漏洞检测框架-CANVAS:MOSDEF基础介绍

2014-01-27 173064人围观 ,发现 8 个不明物体 系统安全

Mini Elf Structure and generate,在IDF实验室博客曾介绍payload exec组成结构与生成方法,文章中使用Inlineegg框架来生成Mini Elf,通过linux命令和hex来理解其结构。

Immunityinc公司出品的CANVAS是渗透工程师所熟悉的漏洞检测框架,而核心攻击框架是今天我们所要介绍的,它是:MOSDEF2.0,什么是MOSDEF呢?

A C-like compiler suite originally built for and designed for Immunity's CANVAS attack framework written completely in Python。
website: http://immunityinc.com

首先,我们来认识其框架的有哪几部分组成:

1. 程序编译/分析
2. ASM/C
3. 库:PLY
4. payload 生成与shellcode
5. 命令使用

一、MOSDEF的主要组成部分

1、看下它的ASM/C这部分有那写可用文件:

在MOSDEFlibc中包含了在C语言中的常用函数及常量,其中还包括了C语言中的宏定义与调用的header file等等。

2、而它的生成Mini Elf,主要依赖于一下文件:

这里生成Mini Elf 的命令是:makeexe.py。

我们知道Mini Elf 主要依赖的section与结构,来看下它的工作原理:

它调用了:mosdefutils, sys, binfmt 下的elf与elf_const。

elf.py: 主要包括了elf 的section,elf header,program header,elf dyn linker,elf shareder与symbol,Rel。在程序中介绍了C lib中的类型,而elf_const包含了ELF中的常量与offset地址。

3、PLY 由哪几个文件组成呢?

由yacc,lex模块组成,在MOSDEF2.0中存在两个同样的文件,分别是:yacc2.py,lex2.py,yacc.py,lex.py。其处理数据与表达式等等。

二、工作与实践

这里把几个核心文件已经基本介绍了一下,来看下其工作:

cc.py -> cpp.py -> cparse2.py -> il2x86 -> x86parse.py -> makeexe.py

看下它的Mini Elf生成代码:

传入参数为: data,filename,filename默认为空,来看下其传入的data。

data 传入的数据为byte,主要是段可执行性代码,通过asm编译,取program section。

注:程序的可执行部分。

回头看看其调用的module,代码文件中看到,makeexe.py调用了mosdefutils中函数为:halfword2bstr。我们可以剔除其依赖的mosdefutils module。其中注释掉了原函数,来看下其内容:

如何使用它呢?

我这使用了exploit-db database中的lin-x86中的13334.txt文件,作为新的payload生成新的exe文件,而filename为backdoor。 ps:13334.txt 执行的是“/bin/sh”。

makeexe.py是个命令行程序,在程序中自带了payload代码,如果需要使用新的payload,可以把makeexe.py当作module来调用。接着看它的编译实例,文件名为:test.c。

代码:

是不是和C语言不同呢?

没有了#include的函数,使用了#import,这东西能编译吗?它不能通过gcc编译,但能使用它自带的工具编译成ELF文件。

command:

编译过程:

已经编译完成,文件名为:test,看下它的文件类型,文件执行情况。

如图:

文件已执行,输出:HITHERE。

通过命令,看到test Elf并没有调用任何symbols,其文件为静态文件,静态编译。(ps: 静态编译:gcc -static infilen -o outfile。)

是不是有点像payload exec的生成呢?通过前张图片我们可以了解到程序是有ELF header和program header组成。这里你可以通过objdump尝试是不是能提取可执行的section。

看下其编译调用了哪些module,function:

IL Code:

总结:

这里我们可以看出MOSDEF具有很强大的功能,到这里我们初步认识了它,下篇文章我们将深入核心部分进行了解它的使用,和代码编写上的思路。

To be continue……

IDF实验室 4ll3n

发表评论

已有 8 条评论

取消
Loading...
IDF_Lab

IDF极安客实验室:追求极致安全的极客生活,关注互联网威胁情报、暗网、区块链与智能安全,支持儿童安全领域为主的技术公益

25 文章数 3 评论数

特别推荐

关注我们 分享每日精选文章

css.php