Mensajes

[wanna]

Por cierto, cambia :
If you wanna terminate the program, press Ctrl+C

por want to xD , wanna suena mas al ingles de bronx xD


Un saludo!

Es un modo de abreviar, al igual que gonna, supongo que want to suena mas "formal" 

Pero lo interesante del FireSheep es que automaticamente reemplaza tus cookies por las encontradas...

Bueno, siendo una extensión del mismo navegador, supongo que el acceso a las cookies debe de ser bastante sencillo, nunca e programando nada para firefox 

[Nota:]

Hace ya unas semanas que salió en varios blog's de seguridad esta curiosa extensión para Firefox que te permitía capturar las cookies que eran enviadas a través de una red wifi no cifrada demostrando una vez más, la inseguridad que provoca el no implementar HTTPS en sitios web que requieran autentificado (y el peligro de conectarse a una red abierta).


Si se sabe algo sobre seguridad wifi no es difícil imaginarse como trabaja esta extensión. A partir de WinPcap/Libpcap pone la interfaz wifi en modo promiscuo (esta conectado con el AP y a la vez captura todo el trafico que circule por la red) y empieza a filtrar los paquetes y cuando tiene una cookie la enseña por pantalla.

Hace ya tiempo que quería trastear un poco con WinPcap y al leer la existencia de esta extensión me decidí. El resultado es una aplicación modo consola que captura la cookies que sean enviadas a través de nuestra red. Mi herramienta no es tan "directa" como lo es FireSheep (con un click ya se te abre una pestaña con las cookies capturadas) pero con la extensión Add N Edit Cookies de Firefox se puede conseguir el mismo resultado.

Aquí les enseño unas cuantas impresiones del resultado de la consola:

C:\CookieDump>CookieDump.exe
CookieDumper v1.0 by Hendrix
        hendrix@elhacker.net

Usage: CookieDump.exe [options]

Options:
        -l: List all devices
        -d number: Select a device. Example: -d 2
        -f "filter": Filter sites. Example: -f "www.google.com;www.msn.es;"
        -w file: Write output to file
        -n: Don't dump packets of your computer
C:\CookieDump>CookieDump.exe -l

• Listing devices...
  
  1. \Device\NPF_{1F217971-70F9-4315-8B2C-F5C5728EF91F} (VMware Virtual Ethernet Adapter)
  2. \Device\NPF_{E4ABC72B-166E-4CD4-B9A4-E588012828C3} (Marvell Gigabit Ethernet Controller (Microsoft's Packet Scheduler) )
  3. \Device\NPF_{34BA4DCA-4941-4C43-A33E-0CA83A295942} (VMware Virtual Ethernet Adapter)
  4. \Device\NPF_{E442FFE1-9450-4E52-979B-F4B51F3B121C} (Intel(R) Wireless WiFi Link 4965AGN (Microsoft's Packet Scheduler) )
  
  C:\CookieDump>CookieDump.exe -d 4
  
  [Ok] Device numer 4 attatched
          Local Addr: 192.168.0.21
  
  If you wanna terminate the program, press Ctrl+C
  
  [Local]
• Packet intercepted to host: www.google.es
  Cooie found!!  HSID=*****
  
  
  [Local]
• Packet intercepted to host: www.google.es
  Cooie found!!  HSID=****
  
  
  [Local]
• Packet intercepted to host: www.google.es
  Cooie found!!  HSID=****
  [/tt]

(Evidentemente las cookies las e censurado  )

Como ven, su uso es bastante sencillo, con -l listamos las interfaces y con -d y el numero de interfaz la seleccionamos.

La opción -f es de filtrado, sirve para no mostrar las peticiones a url especificada. Se pueden incluir todas las que queramos, siempre terminadas con ; tal y como aparece en el ejemplo.

la opción -w es para guardar los resultados en un archivo de texto se guarda exactamente lo mismo que se muestra en la consola.

y finalmente la opción -n sirve para filtrar los paquetes locales, es decir, no capturamos lo que enviamos nosotros (así únicamente se nos imprimirán los paquetes que no genere nuestro PC).

En la descarga se incluye el ejecutable y el código, así como librerías necesarias para compilar 

Descarga

Nota: Tras varios testeos el resultado obtenido es el mismo que el que obtuve con FireSheep, es decir, la captura de mis cookies. Probablemente es debido a mi tarjeta de red, agradecería a quien pudiera probar el FireSheep y luego mi aplicación, para ver si de verdad funciona. En teoría el código es el correcto.

PD: Si tengo tiempo, sacaré una herramienta de seguridad contra dicha aplicación 

Un Saludo 

por ejemplo cualquier tipo de overflow y a  partir de ahí programar el exploit (que estará hecho en javascript ya que lo tiene que parsear el motor que es lo que tiene la vulnerabilidad).

Si el error esta en el motor de javascript, el exploit no estará programado en javascript. A parte de que como indica su nombre, javascript es un lenguaje interpretado, por lo tanto no se podría programar el exploit en javascript. El exploit se programará en lenguaje máquina (típicamente, ristras de numeros en hexadecimal correspondientes a operaciones (llamadas opcodes) que va a realizar directamente el procesador).

Tengo entendido que pequeños datos como IP, DNS, OS, IDIOMA pueden ser capturados desde un javascript y enviados a donde se quiera.

Tambien se puede redirigir a otras paginas no deseadas

Pero esto es solo el malware? redireccionar y capturar datos?

es posible que se ejecute un codigo binario dentro de la PC a traves de un javascript?

Se que se puede engañar a la gente, que entre a una pagina falsa y hacer desacargar un "plugin" que seria ya un troyano o worm.

pero inconcientemente sin clicks ni nada. en los navegadores mas comunes (IE: 8, FF: 3.6) se puede ejecutar codigo binario a traves de un javascript sin que el usuario se entere?

Para poder ejecutar archivos con javascript se tiene que crear un archivo ActiveX que, actualmente, no te funcionará en los navegadores actuales por medidas obvias de seguridad 

Un Saludo 

Pues supongo que cuando te refieres a: "el sistema de monitorización de un  antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks 

Un Saludo 

Pregunta.. Y si se re-hace el evento?? Uno nuevo digo.. CoreWar de Octubre 

Si hay más participantes que en esta edición, Sí.

Un Saludo

Para evitar pantallazos, intenta esto:

Código (c) [Seleccionar] Expandir



__try{
//Aqui tu codigo

}__except(EXCEPTION_EXECUTE_HANDLER){
NtStatus = GetExceptionCode();
DbgPrint("Exception: %d.\n", NtStatus);
}


De todos modos:


- RtlUnicodeStringToAnsiString

Ejemplo:

Código (c) [Seleccionar] Expandir


ANSI_STRING aStr;

RtlUnicodeStringToAnsiString(&aStr,CadenaUnicode,TRUE);



Un Saludo 

hola, estuve leyendo el tuto, por que estoy interesado en hacer un bypass al gameguard, para 9 dragons, ya que el gameguard hace hook al proceso del cliente, y no permite ver la memoria o modificarla , simplemente lo oculta de la lista de procesos,

una cosa es unhookear el gameguard,  pero el mismo hace chekeos para  ver si los hook estan activos,

crees que haya un manera de hacerlo y hacerle creer al gameguard que aun estan los hook activos,


gracias,  agradezco cualquier ayuda

Ya comenté en otros posts, que Meek y yo estuvimosintentando parchear el sXe, en modo Kernel y en modo usuario, y al final la solución la encontramos en modo usuario, parcheando algunas funciones del mismo sXe, no se como funciona el GameGuard, pero supongo que se le podrá hacer lo mismo.

Un Saludo

Hola,
estoy intentando hacer un hook en un driver, cambiando una dirección de los MAJORS, el problema es que cuando lo hago se cuelga el sistema.

No se si es porque no obtengo bien la dirección del MAJOR o por el cambio de dirección del MAJOR o por la función propia que sustituyo con el hook.

Se que con el memoryze puedo ver las direcciones de los drivers y sus MAJORS así ya descartaría la primera posibilidad, pero no funciona con el windows 7.

Alguien sabría algún programa parecido que funcione en windows 7?

Por cierto Virtual pc más windbg y driver cargado con osrloader me peta la VM :S

He visto en codigos cosas parecidas a estas:
InterlockedExchangePointer(&Driver->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL],HookDriver);

Seria lo mismo que esto verdad:

Driver->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] = HookDriver;

Saludos.

Aquí hay un texto sobre lo que pides (IRP Hooking): http://www.rootkit.com/newsread.php?newsid=846

Muy buen texto, me ha entrado el gusanillo.

Mi pregunta es si ai por aí alguna lista de las apis que se pueden llamar en modo kernel para encontrar equivalentes a las de modo usuario, por ejemplo encontrar la equivalente a GetProcessId().

Gracias por la aportación

Pues no lo se, hay una lista de API's para modo kernel aquí: http://jedi-apilib.sourceforge.net/native/NativeList.html

Y para lo que tu pides, puedes desensamblar la API con el WinDbg para ver las llamadas a API's del kernel y sus parámetros.

Un Saludo