针对CCProxy 6.2缓冲区溢出漏

最新推荐文章于 2024-04-07 21:20:14 发布
最新推荐文章于 2024-04-07 21:20:14 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Naux1/article/details/105440973
版权

溢出对象:CCProxy 6.2

调试工具: WinDbg,pattern.py

实验环境: Windows XP sp1或sp2,kali Linux

漏洞说明:

CCProxy在代理Telnet协议时,可以接受 Ping命令 。Ping命令格式:ping hostname\r\n 。

当hostname的长度大于或者等于1010字节时,CCProxy 6.2会发生缓冲区溢出,导致程序崩溃。

如下图所示:

ping指令后面,跟着1010以上的A。

如果终端提示“Host not found”,说明 CCProxy正确地处理了这个畸形数据,仍工作正常 。

如果终端提示“失去了跟主机的连接”,表明 CCProxy已经崩溃。

漏洞利用:

利用 CCProxy 6.2的这个缓冲区溢出漏洞,利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位 置,从而实现程序跳转。

1、定位RET 

2、寻找跳转指令地址 

3、构造shellcode

4、定位shellcode存放位置 

5、编写攻击程序

在WinDbg中打开CCProxy .exe,输入g进入调试模式

打开cmd,输入talnet 127.0.0.1

执行漏洞,即Ping xxxxxx.....

此时,WinDbg捕捉到CCProxy 的Access Violation事件

可以发现,EIP的内容为41414141(字符A的 ASCII码是0x41)。这是因为栈中存放RET值的地方已经被41414141 覆盖,当函数返回时,就将这个值弹出到EIP寄存器 EIP中存放的是程序下一条指令的地址。但程序 在0x41414141地址处找不到可执行的指令,因此 报错。

 ESP和ESI指向的内容都有我们植入的字符串

选择ESP寄存器来实现程序流程跳转 。即:将shellcode放在ESP寄存器指向的内存单元中,然后在RET位置填充一条指向 jmp esp指令的地址,于是函数返回时,就 能执行jmp esp,跳转到ESP中的shellcode 上运行

第一步:知道缓冲区有多大,定位RET的位置

先在kali Linux中yongpattern.py脚本生成2000个不重复的字符

将这串字符串通过 ping命令发送给CCProxy,WinDbg捕捉到异常

EIP寄存器的值为:0x68423768

计算出它在整个长为 2000的字符串中的偏移是1012

这说明,RET相对缓冲区的偏移大小是 1012字节。

由于EBP占4字节,故存放局部变量的缓冲区大小为1008字节

第二步:寻找jmp指令

前面说了,选择通过jmp esp来实现程序跳转,也就是说,要在RET的位置放置 jmp esp指令的地址,那么,到哪里找jmp esp指令呢? 最好是能在系统中找到现成的,而不需要我们重新再构造。 事实上,在Windows系统的许多DLL中都能找到jmp esp这样一条指令,一个通用的地址是0x7ffa4512。

在WinDbg下使用U 7ffa4512来确定该处指令 是JMP ESP

前面分析,ping后接字符串的1012字节位置开始的4个字节将覆盖RET 。于是,变可以在前4个字节上填充0x120x450xfa0x7f 。程序运行到此,就会转向地址0x7ffa4512 找到jmp esp指令并执行,其流程发生变化。

第三步:构造shellcode

Shellcode一般构造步骤: 

1、用C语言实现功能

2、将其修改为带有shellcode特点的汇编

3、根据汇编程序得到机器码形式的shellcode

www.metasploit.com提供了许多通用的 Shellcode ,可以采用任何你喜欢的shellcode, 比如打开某一特定端口,执行某一特定程序,添加管理员帐户,下载程序到本地执行等。

这里构造一个在目标主机添加管理员账户的shellcode:

shellcode = b'\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x0C\xC6\x45\xF0\x6E\xC6\x45\xF1\x65\xC6\x45\xF2\x74\xC6\x45\xF3\x20
\xC6\x45\xF4\x75\xC6\x45\xF5\x73\xC6\x45\xF6\x65\xC6\x45\xF7\x72\xC6\x45\xF8\x20\xC6\x45\xF9\x61\xC6\x45\xFA\x20
\xC6\x45\xFB\x2F\xC6\x45\xFC\x61\xC6\x45\xFD\x64\xC6\x45\xFE\x64\x8D\x45\xF0\x50\xB8\xC7\x93\xBF\x77\xFF\xD0'

 

第四步:定位shellcode存放位置

要把shellcode放置在程序崩溃时ESP 指向的地址处 。那么,程序崩溃时,ESP指向什么位置呢?

同样,我们可以用定位RET偏移的方法来 定位ESP指向的位置

ESP指向字符串的第4个字节 。因此,我们把shellcode放在字符串的第4 个字节处 。而且shellcode的大小必须小于缓冲区大小。

第五步:编写攻击程序

Socket编程

连接目标主机(connect)

构造溢出字符串(即构造后接shellcode的 ping命令:ping shellcode\r\n)

向目标主机发送溢出字符串(send)

关闭连接

Linux运行攻击程序test.py

运行成攻

目标主机XP查看用户账户:

攻击成功!

网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解
szk171848581的专栏
04-24 2092
网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解准备工作我的工具ccproxy攻击流程1.测试是否有洞1.1启动ccproxy软件1.2 用调试软件将ccproxy挂起1.3 测试是否有洞2.根据测试结构构造shellcode3.攻击测试war-ftpd 详细演示1.测试是否有洞2.根据测试构造shellcode3.攻击测试 准备工作 VM虚拟机,存在洞的windows版...
缓冲区溢出洞攻击演示实验
Mr.Buffoon
10-07 9887
实验内容: 分析缓冲区溢出洞,利用CCProxy 6.2的这个缓冲区溢出洞,利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位置,从而实现程序跳转到自己想要让其执行的程序上去。   定位RET   寻找跳转指令地址   构造shellcode   定位shellcode存放位置   编写攻击程序 实验环境: 攻击主机:
CCProxy 6.2 溢出洞分析
w4y2'blog
04-03 4030
操作系统:Microsoft windows XP SP3 溢出软件:CCPROXY            http://pan.baidu.com/s/1pJI0loZ   CCProxy于2000年6月问世,是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网内共享宽带上网,ADSL共享上网、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网
[转自luoluo's blog]CCProxy远程缓冲区溢出分析
执着我一生[F.S.T]
02-12 1962
CCProxy远程缓冲区溢出分析luoluo [luoluonet@hotmail.com]CCProxy缓冲区溢出攻击代码早已公布,但是我并没有能找到洞的相关说明,以下就对这个简单的缓冲区溢出洞作简要分析。偶水平很菜,加上糟糕的文字,错误和不足处,请各位指教,感激不尽。测试环境:windows2003 + CCProxy 6.2CCProxy是一款轻
CCProxy 6.2 溢出分析
太阳风的专栏
11-01 2796
前天去上海比赛,有个CCProxy的溢出题目,当时现场没能调出来,回来后,发现其实是线程的栈空间分配的问题,也就是说:当用OD打开和用OD附加时,线程分配的堆栈地址是不一样的。关于线程的堆栈的关系,不清楚的同学可以网上搜搜资料。现在给出解题过程: 这个软件在网上有POC,大家可以去看看,或者用msf实验一遍: http://www.exploit-db.com/exploits/16689/
CCPROXY洞利用
panfengblog
11-02 2189
CCPROXY洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出洞,可以通过此洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 6782
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTP和Telnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在
洞利用与缓冲区溢出攻击
weixin_62304542的博客
07-31 595
洞利用与缓冲区溢出攻击
缓冲区溢出教程
07-28
缓冲区溢出是一种常见的安全洞类型,它发生在程序运行时,向缓冲区内写入的数据超出了其分配的内存大小,导致相邻内存区域被非法覆盖,可能会引起程序崩溃、数据破坏或安全洞。缓冲区溢出洞是黑客攻击的主要...
缓冲区溢出攻击.pdf
04-15
介绍linux系统下,gcc编译的c代码如何利用缓冲区溢出修改函数返回地址和参数,实现攻击,含函数栈帧的分析。
缓冲区溢出攻击
11-21
缓冲区溢出攻击 在Windows XP平台上,根据CCproxy缓冲区溢出的原理,编程实现向CCproxy发送ping命令,导致CCproxy产生缓冲区溢出
Q版缓冲区溢出教程
10-31
Q版缓冲区溢出教程 目录 写在前面 2 目录 4 前言 6 作者简介 6 主要角色简介 6 阅读指南 6 第一章、Windows下堆栈溢出入门 8 1.1 梦,已经展开 8 1.2 啤酒和杯子――缓冲区溢出原理 8 1.3 神秘的Windows系统 10 ...
利用缓冲区溢出攻击:探测CCProxy与渗透入侵
"探测CCProxy-缓冲区溢出攻击" 本文主要探讨了如何探测CCProxy代理服务器是否存在缓冲区溢出攻击的可能以及缓冲区溢出这一安全隐患的详细情况。缓冲区溢出是计算机安全领域的一个重要话题,由于其普遍性和危害性,...
缓冲区溢出攻击:穿透安全防线
文章深入讲解了缓冲区溢出如何实现渗透入侵和权限提升,分析了堆栈溢出的危险性,指出这种攻击手段常用于远程攻击,因为可以植入并执行恶意代码,获取系统的控制权。最后,通过实例和Metasploit框架的使用,展示了...
CVE洞攻击——ccproxy溢出
qq_43840665的博客
04-17 4533
CCProxy6.2溢出洞 虚拟机:VirtualBox 6.1.30 操作系统:WindowsXP SP2 主机OS:Microsoft Windows10 CVE编号:CVE-2004-2685 安装共享文件夹 按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹 2. 关闭winxp的DEP 使系统显示C:\boot.ini 修改DEP选项 查询虚拟机IP并连接ccproxy 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
利用CCproxy洞实现免费上网
qionghaizi的专栏
04-30 1370
最近网络太乱啦,都不不怎么说,艾!不过最近洞出来的也不少,就光光MS都出来一大堆,呵呵,就连一个代理的小小软件都会有洞,呵呵!有洞就好,大家可以玩玩嘛!刚刚出来了个isno大哥发现的Ccproxy洞,goldsun写出来的软件Ccpxdown.exe的软件,有的玩,呵呵,不过今天我要写的不是这个,是我自己发现的一些东西,其实没什么技术性!大家都知道ccproxy这个小软件吧!这个软件在我们
CCproxy缓冲区溢出攻击,对栈溢出的学习和利用
最新发布
weixin_69815073的博客
04-07 2300
CCproxy洞利用学习
Metasploit从入门到放弃系列教程 第三节 常用命令
Tide的小家
11-29 419
常用命令解析
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值