82 lines
3.1 KiB
TeX
82 lines
3.1 KiB
TeX
\section{Part 2: Reverse Shell Exploitation With Netcat}
|
|
|
|
\subsection{Erster Test}
|
|
|
|
Zum testen wird das c Programm\footnote{\href{https://www.exploit-db.com/shellcodes/47396}{https://www.exploit-db.com/shellcodes/47396}} kompiliert und ausgeführt.
|
|
|
|
\begin{lstlisting}[breaklines]
|
|
gcc --no-pie -z execstack -fno-stack-protector -D_FORTIFY_SOURCE=0 test-shellcode.c -o shell
|
|
./shell
|
|
\end{lstlisting}
|
|
|
|
Nun kann man auf dem Port 43690 eine Verbindung aufbauen.
|
|
|
|
\begin{figure}[H]
|
|
\begin{center}
|
|
\includegraphics[width=0.9\textwidth]{shell/01-test}
|
|
\caption{Erster Test}
|
|
\label{fig:Erster Test}
|
|
\end{center}
|
|
\end{figure}
|
|
|
|
\subsection{Shell Execution}
|
|
|
|
Bei der Analyse mit gdb und einem ersten Testcode mit jeweils 8 Byte NOP Sled entsteht folgender Stack:
|
|
|
|
\begin{figure}[H]
|
|
\begin{center}
|
|
\includegraphics[width=0.9\textwidth]{shell/02-overflow}
|
|
\caption{Erster Stack}
|
|
\label{fig:Erster Stack}
|
|
\end{center}
|
|
\end{figure}
|
|
|
|
Darin sind beide NOP sleds zu erkennen. Außerdem ist der shell code dazwischen zu erkennen.
|
|
|
|
Die nächste Vorgehensweise wäre, die beiden Sleds mit einer richtigen Größe zu versehen, damit der exploit funktioniert.
|
|
|
|
Das ausführen der exploit mit einem größeren NOP Sled zeigt nun die ungefähre Position in die das Program springen sollten. Damit kann die \verb|exploit.py| schonmal angepasst werden, damit der return stimmt (ca. 0xbfffeeee sollte passen).
|
|
|
|
\begin{figure}[H]
|
|
\begin{center}
|
|
\includegraphics[width=0.9\textwidth]{shell/03-stack}
|
|
\caption{Position des NOP-Sled}
|
|
\label{fig:Position des NOP-Sled}
|
|
\end{center}
|
|
\end{figure}
|
|
|
|
Zusätzlich muss damit auch der EBP getroffen werden. Der shell-code ist 106 byte lang. Der NOP Sled wurde auf 256 Byte gesetzt. Somit sollte der zweite NOP Sled auf 150 gesetzt werden damit die 512 vom buffer voll sind. Danach noch ein paar mal die return addresse schreiben und fertig.
|
|
|
|
\begin{figure}[H]
|
|
\begin{center}
|
|
\includegraphics[width=0.9\textwidth]{shell/03-success}
|
|
\caption{Shell code wurde ausgeführt}
|
|
\label{fig:Shell code wurde ausgeführt}
|
|
\end{center}
|
|
\end{figure}
|
|
\begin{figure}[H]
|
|
\begin{center}
|
|
\includegraphics[width=0.9\textwidth]{shell/04-ls-la}
|
|
\caption{ls-la ließt das Verzeichnis}
|
|
\label{fig:ls-la ließt das Verzeichnis}
|
|
\end{center}
|
|
\end{figure}
|
|
|
|
\subsection{Funktionierende exploit.py}
|
|
|
|
\lstinputlisting[language=python]
|
|
{images/shell/exploit.py}
|
|
|
|
\subsection{Warum so gefährlich \& was getan werden muss}
|
|
|
|
Es können eigene Skripte ausgeführt werden. Damit gibt es kein Limit für den Angreifer. Somit auf jeden Fall zu vermeiden!
|
|
|
|
Gegenmaßnahmen:
|
|
\begin{list}{-}{}
|
|
\item ASLR (Address space layout randomization) - das Programm landet an unterschiedlichen Speicherstellen
|
|
\item Never Execute Bit (NX-BIT) - Stellen als ``nicht ausführbar'' markieren
|
|
\item Stack Canaries - Eine zufällige Zahl auf dem Stack platzieren und vor dem Return prüfen, ob sie überschrieben wurde
|
|
\item Keine unsicheren Funktionen Nutzen (strcpy, gets, ...)
|
|
\end{list}
|
|
|
|
|