mips jal指令_CVE201713772分析及mips栈溢出利用总结

最新推荐文章于 2024-05-27 09:00:00 发布
最新推荐文章于 2024-05-27 09:00:00 发布
阅读量1.1k 收藏
点赞数
文章标签: mips jal指令 mips j指令 mips反汇编 汇编如何判断溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39986060/article/details/111274099
版权

1. 前言

本文将分析CVE-2017-13772,并总结mips栈溢出利用的一般思路。

阅读之前需要先了解mips汇编相关知识。

2. CVE-2017-13772漏洞成因

CVE-2017-13772是tp-link的栈溢出漏洞,如果ping功能处输入过长的ip地址会触发漏洞。一般而言,ping功能处我们一般是尝试命令注入,tp-link厂商在字符串过滤方面做得不错,一些特殊字符输入无效,所以这里只能挖掘溢出型漏洞。

IDA搜索定位字符串:

675682cacbb4996f16632d8086b203d1.png

loc_453CE8:
la      $t9, httpGetEnv
addiu   $a1, (aPingAddr - 0x570000)  # "ping_addr"
jalr    $t9 ; httpGetEnv #http服务器通过httpGetEnv(ping_addr)获取ping_addr字段的值
move    $a0, $s5
lw      $gp, 0x70+var_58($sp)
la      $a1, aDotype     # "doType"
la      $t9, httpGetEnv
move    $a0, $s5
jalr    $t9 ; httpGetEnv
move    $s6, $v0       #httpGetEnv(ping_addr)返回值在v0,在上面一句执行之前,会保存在s6
lw      $gp, 0x70+var_58($sp)
la      $a1, aIsnew      # "isNew"
la      $t9, httpGetEnv
move    $a0, $s5
jalr    $t9 ; httpGetEnv
move    $s3, $v0
lw      $gp, 0x70+var_58($sp)
beqz    $s6, loc_454640
move    $s0, $v0

接着跟踪s6寄存器,单击一直往下看,直到这里才发现对s6的调用 ipAddrDispose($s6)

la      $t9, httpGetEnv
la      $a1, aTrhops     # "trHops"
jalr    $t9 ; httpGetEnv
move    $a0, $s5
lw      $gp, 0x70+var_58($sp)
nop
la      $t9, atoi
nop
jalr    $t9 ; atoi
move    $a0, $v0
lw      $gp, 0x70+var_58($sp)
move    $a0, $s6
la      $t9, ipAddrDispose   #ipAddrDispose($s6)
nop
jalr    $t9 ; ipAddrDispose
move    $s1, $v0
lw      $gp, 0x70+var_58($sp)
beqz    $v0, loc_454280
move    $v1, $v0

跟进ipAddrDispose

接下来分析ipAddrDispose

68b154d37a727711524dbe17e9a4a663.pngac9b31f33a2636f8166ab26481f0ef04.png

335535f9ca8e6d1c9a679145c8e3864c.png

4d1a7b17e174717de2e5135f89e9a5a8.png

ced9b79d62f86e2bec4e61d4492eabb5.png

ipAddrDispose 中发生栈溢出的部分反汇编大致如下:

void ipAddrDispose(char * pingaddr):{
    
char pingaddr_tmp[0x33] = {
    0};

int len = strlen(pingaddr);
    memset(pingaddr_tmp,0, 0x33);
int i=0,j=0;
for(; i    {
    
if(pingaddr[i]!=' ')
        {
    
            pingaddr_tmp[j]=pingaddr[i]   // 是这里发生栈溢出
            j++;
        }
    }
    strcpy(pingaddr, pingaddr_tmp);//这里只是拷贝回去除空格的字符串到pingaddr
    .........
}

从函数一开始分析可得栈的结构如下:

5fd556a885a97f90466440be83a4a7d1.png

由栈的结构可知我们最后能够控制 s0 s1 ra,并且可以知道覆盖的偏移,pingaddr='A'(0xAC-0xC)+ s0+s1+ra,
pingaddr='A'0xA0+ s0+s1+ra,。

3. CVE-2017-13772漏洞利用

3.1 mips漏洞利用流程

mips漏洞利用首先需要sleep(nS)更新codecache,然后才能正确执行栈上的代码。

如果想运行反向shell,大致可以思考出这样的流程:

设置a0=1,跳转到sleep函数

获取栈的地址,跳转到栈上执行代码。

3.2 mips跳转

在mips中,跳转的方式有:

① 设置寄存器t9,跳转到寄存器t9。如:

move
最低0.47元/天 解锁文章
weixin_39986060
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RV32I ISA 汇编指令详解
u011728490的博客
07-18 1911
add rd, rs1, rs2 示例: add x5,x6,x7 x5=x6+x7 rd: 0b00101 rs1:0b00110 rs2:0b00111 对应32位指令格式如下: 0000000 00111 00110 000 00101 0110011 即为:0x007302b3 整数寄存器–寄存器指令(R类) RV32I定义了几种算术R类操作指令,所有操作都是读取rs1和rs2作为源寄存器,并把结果写入到rd寄存器中。 示例: add rd, rs1, rs2 rd=rs1+r
MIPS
拳不离手,曲不离口
11-09 5975
参数传递:如果参数少于4个,通过a0-a3寄存器传递参数,否则其余通过堆栈传递。     参数作为调用者(caller)栈帧的一部分,4个32bits空间为a0~a3预留(即使参数通过寄存器传递)。被调者(callee)在函数前言部分分配自己的栈空间分配(返回地址/栈帧指针/局部变量),同时栈帧指针(fp)将指向最新的栈空间,并且所有局部变量通过栈帧指针偏移寻址,堆栈指针(sp)不再发生变化。
[笔记二] 学习开发一个RISC-V上的操作系统
Only love Can resist the Long Years! 唯有热爱,可抵岁月漫长!
03-03 1144
[笔记二] 学习开发一个RISC-V上的操作系统 汇编语言相关
MIPS汇编语言详解
最新发布
m0_74209411的博客
05-27 786
MIPS 的 基本指令 R型、I型、J型的使用,function的调用与维护,基本指令 对应的机器码的转换与构造规则
Botnet趋势典型攻击链
m0_73803866的博客
10-14 473
经过跟踪 分析,今年一季度以来 Mozi 的日均可探索节点已经超过了 10000 个,占据了整个 DHT网络规模的 1% 以上,这表明 Mozi 已发展成为中等规模的僵尸网络,可以对世界范围内的目标尤其是国内的网络节点 发动有威胁的攻击。此外,由于 Mozi 的特殊网络模式,其节点分布离散度极大,与传统僵尸网络集中于网络发达地区的普 遍规律截然不同。7 月,在网络犯罪活动再次抬头的情况下,公安部持续进行“净网行动 ”,再次打击了犯罪活动,DDoS 攻击事件量逐步下降,再次遏制了网络犯罪 活动的抬头倾向。
MIPS32指令集.rar_MIPS_MIPS指令集_mips lw指令_mips32 手册_汇编
09-21
MIPS(Microprocessor without Interlocked Pipeline Stages)是一种精简指令集计算机(RISC)架构,广泛用于教学、嵌入式系统以及部分高性能计算领域。MIPS32是MIPS架构的一个版本,专为32位计算设计。本文将深入...
MIPS.rar_MIPS_mips 流水线_mips指令_流水线
09-14
总结来说,MIPS流水线是通过分阶段执行指令来提高处理器效率的技术,它涉及指令的取指、译码、执行、访存和写回等多个步骤。理解并掌握这些基础知识,对于理解和设计高效的嵌入式系统或进行系统级编程至关重要。
MIPS.rar_mips.v_mips字长_mips指令_resultuso
09-20
在计算机体系结构领域,MIPS(Microprocessor without Interlocked Pipeline Stages)是一种广泛使用的精简指令集计算机(RISC)架构。本项目聚焦于32位字长的MIPS CPU设计,通过代码实现来深入理解MIPS的内部运作...
MIPS.rar_MIPS_MIPS处理器_mips pipeline_处理器_指令仿真 c++
09-24
MIPS 指令仿真器是用于模拟 MIPS 处理器工作过程的软件工具,它允许用户输入 MIPS 指令并观察其执行过程。这样的工具对于学习 MIPS 架构、调试代码和理解计算机底层工作原理非常有用。通常,一个 MIPS 指令仿真器会...
mips.zip_MIPS_mips指令机器码_sub_二进制mips_汇编指令sw
07-14
C编写的程序,将MIPS汇编指令转换为机器码,并以二进制方式存盘。实现指令add/and/sw/sub/slt.
MIPS堆栈回溯方法
07-12
讲述了MIPS 架构堆栈回溯的具体实例,怎么从crash 堆栈数据中找到函数调用关系
MIPS堆栈操作示例
11-30
MIPS汇编语言,一个简单的字符串处理程序,描述堆栈操作。
mips体系堆栈回溯分析与实现
XscKernel的专栏 记录工作中做的点滴
08-28 1万+
在上家公司做 linux 驱动开发主要基于mips架构,在内核下有一个好玩的函数 dump_stack, 只要调用到这个函数就能把函数的调用栈给打印出来,十分方便,不再需要kgdb断点了。   现在做电视机顶盒开发,各种软硬件平台 arm mips linux ecos 都有,有时候想要获得一个函数从哪里调用来的单凭静态分析根本不行,如果动态运行那就要在每个调用前面加入打印,修改量巨大而且容易出
从零开始设计RISC-V处理器——指令系统
热门推荐
qq_45677520的博客
01-04 2万+
从零开始设计RISC-V处理器
计算机组成原理学习笔记第5章指令系统 5.5——MIPS指令概述
流苏的博客
05-25 6618
计算机组成原理学习笔记第5章指令系统 5.5——MIPS指令概述。
计原复习(2) MIPS语言
weixin_44662670的博客
07-09 2284
1. 汇编文件组成 在模拟器Mars中,MIPS汇编代码(以.asm格式存储)分为两部分 以.data开头后的若干行,存储.data数据,格式如下 .data name1: .word 0x1,0x02... name2: .word ... .text # 之后才是指令区 其中.word标明了格式,可选的还有.double、.ascii、.dwrd等格式分别对应浮点数存储,字符串存储和长整型存储。 在Mars中,默认的.data的起始位置是0x10010000,而默认的外部存储是从0x10000
指令MIPS技术的指令集)
m0_63997099的博客
09-13 1万+
指令(MISP技术的指令集)
MIPS指令
极客驿站
12-26 1万+
MIPS有三种指令格式:(所有指令都是32 位长) R格式 功能 操作码6bit 1源操作数寄存器5bit 2源操作数寄存器5bit 目标操作数寄存器(放结果)5bit 偏移量5bit 函数码6bit 说明 标记/指令 opcode rs rt rd shamt funct 位数 31-26 25-21 20-16 15-11 10-6 5-0 例:add 000000 rs rt rd 00000 100000 rd=rs+rt 例: jr 000000 rs 0000
MIPS IV 指令集详解
"MIPS IV Instruction Set.pdf" MIPS(Microprocessor without Interlocked Pipeline Stages)是一种精简指令...学习和理解MIPS IV指令集能够帮助开发者更有效地利用MIPS处理器的能力,编写高效的机器代码或汇编程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值