这篇文章类似于“傻瓜系列之利用缓冲区溢出”。在这类漏洞中,我们的做法是利用网络,程序控制器,输入等等,发送超大的数据缓冲区给程序,覆盖程序内存的重要部分。在这些缓冲区覆盖程序内存之后,我们可以重定向程序的执行流并运行注入代码。
首先,我们需要做的是查明程序的哪一部分可以用来重写内存。处理这个任务的过程叫作“fuzzing”。我们可以为Metasploit框架中的各种协议找到若干个fuzzer(执行fuzzing任务的工具)。
接下来这个例子中,我们用metasploit对一个ftp服务器进行fuzz:
Fuzzer运行几分钟后,程序就崩溃了,见下图:
在Metasploit窗口中,我们可以看到崩溃缓冲区的长度:
在分析所有输出内容之后,我们可以得出:在ftp服务器通过用户命令发送了一个大于250的缓冲区后,程序崩溃了。
我们可以使用python来重现崩溃:
现在,我们重新实施这次攻击,但是首先要将FTP SERVER进程附加到一个调试器上,在这里我们用的调试器是OLLYDBG。
在实施攻击之后,我们可以很直观地看到ESP,EDI和EIP寄存器被覆盖。
稍微研究一下,大家可以发现:EIP控制程序的执行流,如果可以重写EIP,那么就可以手动重定向程序的执行流。EIP指向下一个待执行地址。
在这里,我们需要知道要重写的EIP缓冲区长度。我们可以在metasplpit中用pattern_create创建一种模式,并且作为一个缓冲区使用,来获取重写EIP的4个字节的位置。
把这些命令添加到我们的利用代码中,并再次运行:
现在,我们可以看到程序内存中的模式。
现在需要使用pattern_offset(偏移量模式)来找到那4个字节的准确位置(只要把4个字节作为一个脚本参数粘贴到EIP里面)。
由于在EIP之后ESP就被重写,我们可以写出这样一段利用代码如下:
并且,如果重新加载,在OLLY里面,可以看到它运行得很好。
在EIP之后,是这样改写ESP的:
那么在EIP里面我们需要做什么呢?将我们的恶意代码放到重写EIP的代码后面,然后需要做的只是简单的JMP ESP。
记住,EIP将包含下一条待执行指令的地址,所以此时需要做的是找到包含JMP ESP的地址。我们可以在OLLY(在E标签页)中进行查找。
一个简单的命令检索将会返回给我们一个地址。
现在,我们拷贝这个地址:
最后,我们需要做的是,在实行攻击之后,加入并执行我们的shell代码。我们可以用metasploit生成这些shellcode。
现在我们的利用代码如下。注意一下案例中CPU的ENDIAN,在EIP寄存器中我们会用到小端格式。
现在,如果我们再次实行攻击,将会运行我们的shellcode。
好的,现在我们可以生成另外的shellcode来执行不同的任务。
我们可以生成一段反向连接的shell代码,来访问我们的受害主机。
把这行代码我们的利用代码中,
最后运行利用代码:
提示:注意一些特殊字符。如果在缓冲区中间,利用代码被截断,可能是由于一些特殊字符导致的。特殊字符诸如“xa0″、 “|x00″等,会截断shellcode,你必须通过测试找到这些字符,并且在shellcode中避免用到,可别说我没提醒过你!