<-!-> Herramientas: findjmp, offsets, etc.. (Actualizado)

Iniciado por Rojodos, 19 Diciembre 2003, 16:05 PM

0 Miembros y 1 Visitante están viendo este tema.

Gospel

#10
A ver... no se pq abres este post aquí, ya q no mencionas nada del Findjmp... pa la prox, abre un nuevo tema.

Tb podías haber dicho q estás hablando del exploit RPC2 @ http://www.k-otik.com/exploits/10.09.rpc2universal.c.php, q me ha costao encontrarlo...

La mitad del código fuente está comentado, en plan chapuza... asi q yo no me fío nada de este código! No da mucha confianza y paso de tirarme horas buscando offsets pa na. Tío, sé q es una putada pq MS03-039 es una buena vulnerabilidad y no se han publicao exploits q funcionen con éxito, pero creo q es mejor pasar de este exploit RPC2 (o conoces de buena fe q a alguien le ha funcionao??)

De todas formas, el SEH pointier creo q hacía referencia al kernel32.dll, y sí, se desensambla con el olly. La primera linea ni idea...

Bueno, si quieres echar a andar un exploit a ver q te parece mi idea: Ahora casi todo el mundo q tiene Win XP tiene puesto el SP1 así q pq no echamos a andar el MS03-043 de Adik??. Llevo mucho tiempo queriendo probarlo con éxito, pero definitivamente no funciona contra SP0 y no he podido probarlo contra SP1. Contra SP1 tiene q funcionar fijo, pq he visto por internet análisis sobre este exploit, vease:

Exploiting Heap Overflow in Microsoft Messenger Service with msgr07.exe by Patti Lawrence
www.giac.org/practical/GCIH/Patti_Lawrence_GCIH.pdf

An Analysis of the Windows Messenger Service Buffer Overflow Vulnerability by Peter Hewitt
www.giac.org/practical/GCIH/Peter_Hewitt_GCIH.pdf

Pos eso, si quieres seguir trabajando con RPC2, como tu quieras, pero creo q estaría bien intentar sacar el exploit de Adik, q es bastante más fiable q el RPC2. Si tienes oportunidad de trabajar con este exploit sobre Win XP SP1, yo te ayudo en lo q pueda...

Ciao

Salu2


Rojodos

Bueno, con este programita, puedes conocer el offset de por ejemplo System() en la msvcrt.dll o de WinExec(), o de lo que necesites (nunca se sabe  ;D)

Al compilarlo y ejecutarlo, te dara la direccion en la memoria de la funcion que le especifiques por parametro dentro de la DLL que le especifiques por parametro :)

#include <stdio.h>
#include <windows.h>
typedef VOID (*MYPROC)(LPTSTR);

int main (int argc, char **argv) {
    char dll[100];
    char funcion[100];
   
    HINSTANCE libreria;   
    MYPROC procadd;

    printf ("Busca offsets xDD. Introduce como primer argumento el nombre de la DLL,\n");
    printf ("y como segundo argumento la funcion dentro de esa DLL\n");
    printf ("Por ejemplo %s msvcrt.dll system\n\n", argv[0]);
   
    if (argc != 3){
        printf ("Introduce 2 argumentos como se explica mas arriba!!!\n");
        return 1;
        }
       
    memset(dll,0,sizeof(dll));
    memset(funcion,0,sizeof(funcion));
   
    memcpy (dll, argv[1], strlen(argv[1]));
    memcpy (funcion, argv[2], strlen(argv[2]));
   
    libreria = LoadLibrary(dll);
    procadd = (MYPROC)GetProcAddress (libreria,funcion);
   
    printf ("Offset de %s en la DLL %s es %x", funcion, dll, procadd);
   
    return 0;
   
    }


En este caso, si probais el ejemplo, sale:

CitarF:\Rojodos>system_offset msvcrt.dll system
Busca offsets xDD. Introduce como primer argumento el nombre de la DLL,
y como segundo argumento la funcion dentro de esa DLL
Por ejemplo system_offset msvcrt.dll system

Offset de system en la DLL msvcrt.dll es 77bf8044

Asi se pueden calcular rapidamente offsets, si tener que trastear con el Olly.

Entre esto (para calcular los offsets de las APIs) y el findjmp (para buscar jmp esp, o jmp ebp, etc...) se pueden codear exploits rapidamente para cualquier sistema Windows :) Sin necesidad de trastear con el olly.

Salu2

Crack_X

Se publico un findjmp2 hoy en bugtraq . El primer findjmp fue hecho por Eeye para encontrar jmp/call/push en una dll cargada.
Esta 2da version fue hecha por Hat-squad.com , incluye pop/ret scanner y logea lo que encuentra con findjmp en findjmp.txt.
Shit loads of money spend to show us wrong from right. Say no to war


Yasser Has Things To Say
WarZone

Slasher-K

#13
Quería poner este mismo código en VB, por si a alguno le interese, ya que no todos saben programar en C. Además es interesante poder comparar los codes en distintos lenguajes ;D


Sub Main()
        Dim sLib$, sFunc$
        Dim sCmdLine$
        Dim hLib&
        Dim lProcAddr&
        Dim sMsg$

  'Obtiene la linea de comandos.
  '
  sCmdLine = Command$

  If sCmdLine Like vbNullString Then
    sMsg = "Debes ingresar la librería y el nombre de la función:" & vbCrLf & vbCrLf & _
           "USO: FndOffset librería función"

    Call MsgBox(sMsg)
    Exit Sub
  End If
 
  'Obtiene los argumentos desde la linea de comandos.
  '
  sLib = RTrim$(Left$(sCmdLine, InStr(1, sCmdLine, " ")))
  sFunc = Trim$(Mid$(sCmdLine, InStr(1, sCmdLine, " ")))

  'Carga la librería en memoria y devuelve
  'la dirección en donde se cargó.
  '
  hLib = LoadLibrary(sLib)

  If hLib Then
    'Obtiene el offset relativo (RVA) de la función
    '
    lProcAddr = GetProcAddress(hLib, sFunc)
   
    If lProcAddr Then
      sMsg = "El offset de '" & sFunc & "' en '" & sLib & "' es 0x" & _
            Hex$(lProcAddr) & " (" & lProcAddr & ")"

      Call Clipboard.SetText(sMsg, vbCFText)  'Copia los datos al portapapeles.
      Call MsgBox(sMsg, vbExclamation)
      Call MsgBox("Los datos se copiaron al portapapeles.", vbInformation)
     
    Else
      Call MsgBox("No se encontró la función u ordinal '" & sFunc & "' en '" & sLib & "'", vbCritical)
    End If
   
    'Descarga la librearía de memoria.
    '
    Call FreeLibrary(hLib)
  Else
    Call MsgBox("No se pudo cargar la librería '" & sLib & "'", vbCritical)
  End If
End Sub



A la reina de las profundidades que cuida los pasos de una sombra en la noche :*

Dark_Knight

Hola

Tengo una pregunta para Rodojos, en tu tutorial explicas un metodo sencillo de hacer un exploit completo.....pero en tus ejemplos al inicio esta el codigo de vuln1, despues dices que puedo ver la vulnerabilidad por medio del OllyDbg y que al colocar el mas de 64 A´s vere en EIP 41414141 hasta aqui todo va bien, pero cuando veo las explicaciones todo es distinto porque cuando busco por ejemplo:

004012CD  |. 68 80124000    PUSH vuln1.00401280                      ; /format = "Introduzca un argumento al programa"
004012D2  |. E8 79170000    CALL <JMP.&msvcrt.printf>                ; \printf
004012D7  |. 83C4 10        ADD ESP,10
004012DA  |. EB 17          JMP SHORT vuln1.004012F3
004012DC  |> 83EC 08        SUB ESP,8
004012DF  |. 8B45 0C        MOV EAX,DWORD PTR SS:[EBP+C]
004012E2  |. 83C0 04        ADD EAX,4
004012E5  |. FF30           PUSH DWORD PTR DS:[EAX]                  ; /src
004012E7  |. 8D45 B8        LEA EAX,DWORD PTR SS:[EBP-48]            ; |
004012EA  |. 50             PUSH EAX                                 ; |dest
004012EB  |. E8 50170000    CALL <JMP.&msvcrt.strcpy>                ; \strcpy
004012F0  |. 83C4 10        ADD ESP,10

todo me aparece muy distinto o no esta como aqui....como ADD ESP, 10 a mi no me aparece y me confundo demasiado.... lei que cambia por el sistema operativo que tenga cada uno y cosas asi, pero mejor te pregunto a ti, es por esa razon que me aparece diferente o porque no sale igual a los ejemplos ....y es una lastima para mi, porque esta muy bien realizado el tutorial y quisiera seguir aprendiendo de el.

Ahorita estoy viendo el programa que pusiste aqui...y quisiera saber si aun es necesario utilizar el Olly o con el programa que pusiste junto con el findjmp puedo seguir realizando los ejemplos del tutorial......y si el codigo de la shell tiene algun fallo, porque al compilarlo en visual c++ me aparecen un errores que dicen "missing "{" before "_cdecl",
"siza_t" y "main", ojala me puedas responder.

GRACIAS  ;D
El hombre no puede crear nada sin antes dar algo a cambio... para crear... algo del mismo valor debe perderse.... esa es la ley de la equivalencia de intercambio... y el que desafie esa ley se convertira en un desafio de las creencias del ser humano y de la existencia de dios....

krispin

Jau!!!!!!
aqui les dejo una chapuzilla mas visual.
tE Sak todos los offsets de todas funciones de una dll.
saludox.

El que quiera que lo utilic y el que no, pues ya se sabe, a la basuraaaaaaaaaa
el programilla es: Offsets.rar:
http://usuarios.lycos.es/p4n0r4mix/

krispin

Buenax!!!
aqui les dejo uno un poco mas visual, el que quiera que lo utilice,
y el que no,
pues lo de siempre,
a la basura.
http://usuarios.lycos.es/p4n0r4mix/FindJmp3.rar

saludox!!!

CrowDat

Buenas,
tal como se comenta en este hilo http://foro.elhacker.net/index.php/topic,96879.msg451389.html ,en el link que se hace referencia a http://www.i2s-lab.com/Free-Tools/Findjmp.EXE , este fichero es un virus como una casa.
Antes de que nadie diga «pues a mi me va bien» , que coja, se baje ese archivo, y lo ejecute, y no ejecute la copia que habia buena anteriormente.

Estaba buscando unos offsets para WinXP English,y para ello lo instale bajo VMWare -y menos mal..-, una vez concluida la instalacion,y dado que no tenia nada instalado, ni siquiera winrar, opte por bajarme el link al .exe, nada mas ejecutarlo ha borrado todos los .exe, de windows y abre un internet explorer a la direccion http://www.i2s-lab.com/sophos.htm la cual no existe actualmente.

Despues de instalarme el winrar y bajar el findjmp adjunto en el foro,los he comparado y me encuentro con lo siguiente:

findjmp.exe adjunto en rar del foro
Fecha Creacion: 08/04/2004
Tamaño: 3584 bytes

findjmp.exe descargado de i2s-lab.com
Fecha Creacion: 12/06/2005
Tamaño: 36864 bytes

Si se abre con el notepad, se puede ver claramente como en el findjmp de i2s-lab se ve lo siguiente «explorer http://www.i2s-lab.com/sophos.htm»
Por ultimo,el findjmp del foro, esta comprimido con upx,y el de la i2s-lab no lo esta,viendose que esta compilado con VisualC++.

Ahora mismo escribo esto fuera de casa por lo que no he debugeado ni monitorizado que hace el findjmp de i2s-lab, pero esta clarisimo que es un virus,por lo que agradeceria que se quitara el link de descarga del mismo para que no le pase lo mismo que a mi a otros lectores del foro.

Saludos

el-brujo

Gracias por la información CrowDat.

La descarga estaba linkeada a la página web del creador del programa por eso creo que casi nadie se lo tomó muy en serio....

Ya he borrado en enlace que contenía el virus y he puesto la descarga "buena", la que estaba adjunta al foro.

http://ns2.elhacker.net/h/findjmp.rar

PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
http://foro.elhacker.net/index.php/topic,22708.0.html

Gospel

Gracias CrowDat por el aviso... yo me lo hubiera comido enterito, ya q no trabajo con máquinas virtuales, por mala suerte...

Ya hay q ser gentuza para colar un virus sustituyendo el programa original en la web oficial del creador. Por cierto, alguien ha avisado ya a este tipo? Findjmp es una buena herramienta para trabajar con exploits así q más de uno se ha tenido q llevar una sorpresa desagradable...  :-\