白盒法和IDA分析漏洞

　　“大家用Fuzzer分析warFTP怎么样啊？ ”老师进入教室后问道。＼


　　“Fuzzer太好用了！ ”古风说道。

🧑‍🌾‏🩸🤑🤝

　　“是啊，Python也是，方便的定位出USER 485的地方是溢出点！ ”玉波说道。

　　 “嗯，不错，那漏洞分析呢？ ”老师问道。

　　大家互相望了望，谁都没调出来。
💪⛄🥚➡🐢‌
　　“老师，那个方法不管用啊！ ”宇强鼓足勇气说道，“被中断的地方太多了，不能在发生溢出的前方中断 下来。而且我们又要考试了，没有太多的时间进行调试啊！”

　　“是啊！”大家都很赞同宇强的说法。

👊🦼🥭🚭🦋‌　　“好的，这节课是本学期最后一次课了。在黑盒法分析失效的情况下，我们可以使用白盒法辅助分析漏洞。


　　“白盒测试也称结构测试或逻辑驱动测试，它知道产品内部工作过程，通过测试来检测产品内部动作是否按照规格说明书的规定正常进行。它检验程序中的每条通路是否都有按预定要求正确工作。”

🖕🎢🍼🚭🐺‏　　小知识：白盒法测试
　　白盒法全面了解程序内部逻辑结构，对所有逻辑路径进行测试。“白盒”法是穷举路径测试。在使用这一方案时，测试者必须检查程序的内部结构，从检查程序的逻辑着手，得出测试数据。白盒测试的主要方法有逻辑驱动、基路测试等。

　　“白盒法也不能‘证明’一个程序是‘正确’的！ ”老师补充道，“贯穿程序的通路是天文数字，而且即使每条路径都测试了，仍然可能有错误。第一、穷举路径测试决不能查出程序违反了设计规范，即程序本身是个错误的程序。第二、穷举路径测试不可能查出程序中因遗漏路径而出错。第三、穷举路径测试可能 发现不了一些与数据相关的错误。”
　　“老师，还是快说说漏洞分析吧！”台下焦急的说道。
👌🎠🍟ℹ🐤‌



　　“好，我们在IDA的帮助下来分析warFTP的漏洞吧！”👮‍♂️‌💄📮😚👈

　　“IDA是强大的反汇编工具，不仅可以给出反汇编代码，还可以在我们的指引下主动进行一些分析；而且可以写些脚本IDC来进行自动分析。IDA是白盒法测试时必用的工具！”

　　“打开IDA后，选择‘open’，打开warFTP.exe程序就开始分析反汇编了。”
👦‏🕶✒😡🙏
　　“等一会儿分析完毕后，在‘Function’ 一栏可以直接看到调用的函数，包括MFC的函数名都可清楚的分析出来。”
大家看了看下图，果然如此！


👨‍🚒‍🛍📠😔🧠
　　“我们想一下，warFTP是因为我们的过长字符串才引发的溢出；而且是远程溢出；所以……”老师慢慢的 说，“一定是通过网络，warFTP接收了我们的过长字符串才引起的溢出。”

　　“嗯！ ”大家点点头。

　　“一般的网络编程，百分之九九都是用Socket来完成的。warFTP接收我们的字符串，应该就是通过……” “哦！ 一定是使用Socket，用recv或类似函数来完成的吧！ ”宇强抢着说道。👩‏🩴⚔🤖👊

“对!我们看看IDA的‘function’那一栏，查看Socket相关的函数。发现了 MFC的CAsyncSocket ::Receive 函数，那是MFC封装的用于接收网络数据的函数，其位置在0x004345B8。” text:004345B8 ; public: virtual int 一thiscall CAsyncSocket::Receive(void *, int, int)

　　小知识：MFC
　　微软基础类库，是微软对Windows API的再次封装，期望简化编程的复杂度，提高软件开发效率并减 少软件成本。

🧒‎👚🪗😔✋

　　“经过白盒法的辅助分析后，我们得到了关键的启发。再运行Ollydbg，加载程序，然后对0x004345B8地 址设断点，如下图。”

🧑‍🎤‎🧢🔭😫🤙

　　“运行全A的超长字符串攻击程序，果然被Ollydbg成功中断下来。Receive其实还是调用了 WS0CK32的 recv函数。我们跟进去就可以看见如下代码：”

[mw_shl_code=c,true]73D4A22E > FF7424 0C PUSH DWORD PTR SS:[ESP+C]
73D4A232 FF7424 0C PUSH DWORD PTR SS:[ESP+C]
73D4A236 FF7424 0C PUSH DWORD PTR SS:[ESP+C]🧑‍💻‏🥼🎺😅👊
73D4A23A FF71 04 PUSH DWORD PTR DS:[ECX+4]
73D4A23D E8 03000000 CALL MFC42.73D4A245 ; JMP to WSOCK32.recv
73D4A242 C2 0C00 RETN 0C[/mw_shl_code]

　　“看，最后一个参数是[ECX+4]，值为00D7E93C，是接收后数据存放的地方。我们在左下角的内存窗口中 按Ctrl + G，弹出地址对话框，输入00D7E93C就会显示该地址的内容。recv执行完后，可以看到，收到的就是我们发的东东：User AAAAA……如下图。”

🖕⛄🍇🉑🦬‏

　　“哦！ ”

✋🏠🎂♾🐞‌

　　“这就完成了我们漏洞分析最关键的一步，在字符串处理的前端中断了下来！我们继续跟踪，注意随时查看各个参数里的内容，发现我们发送的字符串就多多观察。”

　　“到了下面这里，是在判断开头的命令字符，这里是USER命令，如下图。”

🙏💈🦞☣‏

　　“然后程序处理后面的字符串，经过耐心的跟踪，在0042E2FA: call 004044c0时，有对00BBFD54进行了写操作！即该函数把地址保存在00BBFD54这个位置。如下图。”

🧑‍⚕️‍💄🧲😪👈

　　“哦！但00BBFD54和00BBFD5C不是同一个地址啊！”古风一脸疑问的表情。

　　“莫非是ret n？”宇强说道。

👨🦱‍💄📱😈👃

　　“呵呵！我们按F8跟进去看看！”

　　“好，一下子就看见有一个sprinft函数！如下图。”

👨‍⚕️‎💄🔍😭👏

　　“我们边单步运行，边查看它的参数 “首先PUSH EAX，这个EAX为如下： "[C 2004 11 26 22:42] 00001
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA “就是日期时间加上我们输入的超长字符串。”

　　“然后，PUSH war-ftpd.004406C0，这里是%3，一个标准的字符串拷贝。”
🙌🧳🦞🅾🦚‎
　　“最后 PUSH ECX，再 CALL〈&MSVCRT.sprintf>。”

　　“我们来计算一下，ecx = 0x00BBFB54;而保存返回地址在ESP=0x00BBFD54中。”

👃🗼🍌🆎‍　　“相减，0x00BBFD54 —0x00BBFB54 = 0x200 = 512。”

　　“而前面[C 2004 11 26 22:42] 00001 AAA…有28个字符，所以填充A为是512-27 = 485。果然是这样！”

　　“继续跟踪，到函数返回的时候，果然和宇强同学说的一样，是RETN 4,如下图。”
✍🏫🥩✡🦮‏


　　“我们说过RET 4 = POP EIP，ADD ESP，4。现在ESP=00BBFD54，对应的值为41414141，所以返回后，系统会执行0x41414141的地方，如下图。
🧑‍🚀‏🧣📱🙃🤟


　　“最后看看为什么RET 4返回后，ESP会成为00BBFD5C。”

　　“RET 4 = P0P EIP, ADD ESP, 4。首先 POP EIP,那么 EIP 变成 0x41414141，而 ESP+4 = 00BBFD54 + 4 = 00BBFD58;再 ADD ESP, 4 = ESP+4 = 00BBFD58 + 4 = 00BBFD5C。”
🌕🍌💲🐕‌
　　“所以返回后，EIP=41414141，ESP=00BBFD5C，果然验证了我们的分析，如狭隘图。”

👂🚂🥛🆎🐟‌

　　“小结一下，溢出是因为执行了 sprintf (eax，”        ，” [] AAAAAAAAAA”）。这里，eax是一个局部变量，而sprinf没有验证字符串的长度，所以就发生溢出了！”



🧑‍⚕️‏🧣🗡😃🦴
　　”一气呵成！不知不觉中就把漏洞找了出来，”宇强感叹道。

　　‘呵呵！最后来一个高难度的吧！ LSA的远程溢出漏洞分析利用。这就需要黑白法结合了。

　　　“首先看看本地溢出，这个比较简单，下图里的代码就可引发本地溢出。”👨‍🎨‏🧢💿🤪👈



　　”其功能是从系统Netapi32.dll中找到DsRolepEncryptPasswordStart函数，然后执行该函数，函数的第一个参数过长，就会溢出，溢出效果么？呵呵，弹出一个出错对话框，倒计时1分钟后就重启。”

✌🚗🍇♑🐙‎　　“哦！和震荡波的效果一样啊！”

　　”只能等它重启，没有办法了吗？”

　　“大家在运行程序里输入shutdown -a，可以终止系统关机。Shutdown命令的帮助如下图。”
💈🥣🦋‎


　　“因为可以直接用DsRolepEncryptPasswordStart函数引发本地异常，所以本地漏洞利用比较简单，大家用Ollydbg加载lsass.exe进程，然后填充buf用定位大法，就可轻松实现定位和利用！大家都应该很清楚了吧，这个作为寒假作业，大家自己跟入分析一下。”
👨🦱‏👜🧹🤮👃

　　大家纷纷埋头记下来。

　　“好了，我们来看看感兴趣的一远程利用！”

🤞🌞🥣‼🐖‏

　　“我们刚才用的Netapi32.dll中的DsRoleUpgradeDownlevelServer函数是个客户端函数，我们给它的超长参数会在服务端函数LSASRV.dll中的DsRolerUpgradeDownlevelServer?处理！注意，函数名只相差一个‘r’。大家下去亲自跟踪一下就清楚了。”

　　“服务端函数不会判断请求是哪儿来的，但微软实现时就固定好了客户端函数只向本机发请求。所以我们发请求，默认给本机，本机LSASRV.dll中的服务器函数处理就会出现问题重启。”

　　“好，现在我们的目标就是要给远程机器发送请求！但刚才说了，微软在实现代码时就固定了只能向本机发请求，那怎么办呢？”

👍🌞🫖‼🐴‍

　　“是啊！不好办啊！ ”台下说道。

　　“其实，平时我们使用修改后的东西也多了；要注册码，我们就破解注册码；要过期，我们就破解过期补丁。所以，我们也把比尔盖茨实现好的客户端代码改一下，不仅向本机发请求，也能向远程主机发请求。”

✌🌕🥄📳🦮‌　　“真正的黑客精神，就是不断的深入研究技术，大胆创新，发扬共享精神。”

　　“我们用IDA反编译NetApi32.dll。好，结束后，用名字找到DsRoleUpgradeDownlevelServer()的地方。 如下图。”


👃🚤🔪🦖‎
　　“好，从函数开始的地方，往下走一点点，代码如下：”




　　“在IDA中，默认是不显示机器码的，在‘Options—General—Disassembly’页面中，有Number of opcode bytes，默认是0,我们把它改成6或8就行了。如下图。”🧓‌💍🧹😤👍



　　“根据eEye的文档，那里就是我们要修改的地方！ _DsRolepEncryptPasswordStart函数的第一个参数就 是主机。微软用的是0,即为空，表示把请求发给本机。我们要把它改成远程主机的地址就0K 了。”
👨🦱‍👓📟😒🤌
　　“ShellCode的是DsRoleUpgradeDownlevelServer的参数传来的；那么远程主机的地址也从那里传来吧！ 用DsRoleUpgradeDownlevelServer函数的第九个参数传主机地址；然后作为第一个参数给 DsRolepEncryptPasswordStart。 ”

　　“因为前面第九个参数已经给了 [ebp+var + 34] 了，我们把[ebp+var + 34]的内容压入就行了。”

　　“明白了思路，现在改写代码。注意，改写时要保证字节个数和原来的相同，参数也要压足。除了保证第一个参数压的是[ebp+var + 34]外，其他的乱压也可以，所以我们就这样吧：”
👂⛴🍭❗🐤‏
[mw_shl_code=c,true]50 push eax
8B 45 CC mov eax, [ebp+var_34]
50 push eax
90 nop[/mw_shl_code]

✍🗼🌰🚷🦌‎

　　“这样就把存在[ebp+var_34]中的远程主机地址作为第一个参数压入；nop是什么都不做的空指令，目的只是为了保证字节数和原来的相同。”

　　“好，我们调出WinHex，搜索至我们要修改的地方，作如下图的的修改。”

🖕🚈🍼🆒🐕‌


　　“啊，诺顿报警了！这么厉害啊！”古风发现道。
🧑‍🎤‎🦺💉🙃🤞
　　“我们等会再来考虑这个问题，先把诺顿关掉，然后LoadLibrary我们改过后的ww1NetApi.dll，并把第九个参数改成远程主机的地址，即\\ip\ipc$的Unicode形式。指定远程主机的IP地址，编译执行 LSAl.cpp，再Telnet远程主机的1234端口。‘啪’！果然连上了我们要攻击的远程主机。”


　　“成功了！ ”大家欢呼起来。
👨‍⚕️‌👖📐😉👎
　　“我们再来改进改进。首先，辛辛苦苦修改的dll会被查杀成病毒，那么就要想办法让杀毒软件不认识！” “杀毒软件是按照文件的特征码来识别一个病毒或木马的。我们只是在正常的系统文件NetApi32.dll的基础上改变了6个字节，其他完全相同；所以杀毒软件的特征码一定是判断的这6个字节！那我们就把这六个字节稍微改一下，看它还能否识别！”

　　“刚才说了，90是nop，表示什么都不做的空指令，我们把它放在其它指令之间，如下图,和指令50 (即 汇编PUSH EAX)交换一下位置。”

👳‎🥾💳😀

　　“然后保存为ww2NetApi.dll，让诺顿再扫描看看。呵呵！这次没报警了。其实，如果还要报警，我们可以继续修改nop位置，如还不行，还可改成mov ebx ，再push ebx等。办法多得很呢！”

　　“不会被查杀了，看看效果啊！我们把程序改为读ww2NetApi.dll，再运行，还是成功了！如下图。
👨‍⚕️‏🎒🧲😃🤌


　　小知识：特征码
　　现在绝大多数杀毒软件都是建立在“病毒特征码”基础上的。有新病毒出现时，厂商先要获得病毒的 一个样本，提取出它的特征码，用户把特征码加入到病毒库中才能查杀。如果我们测试出了杀毒软件的判断特征码，将其改成不影响功能的其他指令，就肯定不会被查杀！从这个意义上来说，反病毒的技术需要 一个革命化的突破！

🙌🏝🎂🆒🦚‍　　“在此，我们是直接物理修改了 NetApi32.dll，就像破解一样，修改了物理文件。其实，我们还可在内存里动态修改，就如同内存注册机一样，动态读出内存的东西！这个交给大家下去完成吧！”


　　“现在我们可以说是完美的实现远程溢出了，但带有一个300k的dll,试想震荡波拖着这个dll到处跑， 也太难为它了吧！所以我们就把dll也去掉，完全用一个程序实现！”

👁🌞🧊♂🐟‌　　“啊？怎么实现呢？”

　　“源代码是微软控制的，一般人都看不到。当然，对我们菜鸟来说，即使有了源代码，也是读不懂请求是如何实现的，更不用说自己写一个请求了。”

　　“所以黑盒法出场了！本机向远程发起请求时，一定会通过网络的。所以，我们可把远程主机发的请求包抓下来，模拟客户端，向服务端发送这样的网络包就可以了！
👈🌶🉑🐅‎
　　“好啊，说干就干！ ”古风打开Ethereal ，再对远程主机攻击一次，然后把攻击发送的包 抓下来，如下图。

🧑‍💻‌👞🔒😤🤙

　　“192.168.1.166是攻击机，192.168.1.169的被攻击的服务机。192.168.1.166先是TCP三次握手，然后建立空连接，上图里NT Create Andx Request, Path:\lsarpc那排是关键！那就是发送一定的请求， 然后把我们的超长参数发过去。”

　　“但我们不用具体了解它的含义，只管把请求拷贝下来存在数组中，直接向远程机器发送就是了。”

　　“这次运行我们的LSA2.cpp，又成功了，它可是不带dll的哦!”
👍🚘🥚♻🐥‌
　　“哇！ ”

　　“Sniffer是很有用的，如果有溢出的exe程序，那我们就不用具体搞清楚协议、实现什么的，到时直接 一抓包，发挥菜鸟吃苦精神，一句句的敲在发送数据中就可以了！而且这种方法分析微软未文档化的东西 (特别是RPC相关的东西），那更是相当有用！”

🤛🚤🍍🈴🦠‍

　　“老师，好像LSA这样的网络通信也很有意思！和Socket好像不一样，讲讲它们的实现吧！ ”古风说道。

　　“呵呵，快放假了，大家也要进入期末考试了。估计也不能投入太多时间来进行实际思考，更别提实践和演练了。而这门课，只懂得原理是远远不够的，实践才是关键。所以我打算布置一下寒假作业。”老师说道。🧒‏🧦🖲🤑🙏

　　同学们都拿起笔，听老师布置作业。 “第一道题就是上节课说的，利用寒假时间通过查阅网上的相关资料，用高级语言实现一个找出已有 Socket，并利用它传输数据的程序，用于穿透防火墙！”

　　“代码还能够执行远程传输过来的命令，最后再把它提取成我们的ShellCode。”老师接着说道。

🧑‍🍳‌🧢🗝😆🙏

　　“哦，听起来还蛮有难度啊！ ”玉波吐了吐舌头。

　　“第二道题：分析一个假期中出现的新漏洞。当然，如果你们能自己发现新漏洞，当然更好（在CVE留下 自己的名字吧）！

　　下学期开学后我们进行评讲，然后进一步深入各种漏洞，包括格式化溢出、静态溢出、 VC虚函数溢出、Linux环境下溢出等，还会涉及到其他方面的内容！到时看校长大人、土豆以及学校的安排吧！这学期的课就到这里。大家好好复习，准备考试！同学们，再见！希望大家过个好年！”
🤞🏝🍍🅿🦊‏
　　宇强和小倩来到教室外面······

　　天空下起了雪花了，一片片落下，然后渗入水泥路面。整个世界，好像裹上了一层素装。

👀🗼🦞🅿🐖‏　　在南方，下雪极不易啊！

　　“平安夜，我们去天府广场听钟声吧？”

🧑‍🌾‍👑🗡🤑🤛
　　“好啊！”

　　不知何时，两人的手牵在了一起；两颗心，是如此的温暖和接近。
　　······