elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  <-!-> Herramientas: findjmp, offsets, etc.. (Actualizado)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: <-!-> Herramientas: findjmp, offsets, etc.. (Actualizado)  (Leído 41,555 veces)
Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
<-!-> Herramientas: findjmp, offsets, etc.. (Actualizado)
« en: 19 Diciembre 2003, 16:05 »

Actualizado

Bueno, pues aunque las herramientas que se mencionan son buenas, sirven, y bastan.. les dejo una pequeña actualización de herramientas, espero les gusten, han sido hechas por el grupo de investigación y desarrollo eEye.

Buscador de offsets estables de direcciones de retorno en ejecutables inestables.

Explotador de Tags y valores en IExplorer con adaptación en archivos de origen binarios, para buscar overflows en contoles ActiveX y tags nativos del navegador.

Manipulador de paquetes de bajo nivel de red tipo Libnet para sistemas NT.

Retina (c) scanners individuales de multiples vulnerabilidades.


Att.
sirdarckcat

Bueno, la he estado probando y ... ES UNA MARAVILLA!!! :D :D :D

Te encuentra offsets como un CALL ESP o un JMP ESP en la libreria que le metas como argumentos. Fijaos:

Citar
C:\Documents and Settings\Rojodos\Escritorio>Findjmp kernel32.dll esp

Scanning kernel32.dll for code useable with the esp register
0x79467DDC call esp
Finished Scanning kernel32.dll for code useable with the esp register
Found 1 usable addresses

C:\Documents and Settings\Rojodos\Escritorio>Findjmp user32.dll esp

Scanning user32.dll for code useable with the esp register
0x77E42C75 jmp esp
0x77E44A50 jmp esp
Finished Scanning user32.dll for code useable with the esp register
Found 2 usable addresses

Juaz, es realmente increible :)

Espero que os sirva.

LINKS:

Source en C: http://www.i2s-lab.com/Free-Tools/Findjmp.c

EXE: http://ns2.elhacker.net/h/findjmp.rar


findjmp.zip
MD5 (findjmp.exe) = d6b7b87dc329973df8bcd25087258df6
SHA1 (findjmp.exe) = 8fa51ffd877fc655cd2fccb45e544083a1a47f61

Salu2
« Última modificación: 16 Febrero 2010, 06:19 por Anon » En línea

mdada

Desconectado Desconectado

Mensajes: 183


f


Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #1 en: 19 Diciembre 2003, 22:02 »

Corrijanme si estoi mal (y espero no estarlo)
pero ese es un registro de ensamblador, o no?
esp, edi,ebp,eax , ax,cx,bx, ip,cs, etc...
(vicety verá que no se llega a ningun lugar por crear virus? io ahora aprendo asm que ya me fastidié del pascal y Visual Shit ;-))
saludos!
En línea

dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 3.009



Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #2 en: 20 Diciembre 2003, 04:44 »

creo q no habeis entendido la funcion de esto.

A ver es post anteriores se abla de q en los exploits hacen un overflow a unas librerias... y no todas se cargan en el mismo sitio dependiendo del idioma del windows... si el exploit esta preparao pa atacar en la direccion a y en el windows en expañol esta en la c ya no funciona esto lo q ace es buscar q el punto donde ay q atacar es c...
En línea

Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #3 en: 26 Diciembre 2003, 23:32 »

Los offsets se buscan para cambiarlos en el exploit y/o en la shellcode, para que dicho exploit SIRVA en el SO que kieres atacar ;)
En línea

elvizo

Desconectado Desconectado

Mensajes: 109


Takedown


Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #4 en: 8 Enero 2004, 12:06 »

entonces cual es la funcion q realiza un offset? se encarga de indicar cual es el so q corre? esq me he hecho un lio, xq entonces, tu averiguas por ejemplo los offset de windows y coges y los cambias por los q hay en un exploit para linux y te tira el exploit en windows????? espero me aclaren  ???
En línea

dsH-Team
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #5 en: 8 Enero 2004, 12:12 »

imaginate que el exploit sobreescribe esp con la direccion donde se encuentra la shellcode, entonces tienes que buscar en una libreria que use el programa el jmp esp, entonces saltara  a el codigo de tu shellcode. esa direccion no es = en todos los windows, cambia segun versiones sps etc, si usas una direccion cualquiera lo mas normal es que el programa que tiene el fallo pete, pq a saber donde apunta esa direccion.
En línea

elvizo

Desconectado Desconectado

Mensajes: 109


Takedown


Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #6 en: 13 Enero 2004, 09:39 »

la verdad q es una buena idea, ya que yo tampoco entiendo muy bien eso de sacar los offsets y apuntarlos en la direccion de la shellcode
aunque sea un trabajo algo tedioso para los "pro" de este foro q nos puedan demostrar como se hace, creo q seria muy bueno explicarlo bien, y si sale una buena expliacion pos a partir de ella se crea un texto para q futuros wannabies q kieran aprender acerca de este temna tan solo tengan q leer el texto y no volv
er a preguntar...
En línea

dsH-Team
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re:PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #7 en: 13 Enero 2004, 11:45 »

en este tema esta explicado como buscar las direcciones. http://foro.elhacker.net/index.php?board=32;action=display;threadid=22504
En línea

Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Re: PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #8 en: 4 Agosto 2004, 20:59 »

Bueno, como estuve buscando el programita (Findjmp) por aqui, y sabiendo que es muy util, pues le pongo chinchetazo....

Salu2
En línea

Kintaro

Desconectado Desconectado

Mensajes: 74



Ver Perfil
offset de rpc2 con shel
« Respuesta #9 en: 21 Agosto 2004, 13:35 »

estoy probando el exploit rpc2 con shellcode de shell, para buscar el offset he visto que pone algo asi:
    "\xeb\x1e\x01\x00"//     FOR CN SP3/SP4+-MS03-26
    "\x4C\x14\xec\x77"//    TOP SEH FOR cn w2k+SP4,must modify to SEH of your target's os

el seh es el setupexceptonhandler , no?
y la primera linea que es? busque con el olly la direccion de una llamada a seh y cambie pero seguia sin funcionar, la verdad es q no se a que se refieren esas lineas, otras veces lo explica mejor, por favor aver si podeis echarme una mano y echamos a andar el rpc2 cn shell, salu2 thxthx
En línea

¡Benkyo, benkyo, benkyo!
Gospel
Colaborador
***
Desconectado Desconectado

Mensajes: 1.586


Ver Perfil WWW
Re: PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #10 en: 22 Agosto 2004, 08:28 »

A ver... no se pq abres este post aquí, ya q no mencionas nada del Findjmp... pa la prox, abre un nuevo tema.

Tb podías haber dicho q estás hablando del exploit RPC2 @ http://www.k-otik.com/exploits/10.09.rpc2universal.c.php, q me ha costao encontrarlo...

La mitad del código fuente está comentado, en plan chapuza... asi q yo no me fío nada de este código! No da mucha confianza y paso de tirarme horas buscando offsets pa na. Tío, sé q es una putada pq MS03-039 es una buena vulnerabilidad y no se han publicao exploits q funcionen con éxito, pero creo q es mejor pasar de este exploit RPC2 (o conoces de buena fe q a alguien le ha funcionao??)

De todas formas, el SEH pointier creo q hacía referencia al kernel32.dll, y sí, se desensambla con el olly. La primera linea ni idea...

Bueno, si quieres echar a andar un exploit a ver q te parece mi idea: Ahora casi todo el mundo q tiene Win XP tiene puesto el SP1 así q pq no echamos a andar el MS03-043 de Adik??. Llevo mucho tiempo queriendo probarlo con éxito, pero definitivamente no funciona contra SP0 y no he podido probarlo contra SP1. Contra SP1 tiene q funcionar fijo, pq he visto por internet análisis sobre este exploit, vease:

Exploiting Heap Overflow in Microsoft Messenger Service with msgr07.exe by Patti Lawrence
www.giac.org/practical/GCIH/Patti_Lawrence_GCIH.pdf

An Analysis of the Windows Messenger Service Buffer Overflow Vulnerability by Peter Hewitt
www.giac.org/practical/GCIH/Peter_Hewitt_GCIH.pdf

Pos eso, si quieres seguir trabajando con RPC2, como tu quieras, pero creo q estaría bien intentar sacar el exploit de Adik, q es bastante más fiable q el RPC2. Si tienes oportunidad de trabajar con este exploit sobre Win XP SP1, yo te ayudo en lo q pueda...

Ciao

Salu2

 
« Última modificación: 22 Agosto 2004, 09:59 por Gospel » En línea

Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Programita para conocer los offsets de las API de Windows. :)
« Respuesta #11 en: 2 Febrero 2005, 20:52 »

Bueno, con este programita, puedes conocer el offset de por ejemplo System() en la msvcrt.dll o de WinExec(), o de lo que necesites (nunca se sabe  ;D)

Al compilarlo y ejecutarlo, te dara la direccion en la memoria de la funcion que le especifiques por parametro dentro de la DLL que le especifiques por parametro :)

Código:
#include <stdio.h>
#include <windows.h>
typedef VOID (*MYPROC)(LPTSTR);

int main (int argc, char **argv) {
    char dll[100];
    char funcion[100];
   
    HINSTANCE libreria;   
    MYPROC procadd;

    printf ("Busca offsets xDD. Introduce como primer argumento el nombre de la DLL,\n");
    printf ("y como segundo argumento la funcion dentro de esa DLL\n");
    printf ("Por ejemplo %s msvcrt.dll system\n\n", argv[0]);
   
    if (argc != 3){
        printf ("Introduce 2 argumentos como se explica mas arriba!!!\n");
        return 1;
        }
       
    memset(dll,0,sizeof(dll));
    memset(funcion,0,sizeof(funcion));
   
    memcpy (dll, argv[1], strlen(argv[1]));
    memcpy (funcion, argv[2], strlen(argv[2]));
   
    libreria = LoadLibrary(dll);
    procadd = (MYPROC)GetProcAddress (libreria,funcion);
   
    printf ("Offset de %s en la DLL %s es %x", funcion, dll, procadd);
   
    return 0;
   
    }

En este caso, si probais el ejemplo, sale:

Citar
F:\Rojodos>system_offset msvcrt.dll system
Busca offsets xDD. Introduce como primer argumento el nombre de la DLL,
y como segundo argumento la funcion dentro de esa DLL
Por ejemplo system_offset msvcrt.dll system

Offset de system en la DLL msvcrt.dll es 77bf8044

Asi se pueden calcular rapidamente offsets, si tener que trastear con el Olly.

Entre esto (para calcular los offsets de las APIs) y el findjmp (para buscar jmp esp, o jmp ebp, etc...) se pueden codear exploits rapidamente para cualquier sistema Windows :) Sin necesidad de trastear con el olly.

Salu2
En línea

Crack_X
Anti-War
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.320


Peace & Love


Ver Perfil WWW
Re: PEDAZO DE HERRAMIENTA! BUSCA OFFSETS EN DLLS! FINDJMP.EXE!
« Respuesta #12 en: 21 Febrero 2005, 01:38 »

Se publico un findjmp2 hoy en bugtraq . El primer findjmp fue hecho por Eeye para encontrar jmp/call/push en una dll cargada.
Esta 2da version fue hecha por Hat-squad.com , incluye pop/ret scanner y logea lo que encuentra con findjmp en findjmp.txt.
En línea

Shit loads of money spend to show us wrong from right. Say no to war


Yasser Has Things To Say
WarZone
Slasher-K


Desconectado Desconectado

Mensajes: 1.476


Ver Perfil
Re: Programita para conocer los offsets de las API de Windows. :)
« Respuesta #13 en: 19 Marzo 2005, 15:46 »

Quería poner este mismo código en VB, por si a alguno le interese, ya que no todos saben programar en C. Además es interesante poder comparar los codes en distintos lenguajes ;D

Código:
Sub Main()
        Dim sLib$, sFunc$
        Dim sCmdLine$
        Dim hLib&
        Dim lProcAddr&
        Dim sMsg$

  'Obtiene la linea de comandos.
  '
  sCmdLine = Command$
 
  If sCmdLine Like vbNullString Then
    sMsg = "Debes ingresar la librería y el nombre de la función:" & vbCrLf & vbCrLf & _
           "USO: FndOffset librería función"

    Call MsgBox(sMsg)
    Exit Sub
  End If
 
  'Obtiene los argumentos desde la linea de comandos.
  '
  sLib = RTrim$(Left$(sCmdLine, InStr(1, sCmdLine, " ")))
  sFunc = Trim$(Mid$(sCmdLine, InStr(1, sCmdLine, " ")))
 
  'Carga la librería en memoria y devuelve
  'la dirección en donde se cargó.
  '
  hLib = LoadLibrary(sLib)
 
  If hLib Then
    'Obtiene el offset relativo (RVA) de la función
    '
    lProcAddr = GetProcAddress(hLib, sFunc)
   
    If lProcAddr Then
      sMsg = "El offset de '" & sFunc & "' en '" & sLib & "' es 0x" & _
            Hex$(lProcAddr) & " (" & lProcAddr & ")"

      Call Clipboard.SetText(sMsg, vbCFText)  'Copia los datos al portapapeles.
      Call MsgBox(sMsg, vbExclamation)
      Call MsgBox("Los datos se copiaron al portapapeles.", vbInformation)
     
    Else
      Call MsgBox("No se encontró la función u ordinal '" & sFunc & "' en '" & sLib & "'", vbCritical)
    End If
   
    'Descarga la librearía de memoria.
    '
    Call FreeLibrary(hLib)
  Else
    Call MsgBox("No se pudo cargar la librería '" & sLib & "'", vbCritical)
  End If
End Sub
« Última modificación: 25 Marzo 2005, 16:18 por Slasher Keeper » En línea



A la reina de las profundidades que cuida los pasos de una sombra en la noche :*
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[BATCH] Recopilatorio de herramientas CommandLine. (Actualizado el 30/03/2012) « 1 2 3 »
Scripting
pitoloko 33 35,491 Último mensaje 20 Julio 2012, 01:37
por Eleкtro
findjmp me salta a ESP pero no a la dirección a la que apunta!!
Bugs y Exploits
black_flowers 3 1,529 Último mensaje 7 Abril 2011, 17:24
por black_flowers
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines