img - Xakep Online

More documents

Recommendations

Info

ВЗЛОМAcrobat Reader. Эксплойт сработал как часы. SWF-файл внутри PDFcorelanc0d3r, выпустил недавно свой 10-й туториал о том, как писатьсовременные эксплойты, используя технику возвратно-ориентированногопрограммирования. Неудивительно, что и этот эксплойтоснован на той же идее.EXPLOITДанный эксплойт создает файл плейлиста cst-blazedvd.plf, при открытиикоторого с помощью BlazeDVD Player выполнится фирменныйшеллкод — вызов MessageBoxA с сообщением о том, что «хак» удался:). Трудности такого эксплойта в Windows 7 две. Во-первых, память,где лежит у нас шеллкод (а лежит он в стеке) является неисполняемой,поэтому шеллкод не имеет никакого морального права выполниться.Вторая проблема — адрес функции MessageBox нам неизвестен, таккак все системные библиотеки в Windows 7 имеют случайный сдвиготносительного базового адреса. Таким образом, после перехватауправления (а именно — перезаписи SEH в стеке), эксплойт долженкак-то сделать стек исполняемым, например, с помощью вызовафункции VirtualProtect, а еще должен как-то определить адресаиспользуемых функций (VirtualProtect/MessageBox). Если ты читалпредыдущие номера, то в курсе, что такое ROP, и с чем его едят. Еслинет, то напомню — после завершения работы уязвимая функция беретиз стека переписанный нами адрес возврата. Этот адрес указывает нанекий участок исполняемой памяти с некими нужными инструкциями,обычно их одна-две штуки. Эти нужные инструкции в идеале должнызаканчиваться командой RETN, которая берет следующий адрес изстека, который также втиснут туда при переполнении буфера. Такимвот путем выполняется код, как бы из кусочков чужого кода. mr_meправильно заметил, что если брать такой код из библиотек самого плеера,то даже несмотря на наличие ASLR код всегда будет находитьсяпо одному и тому же адресу. Дело в том, что плеер скомпилирован безподдержки ASLR, и поэтому все его модули всегда грузятся по одномуи тому же адресу (со следующего номера я уже не буду подробно расписыватьROP, иначе Forb меня загрызет за трату ценной бумаги натакую избитую тему (и правильно сделает — прим. ред.)). Нетривиальнойбыла и задача заставить этот ROP работать. Ведь в чем штука: вовремя обработки SEH блока стек содержит лишь адреса на обработчики следующий блок. Все остальное в стеке далеко от ROP программы.mr_me нашел в статичных модулях адрес смены значения вершиныстека. Тогда процессор переходит по этому адресу (думая, что тамобработчик) и выполняет изменение указателя на вершину стека:BlazeDVD. Результат открытия плейлистапосвященной разработке эксплойта (который уже успел стать классическим...черт, себя не похвалишь, никто же...) с использованиемвозвратно-ориентированного программирования. Все. Больше о ROPне говорю. Ну и, конечно, эксплойт с комментариями ищи на диске.SOLUTIONЧто делать пользователям, понятное дело — обновить плеер. А вотпрограммистам надо бы быть аккуратнее. Учитывая то, что от ошибокникто не застрахован, особенно не стоит пренебрегать /dinamicbase /G S-флагами при компиляции. И еще — в связке с SehOP все это добропозволит перестраховаться и сохранить честь, так как такой тандемпрактически не пробиваем.03CVECVE-2010-1297ОШИБОЧНАЯ ОБРАБОТКАУКАЗАТЕЛЯ В FLASH PLAYERTARGETS• Adobe Acrobat Reader < 9.4• Adobe Flash Player < 10.1BRIEFВ очередной раз мир поразила 0day-угроза для любителей продукцииAdobe. А куда деваться? Темная сторона Силы нашла уязвимость вобработке байткода SWF Flash. Что примечательно, эксплойт, разработанныйтьмой, был заточен и под Acrobat Reader. Фича в том, чточиталка поддерживает воспроизведение флеш-анимации, а отсюда ипоследствия — атака сразу на два продукта. Эксплойт этот был разреверсени добавлен в Metasploit. Так что добро пожаловать...0x616074AE : ADD ESP, 4080x616074B4 : RETN 4; ÐÎÏ âîññòàíîâëåí, áåðåì àäðåñ è äâèãàåì ïî öåïî÷êåТаким образом, ROP-программа исполняется дальше, так как RETN4 берет из уже изменившегося стека значения, подсунутые mr_me.Более подробно о работе ROP можешь прочитать в моей статье,EXPLOITПытаясь разобраться в том, откуда пришла проблема, исследователиобратили внимание на то, что SWF-файл, который использовался дляэксплуатации уязвимости и заражения бедных юзеров, был практическиидентичен файлу AES-PHP.swf, который есть в свободном доступев Сети. Собственно, отличие было лишь в одном байте, а именно— в оригинальном файле байт-код 0x66 (GetProperty) заменен на044 XÀÊÅÐ 08 /139/ 10
Acrobat Reader. Содержимое heap-sprayбайт-код 0x40 (newfunction). Скорее всего, обнаружить эту уязвимостьпомог файловый фаззер.Перед тем, как сработает SWF-файл, в PDF происходит heap-spray спомощью JavaScript. В куче создается множество страниц с шеллкодом,но не только. Для того, чтобы обойти защиту DEP, в кучу так жеинжектится ROP-программа, которая с помощью системного вызовасоздает новый кусок исполняемой памяти и копирует туда шеллкод.Самое интересное — это как ROP-программа из сгенерированной кучипопала в стек. Уязвимость (вставка байт-кода newfunction) приводит квозможности перезаписи указателя ECX значением 0x0C0C0C0C, послечего происходит вызов call [ecx+0c]. Научно доказано, что по этомуадресу обычно бывают данные из heap-spray. Злостный хакер такрассчитал размер инжектируемых данных, что по адресу 0x0C0C0C0C+ 0xC находится значение: 0x700156f. То есть фактически происходитвызов call 0x700156f. Этот адрес принадлежит BIB.dll и содержит такойвот код:mov eax,[ecx+0x34]; ECX âñå åùå óêàçûâàåò íà heap-spray (0x0C0C0C0C); ïî àäðåñó 0x0C0C0C0C+0x34 ëåæèò çíà÷åíèå0x0C0C0C0C; ÷òî è çàíîñèòñÿ â EAXpush [ecx+0x24]call [eax+8];ïî àäðåñó 0x0C0C0C0C+0x8 ëåæèò 0x70048ef0x70048ef — адрес из той же библиотеки, и содержит следующий код:xchg eax,espret; EAX=0x0C0C0C0C, òåïåðü è ESP òîæå; ñëåäóþùàÿ èíñòðóêöèÿВот таким образом указатель на стек стал указателем на кучу из heapspray.Далее приведу содержимое кучи с пошаговой нумерациейдействий (все значения равны 4 байтам, первое значение в куче — поадресу 0x0C0C0C0C).0x7004919, # pop ecx / pop ecx / mov [eax+0xc0],1 /pop esi / pop ebx / ret ;(øàã 3)0xcccccccc,0x70048ef, # xchg eax,esp / ret ;(øàã 2)
Page 1: ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5: MegaNews004 Все новое за
Page 6: MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11: MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14: Реклама11
Page 15 and 16: ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18: ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20: с помощью специаль
Page 21 and 22: Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24: VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26: codinglotus.xakep.ruX-testing сont
Page 28 and 29: PC_ZONEСтепан «Step» Иль
Page 30 and 31: PC_ZONEВносим важные п
Page 32 and 33: PC_ZONEАлександр Лозо
Page 34 and 35: PC_ZONEПример асинхро
Page 36 and 37: PC_ZONEКапитан Улитка
Page 38 and 39: PC_ZONEПодробные логи
Page 40 and 41: ВЗЛОМТюрин «GreenDog»
Page 42 and 43: ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45: ВЗЛОМАлексей Синцо
Page 48 and 49: ВЗЛОМЭтого достато
Page 50 and 51: ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79 and 80: Реклама
Page 81 and 82: Кристалл запустилс
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 95 and 96: Реклама
Page 97 and 98:
WARNINGwarningРедактируе
Page 99 and 100:
Оптимизируем работ
Page 101 and 102:
WARNINGСокращенная ст
Page 103 and 104:
ldd для Firefoxне в них.
Page 105 and 106:
Реклама
Page 107 and 108:
codingMasterBotBotBotСхема ц
Page 109 and 110:
codingINFOРезультат раб
Page 111 and 112:
codingФорма HoldemConsoleФо
Page 113 and 114:
codingÑàéòû ïî òåìåПр
Page 115 and 116:
codingАдреса загрузки
Page 117 and 118:
CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120:
поймать в месте выз
Page 121 and 122:
ëà äëÿ «Îäíîêëàññí
Page 123 and 124:
ñîäåðæàùèå çàïðåùå
Page 125 and 126:
FORWARD="80>192.168.0.100" â ôà
Page 127 and 128:
OpenBSD, pf и NATîòêðûòûé
Page 129 and 130:
SYN/ACKЕвгений Зобнин
Page 131 and 132:
Apache с различными MPM-
Page 133 and 134:
Слоеный пирог типи
Page 135 and 136:
×òîáû óñòàíîâèòü vSp
Page 137 and 138:
INFOКлиент управлени
Page 139 and 140:
информацию с перер
Page 141 and 142:
Если хочешь быть пр
Page 143 and 144:
обновляемого на са
Page 145 and 146:
x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?