MIPS缓冲区溢出利用实践

最新推荐文章于 2023-03-31 09:00:33 发布
最新推荐文章于 2023-03-31 09:00:33 发布
阅读量1.3k 收藏
点赞数
分类专栏: iot 智能硬件 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/82191154
版权
iot 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
智能硬件
9 篇文章 0 订阅
订阅专栏
漏洞挖掘
6 篇文章 0 订阅
订阅专栏

概要

这里写图片描述

漏洞利用开发过程

由上图可以知道,漏洞利用开发过程需要遵循以下步骤:
1.劫持PC
2.计算偏移
3.确定攻击途径
4.构建漏洞攻击途径

劫持PC

输入命令等待调试:
这里写图片描述
打开IDA附加远程进程,按F9键执行程序,程序立即崩溃,可以看出缓冲区已经溢出,此时,我们已经劫持PC.
这里写图片描述
这里写图片描述

计算偏移

在劫持PC之后,我们需要计算使用多少个字节可以使PC指向我们所期望的地址,这里使用两种方法确定偏移,其他方法大同小异:

大型字符串脚本

建立大型字符串脚本,在这些字符中任意取连续4位,这4个 字符在字符集中是唯一的,找出覆盖 到PC的4个字符在字符集中的偏移,就可以实现精确定位:
这里写图片描述
(注:貌似按照书上所说的利用patternLocOffset.py脚本生成不了==!,可能作者笔误写错了吧~~)
而后利用IDA进行附加调试,崩溃现场如图所示:
这里写图片描述
这里写图片描述
由图可以知道,劫持PC的位置在0x6E37416E,即字符串“n7An”,继续使用下面的指令搜索该 劫持PC的字符串的精确 偏移;
这里写图片描述
可以看到,填充412(0x19C)字节后可以精确劫持PC;
为类验证该值是否正确,可以构造 一个偏移数据进行测试,如下:
这里写图片描述

毫无悬念,我们成功地劫持了pc,使其指向0x42424242(BBBB)处,崩溃现场如下所示:
这里写图片描述

栈帧分析

在了解了MIPS的体系 结构堆栈布局的情况下,可以通过调用栈布局结合动态调试来确定偏移.
从buf到$ra的偏移计算如下:

offset = save_ra - buf_addr =-0x4 + 0x1A0 = 0x19c

一般漏洞攻击的途径有两种:一是命令执行,另外一种方法是执行shellcode;
这里只谈命令执行的方法:
在源程序里面有一个函数do_system_0.虽然从代码里面可以看出,do_system_0函数只能执行“ls -l”命令,但是我们可以构造一条ROP链,通过溢出漏洞调用这个函数,使得这个函数能够执行任意命令.想要构造出ROP链,首先构造出do_system_0这个函数的两个参数,将两个参数分别 装入寄存器
a0和a1,这里只需要控制寄存器$a1即可,该参数是命令的字符串地址,如下所示:
这里写图片描述
这里使用mipsrop.py搜索构造 合适的ROP链,使用如下命令:
这里写图片描述
这里写图片描述

测试

这里写图片描述
这里我使用了三个命令进行测试,发现通过漏洞溢出控制程序以后,是可以执行刚才那三个命令的!发现可以成功的利用漏洞!(后来笔者发现上面这幅图是有问题的)

这里写图片描述
上面这幅图是正确的利用结果.

richard1230
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
自制cpu处理器 MIPS指令集 五级流水 带溢出 不带乘除
04-18
与本人对应博客内容一致,需要的可以下载,测试代码在文件中存在,可以直接添加在vivado中运行,欢迎下载
安全编程之缓冲区溢出.7z
08-20
尽管x86架构是讨论缓冲区溢出的典型场景,但其他处理器架构(如ARM、MIPS等)也会遇到类似问题。不同架构的内存管理机制和指令集可能会带来不同的挑战。例如,某些架构可能没有显式的返回地址,或者其指针大小与x86...
MIPS缓冲区溢出漏洞实践
01-21 577
这份实践来自于学习-解密路由器漏洞的笔记和总结。主要用来回顾和巩固整个过程,整个过程里面不是非常顺利,主要的问题点在于对于溢出函数的地址的确定。 这个自己写的漏洞代码主要基于MIPS的编译器进行编译,通过这份基础的溢出漏洞学习,主要用来为之后在路由器的漏洞溢出实践中打好基础。 下面开始review整个过程。   1. 首先我们来看看自己写的一个存在溢出漏洞的源代码 #include &lt...
MIPS缓冲区溢出1_crash
richard1230的博客
08-27 485
1.将vuln_system.c 拷贝至my_file文件下: 执行如下命令: root@ricard-virtual-machine:~/my_file# /root/my_file/buildroot1/buildroot/output/host/bin/mips-linux-gcc vuln_system.c -static -o vuln_system root@ricard-...
MIPS缓冲区溢出漏洞实践[解密家用0Day技术笔记] 第六章
desword-- 技术,杂文。
07-09 545
这份实践来自于学习-解密路由器漏洞的笔记和总结。主要用来回顾和巩固整个过程,整个过程里面不是非常顺利,主要的问题点在于对于溢出函数的地址的确定。这个自己写的漏洞代码主要基于MIPS的编译器进行编译,通过这份基础的溢出漏洞学习,主要用来为之后在路由器的漏洞溢出实践中打好基础。下面开始review整个过程。  1.首先我们来看看自己写的一个存在溢出漏洞的源代码:#include <stdio.h...
MIPS架构下缓冲区溢出实战(IDA版)
Yale的博客
05-25 500
我们先分析源代码大概掌握程序流程,之后通过IDA调试找到具体偏移,最后配合MIPSROP插件组合有用的指令进行利用。 学习了《mips基础》实验后,我们来进行缓冲区溢出实战吧。 源码在vuln_system.c里 通读后,可以知道逻辑很简单,就是从文件paswd中读取密码,如果密码为adminpwd则调用system执行系统命令ls –l,否则提示报错后退出 编译 注意到源程序里main中的buf大小为256字节,我们这里直接写600个A到passwd,看能否溢出,能否劫持pc 尝试执行,报错了 配
blogpost_qiling_dlink_1:使用Qiling框架模拟和运行MIPS二进制文件的说明和代码。 还提供了有关影响模拟二进制文件的缓冲区溢出的详细漏洞记录
02-18
使用Qiling框架分析DLINK DIR-645中的缓冲区溢出,第一部分介绍在过去的几周中,我一直在玩一个非常有趣的项目: 我强烈建议您尝试一下。 在上,我参加了由xwings(其中一位创建者)提供的虚拟研讨会(顺便说一下,...
computer-architecture-project:计算机体系结构课程的项目:检测代码中的危害,将隐蔽的mips转换为机器代码,并将机器代码转换为mips
02-17
1. **代码危害检测**:此部分涉及到静态代码分析,目标是识别和标记可能存在的潜在问题,如缓冲区溢出、未初始化的变量、错误的指针操作等。这对于软件安全至关重要,可以防止在程序执行过程中出现意外行为或被恶意...
LEC10_存储管理1
08-04
安全问题方面,讲座提到了利用存储空间分布进行攻击的例子,特别是缓冲区溢出攻击。这种攻击通过向程序的缓冲区写入超出其边界的数据,影响相邻的数据区域,可能导致程序崩溃或者恶意代码的执行。防范缓冲区溢出攻击...
bap:二进制分析平台
02-05
这对于发现注入攻击、缓冲区溢出和其他安全漏洞非常有效。 **4. 静态与动态分析** BAP不仅支持静态分析,即在不运行程序的情况下分析其行为,还支持动态分析,即在实际运行环境中监测程序的行为。这种混合分析方法...
mips缓冲区溢出漏洞利用
信息安全
11-16 357
文章目录前言环境漏洞源码编译程序测试漏洞漏洞利用 前言 最近在看《揭秘家用路由器0day漏洞挖掘技术》这本书,学习最重要的还是要动手,所以根据所学对漏洞进行复现和利用,并记录自己在这过程中遇到的问题。 环境 系统:Ubuntu 16.04 工具:IDA、QEMU 配置好mips交叉编译环境 漏洞源码 #include <stdio.h> #include <stdlib.h&gt...
mips jal指令_CVE-2017-13772分析及mips溢出利用总结
weixin_39855634的博客
11-20 635
1. 前言本文将分析CVE-2017-13772,并总结mips溢出利用的一般思路。阅读之前需要先了解mips汇编相关知识。在阅读实践->文章链接<- 这篇文章,并尝试回溯该文作者的思路,我学到了很多东西。2. CVE-2017-13772漏洞成因CVE-2017-13772是tp-link的栈溢出漏洞,如果ping功能处输入过长的ip地址会触发漏洞。一般而言,ping功能处我们一般...
c++调用栈库函数_MIPS溢出初探-二进制漏洞-看雪论坛
weixin_39789327的博客
10-27 253
前言上周,花了一周多一点的时间来学了一些Linux kernel pwn入门,主要是学了Wiki上面的四个利用姿势;具体可以看我的前几篇博客。然后的话,接下来会入门路由器的栈溢出。因为是初学,所以也会尽可能地详细地记录。MIPS32架构堆栈有关MIPS汇编的一些基础知识,可以参考以下我的这一篇博文在计算机科学中,栈是一种具有先进后出队列特性的数据结构。调用栈是指存放某个程序正在运行的函数的信息的栈...
gdb 查看是否 栈溢出_物联网漏洞挖掘及利用实践mips溢出
weixin_39645306的博客
11-20 246
前言:本文章为物联网漏洞挖掘方向,智能设备架构又以 mips、arm 为主,因此通过本篇文章先重点讲解一下mips架构下的漏洞挖掘及漏洞利用。文章以mips溢出漏洞为例,通过构造ROP,传递自己构造的payload,达到在被攻击方开启telnet服务或者反弹shell,继而达到想要的目的。开启telnet服务、反弹shell信息检查没有开启NX 、PIE等保护漏洞分析ida 静态分析#...
路由器漏洞挖掘之栈溢出入门
01-21 1041
前言 MIPS 指令集主要使用在一些嵌入式的 IOT 设备中,比如路由器,摄像头。要对这些设备进行二进制的漏洞挖掘就需要有对 MIPS 有一定的熟悉。MIPS 指令集的栈溢出与 x86 指令集的有所不同,所以漏洞的利用方式也不太相同,但是溢出的思路是一样的:覆盖返回地址、劫持程序控制流、构造 ROP chain 、写 shellcode 等等。本文介绍一下最基本的 MIPS 指令集下的栈溢出的利...
MIPS寄存器值溢出问题
最新发布
dadashibangwa的博客
03-31 821
mips
溢出入门
qq_41071646的博客
12-05 193
今天有个同学问我一个问题 但是这个问题很好分析 我就打算那个来给他 一个溢出的概念  这里有个程序 #include &lt;stdio.h&gt; #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated = s...
MIPS架构下缓冲区溢出实战(GDB版)
Yale的博客
05-25 493
文件下载地址:https://github.com/praetorian-code/DVRF 下载来后解压缩,发现有两个文件 我们可以使用binwalk来检查下.bin固件 从结果中我们可以看到这是squashfd文件系统,还可以知道字节序为小端格式 可以使用下图命令提取固件 这时在路径下将会新增一个文件夹,里面包含了我们解压出来的文件 进入这个文件夹可以看到有有一个名为squash-root的文件夹,里面就是该固件的文件系统 接下来我们来挑战一个项目,stack_bof_01,可通过栈溢出漏洞进

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值