    查看文件系统中运行的进程:

     root@debian-mipsel:chandler# chroot ./squashfs-root sh
 
 BusyBox v1.7.2 (2016-03-09 22:33:37 CST) built-in shell (msh)
 Enter 'help' for a list of built-in commands.
 
 # ps
   PID  Uid        VSZ Stat Command
     1 0          2632 S   init [2]   
     2 0               SW  [kthreadd]
     3 0               SW  [ksoftirqd/0]
     5 0               SW  [kworker/u:0]
     6 0               SW  [watchdog/0]
     7 0               SW< [cpuset]
     8 0               SW< [khelper]
     9 0               SW  [kdevtmpfs]
    10 0               SW< [netns]
 	......
  2295 0          2796 S   /sbin/getty 38400 tty6 
  2296 0          4504 S   /bin/login --      
  2300 0          5148 S   dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/d
  2341 0          7660 S   /usr/sbin/sshd 
  2344 0          6084 S   -bash 
  2391 0               SW  [kworker/0:0]
  2479 0          1844 S   sh 
  2480 0          1748 R   ps

    gdbserver远程调试,开启监听端口:

     # ./lsb_mipsel_gdbserver 10.0.0.2:1234 ./pwnable/ShellCode_Required/socket_bof 
 Process ./pwnable/ShellCode_Required/socket_bof created; pid = 2491
 Listening on port 1234

    本地 gdb调试:

     mira@ubuntu:ShellCode_Required$ gdb-multiarch ./socket_bof 
 pwndbg> b main
 Breakpoint 1 at 0x400958
 pwndbg> target remote 10.0.0.2:1234

  • 本地ssh 连接:

     mira@ubuntu:~$ ssh root@10.0.0.2

在这里插入图片描述

1.2查看内存映射:

  • gdb 调试,通过vmmap 查看

     pwndbg> vmmap
 LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
   0x400000   0x402000 r-xp     2000 0      /pwnable/ShellCode_Required/socket_bof
   0x441000   0x442000 rw-p     1000 1000   /pwnable/ShellCode_Required/socket_bof
 0x77ee2000 0x77f1d000 r-xp    3b000 0      /lib/libc.so.0
 0x77f1d000 0x77f5d000 ---p    40000 0      
 0x77f5d000 0x77f5e000 rw-p     1000 3b000  /lib/libc.so.0
 0x77f5e000 0x77f62000 rw-p     4000 0      
 0x77f62000 0x77f72000 r-xp    10000 0      /lib/libgcc_s.so.1
 0x77f72000 0x77fb1000 ---p    3f000 0      
 0x77fb1000 0x77fb2000 rw-p     1000 f000   /lib/libgcc_s.so.1
 0x77fb2000 0x77fb7000 r-xp     5000 0      /lib/ld-uClibc.so.0
 0x77ff5000 0x77ff6000 rw-p     1000 0      
 0x77ff6000 0x77ff7000 r--p     1000 4000   /lib/ld-uClibc.so.0
 0x77ff7000 0x77ff8000 rw-p     1000 5000   /lib/ld-uClibc.so.0
 0x7fdf2000 0x7fff7000 rwxp   205000 0      [stack]
 0x7fff7000 0x7fff8000 r-xp     1000 0      [vdso]

    可知基地址libc.so.0: libc_addr 

最低0.47元/天 解锁文章
Mira1127
关注
专栏目录
[网络安全自学篇] 五十三.Windows系统安全之Metasploit实现栈溢出攻击及反弹shell原理解析
杨秀璋的专栏
03-01 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了虚拟机基础知识,包括XP操作系统安装、文件共享设置、网络快照及网络设置等。这篇文章将讲解了如果搭建XP和Kali环境,并通过Windows漏洞实现栈溢出攻击,通过Metasploit反弹shell,从而Kali系统获取了XP系统的shell。基础性文章,希望您喜欢。
路由器漏洞挖掘之栈溢出 - 反弹shell的payload构造
abc380620175的博客
03-22 941
前言 前一篇讲到了 ROP 链的构造,最后直接使用调用 execve 函数的 shellcode 就可以直接 getshell,但是实际路由器溢出的情况下都不会那么简单。 这里再看一道 DVRF 的题,这道题是 pwnable/ShellCode_Required 下的 socket_bof。 漏洞分析 直接查看源码: #include <sys/types.h> #incl...
某系统Telnet后门漏洞
最新发布
梦里明明有六趣,觉后空空无大千
08-20 316
在你熬不住的时候,你给我记住,那正是修行时
Telnet的攻击
uuty的专栏
10-18 3038
所谓对telnet的攻击也不外乎对telnet的用户猜解和对telnet服务进程的溢出,除了这些, 本人觉得telnet并没有太大的问题.telnet的连接并不是大家想象的那么简单了,虽然没有像ssh那样进行加密, 不过, 还是比ftp等通讯来的复杂。   D:>telnet 192.168.25.1 Red Hat Linux release 7.3 (Valhalla) Kernel 2.4.
宏电 H8922 Telnet后门漏洞(CVE-2021-28149)
孤桜懶契
04-06 1588
漏洞描述 i ⭐宏电 H8922 Telnet存在硬编码的账号密码 且默认开放 5188端口连接,可以以Root身份获取权限 漏洞影响 s ✅宏电 H8922 空间测绘 d ⭕ZoomEy:app:"Hongdian H8922 Industrial Router" 漏洞复现 搜索 ✅ Telnet连接目标5188端口,账号密码为 root/superzxmn ...
Linux学习之Telnet明文漏洞
qq_42108074的博客
08-19 390
此文章为8月Day 19学习笔记,内容来源于极客时间。里边,鼠标右键点击第一条数据,然后选择。再打开在同一个内网的主机,然后使用。然后就看到了显示界面中的密码。,之后输入用户名和密码,注意。来监控端口,然后把数据传给。,把监听的信息保存到。
libpcap_1.8.1-1_mipsel_24kc.ipk
01-22
mentohust_0.3.1-2_mipsel_24kc.ipk mentohust的依赖
OpenWrt-Toolchain-ramips-for-mipsel_24kec+dsp-gcc-4.8-linaro_uClibc
06-25
OpenWrt-Toolchain-ramips-for-mipsel_24
mipsel-linux-as: not found 是因为系统是64位的,按照以下文档安装几个包即可解决
07-14
编译uboot时出现/bin/sh: 1: /opt/buildroot-gcc342/bin/mipsel-linux-as: not found 是因为系统是64位的,按照以下文档安装几个包即可解决
mipsel-linux-android-4.9.zip_android_arm_however26w_mipsel_swung
07-15
Android studio在进行ndk开发的时候总是报一些奇奇怪怪的问题,比如mipsel-linux-android-4.9找不到了,这个是比较少的情况,虽然用不到,但是Android 的IDE还是要去检测他的存在与否。
漏洞讲解:远程开启Telnet
08-20
题目:漏洞讲解<br><br>一.远程开启Telnet<br><br>NTLM身份认证过程是:<br>1、客户端首先在本地加密自己的密码成为密码散列<br>2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输<br>3、服务器产生一个16位的随机数字发送给客户端,作为一个 challenge <br>4、客户端再用加密后的密码散列来加密这个 challenge ,然后把这个返回给服务器。作为 response 。<br>5、服务器把用户名、给客户端的challenge 、客户端返回的 response 这三个东西,发送域控制器<br>6、域控制器用这个用户名在 SAM密码管理库中找到这个用户的密码散列,然后使用这个密码散列来加密 challenge。<br>7、域控制器比较两次加密的 challenge ,如果一样,那么认证成功
Apache Flink (最新版本) 远程代码执行
梦里明明有六趣,觉后空空无大千
05-04 823
路虽远,行则将至;事虽难,做则必成
4.6、漏洞利用-Telnet
c10udz的博客
10-03 3617
Telnet服务,即远程终端协议服务,使用明文传输用户的所有内容,具有安全隐患。Telnet服务默认使用23端口(1)使用nmap获取(2)使用metasploit。
口令暴力破解--Telnet协议暴力破解、数据库暴力破解与远程桌面暴力破解
薛定谔的猫
04-12 5984
用户可以通过输入用户名和密码来登录数据库服务器。输入如下命令:exec master.dbo.xp_cmdshell 'ipconfig',再输入go,可以发现ipconfig成功执行,获取目标操作系统的ip信息。开启kali-linux虚拟机,打开命令行窗口运行NMAP,输入命令nmap -v -A -Pn 193.168.1.24,对该IP地址进行扫描。在本机打开命令行,输入mysql -h 193.168.1.38 -u root –p,输入密码admin888,尝试登录mysql服务器。
外网测试telnet&SSH漏洞案例分析
roostnew的博客
04-03 1992
I.问题现象 我司通讯管理机产品,现场要连接外网。安全测试中发现以下问题: II.问题分析 我司通讯管理机产品开通了telnet 以及SSH服务,主要用来远程调试/问题分析。 1、“Unencrypted Telnet Server ” Telnet使用的是明文传输,本身是不加密的,所以没办法关闭该漏洞。如果要避免这个问题,建议不使用telnet,改用ssh; Telnet 服务关闭命令如...
6-7漏洞利用-Telnet暴力破解
山兔的博客
07-12 3072
Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。我们本地有台计算机,远程有台服务器,服务器上开启telnet服务,我们可以通过本地的机器连接到telnet服务器,然后执行对应的系统命令,服务器执行完成之后,会将结果返回到本地计算机,中间通过的协议就是telnet协议在终端使用者的电脑上使用telent程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务
openocd调试mips芯片
steeven
08-31 712
启动openocd: bin\openocd-0.6.0-rc2.exe -f parport.cfg -d -f scripts\board\pic-p32mx.cfg 启动telnet: telnet localhost 4444 > 查看当前有哪些设备 [quote]> scan_chain TapName Enabled IdCode E...
MIPSshellcode编写二
Yale的博客
05-27 592
shellcode中我们常会看到execve系统调用,它常用来运行/bin/sh之类的应用程序。 我们来execve的原型 execve()用来执行参数filename字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。 这里为了方便,直接将后面两个参数置0 简单的看看c程序里execve的使用 代码在exe.c 编译 运行 可以看到execve函数执行了/bin/sh生成了一个shell 用汇编来写同
构建MIPS架构的交叉编译工具链:mipsel-linux
"本文档详细介绍了如何制作针对MIPS架构的mipsel-linux交叉编译工具,主要适用于OpenWRT项目以及MT7688设备的开发。" 在嵌入式开发领域,尤其是针对MIPS架构的设备,如MT7688这样的处理器,交叉编译是必不可少的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值