NECROSOFT NScan 本地缓冲区溢出漏洞手工利用

短命女 2022-02-16 01:51 223阅读 0赞

**受影响NScan版本<= v.0.9.1  
危害级别：高**

NECROSOFTNScan是一款基于Windows系统且用于扫描大型网络并收集相关的网络或主机信息的端口扫描软件。该软件支持远程监控主机和端口列表的使用情况、选择配置文件等。NECROSOFTNScan0.9.1版本中存在本地缓冲区溢出漏洞，该漏洞源于程序没有对用户提交的输入执行正确的边界检查。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码，也可能造成拒绝服务。  
dig.exe是执行DNS查找的一个组件，该组件有一个简单的缓冲区溢出漏洞。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70][]  
首先我们将存在漏洞的软件安装到xp上，以上是安装好软件后。  
存在漏洞的就是dig.exe，是一个栈缓冲区溢出。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 1]  
首先我简单利用一下python打印出10000个A，并将打印出来的A复制进剪贴板。  
等下使用这10000个A去尝试触发软件的异常。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 2]  
打开dig.exe把我们刚刚生成出来的10000个A赋值进Target中。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 3]  
打开OllyDbg程序，附加到dig.exe的进程中。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 4]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 5]  
附加到dig.exe进程后，点击TCP lookup  
在Olly Dbg中可以看到程序出现崩溃，再看寄存器中EIP已经被0x41（“A”）所覆盖了。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 6]  
接下来开始定位EIP，以便我们的payload正好覆盖到EIP。  
用pattern\_create.rb生成打印出1000个不同的字符，还是复制进粘贴板。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 7]  
把dig.exe重走一次，把生成出来的字符复制进去。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 8]  
软件崩溃后，查看寄存器中的内容。可以看到EIP的内容为68423268

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 9]  
使用pattern\_offset.rb 查看。  
找到了偏移值为997。  
那么到底准不准确需要我们再测试一下。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 10]  
修改一下我们的payload。  
“A” \* 997 + “B” \* 4 + “C” \* 200  
然后继续把它复制，再次丢进漏洞软件中重走。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 11]  
软件崩溃，再看看寄存器，可以看到EIP寄存器中的内容为42424242（BBBB）。  
这就说明EIP被我们刚好精确覆盖了。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 12]  
这里我选择使用esp来执行攻击，那么我们就需要找到合适的地址去覆盖EIP。  
通常选用kernel32.dll的模块。 0x7c8369f0  
最后开始生成我们的payload

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 13]  
就差个shellcode了，就打开个calc吧。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 14]  
因为前面已经加载了kernel32.dll，调用winexec打开calc吧。把生成的shellcode复制一哈，填到我们的payload中就大功告成了。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 15]  
把打印输出的payload复制，准备输入dig.exe中。

![1.1][]  
输入后点击查询，可以看到弹出了calc说明攻击成功执行了shellcode。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70]: /images/20220216/69d6768f9a7943a9afd06efcab2a4d22.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 1]: /images/20220216/fe6dd0147159434e9e55fbacc3336626.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 2]: /images/20220216/79a6b2a5a0524b548ff0612a027cb038.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 3]: /images/20220216/8b9e6e8eb89b40eeade1fe42894e82bd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 4]: /images/20220216/0f4f6957ea7d4977b7a7379d1559fde7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 5]: /images/20220216/1e89dceb847f46a3bc8615baf01f6198.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 6]: /images/20220216/bfbdfe4948e04c9d8b645e8e106885c2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 7]: /images/20220216/1a7d138d100a44c989dad24e65031250.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 8]: /images/20220216/07a1320880b14a538f4b1ac3c06ceb13.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 9]: /images/20220216/770dbeaa51654c3499d410fa8cd3ffa8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 10]: /images/20220216/9a25a387ecc54fe68eee2e31cee78170.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 11]: /images/20220216/32b8ec565988477980edd382c7291c88.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 12]: /images/20220216/b9c051edc5e14b52a1a52b80d4cc8f47.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 13]: /images/20220216/b616640218ca4db9b2a122c8e61a6da5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 14]: /images/20220216/9d50edc7e5574a43a12d9ff443e2faab.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4MzI4Mzgy_size_16_color_FFFFFF_t_70 15]: /images/20220216/e6e9d581fec04026b7ea119b8f1bb949.png
[1.1]: /images/20220216/4a129546864e464b9f54602d4eb66e65.png