xdsec2013线下赛之FtpServer.exe溢出分析
来源:互联网 发布:android sdk linux 编辑:程序博客网 时间:2024/04/30 03:08
西电线下赛,和小伙伴们玩得很开心,认识很多大牛,现在将线下赛的一些题目回来重新分析一遍。
首先打开ftpserver.exe
和其它的ftp服务器差不多,也就是说基本的命令都是有的,现在问题的是程序在执行哪条命令时会崩溃,fuzzing 发现程序执行ls AAA....(512个)时程序崩溃,
用OD打开,ctrl+n 查看输入表,查找与溢出相关的函数
发现有strcpy函数,到相对应的地址处先断点
其实密码PASS字段也有溢出点,但是长度只有0x70个字节,反向连接shellcode长度肯定是不够的。
跟踪发现第一个是LIST 函数后面的参数的复制,跟进去看看
dst的字符串大小为200h,即512个字节,现在用python编写一个socket程序,发送512个A,观察堆栈情况:
因此我们只要再多加8个字节,覆盖掉返回地址为shellcode首地址就好了
strcpy之后,eax是指向shellcode首地址,因此我们可以利用jmp eax的方法跳转到shellcode执行,但是结果却不是这么的简单,
下面有个CString的析构函数,执行后将eax的值改变了,因此无法利用jmp eax的方法,但是观察堆栈,发现在返回地址下面也存有指向AAAAA....
的指针,不如我们把返回地址写个retn的指令地址就好了。
buffer = "LIST "buffer += "A" * 512buffer += "b" * 4buffer += "\x98\x4F\x99\x7C" #返回地址buffer += "\r\n"s.send(buffer)print s.recv(1024)
但是发现还是不行,后面加了个"\x00"多覆盖了后面的一个字节,所以决定找个低地址的指令吧,
最后成功了,选择了ftpserver内部的一个地址,上图可以看出来,然后将AAAA....替换成reverse_tcp就好了,
用msfpayload 生成一个,然后用msfencode -b '\x00' 去除\x00字节就好了,因为接收的是CString对象,
最后给出结果图
大牛勿喷,第一次写博客,本人小白一个,仅仅是记录下一些比赛的经历
- xdsec2013线下赛之FtpServer.exe溢出分析
- XDCTF2013决赛FTPServer溢出分析
- 【原理+分析】 缓冲区溢出笔记之---STACK溢出
- 内存溢出之PermGen OOM深入分析
- segmentation fault 之 栈溢出分析
- 内存溢出之PermGen OOM深入分析
- 06 溢出攻击原理之汇编分析
- EXE注入分析之傀儡进程
- EXE注入分析之傀儡进程
- DICOM:DCMTK工具包分析之dcmqrscp.exe、dcmqridx.exe、dcmqrti.exe
- 【分析】非安全编程演示之高级缓冲区溢出篇
- 【分析】缓冲区溢出漏洞发掘之整数范围限制浅析
- ActiveX控件的保护技术之淘宝旺旺溢出分析
- 【学习ios之路:C语言】字符串溢出情况分析.
- Java内存溢出之PermGen OOM深入分析
- 内存溢出之PermGen OOM深入分析和解决方案
- 漏洞分析之CVE-2010-2883(栈溢出)
- Java堆溢出OutOfMemoryError之代码实例和原因分析
- 面向对象(4)
- OCP-1Z0-051-V9.02-29题
- LESS详解之变量(@)
- PS制作android图标
- 将数字格式化成货币字符串
- xdsec2013线下赛之FtpServer.exe溢出分析
- cocos2dx 在android下的帧频设置问题
- socket 发送十六进制的字符串(十六进制字符串与其他类型的转换)(转)
- uva 10344 23 out of 5
- HDU-2807 The Shortest Path 最短路
- Ubuntu 12.04 配置Samba共享服务
- 对象耦合的非线程安全
- 如何设置ubuntu开机自动执行指令
- Android Activity和Intent机制学习笔记