Anotado  

Cuando ya sabes como funcionan las cosas, tener una herramienta que te automatice las cosas viene bien. Repito, una vez que ya sabes como funcionan las cosas.

Es lo que estaba pensando, pero creo que seria mas bien un requerimiento para comenzar el curso. Hay otras cosas sobre las cuales se va a hablar seguramente por ej el uso de gdb, objdump, el formato ejecutable elf, etc. Igual no se preocupen, los que no saben sobre el tema, se hablara lo necesario como para continuar con el objetivo principal.

mmm, ni siquiera se como funciona el moodle . Alguien que lo haya usado nos vendria bien, no necesariamente moodle, aunque parece ser muy bueno.

Queres formar parte de los cursos? Registrate en el foro!
El limite, bueno no se. Habria que hacerle publicidad al curso en los otros subforos y ver que sale. Pero la idea que es que no sean muchos, tipo 15 personas max (o menos), si hay mas pues habra repeticiones.

Vamos a hacer como los comerciantes: vender algo que todavia no tenemos jeje.
El primer curso "Introduccion al exploiting" va a cubrir varios temas:
- Uso de las bin-utils (gcc, as, ld, objdump)
- Generacion de codigo asm desde codigo c.
- Analisis del asm generado y su ejecucion por la cpu.
- Uso de gdb.

Estoy preparando algunas cosas, con documentacion y todo. Habria que ver por ejercicios. La organizacion del primer curso estoy en dudas. Mostrar de entrada un ejemplo de exploit como para mostrar lo que se puede hacer e interesar la gente o arrancar con las bases.

Tendria que crear un post para abrir las inscripciones y ver si hay mas interesados. Mas algo de tiempo para crear algo decente como curso. Una manito con doodle y ssh no vendria nada mal .

Gratuitos!

En fin, si es verdad, cuestion tiempo siempre es complicado :S.
Es cierto que dar cursos sobre temas variados nos puede servir a aprender aun mas cosas. Por ej, a mi me interesaria estar presente a cursos sobre ataques web, sobre todo que hay gente en el foro que sabe mucho sobre el tema y el nivel puede ser aun mayor que en cursos pagos!

Inclusive se puede hacer un tipo de mini-universidad xD, o sea para comenzar los cursos de exploiting hay que saber sobre asm, o tener ideas basicas, y para proveerlas pueden haber cursos de introduccion al asm. Ideas para mi no faltan, hay miles. Hasta podriamos ofrecer un live-cd preparado por gente bondadosa del foro de SO de manera que los alumnos dispongan de una plataforma uniforme, con el sistema de e-learning integrado y todo. Aunque para empezar creo que acceso ssh a una maquina comun seria lo mejor.

Imaginen que los que quieren aprender exploiting van a tener un profe "al lado" al que le van a poder preguntar todo lo que quieran en tiempo real!

Salvo que hayan otras ideas, como primer curso se podria dar "Introduccion al exploiting" donde se podria explicar el clasico esquema de modificacion de eip.

Yo me ofrezco para arrancar con el primero y posiblemente el segundo siempre y cuando conozca sobre el tema. Pero la idea seria que los miembros del staff trabajen juntos por cada curso, de esa manera tendran tareas especificas y sobre todo cortas. Un coordinar general va a hacer falta, otro que maneje el sistema de e-learning, otro que se encargue de mantener al dia el calendario de los cursos, etc. Bueno calculo que todo eso vendra (o no ) con el tiempo.

Los recursos:
- Un maquina con acceso ssh para los inscriptos (propongo la mia pero no garantizo nada )
- Ver como funciona moodle (o otro e-learning, a ver)

Pero lo mas importante: interesados !

Ciertos conocimientos basicos deberian ser necesarios. El dia del curso seria a determinar por doodle para que les convenga a todos los posibles inscriptos (que no creo que sean muchos al principio).

Te parece realizable?

Me parece que te dije cualquier verdura hehe, perdona. En realidad los char * inicializados con dobles comillas, c les agrega un null byte al final automaticamente. El problema lo tenias con los nops, porq los llenabas con memset.

Bueno retomando, en el segundo codigo, porq metes "./vuln" al principio del argumento para vuln en execve???

En el primero ni idea...

Bueno eso, se me ocurrio que se podria dar cursos sobre exploiting. Le gente que visita el foro es mucha y sobre todo que el foro cuenta con gente experimentada en varios dominios que pueden darle un muy buen nivel.

La idea seria:
- Hacer un sondaje para saber cuanta gente estaria interesada en tomar este tipo cursos.

- Definir el sistema e-learning a usar, como por ej moodle

- Definir el staff (almas bondadosas )  que daria los cursos especializados en diferentes topics como por ej:
   - Buffer overflows
   - Format strings
   - Escritura de exploits (hay bastante info para dar, sobre todo en exploits sobre windows)
     - Ejemplos concretos usando programas open source por ej.
   - Fuzzers
   - Uso de metasploit (porq no?)

Estaria bueno meter ejemplos concretos, dar tareas al final de cada curso, etc.
Para los topics que no son multiplataforma se podrian crear cursos dobles.

Bueno nada, yo se que requiere tiempo, o sea preparar los cursos, crear los ejemplos, pensar en las tareas posibles a dar. Lo importante seria de arrancar, crear el primer curso y en la medida que se avanza se los van mejorando.

Los "alumnos" tendrian acceso ssh a una maquina comun con el fin de, durante el curso, probar los ejemplos que se muestran y realizar sus tareas. Deberia haber una agenda disponible en el foro con los cursos y los horarios, pero eso seria una vez que las cosas avanzen bien.

Que opinan?

Cuando usas c chars con las funciones strxxx, los cadenas tienen que contener \x0 para marcar el fin de la misma sino strxxx va a seguir de largo y copiar cualquier cosa. Si queres serguir usando esas funciones agregales '\0' al final de las cadenas que usas sino podes usar memcpy.

Mirate el man execve. El 2do argumento es un arreglo de punteros a char, el mismo tipo que argv.

Probate este code:

No te funciona si pones eso?

Anon habia dicho maso lo mismo  

Bue, mirando el estado del paciente, anda olvidandote de la historia "sobreescribir ebp y despues eip etc." mientras estes adentro de main.

Si queres seguir con el esquema tradicional, mete el strcpy en una funcion llamada por main, o sea una cosa asi:

Proba y contanos

Sangrini me desangré explicandote!

Bue, olvida todo lo que dije, compilalo asi


y pega el contenido del archivo de salida vuln.s asi se facilita la ayuda.

Estuve buscando sobre el codigo que te genera tu compilador y es posible que tengas que actualizarlo.

Encontre un bug que fue reportado en el siguiente enlace
:http://gcc.gnu.org/bugzilla/show_bug.cgi?id=28074

Al que reporta el problema le pasa lo mismo que a vos. Gcc le genera esto

En lugar de algo mas eficiente como esto

Que version de compilador estas usando Sagrini?

No se porque te genera ese prologo/epilogo tu compilador. El mio si compilo igual que vos lo unico que hace es salvar ebp y alinear la pila, lo que da un esquema de explotacion generico (sobreescribir ret y listo). El caso tuyo como te conte es mas complicado por esa astucia del compilador.

Te resumo sino que es lo que sobreescribis y en que afecta la ejecucion del programa vulnerable.
Suponete que ejecutas tu programa asi:


O sea, muchas As y al final tu shellcode.
Bueno despues de una cantidad x determinada As, vas a tener 4 As que van a sobrescribir el registro ecx, lo cual quiere decir que tenes control externo de ese registro. Lo que se sabe es que para establecer la direccion de retorno desde main se usa ecx y tambien se sabe de que manera se usa. O sea que tenes un control indirecto de la direccion de retorno.

De que manera se usa el valor de ecx para establecer la direccion de retorno?
La direccion de retorno debe estar almacenada en la direccion ECX - 4.

Bueno vamos a hacer ciertas suposiciones:
- Se le pasa como argumento a Vuln 40 As y despues tu shellcode.

- A partir de la direccion de memoria 0xbfff0000 se encuentran las 40 As seguidas de tu shellcode despues de la ejecucion de strcpy().

- ECX va a tomar el valor de las A en las posiciones 21-22-23-24.

Bueno dado ese escenario tu shellcode comienza en la dir 0xbfff0028 (40 en hexa es 28).
Ahora la idea seria sobreescribir ECX con una direccion determinada de tal manera que en esa direccion se encuentre el valor 0xbfff0028, o sea la direccion de tu shellcode.
Por ejemplo si en ECX escribis 0xbfff0004 (acordate que ecx lo controlas desde el argumento), tu programa va a tomar ECX, le va a restar 4 (lo que da 0xbfff0000) y va a usar el contenido de la direccion 0xbfff0000 como direccion de retorno. Pero resulta que esa direccion corresponden a las primeras 4 As del argumento de Vuln! Por lo que los 4 primeros valores del argumento pasado a Vuln deberian ser 0xbfff0028 (en little endian), es decir la direccion de tu shellcode.

Espero haber sido mas explicativo. Lo mejor es que desensambles tu codigo con objdump, break en main y lo pases con step en gdb. Cuando llegues a pop ecx mira el estado de la pila, fijate a que valor apunta esp al momento del ret, etc. Debug debug y mas debug.

Suertes!