NECROSOFT NScan 本地缓冲区溢出漏洞手工利用

最新推荐文章于 2023-10-15 12:07:22 发布
最新推荐文章于 2023-10-15 12:07:22 发布
阅读量2.8k 收藏
点赞数
分类专栏: 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38328382/article/details/89432855
版权

受影响NScan版本<= v.0.9.1
危害级别:高

NECROSOFTNScan是一款基于Windows系统且用于扫描大型网络并收集相关的网络或主机信息的端口扫描软件。该软件支持远程监控主机和端口列表的使用情况、选择配置文件等。NECROSOFTNScan0.9.1版本中存在本地缓冲区溢出漏洞,该漏洞源于程序没有对用户提交的输入执行正确的边界检查。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码,也可能造成拒绝服务。
dig.exe是执行DNS查找的一个组件,该组件有一个简单的缓冲区溢出漏洞。


首先我们将存在漏洞的软件安装到xp上,以上是安装好软件后。
存在漏洞的就是dig.exe,是一个栈缓冲区溢出。

在这里插入图片描述
首先我简单利用一下python打印出10000个A,并将打印出来的A复制进剪贴板。
等下使用这10000个A去尝试触发软件的异常。

在这里插入图片描述
打开dig.exe把我们刚刚生成出来的10000个A赋值进Target中。

在这里插入图片描述
打开OllyDbg程序,附加到dig.exe的进程中。

在这里插入图片描述
在这里插入图片描述
附加到dig.exe进程后,点击TCP lookup
在Olly Dbg中可以看到程序出现崩溃,再看寄存器中EIP已经被0x41(“A”)所覆盖了。

在这里插入图片描述
接下来开始定位EIP,以便我们的payload正好覆盖到EIP。
用pattern_create.rb生成打印出1000个不同的字符,还是复制进粘贴板。

在这里插入图片描述
把dig.exe重走一次,把生成出来的字符复制进去。

在这里插入图片描述
软件崩溃后,查看寄存器中的内容。可以看到EIP的内容为68423268

在这里插入图片描述
使用pattern_offset.rb 查看。
找到了偏移值为997。
那么到底准不准确需要我们再测试一下。

在这里插入图片描述
修改一下我们的payload。
“A” * 997 + “B” * 4 + “C” * 200
然后继续把它复制,再次丢进漏洞软件中重走。

在这里插入图片描述
软件崩溃,再看看寄存器,可以看到EIP寄存器中的内容为42424242(BBBB)。
这就说明EIP被我们刚好精确覆盖了。

在这里插入图片描述
这里我选择使用esp来执行攻击,那么我们就需要找到合适的地址去覆盖EIP。
通常选用kernel32.dll的模块。 0x7c8369f0
最后开始生成我们的payload

在这里插入图片描述
就差个shellcode了,就打开个calc吧。

在这里插入图片描述
因为前面已经加载了kernel32.dll,调用winexec打开calc吧。把生成的shellcode复制一哈,填到我们的payload中就大功告成了。

在这里插入图片描述
把打印输出的payload复制,准备输入dig.exe中。

1.1
输入后点击查询,可以看到弹出了calc说明攻击成功执行了shellcode。

兰以为佩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python随机产生1万个大写字母,并统计每个字母出现的次数
im!_!的博客
12-22 1798
#coding:utf-8 ''' 使用random产生1万个大写字母,并统计每个字母出现的次数 ''' import random import collections capital_letter = ['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', ...
nscan:用于安全测试,网络管理的跨平台网络扫描工具
02-24
扫描 用于安全测试,网络管理的跨平台网络扫描工具。 Under development 基本用法 USAGE: nscan [OPTIONS] FLAGS: -h, --help Prints help information -V, --version Prints version information OPTIONS: -p, --port <ip> Port Scan - Ex: -p 192.168.1.8:1-1000 -n, --host <ip> Scan hosts in specified network - Ex: -n 192.168.1.0 -u, --uri <uri> URI Sc
端口扫描 NScan.rar
08-08
端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~端口扫描~~~~~~~~~~~~~
【操作系统】磁臂黏着现象
最新发布
m0_52733659的博客
10-15 1413
系统总是访问磁盘的某个磁道而不响应对其他磁道的访问请求,这种现象称为磁臂黏着还是同样的请求,NScan 会将请求分为 N 个队列,假设 N = 2 吧子队列的划分方法多样,假设第 1 个子队列大小为 3,剩余的请求全部放到第 2 个子队列由于请求 1~3 是最先到达的,因此子队列 1 按照 FCFS 算法会被优先服务虽然请求 2,3 仍然会持续访问 100 号磁道,但这个队列只有 3 个元素,因此 100 号磁道处理完成后,就可以处理 5 号磁道的请求了。
webvulnscan10.5
08-13
网站漏洞扫描工具,webvulnscan破解版,webvulnscan10.5,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描购物车,表格、安全区域和其他Web应用程序。75% 的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火墙之前。
nscan:NodeJs 网页采集器
05-15
NScan基于 NodeJs 的网页采集器,像 Vue 一样简易配置快速开始数据库配置:/app/config/default.jsmodule.exports = { mongodb: 'mongodb://'}采集示例和配置详见:启动采集:npm run start里程碑 分页采集 详情页...
cmd操作命令和linux命令大全收集
04-24
ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping) ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址,ipconfig可用参数“/all”显示全部配置信息 tlist -t 以...
penework:渗透测试框架
02-05
element-ui做前端展示组件,vuex做数据存储交换登录页面项目展示初步设计初步采用mongodb新建项目时,开启一个masscan扫描,在masscan扫描结束后,利用Nscan得到banner和title初始api返回数据格式{ '
网站漏洞扫描工具 webvulnscan破解版
学习的约束力,提醒自己
02-24 4439
网站漏洞扫描工具,webvulnscan破解版
漏洞列表网站
子曰小玖的博客
10-24 6410
国外漏洞公布(0day,exp)站点集 http://www.milw0rm.com/ http://www.frsirt.com/ http://www.derkeiler.com/ http://www.securiteam.com/ http://www.securityfocus.com/ http://www.packetstormsecurity.org/ http://www.ad...
软件漏洞分析入门
热门推荐
whatday的专栏
09-23 1万+
1 引子 To be the apostrophe which changed “Impossible” into “I’m possible” —— failwest 凉风有讯,秋月无边。 您是否梦想过能够像电影上演的那样黑进任意一台机器远程操控?您的梦想是否曾经被书店里边满架子的反黑,防毒,擒木马的扫盲书强暴的体无完肤? 从今天开始,准备陆续发一系列关于软件漏洞方面基础知识的帖子,包括软件漏洞...
缓冲区溢出攻击”原理分析及实例演示
songyux6的专栏
10-18 6695
一.原理分析 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。 要了解缓冲区溢出攻击,就得先了解程序函数调用的栈内存分布: 如上图所示:堆栈帧的顶部为函数的实参,下面是函数的返回地址以及前一个堆栈帧的指针,最
ROP攻击初试 Return2PLT
lingyuexueai的博客
08-05 585
具体内容在http://netsecurity.51cto.com/art/201703/534647.htm,这里摘取操作步骤,原理有待以后补充 关于PLT的介绍来自http://pwdme.cc/2017/09/26/lazy-binding-in-detail/ 最后解释了一下为什么写入数据字节数是28个A Procedural Linkage Table,也就是PLT是过程链接表,为...
Windows溢出保护原理与绕过方法概览
weixin_34262482的博客
05-09 462
By : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 2011/3/26 前言 从20世纪80年×××始,在国外就有人开始讨论关于溢出的***方式。但是在当时并没有引起人们的注意,直至后来经一些研究人员的披露后,特别是著名***杂志Phrack上面关于溢出的经典文章,引领许多人步入溢出研究的行列,从此...
文件上传 06 解析攻击
kevinhanser
08-13 711
本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》 解析攻击 网络渗透的本质 主体就是代码注入+代码解析/执行 像缓冲区溢出攻击,sql 注入攻击,文件上传攻击,文件包含攻击,脚本代码注入等等 主要分为两种情况 直接解析/执行攻击 像缓冲区溢出和sql 注入攻击,脚本代码注入就是很明显的属于这里攻击 直接将代码注入到一个...
CMD.EXE中dir超长字符串缓冲区溢出原理学习
weixin_33877885的博客
07-31 228
最近看逍遥的《网络渗透攻击与安防修炼》讲到CMD命令窗口的dir传超长字符串溢出的例子。自己实验了一下,的确会产生程序崩溃,但是具体什么原理没太详细说,这里做一下原理探究,权当学习笔记了。 1. 实验环境 XP SP3 我发现在XP下的cmd.exe有这个漏洞,而在win7下之后的cmd.exe就没有这个漏洞了 我的理解是这个cmd.exe程序本来就是windows的一个80x86的...
栈溢出笔记1.2 覆盖EIP
hustd10的博客
04-09 4816
1.1节中我们说到可以利用栈溢出来破坏栈中原有的内容,这一节中,我们就来看看如何争夺到返回地址(EIP),使得我们可以随意控制它的值,这样我们就可以控制程序。来看一个经典的程序:这个程序的get_print函数中定义了一个大小为11个字节的数组,正常情况下我们的输入应该最多为10个字符(还有一个\0结束符),而gets函数没有明确定义输入的大小,因此,我们可以输入超过10个字符,从而造成栈溢出。如下
常见的漏洞缓解技术整理
r250414958的博客
11-20 1381
原帖:https://bbs.pediy.com/thread-226364.htm 作者:luobobo GS 未开启GS时函数调用的系统栈的变化过程: 函数中的局部变量将从ESP所指的位置向下压栈,当写入的内存过大时,将会覆盖返回地址造成异常。 开启GS后,函数调用时会将一个DWORD随机数与ESP亦或后压入栈内,同时将其副本保存在.data段。在函数返回前,将有一个安全验证操作,防止函数返...
已知程序 import xarray as xr from collections import namedtuple import numpy as np from cartopy.mpl.ticker import LongitudeFormatter, LatitudeFormatter import matplotlib.ticker as mticker import cartopy.feature as cfeature import cartopy.crs as ccrs import matplotlib.pyplot as plt import matplotlib.cm as cm import matplotlib.colors as mcolors def region_mask(lon, lat, extents): lonmin, lonmax, latmin, latmax = extents return ( (lon >= lonmin) & (lon <= lonmax) & (lat >= latmin) & (lat <= latmax) ) Point = namedtuple('Point', ['x', 'y']) Pair = namedtuple('Pair', ['start', 'end']) time = '2023-05-04' filepath_DPR = r"C:\pythontest\zFactor\test1.nc4" extents = [110, 122, 25, 38] with xr.open_dataset(filepath_DPR) as f: lon_DPR = f['FS_Longitude'][:] lat_DPR = f['FS_Latitude'][:] zFactorFinalNearSurface = f['FS_SLV_zFactorFinalNearSurface'][:] nscan, nray = lon_DPR.shape midray = nray // 2 mask = region_mask(lon_DPR[:, midray], lat_DPR[:, midray], extents) index = np.s_[mask] lon_DPR = lon_DPR[index] lat_DPR = lat_DPR[index] zFactorFinalNearSurface = zFactorFinalNearSurface[index] for data in [ zFactorFinalNearSurface, ]: data.values[data <= -9999] = np.nan proj = ccrs.PlateCarree() fig = plt.figure(figsize=(10, 8)) ax = fig.add_subplot(111, projection=proj) ax.coastlines(resolution='50m', lw=0.5) ax.add_feature(cfeature.OCEAN.with_scale('50m')) ax.add_feature(cfeature.LAND.with_scale('50m')) ax.set_xticks(np.arange(-180, 181, 5), crs=proj) ax.set_yticks(np.arange(-90, 91, 5), crs=proj) ax.xaxis.set_minor_locator(mticker.AutoMinorLocator(2)) ax.yaxis.set_minor_locator(mticker.AutoMinorLocator(2)) ax.xaxis.set_major_formatter(LongitudeFormatter()) ax.yaxis.set_major_formatter(LatitudeFormatter()) ax.set_extent(extents, crs=proj) ax.tick_params(labelsize='large') def make_zF_cmap(levels): '''制作雷达反射率的colormap.''' nbin = len(levels) - 1 cmap = cm.get_cmap('jet', nbin) norm = mcolors.BoundaryNorm(levels, nbin) return cmap, norm levels_zF = [0, 1, 5, 10, 15, 20, 25, 30, 35, 40, 45] cmap_zF, norm_zF = make_zF_cmap(levels_zF) im = ax.contourf( lon_DPR, lat_DPR, zFactorFinalNearSurface, levels_zF, # 三个物理量为 (500, 49)就是在500*49的格点上赋予这三个物理量 cmap=cmap_zF, norm=norm_zF, extend='both', transform=proj ) cbar = fig.colorbar(im, ax=ax, ticks=levels_zF) cbar.set_label('zFactor (dBZ)', fontsize='large') cbar.ax.tick_params(labelsize='large') ax.set_title(f'DPR zFactor on {time}', fontsize='x-large') plt.show()如何将其中的zFactorFinal变量变为二维
05-26
在这段代码中,zFactorFinalNearSurface的shape是(500, 49),其中第一维是nscan(扫描线数),第二维是nray(每个扫描线的射线数)。如果要将zFactorFinalNearSurface变为二维数组,可以将nscan和nray相乘得到总的格点数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值