//------------------------------------------------------------
//
// 个人学习二进制漏洞挖掘时写的漏洞报告总结,算作是项目总结
// 研究的类型包括:缓冲区溢出、UAF漏洞、类型混淆
// 包括内容如下:
// 基本的漏洞成因
// 调试工具的使用
// shellcode(弹框、bindshell)的编写以及改进
// SEH常识
// exploit的编写
// 堆喷射
// ASLR/DEP的基本常识
// ROP链的构造等
//
// 本来是发到MottoIn上的一些投稿,因为错过了时间,所以发到看雪上接收批评
// 最近在研究渗透以及安卓,驱动也没研究完。。。个人时间比较紧,有空再整理成单独的教程
这个漏洞是0day书上的标准缓冲区漏洞,PoC实现也非常简单,很多人也都研究过了,我简单的整理一下个人的思路,以及本文所涵盖的内容。
这篇包含了弹窗shellcode的编写以及exploit的实现,超出了一篇漏洞报告所涵盖的内容,写的时候没考虑太多,有空再整理。
很早之前写的东西,有些概念理解错误,之后更正。
可直接下载附件
---
以下正文:
Easy RM to MP3 Converterv2.7.3(CVE-2009-1330)
漏洞分析报告
软件名称:Easy RM to MP3 Converter
软件版本:2.7.3
漏洞模块:RM2MP3Converter.exe
模块版本:
编译日期:2006-09-29
操作系统:Windows XP/2003/7/8.1/10
漏洞编号:CVE-2009-1330
危害等级:中危
漏洞类型:缓冲区溢出
威胁类型:本地
分析人:Red_0range
2016年12月25日
Easy RM to MP3 Converter为05-06年流行的一款体积较小的轻量级音频转换软件。
支持常用音频格式文件MP3, WMA, WAV, OGG等之间的转换
软件界面
Easy RM to MP3 Converter(version 2。7。3。700) 加载畸形过长的。m3u文件时触发缓冲区溢出
3.0. 概览
构造畸形过长,m3u文件,软件加载文件后跳转到指定代码,执行弹出对话框操作
(根据shellcode决定)
软件漏洞利用示例
3.1. 相关知识说明
3.1.1. 缓冲区溢出
缓冲区溢出可以分为堆溢出和栈溢出, 堆跟栈是两片不同架构的内存区域。
堆:程序运行时动态申请而分配的空间,大小不固定,可动态扩展。特点是需要主动申请:例如c语言中的malloc函数,申请的内存添加到堆上,堆被扩大。 主动释放:例如free函数,假如不主动释放,就会造成内存泄漏。
栈: 栈在程序运行时自动产生,负责保存进程的运行上下文,当函数调用时,逻辑上会在栈中开辟一块新区域, 我们称之为栈帧(stack frame),栈帧内保存调用的参数、返回值,包括上一级函数的返回地址。例如:
void test(){
…
}
main(){
test();
…
}
例如main函数中调用test函数,假如有参数 逻辑上新建的栈帧中会保存参数,并且会保存main函数的地址,test函数执行完成后用来返回到main函数,回到原先的栈帧。然后继续执行下面的代码。
逻辑上新开辟的栈帧已经消失,但物理保存的数据并不会消失, 栈的溢出原理就是参数的值超出了缓冲区的大小,覆盖了返回地址,函数调用完成后,返回到了攻击者指定的地址去执行代码。
简单的来说,如果我们输入的数据长度超过了开发人员定义的缓冲区,那么这个数据就可以覆盖掉EIP,EIP是指令寄存器,它存放当前指令的下一条指令的地址。如果它被来自用户输入的垃圾数据覆盖了,程序通常会崩溃,因为它跳转到的地址并尝试指向,但执行的并不是有效的指令。
典型的内存布局
输入超过用户缓冲区
开发人员错误处理-输入覆盖缓冲区和EIP,导致它跳转到无效的内存地址,程序崩溃
3.1.2. SEH
SHE是windows提供的异常处理机制之一
Windows对r3环境下应用异常处理流程为:
1。 交给调试器(进程必须被调试)
2。 执行VEH
3。 执行SEH
4。 TopLevelEH(进程被调试时不会被执行)
5。 交给调试器(上面的异常处理都说处理不了,就再次交给调试器)
6。 调用异常端口通知csrss。exe
Windows异常处理流程
具体在程序中表示为,当程序发生异常崩溃时,系统会弹出对话框并调用调试器,其中EIP指向错误的返回地址,因此触发缓冲区异常操作的常用手段之一即为返回地址淹没。
用程序演示得到下图的结果:
用x32dbg接管调试程序,可以看到程序的EIP被用户输入的数据淹没
3.1.3. 相关术语
Fuzz
模糊性检测,即构造一系列无规则的“坏”数据插入应用程序,判断程序是否出现异常,以发现潜在的bug。
Shellcode
Shellcode是一填充数据,针对特定漏洞填充触发相应操作
Payload
Payload是指除了触发异常的数据之外汇编代码的机器码二进制数据
Exploit
出发漏洞并完成攻击的整体流程
POC
Proof of Concept概念证明,软件漏洞触发的原因和利用,以及个人shellcode编写
4.1. Fuzz
已知软件加载超过45kb的m3u文件会触发异常。
构造>45kb相应的.m3u文件,并使用软件加载,观察触发异常的位置,并使用二分法逐渐缩减范围
不断缩小范围,最终确定程序在F111处触发
4.2. Shellcode编写
相应的攻击代码使用了vs2015的内联汇编,并用了release版进行编译。
Shellcode编写流程:
GetPC硬编码字符串
加载通用模块kernel32.dll/kernelbase.dll
在模块导出表获取LoadLibrary函数
在模块导出表获取GetProcAddress函数
加载user32.dll模块
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课