Título: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: soez en 6 Marzo 2012, 14:23 pm EXPLOTANDO APLICACIONES CON HEAP SPRAYING INTRODUCCIÓN =========== En este tutorial voy a explicar cómo aprovecharnos de un bug en una aplicación cualquiera, explotándola aplicando la técnica heap spraying con la que conseguiremos ejecutar código arbitrario a nuestro antojo. Todo este artículo está muy resumido y basado en el tutorial de corelanc0d3r que dejo al final. Algunos de los códigos tienen pequeñas modificaciones. Para seguir este tutorial necesitaremos:
EXPLICACIÓN ========== A cada hilo de una aplicación se le asigna una pequeña parte de pila, la parte estática que es la que hemos visto en los clásicos buffer overflows y la parte dinámica llamada heap que se usa en tiempo de ejecución, el propio programa puede pedir que se le asigne más espacio por ejemplo con la función VirtualAlloc(); que esta a su vez llamará a ntdll.dll para ejecutar el procedimiento. La gestión de la memoria dinámica heap también guarda en cache la memoria que se va liberando y así ese espacio se puede reasignar nuevamente a un nuevo espacio del mismo tamaño evitando así la fragmentación. Ahora, ¿En qué consiste el heap spraying? El heap spraying no es ninguna vulnerabilidad si no una técnica para explotarla, que consiste en rociar la pila con bloques de nops + shellcode repetidamente, así pues cuando obtenemos el control de eip y ponemos un puntero que apunte a esa parte predecible, es fácil caer a una zona donde se encuentre un trampolín de nops que nos lleve a la shellcode : ) (http://img832.imageshack.us/img832/6946/sshot5a.png) (http://imageshack.us/photo/my-images/832/sshot5a.png/) APLICACIÓN ========= Vamos a ver cómo hacer esto en los navegadores web, adobe pdf, adobe flash y no se queda simplente ahí … Para alojar bloques de código en la pila podemos usar arrays (la forma más sencilla) vamos a empezar con ie7 para ver el ejemplo más simple. Cogemos el siguiente código y lo abrimos con el navegador. Código
Cabe observar que al usar la función unescape(); está asignando un tamaño del doble de caracteres pero en tamaño real es la mitad (puedes usar un document.write(); para observarlo), por eso lo reducimos correctamente con esta línea de código: Código
Abrimos windbg y atajamos (Attach) el proceso iexplorer.exe, después escribimos el comando !heap –stat –h 00150000 (windows xp/sp3). Y vemos: (http://img535.imageshack.us/img535/2151/sshot1no.png) (http://imageshack.us/photo/my-images/535/sshot1no.png/) El bloque donde se asignó esta relleno al 99% : ) Vemos todas las asignaciones con el siguiente comando !heap -flt s 0x7ffe0 (http://img40.imageshack.us/img40/18/sshot2og.png) (http://imageshack.us/photo/my-images/40/sshot2og.png/) Podemos buscar la cadena AAAA con el comando: s -a 0x00000000 L?0x7fffffff "AAAA" y de ahí deducimos: (http://img11.imageshack.us/img11/518/sshot3mr.png) (http://imageshack.us/photo/my-images/11/sshot3mr.png/) Vemos como esta al final de los nops y empieza otro nuevo bloque. Observamos todas las direcciones predecibles: 0x06060606, 0x07070707, 0x08080808, 0x09090909, 0x0a0a0a0a, 0x0b0b0b0b, 0x0c0c0c0c.. (http://img694.imageshack.us/img694/2769/sshot4km.png) (http://imageshack.us/photo/my-images/694/sshot4km.png/) ¿Se intuye la jugada verdad? Bien, vamos a explotar un bug en un ActiveX de la aplicación vulnerable AOSMTP Mail, lo instaláis y después cogemos el siguiente código: Código
Notas: 1. Para utilizar una shellcode al gusto usamos backtrack y ejecutamos por ejemplo: ./msfpayload windows/exec cmd=calc R | ./msfencode -e x86/shikata_ga_nai -t js_le (http://img546.imageshack.us/img546/1958/sshot6a.png) (http://imageshack.us/photo/my-images/546/sshot6a.png/) Para listar las shellcodes ./msfpayload -l 2. Utilizar la siguiente tabla para alinear:
3. Hay que testear varias veces con todos los posibles aterrizajes para escoger el mejor salto (0x06060606, 0x0a0a0a0a, 0x0c0c0c0c..) Lo abrimos con ie7 y voilá ;) (http://img850.imageshack.us/img850/8933/sshot11a.png) (http://imageshack.us/photo/my-images/850/sshot11a.png/) IE8 A partir de aquí haremos uso de la librería heapLib.js obligatoriamente (en ie7 no era necesario) que es usada para liberar el heap y que quede todo el espacio libre seguido. Usamos el siguiente código: Código
Observamos con windbg la pila.. (http://img210.imageshack.us/img210/18/sshot7d.png) (http://imageshack.us/photo/my-images/210/sshot7d.png/) También !heap –stat –h 00150000 (http://img26.imageshack.us/img26/1461/sshot8o.png) (http://imageshack.us/photo/my-images/26/sshot8o.png/) !heap -flt s 0x7ffc0 … (http://img600.imageshack.us/img600/3263/sshot9q.png) (http://imageshack.us/photo/my-images/600/sshot9q.png/) Buscamos la cadena de “AAAA”s con el comando: s -a 0x00000000 L?0x7fffffff "AAAA" (http://img163.imageshack.us/img163/7290/sshot10by.png) (http://imageshack.us/photo/my-images/163/sshot10by.png/) IE9 Bueno aquí la cosa se complica un poco, ya que ie9 trae incorporada la protección DEP que me falta escribir el artículo sobre este tema, pero si vamos a ver “pequeñas protecciones” que también trae y como saltarlas . Trabajaremos con windows/vista sp2 para ie9. Nozzle & BuBBle Nozzle consiste en una pequeña heurística para detectar instrucciones validas en la pila, por ejemplo el uso de nops, el carácter 0x90 (Microsoft). BuBBle consiste en detectar bloques iguales en la pila, nops + shellcode, nops + shellcode, etc.. (Firefox). Nos las saltaremos haciendo de trineo una cadena de caracteres aleatoriamente en cada bloque que nos harán resbalar también hasta la shellcode : ). Usamos el siguiente código. Código
Nota: Hay que hacer uso del ActiveX. Buscamos la shellcode con el comando d (dump). (http://img256.imageshack.us/img256/7723/capturaekj.jpg) (http://imageshack.us/photo/my-images/256/capturaekj.jpg/) Vemos que esta relleno de caracteres que actuarán de nops para llegar a la shellcode y las 4 As. FIREFOX 9.0.1 Lo mismo, cogemos el siguiente código (windows/xp sp3): Código
Buscamos la shellcode con s -a 0x00000000 L?0x7fffffff "AAAA" y después deducimos.. (http://img31.imageshack.us/img31/2528/sshot12r.png) (http://imageshack.us/photo/my-images/31/sshot12r.png/) Vemos las direcciones predecibles… (http://img525.imageshack.us/img525/5561/sshot13t.png) (http://imageshack.us/photo/my-images/525/sshot13t.png/) HEAP SPRAYING CON IMÁGENES Esta técnica también se puede realizar con imágenes, publicada por Greg MacManus y Michael Sutton en el 2006 fue retomada por Moshe Ben Abu en el 2010 en la presentación de OSWAP. Vamos a backtrack con el siguiente código: Código
y creamos la imagen. (http://img560.imageshack.us/img560/428/sshot14n.png) (http://imageshack.us/photo/my-images/560/sshot14n.png/) Creamos un .html con el código: Código Lo abrimos con ie7 en windows/xp sp3 y buscamos la cadena: s -b 0x00000000 L?0x7fffffff 00 00 00 00 0c 0c 0c 0c (http://img526.imageshack.us/img526/2851/sshot15b.png) (http://imageshack.us/photo/my-images/526/sshot15b.png/) Claro que para que un buen heap spraying harían falta añadir más imágenes, pero la idea era que se supiera. HEAP SPRAYING EN ADOBE READER Con los pdf también es posible aplicar esta técnica : ) y en este ámbito adobe reader es conocido por su poca preocupación en las vulnerabilidades de sus aplicaciones, para aplicarla solo hace falta añadir un código javascript al archivo, nos bajamos make-pdf tools escrito en python de Didier Steven de aquí http://blog.didierstevens.com/programs/pdf-tools/ (http://blog.didierstevens.com/programs/pdf-tools/) y con el siguiente código que os muestro lo guardamos como adobe_spray.txt Código
De seguido creamos el pdf con el código añadido, desde la misma carpeta donde se encuentren los archivos: python make-pdf-javascript.py -f adobe_spray.txt test.pdf (doy por hecho que está python instalado) se creará test.pdf que lo abrimos con la versión 9.x }:-) (http://img23.imageshack.us/img23/1568/sshot16a.png) (http://imageshack.us/photo/my-images/23/sshot16a.png/) Dump a 0x0a0a0a0a (windows 7). (http://img220.imageshack.us/img220/9789/sshot17d.png) (http://imageshack.us/photo/my-images/220/sshot17d.png/) ADOBE FLASH ACTION SCRIPT ActionScript es el lenguaje usado para adobe flash, también es posible utilizar la técnica en la aplicación y es más, todo programa que acepte un objeto flash puede ser víctima de heap spraying, ya sea de MS Office, etc.. no se os ponen los dientes largos? Jeje. Vamos a bajarnos haxe para compilar el objeto flash de aquí http://haxe.org/download (http://haxe.org/download) . Guardamos el siguiente código como MySpray.hx Código
Este script recibe 4 argumentos:
Lo compilamos desde la carpeta de instalación: C:\Program Files\Motion-Twin\haxe\haxe.exe -main MySpray -swf9 MySpray.swf Invocamos el objeto desde un html (MySpray.html): Código
Observa que el carácter nop es 144 (0x90 en decimal). Cargamos el archivo con ie7 (windows/xp sp3). (http://img687.imageshack.us/img687/4199/sshot19s.png) (http://imageshack.us/photo/my-images/687/sshot19s.png/) En windbg: s -a 0x00000000 L?0x7fffffff “CORELAN” (http://img710.imageshack.us/img710/5653/sshot21c.png) (http://imageshack.us/photo/my-images/710/sshot21c.png/) Seguro que le sacáis provecho ;). APENDICE Esta técnica se aprovecha explotando alguna vulnerabilidad de las aplicaciones, ¿Cómo buscarlas? Bueno pues las aplicaciones hacen uso de sus propios procedimientos, en .ocx, .dll, etc.. Cuando instalas un programa en su carpeta puede venir una guía documentada con las funciones que utiliza, ahí puedes empezar a testearlo usándolas con mala intención en el script para ver si se cierra la aplicación repentinamente y ya tenemos un trigger, también puedes usar comRaider para ver las funciones. DESPEDIDA Aquí termina todo, hasta la próxima ;) Tutorial basado de la página de corelanc0d3r: https://www.corelan.be/index.php/2011/12/31/exploit-writing-tutorial-part-11-heap-spraying-demystified/ (https://www.corelan.be/index.php/2011/12/31/exploit-writing-tutorial-part-11-heap-spraying-demystified/) soez Descarga en pdf: https://mega.co.nz/#!44xymZwT!N_KbKmXlN0H1s9EG-HUJZ0JCsJwGoehcl6y4D4ovCN8 (https://mega.co.nz/#!44xymZwT!N_KbKmXlN0H1s9EG-HUJZ0JCsJwGoehcl6y4D4ovCN8) Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: jackgris en 10 Marzo 2012, 16:54 pm Te quedo muy bien el tutorial soez
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: cymothoa en 31 Octubre 2012, 19:23 pm UN DESASTRE
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: soez en 15 Noviembre 2012, 05:25 am ?
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: Debci en 6 Diciembre 2012, 09:55 am Excelente tutorial... se me han puesto los dientes largos :P
Saludos Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: moikano→@ en 6 Diciembre 2012, 12:23 pm Tengo ganas de probarlo, lástima que tengo trabajo. Si tengo un rato lo probaré.
Buen aporte. Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: berz3k en 7 Diciembre 2012, 04:31 am Es buen tuto, saque el provecho maximo
-berz3k Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: soez en 7 Diciembre 2012, 23:27 pm Gracias :)
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: jackgris en 2 Septiembre 2013, 14:18 pm oye enseñenme si por faor no ea malos con migo he pedido ayuda por todos la dos y nada ayudenme porfavor soy mujer pero igual de estudioso a ustdes Que quieres que te enseñen? Deberías ser específica con lo que no sabes ;) Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: Stuxnet en 3 Septiembre 2013, 05:45 am Excelente tutorial soez te felicito ;-)
Saludos. Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: hackazador en 1 Octubre 2013, 04:37 am ¿Funciona? ¿En serio? (http://www.pasteimg.info/files/img/user_uploads/displayimage.php?id=kcpkjjjcagg8820914.gif) Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: karmany en 2 Octubre 2013, 20:06 pm Muy buen tutorial, impresionante. Mis felicitaciones...
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: soez en 18 Octubre 2013, 05:28 am Se agradece :)
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: .:UND3R:. en 18 Octubre 2013, 16:03 pm Por si no lo sabían, todos los tutoriales de corelancod3r traducidos (no resumidos) al español:
http://ricardonarvaja.info/WEB/OTROS/EXPLOIT/Creacion%20de%20Exploits%20por%20corelanc0d3r%20traducido%20por%20Ivinson./ (http://ricardonarvaja.info/WEB/OTROS/EXPLOIT/Creacion%20de%20Exploits%20por%20corelanc0d3r%20traducido%20por%20Ivinson./) Saludos Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: soez en 20 Octubre 2013, 03:49 am Yo lo hice cuando aun no estaban traducidos, que conste. Saludos.
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: matiasnahuelheredia en 7 Noviembre 2013, 08:46 am perdon mi ignorancia no pero.. por que utiliza shikata ganai ¿si solamente ejecuta la calculadora ? :silbar:
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: MCKSys Argentina en 7 Noviembre 2013, 16:26 pm perdon mi ignorancia no pero.. por que utiliza shikata ganai ¿si solamente ejecuta la calculadora ? :silbar: Ejecutes lo que ejecutes, si no encodeas el shellcode, no "pasa"... (por los badchars) Saludos! Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: Vaagish en 7 Noviembre 2013, 17:27 pm Salta el Avast al abrir..
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: .:UND3R:. en 10 Noviembre 2013, 23:49 pm Depende de la situación, lo que ocurre es pueden haber algunos caracteres que no son permitidos y estos al ser leídos por la función, termina cortando la shellcode. Por eso se intenta averiguar cuales son los caracteres que impiden el copiado completo de la shellcode en memoria. Otra utilidad es la offuscación de código, ya que se termina ejecutan el mismo código pero con instrucciones distintas. Saludos
Título: Re: Tutorial - Explotando aplicaciones con Heap Spraying Publicado por: Max00355 en 4 Enero 2014, 03:34 am El tutorial es asombroso! No sabía antes, muy interesante leer.
Saludos |