12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 434|回复: 0

Freefloat FTP Server 1.0 溢出漏洞分析(适合新手)

[复制链接]

345

主题

345

帖子

700

积分

实习版主

Rank: 7Rank: 7Rank: 7

积分
700
发表于 2020-5-11 16:40:54 | 显示全部楼层 |阅读模式
我是一个新手,所以找了个适合新手的漏洞....
我的原文:http://blog.csdn.net/u012763794/article/details/53291788(本来是word文档的,辛苦地写在博客上,粘过来吾爱也方便了)

没有漏洞软件怎么行呢对吧
freefloatftpserver1.0.zip

其实这是一个非常简单的漏洞,就是栈溢出
当时来源于一个特殊的面试,问我分析过二进制漏洞没有,我说没有,叫我去分析一个,那我就在exploit db搜寻栈溢出,终于找到一个简单的了,就是这个
环境
xp sp3 英文版(就是metasploit魔鬼训练营的xp环境)
攻击环境:kali 2.0
工具及插件:
IDA
ImmunityDebugger
https://github.com/corelan/mona
pwntools
漏洞软件:freefloatftpserver1.0

一个新手学着分析的过程
下载漏洞程序打开,可以看到已经监听21端口,程序看着也应该简单

玩一下ftpfuzz


确实可以溢出,挖洞还是fuzzing牛啊


利用mona插件查看modules信息,XP还没有搞ASLR吧(ASLR 在 XP 时代已经提出来了,但 XP 上的ASLR 功能有限,只是对 PEB 和 TEB 进行简单的随机化处理。直到 Windows Vista 出现之后 ASLR 才真正发挥作用。)


DEP默认只针对windows自带的程序和服务(第一次还是简单点比较好)


查找jmp esp(因为知道要用,所以先查找了


选 kernel32的吧7C86467B  FFE4             JMP ESP利用pwntools编写脚本尝试攻击(其实那个ftp命令只要是无关紧要,随便搞个命令都可以溢出,不过返回地址有差异而已)


成功溢出


通过栈上的一些返回地址(这就是栈回溯吧),找到了ftp给客户端返回欢迎信息的地方,这是nmap等扫描器指纹识别的字符串


下断点。运行,发payload,断下来单步,跟着又弹异常


继续在这个函数下断,重来一遍,f7跟进,继续单步,看到接受我们输入的recv函数


继续,看到判断用户传的命令是否有回车的代码(跟0d,0a比较)


继续下断点,重复上面步骤


调试发现,不断去跟ftp的各种命令去比较


查看ida的话也印证了这一点


跟着比较完都不匹配,就会返回ftp服务器不明白这个命令


继续,又出现了


最终发现就是00402de这个函数有问题,查看此时的堆栈信息,我们的输入传进去了


跟进去里面有个strcpy的代码--à rep movsd


Ida查看更清晰,这个跟基础的pwn题一样………


看看变量地址


那么填充字符数量是252,因为这里没用ebp来索引 ,所以不用加上ebp


修改下代码,‘FEAT加个空格已经6个字符,所以我们补246个A就行了

当然不用计算也是可以的,mona生成一些测试样例,用于定位返回地址的

.



跟我们计算的一样的


搞个abcd看看对不对


实验可以知道计算没错


那我们尝试发送一个弹窗的shellcode过去看看


直接看结果吧返回jmp esp的地址


至少要搞8个垃圾字节啊


实验成功


总结
漏洞原因是,ftp服务器会将用户的输入复制到一个缓冲区,目的是拼接上一些用户提示信息返回给用户,使用了strcpy函数,没对长度进行检查,导致缓冲区溢出。
参考资料:
Exploit db有好几个洞实质都是一样的,不知道为啥搞了这么多上去



https://www.exploit-db.com/exploits/17550/
https://www.exploit-db.com/exploits/22351/
https://www.exploit-db.com/exploits/23243/
http://hacksys.vfreaks.com/research/freefloat-ftp-server-buffer-overflow.html


来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-25 09:59 , Processed in 0.078125 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表