HUST网络攻防实践｜6_物联网设备固件安全实验｜实验一 裸机缓冲区溢出漏洞 ...

文章目录

• 实验一
  
• 
  
  
  
  • 1 加载bin文件找到reset函数的步骤
    
  • 2 逆向存在溢出缓冲区的函数截图
    
  • 3 逆向找到flag打印函数的截图
    
  • 4 溢出函数栈图
    
  • 5 栈的溢出原理
    
  • 6 Qemu模拟运行固件的获取flag的截图
    
  • 
    
    
    
    • 6.1 首先，安装QEMU
      
    • 6.2 获取flag
      
      
    
  
  

写在最前：
大家分析的时候看一下自己学号是多少，然后分析对应的文件哈，我想都没想就打开01分析了，全部都做完了发现我不是这个文件，当事人现在就是很后悔，非常后悔呜呜呜呜呜。
实验一

1 加载bin文件找到reset函数的步骤

打开IDA Pro 7.6，打开task1_0x.elf文件， 选对应的选项。

然后点开main函数，f5反汇编生成简单易懂的代码。
2 逆向存在溢出缓冲区的函数截图

从main函数开始分析，分析如下：

总之，main函数的主要功能如下：

• 显示输入提示“input your Student ID immediately”；
  
• 接收4字符的输入，存入aRxBuffer；
  
• 显示aRxBuffer+\n这5个字符；
  
• 调用HelpFunc()，以及一堆不知名函数。
  

点开HelpFunc()，分析如下：

很明显，这个就是溢出函数了。主要功能是：

• 收2字符的输入，存入length；
  
• 回显length+\n这3个字符；
  
• 收8个字符的输入，存入shellcode；
  
• 把length转换成数值，存入len；
  
• 把shellcode从字母的ASCII码值转换成数值，比如e8转换成14和8；
  
• 把shellcode的数值形式依次赋值给Buffer[len]到Buffer[len+3]。
  

因为len就是第二个输入，是自己输入的，所以能够赋任意值到任意地址上去。我们这里覆盖掉函数的返回值就行。
3 逆向找到flag打印函数的截图

点开Text View从上往下一翻就翻到了，flag打印函数就是Die。

起始地址是080018E0。
由于固件的最低位是1，所以实际上的地址是080018E1。解释如下图。

4 溢出函数栈图

在HelpFunc中点开sp变量，就可以进入到栈图的页面。
   f5反汇编，然后注释里有sp，点开这个。
  
5 栈的溢出原理

画了个简单的示意图：

我们需要覆盖返回地址，也就是写入BP+4~BP+8这一部分。从溢出函数栈图中可以看到Buffer的起始地址与BP的距离是0x14，而len就是返回地址的最后一位，所以len=Buffer与BP的距离+4，就是24（注意是10进制）。
老师给了多个不同的样本，Buffer大小不同，计算方式相同。
6 Qemu模拟运行固件的获取flag的截图

6.1 首先，安装QEMU

apt-get install的版本太老，没有实验需要的架构。因此采用源码安装：

1. wget https://download.qemu.org/qemu-7.0.0.tar.xz
2. tar xvJf qemu-7.0.0.tar.xz
3. cd qemu-7.0.0
4. sudo apt-get install ninja-build -y # ninja
5. sudo apt install libglib2.0-dev -y # glib-2.56 gthread-2.0
6. sudo apt install libpixman-1-dev -y # pixman-1
7. ./configure --prefix=~/qemu-7.0.0/build --target-list=arm-softmmu --enable-debug
8. make
9. make install

复制代码

我在~目录下安装QEMU，因此运行configure时目录采用~/qemu-7.0.0/build。
安装完成后，在~/qemu-7.0.0/build目录下即可看到需要的可执行文件。
./qemu-system-arm -M help查看是否有mps2-an386和netduinoplus2。

6.2 获取flag

运行elf文件：

1. ~/qemu-7.0.0/build/qemu-system-arm -M netduinoplus2 -cpu cortex-m4 -m 16M -nographic -d in_asm,nochain -kernel ~/exp6/task1_01.elf -D log.txt

复制代码

注意实验一要选netduinoplus2，否则有段错误。
然后，输入三个内容：

• 学号后4位；
  
• 偏移长度（我的是24）；
  
• shellcode，也就是跳转的函数地址，由于字节序的原因，需要从后往前填（也就是E1180008）。
  

就得到flag：


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！