0x00 背景
最近一直在研究IoT设备的安全,而在IoT设备上程序很多都是MIPS架构的。所以对MIPS指令有一定研究,而在DDCTF 2018中刚好有一道逆向题目是MIPS程序,于是尝试做了一下。
0x01 环境搭建
由于我们通常的操作系统指令集都是x86的,所以无法跑MIPS程序。这时候就需要装QEMU来模拟,QEMU通过源码编译较为复杂,我们又没有特殊的需求,所以直接使用的APT进行安装即可。
由于MIPS架构有两种——大端MIPS和小端MIPS。所以,我们需要确定这个程序是大端MIPS还是小端MIPS。
很明显,这个程序是32位小端的MIPS。所以,我们使用来运行这个程序。因为我们需要远程调试MIPS程序,所以要加上参数,,此时用IDA pro就可以通过来调试这个MIPS程序。
0x02 题目分析
直接打开IDA来载入程序,搜索字符串,可以看到
查找这个字符串的交叉引用,直接到。
可以看到一个简单的流程,程序根据函数的返回结果来判断是否为正确的。那么,到这里我们需要理解具体干了什么。进入函数之后,代码比较乱而且还有很多无法识别的代码块。
这时候为了方便我们理解,就得来远程调试这个MIPS程序。随后,在虚拟机中使用QEMU启动该程序,使用IDA连接虚拟机的服务,然后让程序跑起来。在输入完key后,程序会在这里崩溃掉。
当我们把这条指令以数据的形式展示后,发现指令为0xEB023DC5。而且我们发现,识别不出来的代码段。都有个特点,就是指令的头两个字节为,且在x86指令集中为跳转指令。我们把操作码反汇编成汇编代码后发现第一条指令是,刚好MIPS指令集每条指令大小为4字节。
于是做出猜测,是不是程序让我们遇到这个指令就跳转四字节呢?然后我们把以开头的指令全部替换为。
替换好之后,我们再使用IDA载入程序,发现已经没有不能识别的代码段了。然后,为了方便我们了解key比对函数的功能,我们可以需要对MIPS进行反编译,目前可以反编译MIPS程序的工具有两个。
Retdec
JEB-mips
我们首先使用Retdec来反编译该程序
接着我们尝试使用JEB-mips来反编译改程序
可以很轻易的看出,这块其实就是一个16元1次方程组,我们写一个python脚本来解这个方程组。
结果如下
四舍五入后输入程序中,得到最终的flag如下
0x03 Refer
https://wenku.baidu.com/view/1908905f178884868762caaedd3383c4bb4cb469.htmlhttps://blog.csdn.net/KoalaZB/article/details/52733910?locationNum=3https://zhuanlan.zhihu.com/p/24893371
领取专属 10元无门槛券
私享最新 技术干货