漏洞大戶ccproxy又暴遠端溢位漏洞

ccproxy 是一款國生產使用方便介面整潔的**軟體，他支援http，ftp，socks4/5，telnet，https.....等**協議，是一款不可多得的好軟體，一般網管用**軟體的時候他是首選，國內ccproxy運用的十分廣泛。

這不，我們學校的校園網也用上他了，我們電腦老師也是個比較注意網路安全的人，他裝的時候專門叫我測試下ccproxy的安全性，現在我手上的版本是ccproxy 6.2，記得ccproxy 6.0的時候被牛人isno發現過乙個http**的遠端緩衝區漏洞，現在作者應該也注意了一下安全了吧```不管那麼多，裝乙個來測試測試。

開啟ccproxy 6.2，使用預設的配置，開了http，ftp，https，telnet，新聞等**。很快我發現在我測試telnet的 ping 命令的時候ccproxy 6.2掛掉了，汗```不會還有遠端緩衝區漏洞吧。用ollydbg載入ccproxy 6.2，f9執行然後在命令提示符號下面輸入指令telnet127.0.0.1，返回進入

ccproxy telnet>ccproxy telnet service ready.

ccproxy telnet>

輸入ping 2000個a

這個時候ollydbg「提示不知道如何繼續進行，記憶體61616161是不易讀取的，請試圖修改eip，或者通過例外執行程式」很明顯，61就是a 的ascii值，我們輸入的a覆蓋了返回位址了，現證實了漏洞的確存在，我們現在要確定的是溢位發生在**？重新用ollydbg執行ccproxy 6.2一次，下斷點bp strcpy ,strcat,sprintf，然後用方才的方法溢位一次，提示記憶體61616161是不易讀取，並沒有斷下來，說明溢位不發生在strcpy ,strcat,sprintf，這些函式裡面。記得isno以前說過ccproxy 6.2，使用自己的函式實現sprintf的，沒有呼叫msvcrt.dll裡面的函式，想了一下，下斷點bp wsasend，因為ccproxy 6.2是用wsasend來傳送訊息給客戶端的f9執行，telnet 127.0.0.1,這個時候ollydbg在004124f2斷了下來，f9讓他執行下去.然後我們再cmd輸入ping2000個a；ollydbg又一次斷在004124f2，f8單步跟蹤，遇到 call不跟入一步一步下去，當到0041735c call 00426b20這裡的時候，再跟下去就提示記憶體61616161是不易讀取了，這樣我們不到5分鐘時間就找到了溢位的call很顯然溢位發生在這個call裡面。取消wsasend的斷點，然後再下斷點bp 0041735c,然後重新來一次。程式會斷在0041735c call 00426b20 處，我們用f7單步跟入然後在call 00426b20很明顯這裡是溢位發生的地方，裡面呼叫了作者自己寫的sprintf函式，這裡沒有對使用者的輸入

進行檢查，導致了溢位。我天生愚昧，不會寫shellcode，就拿isno以前寫針對http**的稍微改一下，思路如下：

ping +0x42 +shellcode +0x7ffa54cd=1016+ mov ecx,0x29911111

shr ecx,0x14

sub esp,ecx

jmp esp

這樣一來，返回位址變成0x7ffa54cd，0x7ffa54cd在2000下指向jmp esp,然後就回執行

mov ecx,0x29911111

shr ecx,0x14

sub esp,ecx

jmp esp

著幾句**，意思是把esp-299,然後再跳過去執行，這個時候酒會到我們的0x42也就是inc edx,他沒有任何意思，相當與nop。最後shellcode 執行，詳細**如下：

漏洞大戶ccproxy又暴遠端溢位漏洞

超級大戶談融資融券

水杯大戶歐陽娜娜終於有水杯代言啦！！！

電商成「裸奔大戶」，「二清」擬已入刑

漏洞大戶ccproxy又暴遠端溢位漏洞

超級大戶談融資融券

水杯大戶歐陽娜娜終於有水杯代言啦！！！

電商成「裸奔大戶」，「二清」擬已入刑

相關推薦