บทความนี้ต่อยอดจากเฉลยที่ทำคราวที่แล้ว คือคราวที่แล้วเป็นการทำโดยใช้ Ollydbg มาคราวนี้ตัวที่เราจะใช้กันคือ Immunity Debugger โดยใน lab นี้จะมีสิ่งที่ต้อง download ดังนี้

1. เริ่มต้นด้วยการติดตั้ง Immunity Debugger

2. เปิดไฟล์ vulnserver พบว่าจะมีการเปิดรอรับ connection อยู่ที่ port 9999

3. เมื่อลอง telnet เข้าไปก็จะพบว่ามีการรับ command แต่ประเด็นคือเมื่อพบแล้วกลับพิมพ์ผ่าน telnet ไม่ได้ ดังนั้น เราเลยต้องทำเป็น script ขึ้นมาแทน

ทดสอบใช้งาน vulnserver ไปเรื่อยๆพบว่ามี buffer overflow

  • KSTET ที่มากกว่า 70 ตัวอักษร
  • GTER ที่มากกว่า 150 ตัวอักษร
  • HTER ที่มากกว่า 2100 ตัวอักษร

ซึ่งนั่นหมายความ function เราจะทดสอบที่ KSTET


3. Attach vulnserver เข้า Immunity Debugger ไปที่ File -> Attach -> vulnserver.exe

4. กดปุ่ม Play (ต่อจากนี้ถ้ามีการ crash ก็ restart เอา)

5. ทดสอบทำให้ vulnserver crash อีกที จะพบว่า EIP, ESP, EBP มีค่าเป็น 41 ทั้งหมด (“41” -> “A”)

6. หาตำแหน่งที่พอดีกับ EIP

ได้ string ที่ทำให้ crash ออกมาเป็น 63413363

7. นำ 63413363 ไปหาว่าเป็นตำแหน่งที่เท่าไหร่ของ payload ขนาด 100 ตัวอักษร

ได้ออกมาเป็นตำแหน่งที่ 70 พอดี

8. ทดสอบส่ง A 70 ตัวแล้วตามด้วย B 4 ตัว แล้วตามด้วย C จำนวน (1000-4-151) ตัว ดูว่าตำแหน่ง EIP เป็นค่า 42 หรือไม่

ก็ปรากฏว่าตรงพอดีครับ ESP จะกลายเป็น “B”*4 (42424242)

แสดงว่าเราควบคุม EIP ได้แล้ว

9. ต่อไปที่เราจะทำคือการหาว่า Bad Character ที่จะทำให้ payload ขาดหายได้ เราจะส่ง character ทั้งหมดไปเพื่อดูว่ามีตัวไหนที่เป็น bad character บ้าง

จากการตรวจสอบพบว่านอกจาก \0x00 ซึ่งมีความหมายว่า NULL อยู่ ก็ไม่มีอะไรครับ

(โดยปกติตัวที่ต้องหลีกเลี่ยงคือ 0x00, 0x0a,0x0d,0x20)

ซึ่งถ้าไล่ดูใน ESP (ตำแหน่ง 00C0FA0C)

10. ทำการสร้าง shellcode สำหรับการ connect กลับไปยัง 10.211.55.3:4455

จากภาพจะเห็นว่า payload ที่ถูกสร้างนั้นขนาด 360 byte ซึ่งมันไม่พอในตำแหน่ง ESP ในตำแหน่งของ ESP นั้นใส่ได้แค่ 20 Byte เท่านั้น

(ตรวจสอบ payload size ทั้งหมดได้โดยใช้ /usr/share/metasploit-framework/tools/modules/payload_lengths.rb | grep windows)

11. ทำการ copy mana.py ไปไว้ที่ C:\Program Files\Immunity Inc\Immunity Debugger\PyCommands

12. เราต้องการหาคำสั่งเพื่อทำการกระโดดไปทำงานที่ตำแหน่ง ESP ซึ่งเราสามารถใส่ shellcode ของเราได้ ดังนั้นสิ่งที่เราทำคือการใช้ mona.py เพื่อหาสิ่งที่เเราหาก่อนว่ามี process หรือ dll ใดบ้างที่มีการถูกใช้งานแต่ไม่มีการป้องกันด้วย ASLR เพื่อให้ง่ายต่อการระบุตำแหน่งที่จะใช้งาน JMP ESP

ซึ่งจากที่เห็นมีหลายตัวที่เข้าข่าย โดยใน lab นี้เราเลือกเป็น essfunc.dll ครับ เมื่อระบุเป้าหมายแล้ว เราก็หาต่อเป็น !mona find -type instr -s “jmp esp” -m essfunc.dll ได้ตำแหน่งเป็น 625011AF

แสดงว่าตอนนี้เราได้ JMP ESP มาได้แล้ว ซึ่ง shellcode ที่เราจะใส่แทน “B” นั่นคือ “\xAF\x11\x50\x62”

13. ทีนี้สิ่งที่เราต้องทำต่อจะทำยังไงกับ 20 byte ที่มีให้ขยายขึ้นโดยการลบตำแหน่งของ ESP ขึ้นไป ซึ่งในที่นี้เราจะทำการลบตำแหน่งของ ESP ไปยังจุดที่อยู่ที่เรากำหนดค่าได้นั่นคือ EAX หรือก็คือ -74 byte จะใช้ shellcode เป็น

จากนั้นค่อย JMP ESP อีกที เพราะว่าตอนแรกที่เรากระโดดไป ESP จะอยู่ตำแหน่งที่ตำ่กว่า ESP ตอนที่เราลบค่าตำแหน่ง ดังนั้นจึงกลายเป็นว่าเมื่อลบแล้วเราต้องทำการ JMP อีกทีนั่นเอง นั่นหมายความว่าเราจะสร้าง 2 คำสั่งไปไว้ที่ ESP นั่นคือ

โดยเราสามารถสร้าง shellcode ของ 2 คำสั่งนั้นได้ด้วย /usr/share/metasploit-framework/tools/exploit/nasm_shell.rb

แก้ไข option ของ Immunity เพื่อให้เราสามารถเข้าถึง Memory Access Violation ระหว่าง Debug ได้ด้วยการทำ disable memory access violation โดยเข้าไปที่ Option -> Debugger Option -> Exceptions -> Memory Access Violation

14. สิ่งที่เราทำต่อจากนี้เรียกว่า EggHunter นั่นคือการฝัง payload ไว้ในการทำงานอื่น แล้วไปโหลด payload นั้นมาใช้ โดยการโหลดนั้นจะมีสัญลักษณ์ที่เรียกว่า “Egg” ซึ่งโดยปกติการกระทำของ EggHunter จะอยู่ที่ประมาณ 32 byte ซึ่งเพียงพอต่อ space ที่เรามีหลังจากทำการแก้ไข ESP แล้ว ทำการสร้าง Egg โดยใช้ mona ซึ่งในที่นี้เราจะให้มันหาคำว่า w00t (โดย default) ซึ่งมีค่าเท่ากับ “\x77\x30\x30\x74”

ลำดับการทำงานคือ

  1. เราทำการส่ง payload ไปยัง “GDOG “+shellcode ก่อน
  2. เราทำการส่ง payload ไปยัง “KSTAT “+jmp ของเรา+egg ให้กระโดดไปหา shellcode ของเรา

ทำการเอาทั้งหมดมารวมกัน

Run and got the shell