ARM exploit编写一

最新推荐文章于 2023-03-28 16:08:47 发布
最新推荐文章于 2023-03-28 16:08:47 发布
阅读量452 收藏 3
点赞数
分类专栏: bin IoT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/104156567
版权
IoT 同时被 2 个专栏收录
36 篇文章 12 订阅
订阅专栏
bin
31 篇文章 9 订阅
订阅专栏

我们先ssh连接上之前已经使用qemu搭建好的arm环境。
在这里插入图片描述
本系列实验用到的工具包括:
gdb-调试器
gef-gdb插件
gcc-gnu编译器套件
as-汇编器
ld-链接器
strace-跟踪系统调用
objdump-检查反汇编中的空字节
objcopy-从ELF二进制文件中提取初始shellcode

在开始写shellcode之前,需要知道一些基础的准则,比如:

  1. shellcode应该紧凑并且没有空字节
    原因:我们正在编写shellcode,我们将使用它来利用缓冲区溢出等内存损坏漏洞。 由于使用了C函数’strcpy’,会发生一些缓冲区溢出。 它的工作是复制数据,直到收到空字节。 我们使用溢出来控制程序流,如果strcpy命中空字节,它将停止复制我们的shellcode,我们的漏洞将不起作用。
  2. 尽量避免库调用和绝对内存地址
    理由:为了使shellcode尽可能通用,我们不能依赖于需要特定依赖关系的库调用和依赖于特定环境的绝对内存地址

写shellcode包括如下几个步骤:

  1. 知道你想要使用的系统调用是什么
  2. 配置系统调用号和所选系统调用函数所需的参数
  3. 消除shellcode中的null-byte
  4. 将shellcode转为16进制字符串

理解系统函数
在深入研究我们的第一个shellcode之前,让我们编写一个输出字符串的简单ARM汇编程序。 第一步是查找我们想要使用的系统调用,在我们的例子中是是“write”。 可以在Linux手册页中查找此系统调用的原型:
在这里插入图片描述
从像C这样的高级编程语言的角度来看,这个系统调用的调用如下所示:
const char string[13] = “ARM exploit development\n”;
write(1, string, sizeof(string)); // 此处 sizeof(string) 是 21

查看这个原型,我们可以知道我们需要下列的参数:
fd-1表示标准输出STDOUT
buf-指向字符串的指针
count-需要写出的字节的数量,这里是21
write的系统调用号-为0x4
对于前三个参数我们可以使用寄存器r0,r1,r2;对于系统调用我们需要使用r7然后将0x4存入其中,部分汇编的片段如下所示:
mov r0, #1 @ fd 1 = STDOUT
ldr r1, string @ 从内存中加载字符串到 R1
mov r2, #21 @ 向 STDOUT写21个字节
mov r7, #4 @ 系统调用号 0x4 = write()
svc #0
完整的代码如下,在write.s中
在这里插入图片描述
在data部分,我们通过从字符串后面的地址减去字符串开头的地址来计算字符串的大小。 当然,如果我们只是手动计算字符串大小并将结果直接放入R2中也是可以的。 要退出我们的程序,我们使用系统调用exit(),它的系统调用号是1。
我们编译并执行它
在这里插入图片描述
可以成功输出了,接下来我们研究下期中的细节。

追踪系统调用
我们以下面一个简单的函数为例。
代码如下,在system.c
在这里插入图片描述
第一步是确定此函数调用的系统调用以及系统调用所需的参数。 使用’strace’,我们可以监视程序对OS内核的系统调用。
将上面的代码保存在文件中,然后在运行strace命令之前编译它。
在这里插入图片描述
先看看strace的用法
在这里插入图片描述
-f可以跟踪fork,-v是详细模式,会打印出未缩写的argv.stat,termio[s]等参数

可以看到在上图中,系统函数execve()被调用了

在这里插入图片描述
系统调用号及参数
下一步是计算execve()的系统调用号和该函数需要的参数。
可以在linux man page中看到
输入man execve即可看到如下
在这里插入图片描述
可以看出execve()需要的参数为:
指向指定二进制路径的字符串的指针
argv[]–命令行参数数组
envp[]—环境变量数组
我们可以将其简单地理解为execve(*filename, *argv[], *envp[]) –> execve(*filename, 0, 0).
这个函数的系统调用号可以使用下图的命令查看
在这里插入图片描述
可以看到execve()的系统调用号为11.
函数的参数可以存入寄存器r0,r2;系统调用号可以存到寄存器r7
在这里插入图片描述
在x86上调用系统调用的工作方式如下:首先,在堆栈上调用PUSH参数。 然后,系统调用号被移入EAX(MOV EAX,syscall_number)。 最后,使用SYSENTER / INT 80调用系统调用。
而在ARM上,系统调用有一些不同:

  1. 将参数移入寄存器中-r0,r1…
  2. 将系统调用号移入寄存器r7
    mov r7, #<syscall_number>
  3. 唤起系统调用
    SVC #0或者SVC #1
    4.返回值在r0结束

在ARM汇编中看起来是这样的:
在这里插入图片描述
我们首先使用PC相对寻址将R0指向我们的“/ bin / sh”字符串,然后我们将0移动到R1和R2并将系统调用号11移动到R7
完整的代码在execve1.s
在这里插入图片描述
我们将其编译然后使用objdump反汇编看看
在这里插入图片描述
可以看到在我们的shellcode中有很多null byte,所以下一步就是将其删除并替换所有的涉及到的相关操作。

在shellcode中去除null byte
常用的一种方法是使用Thumb模式。使用Thumb模式可以减少使用空字节的可能性,因为Thumb指令长度为2个字节而不是4个。我们在arm汇编课程中已经学过如果从ARM模式切换到Thumb模式。
这一次我们使用Thumb模式,通过将寄存器相互相减或异或运算,将包含#0的操作替换为导致0的操作。例如,不使用“mov r1,#0”,而是使用“sub r1,r1,r1”(R1 = R1–R1)或“eor r1,R1,R1”(R1 = R1 xor R1)。请记住,因为我们现在使用Thumb模式(2字节指令),并且我们的代码必须是4字节对齐的,所以我们需要在末尾添加一个NOP(例如mov r5、r5)。
在这里插入图片描述
完整代码在execve2.s
同样,编译后使用objdump查看
在这里插入图片描述
我们还剩一个null byte需要去除
我们的代码中导致这个null byte的部分是以空字符结尾的字符串“/ bin / sh \ 0”。
我们有两种方法来解决这个问题:

  1. 使用”/bin/shX”来代替”/bin/sh\0”
  2. 将指令strb(存储字节)与现有的零填充寄存器结合使用,以空字节替换X
    我们使用第一种办法
    在这里插入图片描述
    完整代码在execve3.s
    在这里插入图片描述
    现在已经没有null byte了

接下来我们只需要将shellcode转换为16进制的字符串就可以了
在此之前,最好检查shellcode是否作为独立工作。 但是有一个问题:如果我们像通常那样编译汇编文件,它将无法工作。 原因是我们使用strb操作修改了我们的代码段(.text)。 这要求代码段是可写的,并且可以通过在链接过程中添加-N标志来实现。
我们可以看到ld的参数说明中提到
在这里插入图片描述
所有我们在链接时要加上-N
在这里插入图片描述
可以看到,此时它是能独立运行的
至于转化成十六机制就很简单了,使用下图的两条命令即可
在这里插入图片描述

Elwood Ying
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Exploit编写教程
06-14
在学习exploit的自动生成,exploit编写需要很多的基础知识,很好的学习文档
[翻譯]ARM Exploit Writing匯編教學 Part 1
03-27
- **ARM处理器概述**:ARM(Advanced RISC Machines)是一种基于精简指令集计算(RISC)架构的处理器。ARM架构因其低功耗、高性能及广泛的应用范围而在移动设备、嵌入式系统、服务器等领域得到广泛应用。 - **ARM与...
Exploit 编写系列教程 1-10合集
weixin_34209406的博客
10-28 711
下载地址1:http://bbs.pediy.com/showthread.php?p=879337下载地址2:http://u.115.com/file/f428224d99下载地址3:http://www.vdisk.cn/down/index/5217288A2787目录译序………………………………………………………………..2Exploit编写系列教程第一篇:栈溢...
metasploit(十)漏洞攻击exploit代码编写
u010680986的博客
10-03 924
exploit格式 1.攻击载荷信息块 2.需要提供可用目标的列表 3.尽量使用exploit()和check()函数,少使用run函数 例如以下: require 'msf/core' #引入core库的内容 class Metasploit3 <Msf::Exploit::Remote Rank = ExcellentRanking #设置ran等级 include Msf::Exploit::Remote::Tcp ...
ARM exploit编写
Yale的博客
02-03 232
我们先了解内存布局有关知识。 每次我们启动一个程序,都会为该程序保留一个内存区域。然后这个区域被分成多个区域。然后这些区域被分成更多的区域(segment),但是我们将坚持总体概述。所以,我们感兴趣的部分是:程序镜像,堆,栈。 在下图中,我们可以看到这些部分在进程内存中是如何布局的一般表示。用于指定存储区域的地址只是为了举例,因为它们会因环境而异,尤其是在使用ASLR时。 程序镜像区域基本上保存...
shellcodes:ARM & x86 shellcode
06-30
Shellcode是一种特殊的低级代码,通常用汇编语言编写,用于在目标系统上执行特定操作。它是黑客和安全研究人员在渗透测试中常用的工具,尤其是在利用软件漏洞时。在这个主题中,我们将深入探讨ARM和x86架构下的...
Exploit_Android_MSM8974:利用Android MSM8974芯片组
05-15
在"MSM8974_exploit"项目中,Python可能用于编写自动化漏洞检测脚本、构建PoC(Proof of Concept)或利用工具,甚至用于分析和调试相关的二进制文件。 综上所述,"Exploit_Android_MSM8974"涉及的是对高通MSM8974...
shellcoder:从可执行文件或汇编代码创建shellcode
02-05
编写shellcode通常涉及对系统调用的深入理解,以及如何在目标架构(如x86、x64、ARM等)上有效地构建指令序列。 - **可执行文件转换**:有时,可以将完整的可执行文件转换为shellcode。这可能涉及到反汇编、删除...
使用“Spectre”漏洞(CVE-2017-5753和CVE-2017-5715) - Eugnis/ Spectre -attack的示例
01-27
项目标签中提到的"C exploit"指的是使用C语言编写的攻击程序,这通常是因为C语言能够提供低级别的系统访问,非常适合编写这类攻击代码。"security-vulnerability"强调了这是关于安全漏洞的研究,而"Spectre"和"CC"则...
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part2.rar
08-07
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part2.rar
arm64_rop_exploitArm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码 这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。 执照 有关详细信息,请参阅文件。 rop.py 关于 该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在注入外壳程序代码以进行开发的基础上。 该项目的创举来自以下博客: 但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。 因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。 在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
Exploit 编写系列教程
06-30
Exploit 编写系列教程 译序............................................................................................................................................2 Exploit 编写系列教程第一篇:栈溢出...............................................................................3 Exploit 编写系列教程第二篇:跳至 ShellCode............................................................25 Exploit 编写系列教程第三篇 a:基亍 SEH 的 Exploit.................................................54 Exploit 编写系列教程第三篇 b:基亍 SEH 的 Exploit—又一个实例........................77 Exploit 编写系列教程第四篇:编写 Metasploit Exploit.............................................83 Exploit 编写系列教程第五篇:利用调试器模块及插件加速 exploit 开发.................94 Exploit 编写系列教程第六篇:绕过 Cookie,SafeSeh,HW DEP 和 ASLR..............126 Exploit 编写系列教程第七篇:编写 Unicode Exploit................................................218 Exploit 编写系列教程第八篇:Win32 Egg Hunting..................................................256 Exploit 编写系列教程第九篇:Win32 Shellcode 编写入门......................................316 Exploit 编写系列教程第十篇:利用 ROP 绕过 DEP.....................................................432 附录 A:对《基亍栈的溢出》一文的补充.......................................................................509 附录 B:对《编写 unicode exploit》一文的补充........................................................511
exploit_me:极易受攻击的ARMAARCH64应用程序(具有14种漏洞技术的CTF样式利用教程)
02-28
exploit_me 极易受攻击的ARM / ARM64 [AARCH64]应用程序(CTF样式开发教程,可移植到其他平台) (c)克勒2018-2020 为什么: 我的一些朋友问我是否可以做一些过去几年我在ARM / ARM64 [AARCH64] / others上在现实世界中看到的可利用东西的示例。 因此,出于培训目的,我认为:为什么不:) 当前漏洞: Level 1: Integer overflow Level 2: Stack overflow Level 3: Array overflow Level 4: Off by one Level 5: Stack cookie Level 6: Format string Level 7: Heap overflow Level 8: Structure redirection / Type confusion Level
Exploit编写教程2:跳转的多种姿势
周无争的博客
06-09 2007
在上节文章中,讲解了发现漏洞并构建有效 exploit 的基础知识。在使用的例子中, ESP 直接指向栈缓冲区的 Shellcode 开头,并且可以使用 语句来跳转到 Shellcode 。使用 是一个几乎完美的方法,但不是每次都那么容易。本节文章将讨论执行或跳转到 Shellcode 的其他方法,最后谈谈遇到较小的缓冲区如何应对。有以下方法可以执行 Shellcode :可能有多种方法跳转到 Shellcode ,也可能只有一种方法,也可能需要多种技术的组合。一个漏洞也很可能只会引发崩溃,不能利用。如
Exploit编写教程1:栈溢出
周无争的博客
05-26 2204
Exploit编写教程1:栈溢出 要点提示: 复现环境首选 WinXP,因为没有 地址随机化ASLR,可以减少复现难度。ASLR在 Vista以上版本才有。 用到的工具有:python3\pwntools\windbg\x32dbg\msfvenom 造成崩溃后查看EIP是否为目标地址,使用 d esp 查看栈中的数据。 直接使EIP指向ESP不会有效果,要使EIP指向 jmp esp 指令的地址。 查看软件加载的DLL所在的地址范围,再使用 s 1a800000 l 1f200000 ff e4 查询该
看雪学习笔记-[原创]编写第一个Exploit
最新发布
32bin的博客
03-28 320
学习:source=1定位到了,EIP的地址为偏移的485个。
ARM exploit编写
Yale的博客
02-03 298
学习如何编写实现bind shell和reverse shell的shellcode。 首先我们要理解一些技术细节。 先来看看什么是bind shell以及它是如何工作的。通过bind shell你可以在目标机器上打开一个通信端口或者监听器。监听器会等待到来的连接,你连上去后,监听器会接收连接然后给你弹回一个shell.(其实就是我们所说的正向连接) 在看看Revese shell,通过reve...
exploit编写教程2:栈溢出,跳转至shellcode
xiaoeryu_的博客
03-18 1209
exploit编写教程2:栈溢出,跳转至shellcode 这篇blog是为了学习如何用各种方式去构造栈溢出类型漏洞的exp 执行shellcode的多种方法: jump/call 寄存器 pop return push return jmp[reg + offset] blind return jmp code SHE call 1. jmp/call 寄存器 在第一篇中已经详细分析过 2. pop pop ret 这个exp我们依然还使用上一篇分析的Easy RM to MP3的漏洞来编写,在上一
exploit编写教程:基于栈的溢出分析与实践
"Exploit 编写系列教程第一篇,主要介绍了基于栈的溢出漏洞的利用方法,通过分析一个具体的漏洞案例——存在于EasyRMtoMP3ConversionUtility软件中的漏洞,来阐述Exploit开发的基本流程和技术。教程强调了理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值