本期文章将回顾并演示Windows XP SP3和Windows 10上WinAPRS的功能性漏洞利用。
主要启示。
由于缺乏ASLR,在这种情况下,Windows XP更容易被利用。
Windows 10在用恶意的无线电数据包梳理堆内存后可被利用。
WinAPRS可能仍未打补丁。
在本系列的第四部分中,我们建立了一个三阶段的shellcode有效载荷,以克服由于WinAPRS进程中堆栈内存被破坏而遇到的问题。该shellcode理论上将产生一个反向shell,并将其输出重定向到火腿电台的TNC,然后在空中传输。然后,shellcode将监听来自TNC的串行端口的命令。
这一部分将审查最后的Python漏洞代码。该漏洞将在两个独立的AX.25数据包中传输三阶段的外壳代码。然后,它将监听受害者机器的响应,并允许攻击者通过火腿肠无线电发送命令回来。然后,我们将重新审视Windows 10,找到一种绕过地址空间布局随机化(ASLR)保护的方法,为更现代的操作系统建立一个有效的漏洞。
Windows XP SP3 漏洞
Python漏洞代码是基于一个公开的Python脚本,名为send_kiss_frame.py,它允许你生成自定义的AX.25数据包。三个shellcode阶段分别组装成Python字节串,并粘贴到最后的利用脚本中。
最后的有效载荷由KISS控制字符组成,以开始和结束恶意的数据包。然后是AX.25寻址组件,以确保数据包被WinAPRS正确处理。APRS数据包的信息部分以第一阶段的壳代码开始,紧接着是第二阶段。然后,利用 "A "字符填补任何空白,确保NSEH和SEH地址在正确的位置结束。接下来,NSEH和SEH地址被添加。NSEH包含跳转代码,将指示CPU跳过SEH地址并继续执行。
在SEH地址之后是额外的跳转代码,它将指示CPU到第一阶段的shellcode的开始。最后,一些 "C "字符被添加到结尾,以确保数据包足够长以触发溢出。
文章来源:https://www.coalfire.com/the-coalfire-blog/hacking-ham-radio-winaprs-part-5
