Aclaracion:

Los offsets del jmp esp o del system.msvcrt.dll no tienen que ver con el compilador, sino con tu sistema. Por lo que me cuentas, al ser el mismo que el mio, tendras un Windows XP SP1 Español.

Al tener el mismo SO, con el mismo SP, y con el mismo lenguaje, tenemos las mismas librerias (salvo excepciones que no vienen al caso) y por tanto, los mismos offsets

1º:

Se perfectamente porque pasa eso . El programa vulnerable yo lo compile con el Dev Cpp, que esta basado en el "motor" del GCC. El compilador, por temas de alineamiento, añade algunos bytes a cada variable a la hora de compilar, segun su tamaño. Existe por ahi una tabla (estoy seguro de haberla visto) que te calculaba exactamente los bytes de alineamiento que producia.

Obviamente, el compilador de VC++ es distinto, y no añade dichos bytes de alineamiento, con lo que el buffer es mas pequeño.

2º

AGH XDDDDDDDDDDD

Los opcodes que pongo, son de una shellcode "mini", que solo hacen un system("cmd") en vez de system("cmd.exe"), vaya fallo :p xDDDDDDDDD

Es que al principio, pense en hacerla simple, pero luego me arrepenti, hize la "larga", pero no cambie los opcodes.

Los opcodes correctos son los que tu pones, pero ambos funcionan, asi que no lo voy a cambiar (ya he cambiado una vez el texto ). Que fallo xDDDD Gracias por decirmelo

3º:

Ten en cuenta que el RET sobreescrito tiene que ser UNA DIRECCION, no una instruccion. Es decir, si pones una instruccion NOP (la instruccion NOP simplemente hace que el procesador no haga nada y salte a la siguiente instruccion), en opcode seria 0x90, el ret quedaria sobreescrito asi:

90909090

Pero, en vez de ejecutarse los 4 NOPs, lo que pasa es que EIP trata de ejecutar lo que haya en la direccion 90909090.

El ret sobreescrito tiene que ser SIEMPRE una DIRECCION.

Lo entiendes?

Me alegra que te guste el texto

Cualquier duda, ya sabes

Salu2

Este cyrux es un mostro 

http://www.cyruxnet.org/exploits_y_stack_overflows_en_windows.htm

Gracias

Bueno, para los no registrados, hay un mirror:

http://www.telefonica.net/web/espaiwebfacultat/Exploits%20y%20Stack%20Overflows%20en%20Windows.zip

Salu2

Antes del sub esp,04h, solo teniamos espacio para 4bytes.

"cmd.exe0" --> 8 caracteres, 8 bytes

El "0" de fin de cadena tambien cuenta, y es muy importante, sino system no sabe donde acaba el comando.

Por eso necesitabamos 4bytes mas.

Se puede hacer la shellcode que haga solo System("cmd0"), con lo que la shellcode seria mucho mas corta, no habria que sustraer nada a ESP (solo ocupa 3bytes+1byte del 0), y solo habria que introducir 3 letras (esa es la que he usado en el exploit de Acrobat Reader) pero me parecio mucho mas didactico ponerlo completo, y asi ver el porque del sub esp,04h.

Salu2

Bueno, gracias a un oportuno aviso, ha sido subsanado un error en la shellcode

Sabia yo que tenia un error 

En fin, solo decir que he cambiado el texto, para descargarselo de nuevo... es lo que tiene escribir un texto tan largo, no puedes esperar a que te salga perfecto la primera vez.

Salu2

El texto es una introduccion al codeo de exploits sencillos, codeo de shellcodes sencillas, y explicar paso a paso el porque de un stack overflow, todo en Windows. Concretamente, los ejemplos fueron testeados en un Windows XP SP1.

Creo que no contiene errores graves, pero si los contiene, o cualquier otra cosa, no dudeis en decirmelo

El texto ha sido redactado por mi, con faltas o sin ellas, con explicaciones enrevesadas, con errores en definiciones, en fin, no sera el mejor texto redactado que hay sobre el tema, ni el unico pero me ha gustado redactarlo, y con que ayude a una sola persona, y me de las gracias por email, privado o en el foro, me vale

Sinceramente, me ha costado hacerlo (sobre todo tiempo), solo espero que os guste y lo aprovecheis para profundizar mas en el tema. Mi texto es solo la punta del iceberg

Esta como archivo adjunto, para descargarlo, hay que estar registrado   (cosas del admin) 

O sino, usar este mirror:

http://www.telefonica.net/web/espaiwebfacultat/Exploits%20y%20Stack%20Overflows%20en%20Windows.zip

Es un texto en formato TXT, a 17 columnas, no creo que haya ningun problema en verlo en cualquier visualizador en cualquier sistema. Puede que en el futuro, se saque en PDF, pero creo que esta mucho mejor en TXT, formato ezine

Salu2, espero vuestros comentarios

cheksum es simplemente una "suma de chequeo" usando un algoritmo.

Una simple suma de chequeo (checksum), por ejemplo, es convertir cada caracter de una contraseña en su valor ascii (por ejemplo, el 1 es 49,la A es 65, etc...), y sumarlos, dando un valor de checksum.

El programa mirara a ver si ese checksum coincide con el que tiene guardado, y te dara acceso o no.

Obviamente, existen muchos algoritmos que hacen un checksum (CRC32, DES, MD5, SHA0, Base64 y muchos mas) algunos muy muy complejos (e irreversibles)

Salu2

Creo que se refiere a un switch(), la funcion C/C++ switch().

Es una funcion "interruptor" segun lo que le pases por parametro, se ejecutara una cosa o otra.

por ejemplo:



Lo curioso es que tu crackem, para el mismo switch() en 004011DD tiene un monton de opciones (desde el 0 hasta F1)...

Espero que te haya quedado claro

Smart Check.

Buscalo.

Salu2

Pa disfrutarlo:

http://security-papers.globint.com.ar/oracle_security/sql_injection_in_oracle.php
http://packetstormsecurity.org/papers/attack/AdvancedSQLInjectionInOracleDatabases.zip

Salu2