Views
4 years ago

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

НЕСЛУЧАЙНО CUDA ИДЕМ? phpMyAdmin - Xakep Online

взлом обзор

взлом обзор эксплоитов обзор эксплоитов обзор эксплоитов Если «отдебажить» парсинг .maki-файла, то мы получим следующую картину: ор плоитов НИ К ЧЕМУ НЕ ОБЯЗЫВАЮЩИЙ ЭКСПЛОЙТ ДЛЯ WINAMP .text:12094F62 loc_12094F62: .text:12094F62 mov ax, [ebx] .text:12094F65 movsx edi, ax ; sign extension .text:12094F68 inc ebx .text:12094F69 push edi ; Size .text:12094F6A inc ebx .text:12094F6B lea eax, [ebp+MultiByteStr] .text:12094F71 push ebx ; Src .text:12094F72 push eax ; Dst, buffer is located in the stack .text:12094F73 call memmove ор плоитов ор плоитов ор плоитов ор плоитов ор плоитов ор плоитов 04 WINAMP BUFFER OWERFLOW MULTIPLE EXPLOITS >> Brief: На этот раз не обошлось без музыкальных жертв — под прицел багоискателей попал самый популярный Windows-player — Winamp от Nullsoft. За один лишь месяц в нем было найдено две громких уязвимости, о которых я спешу тебе рассказать. 1. Как я уже писал, все продукты базируются на каких-либо компонентных библиотеках. И если в софте практически идеальный код, то уязвимость может находиться во вспомогательной библиотеке. Особенно тяжело положение, если исходники библиотеки закрыты (с одной стороны, сложно найти уязвимость, но с другой — никто от нее в принципе не застрахован :)). Но в случае с Winamp — баг тривиален. Умельцы нашли изъян в функциях «voc_read_header()» и «aiff_read_header()», принадлежащих библиотеке «libsndfile» и читающих заголовки «.voc»- и «.aiff»- файлов (по-видимому, обе функции написаны по одному алгоритму). Если верить экспертам, в этих функциях содержится код, приводящий к переполнению динамической памяти. Как следствие, любой желающий может создать «.voc» или «.aiff»-файл со специальным заголовком, после чего Winamp послушно выполнит произвольный системный код. К сожалению, все ограничилось словами, и сплойт никто так и не выложил. Однако у тебя имеется вся информация к размышлению, чтобы написать собственный сплойт (перерывай старые подшивки журнала и смотри статьи Криса — по подобным наводкам он это делал не раз ;)). 2. Ответь мне на простой вопрос: «Любишь ли ты скины Winamp, как люблю их я?». На самом деле, шучу, но было время, когда я часами изучал различные шкурки от проигрывателя, останавливаясь на самом лучшем. Думаю, и сейчас есть фанаты модных скинов... Гхм, к чему это я? :) Короче говоря, совсем недавно обнаружили возможность переполнения буфера в парсере «MAKI» (библиотека gen_ff.dll). Maki — это, собственно, и есть скрипты Winamp’а, образующие скин (привязку кнопок, функционал и т.п.). Если углубиться в технические подробности, будет понятно, что механизм парсинга .maki состоит в последовательном чтении двух байт, отвечающих за длину. Если чуть увеличить эту длину, произойдет... правильно — переполнение стека и аварийное завершение программы. А если чуток подумать и увеличить длину с умом, мы добьемся перезаписи адреса возврата и выполнение произвольного системного кода. Что и происходит в эксплойте. payload = "\x41»*16756 payload += "\x74\x06\x90\x90" payload += "\x32\x55\xF0\x12" # universal p/p/r in_mod. dll payload += shellcode # calc shellcode from metasploit В этом фрагменте эксплойта происходит смещение строки на адрес шелл кода, который успешно вызовется после обработки .maki-файла. .text:120951E5 loc_120951E5: .text:120951E5 mov edi, [ebx] .text:120951E7 add ebx, 4 .text:120951EA mov ax, [ebx] .text:120951ED movsx esi, ax ; sign extension .text:120951F0 inc ebx .text:120951F1 push esi ; Size .text:120951F2 inc ebx .text:120951F3 lea eax, [ebp+var_10144] .text:120951F9 push ebx ; Src .text:120951FA push eax ; Dst, buffer is located in the stack .text:120951FB call memmove Все испытания проводились на скине от «Big Bento», который ты можешь найти на официальном сайте. Файл mcvcore.maki находится в «PROGRAMFILES/Winamp/Skins/Bento/Scripts». А теперь подумай, что будет, если аккуратно впарить якобы крутой скин своему сотоварищу? Правильно! Но я тебе этого не говорил :). >> Targets Уязвимыми считаются: 1. Библиотека «libsndfile» до версии Solution Зайди на «winamp.com» и обновись до последнего релиза. Благодаря своевременному оповещению разработчиков, баг был исправлен в тот же день. Хорошо это или нет — не знаю, но в любом случае в Сети еще осталось огромное количество уязвимых версий. >> Exploit: По первому багу, как я уже сказал, эксплойта никто не предоставил. Зато по второму — их целых два. Один написан на Си (securitylab.ru/poc/ extra/380450.php), а второй на Питоне (securitylab.ru/poc/extra/380454. php). 05 PHP > Brief: Нашлась дырка и в самой свежей версии PHP, позволяющая осуществить обход ограничений «safe_mode». Напомню, что взведенная в php.ini опция «safe_mode» не позволяет инклудить файлы, выполнять системные вызовы и т.п. Но багоискатели нашли способ выполнения команд при включенном 052 XÀÊÅÐ 07 /127/ 09

обзор эксплоитов обзор эксплоитов >> взлом КАК НИ СТРАННО, ЭКСПЛОЙТ ДЕЙСТВИТЕЛЬНО РАБОТАЕТ :) «safe_mode». Правда, только на Windows-платформах. Почему только на Windows? Дело в том, что баг актуален лишь в силу специфики OS и был пропущен из-за кроссплатформенности PHP. Все дело в слэшах. Если в *nix-like системах «/usr/bin/php» и «\usr\bin\php» будут считаться совершенно разными строками (мало того, вторая строка вернет тебе ошибку), то Windows сочтет их вполне одинаковыми. К слову, это является одним из признаков характеристики целевой системы при ее изучении (Remote OS Fingerprinting). Например, если перед нами система со сбитыми TTL, Windows Size, а также модифицированным сетевым стеком, и у нас есть доступ к FTP или Web-Server’у, то можно сразу опознать Windows всего лишь по двум запросам к файлу. Эксплойт, совсем недавно опубликованный командой Abysssec (abyssses.com), представляет собой два файла: php-сценарий «cmd. php» и исполняемый «cmd.bat» (можно было реализовать баг с использованием одного файла, ну да ладно). Ключевой фрагмент сплойта такой: echo ""; require("abysssec.txt"); echo ""; echo ""; Как видишь, весь баг сводится к тому, что «safe_mode» пропускает конструкцию «\start cmd.bat», начинающуюся с символа «\». Команда записывается в «cmd.bat», который выводит ее результат в текстовик. А текстовый файл, в свою очередь, отображается на экране. Вот такой вот геморрой :). >> Exploits Эксплойт берем по адресу abysssec.com/safemod-windows.zip или milw0rm.com/sploits/2009-safemod-windows.zip. Описание к эксплойту (менее подробное, чем в этом обзоре) можно изучить по ссылке s3curi7y. org/local.php?id=7. $cmd = $_REQUEST[‘cmd’]; if ($cmd){ $batch = fopen ("cmd.bat","w"); fwrite($batch,"$cmd>abysssec.txt"."\r\n"); fwrite($batch,"exit"); fclose($batch); exec("\start cmd.bat"); echo ""; echo "Abysssec.com PHP 5.x SafeMod Bypasser"; XÀÊÅÐ 07 /127/ 09 >> Targets: Уязвимыми являются все версии PHP, но помни, что интерпретатор должен быть установлен на Windows-платформе. А как проверить OS, ты уже знаешь. >> Solution: В данный момент уязвимость не устранена. Но если позарез нужно избавиться от бага, просто запрети функцию «exec()» или напиши парсер, убивающий все боковые слеши.z 053

ИюНь - Xakep Online
Скачать - Xakep Online
Май - Xakep Online
ЛУЧШИХ ВИРУСОВ - Xakep Online
Ноябрь - Xakep Online
7 ЧУДЕС KDE - Xakep Online
ЛЕГКИЙ ХАК - Xakep Online
УЧИМ КАКОценить сбалансированность системы ... - Xakep Online
Январь - Xakep Online
JIT SPRAY АНАЛИЗ TDSS - Xakep Online
Скачать - Xakep Online
Офисное западло - Xakep Online
КОНКУРС - Xakep Online
WebMoney - Xakep Online
Untitled - Xakep Online
Скачать - Xakep Online
ВЗЛОМ ИНТЕРНЕТ-МАГАЗИНА: - Xakep Online
Взлом GSM - Xakep Online
Ноябрь - Xakep Online
Много новогодних конкурсов Много новогодних ... - Xakep Online
с татьи - Xakep Online
2009 - Xakep Online
c-лето ;) - Xakep Online
содержание 10 (59) - Xakep Online
ЗАКАДРИ КАРДИНГ НАШИ ИДУТ! - Xakep Online
сишься, что левые трояны, вирусы и всякая про ... - Xakep Online
cамые лучшие материалы 1-4 номеров + вся ... - Xakep Online