hackstring
经过前几节的讲解,现在终于可以正式讲解“编程”方法了。由前几节可以猜到,所谓编程,实际上就是合理构造基本溢出时,输入区的100字节的式子。这100字节长的式子,被user202729称作 hackstring,我也没想到很好的翻译,就姑且先这么叫吧。
按下等号时到底发生了什么?
要想弄清楚基本溢出模式下,输入区的式子到底如何影响此后计算器所执行的指令,就需要搞清楚按下等号键后计算器到底发生了什么。但是,计算器的程序相当复杂,而且执行的大多数指令对我们编程的目的没有多大关系。我们只需要知道计算器在进行过一些操作后,调用了strcpy_null(0x81B8, 0x8154)。这才是计算器产生异常的关键。
不妨看看这个函数的源码:
strcpy_null:
push lr
mov er0, er0
bc eq, .l_00E
mov er2, er2
bc eq, .l_010
bl strcpy
.l_00E:
pop pc
.l_010:
st r2, [er0]
pop pc
该函数实际上就是strcpy函数的一个包装而已(看不懂上述内容的请回到第三节),它检测了一下参数是否含有空指针,然后就调用了strcpy(),了解C语言的都知道strcpy函数的一大问题就在于它没有检测待复制字符串的长度,所以便有了著名的缓冲区溢出。这里也造成了同样后果,正如前面一节所说的,输入区的100字节重复填满了整个内存,其中也包括了位于内存后部的栈。strcpy函数的源码如下(不看也可以):
strcpy:
push xr8
push er12
mov er8, er0
mov er10, er2
mov er12, er0
.l_00A:
l r0, [er10]
st r0, [er12]
add er10, 1
add er12, 1
mov r0, r0
bc ne, .l_00A
mov er0, er8
pop er12
pop xr8
rt
容易看到,strcpy函数作为以rt返回的函数,不涉及栈,因此该函数在碰到了0x8E00后还可正常返回。然而,strcpy_null函数却是以pop pc结尾的函数,调用strcpy_null的函数是谁已经无关紧要,因为原先保留在栈中的返回地址已经被输入区的100字节的某个位置(这个位置在不同模式或型号下可能有所不同,因为不同情况下sp寄存器的值不同)的4字节所覆盖。从这里开始,我们就成功地劫持并控制了程序的执行流程。接下来的步骤就是合理设计hackstring,让程序流按照我们的预想走下去。
一个简单的例子
在上文铺垫后,我们现在从一个非常简单的hackstring入手,讲解ROP中的若干注意事项和技巧。因为不同型号乃至相同型号的不同版本的程序差异非常大,各个函数所处的位置都不一样,因此即使执行的函数一样,每个版本的hackstring也不一样。下面这个hackstring会让计算器关机
fx-82ES PLUS A
已知该型号计算器上关机函数(shutdown)的位置是 0:3BE4,只要执行该位置的函数,计算器就会关机。那么我们只要让基本溢出中执行 pop pc时刚好栈顶的四个字节是 E4 3B 00 00就可以了(不理解为什么的自行翻阅CPU手册,重点浏览pop pc的时候栈顶4字节如何进入 pc 和 csr )。注意:在异常STAT模式下的基本溢出模式中执行到关键的pop pc时,sp的值为0x8DAE。
根据计算:(0x8DAE-0x8154) mod 100 = 62
输入区的第63-66个字节就是栈顶的四个字节。
又因为空字符无法出现在输入区中,所以不一定非要使用0x00。实际上,E4 3B 30 ??也是符合要求的,其中第三个字节只要最低位是0,第四个字节可以为任意值,第一个字节为 E5 或 E4 均可以。现在查阅符号表,将这几个字节翻译成对应的符号,记下来。应该是这样:
gal(UK)▶ℓ k 0 0(根据前面的阐述,翻译结果不唯一)。
只要保证63-66这四个字节是上面四个字节即可,其他字节则无所谓。
具体操作我录制了视频:fx-82ES PLUS A利用ROP关机示例
fx-991ES PLUS
与82类似,只不过shutdown函数的位置是 0:45EE,而且因为可以输入单位转换,不需要刷不稳定字符。同时由于光标溢出操作和位置不同,相应的操作也不一样。
翻译结果是:kg▶lb E 0 0(不唯一)
同时关键的pop pc执行时sp的值为 0x8DA4,因此上述四个字节应该放在输入区的52字节后。
操作视频:fx-991ES PLUS利用ROP关机示例
