DVRF_Intro_stack_bof_01

固件分析与栈溢出利用初探
原创 已于 2022-04-07 09:49:09 修改 · 2.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-04-06 18:41:32 首次发布
本文详细记录了一次固件分析的过程,包括环境配置、固件提取、文件系统识别、程序黑盒测试、栈溢出漏洞分析及利用。作者通过binwalk工具提取了Squashfs文件系统,并利用qemu-mipsel-static在Chroot环境中运行程序进行测试。在分析过程中,发现了程序存在栈溢出,通过反汇编和调试确定了payload的构造方法。然而,在尝试利用时遇到了困难,未能成功获取shell。文章最后提到了寻找gadget和确定libc.so基址的问题。

文章目录


这篇笔记是第一次固件分析的记录。

1. 环境

QEMU环境请参考另一篇博客:https://blog.youkuaiyun.com/Ga4ra/article/details/123959989

下载DVRF:ttps://github.com/praetorian-inc/DVRF。可以从gitee上搜一下,有很多镜像。

2. 提取固件

目录:

starr@starr-VirtualBox:~/Documents/iot/DVRF-master$ tree
.
├── Firmware
│   ├── DVRF_v03.bin
│   └── FW_LICENSE_E1550_v1.0.03.002.html
├── gdb
│   ├── gdb binaries
│   │   └── mips-i
│   │       ├── Big Endian
│   │       │   ├── gdb
│   │       │   └── gdbserver
│   │       └── Little Endian
│   │           ├── gdb
│   │           └── gdbserver
│   └── gdb_static_mipsle-be.tar
├── Pwnable Source
│   ├── Intro
│   │   ├── heap_overflow_01.c
│   │   ├── stack_bof_01.c
│   │   └── uaf_01.c
│   └── ShellCode_Required
│       ├── socket_bof.c
│       ├── socket_cmd.c
│       └── stack_bof_02.c
├── README.md
└── Source Code
    ├── clean.sh
    ├── DVRF_v03_source.tar.001
    ├── DVRF_v03_source.tar.002
    ├── DVRF_v03_source.tar.003
    ├── DVRF_v03_source.tar.004
    ├── DVRF_v03_source.tar.005
    ├── DVRF_v03_source.tar.006
    ├── DVRF_v03_source.tar.007
    ├── DVRF_v03_source.tar.008
    ├── DVRF_v03_source.tar.009
    ├── DVRF_v03_source.tar.010
    ├── DVRF_v03_source.tar.011
    ├── DVRF_v03_source.tar.012
    └── merge_and_extract.sh

10 directories, 28 files

扫描一下固件:

$ binwalk DVRF_v03.bin

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             BIN-Header, board ID: 1550, hardware version: 4702, firmware version: 1.0.0, build date: 2012-02-08
32            0x20            TRX firmware header, little endian, image size: 7753728 bytes, CRC32: 0x436822F6, flags: 0x0, version: 1, header size: 28 bytes, loader offset: 0x1C, linux kernel offset: 0x192708, rootfs offset: 0x0
60            0x3C            gzip compressed data, maximum compression, has original file name: "piggy", from Unix, last modified: 2016-03-09 08:08:31
1648424       0x192728        Squashfs filesystem, little endian, non-standard signature, version 3.0, size: 6099215 bytes, 447 inodes, blocksize: 65536 bytes, created: 2016-03-10 04:34:22

文件系统是squashfs,开始提取:

$ binwalk -Me DVRF_v03.bin 
...
$ ll -h
total 9.6M
drwxrwxr-x  3 starr starr 4.0K 45 14:41 ./
drwxrwxr-x  3 starr starr 4.0K 45 14:41 ../
-rw-rw-r--  1 starr starr 5.9M 45 14:41 192728.squashfs
-rw-rw-r--  1 starr starr 3.7M 45 14:41 piggy
drwxr-xr-x 14 starr starr 4.0K 310  2016 squashfs-root/
$ ll -h squashfs-root/
total 56K
drwxr-xr-x 14 starr starr 4.0K 310  2016 ./
drwxrwxr-x  3 starr starr 4.0K 45 14:41 ../
drwxr-xr-x  2 starr starr 4.0K 310  2016 bin/
drwxr-xr-x  2 starr starr 4.0K 310  2016 dev/
drwxr-xr-x  3 starr starr 4.0K 45 14:41 etc/
drwxr-xr-x  3 starr starr 4.0K 310  2016 lib/
lrwxrwxrwx  1 starr starr
最低0.47元/天 解锁文章
路由器DVRF固件漏洞分析与学习
hcu5555的专栏
06-08 831
git clone https://github.com/praetorian-code/DVRF.git 1287 ls 1288 cd DVRF 1289 ls 1290 cd Source\ Code 1291 ls 1292 cd ../ls 1293 ls 1294 cd ../ 1295 ls 1296 cd Firmware 1297 ls 1298 binwalk -Me DVRF_v03.bin 1299 ls 1300 cd...
DVRF-stack_bof_01
qq_40712959的博客
12-04 587
背景 DVRF(Damn Vulnerable Router Firmware)是一个不错的IoT固件漏洞平台 项目地址:https://github.com/praetorian-inc/DVRF 提取固件 binwalk -MeDVRF_v03.bin 其提取出的文件系统是squashfs,存在漏洞的文件存放在pwnable/Intro下。 测试程序 cdsquashfs-root cp (which qemu-mipsel-static) . sudo chroo...
DVRF:路由器漏洞练习靶机 Damn Vulnerable Router Firmware
weixin_33801856的博客
01-24 442
0×01 概述 这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘。 目前为止,该项目是基于Linksys E1550 为基础进行安装。 0×02 安装 友情提示,安装前请先备份路由器固件,以备不时之需。 1、使用管理员帐户密码登录E1550 2、访问固件更新页面,http://192.168.1.1/...
DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用
weixin_33862993的博客
09-12 463
本文讲的是以DVRF(路由器漏洞靶机)为例解读JEB固件漏洞利用, 在本文中,我将介绍JEB的MIPS反编译器是如何帮助你查找和利用嵌入式设备中的软件漏洞。 DVRF DVRF(Damn_Vulnerable_Router_Firmware) 是一个基于路由器Linksys E1550的路由器固件,里面包含了开发者写的一些存在漏洞的二进制文件,可以在路...
DVRF靶机系列(1)搭建
m0_51193993的博客
07-07 442
前言 随着各种硬件设备漏洞越来越被人们关注,以及被恶意攻击者大量利用。作为一个安全研究员,学习分析固件漏洞,及时预警修补漏洞变得越来越重要。这个系列文章将通过利用DVRF来一步一步的深入固件分析,笔者也是一位初学者,记录在学习的过程中遇到的一些问题,希望与大家一起进步。 DVRF是一个非常好的项目,这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘。 前期环境准备 由于此步骤非常简单,相信有点基础的同学都能够搞定,因此我就不细说这个过程,只要你按照我给的环境配
HMM_intro_yuanma.rar_ HMM_intro_yuanma_HMM_隐马尔科夫模型
09-23
这个名为“HMM_intro_yuanma.rar”的压缩包包含了一份关于HMM的详细资料和源代码实现,对于学习和理解HMM的人来说是一份宝贵的资源。 首先,让我们深入探讨一下HMM的核心概念。HMM是基于马尔科夫过程的一种概率模型...
精选资源
flutter_intro:Flutter专案的新功能介绍和逐步使用者指南的更好方法
03-17
flutter_intro 为Flutter项目提供新功能介绍和逐步用户指南的更好方法。 切换设备屏幕方向时自动适应。 用法 要使用此软件包,请 中将flutter_intro添加为 。 在里面 import 'package:flutter_intro/flutter_intro...
class_01_intro.pdf
最新发布
08-15
class_01_intro.pdf
verilog_course_intro.rar_verilog 教案_案例 Verilog
09-21
这份"verilog_course_intro.rar"压缩包文件提供了Verilog的入门教程,特别适合本科阶段的学生作为硬件描述语言学习的参考资料。 在"verilog_course_intro.pdf"文档中,你可能会学到以下关键知识点: 1. **Verilog...
模块加载过程代码分析1
shujuliu818的专栏
10-31 981
一、概述 模块是作为ELF对象文件存放在文件系统中的,并通过执行insmod程序链接到内核中。对于每个模块,系统都要分配一个包含以下数据结构的内存区。 一个module对象,表示模块名的一个以null结束的字符串,实现模块功能的代码。在2.6内核以前,insmod模块过程主要是通过modutils中的insmod加载,大量工作都是在用户空间完成。但在2.6内核以后,系统使用busybox的in
DVRF靶机学习固件安全
蚁景网安学院
03-19 943
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
自助Linux之问题诊断工具strace
weixin_34295316的博客
02-20 263
引言 “Oops,系统挂死了..." “Oops,程序崩溃了..." “Oops,命令执行报错..."   对于维护人员来说,这样的悲剧每天都在上演。理想情况下,系统或应用程序的错误日志提供了足够全面的信息,通过查看相关日志,维护人员就能很快地定位出问题发生的原因。但现实情况,许多错误日志打印模凌两可,更多地描述了出错时的现象(比如"could not open file","conne...
unexpected reloc type问题分析
weixin_34209406的博客
09-17 1993
1.现象,程序在启动的时候报如下错误error while loading shared libraries: /home/test/lib/libtest.so: unexpected reloc type 0x03 2.分析,可以通过readelf进行查看依赖的目标文件是否存在non-pic情况,对比新旧版本readelf -d libtest.so|grep TEXTRELPIC:...
pynq-z2引入.so文件遇到的问题
weixin_48437318的博客
01-15 466
用新的编译工具使用-fPIC(-fpic -pie)选项重新编译相关依赖库文件,依赖库目标文件避免出现TEXTREL标识。知道函数名字是_Z10YOLOdecodePA13_A13_fPA6_fRi。在ctypes中,基于前述的基本数据类型,还可以构建自定义的数组类型,在pynq-z2想在其中引入C语言进行调用,首先要生成.so文件。我把exp函数的math.h删了,自己写了近似的函数。
Diplo_NT_Intro_Programacion编程入门资料库
“Diplo_NT_Intro_Programacion:物质资料库”这一标题所指的是一套面向编程初学者的学习资源集合,其核心目标是为学习者提供一个系统化、结构清晰且内容丰富的入门级程序设计学习平台。从标题中的“Diplo_NT_Intro_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值