Mensajes

Buenisimo!! Un nuevo exploiter en la comunidad :-)

aunque me queda una duda... y es para que sirven los nops realmente...

cuando voy a follow stack veo que desde que he sobreescrito EIP hasta que veo de nuevo lineas "AAAA" pasan 26 líneas, de ahi el "\x90" * 26 de arriba, aunque he probado poniendo 30 y seguía funcionando el exploit.

Los nops se usan para darle una cierta libertad a la direccion de retorno al stack, en tu caso la direccion es siempre fija (=esp despues del jmp esp en user32) y se encuentra justo despues del ret. Si le sacas los nops deberia seguir funcionando.

Acabo de probar a poner otra shellcode y me da error... por lo que entiendo que he superado el espacio disponible para la shellcode... me podéis decir como se calcula ese espacio?

voy a probar a meter un pattern donde iria la shellcode... digo yo que me dirá de cuanto espacio dispongo... no??

Me parece raro que hayas superado el espacio reservado para el stack porque vi que probaste con un pattern_create de 1000 bytes y paso sin problemas. El error debe estar en la shellcode que le pusistes. Posteala aca para verla sino.
Meterle un pattern donde iria la shellcode no te va a decir cuanto espacio tenes disponible, imagino que eso lo podes ver en la info del ejecutable (PE), al menos en los elf aparece. Sino mas facil, anda hasta abajo del todo en la sección de stack y fijate donde termina jeje.

ah, pense que te habia funcionado... seguis viendo en eip 0xabababba ?

La sobreescritura del eip debe variar segun el tamano del buffer, o bien el programa mismo te modifica los ultimos bytes, no te queda otra que depurarlo mucho mas.
Proba sino de generar un pattern de por ej. 256 bytes y con offset_pattern sacas el desplazamiento y haces siempre el bof con un buffer de 256 bytes (metiendo el eip donde tiene que ser), asi te evitas al menos el primer factor que te comentaba.

Ah, se la agregue yo nomas, con ese valor se deberia sobreescribir el eip (0xdeadbeef), te funciono?

En la wiki de metasploit
:http://en.wikibooks.org/wiki/Metasploit/WritingWindowsExploit

Then we use patternOffset to know the number of characters to send before hitting EIP

GL!

Me fije en la doc y pattern_offset te dice la cantidad de bytes a rellenar antes de alcanzar el eip de retorno. Para llegar al eip tenes que meterle 239 bytes y los 4 siguientes (arch de 32 bits) serian el eip.

Código (python) [Seleccionar] Expandir

buffer = "A" * 239 + "\xef\xbe\xad\xde"
payload = (buffer)
f = open("Exploit.m3u","wb")
f.write(payload)
f.close()

Hola rockhound,

Entonces aqui vienen mis preguntas...

¿Por que EIP no se sobreescribe con "A", EIP ABABABBA ?

De mi parte no tengo idea, tendrias que depurarlo un poco mas para encontrar el momento donde se sobreescribe el eip.

En el paper el tio usa 207 caracteres a diferencia de los 227 que me ha calculado el pattern_offset, ¿por que?

Para mi que es porque el path que el tiene es mas largo que el tuyo (C:\Users\cprados\Desktop\exploit\), por eso necesitas mas "A".

Luego comenta que con findjmp intenta encontrar direcciones válidas para hacer saltar luego a nuestra shellcode, no entiendo esta parte, es más no se que librería he de buscar...

Tenes que buscar en las librerias que carga coolplayer.exe, en el olly podes ver todos los modulos cargados. A findjmp le tenes que indicar la dll y te va a encontrar un "jmp esp" o algo parecido para poder saltar a la pila que es donde deberias poner tu shellcode.

Proba con

Código (bash) [Seleccionar] Expandir

set disassembly-flavor intel

Sino mirate esta sección de la doc de gdb:
:http://sourceware.org/gdb/current/onlinedocs/gdb/Machine-Code.html

Saludos

Mmm, para estar bien seguros, cambia estas lineas del codigo que te pase

Código (python) [Seleccionar] Expandir

if res.status == 404: # respuesta 404
print "not found"
else:
print "OK!"
# Salvar usuario
valid_users.append(user)

por estas

Código (python) [Seleccionar] Expandir

if res.status in range(200,300): # 2XX OK
print "OK!"
# Salvar usuario
valid_users.append(user)
else:
print "not found"

Cambialas y probalo de vuelta a ver que te dice.

Los GET al ftp? no tendras el ftp escuchando en el puerto 80?

Los GET deberian llegar al http y si encuentra usuarios por http despues intenta por ftp.

Saludos

Bueno, podes bajarte python para windows sino.
Guardas el codigo en un archivo, suponete bf.py, y lo ejecutas asi

Código (bash) [Seleccionar] Expandir

python bf.py localhost users.txt