Foro de elhacker.net

Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: Sagrini en 24 Febrero 2012, 23:37 pm


Título: > [Linux] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: Sagrini en 24 Febrero 2012, 23:37 pm
¡Buenas! Llevo mucho tiempo off, y para engancharme un poquito he escrito un documento sobre explotación de vulnerabilidades de buffer overflows sobrescribiendo la dirección de retorno de una función mal programada ;) Os lo dejo, a ver qué os parece.
El .zip incluye los 3 códigos (code.c objetivo, exploit.c y getenvaddr.c), los tres ejecutables (limpisimos, por supuesto jajaja) y el doc. Nivel bajo-medio, no muy bien explicado pero... xD Que os aproveche.

> [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
---------------------------------
1. Introducción
2. Preparando el buffer overflow
3. ¿Dónde alojar nuesta shellcode?
4. Creando el exploit
5. Final
---------------------------------
http://www.mediafire.com/?utg52ymex66de10

Escribidme cualquier duda por PM o a mi email (sagrini@elhacker.net).
Un saludo. Sagrini

PS: Por cierto, se me ha pasado completamente. Para seguir el tutorial, hay que desactivar protecciones (ya aprenderemos a saltárnoslas más adelante jajaja). Ya hay varios artículos sobre cómo saltarse estas protecciones que aquí desactivamos. Ya escribiré algo xD.
Código:
# echo 0 > /proc/sys/kernel/randomize_va_space
------
$ gcc -o code code.c --no-stack-protector

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: jackgris en 25 Febrero 2012, 01:12 am
A leer , tiene pinta, gracias sagrini

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: farresito en 25 Febrero 2012, 01:28 am
Estoy leyendo y la verdad, si bien conocía la vulnerabilidad, nunca le había prestado suficiente atención.

Muchísimas gracias Sagrini.

Un abrazo!

PD: Por que te fuiste del foro?

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: Sagrini en 27 Febrero 2012, 11:01 am
Jajaja muchísimas de nada xD Estoy intentando hacer algo con ASLR, pero me va a llevar más tiempo ;)
PS: Modifico archivo, le he cambiado los nombres a los usuarios de los bash's (sagrini@sagrini $)

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: m0rf en 27 Febrero 2012, 16:50 pm
Para los que les de palo leer:
r0eTY6G_ef0

Esta bien el aporte, lastima que ya se haya tocado mucho el tema.

Saludos.

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: Sagrini en 27 Febrero 2012, 17:15 pm
Pues sí que hay información, pero sobre los buffer overflows, no sobre lo que yo he escrito. ¿Has visto el vídeo de Anon? Mejor, ¿has leído algo? No son lo mismo xD. Vamos, he visto los vídeos de Anon y van sobre buffer overflows, mientras que yo he escrito un texto sobre exploiting de buffer overflows de 3 formas diferentes. Hay una pequeña gran diferencia jajaja. El vídeo no habla de lo mismo que de lo del texto :P

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: m0rf en 27 Febrero 2012, 18:01 pm
Cita de: Sagrini en 27 Febrero 2012, 17:15 pm
Pues sí que hay información, pero sobre los buffer overflows, no sobre lo que yo he escrito. ¿Has visto el vídeo de Anon? Mejor, ¿has leído algo? No son lo mismo xD. Vamos, he visto los vídeos de Anon y van sobre buffer overflows, mientras que yo he escrito un texto sobre exploiting de buffer overflows de 3 formas diferentes. Hay una pequeña gran diferencia jajaja. El vídeo no habla de lo mismo que de lo del texto :P

No lo decia con mala fe, es como si haces un tutorial por ejemplo de sockets o de cosas así són todos muy parecidos.

Ya se que tu documento se diferencia de otros por encontrar la dirección de reterno de tres maneras distintas, te repito que no he posteado el video con mala fe ni para quitarle importancia a tu post. Simplemente he comentado que se han hecho ya muchos tutoriales sobre desbordamiento de buffer y he puesto uno en video, nada más.

Como te dije antes, esta bien el aporte.

Saludos.

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: Sagrini en 27 Febrero 2012, 19:23 pm
Yo tampoco lo decía de mala intención jajaja. Bueno, leyendo entre líneas a lo mejor lo parece, pero no iba por esas. Lo decía porque no tienen parecido, para no confundir a la gente, pero no era mi intención reprocharte el comentario. De todos modos, esos comentarios son los que hacen a un editor mejorar ;)

Título: Re: > [Linux][C] Técnicas de exploiting por buffer overflow : Sagrini 2012
Publicado por: m0rf en 27 Febrero 2012, 19:37 pm
Me alegro que me comprendas.

Por cierto aprovecho para felicitarte por tus aportes. Cuando todavía no era miembro del foro pero consultaba información, como hace 2 años o así, me fueron de mucha utilidad algunos aportes tuyos sobre programación. Te agradezco todos los aportes los cuales no pude agredecerte en su momento, ya que no tenia cuenta.

Saludos y suerte.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines