MIPS下shellcode编写二

最新推荐文章于 2022-09-21 23:16:46 发布
最新推荐文章于 2022-09-21 23:16:46 发布
阅读量570 收藏 2
点赞数
分类专栏: IoT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117327049
版权

在shellcode中我们常会看到execve系统调用,它常用来运行/bin/sh之类的应用程序。
我们来execve的原型
在这里插入图片描述

execve()用来执行参数filename字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。
这里为了方便,直接将后面两个参数置0
简单的看看c程序里execve的使用
代码在exe.c
在这里插入图片描述

编译
在这里插入图片描述

运行
在这里插入图片描述

可以看到execve函数执行了/bin/sh生成了一个shell
用汇编来写同样的功能
在这里插入图片描述

两条sw指令用以将参数列表argv[0]=”/bin/sh”和argv[1]=0存入开辟的指针数组
接下来进行测试
这里直接使用之前我们写的脚本
编译完成后测试
在这里插入图片描述

可以看到是顺利执行了,接下来就是提取shellcode了,用脚本自动化完成
在这里插入图片描述

然后填入框架template.c为exe2.c
在这里插入图片描述

编译
在这里插入图片描述

执行
在这里插入图片描述

说明提取出的shellcode是可用的

回顾下我们编写shellcode的流程:
首先编写c语言版本,主要是学习相关系统调用,然后找到编写shellcode的调用号,接着一步步用汇编来写,然后编译、链接、这一步可以用脚本自动完成。接着从中提取,这一步也可以脚本完成,最后就是将提取出的机器码带入c语言的框架,来测试是否能够正常运行。
和x86下写shellcode一样,同样存在坏字符的问题,比如如果造成缓冲区溢出的漏洞为strcat,strcpy等,这些函数在复制字符串时会遇到null(\x00)就停止复制,此时如果shellcode中间有\x00,则后面的部分都不会被写过去,被复制到缓冲区的shellcode自然没用了。
接下来我们就要学习去除坏字符的方法。
一种常见的办法就是一些等价的指令来替换到汇编shellcode后会生成\x00的指令,比如li $a2,0的机器码为24 06 00 00 出现了坏字符,此时可以用等价的来代替slti a 2 , a2, a2,zero,-1,机器码为28 06 ff ff,这样就消除了坏字符。类似的替换如下所示
在这里插入图片描述在这里插入图片描述

运用上面的规则,我们可以将之前的write.s、exe.s中相关的指令替换掉。这里以exe.s为例,替换相关指令后得到exenew.s
得到如图所示
在这里插入图片描述

编译并提取机器码
在这里插入图片描述

注意到最后三行\x00,起不到任何作用,可以直接删去

“\x2f\x62\x69\x6e”
“\x2f\x73\x68\x00”
是字符串”bin/sh“的机器码,这里也有坏字符,解决办法就是直接用/bin/sh带代替
在往上\x00\x00\x00\x0c,这是syscall的机器码,不过改为\x01\x01\x01\x0c也是可以的
进过上面的分析,修改提取后的机器码放入c语言模板
代码在exenew.c
在这里插入图片描述

接下来编译执行
在这里插入图片描述

可以看到去除坏字符后的shellcode是可用的。

打过CTF pwn题的同学们可能会碰到一些题目,题目会额外限制一些字符的使用,如0x0d(\r),0x0a(\n)或者0x20(空格)等。事实上,实际生活中也会碰到类似的情况,比如为了躲避存在漏洞的软件本身的检测、躲避IDS本身的检测等情况。这时候为了保证我们的shellcode可用,就需要对我们的shellcode进行编码来绕过。
其实这和软件安全的加壳的思想很像。最开始的工作和之前介绍的一样,就是编写可以实现功能的shellcode,然后使用一种编码方式,使得编码之后的shellcode中不再存在坏字符(这里的坏字符包括\x00以及各个情况下需要避免的字符)。然后再写一段解码程序放在最开头的部分。
当程序执行时,shellcode开头的解码程序执行,会将编码后的shellcode解码成原始的shellcode,再开始执行。这样,又能避免坏字符的出现,又能实现功能。
接下来我们将会介绍最简单的一种编码方式,异或。
异或的原理很简单,相同为0,不同为1.
即:0 xor 0 =0,0 xor 1 = 1,1 xor 1=0,1 xor 0=1
以及推论:
a xor b = c,c xor b=a=》a xor b xor b = a
也就是说一个值对同一个数异或2次后得到自身。我们用个原理实现编码、解码。
先看异或的算法实现:
在这里插入图片描述

会逐字节与xor_with异或,将以后的数据返回。
这里的关键是xor_with的值,该值需要满足两个条件:1.值本身不能是坏字符,2,xor_with与shellcode异或得到的异或中不能有坏字符。
为了做到这一点,我们写了一个generate_key函数
在这里插入图片描述

将shellcode中的每个字节与1~255进行测试,如果异或的结果为坏字符或取得的i为坏字符,则做个标记,用以表示该值不能作为xor_with的值来用。
然后遍历整个bad_bytes,根据之前做的标记,找到有效的值,放在good_bytes中。然后随机选择一个作为xor_with的值。
在这里插入图片描述

坏字符可以在main这里的user_bad_byte自定义,将需要改造的shellcode机器码保存到source.bin
这就结束了吗?
别忘了我们之前说过,编码后的shellcode之前需要加上解码用的shellcode
如下所示
在这里插入图片描述

这里的关键是最后5条指令,用于从编码后的shellcode末尾循环取4字节,然后与之前选取的xor_with值异或完成解码操作。
完整的代码在encode.py
我们将之前的之前提取出的write的shellcode的机器码保存为source.bin
运行该脚本
在这里插入图片描述

得到编码后的机器码,将其填入框架
这里需要注意,由于xor_with为随机生成,所以大家操作的时候和我的情况可能会不同,只需把生成的机器码复制到框架里就可以了,完整代码在encode.c
在这里插入图片描述

编译、执行
在这里插入图片描述

成功运行

参考
pwntools官方文档关于mips的shellcode编写的资料https://docs.pwntools.com/en/stable/shellcraft/mips.html
1.exploit-db中典型的mips下的shellcode的实例https://www.exploit-db.com/exploits/18162
3.《揭秘家用路由器0day漏洞挖掘技术》

Elwood Ying
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MIPS-Reverse:轻松生成MIPS反向shell shellcode
04-16
MIPS反向 MIPS-Reverse是一种可以为架构生成shellcode的工具,该工具将启动反向shell ,您可以在其中指定IP地址,端口和所需的shell ( / bin / sh , / bin / bash , / bin / dash )。 如何安装 # 1. Install pwntools $ pip3 install pwntools # 2. Install the binutils for the MIPS architecture $ apt-get install software-properties-common $ apt-add-repository ppa:pwntools/binutils $ apt-get update $ apt-get install binutils-mips-linux-gnu 如何使用 $ python3main.py
MIPSshellcode编写
Yale的博客
05-27 617
这次实验我们来学习mipsshellcode编写。 我们知道linux下实现系统调用时利用了x86体系结构下的软件中断,也就是调用int 0x80这条指令,这是在x86下编写shellcode的办法。前面的知识中我们学习到mips中没有这个中断,我们用以代替的是使用syscall指令进行系统调用。Syscall的调用方法为:在调用之前,0x80这条指令,这是在x86下编写shellcode的办法。前面的知识中我们学习到mips中没有这个中断,我们用以代替的是使用syscall指令进行系统调用。 Sysc
MIPS shellcode
Starr
03-29 2406
文章目录1. MIPS linux 系统调用writeexecve2. 编码优化优化方法-指令优化编码优化3. 通用shellcodereboot shellcodereverse_tcp shellcode 1. MIPS linux 系统调用 MIPS没有int 0x80, 而是使用syscall进行系统调用。 syscall($v0, $a0, $a1, $a2...); 汇编: li $a0, 0 li $v0, 4001 # exit syscall $v0为系统调用号, 定义位于/usr/in
写精简的shellcode
农家小舍
09-30 1410
写精简的shellcode(译自:Writing Small Shellcode)信息来源:http://www.ngssoftware.com/文章作者:Dafydd Stuttard (daf[at]ngssoftware[dot]com)译文作者:fqucuo、wangweinoo1原作时间:应为05年左右译者声明:本人在https://forum.eviloct
十五、MIPS ShellCode
wanhex的博客
03-10 772
狭义上得Shellcode是指,向进程植入的一段用于获取Shell的代码,事实上,如今的Shellcode所具备的功能已经不仅仅包括获取Shell,还包括开启端口、执行命令等。 Shellcode通常使用汇编语言编写,最终将其转换成机器可识别的进制机器码,其内容和长度还会受到很多苛刻的限制,因此开发和调试的难度非常高。 Shellcode编写好后,通常在程序的可注入点,将Shellcode注入到...
Android系统shellcode编写.zip_android_shellcode
09-23
随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode编写和理解成为了安全研究的重要部分。 shellcode通常在黑客攻击中扮演关键角色,当一个漏洞被利用时,攻击者会尝试注入shellcode来...
mips指令集下的CPU编写
03-21
本项目是基于《自己动手写CPU》这本书,实现了MIPS指令集下的CPU编写。尽管实现方式可能与原著有所不同,但核心思想是一致的,为学习者提供了一个可参考的实际案例。 首先,了解MIPS指令集是非常重要的。MIPS指令集...
mips:帮助编写mips程序的工具
05-03
2. **MIPS汇编器**:如`as`或`gcc`的MIPS后端,将汇编语言代码转换为机器码。汇编器理解MIPS指令集并生成相应的进制文件。 3. **MIPS编译器**:如GCC(GNU Compiler Collection)具有MIPS架构支持,可以直接编译C...
MIPS体系下的汇编
08-10
MIPS体系下的汇编详解》 MIPS架构是一种广泛应用于嵌入式系统、路由器、教育领域的精简指令集计算机(RISC)体系结构。在学习MIPS汇编时,了解其特性和工作原理至关重要。本篇文章将深入探讨MIPS汇编代码的特性,...
进制学习(pwn)-shellcode
liulanghouzi的博客
09-21 1575
帮助进制安全爱好者入门~
汇编代码转成机器码mips-code-to-machine-code
12-21
汇编代码转成机器码——对输入有几点要求:指令是小写;一行只能有一条指令;每行开头不能有空格,必须一上来就是操作符,后面可以有空格;立即数只处理十进制数;输入-1代表程序结束
MIPS汇编指令.pdf
03-15
MIPS是世界上很流行的一种RISC处理器。MIPS的意思“无内部互锁流水级的微处理器”(Microprocessor without interlocked piped stages),其机制是尽量利用软件办法避免流水线中的数据相关问题。它最早是在80年代初期由斯坦福(Stanford)大学Hennessy教授领导的研究小组研制出来的。文件整理了MIPS常用的一些汇编指令,方便学习和查阅。
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3675
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1191
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
171115 杂项-可见字符组成的Shellcode
whklhhhh的博客
11-22 1775
1625-5 王子昂 总结《2017年11月15日》 【连续第411天总结】 A. JarvisOJ-Basic-Shellcode B. 题目如下: 下载下来打开以后发现是一段正常字符串: PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIYIhkmKzyCDq4l4FQyBlrRWEahI1tLKT16Pnk1ftLnkP
解析两道pwn题shellcode利用
weixin_44113469的博客
03-12 2006
两道题都是shellcode直接利用,简单记录解题的过程。 runit 逻辑不难,使用mmap()分配一块内存,然后通过read函数写入数据到这个内存块,接下来就直接执行我们输入的数据,所以可以直接构造shellcode注入到该内存块,完事。 exp ...
路由器漏洞复现终极奥义——基于MIPSshellcode编写
01-21 1259
前言 今天我们来聊聊如何在MIPS架构中编写shellcode。在前面的两篇文章中,我们分别介绍了基于MIPS的缓冲区溢出实践,以及进一步的如何利用学到的溢出知识复现与验证路由器的漏洞。但是在上文的路由器漏洞利用的例子里面,我们需要有一个前置条件,即含有漏洞的程序必须导入了系统的库函数,我们才能方便的验证,然而这个条件并不是时刻有效的。因此,在本文中,我们介绍路由器漏洞复现的终极奥义——基于MI...
九种MIPS编码格式
iamnationalhope的专栏
06-03 1527
    因为想在不借助 EJTAG 的情况下来验证 RTOS, 所以最近恨下心来想抽空写一个 Au1200 的模拟器(我一直觉得 gxemul 和 Simics 都不是很好用),于是先根据《See MIPS Run》一书总结了一下 MIPS 的编码格式(附带说一句,网上搜出的文章以及 Hennessy 的书都说 MIPS 只有 R, I, J 三种编码形式,若仔细看看新的 MIPS32 文档或《S
mips&arm&aarch64-pwn初探
seaaseesa的博客
04-02 4764
mips&arm&aarch64-pwn初探 前言 厌倦了x86/x64 平台下的进制漏洞利用,来看看mips/arm平台下的pwn是如何达到利用的。众所周知,mips/arm架构cpu主要用于嵌入式设备,比如路由器这些。当我们在x86/x64平台练习到一定境界后,再去探索一个新的平台下的漏洞利用,我们可以借鉴以前的方法,总之,思想都是一样的。只不过是指令的样子不同而已。 ...
Mips指令集编写冒泡排序
最新发布
10-24
下面是用MIPS指令集编写冒泡排序的步骤: 1. 将数组首地址存入寄存器$a0,将数组长度存入寄存器$a1。 2. 将$i$和$j$的初始值都设为0。 3. 在外层循环中,将$i$从0到$n-1$遍历一遍数组。 4. 在内层循环中,将$j$从$i...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值