|
时间就是知识,时间就是财富,时间就是…… 所以如何快速简便的根据漏洞样本写自己的利用程序也是比较有价值的。
下面就谈谈根据样本写Exploit生成器的快速取巧的方法,对DOC,PPT,XLS,RAR之类生孩子式Exp样本尤其适用。
步骤:
1、 Hook NtCreateFile 以及 Hook NtCreateProcessEx( or NtCreateSection) 监控文件创建以及新进程创建,当然为了省事,推荐使用SSM(一个小型HIPS,http://www.syssafety.com)
2、开启SSM(SSM也可换为自己写的功能类似的监控程序),然后运行DOC/PPT/XLS/RAR之类的样本
3、如果EXP有效,漏洞利用成功的话EXP创建后门进程时会被SSM截获。此时先不允许后门进程运行,将样本释放出的后门文件COPY一份。
4、用UE打开EXP样本,查找MZ头,获得后门文件在EXP样本中的偏移。再根据上面COPY出来的后门文件获得其文件大小,确定后门文件尾部所在偏移。
5、知道了后门文件在EXP的偏移以及后门文件的大小,我们就可以写快速生成器了:VC中将样本作为资源导入,生成器生成我们自己EXP的时候只要将资源种的样本载入内存,再根据后门文件在EXP样本中的偏移和大小,覆盖成我们自己的后门文件输出即可。当然,如果我们自己的后门文件大小不足EXP样本文件时还得用0x00补足,这样不会影响正常运行(自己的后门文件有CRC校验或者加了强壳例外)。
值得注意的是,有些EXP样本里的包含的后门文件XOR加密过,对付这个很容易,UE打开看到一片都是同一个字符就知道是KEY了,写生成器时只要把我们的目标程序根据此KEY XOR加密后写入。当然,对于稍微复杂的加密算法得具体对待。
总体来说此法乃取巧之法,没啥太深技术含量,不过很实用。而且有些Office漏洞靠硬碰硬的分析样本漏洞再写出Exploit很麻烦的…… 我拿到这类样本之后一般都是先花2分钟写出生成器然后再慢慢分析样本漏洞,哈哈哈哈哈~~~~
|
