西电线下赛,和小伙伴们玩得很开心,认识很多大牛,现在将线下赛的一些题目回来重新分析一遍。
首先打开ftpserver.exe
和其它的ftp服务器差不多,也就是说基本的命令都是有的,现在问题的是程序在执行哪条命令时会崩溃,fuzzing 发现程序执行ls AAA....(512个)时程序崩溃,
用OD打开,ctrl+n 查看输入表,查找与溢出相关的函数
发现有strcpy函数,到相对应的地址处先断点
其实密码PASS字段也有溢出点,但是长度只有0x70个字节,反向连接shellcode长度肯定是不够的。
跟踪发现第一个是LIST 函数后面的参数的复制,跟进去看看
dst的字符串大小为200h,即512个字节,现在用python编写一个socket程序,发送512个A,观察堆栈情况:
因此我们只要再多加8个字节,覆盖掉返回地址为shellcode首地址就好了
strcpy之后,eax是指向shellcode首地址,因此我们可以利用jmp eax的方法跳转到shellcode执行,但是结果却不是这么的简单,
下面有个CString的析构函数,执行后将eax的值改变了,因此无法利用jmp eax的方法,但是观察堆栈,发现在返回地址下面也存有指向AAAAA....
的指针,不如我们把返回地址写个retn的指令地址就好了。
buffer = "LIST "
buffer += "A" * 512
buffer += "b" * 4
buffer += "\x98\x4F\x99\x7C" #返回地址
buffer += "\r\n"
s.send(buffer)
print s.recv(1024)
但是发现还是不行,后面加了个"\x00"多覆盖了后面的一个字节,所以决定找个低地址的指令吧,
最后成功了,选择了ftpserver内部的一个地址,上图可以看出来,然后将AAAA....替换成reverse_tcp就好了,
用msfpayload 生成一个,然后用msfencode -b '\x00' 去除\x00字节就好了,因为接收的是CString对象,
最后给出结果图
大牛勿喷,第一次写博客,本人小白一个,仅仅是记录下一些比赛的经历