Dziury.... exploit....

[LizarD]

Cze! Interesuje mnie w jaki sposób można wyszukać błąd/luke w oprogramowaniu zezwalająca na włamanie sie do komputera. Wiem że można zrobić tak: sprawdzić jaka wersja programu jest zainstalowana i pobrać jej źródłowy kod i szukać..... ale chyba kody źródłowe nie są udostępniane.... chyba że te z linuxa. Debugować go czy jak... No i mam jeszcze pytanie odnośnie exploitow a dokładniej ich sposobów działania, on ma wykorzystać luke w oprogramowaniu i umożliwić/przejąć kontrole. Ale jak? w kodach exploitow są te shellcode jakieś dziwne znaki ( kody ? ) umieszczane w tablicy znaków:

"\x05\x00\x00\x03\x10\x00\x00\x00\xa8\x06\x00\x00\ xe5\x00\x00\x00"
"\x90\x06\x00\x00\x01\x00\x04\x00\x05\x00\x06\x00\ x01\x00\x00\x00"
"\x00\x00\x00\x00\x32\x24\x58\xfd\xcc\x45\x64\x49\ xb0\x70\xdd\xae"
"\x74\x2c\x96\xd2\x60\x5e\x0d\x00\x01\x00\x00\x00\ x00\x00\x00\x00"
"\x70\x5e\x0d\x00\x02\x00\x00\x00\x7c\x5e\x0d\x00\ x00\x00\x00\x00"
"\x10\x00\x00\x00\x80\x96\xf1\xf1\x2a\x4d\xce\x11\ xa6\x6a\x00\x20"
"\xaf\x6e\x72\xf4\x0c\x00\x00\x00\x4d\x41\x52\x42\ x01\x00\x00\x00"

Co to oznacza? btw jak coś to znam c++.....

[Ormi]

To "coś", to binarny kod napisanego w assemblerze programu, który zostanie uruchomiony dzięki exploitowi i ma na celu dać ci przywileje administratora

[LizarD]

hmmm.... asm, binarny kod, czyli wypadało by sie zabrać za asm jeżeli chciał bym sie exploitami bawić, przeczytałem sobie ten artykuł http://cc-team.org/index.php?name=projekty&show=28 jest tam pokazany kod przykładowego exploita tylko ze jest tam wykorzystany(jak w każdym zresztą) ten binarny kod asm, i jak bym chciał wiedzieć co on robi to nie da rady, (myle sie?)

[Ormi]

Robi chyba coś w rodzaju:

BITS 32

;uruchomienie funkcji setreuid(0,0)
push byte 70
pop eax
xor ebx, ebx
xor ecx, ecx
int 0x80
; i funkcji execve("/bin/sh","/bin/sh") ;
push ecx
push 0x68732f2f
push 0x6e69622f
mov eax, esp
push ecx
push ebx
mov ecx, esp
cdq
mov al, 11
int 0x80

Czyli: Ustawia UID i GID na 0, a potem uruchamia powłokę systemową. Nie będzie to dokładnie to samo, ale coś w tym stylu chyba
Jeśli program działa na prawach administratora, to będziemy mieli takie przywileje jak on Aha, exploit jest pod linuxa nie pod windę

[LizarD]

Czy to pod linuxa czy pod winde to narazie nie ważne bo nie o to mi narazie chodzi. Z tego "\x05\x00\x00\x03\x10\x00 potrafisz to odczytać? Jest poprtosu jakiś "słownik" co to tego? Że np \x05 to mov czy coś?

[Ormi]

Nie aż tak prosto, ale z grubsza tak.
\x31\xc0 to:
xor eax, eax
\x31\xdb to:
xor ebx, ebx

Ale odczytać tak po prostu tego kodu nie umiem. Na pewno się da, ale ja nie umiem xD
Może pokaż exploita, który zawiera ten shellcode i program, na którego jest ten exploit, to do czegoś dojdziemy

[LizarD]

Nie pokaże tego exploita bo ten shellcode jest z pierwszego lepszego znalezionego w necie:P i teraz nie pamiętam jaki to był. Mi chodzi o zrozumienie działania żeby tak dla nauki napisać swojego. Teram mam takie pytanie jeżeli mam "dziure" w kodzie taką że na podanie hasła mam ograniczoną tablice np na 25 znaków, to żeby mój exploit zadziałał to musze przepełnić ten bufor, i wstawić tam kod exploita, który sie wykona, i co dalej? W tym kodzie mam napisać instrukcje które będą robić z komputerem to co zechce?

[Ormi]

Nie do końca Nie masz wstawiać nigdzie kodu exploita
Exploit robi takie rzeczy:
- Na górze ma shellcode
- shellcode zostanie "wrzucony" jako zmienna środowiskowa przy uruchamianiu programu
- Exploit oblicza jaki adres w pamięci będzie mieć zmienna środowiskowa z shellcode
- Potem tworzy bufor(tablicę) zawierającą ten adres shellcode'u. Oczywiście ten adres powtórzony np. 20 razy. Tak, żeby przepełnił tablicę w podatnym na atak programie
- I wywołuje ten podatny program z naszą tablicą z adresami shellcode jako argumentem. To przepełnia bufor w podatnym programie i nadpisuje kopię EIP. Po wykonaniu swojego kodu podatny program próbuje skoczyć pod adres w EIP. A tam jest adres shellcode. Więc program wykonuje kod shellcode'u. Może przeczytaj mój tekścik http://ormi.c0.pl/bufo.txt
Może coś pomoże
EDIT: A shellcode uruchamia powłokę systemową.

[LizarD]

No coś mi zaczyna świtać.... dzięki za art, zapoznam sie z nim i jak coś to będe pytał