elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
25 Mayo 2012, 21:29  


Tema destacado: Suscripción al boletín mensual de elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit		 0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit  (Leído 2,256 veces)
Man-In-the-Middle
Colaborador
***
Desconectado Desconectado

Mensajes: 3.645



Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #15 en: 14 Septiembre 2004, 07:41 »
Microsoft Windows 2000 [Versión 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\>cd 2

C:\2>pr
------------------------------------------------------------------------
-  Cerulean Studios Trillian 0.74i MSN module Buffer Overflow exploit  -
-                   for Windows 2000 / Windows XP                      -
-                                                                      -
-         created by Komrade  -  http://unsecure.altervista.org        -
------------------------------------------------------------------------

Waiting for a connection...



por que se pega?
En línea
byebye


Desconectado Desconectado

Mensajes: 5.093



Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #16 en: 14 Septiembre 2004, 08:12 »
cuando acepte una conexion te dira una cosa u otra, mientras se queda a la escucha.
En línea
Gospel
Colaborador
***
Desconectado Desconectado

Mensajes: 1.587


Ver Perfil WWW
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #17 en: 14 Septiembre 2004, 08:36 »
Oye... te has fijao en esto??

Citar
This vulnerability is remotely exploitable but require the use of the man-in-the-middle technique.

Exactamente, como estás realizando las pruebas??
En línea
Man-In-the-Middle
Colaborador
***
Desconectado Desconectado

Mensajes: 3.645



Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #18 en: 14 Septiembre 2004, 08:56 »


no se , tiene pinta de trojan, bueno que se hace, thx

Man-In-the-Middle
En línea
Man-In-the-Middle
Colaborador
***
Desconectado Desconectado

Mensajes: 3.645



Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #19 en: 14 Septiembre 2004, 09:05 »
asumo que tienes que confidurar la pc, como para un ettercap si es por  esa tecnica,

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

y en el valor IPEnableRouter ponemos un 1 en vez de un 0.

pero de verdad que no veo la linea,
por otro lado
This exploit spawn a shell on port 5555, you have just to execute the
program and "connect to port 5555".
*/
En línea
Dyno

Desconectado Desconectado

Mensajes: 88


The Hack Art


Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #20 en: 14 Septiembre 2004, 09:35 »
Pues no se, a saber que hace la shellcode Rojodos tenia un testeador de shellcodes por aqui no se muy bien donde.

Otra cosa, intentandolo como pone en la tecnica de hombre en el medio que diferencia habria (en en resultado digo) ya que es todos sabemo pa lo que sirve el man-of-the-middle, no tendria el mismo efecto que ejecutandotelo ati mismo?

Pruebo me intento conectar con el netcat y con el telnet al 5555 como dice el exploit y nada, ni conexion ni ostias.

e estado buscando por ahi:

Parece ser que este exploit es para el TRILLIAN (si eske lo pone itodo)  >:( que es un programa de esos que tiene medio millon de messengers a la vez. Y como yo no lo tengo pues no funciona y punto.

Mas cosas en securityfocus dice esto:

Citar
PRODUCT
Trillian is a chat client currently supporting IRC, AIM, ICQ, MSN Messenger, and Yahoo!
Messenger. (from readme.txt file) //andandará el readme este xD

DETAILS
A buffer overflow vulnerability in basic edition version 0.74i (latest version) occours
in the MSN module when receiving a string of around 4096 bytes ended with
a newline character from an MSN messenger server. This vulnerability is remotely
exploitable but require the use of the man-in-the-middle technique.

EXPLOIT
See attached file trillianbof.c

VENDOR STATUS
I notified this vulnerability to the vendor on 31/08/04 but they haven't reply.

http://unsecure.altervista.org/security/trillian.htm

Regards,
Jérôme ATHIAS

En fin, habra que probarlo con el programita ese puesto pero estoy perro hoy asi que si lo probais antes que yo decid que es lo que pasa.
En línea
Pondremos el mantel tu quedate a mi lado
A comernos al amanecer, lo que quieran las manos
Y de postre un sol maldito que termine de volverme loco. Que ya sabes que la luna a mi siempre me sabe a poco a poco a pocooooo¡¡¡
Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #21 en: 14 Septiembre 2004, 18:15 »
No es tan dificil de entender este exploit, al menos, yo lo entendi a la primera.

La vulnerabilidad se basa en cuando recibe ciertos parametros DESDE UN SERVIDOR MSN. Es decir, cuando los servidores MSN que se encargan de hacer de "puente" entre los usuarios que se comunican, manda ciertos datos (mirar el advisory para mas datos) al CLIENTE, y este peta.

Como lo aplicamos al exploit? Obviamente no tenemos acceso a un servidor MSN para usarlo. Para que este exploit funcione, tenemos que movernos por lo pronto en LAN (aunque se me ocurren formas de adaptarlo a Internet), usando la tecnica Man in the middle. Supongo que no hay que explicar en que consiste la tecnica.

En fin, el rollo esta en que cuando LA VICTIMA trata de conectar con el servidor MSN, pasa a traves del ATACANTE (man in the middle), y es en este ATACANTE donde debe estar escuchando el exploit. La VICTIMA trata de conectar con el servidor MSN, se encuentra con el ATACANTE que esta "en medio" de la conexion, y recibe el ataque desde el ATACANTE.

Vamos, yo lo veo claro (aunque creo que no me explicado bien).

Salu2
En línea
Blog: http://rafaelmbaez.blogspot.com
Twitter: http://twitter.com/rafaelmbaez
Gospel
Colaborador
***
Desconectado Desconectado

Mensajes: 1.587


Ver Perfil WWW
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #22 en: 14 Septiembre 2004, 22:47 »
Hmmm... al final he tenido q pringarme con este exploit (me quería escaquear)  ;D

Bueno, voy a explicarlo a la manera q yo lo entiendo, q espero sea lo mismo q quiere decir Rojodos.

El atacante debe realizar la técnica de hombre en el medio entre el cliente Trillian y el servidor MSN. Situándonos en una red local, esto significaría q el atacante debe situarse entre la víctima y el router, no es asi?? Supongo q a fin de poder llevar esto a cabo, podemos utilizar el Cain (http://foro.elhacker.net/index.php/topic,33575.0.html) para envenenar ambos equipos (victima y router) y hacer q su tráfico circule a través de nuestro equipo. Es entonces cuando ejecutamos el exploit, q se pondrá a la escucha en el equipo atacante, esperando a q el cliente Trillian de la víctima se conecte al servidor de MSN (a internet, esto es, al router). En cuanto el equipo atacante reciba el intento de conexión de la victima, se manda el exploit:

Código:
n=recv(client, mess, sizeof(mess),0);
if (n < 0){
printf("Error receving connections\r\n");
exit(-1);
}

printf("Received a connection request from a client.\r\n");

strcpy(mess, shellcode);

for(i=strlen(shellcode); i < 4090; i++)
mess[i]='x';

mess[i]=0x33; /**/
mess[i+1]=0x12; /*return address of a "call ebx" command in trillian.exe*/
mess[i+2]=0x40; /**/
mess[i+3]='\r';
mess[i+4]='\n';
mess[i+5]='\0';

n = send(client, mess, strlen(mess),0);
if (n > 0){
printf("Exploit sent succesfully.\r\n");
printf("Now connect to port 5555.\r\n");
}

Magia potagia, ya podemos conectarnos al puerto 5555 de la víctima para obtener una shell remota...

Bueno, es lo mismo q ha explicado Rojodos, pero un poco más mascado. Asi de paso, yo tb me he enterado de q iba la cosa. En cuanto tenga tiempo, a ver si hago mis experimentos...

Lastima q la vulnerabilidad sea en el cliente Trillian, os imagináis q fuera en el cliente Messenger... Uff... me da algo solo de pensarlo!!

Salu2
En línea
Man-In-the-Middle
Colaborador
***
Desconectado Desconectado

Mensajes: 3.645



Ver Perfil
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #23 en: 15 Septiembre 2004, 01:04 »
Ecole, tienes toda la razon, pero definitivamnete, tienes que configurar tu pc con los parametros para hacer un Man-In-the-Middle

Cita de: Man-In-the-Middle en 14 Septiembre 2004, 09:05
asumo que tienes que confidurar la pc, como para un ettercap si es por esa tecnica,

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

y en el valor IPEnableRouter ponemos un 1 en vez de un 0.
En línea
Gospel
Colaborador
***
Desconectado Desconectado

Mensajes: 1.587


Ver Perfil WWW
Re: Trillian 0.74i Remote (Modulo MSN) Buffer Overflow exploit
« Respuesta #24 en: 15 Septiembre 2004, 06:31 »
Supongo q el Cain ya te activa automáticamente el IPForwarding cuando envenenas dos equipos y te sitúas como hombre en el medio.
En el texto de Aplicación de envenenamiento ARP + sniffado en HTTPs [autoEDITADO] @ http://foro.elhacker.net/index.php/topic,33575.0.html tenías q activar manualmente el IpForwarding si lo hacías con Linux, no así en el caso de usar Cain con Windows.

Aun asi, es bueno saber q tb se puede hacer a pelo desde Windows...

Salu2
En línea
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines