Tema destacado: Últimos eventos sobre seguridad/inseguridad
 Autor
|
Tema: Aprendiendo a Hackear... utilizando exploit dcom (Leído 9,040 veces)
|
|
Gospel
|
Pos si quieres aprender sobre muchos temas, abre muchos posts  A ver.... lo de cargar librerias al ollydbg y desensamblarlas es, obviamente, para encontrar la dirección de memoria asociada al JMP ESP o la instrucción q haya q buscar en cada caso. Esa dirección es el offset! Tu leete bien el tutorial q esta todo bien explicao al detalle. Salu2 |
|
|
|
|
En línea
|
|
|
|
Sir_Neo
 Desconectado
Mensajes: 203
$ir ||ê0
|
A ver Gospel, no me tomes por tonto (XD). Ya se lo q es un offset, lo q pasa q no doy con el offset, hago lo q dice el tutorial. cojo el fichero en c q carga la libreria esa, lo compilo, lo linko. Luego lo cargo con el ollydbg, le doy a play, luego a lo de module explotable o algo de eso (no ma cuerdo), y luego pincho con el boton dcho y search -> command. Pongo JMP ESP. y no me aparece el offset.
Bueno, a ver si me dices donde fallo. ah, q se me olvidaba, gracias por todo, ya q estoy aprendiendo de una vez por todas. jeje
Un saludo, nos vemos
|
|
|
|
|
En línea
|
|
|
|
|
Gospel
|
Bufffffffffffffffffffffff............... me pierdo...
Comenzamos de 0, ok?
Estas buscando el offset, exactamente, para q exploit?? Pq para algunos exploits, dependiendo de la instrucción q necesitas saber para hallar el offset, utilizas el ollydbg o el findjmp. Para buscar JMP ESP, no se usa el ollydbg, se usa el findjmp, q pa eso es tan cómodo de usar.
Pq necesitas buscar el offset??
Supongo q ya sabrás (no quiero tomarte por tonto, disculpa) q los offsets varían de un Windows a otro, según tres factores de variabilidad:
- Windows XP, 2000, etc (Version de Windows)
- Windows español, ingles, ruso, etc (Idioma de Windows)
- Windows XP SP0, SP1, etc (Versión de Service Pack)
De este modo, si quieres probar el exploit en una victima remota, tienes q ajustar el offset a los requisitos de su sistema.
(Si ya sabías esto, bueno.... te lo comento por si acaso...)
|
|
|
|
|
En línea
|
|
|
|
Sir_Neo
Desconectado
Mensajes: 203
$ir ||ê0
|
ok, ok. Mi objetivo es sacar las offset, para no tener q depender de nadie, ya q la mayoria de los xploits salen universales o para versiiones de SO ingleses. Yo hice segun lei en un post, q es la cita siguiente. En aquel entonces, no sabia toavia lo de buscar la instruccion, y yo lo q hacia era buscarlo a pelo. Pero despues de media hora, me canse y lo deje. Exploit Win 2k/XP (MS03-049) (shell remota) Funciona bien en w2k sp2, la shell la da en el puerto 5555. para distintos sps o para xp cambiar la direccion que esta en: *(unsigned int *)(&szBuffer[2017]) = 0x74F81B4B; En mi win2000 con SP4 el offset es 74F8EE63 Fuente: http://www.cyruxnet.com.ar/news.htmBuscar el offset es muy sencillo (grax Mek ) Teneis que buscar un JMP ESP en la libreria msafd.dll, y en la direccion que este, pues ese es el offset. Mek y yo lo hemos hecho, codeando esto en C: Código: #include <stdio.h> #include <windows.h> int main (){ LoadLibrary ("msafd.dll"); return 0; } Es un simple programa que carga en memoria la libreria msafd.dll. Luego, en el ollydbg, abrimos este programa, lo arrancamos, nos vamos a Executable Modules, seleccionamos la libreria msafd.dll y buscamos la instruccion JMP ESP... Y ya esta, la direccion de memoria que marque, es el offset. Salu2 Vale, ya tengo el findjump. y hago como dices en el tutorial:
c:\findjmp>findjmp msafd.dll esp
Scanning msafd.dll for code useable with the esp register
Finished Scanning msafd.dll for code useable with the esp register
Found 0 usable addresses
Pero no la encuentra. pq ?? q es lo q hago mal?? Supongamos q encontrase el offset y fuese para un win xp sp1 spanish, ese offset me serviria para utilizar los demas exploits si la victima tuviese ese SO?? Bueno: eso por ahora jeje. Tengo muchas mas preguntas, pero poco a poco, no quiero agobiar. |
|
|
|
|
En línea
|
|
|
|
|
Gospel
|
Buffff.... q no sabemos leeeeeeeeeeeeeer!!!  1) Remitiendote al mismo post q dices tu @ http://foro.elhacker.net/index.php/topic,22504.0A ver... he seguido toas las intrucciones pa sacar la direccion de memoria del jmp esp con tu programa q carga el msafd.dll en memoria y no he conseguido encontrar el comando jmp esp por ninguna parte!! Despues, utilizando el findjump, me ha dao la siguiente salida al ejecutar: findjmp msafd.dll esp
Scanning msafd.dll for code useable with the esp register
Finished Scanning msafd.dll for code useable with the esp register
Found 0 usable addresses Bueno, y después de probar con la librería wkssvc.dll para sacar la dirección offset válida en un Windows XP, comprobarás q en este mismo post acabo tirándome de los pelos pq no lograba q me funcionara!! Después de un tiempo encontré lo siguiente, así q juzga por ti mismo: Ahora q estaba releyendo mis intentos de aplicar el exploit q publico Potato al principio de este Tema, sí es cierto q funciona perfectamente sobre Win2000 Fat32 (lo he probado con SP0, SP1 y SP4 ) pero no me rula sobre WinXP. Quizas debiste haber incluido la cabecera del exploit en tu modificación Código: /* Proof of concept for MS03-049. This code was tested on a Win2K SP4 with FAT32 file system, and is supposed to work *only* with that (it will probably crash the the other 2Ks, no clue about XPs). To be compiled with lcc-win32 (*hint* link mpr.lib) ... I will not improve this public version, do not bother to ask. */ Conclusion sobre MS03-049: - Objetivo Win2000: usar exploit MS03-049PoC Para sacar los offsets: jmp esp @ msafd.dll Aviso: Services.exe crash, reinicio en un minuto cuenta atras.... - Objetivo WinXP: usar exploits · de Wirepair @ http://www.securitylab.ru/_exploits/0349.c.txt· de Firestorm @ http://www.security.nnov.ru/files/ntctl-03-49.cPara mas info sobre como sacar los offsets de estos ultimos: http://foro.elhacker.net/index.php/elhackernet/t23014.htmhttp://foro.elhacker.net/index.php/elhackernet/t24495.htm2) La dirección offset la encontrarás buscando cierta instrucción en una librería específica, comentario q generalmente acompaña a la linea de código del exploit donde se hace uso de esta dirección. (Hay q decir q los tipos q codean los exploits son bastante amables por facilitarnos esta información...) Ejemplo: } ttarget[]= {
{ 0, "WinXP Professional [universal] lsass.exe ", 0x01004600 }, // jmp esp addr
{ 1, "Win2k Professional [universal] netrap.dll", 0x7515123c }, // jmp ebx addr
{ 2, "Win2k Advanced Server [SP4] netrap.dll", 0x751c123c }, // jmp ebx addr Esta instrucción no es la misma en todos los exploits, ya q estos explotan diferentes vulnerabilidades con dependencia a distintas librerías de Windows. Por tanto, no esperes q el offset para el JMP ESP en wkssvc.dll te sirva para todos los exploits, sólo te sirve para algunos exploits de MS03-049. Podrás comprobar en http://foro.elhacker.net/index.php/topic,32810.0 q para los diferentes exploits hay q buscar las direcciones offset válidas en distintas librerías y en distintas instrucciones. Como somos mu majos en este foro, en cada caso hemos indicao q herramienta hay q usar en cada caso. (Si es q somos la ostia...  ) De esta forma: "JMP [ESI+4C] @ cryptsvc.dll (w/ w32dasm)" Significa que tienes q desensamblar la libreria cryptsvc.dll con la herramienta w32dasm y buscar la intrucción JMP [ESI+4C] para hallar el offset válido. "JMP ESP @ msafd.dll (w/ findjmp)" Significa que tienes q utilizar la herramienta findjmp sobre la librería msafd.dll y buscar la instrucción JMP ESP para hallar el offset válido. Tas aclarao?? ^_^ Salu2 |
|
|
|
|
En línea
|
|
|
|
Sir_Neo
Desconectado
Mensajes: 203
$ir ||ê0
|
ok, ya ta aclarado.
|
|
|
|
|
En línea
|
|
|
|
juandiex
Desconectado
Mensajes: 46
|
 |
dcom
« Respuesta #21 en: 7 Agosto 2004, 05:59 » |
|
Hola siguiendo el manual de Gospel entre a una maquina con el dcom, luego de un rato de estar en la maquina me boto y al hacer otro scanner decia dcom deshabilitado. Mi pregunta es que paso?
Las dos cosas que se me ocurren son las siguientes
1.) Que hice algo indevido o me demore mucho y me boto y se bloquio el exploit y
2.) Me encontraron? No creo porque no hice nada solo me movi por unas carpetas y hice un net view para ver la red ipconfig para verificar que estaba ahi, y eso fue todo
|
|
|
|
|
En línea
|
|
|
|
Sir_Neo
Desconectado
Mensajes: 203
$ir ||ê0
|
juandiex, juega al hacking, q te vas a meter en problemas.
solo por entrar en el pc, ya tiene delito. Pueden coger tu ip e ir a la Guarda Civil. Te veremos en las noticias, ejeje.
Si das con un hacker, se volvera contra ti, y no se las miles de cosas q te podrá hacer.
|
|
|
|
|
En línea
|
|
|
|
|
Gospel
|
Hmm... sobre el Dcom, creo q no puedes volver a utilizar el exploit dcom hasta el proximo reinicio de la víctima. No se, debe ser q por el hecho de explotar la vulnerabilidad del dcom, el servicio RPC se cae y no se puede volver a explotar una segunda vez (por eso te dice q el dcom está deshabilitado).
Jajajaja, tb puede ser q la víctima se haya pispao de tu intrusión, haya terminado con la conexión y de paso haya deshabilitado manualmente el servicio RPC para evitar q nadie vuelva a entrar...quien sabe...
Salu2
|
|
|
|
|
En línea
|
|
|
|
juandiex
Desconectado
Mensajes: 46
|
Era una maquina dentro de mi trabajo, asi que no creo que me meta en graves problemas y al parecer no se dieron cuenta, porque era una de las maquinas viejas de alguien que no sabe mucho de compus, tampoco era alguien importante.
Pero si tienes razon hay que tener cuidado, la verdad estaba probando el exploit, primera vez que lo usaba, no hice ningun daño jejeje. Si se que no debo ir jugando por las ligas mayores. Aun debo aprender muchas cosas.
|
|
|
|
|
En línea
|
|
|
|
|
 |
