前言

因为遇到了几次MISP PWN，所以想好好学一下相关的知识

一、MISP寄存器

寄存器	名字	用途
$0	$zero	常量0(constant value 0)
$1	$at	保留给汇编器(Reserved for assembler)
$2-$3	$v0-$v1	函数调用返回值(values for results and expression evaluation)
$4-$7	$a0-$a3	函数调用参数(arguments)
$8-$15	$t0-$t7	暂时的(或随便用的)
$16-$23	$s0-$s7	保存的(或如果用，需要SAVE/RESTORE的)(saved)
$24-$25	$t8-$t9	暂时的(或随便用的)
$28	$gp	全局指针(Global Pointer)
$29	$sp	堆栈指针(Stack Pointer)$30
$31	$ra	返回地址(return address)

下面给以详细说明：
$0:即$zero,该寄存器总是返回零，为0这个有用常数提供了一个简洁的编码形式。
           move $t0,$t1
       实际为
           add $t0,$0,$t1
       使用伪指令可以简化任务，汇编程序提供了比硬件更丰富的指令集。
$1:即$at，该寄存器为汇编保留，由于I型指令的立即数字段只有16位，在加载大常数时，编译器或汇编程序需要
       把大常数拆开，然后重新组合到寄存器里。比如加载一个32位立即数需要 lui（装入高位立即数）和addi两条
       指令。像MIPS程序拆散和重装大常数由汇编程序来完成，汇编程序必需一个临时寄存器来重组大常数，这
       也是为汇编 保留$at的原因之一。
$2..$3:($v0-$v1)用于子程序的非浮点结果或返回值，对于子程序如何传递参数及如何返回，MIPS范围有一套约
       定，堆栈中少数几个位置处的内容装入CPU寄存器，其相应内存位置保留未做定义，当这两个寄存器不够存
       放返回值时，编译器通过内存来完成。
$4..$7:($a0-$a3)用来传递前四个参数给子程序，不够的用堆栈。a0-a3和v0-v1以及ra一起来支持子程序／过程
       调用，分别用以传递参数，返回结果和存放返回地址。当需要使用更多的寄存器时，就需要堆栈（stack)
       了,MIPS编译器总是为参数在堆栈中留有空间以防有参数需要存储。
$8..$15:($t0-$t7)临时寄存器，子程序可以使用它们而不用保留。
$16..$23:($s0-$s7)保存寄存器，在过程调用过程中需要保留（被调用者保存和恢复，还包括$fp和$ra），MIPS
       提供了临时寄存器和保存寄存器，这样就减少了寄存器溢出（spilling,即将不常用的变量放到存储器的过程),
       编译器在编译一个叶（leaf)过程（不调用其它过程的过程）的时候，总是在临时寄存器分配完了才使用需要
       保存的寄存器。
$24..$25:($t8-$t9)同($t0-$t7)
$26..$27:($k0,$k1)为操作系统／异常处理保留，至少要预留一个。 异常（或中断）是一种不需要在程序中显示
       调用的过程。MIPS有个叫异常程序计数器（exception program counter,EPC)的寄存器，属于CP0寄存器，
       用于保存造成异常的那条指令的地址。查看控制寄存器的唯一方法是把它复制到通用寄存器里，指令mfc0
       (move from system control)可以将EPC中的地址复制到某个通用寄存器中，通过跳转语句（jr)，程序可以返
       回到造成异常的那条指令处继续执行。MIPS程序员都必须保留两个寄存器$k0和$k1，供操作系统使用。

       发生异常时，这两个寄存器的值不会被恢复，编译器也不使用k0和k1,异常处理函数可以将返回地址放到这
       两个中的任何一个，然后使用jr跳转到造成异常的指令处继续执行。
$28:($gp)为了简化静态数据的访问，MIPS软件保留了一个寄存器：全局指针gp(global pointer,$gp)，全局指针
       只想静态数据区中的运行时决定的地址，在存取位于gp值上下32KB范围内的数据时，只需要一条以gp为基
       指针的指令即可。在编译时，数据须在以gp为基指针的64KB范围内。
$29:($sp)MIPS硬件并不直接支持堆栈，你可以把它用于别的目的，但为了使用别人的程序或让别人使用你的程
       序， 还是要遵守这个约定的，但这和硬件没有关系。
$30:($fp)GNU MIPS C编译器使用了帧指针(frame pointer),而SGI的C编译器没有使用，而把这个寄存器当作保
       存寄存器使用（$s8),这节省了调用和返回开销，但增加了代码生成的复杂性。
$31:($ra)存放返回地址，MIPS有个jal(jump-and-link,跳转并 链接)指令，在跳转到某个地址时，把下一条指令的
       地址放到$ra中。用于支持子程序，例如调用程序把参数放到$a0~$a3,然后jal X跳到X过程，被调过程完成后
       把结果放到$v0,$v1,然后使用jr $ra返回。

二、MIPS指令集

指令	功能	应用实例
LB	从存储器中读取一个字节的数据到寄存器中	LB R1, 0(R2)
LH	从存储器中读取半个字的数据到寄存器中	LH R1, 0(R2)
LW	从存储器中读取一个字的数据到寄存器中	LW R1, 0(R2)
LD	从存储器中读取双字的数据到寄存器中	LD R1, 0(R2)
L.S	从存储器中读取单精度浮点数到寄存器中	L.S R1, 0(R2)
L.D	从存储器中读取双精度浮点数到寄存器中	L.D R1, 0(R2)
LBU	功能与LB指令相同，但读出的是不带符号的数据	LBU R1, 0(R2)
LHU	功能与LH指令相同，但读出的是不带符号的数据	LHU R1, 0(R2)
LWU	功能与LW指令相同，但读出的是不带符号的数据	LWU R1, 0(R2)
SB	把一个字节的数据从寄存器存储到存储器中	SB R1, 0(R2)
SH	把半个字节的数据从寄存器存储到存储器中	SH R1，0(R2)
SW	把一个字的数据从寄存器存储到存储器中	SW R1, 0(R2)
SD	把两个字节的数据从寄存器存储到存储器中	SD R1, 0(R2)
S.S	把单精度浮点数从寄存器存储到存储器中	S.S R1, 0(R2)
S.D	把双精度数据从存储器存储到存储器中	S.D R1, 0(R2)
DADD	把两个定点寄存器的内容相加，也就是定点加	DADD R1,R2,R3
DADDI	把一个寄存器的内容加上一个立即数	DADDI R1,R2,#3
DADDU	不带符号的加	DADDU R1,R2,R3
DADDIU	把一个寄存器的内容加上一个无符号的立即数	DADDIU R1,R2,#3
ADD.S	把一个单精度浮点数加上一个双精度浮点数，结果是单精度浮点数	ADD.S F0,F1,F2
ADD.D	把一个双精度浮点数加上一个单精度浮点数，结果是双精度浮点数	ADD.D F0,F1,F2
ADD.PS	两个单精度浮点数相加，结果是单精度浮点数	ADD.PS F0,F1,F2
DSUB	两个寄存器的内容相减，也就是定点数的减	DSUB R1,R2,R3
DSUBU	不带符号的减	DSUBU R1,R2,R3
SUB.S	一个双精度浮点数减去一个单精度浮点数，结果为单精度	SUB.S F1,F2,F3
SUB.	一个双精度浮点数减去一个单精度浮点数，结果为双精度浮点数	SUB.D F1,F2,F3
SUB.PS	两个单精度浮点数相减	SUB.SP F1,F2,F3
DDIV	两个定点寄存器的内容相除，也就是定点除	DDIV Ｒ1,Ｒ2,Ｒ3
DDIVU	不带符号的除法运算	DDIVU Ｒ1,Ｒ2,Ｒ3
DIV.S	一个双精度浮点数除以一个单精度浮点数，结果为单精度浮点数	DIV.S F1,F2,F3
DIV.D	一个双精度浮点数除以一个单精度浮点数，结果为双精度浮点数	DIV.D F1,F2,F3
DIV.PS	两个单精度浮点数相除，结果为单精度	DIV.PS F1,F2,F3
DMUL	两个定点寄存器的内容相乘，也就是定点乘	DMUL Ｒ1,Ｒ2,Ｒ3
DMULU	不带符号的乘法运算	DMULU R1,R2,R3
MUL.S	一个双精度浮点数乘以一个单精度浮点数，结果为单精度浮点数	DMUL.S F1,F2,F3
MUL.D	一个双精度浮点数乘以一个单精度浮点数，结果为双精度浮点数	DMUL.D F1,F2,F3
MUL.PS	两个单精度浮点数相乘，结果为单精度浮点数	DMUL.PS F1,F2,F3
AND	与运算，两个寄存器中的内容相与	ANDＲ1,Ｒ2,Ｒ3
ANDI	一个寄存器中的内容与一个立即数相与	ANDIＲ1,Ｒ2,#3
OR	或运算，两个寄存器中的内容相或	ORＲ1,Ｒ2,Ｒ3
ORI	一个寄存器中的内容与一个立即数相或	ORIＲ1,Ｒ2,#3
XOR	异或运算，两个寄存器中的内容相异或	XORＲ1,Ｒ2,Ｒ3
XORI	一个寄存器中的内容与一个立即数异或	XORIＲ1,Ｒ2,#3
BEQZ	条件转移指令，当寄存器中内容为0时转移发生	BEQZ R1,0
BENZ	条件转移指令，当寄存器中内容不为0时转移发生	BNEZ R1,0
BEQ	条件转移指令，当两个寄存器内容相等时转移发生	BEQ R1,R2
BNE	条件转移指令，当两个寄存器中内容不等时转移发生	BNE R1,R2
J	直接跳转指令，跳转的地址在指令中	J name
JR	使用寄存器的跳转指令，跳转地址在寄存器中	JR R1
JAL	直接跳转指令，并带有链接功能，指令的跳转地址在指令中，跳转发生时要把返回地址存放到R31这个寄存器中	JAL R1 name
JALR	使用寄存器的跳转指令，并且带有链接功能，指令的跳转地址在寄存器中，跳转发生时指令的放回地址放在R31这个寄存器中	JALR R1
MOV.S	把一个单精度浮点数从一个浮点寄存器复制到另一个浮点寄存器	MOV.S F0,F1
MOV.D	把一个双精度浮点数从一个浮点寄存器复制到另一个浮点寄存器	MOV.D F0,F1
MFC0	把一个数据从通用寄存器复制到特殊寄存器	MFC0 R1,R2
MTC0	把一个数据从特殊寄存器复制到通用寄存器	MTC0 R1,R2
MFC1	把一个数据从定点寄存器复制到浮点寄存器	MFC1 R1,F1
MTC1	把一个数据从浮点寄存器复制到定点寄存器	MTC1 R1,F1
LUI	把一个16位的立即数填入到寄存器的高16位，低16位补零	LUI R1,#42
DSLL	双字逻辑左移	DSLL R1,R2,#2
DSRL	双字逻辑右移	DSRL R1,R2,#2
DSRA	双字算术右移	DSRA R1,R2,#2
DSLLV	可变的双字逻辑左移	DSLLV R1,R2,#2
DSRLV	可变的双字罗伊右移	DSRLV R1,R2,#2
DSRAV	可变的双字算术右移	DSRAV R1,R2,#2
SLT	如果R2的值小于R3，那么设置R1的值为1，否则设置R1的值为0	SLT R1,R2,R3
SLTI	如果寄存器R2的值小于立即数，那么设置R1的值为1，否则设置寄存器R1的值为0	SLTI R1,R2,#23
SLTU	功能与SLT一致，但是带符号的	SLTU R1,R2,R3
SLTUI	功能与SLT一致，但不带符号	SLTUI R1,R2,R3
MOVN	如果第三个寄存器的内容为负，那么复制一个寄存器的内容到另外一个寄存器	MOVN R1,R2,R3
MOVZ	如果第三个寄存器的内容为0，那么复制一个寄存器的内容到另外一个寄存器	MOVZ R1,R2,R3
TRAP	根据地址向量转入管态
ERET	从异常中返回到用户态
MADD.S	一个双精度浮点数与单精度浮点数相乘加，结果为单精度
MADD.D	一个双精度浮点数与单精度浮点数相乘加，结果为双精度
MADD.PS	两个单精度浮点数相乘加，结果为单精度

常用汇编例子

lbu    $v1, ($v0) //将$v0寄存器所指向内存地址的一字节取出并放入$v1

addiu  $v0, $zero, 0x93 //将$v0寄存器赋值成0，然后再加0x93
	类似于 addiu $0,$zero+0x93

文章作者: 咲夜南梦

文章链接: http://yoursite.com/2019/12/31/CTF-MIPS-%E5%85%A5%E9%97%A8%E6%8C%87%E5%8D%97/

CTF MIPS

打赏

微信
支付宝