终于加入了梦寐以求的Nepnep,能和花花、贝塔贴贴啦
同时也欢迎各位师傅们来Nepnep玩
面试过程记录如下,希望能帮助到打算来面试的小伙伴们
(原载于本人博客:https://www.ksroido.art/nepnep%e4%ba%8c%e8%bf%9b%e5%88%b6%e7%bb%84%e9%9d%a2%e8%af%95%e5%88%86%e4%ba%ab/)
先交了简历,然后直接技术一面
花花:简历上写你之前在校赛出过题,讲讲具体情况?
冷冷子:出了三四题二进制的,简单的有明文签到和base64,XOR等,这个不细说了,RE压轴是我出的,基于nvram-faker这个项目,我修改了一个小模块下,往里面塞了一些数据,静态分析很难看出来,但是动调一下就出了,主要考察的是linux动态链接库的调试以及LD_PRELOAD的使用(或者HOOK)
花花:QEMU初始化时找不到 nvram 该如何处理?什么是 nvram ?
冷冷子:1. 我这边复现的MIPS架构的洞只有一个(简历上写的CVE-2005-2799),我当时查了一下资料,用 nvram-faker 这个项目加载就可以消除 QEMU初始化时找不到 nvram 这个问题,其他特殊情况情况没有遇到过如何处理
2. nvram 就是板载内存颗粒,有些嵌入式环境是直接与板载颗粒主控通信的,但是MIPS架构的内存颗粒对应的/dev/nvram文件是真实的系统启动时初始化、创建的,轮到程序在qemu里面运行时,并没有正常经历这些步骤,所以用户模式的qemu的nvram初始化失败
花花: 为什么直接return fake并不会影响正常的模拟
冷冷子(原话,有错误,正确的答案在下面):虽然qemu无法模拟主控但是仍然已经搭建好了模拟层的内存,所以初始化函数只需要返回一个正常值即可;也就是说,其实主程序已经可以正常的做他想做的内存分配操作了,但是初始化检查函数并不这么认为
(更正确一些的答案):程序跑的时候,用户模式的qemu只负责翻译程序的机器码,然后构建起一些虚拟的操作系统基本环境(比如内存的分配),但是大部分东西在用户模式的qemu下都是没有的(比如/proc和/dev和/etc/run等),此时qemu通过chroot,用透明相对路径的方法访问:以固件文件夹为根目录的文件当然就访问不到了
花花: nvram-faker 很老了,只是做了一堆枚举,如果没有写在里面的,就不适用了,你认为要更好的解决nvram的问题的话,该如何解决?
冷冷子:(这个没答好,而且我目前还不确定标准答案,暂时不写)
花花:bootloader,kernel,rootfs之间有什么关系
冷冷子: bootloader 负责CPU加电后从实模式启动到保护模式等操作,而为了让CPU能够与PCIE总线上的设备等进行通信,且为了该过程对人类而言是能看懂的,则需要kernel提供上层接口,rootfs没详细了解过
花花:除了这些还有要特别补充的安全方面的能力吗
冷冷子:基本上只会MIPS架构路由器漏洞这些东西了
花花:以后有什么打算
冷冷子:打算在队内好好学习,以我个人的能力和想法可能不会打算成为队内主力,在中层和大佬们一起学习就好
花花:有做过什么题吗
冷冷子:pwnable.kr pwnable.tw buu,不过都做得不是太多
花花:主要做了哪些考点?堆?栈?虚拟机?
冷冷子:主要只做过ret2xxx的栈题,其他的没做过特别有价值的二进制题目
花花:来讲一道印象深刻的题目
冷冷子:(复述了这个问题的内容和答案https://www.zhihu.com/question/492972837/answer/2176530773)
zhz:最后问个简单的,讲讲函数调用过程吧
冷冷子:(略)
花花:Dlink DIR-816 A2 BO5固件登陆界面有个洞,两天时间打穿就算成功,到时候提交复现报告即可
冷冷子:好的
(注:这里无意当中独立挖出来了goahead中间件的CVE-2019-19240,花花的预期解似乎是DIR816固件本身的CVE-2018-17063)
搜索后确认后台登陆页面为/dir_login.asp
WEB中间件为goahead
初始密码打印在路由器本体上
第一次登陆后台需要初始密码,不能直接访问设置界面
登陆成功后会进入/d_wizard_step1_start.asp
进行初始化设置,同时,即使已经初始化过,若能跳转到本页进行设置,则路由器设置会被覆盖
交叉编译环境与qemu-mipsel环境搭建依据笔者之前发表的博客,不赘述
https://www.ksroido.art/%e5%ae%b6%e7%94%a8%e8%b7%af%e7%94%b1%e5%99%a80day%e6%8c%96%e6%8e%98%e7%ac%94%e8%ae%b02/
从官网下载固件,然后binwalk -e
直接提取
以下为初步 qemu-mipsel 环境搭建
首先是chroot之后个人倾向于使用bash而非busybox,所以复制bash的程序本体与动态链接库到对应的相对路径文件夹内,如图
同理,用ldd命令查qemu-mipsel所需要的动态链接库
复制到chroot后的对应相对路径目录中
总共的内容为这些
然后再把交叉编译环境output文件夹当中的lib库全部复制到dir816/lib内
此时就可以正常运行qemu了,算是初步搭建好了环境
chroot ./ ./qemu-mipsel ./bin/goahead
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2023-5-12 20:12
被KSr01dO编辑
,原因: 1