以下のようにmsfvenomから生成されるペイロードを含むSEH BoFエクスプロイトスクリプトを実行します。
msfvenom --payload windows/Shell/bind_tcp --format py --Arch x86 --platform windows --bad-chars "\x00\x20" EXITFUNC=seh
上記のペイロードを含むスクリプトを実行した後、犠牲者のマシン(WinXp SP3)のすべてのアクティブな接続をnetstat -anを実行して確認しました。開いているポートが4444(msfペイロードのデフォルトポート)でリッスンしています。ただし、攻撃者のマシン(Fedora 27)では、netcatを使用してシェルを生成することはできませんでした。
nc [victim IP] 4444
上記のコマンドを実行した後、カーソルはその下で点滅します。そして、Enter(リターン)を押した後、ncは強制終了され、被害者のPCからの脆弱なプログラムも強制終了されます。誰かアイデアはありますか?
現在考えられる唯一の説明は、問題がmsfvenomからのペイロード内にあるということです。犠牲者のPCの4444で開いているポートがあったため、ペイロードが確実に実行されたためだと思います。スクリプトの実行中に問題が存在しなかった場合、問題を引き起こしているのはペイロードであるに違いないと思いますか。
しばらくして攻撃をいじった後、エクスプロイトがプログラムをクラッシュさせる方法に気づき、警告されたエラーメッセージにはhungappというモジュールと00000000のオフセットが含まれていました。さらに調査が行われたところ、hungappは、Microsoftのセキュリティ機能のように見えます= TCP接続。被害者のPCに対する最後のMicrosoftセキュリティアップデートは2017年5月15日に公開され、このタイプのSeh攻撃に対してパッチを当てた可能性が最も高い。