xdsec2013线下赛之FtpServer.exe溢出分析

西电线下赛，和小伙伴们玩得很开心，认识很多大牛，现在将线下赛的一些题目回来重新分析一遍。

首先打开ftpserver.exe

和其它的ftp服务器差不多，也就是说基本的命令都是有的，现在问题的是程序在执行哪条命令时会崩溃，fuzzing 发现程序执行ls AAA....(512个)时程序崩溃，

用OD打开，ctrl+n 查看输入表，查找与溢出相关的函数

发现有strcpy函数，到相对应的地址处先断点

其实密码PASS字段也有溢出点，但是长度只有0x70个字节，反向连接shellcode长度肯定是不够的。

跟踪发现第一个是LIST 函数后面的参数的复制，跟进去看看

dst的字符串大小为200h，即512个字节，现在用python编写一个socket程序，发送512个A，观察堆栈情况：

因此我们只要再多加8个字节，覆盖掉返回地址为shellcode首地址就好了

strcpy之后，eax是指向shellcode首地址，因此我们可以利用jmp eax的方法跳转到shellcode执行，但是结果却不是这么的简单，

下面有个CString的析构函数，执行后将eax的值改变了，因此无法利用jmp eax的方法，但是观察堆栈，发现在返回地址下面也存有指向AAAAA....

的指针，不如我们把返回地址写个retn的指令地址就好了。

buffer = "LIST "buffer += "A" * 512buffer += "b" * 4buffer += "\x98\x4F\x99\x7C" #返回地址buffer += "\r\n"s.send(buffer)print s.recv(1024)

但是发现还是不行，后面加了个"\x00"多覆盖了后面的一个字节，所以决定找个低地址的指令吧，

最后成功了，选择了ftpserver内部的一个地址，上图可以看出来，然后将AAAA....替换成reverse_tcp就好了，

用msfpayload 生成一个，然后用msfencode -b '\x00' 去除\x00字节就好了，因为接收的是CString对象，

最后给出结果图

大牛勿喷，第一次写博客，本人小白一个，仅仅是记录下一些比赛的经历