[Internet Explorer 8 - Fixed Col Span ID Full ASLR, DEP & EMET 4.1.X Bypass]

a fost deja postat aici asteptam acum blackhat pt. emet 5, poate o sa ofere un insight si catre public odata ce se termina cursul lor acolo ( si sper eu pe IE mai recent, nu dinozaurul de 8 )

[[Basic Stegano] Cum sa bem bere 1337 cu Hertz]

In incheierea evenimentului DefCamp Bucuresti 2013 pentru after party s-a pus un basic stegano la dispozitia tuturor, iar cine oferea raspunsul ii se dadea un bax de bere.

Poza era (click pe 404 image sa se deschida in tab nou):

$ hexdump -C stegano.bmp | tail -10

00002b20  0c 00 00 00 73 6f 6c 75  74 69 6f 6e 2e 74 78 74  |....solution.txt|
00002b30  f3 54 28 4f cc 2b 51 48  54 c8 49 4d 2d 51 48 29  |.T(O.+QHT.IM-QH)|
00002b40  ca cc cb 56 48 2b ca cf  55 f0 48 2d 2a a9 d2 e3  |...VH+..U.H-*...|
00002b50  e5 02 00 50 4b 01 02 14  00 14 00 02 00 08 00 26  |...PK..........&|
00002b60  7e 7e 43 da 67 72 72 23  00 00 00 21 00 00 00 0c  |~~C.grr#...!....|
00002b70  00 00 00 00 00 00 00 01  00 20 00 00 00 00 00 00  |......... ......|
00002b80  00 73 6f 6c 75 74 69 6f  6e 2e 74 78 74 50 4b 05  |.solution.txtPK.|
00002b90  06 00 00 00 00 01 00 01  00 3a 00 00 00 4d 00 00  |.........:...M..|
00002ba0  00 00 00                                          |...|
00002ba3

Iese in evidenta solution.txt

O varianta sa extragem acest fisier:

Din:

1. $ hexdump -C stegano.bmp | head -1

   00000000  [B][COLOR=red]42 4d 06 2b[/COLOR][/B] 00 00 00 00  00 00 36 04 00 00 28 00  [B][COLOR=red]BM.+[/COLOR][/B]......6...(.

   
   

2. In

   00000000  [B][COLOR=green]2e 5a 49 50[/COLOR][/B] 00 00 00 00  00 00 36 04 00 00 28 00  [B][COLOR=green].ZIP[/COLOR][/B]......6...(. 

   
   

Ne ramane sa dezarhivam si sa aflam raspunsul:

[B][I]$ mv stegano.bmp stegano.zip[/I][/B]


[B][I]$ unzip stegano.zip[/I][/B]
Archive:  stegano.zip
warning [stegano.zip]:  11014 extra bytes at beginning or within zipfile
  (attempting to process anyway)
  inflating: solution.txt            

[B][I]$ cat solution.txt [/I][/B]
I want a leet drink from Hertz

[DefCamp Bucuresti 2013]

O sa va recunoasteti intre voi ca doar o sa aveti toti tricouri cu "Fan Nytro" :->

Tricourile sunt de moda veche, imi tatuez tipic puscariasului pe tzatza ca Nytro e taticul nostru. Apoi am sa rup haina de pe mine in timp ce iti tii prezentarea si urlu in gura mare sa tin galerie.

ba flubbere, tu sigur nu esti in tren cu noi? treci ma prin vagonu' 12

nu-s! am un betiv ce a adormit pe doua scaune in spatele meu insa... mda.. nu cred ca sunt in vreun tren

...

acum ca ma gandesc mai bine, cu siguranta nu sunt in tren, dar ne vedem tot in gara!

[DefCamp Bucuresti 2013]

Cine vine si vrea sa ne intalnim sa-mi dea un PM.

Oricum ne vedem acolo insa poate ne cunoastem in prealabil. Eu ajung in Gara de Nord, cine vrea sa ne intalnim acolo sa scrie, poate si in thread-ul asta in caz ca ne adunam mai multi (daca se vrea).

Drum bun!

[Hacker-ul alb]

Pula mea, dupa ce am scris juma de ora la post-ul asta mi-a expirat token-ul... in fine, ce am recuperat din Draft:

rakims gresesti. La fel credeam si eu inainte. White poate sa insemne si Black mascat (legal). De ce White? Chiar te rog sa te duci la institutii de profil inalt (Guvern etc.) --vezi [6]-- si sa le spui ca esti Grey si ca ai dori sa le propui un proiect. Zi-mi te rog ce rezultat ai. Un exemplu de black drept white gasesti la [1]

Intr-adevar esti limitat din start daca esti in mediu controlat, insa iti scapa ceva, in Pentesting spre exemplu, daca iti este permis acces-ul la reteaua interna obtii mai multe informatii fata de un atacator Black. Diferenta aici o impune timpul. Un Black intr-adevar face tot posibilul sa intre si va avea mai mult de castigat (sa ii zicem legea supravietuirii: chiar te invata detalii din nevoie, detalii ce ar scapa usor altuia cand e confortabil si are totul la dispozitie), dar nu poti face acest lucru intr-un timp util unde trebuie sa-ti traiesti si viata.

Insa iti dau un alt exemplu, esti black si speli veceuri, vrei sa intri intr-o institutie de profil inalt (sa zicem eBay), sa mai punem in calcul ca esti vladuz... acum... poti spala veceuri pentru 10 ani si sa intri intr-un final... sau poti oferi pentest stiind ca daca in timpul limita ce ti-l impune angajatorul nu reusesti sa obtii ceva o sa mori de foame.

Spune-mi te rog in acest caz, care este mai motivat? Si eu as putea spune ca sunt white[2], dar as minti fiindca tind sa cred ca incerc sa gandesc la fel ca un black (asa am crescut de mic), insa asta nu inseamna ca duc lipsa de un mediu antrenant.

Discutii pe tema asta sunt multe si indelungate (ca de ex: [3]). Ca in Underground-ul de scoate papere ce anumiti `white' din industrie le macina ca pe ... scuza-mi franceza, cacat, si apoi se proclama drept prolifici in domeniul securitatii e alta treaba[4] [4.1], asta nu inseamna ca nu sunt oameni capabili in industrie ce produc la fel ca Blackhat si poate chiar si mai bine fiind legati strict de supravietuire (literalmente: nu produci/publici/cercetezi -> mori de foame).

Sunt plusuri si minusuri la fel ca in Underground-ul vechi (? mai exista notiunea de Underground in ziua de azi ?), numai ca acolo se gaseau alte scursuri ce faceau leak si se laudau cu munca altora: suna cunoscut si in industrie, nu?

Faptul ca s-a facut legal (adica scoti bani legal din ceea ce-ti place) e un lucru bun. Faptul ca ajunge hartogaraie si ca se vorbeste mult fara substanta de dragul de a publica si de a iti mentine o activitate oarecare ca sa te recunoasca toate companiile ce apeleaza la tine depinde de fiecare. Doua exemple de companii ce nu se incadreaza in categoriile astea [5] [6].

White-ul la care te referi tu este cel de pe vremea omului de pestera, acel ce proiecteaza software fara a se gandi la securitate, iar atunci cand are o gaura si este exploatata face un patch la fel de vulnerabil, jocul unde al mai rau castiga fiindca al bun e un frustrat ce nu tine cont si nici nu are habar de securitate si ce inseamna, insa suntem in 2013 (aproape 2014), nu exista asa ceva in Pentesting, Exploit Development etc. legal ("white").

Referinte:

[1] https://grsecurity.net/index.php si faptul ca este black: https://www.youtube.com/user/spendergrsec (+ bonus: https://grsecurity.net/~spender/) --- N.B. enlightment al lui a fost folosit in paper-ul scris de twiz si sgrakkyu pe kernel exploit devel. *NIX (p.s.: nu este obsolete paper-ul lor pentru Vanilla kernel -> enterprise , adica unde sunt banii: RHEL)

[2] Endian - ?Security Gateways (UTM)? ; pentru research-ul ce l-am facut si ce am publicat trebuie sa cauti mai tare ;-) nimic semnificativ, insa cred eu ca e macar ceva decat deloc (nu se incadreaza in acel white de care zici tu)

[3] http://www.phrack.org/issues.html?issue=64&id=4&mode=txt

[4] irssi create_addr_conn() NULL Pointer Dereference | xorl %eax, %eax (ref: https://grsecurity.net/~spender/xorl_simulator.txt + https://grsecurity.net/~spender/xorl_lol.txt) , as fi dat exemple mai bune daca ii gaseam pe respectivii, am cautat, dar nu am mai gasit, pe alta data

[4.1] https://rstforums.com/forum/47828-poc-asterisk-remote-bof.rst#post318090 (vezi punctele subliniate)

[5] The Offensive Security Team

[6] VUPEN Security Solutions by Industry // For Governments

P.P.S.: Nu ma consider developer/security researcher etc. ci am incercat sa-mi exprim opinia

[DefCamp - BLACK FRIDAY - HACKING & INFOSEC saptamana viitoare la Bucuresti]

Fete... da... club exclusivist... poate... unde se intra doar cu 0day, iar ele sa le judece, dar apoi o data intrat.... eheeee ce parere aveti?

[DCTF incepe diseara!]

Cumva la primul challenge pentru reverse, era s^p`rohischall sau rohischall doar sau un algoritm ce crea dinamic string si apoi adauga "hall" la sfarsit?Felicitari pentru concurs si in special participantilor castigatori.

Avem voie sa vorbim despre si sa postam rezolvari acum ca s-a terminat competitia?

[DCTF incepe diseara!]

Cumva la primul challenge pentru reverse, era s^p`rohischall sau rohischall doar sau un algoritm ce crea dinamic string si apoi adauga "hall" la sfarsit?

Felicitari pentru concurs si in special participantilor castigatori.

[DefCamp Capture the Flag]

Sper sa vad cat de curand

din nou si sa trec peste de data asta Cristosii ma-sii.

Later edit: oups, acum o sa ma injure black_death_c4t ...

[freePBX vTiger Elastix bug-uri si vulnerabilitati.]

Poftiti aici; acum trimiteti companiile catre noi sa apeleze la serviciile noastre.

[Fun with Internet Explorer]

IE 10 cu ala am probleme cu dll, pe IE 8 merge fara nici o problema IE 9 nu am incercat.

Da xp este un dinozaur poti controla mai usor un exploit, pe urma incerc pe win 7 pentru ca de multe ori am avut probleme

de exemplu exploitul X :

Faci scheletul exploitului si la primul crash primesti diferite valori de crash pe WinDbg primesc o valoare pe Immunity Debugger alta valoare si am probleme ori la inceput de exploit ori la jumatea lui, ori la sfarsit.

Cand vad valori diferite incerc prima data pe xp sa duc exploitul pina la capat si sa imi dau seama funktia lui pe urma incerc pe win 7.

Poate pe Windows XP ai putea sa te resemnezi la un Kernel antic, cu siguranta cand migrezi la Windows 7 situatia difera foarte mult. IDA Pro reflecta foarte bine aceste schimbari.

Aceeasi comparatie o pot face eu intre Solaris/OpenBSD si Linux. Intrucat din aceste motive cred ca o sa ai mereu dificultati (mari, semnificative) de a porta un Windows XP exploit pentru IE la Windows 7.

[Fun with Internet Explorer]

Windows XP este de domeniul dinozaurilor fiindca "trecutului" ar fi putin spus, insa felicitari.

Pe IE 8 nu ai rebased? Sau ai gasit jump in DLL-urile incarcate la memorii statice ale Kernel-ului?

Ne trebuie mai mult, ca de exemplu.

[Defcamp 2013]

Multa bafta la cel din Iasi! Sper sa se salveze prezentarea lui cmiN, titlul trateaza un subiect interesant, iar restul sunt pe masura.

Distractie placuta.

[Defcamp 2013]

Ei ei! Cineva mi-a soptit ca ne vom vedea si in Cluj pe 1 Noiembrie. Ma inregistrez deja si sper sa ne vedem sanatosi acolo.

Tocmai bine ajung fiindca voi avea ocazia sa vad putin din atmosfera DefCamp si asa voi decide (cu un raspuns pozitiv cel mai probabil) daca am sa ajung si la Bucuresti (insa sunt destul de sigur ca da).

Sper sa nu deranjez in vreun fel ci sa ne distram si de ce nu, sa facem cunostinta.

[Cum dezvolti un exploit]

https://www.corelan.be/index.php/category/security/exploit-writing-tutorials/

[Cum sa iti construiesti propria distributie de linux - Yocto [1/3]]

Toate partile: https://www.yoctoproject.org/documentation/current (in engleza desigur)

Intrebarea este, cine pune in practica si cu ce scop?

[Defcamp 2013]

Ne vedem acolo. Insa prind bilete pe la sfarsitul lui Noiembrie?

Provocari vor aparea, insa nu cred ca va fi ca cea de anul trecut. ;-)

Ultima a fost simpatica, mi-am pierdut rabdarea la criptografie.

Exista sansa ca anul asta sa mai pui vreo provocare pentru a obtine un bilet asa cum s-a intamplat anul trecut ? M-as chinui cat as putea de tare sa il obtin, asta stiu sigur.

Din pacate provocarea de anul asta e un pic ciudat propusa in opinia mea.

[Simple BASH script for GNS3 (PID)]

Script ce lanseaza GNS3 si printeaza PID-ul. Folositor pentru a scapa de obiceiul de a ii face call catre path-ul original (de exemplu daca a fost extras in /etc si path-ul pentru executie este: /etc/GNS3-0.8.3-src/./gns3) si nu preferati sa ii faceti alias (link symbolic nu functioneaza ;-) ).

#!/bin/bash

# This script fires up GNS3 and shows you the PID the instance is currently running under.
# This script is not intended for multiple instances.

# Path to your GNS3 executable (in this case it is supposed that GNS was extracted in /etc/)
path="/etc/GNS3-0.8.3-src/gns3"

if [ -e $path ]; then
    echo -e "[$(tput setaf 1)$(tput bold)!$(tput sgr 0)] This script is intended for only one instance of GNS3!\n"
    echo "[$(tput setaf 3)*$(tput sgr 0)] Your path to \"gns3\" is correct."
    echo -n "[$(tput setaf 3)*$(tput sgr 0)] Firing up GNS3 ... "
    $path &

    sleep 1
    echo -e "[ $(tput setaf 2)OK$(tput sgr 0) ]\n"

    # Print PID - Ubuntu 12.04.1 LTS
    # In case you have another distro change the '2p' in the last "sed" of the following line
    # Check if it matches with the pid displayed in: `ps ax | grep gns3'
    # <!> Usually '2p' is standard for start-up scripts written in this manner.
    ppid=`ps ax | grep gns3 | sed -e "s/ \([0-9]*\).*/\1/" | sed -n '2p'`

    echo -e "[$(tput setaf 2)+$(tput sgr 0)] Your GNS3 PID: $ppid\n"
    exit 0
else
    echo -e "[$(tput setaf 1)-$(tput sgr 0)] Check your path set to point at \"gns3\".\n"
    exit 1
fi

Sau: http://sprunge.us/CaLj | http://sprunge.us/CaLj?bash - syntax highlighted

Get it:

echo -e -n "\n\n[$(tput setaf 3)*$(tput sgr 0)] Getting the script ... \n\n" ; wget http://sprunge.us/CaLj -O gns3.sh ; chmod +x gns3.sh ; sleep 1 ; echo -e "[ $(tput setaf 2)OK$(tput sgr 0) ]\n\n=================\nIf your GNS3 was extracted to a different place other than /etc/ then change it manually in the script (sorry! I was too lazy to match a way to find your gns3 so do it manually)\n=================\n\n[ $(tput setaf 2)DONE$(tput sgr 0) ] Script is ready. Also changed its mode to executable:\n" ; ls -l gns3.sh ; echo -e "\n"

Just for fun's sake.

[Promovare website Black SEO implicare Google]

[- BEGIN -]

Intrebare in legatura cu site-urile, recent un prieten si-a facut un site si se gandeste sa-si aduca vizitatori din emailuri nesolicitate(spam). Te poate bana googleu(adica sa deindexeze site-ul) daca trimiti emailuri nesolicitate sa zicem 2000-3000 pe zi cu respectivul site? Site-ul este perfect legal, nu promoveaza pornografia/hacking/etc. Este legal sa poti face acest lucru sa trimiti de pe smtp-ul site-ului emailuri la nimereala?

[- END -]

Daca da, de ce? Daca nu, de ce? Detaliati va rog.

Multumesc.

[Grupari Black Hat]

.:: Phrack Magazine ::. [issue 1] - acum ai de unde sa incepi, o sa fi ocupat o lunga perioada de timp pana ajungi la issue 68 (cel mai recent issue).

[Atac asupra unui server MySQL cu Metasploit]

Ma amuza toate aceste post-uri precum "Gj & gt" sau "Excelent explicat, mai astept tutoriale din partea ta!" etc. Trebuie sa pricepi ca in oricare companie ce se respecta nu poti sa te duci sa faci bruteforce alandala sau sa pornesti cine stie ce serviciu de identificare si mapare a vulnerabilitatilor de securitate ce creaza tone de trafic si logging.

Nu poti lansa autopwn asupra unui server decat daca situatia permite si chiar si atunci, exista un risc numai reflectand la tot traficul creat in urma acestui atac. Atac bruteforce asupra unui server MySQL cu Metasploit cred ca ar fi fost mai corect, insa ce-i drept, orice munca e de apreciat.

Pe viitor ar fi bine daca ai face tutoriale despre inspectie la nivel de layere OSI folosind scannere precum nmap, care este excelent in "inspectia" raspunsurilor target-urilor. In special folosirea de script-uri precum mysql-audit s.a.m.d.

Sau un alt exemplu bun, exploit-ul recent ce face bypass de login.

Apropo,

Urmatorul pas este sa configuram si sa rulam modulul mysql_hashdump in scopul extragerii hash-urilor parolelor de la toate conturile din database.

http://img687.imageshack.us/img687/5779/screenshot6ki.png

Imaginea nu este afisata, corecteaza la inceput.

[Open Courses (Enrollment Upgrade)]

cursurile nu se mai tin maine, nu ?

https://rstcenter.com/forum/56405-open-courses-start-here.rst

[Masina Virtuala]

KVM - rpm-based distributions

VMWare Player - rpm-based distros + dpkg-based distros (opinia mea)

Qemu/VirtualBox/etc - dpkg-based distros

[Linux Tutorial: The power of the Linux Find Command]

<sarcasm>Adaugat din motivul ca include boobies si o tipa ce cauta pr0n pe hdd.</sarcasm>

http://www.youtube.com/embed/x_R_JSiupzo

[Open Courses (Enrollment Upgrade)]

Protectiile precum ASLR,NX,exec-shield si SELinux au fost de mult depasite. Sunt deja mii de exemple si tool-uri functionale, insa ce-i drept, fiecare exploatare a unui sistem depinde de acel sistem (cred ca este logic pentru toata lumea).

Si ca sa demonstrez ca nu vorbesc aiurea:

• VNSecurity @ BlackHat 2010 - Payload already inside data: reuse for ROP exploits [v1] :: include ASLR,NX,ASCII-Armor bypass si un tool ce automatizeaza procesele de exploiting
  
• ^-- insa la Hack in The Box Malaysia - slides
  
• - buggy SELinux usureaza munca de exploatare
  
• Advanced exploitation in exec-shield (Fedora Core case study)
  
• etc .. etc .. etc
  

Insa da, unele lucrari dateaza chiar si de prin 2006, ce duc la deprecated (desi mecanismele au ramas cam aceleasi ... aproape).

Si da, sunt unele cazuri in care se dezactiveaza alte mecanisme de protectie ca sa se demonstreze ca se pot exploata altele, de exemplu, NX,ASLR si ASCII-Armor bypass functioneaza dupa cele prezentate de cei de la VNSecurity in 2010 la BlackHat, insa odata introdus si PaX cu PIE pe executabile, ei bine se schimba povestea, la fel si in cazul StackGuard + Canary, si sa nu incepem sa vorbim si de kernel grsecurity-hardened, o cu totul alta poveste (patch mentinut gratuit pana in ziua de azi de insusi whitehat-ul spender pe care toti il urasc).

-

Let's not call it an ASLR defeat when you're targeting an ET_EXEC binary.? Come on now

it's an NX bypass only -- if you're only dealing with some mapping that has no? randomization applied to it, then you're not dealing with ASLR at all. Using gentoo-hardened for this example is a bit disingenuous, as if you've seen the third-party study done of userland binary protection coverage, Gentoo had 100% PIE binary usage

Si mai sunt exemple, insa ce-i drept, securitatea vine in mai multe layere, iar toate acestea lucrand impreuna fac grea exploatarea unui sistem, in special daca se incearca remote.

Nu cred ca ar strica cursuri PenTesting, ba din contra. Insa cu totii suntem satui de wep cracking unde se dau copy paste la comenzi, cred ca am vrea ceva mai degraba de aceasta calitate: Penetration Testing in the Real World on Vimeo (vechi de doi ani si totusi ... wow).