Autor
|
Tema: <-!-> Taller de Stack Overflows en Windows, por Rojodos (Leído 75,953 veces)
|
Rojodos
|
El texto es una introduccion al codeo de exploits sencillos, codeo de shellcodes sencillas, y explicar paso a paso el porque de un stack overflow, todo en Windows. Concretamente, los ejemplos fueron testeados en un Windows XP SP1. Creo que no contiene errores graves, pero si los contiene, o cualquier otra cosa, no dudeis en decirmelo El texto ha sido redactado por mi, con faltas o sin ellas, con explicaciones enrevesadas, con errores en definiciones, en fin, no sera el mejor texto redactado que hay sobre el tema, ni el unico pero me ha gustado redactarlo, y con que ayude a una sola persona, y me de las gracias por email, privado o en el foro, me vale Sinceramente, me ha costado hacerlo (sobre todo tiempo), solo espero que os guste y lo aprovecheis para profundizar mas en el tema. Mi texto es solo la punta del iceberg Esta como archivo adjunto, para descargarlo, hay que estar registrado (cosas del admin) O sino, usar este mirror: http://www.telefonica.net/web/espaiwebfacultat/Exploits%20y%20Stack%20Overflows%20en%20Windows.zip Es un texto en formato TXT, a 17 columnas, no creo que haya ningun problema en verlo en cualquier visualizador en cualquier sistema. Puede que en el futuro, se saque en PDF, pero creo que esta mucho mejor en TXT, formato ezine Salu2, espero vuestros comentarios
|
|
« Última modificación: 12 Agosto 2008, 16:19 pm por sirdarckcat »
|
En línea
|
|
|
|
fandango
Another
Colaborador
Desconectado
Mensajes: 1.905
Powered By Slackware!
|
Muy bueno el texto rojodos!
|
|
|
En línea
|
|
|
|
zhyzura
|
pues mira que te la has curao con este texto . en lo personal me gusto bastante, quizas como tu lo dices sea una breve explicacion sobre el shellcoding pero te sirve bastante para cuando te quieres iniciar en esta rama del hacking. enhorabuena Rojodos por tu texto, sigue asi zaludox
|
|
|
En línea
|
|
|
|
krispin
|
tremendo rojodos!!!mu bueno. solo una duda de principiante: cuando creas la shellcode, porque pones: sub esp,04h dices que para introducir cmd.exe pero este es de 8?¿?¿?¿ se que es una tonteria, pero bueno... txao
|
|
|
En línea
|
|
|
|
Rojodos
|
Bueno, gracias a un oportuno aviso, ha sido subsanado un error en la shellcode Sabia yo que tenia un error En fin, solo decir que he cambiado el texto, para descargarselo de nuevo... es lo que tiene escribir un texto tan largo, no puedes esperar a que te salga perfecto la primera vez. Salu2
|
|
|
En línea
|
|
|
|
Rojodos
|
Antes del sub esp,04h, solo teniamos espacio para 4bytes.
"cmd.exe0" --> 8 caracteres, 8 bytes
El "0" de fin de cadena tambien cuenta, y es muy importante, sino system no sabe donde acaba el comando.
Por eso necesitabamos 4bytes mas.
Se puede hacer la shellcode que haga solo System("cmd0"), con lo que la shellcode seria mucho mas corta, no habria que sustraer nada a ESP (solo ocupa 3bytes+1byte del 0), y solo habria que introducir 3 letras (esa es la que he usado en el exploit de Acrobat Reader) pero me parecio mucho mas didactico ponerlo completo, y asi ver el porque del sub esp,04h.
Salu2
|
|
|
En línea
|
|
|
|
whaky
Desconectado
Mensajes: 150
Angel del Infierno
|
se ve muy bueno, lo leere con calma. muxas gracias rojodos
|
|
|
En línea
|
Los muertos hablan y las paredes oyen por si acaso nunca reveles tu identidad.
|
|
|
|
|
PK2
Desconectado
Mensajes: 9
|
El texto está muy bueno Rojodos, ya había leído varios artículos sobre el tema y este me pareció el mejor y más claro. Solamente tengo algunas dudas.
¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ Primero unas aclaraciones (por las dudas): estoy compilando con visual C ++ 6.0 y los (todos) offset (por ejemplo el que encontrás con Findjmp.exe - 0x77F8980F-) son iguales a los de mi máquina.
???????????????? Aclarado esto paso a las consultas:
1ro: “Si le metemos al programa esto (a través del Olly, Arguments) AAABBBBCCCCDDDD...
Veremos que peta exactamente en 54545454, es decir, en TTTT. Ya sabemos dentro del buffer, donde debe ir la dirección de la shellcode que "cojera" EIP y ejecutara nuestra shellcode.”
Esto dice tu manual, a mí me aparece 52525252 en lugar de 54545454 (RRRR) no se porque difiere, pero me parece más lógico ya que el array que declaraste en el programa vulnerable (char buffer[64]; //Declaramos un array con 64 bytes de espacio) es de 64 bytes, y al estar usando 4 caracteres por letra (AAAABBBB….) me parece que efectivamente debería saltar en RRRR por que 64 dividido en 4 = 16 y la letra 16 es “Q” por lo tanto la que sigue sería la que lo haría revalsar (R). ???
2do. En tu manual:
“0040B4EC |. 55 PUSH EBP <---- Aquí empieza nuestra shellcode 0040B4ED |. 8BEC MOV EBP,ESP 0040B4EF |. 33FF XOR EDI,EDI 0040B4F1 |. 57 PUSH EDI 0040B4F2 |. 83EC 04 SUB ESP,4 0040B4F5 |. C645 F8 63 MOV BYTE PTR SS:[EBP-8],63 0040B4F9 |. C645 F9 6D MOV BYTE PTR SS:[EBP-7],6D 0040B4FD |. C645 FA 64 MOV BYTE PTR SS:[EBP-6],64 0040B501 |. C645 FB 2E MOV BYTE PTR SS:[EBP-5],2E 0040B505 |. C645 FC 65 MOV BYTE PTR SS:[EBP-4],65 0040B509 |. C645 FD 78 MOV BYTE PTR SS:[EBP-3],78 0040B50D |. C645 FE 65 MOV BYTE PTR SS:[EBP-2],65 0040B511 |. 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 0040B514 |. 50 PUSH EAX 0040B515 |. BB 4480BF77 MOV EBX,77BF8044 0040B51A |. FFD3 CALL EBX <--- Aqui acaba nuestra shellcode”
A mi esto me que da igual solo que el opcode que vos escribís es “55 8B EC 33 FF 57 C6 45 FC 63 C6 45 FD 6D C6 45 FE 64 8D 45 FC 50 BB 4480BF77 FF D3” y el que yo interpreto es “55 8B EC 33 FF 57 83 EC 08 C6 45 F8 63 C6 45 F9 6D C6 45 FA 64 C6 45 FB 2E C6 45 FC 65 C6 45 FD 78 C6 45 FE 65 8D 45 F8 50 BB 44 80 BF 77 FF D3” no se si entendí mal que se obtiene el opcode o que es lo que pasa?
3ro. No entiendo por que hace falta que busquemos un JMP ESP para hacerlo saltar a 55555555 y no directamente desde 54545454 lo hacemos saltar a nuestro opcode.
Calculo que por algo de lo anterior es que no funciona mi exploit, cuando lo ejecuto me sale LO QUE ESCRIBISTE "Cadena más offset...." abajo la cadena "AAAABBBB...." hasta la letra Q que es lo que yo puse y com 30 caracteres muy extraños más, seguramente basura de la memoria (creo).
Ya probé todas las modificaciones que se me ocurrieron.
Gracias, y lo repito, muy buen manual.
|
|
|
En línea
|
|
|
|
|
|