异架构Pwn入门：MIPS\/ARM环境配置与漏洞利用<\/h1>

一、环境配置<\/h2>

1. QEMU安装与配置<\/h3>

QEMU是一个支持跨平台虚拟化的虚拟机，有两种配置方式：<\/p>

System Mode<\/strong>：模拟整个计算机系统，可在QEMU上运行操作系统<\/p>

优势：支持跨指令集（如在x86上虚拟ARM计算机）<\/li>
安装命令：sudo apt install qemu-system<\/code><\/li> <\/ul> <\/li>
User Mode<\/strong>：运行不同平台的可执行程序<\/p> 要求：必须同一种操作系统（如Linux）<\/li> 安装命令：sudo apt install qemu-user<\/code><\/li> <\/ul> <\/li> <\/ul> 2. GDB调试工具<\/h3> 安装支持多架构的GDB：<\/p> sudo apt install gdb-multiarch <\/span><\/span><\/code><\/pre>3. 动态链接库安装<\/h3> 安装对应架构的动态链接库，安装后会在\/usr\/<\/code>目录下看到相关文件。<\/p> 二、MIPS架构分析<\/h2> 1. MIPS基础<\/h3> MIPS(Microprocessor without Interlocked Pipeline Stages)是一种RISC架构：<\/p> 最早32位，最新版本64位<\/li> 常见于路由器、嵌入式系统等<\/li> CTF考点：ret2text、ret2libc、ret2shellcode、堆题目<\/li> <\/ul> 2. MIPS寄存器用途<\/h3> 寄存器<\/th> 名称<\/th> 用途<\/th> <\/tr> <\/thead> $0<\/td> $zero<\/td> 存储常量0<\/td> <\/tr> $1<\/td> $at<\/td> 保留给汇编器<\/td> <\/tr> $2-$<\/span>3<\/td> $v0-$<\/span>v1<\/td> 函数返回值或表达式结果<\/td> <\/tr> $4-$<\/span>7<\/td> $a0-$<\/span>a3<\/td> 函数调用的前四个参数<\/td> <\/tr> $8-$<\/span>15<\/td> $t0-$<\/span>t7<\/td> 临时寄存器<\/td> <\/tr> $16-$<\/span>23<\/td> $s0-$<\/span>s7<\/td> 保存调用子函数前的寄存器值<\/td> <\/tr> $24-$<\/span>25<\/td> $t8-$<\/span>t9<\/td> 补充临时寄存器<\/td> <\/tr> $26-$<\/span>27<\/td> $k0-$<\/span>k1<\/td> 中断\/异常处理程序使用<\/td> <\/tr> $28<\/td> $gp<\/td> 全局指针<\/td> <\/tr> $29<\/td> $sp<\/td> 堆栈指针<\/td> <\/tr> $30<\/td> $fp<\/td> 帧指针<\/td> <\/tr> $31<\/td> $ra<\/td> 返回地址<\/td> <\/tr> <\/tbody> <\/table> 3. MIPS32函数调用机制<\/h3> 栈操作<\/strong>：从高地址向低地址增长，无ebp\/rbp指针<\/li> 函数调用<\/strong>：前4个参数通过$a0-$<\/span>a3传递<\/li> 多余参数放入调用参数空间<\/li> 返回地址存入$RA寄存器而非堆中<\/li> <\/ul> <\/li> 函数类型<\/strong>：叶子函数：不调用其他函数，直接使用"jr $RA"返回<\/li> 非叶子函数：保存返回地址到栈中，返回时从栈取出<\/li> <\/ul> <\/li> <\/ul> 4. MIPS漏洞利用<\/h3> 缓冲区溢出利用：<\/h4> 非叶子函数：与x86类似，可覆盖返回地址<\/li> 叶子函数：需溢出大量数据覆盖父函数返回地址<\/li> <\/ul> 例题分析：<\/h4> ret2win_mipsel<\/strong>：<\/p> 计算溢出点：padding=0x38+4-0x18=36<\/code><\/li> 直接控制返回地址为后门函数<\/li> <\/ul> <\/li> split<\/strong>：<\/p> 需要控制$ra和$<\/span>a0执行system("\/bin\/cat flag.txt")<\/li> 使用gadget：ROPgadget --binary ".\/split_mipsel" | grep -E ": lw .*a0, .*sp"<\/code><\/li> <\/ul> <\/li> Mplogin<\/strong>：<\/p> NX未开启，考虑shellcode<\/li> 利用read溢出泄露栈地址，控制返回地址为shellcode<\/li> <\/ul> <\/li> retlibc<\/strong>：<\/p> 利用gadget泄露libc地址<\/li> 构造system的ROP链<\/li> <\/ul> <\/li> <\/ol> 三、ARM架构分析<\/h2> 1. ARM基础<\/h3> ARM：32位架构<\/li> AARCH64：64位架构<\/li> 常见于移动设备、嵌入式系统<\/li> <\/ul> 2. 函数调用约定<\/h3> ARM(32位)<\/strong>：<\/p> 前4个参数：r0-r3<\/li> 多余参数：从右向左入栈<\/li> 返回值：r0<\/li> 被调用者实现栈平衡<\/li> <\/ul> AARCH64(64位)<\/strong>：<\/p> 前6个参数：x0-x5<\/li> 调用者负责栈平衡<\/li> 返回值：x0（大数据类型可能使用x0和x1）<\/li> <\/ul> 3. 常见汇编指令<\/h3> 指令<\/th> 功能描述<\/th> <\/tr> <\/thead> MOV<\/td> 数据传输<\/td> <\/tr> ADD\/SUB<\/td> 加减法<\/td> <\/tr> CMP<\/td> 比较操作数<\/td> <\/tr> B<\/td> 无条件跳转<\/td> <\/tr> BL<\/td> 跳转并将返回地址存入LR寄存器<\/td> <\/tr> LDR\/STR<\/td> 内存读写<\/td> <\/tr> PUSH\/POP<\/td> 栈操作<\/td> <\/tr> <\/tbody> <\/table> 4. ARM漏洞利用<\/h3> 例题分析：<\/h4> typo(ret2text)<\/strong>：<\/p> 静态编译，去除符号表<\/li> 通过调试找到主函数<\/li> 使用cyclic -l<\/code>确定溢出值<\/li> 控制r0为"\/bin\/sh"，pc为system<\/li> <\/ul> <\/li> chall(ret2libc)<\/strong>：<\/p> 利用base64绕过检查<\/li> 寻找控制r0、r1的gadget<\/li> 泄露libc后构造ROP链<\/li> <\/ul> <\/li> baby_arm(ret2csu)<\/strong>：<\/p> 利用ret2csu控制多个寄存器<\/li> 构造mprotect参数(x0=buf, x1=length, x2=prot)<\/li> 注意栈布局：ldp x29, x30, [sp], #0x10<\/code><\/li> <\/ul> <\/li> <\/ol> 四、调试技巧<\/h2> GDB调试<\/strong>：<\/p> 设置共享库查找路径防止加载宿主机库<\/li> 脚本调试更高效<\/li> <\/ul> <\/li> 工具推荐<\/strong>：<\/p> mipsrop：查找MIPS架构的ROP gadget<\/li> ROPgadget：通用ROP工具<\/li> shellcraft：生成shellcode<\/li> <\/ul> <\/li> 常见问题解决<\/strong>：<\/p> 安装binutils依赖：sudo apt install binutils-aarch64-linux-gnu<\/code><\/li> 符号表恢复：有助于分析静态编译程序<\/li> <\/ul> <\/li> <\/ol> 五、总结<\/h2> 异架构Pwn与x86思路相似，需掌握特定架构特性<\/li> 重点掌握：寄存器用途<\/li> 函数调用约定<\/li> 栈布局<\/li> 漏洞利用方法<\/li> <\/ul> <\/li> 调试是关键，需熟悉工具链<\/li> 实际应用中需灵活组合各种技术<\/li> <\/ol> 六、扩展学习<\/h2> 深入研究堆利用技术<\/li> 探索更多架构（如PPC、SPARC等）<\/li> 实战演练复杂场景下的漏洞利用<\/li> 关注实际设备中的安全漏洞案例<\/li> <\/ol>