RET´s -- Win 7, home. premiun, enterprise etc....

Iniciado por RocKHounD, 8 Diciembre 2011, 14:17 PM

0 Miembros y 1 Visitante están viendo este tema.

RocKHounD

Buenas, quería saber si las direcciones de retorno varían según la version de windows.

se que si varia el service pack varia la direccion de retorno, aunque no se si siempre.

Este efecto ocurre tambien entre las distintas versiones originales de windows?

entre la version home, premiun, etc?

gracias
Breaking The Code
http://btcode.blogspot.com

Ivanchuk

Hola rockhound,

Todo depende de donde estes tomando la direccion de retorno. Si te basas en las librerias del sistema, te va a variar entre service packs _y_ versiones de windows. Inclusive tambien depende de la libreria, por ejemplo la msvcr71.dll no varia de direccion entre las versiones 2003/XP/Vista/7. Es mas, tampoco es compatible con ASLR ni DEP !
He visto varios browser exploits que tratan de cargarla para usarla de trampolin :)
Sólo quien practica lo absurdo puede lograr lo imposible.

Join us @ http://foro.h-sec.org

RocKHounD

Podrías profundizar algo más??

Que tipos de librerías podría encontrar?

supongo que habrá dos, las del sistemas y las propias del ejecutable,

en cual debería de buscar las direcciones?

Breaking The Code
http://btcode.blogspot.com

RocKHounD

Otra pregunta...

Estoy tratando de reproducir el exploit CesarFtp 099g en un lab que me he montado, y no veo que el programa tenga algún fallo.

probandolo instalado en un win xp el programa falla pero en un windows 7 no lo hace.

tiene algo que ver aqui el so?
Breaking The Code
http://btcode.blogspot.com

Ivanchuk

#4
Cita de: RocKHounD en  9 Diciembre 2011, 14:06 PM
en cual debería de buscar las direcciones?
Podes buscar direcciones donde quieras, siempre y cuando sean ejecutables obvio. Ya sea en lib externas (propias al programa o de sistema) o dentro de la sección .text del programa. La sección ejecutable del proceso es estatica, la direccion virtual a donde se carga esta indicada en la cabecera del exe (PE). Lo mismo sucede con las libs proprias del programa. Por lo que buscar RETs ahi es de lo mas fiable que podes encontrar. Si usas libs de sistema, las direcciones pueden variar como te decia.
Digamos que de preferencia, deberias buscar dentro de todas las secciones ejecutables que aporta el programa. Luego ver por las del sistema.

Cita de: RocKHounD en  9 Diciembre 2011, 14:14 PM
Otra pregunta...

Estoy tratando de reproducir el exploit CesarFtp 099g en un lab que me he montado, y no veo que el programa tenga algún fallo.

probandolo instalado en un win xp el programa falla pero en un windows 7 no lo hace.

tiene algo que ver aqui el so?
Ni idea, tendria que probarlo. Es probable que sea por las protecciones en 7. Hay ciertas protecciones que en XP estan desactivadas por defecto.
Sólo quien practica lo absurdo puede lograr lo imposible.

Join us @ http://foro.h-sec.org