elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


  Mostrar Mensajes
Páginas: [1] 2 3
1  Programación / Ingeniería Inversa / Re: Traducir de ensamblador a C en: 19 Febrero 2018, 00:35 am
Hola aparentemente el codigo esta completo porque el desensamblado corresponde al MAIN de un programa en C y acaba en un retorno de control. Parece ser que el código no pertenece a un ejecutable pero probablemente corresponda a una librería que carga otro programa.

El mayor problema que veo no radica en el código ASM el cual si que tienes y no hay problema.
El problema viene respecto al valor de los punteros y los registros ya que sin ellos no puedes saber que hace el programa en este bucle
   0x00000594 <+71>: mov edx,DWORD PTR [ebp-0xc]
   0x00000597 <+74>: mov eax,DWORD PTR [ebp-0x14]
   0x0000059a <+77>: add eax,edx
   0x0000059c <+79>: movzx eax,BYTE PTR [eax]
   0x0000059f <+82>: movsx eax,al
   0x000005a2 <+85>: imul eax,DWORD PTR [ebp-0x18]
   0x000005a6 <+89>: add DWORD PTR [ebp-0x10],eax
   0x000005a9 <+92>: add DWORD PTR [ebp-0xc],0x1
   0x000005ad <+96>: mov eax,DWORD PTR [ebp-0xc]
   0x000005b0 <+99>: cmp eax,DWORD PTR [ebp-0x18]
   0x000005b3 <+102>: jl 0x594 <main+71>

No sabemos que condiciones tiene

2  Sistemas Operativos / Windows / Re: Problema con certificado SSL en IIS - Windows Server en: 22 Diciembre 2014, 05:33 am
En chrome con F12 puedes ver lo que se baja por HTTP , suele ser una configuración de la aplicación web (CMS) (no confundir con servidor web) y debe tener opción usar HTTPS para estáticos , en el HTML veras que hay includes de CSS y JS o imágenes por HTTP .
3  Sistemas Operativos / Windows / Re: he formateado un disco duro externo por error en: 22 Diciembre 2014, 04:49 am
Lo que dicen por arriba haz una imagen con DD desde linux y utiliza testdisk para recuperar la particion, a mi hace 6 años me paso algo parecido instalando Mac OS y con testdisk recupere la particion :). Suerte!
4  Sistemas Operativos / Windows / Re: Problema con certificado SSL en IIS - Windows Server en: 22 Diciembre 2014, 04:48 am
Eso es que se están bajando CSS y JS o fotos desde un protocolo no seguro (HTTP).
5  Seguridad Informática / Análisis y Diseño de Malware / Re: Tutorial: Como escribir una contraseña invulnerable a todos los keyloggers. en: 13 Septiembre 2011, 13:30 pm
Yo uso la calculadora y genero los numeros de la clave
por ejemplo la contraseña es: contra$$12345

con la calculadora genero 1234567890 lo copio
escribo las letras contra$$ pego los numeros y borro 09876. Aunque no se hay capturadores que dumpean el portapapeles pero es valida para evitar todos los keyloggers por hardware ya que al raton no llegan.
6  Seguridad Informática / Hacking / Re: Como saber en ubuntu si alguien esta haciendo un MITM¿?¿? en: 11 Septiembre 2011, 16:31 pm
arp -n
7  Seguridad Informática / Hacking / Re: ayuda: ¿Como jugar en universidad / visitar paginas bloqueadas? en: 11 Septiembre 2011, 16:30 pm
2 Cosas la:

La 1º Crear un tunel SSH.
La 2º Usar una VPN.
La 3º usa ultrasurf.
8  Seguridad Informática / Hacking Wireless / Evitar que te cazen en redes wifi. en: 9 Septiembre 2011, 05:59 am
Cuando estes en tu laboratorio wifi ponte estos 2 comandos :)
arptables -P INPUT DROP
arptables -P OUTPUT ACCEPT

ya puedes escaner  o llamar a la CIA no te cazararan.

Nota ant: El único sitio donde sales es en la tabla NAT del router por lo demas 0 y pocos routers COMERCIALES hacen un dump de la tabla NAT.

Y aquí esta el cortafuegos ARP http://pastebin.com/SNLu0kCK para tenerlo como daemon :) Y no olvidarte los comandos :)

Otra opción interesante es colocarse la siguiente ip del router y hacer subnetting.

Código:
#Arp Firewall

case "$1" in
start)
        sudo arptables -P INPUT DROP
        sudo arptables -P OUTPUT ACCEPT
        sudo echo  "La Proteccion ARP a  Activada"
        ;;

        stop)
        sudo arptables -P INPUT ACCEPT
        sudo arptables -P OUTPUT ACCEPT
        echo  "La Proteccion ARP a  Desactivada"
        ;;

        *)
         echo "Usar: /etc/init.d/blah {start|stop}"
         exit 1
        ;;
        esac

exit 0
9  Seguridad Informática / Hacking / Re: Ya no se puede hackear G-Mail. en: 5 Septiembre 2011, 18:24 pm
Creo que la transfiere con HTTPS así que busca herramientas para burlar SSL.
10  Seguridad Informática / Hacking / [Full-disclosure] D.O.S en CBM (Control del Ciber) kml reverser en: 5 Septiembre 2011, 18:20 pm
=======================================
FULL DISCLOSURE - CBM (Control del Ciber) Denial of service.
Fecha descubrimiento: 24/11/2010
Ultima revisión: 08/agosto/2011
Descubridor: kml reverser
=======================================

1.- Introducción
    Control de Ciber (cbm) es un programa distribuido por http://cbm.com.ar/   
    usado de forma muy amplia en España
    para el control de tarificación de los accesos a Internet en los "Cyber".

2.- Descripción del fallo de seguridad
    El programa se comunica mediante el protocolo TCP/IP por defecto el puerto 
    1000 permaneciendo a la escucha de sus clientes
    que se conectan a el, el problema reside en que el servidor no tiene ningún 
    control de acceso y permite a cualquier "software"
    conectarse a dicho servicio.Por defecto escucha en el puerto 10000 tcp.Si a
    esto le añadimos a que todo lo que escucha es procesado
    por un gigante bucle para determinar el comando enviado. Podemos llegar a la
    conclusión de que si enviamos ciertos comandos especialmente
    manipulados podemos producir una denegación de servicio por un alto
    consumo de CPU. Llegando a bloquea el sistema operativo (solo si el
    procesador del servidor es de un solo núcleo. Sin embargo si multinúcleo
    debido a que el programa no soporta multiprocesamiento solo se apodera
    de un solo núcleo. En este caso solo se cuelga el programa y no permite
    realizar NADA con el.

3.-Versiones afectadas.
    Dicha vulnerabilidad afecta a todas las versiones de este software en cualquier
    Sistema operativo windows. Ya que para linux no existe Daemon.

4.- How to...
    Para que el servidor asigne un contador a una IP basta con que se le envíen
    estos comandos al servidor.

   ***************************Lista de comandos en orden hacia el servidor***************************************
   PC: 0
   VERSION: escdll.dll 0
   S: 1 1
   VERSION: escacven.dat 0
   VERSION: escacprg.dat 0
   VERSION: esclaven.dat 0
   VERSION: esclaprg.dat 0
   VERSION: escprven.dat 0
   VERSION: escprprg.dat 0
   VERSION: escartic.dat 0
   VERSION: escvar.osf 0
   VERSION: esclconf.cfg 0
    Donde PC: 0 es el identificador del pc osea que también nos podemos hacer
    pasar por otro siendo 0 el 1  
    y así de forma sucesiva. Y el comando versión: es el nombre del archivo con 
    un CRC al final (viene representado por un 0)
    ejemplo de una captura real: http://pastebin.com/xFHNqeS6.
    Si se observo la captura real se observa que con el comando PIDOBLOQUE: se
    realiza una transferencia binaria de un archivo ejecutable
    por lo cual si se realiza un mimt se puede llegar a reemplazar dicho ejecutable
    puesto que luego sera ejecutado por el cliente.
   ****************************************************************************************************************
   Ahora la rutina que produce la denegación de servicio en el programa de 
   control  (servidor).
   El archivo ejecutable correspondiente es: servidor.exe y la dirección de   
   memoria es:
   00433D4C  |.  E8 6E9D0000   CALL servidor.0043DABF                   ; \servidor.exe
   Adjunto copia de la rutina: http://pastebin.com/SAJCyMnK

5.- Solución
    De momento NO EXISTE SOLUCIÓN ALGUNA lo único es colocar un
    cortafuegos que controle que programas se conectan a dicho daemon.

  
6.- TimeLine
    - 24/07/2011 -Se descubre la denegación de servicio.
    - 26/07/2011 -Se comprueba en una maquina virtual (La maquina virtual se quedo bloqueada debido al dos)
    - 30/07/2011 -Se comprueba en un conjunto de equipos REAL. El equipo al ser mononucleo se bloquea por completo incluido el S.O.
    - 05/08/2011 -Se comprueba en un equipo mas potente Quad Core uno de los cores de la CPU queda al 100% y el programa se bloquea.


A continuación adjunto el exploit para explotar esta vulnerabilidad.  
http://www.megaupload.com/?d=87D38KO0  
http://www.mediafire.com/download.php?0wllp7gtx3tkn25
http://massmirror.com/523914e51386567c22362123d79780ec.html
Páginas: [1] 2 3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines