如何改写msf的module为独立的exp?
1
我们这次要用的模块名称为attftp_long_filename.rb,位于/usr/share/metasploit-framework/modules/exploits/windows/tftp/attftp_long_filename.rb,在接下来的时间中,我们要把它单独写成一个python脚本。
模块完整的代码:
1.1
关键点
我们接下来会解释代码中的一些关键部分,来帮助我们更好的理解。
1.1.1
Default Exit Options
如上所述,默认的退出函数是process。这是shellcode在运行后退出时的函数,通常会影响我们打exp后程序的稳定性。所以当我们修改用于适应特定情况的shellcode时,应该注意这个值。
1.1.2
Payload
payload是我们需要检查的关键方面之一。 space表明我们有足够的210个字节的空间用于我们的payload。任何更大的空间我们可能会遇到崩溃或截断问题。 badchars表示可能影响我们漏洞利用的字节。我们需要确保这些字符不在我们的shellcode中,一般都是空字符’0x00’。最后我们看到stackadjustment(堆栈调整),因为我们在space中受到限制,我们需要利用staged payload。我们正在做的只是发送轻量的第一条指令,该指令旨在反向连接到我们并获得payload的主体,这些指令一般不会恰好符合要求。因此,我们需要将堆栈指针调整回3500字节,这样它就有空间实际写入有效负载而不会覆盖自身。
1.1.3
Targets
Metasploit针对许多漏洞利用有各种各样的目标,实际上每个操作系统的返回地址都很多。 因为它们经常使用系统dll,所以这些地址不会在计算机之间更改,并确保兼容性。在我们的例子中,我们希望使用由c0re,Windows XP SP3返回的地址。
1.1.4
The Exploit
剩下的主要部分就是exploit本身,我们一行行分析。
这意味着攻击将通过UDP数据包发送。这一行连接将目标设置为Metasploit中的值,如RHOST和RPORT。
exploit以两个十六进制值’0x00’和’0x02’开始,然后是一系列NOP。 根据LAN IP的长度,nops的长度可变,但总共25个。例如,'192.168.1.2’的LHOST值的长度为11,而IP地址’192.168.100.123’的长度为15.
该行对Metasploit中指定的payload进行编码,并以所需格式对其进行编码。鉴于可用空间和目标操作系统,Metasploit将在内部确定哪些payload是合适的,并且可以使用’show payloads’命令查看它们。当我们说“必需的格式”时,它意味着它将在漏洞利用的早期过滤掉指定的坏字符。
此命令将目标返回地址附加到exploit字符串中。它在这里作为变量呈现,因为在Metasploit中你可以指定不同的操作系统,但就我们的目的而言,它只是Windows XP SP3的返回地址。 包’V’命令表示它需要以小端格式打包,这是x86处理器所必需的。
转换为命令,这是指示esp寄存器添加40个字节并返回。为了准确利用exploit,所以定位esp是必须的。
这是我们利用的最后一个字符串,它以AT-TFTP期望的格式终止数据流
这指示Metasploit通过UDP发送exploit
这表示它已完成UDP套接字
2
调整每一部分
让我们总结一下我们在自己的exploit中需要实现的目标,以便在上述部分的基础上开展工作。
1.根据LHOST的大小创建一个适当大小的NOP区域
2.指定返回地址并以小端格式打包
3.生成适合我们情况的shellcode(LHOST等)
4.对shellcode执行堆栈调整,以便我们的第二个stage可以正确编写
5.使用Python通过UDP发送exploit
2.1
让我们从一个非常简单的UDP框架开始,用于向目标发送信息。
从这里开始,很多内容都直接引用ruby。包括创建适当大小的NOP和返回地址,以及我们知道将用于设置exploit本身的信息。
现在我们已经获得了下一步所需的已知信息,并考虑了我们的staged payload的堆栈调整。
2.2
调整堆栈
首先,我们需要将payload转储到原始hex文件中以进行进一步操作。在这种情况下,我们的有效载荷将是meterpreter shell windows / meterpreter / reverse_nonx_tcp,因为它的代码占用空间特别小。 我们使用命令,
如果我们想确认已成功输出到文件,我们可以使用该命令
接下来我们需要找出我们实际需要使用什么命令来调整堆栈-3500字节。这可以使用位于/usr/share/metasploit-framework/tools/nasm_shell.rb的Metasploit工具nasm_shell.rb来完成。 输入汇编命令将提供该命令的十六进制机器指令。 由于我们要从堆栈指针中减去3500(十六进制0xDAC),我们执行以下操作,
这告诉我们需要使用81EC AC0D 0000命令来实现3500的调整。我们将其输出到原始的hex文件中。 我们可以使用十六进制编辑器,也可以使用perl的快速一行示例如下,
我们现在有两个原始文件stackadj和我们的payload。 我们希望将它们组合在一起,这是一个简单的cat命令,
为了确认我们现在有正确格式的文件,我们再次使用hexdump检查
它与我们之前的payload完全相同,但堆栈调整是在漏洞利用开始时进行的。我们现在差不多完成了,但我们需要对shellcode做最后一步的调整。
2.3
编码shellcode
在我们的堆栈调整命令和payload本身中都有我们需要删除的空字符。我们可以通过
msfencode重新编码payload而不会出现空值。
我们现在可以将这个shellcode剪切并粘贴到我们的python脚本中。最终的exp看起来如下所示。
3
运行脚本
让我们对我们的Windows XP靶机进行测试。确保关闭任何防火墙提示以允许访问 因为这是staged payload,我们需要设置Metasploit来捕获传入的shell,然后它将发送第二个更大的缓冲区(769536字节)。 顺序执行命令
现在有趣的事情来了,我们不使用msf,使用刚才写的python
结果如下
译者注:msfencode和msfpayload已经被msfvenom代替,如果小伙伴想动手实践的需要注意截图中涉及的相关命令和参数有一部分已经不再适用。
原文链接:https://netsec.ws/?p=262