книги хакеры / журнал хакер / 101_Optimized

Номерки

мыл,чтобыпотомихпробитьпобазеprimary-mail 6digуинов?Принявшисьзадело,сначалаяизменилпервуюфункциютак,чтобыскриптпоказывал мнелогинеаськи,аmsn-аккаунтов:

preg_match_all('/ msn_account=(.*)&msn_ pwd=(.*)(&|HTTP)/ i',$buffer,$matches3); $matches[0]=array_ unique($matches[0]); !empty($matches[0][0]) ? print $matches[0][0]."\n" : '';

А в парсере я подправил следующее:

$s=preg_replace("/msn_ account=(.*)&msn_pwd=(.*)( |HTTP)/i","$1;$2",$s);

В итоге получился красивый списочек мыл, из которых на тысячу 5-8 стабильно были primary к какому-нибудь шестизнаку. Привожу тут небольшой списочек (теперь пускай меня прощают владельцы этих мыл :)).

Jadallaf@hotmail.Com;farouk1975

cutemalik9@hotmail.com;456321

Devil.Matrix@hotmail.Com;

2081988 Crno_slatko_pile@hotmail.com; 901901 M3assal_teffehten@hotmail.сom; charbel

Про то, как я писал скрипты, которые сравнивают базы примаков и мои логи, рассказывать не буду, так как это отдельная и очень печальная история :).

Эпилог

Отыскав эту багу, я получил очень и очень много элитных уинов: шох, зеркал, xy и т.д. На одном из них (xxyxxx) сижу до сих пор :). А чтобы ты, дорогой читатель, возрадовался, открою тебе небольшой секрет. Сервис tjat.com очень любят асечные админы, я уводил такие их номерки, как:

леониД «CR@WleR» исупов

/ crawlerhack@rambler.ru /

INTrO

Сейчас мы займемся программой FreshUI (это неплохой твикер для ОС Windows). Вообщето, программа для домашнего пользователя бесплатна, но после 11 дней ее использования начинает болеть голова от появления окошка с напоминанием о том, что мы должны заказать ключ у разработчика (окошко, кстати, с каждым

днем держится на экране все дольше и дольше). Может, кто-то и хочет засветить свой почтовый ящик и занести его в спам-лист, но только не мы. Мы пойдем другим путем.

распаковка

В работе мы воспользуемся замечательным отладчиком OllyDbg — для исследования нашей программы он подойдет лучше, чем монструозный SoftIce от Numega. Итак, устанавливай отладчик, если его все еще у тебя нет, и выбирай

пунктменю«FileOpen».Впоявившемсяокне укажипутькфайлунашейпрограммы(freshui.exe). Отладчик тут же сообщит тебе о том, что программа, возможно, содержит самомодифицирующийся код или упакованное тело. После нажатия «Ok» OllyDbg спросит, надо ли анализировать код. Эта медвежья услуга нам не понадобится, ведь файл, скорее всего, запакован, и никаких понятных листингов мы не получим, так что смело отвечай: «No». Вот что мы видим, глядя на начало дизассемблированного кода:

регистров в стек

Опытный крякер, глядя на эти инструкции, обрадуется :), так как почти все упаковщики сохраняют регистры перед переходом на цикл

распаковки и это их выдает, что называется, с потрохами. А это значит, нам нужно, следуя логике, найти команду восстановления всех

регистров из стека (POPAD). Само собой, эта команда выполняется после распаковки. При этом нужно также учесть, что после этой инструкции должен следовать безусловный переход вида JMP N, где N — адрес оригинальной точки входа программы (Original Entry Point, или OEP). Я хочу сказать, что после распаковки кода программы и восстановления регистров происходит прыжок на начало кода, который приобрел работоспособность, где мы и должны прерваться (о том, зачем это нужно, речь пойдет ниже).

Наша цель — найти соседствующие команды POPAD и JMP N и поставить точку останова на

POPAD. Поиск в OllyDbg (<Ctrl+F>) команды

POPAD проходит успешно, но вот незадача: она нигде не соседствует с JMP N. Для того чтобы

убедиться в том, что мы все делаем верно, воспользуемся утилитой PEid — хорошей помощницей в определении типа пакера (протектора/ компилятора)(http://peid.has.it), которую можно скачать на любом крякерском сайте. Запускай утилиту и скармливай ей freshui.exe. Она моментально выдаст нам результат: «ASPack 2.12 Alexey Solodovnikov». Значит, мы с тобой сильно ошибались, ведь AsPack действует немного иначе, чем совсем уж тривиальные пакеры. Он использует для перехода на OEP не JMP N, а конструкцию вида:

POPAD; восстановление регистров

JNZ adress MOV EAX,1 RETN 0C

PUSH 0; OEP кладется в стек RETN ; переход на OEP

Нас интересуют только первая и две последние инструкции. Комментарии дают ясное представление о работе этого куска кода. Стоит только упомянуть, что команда PUSH 0, после того как мы прервемся на ret, положит в стек совсем не 0, а значение OEP. Итак, ищем POPAD с хвостом в виде вышеуказанного кода. Такой набор располагается по адресу 005653AF:

005653AF POPAD 005653B0 JNZ SHORT freshui.005653BA 005653B2 MOV EAX,1 005653B7 RETN 0C 005653BA PUSH 0 005653BF RETN

OEPнайдена!

По адресу 005653BF ставь точку останова, для этого выдели строку и нажми <F2>. Все готово, запускай программу на исполнение (<F9>).

Выполнение ее тут же и прервется, причем на вершине стека будет лежать адрес OEP, равный 00507340 (заметил, как изменилась команда PUSH 0?), его мы запишем. Теперь переходим на начало кода программы, сделав один шаг (<F8>). Мы попадем в место, очень похожее

на кучу хлама в виде данных, неправильно интерпретированных в качестве инструкций, но это далеко не так. На самом деле, этот «массив»

— ни что иное, как начальный код, стартующий с OEP! Если не веришь, нажми <CTRL+A>. После анализа ты увидишь характерное начало программы.

НавремясверниOllyDbg.Теперь,какиобещал, яскажу,зачеммыостановилипрограммунаOEP. Длятогочтобыполучитьболееилименееработоспособнуюпрограммусоснятымупаковщиком, нужносделатьдамп,онжемоментальныйснимок областипамяти,гдеразмещенанашапрограмма, причемнекогда-нибудь,аименносразупосле распаковки,когдапрограммапрерветсянаOEP. ДляэтойцелиподойдетинструментLordPEза авторствомYoda(респект!).Запускайэтуутилиту, выбирайвокнепроцессовнашупрограмму, висящуюподотладчиком,и,нажавпонейправой кнопкоймыши,выбирайвменю«Dumpfull».Сохранифайлподименемdump.exe.Полученный дампбудетнеработоспособен,таккактаблица импортаневосстановлена.Привестиdump.exe вчувствопоможетутилитаImportReconstructor. Запустиее.ВыберивспискеAttachtoanactive Processпроцессfreshui.exeивведиOEPв

соответствующееполепрограммы.ПричемOEPв этомслучаебудетравняться00507340 ImageBase =00507340-00400000=00107340(ImageBase—это адрес,скотороговпамятиидеткодпрограммы, егонамуказалотладчик).Теперьжминакнопку «GetImport».Приэтомнеобращайвнимания

наиздержки—мусорввиденераспознанных функций,которыйбудетотображенсредиверно отысканныхданныхввидедвухпоследних ветвей:»?FThunk:0010F8E0NbFunc:3valid:no» и»?FThunk:0010F8F0NbFunc:3valid:no».Ты можешьубедитьсявненужностиэтих«элементовтаблицыимпорта»,еслиперейдешьпо смещениям0050F8E0и0050F8F0ивзглянешьна содержимоепамяти.ПервыйфантомныйFthunk

—строка«kernel32.dll»,тоестьимябиблиотеки, импортфункцийизкоторойраспознан,авторой «непрошеныйгость»—частьименифункции, котораяразмещенавImportTableпервой

(DeleteCriticalSection).Мусорнужноотрезать,

Полезный крякерскийресурс

Все инструменты, упомянутые в статье, можно найти на лучшем крякерском ресурсе www.cracklab.ru.Помимоэтого,сайтрасполагает внушительнойколлекциейстатейпокрякингуи наборомразличныхполезныхссылок.Конечно же,нельзянеупомянутьофоруме.Онявляется главнойдостопримечательностьюресурса,исле- дуетпризнать,чтовсеимеющеесянасайте—это лишьприятноедополнениекнаиполезнейшему форуму,гдеможноповстречатьнезаурядноталантливыхлюдей,относящихсякэлитекрякинга.

Срединих—[HEX],MozgC,dragon(c)идругие.Я

выражаюимпочтение.Спасибо,Bad_guy!

DVD

НанашемDVDты найдешьвсепрограммы,упомянутые вэтойстатье.

!

Этастатья—плод воображенияавтора. Всесовпаденияс реальнымвзломом

—случайность:). Помни:занарушениетобойзаконани автор,ниредакция ответственностине несут!

/ 092

Никакихнагов!

выделивегоцеликомивыбраввменюправойкнопкимыши «DeleteThunks».Таблицаимпортавоссоздана,осталосьисправитьфайлдампа.Дляэтогонажминакнопку«FixDump»и укажипрограммефайлdump.exe.Вдиректорииспрограммой будетсозданфайлdump_.exe,которыйиследуетзапустить.

Онработает,аэтозначит,чтомыраспаковалиисполняемый файл.Теперьнужнолишьнабратьсятерпенияи,отыскав сообщениеонеобходимостиполучениярегистрационного ключа,удалитьего.

Взлом

Переходим к основной части нашего тривиального взлома. Загрузи dump_.exe под OllyDbg. Теперь в коде можно легко отыскивать нужные места и патчить их как заблагорассудится, ведь AsPack уже снят. Поговорим о выдаваемом сообщении. Запуская наш твикер, мы видим, что кнопка «OK» на диалоговом окне-наге недоступна для нажатия до тех пор, пока не пройдет определенное количество времени. Это означает, что здесь не обошлось без таймера. Последний обычно устанавливается функцией SetTimer. Попробуем установить на нее точку останова. Жми <Alt+F1>

(если у тебя стоит плагин CommandBar) и вводи команду bpx SetTimer. Запускай программу на исполнение (<F9>). Мы тут же прервемся по адресу 0043557f, где и находится нужная нам функция. Теперь необходимо проанализировать, что же происходит после того, как «время пошло». После установки таймера программа выдает окошко (ShowWindow), поэтому нужно немного протрассировать программу (<F8>) — до места, где эта процедура вызывается (это происходит по адресу 0048221E). По логике, проверка того, не закончилось ли время, отведенное таймером, является циклом. Поэтому трассируем и дальше, пока не наткнемся на цикл по адресу 00482838 (на то, что это то, что мы искали, указывает и функция SendMessage, расположенная чуть выше). Я расскажу,

ВосстановлениеимпортавImpRec

как деактивировать его. Переходом на начало цикла управляет инструкция:

0048287E JE SHORT dump_.00482838

Нам нужно всего лишь удалить этот переход! Для этого выдели его, нажми пробел и введи в появившемся окне «nop» (это инструкция «холостого хода», она ничего не выполняет), установи флажок «Fill with NOP’s» и дави «OK». Теперь нажимай <F9>. Все получилось! Осталось лишь сохранить сделанные изменения: выдели nop’ы, которыми мы заменили переход, располагавшийся по адресу 0048287E, нажми на правую кнопку мыши и выбери «Copy to executable Selection». Далее в появившемся окне в меню выбери «Save File» и сохрани файл под любым именем (к примеру, dump_2.exe).Запускайэтотфайлинаслаждайсярезультатом!z

xàêåð 05 /101/ 07

Леонид «R0id» Стройков

/ r0id@bk.ru /

Программа:AntichatSQL-tools ОС:Windows/*nix

Автор:Elekt

SQL-tools в действии =)

Читая изо дня в день багтрак, я то и дело наталкиваюсь на sql-инъекции в различных вебприложениях. И это понятно, ведь чем больше движков пишут, тем больше их и ломают =). В своих статьях я не раз затрагивал тему проведения инъекций самых разных уровней сложности. Но основная проблема как была, так и остается: автоматизация процесса взлома. Если ты сталкивался с геморройными ситуациями, когда не получается подобрать количество полей или не удается определить имена таблиц, то ты меня поймешь. Зачастую меня не прикалывает вручную составлять нужный запрос к базе, тратя на это несколько часов в надежде выудить заветные данные. Таким образом, идея написания функционального sql-брутера не нова. Мне попадалось несколько вариантов реализации подобного рода софтин, но все они, так или иначе, имели существенные недостатки. Но не так давно один из моих знакомых поделился

со мной тулзой Antichat SQL-tools, предназначенной для посимвольного брута данных. Надо сказать, что эта утила покорила меня за считанные минуты. Во-первых, она написана на перле, во-вторых, имеет GUI-интерфейс, в-третьих, работает как под виндой, так и под никсами, а в-четвертых, отлично справляется со своими задачами. О последнем пункте поговорим более

подробно. После запуска скрипта твоему взору предстанет несколько полей:

Pathtosite— путь к сайту с уязвимым скриптом. Positive Answer — подзапрос к БД. Напри­ мер, «version()» или «(select user from mysql.user)».

Substring — строка, присутствующая в ответе, если выполняется условие 1=1, и отсутствующая, когда 1=2; при указании «AUTO» будет определена самостоятельно.

Charset — наборы символов ascii: 0 — все, 1 — md5, 2 — цифры, 3 — буквы английского алфавита, 4 — буквы русского алфавита.

Length — автоопределение длины строки. Удобно при бруте строк рандомных длин. 0 — выход при первой ошибке;

1 — задаем нужную длину строки через n и N; 2 — включаем автоопределение длины строки; все ненайденные ascii обозначатся «*».

Min Length — (только для L=1) позиция первого символа в строке, с которого начнем брут. Max Length — (только для L=1) позиция последнего символа в строке, на котором закончим брут.

Space — вид пробела: «%20», «+», «%2B», «/**/», «%09», «%0D», «$IFS».

Comment — вид комментариев: «/*», «--», «#» (в зависимости от БД, установленной на атакуемом сервере).

Кроме того, есть выбор между GET- и POST-запросами и возможность установки тайм-аута между обращениями к базе. Еще одна интересная фича — случайный выбор юзер-агента из файла useragent.txt. А в файлик proxy.txt не забудь положить свежий прокси-лист :). Лог о проделанной работе тулза сохраняет в файл log_ocb.txt, так что случайная потеря данных не страшна. Одним словом, must have, причем в обязательном порядке =).

Программа:ботдляchat.mail.ru ОС:Windows/*nix

Автор:BIT-TEAM(www.bit-team.com)

Запускаем бота для chat.mail.ru

Как известно, чат — прежде всего отличное пространство для всевозможных приколов

иобщения. Но просто разводить девчонок со временем становится скучно, и в голову начинают лезть самые разнообразные идеи. Помнится, в одно время были очень популярны чат-боты, над которыми не стебались только самые ленивые. Однако большинство ботов было достаточно примитивным и имело мало возможностей. Но сегодня мы частично исправим ситуацию =). Нет, не подумай, я не буду заставлять тебя кодить своего бота :). За тебя это уже сделали ребята из BIT-TEAM, которые создали вполне функциональное существо для чата на mail.ru. Бот написан на php, поэтому в архиве ты найдешь несколько php-скриптов, индексовую страничку, мануал

ичуток словариков. Запуск продукта осуществляется из index.html после того, как ты зальешь содержимое архива на сервер. Для корректной работы бота в файле bot_index2.php необходимо прописать доверенные emailадреса, с которых будет возможно управление ботом. Там же нужно указать мыльник, под которым будет логиниться сам ботинок. Сразу отмечу, что бот обладает множеством команд, поэтому я опишу только наиболее важные/интересные. Итак, поехали: