книги хакеры / журнал хакер / 118_Optimized

Взломанный портал!

Утром я познакомился с жертвой

Яторопливоподбежалккомпьютеруивключилмонитор.Ксожалению, меняждалоразочарование.Ночнойбрутничегонедал,иярешилегоос- тановить.Значит,невсетакпросто—нотеминтереснее!Ладно,подумал я,придетсяпотратитьвремяисамомупроанализироватьсайтнауязви- мости.Осмотревшись,ярешил,чтоэтокакой-тосамописныйдвижок, мненезнакомый.Поэтомупоискбаговнадругихресурсахподкакую-либо версиюясразуотверг.Тоска,всепридетсяпроверятьсамому! Оказалось, что www.totalvideogames.com — весьма популярный и массовый забугорный портал с весьма оригинальным и красивым дизайном о новинках в игровой индустрии. Количество посещений его в сутки составляет около 25-30 тысяч уников.

Первая мысль, которая меня посетила, была такой: поскольку сайт очень посещаемый, а, значит, свежеобновляемый, то есть неплохие шансы, что мой друг Крис появляется там очень часто. Начать можно было бы

с поиска XSS (), — уязвимости, которая позволила бы мне получить на снифер cookie администратора. Но для этого мне надо было зарегистрироваться и заставить его перейти по нужной мне заранее заготовленной ссылке. Пожалуй, оставим этот вариант на потом, подумал я. Времени он мог занять много и не давал гарантий результата, по сравнению с другими, оставшимися у меня в запасе, идеями.

Битва идей

Пролистав пару страниц и заметив переменные в ссылке, думаю: сядука я проверить этот сайт на наличие Sql-инъекций. А вдруг? Хотя если честно, не особо верил — процедура пусть и привычная, но не часто себя оправдывает.

Потратив не один десяток минут на проверку, я не поверил увиденному! Бог мой, неужели здесь, на этом серьезном портале, есть Sql-инъекция?

Да-да, горе-кодеры что-то упустили! А ведь это весьма полезная для хакера уязвимость, лучше и быть не может! Не буду грузить тебя промежуточными вычислениями, скажу лишь, что инъект был вида:

http://www.totalvideogames.com/pages/articles/index. php?article_id=67777'

Я переделал запрос под себя, подбирая количество столбцов. Эх, нелегкое это дело, особенно если делать вручную — кто знает, сколько их окажется! Разумеется, существует ORDER BY и GROUP BY для более быстрого подбора, но я привык проверять все ручками (мне так больше нравится). И вот результат оправдал мои старания: 25 столбцов! В случае правильного подбора исчезнет ошибка и выведется обычая рабочая страница:

http://www.totalvideogames.com/pages/articles/index. php?article_id=67777'+union+select+1,2,3,4,5,6,7,8,9,1

0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25%23

Подобрав количество столбцов, посмотрим, какие из них отобразились на странице. Например, «2». Убедившись, что «2» умеет выводить информацию, подставляем теперь вместо «2» в нашем запросе:

concat_ws(char(58),username,password,email,icq). Это вывод через поле «2» с разделением двоеточием (concat_ws(char(58)) выводимых параметров (username,password,email,icq). Прежде, разумеется,

не забудь убедиться, что существует таблица, именуемая именно

Users, и что поля в ней именуются username, password, email и icq (а

не, к примеру, membername, passwd или т.п.). Все это мне пришлось подобрать:

Получение ника и хеш-пароля первого пользователя (админа)

не было. Ладно, тогда спросим у людей, которые постоянно их брутят — я решил перебрать форумы хакеров в рунете. Запостив на одном из них просьбу расшифровать хеш, примерно через два часа я увидел пароль Криса.

Трюк с поиском админки

Ну а теперь оставалось вроде бы самое простое — найти админку, зайти в нее и посмотреть список черновых заметок моего друга Криса. Начал я искать админку. Потратив пять минут и перебрав все основные банальные варианты админок, понял, что вручную я ее, скорее всего, не подберу. Начал думать, как бы еще я мог получить какую-то информацию о содержимом сайта. И тут мне в голову пришла отличная идея, которая иногда очень даже полезна! Из своего опыта работы в интернете по развитию и продвижению сайтов я знал, что многие админы кладут в корень сайта файлик robots.txt (с настройками и указаниями для поисковых ботов, что индексировать, а что — нет, и прочими тонкостями). Грубо говоря, все директории, куда не следует заглядывать боту, без проблем можно указать в этом файле после специальных ключевых слов. Вот я и поспешил проверить, есть ли там этот файлик. Мне повезло, потому что админы этого крупного солидного проекта как раз в нем и указали адрес к админке. Добавлю, что вручную я бы и за неделю не подобрал эту входную часть ссылки (/tvgadmin). Вот как раз то, что мне нужно, подумал я. И хорошо, что не стал терять время на поиск XSS! Зачем нести затраты, если в этом нет необходимости?

В админке

Попав в админку, я осмотрелся и убедился, что мои

первоначальные догадки о том, что над этим проектом трудится большое количество редакторов — оказались верными. А Крис Лейтон — самый главный из них, поскольку может назначать и убирать редакторов через админку. Неподалеку я нашел раздел с черновиками, в котором находилось то, ради чего и была вся кутерьма! Что ж, уязвимость можно попытаться найти в любом популярном продукте. Сотни тестеров проверят каждый кусочек кода, но никто и ничто не гарантирует полной защищенности! Ура, товарищи! z

Крис Касперски

Редактированиедиректориитаблицдля«подключения»TLS

самомодификации программы. Дизассемблерами она не отлавливается и заводит хакера в тупик.

TLS используется в большом количестве протекторов, защит, вирусов, crackme и прочих программ, взлом которых описан в куче различных туторалов. Однако изложение обычно носит поверхностный характер — целостной картины после прочтение не создается. Попробуем это исправить.

Fundamentals

Прежде всего, нам понадобится спецификация PE-форма- та, последнюю версию которого (представленную в виде XML) можно утянуть прямо из-под носа Microsoft. Тот же самый файл, только конвертированный в MS Word 2000, я выложил на своем сервере.

TLS-таблица описывается девятым (считая от нуля)

четвертным словом в Optional Header Data Directories.

Первое двойное слово хранит в себе RVA-адрес TLSтаблицы. Второе — ее размер, который игнорируется всеми известными мне операционными системами.

Поэтому здесь можно писать все что угодно, хоть 0, хоть FFFFFFFFh. Дизассемблерам это крышу не срывает, во всяком случае — IDA-Pro, Olly и даже примитивный

DUMPBIN работают как ни в чем не бывало. А вот проверка валидности размера TLS-таблицы может появиться в любой момент, так что лучше не прикалываться и писать то, что нужно.

TLS-таблица может находиться в любой секции с атрибу-

тами IMAGE_SCN_CNT_INITIALIZED_DATA | IMAGE_ SCN_MEM_READ | IMAGE_SCN_MEM_WRITE (например, в

секции данных).

Некоторые линкеры помещают TLS-таблицу в специальную секцию .TLS или .TLS$ — это делается из чисто эстетических соображений. Системный загрузчик не проверяет имя секции. Правда, некоторые упаковщики не обрабатывают TLS, расположенные вне секции .TLS, но это уже их личные проблемы. Тем более, ряд упаковщиков, что такое TLS, не знает вообще.

Функции обратного вызова вызываются системным загрузчиком при инициализации/терминации процесса, а также при создании/завершении потока. Они имеют тот же самый прототип, что и DllMain:

Прототипфункцийобратноговызова

typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) (

Результат работы рукотворного TLS

Дуримантивирусы

СекретыTLSнаэтомнезаканчиваются.Ониспособнынатакиетрюки,что простодухзахватывает.Некоторыевирусывнедряютсяисключительнопутем модифицированиявсего4хбайт—указателянаTLS-таблицу,расположеннуюв памяти(воднойизсистемныхDLL),гденаходитсяуказательнакомандупереда- чиуправлениянаshell-код.

Конечно,подобнаятехникавнедренияработаеттольконатойверсииоперационнойсистемы,подкоторуюоназаточена,ноантивирусытакихвирусовне обнаруживают.Или,вообще,необращаютвниманиянаизменениеdirectory table.

TLS-функция обратного вызова в HIEW’e

Остается только занести TLS в таблицу директорий. В HIEW’е это делается так: открываем файл, переходим в hex-режим, давим <F8> для вызова PE-заголовка, а следом

— <F10> для вызова директории таблиц. Подгоняем курсор к TLS и редактируем его по <F3>, вводя RVA-адрес начала TLS-таблицы (в нашем случае — 6100h) и размер (можно брать любой).

Боевоекрещение

Загружаем hello-TLS.exe в отладчик (например, в Ольгу) и ходим по адресу 00406100h. Мы четко видим, что двойное слово 66666666h по адресу 00406130h мистическим образом обратилось в ноль, зато нулевое двойное слово по адресу 00406140h, уменьшившись на единицу, превратилось в FFFFFFFFh— результат записи индекса и вызова callback’а, соответственно. Это произошло до того, как мы успели выполнить хотя бы одну команду, стоя в точке входа.

Какэтоломают

Существуетмножествоplug-in’овдляОльги,автоматически стопящихсявначалеTLS.Но,во-первых,большинствоиз нихнеумеютобрабатыватьболееодногоcallback’а,аво- вторых,мы—хакеры—должнывседелатьсвоимируками. Короче,зовемнапомощьHIEW.Открываемфайлипо<F10> зовемдиректориютаблиц,какужеописывалосьвыше. ВидимтамTLSичтоRVA-адреснеравеннулю.Ага!Значит, тутестьTLS!Подгоняемкурсоркстроке«TLS»ипереносимсятудапоENTER’у.Четвертое(считаяотодного)двойное слово—указательнатаблицуфункцийобратноговызова. Смотрим,чтоунасздесь.Аздесьунас 00406190h.Переходимпообозначенномуадресуижмем<ENTER>,переключая HIEWврежимдизассемблера.Изучаемcallback,попутно запоминаяегоадрес.Оннампонадобитсячутьпозже.

Мы снова в Ольге. И снова TLS-callback отработал еще до завершения загрузки файла в отладчик. Но сейчас-то

Формат TLS-таблицы для PE32/PE32+ файлов

мы знаем его адрес! Давим <CTRL-G>, вводим «00406190h» (адрес callback’а) и устанавливаем аппаратную точку на исполнение. Теперь перезапускаем отладчик по <CTRL-F2>. На этот раз Ольга останавливается в начале функции обратного вызова (см. рисунок). Трассируя ее, мы доходим до RET, попадая в недра NTDLL.DLL, но <F9> выносит нас в точку входа (а если не выносит — ставим туда бряк).

Аналогичнымобразомработаютидругиеотладчики(вчастности,Soft-Ice). IDA-Pro автоматически отображает TLS-callback’и в списке точек входа (<CTRL-E>), а также дешифрует TLS-таблицу в удобной форме. Так что, на сложности взлома жаловаться не приходится. Главное, помнить о TLS-индексе и о том, что он может использоваться для самомодификации.

TLS-таблицадекодированияIDA-Pro

Buckme-crackme—реальныйхардкор

Разобравшись с основами TLS, попробуем заломать buckme-crackme. Заломать, в смысле, распаковать, а упакован он UPX’ом, что лег-

ко определить как с помощью PEiD/PE-TOOLS, так и визуальным просмотром файла в HIEW’е — по названиям секций UPX0, UPX1, UPX2. Запускаем упакованный файл на выполнение и видим ухмыляющуюся рожицу в диалоговом окне. Берем UPX и пишем «$UPX -d buck-me.exe»… Получаем: «upx: buck-me.exe: IOException: buck-me.exe: Permission denied» — как это так? С какого вдруг перепугу доступ отвергнут? Атрибута Read-Only у файла нет. Правда, на запись в файл у нас атрибуты были. А теперь нет. Куда же они подевались? Все просто. После нажатия на «OK» программа не завершилась, и процесс продолжил болтаться в памяти. А, как известно, доступ к запущенным файлам заботливо блокируется системой.

Лезем в «ДиспетчерЗадач» (или в FAR) и сносим процесс «buckme.exe» к чертовой матери, после чего пробуем повторить операцию. На этот раз распаковка проходит успешно, но при запуске распакованного файла он матерится так, что на это лучше не смотреть.

Короче, накрылась наша распаковка медным тазом. Поведение распакованной программы радикально изменилось. Значит, где-то есть проверка на наличие упаковщика. Чтобы понять, где, смотрим распакованный код, который предельно прост.

Распакованныйкодbuckme-crackme

Ничего непонятно! Во-первых, в файле начисто отсутствует строка «:-)», зато есть «buck». Вместо «buck» мы получаем «fuck», а все потому, что «buck» ссорится с аргументом, переданным программе, — который при выполнении из шелла равен 04h, а при запуске под отладчиком — 00h. Так программа еще и отладчик детектит? Здорово! Но все же, куда девалась наша улыбающаяся рожа?

Упакованный вариант, видимо, вызывал функцию start, передавая ей такой аргумент, который при наложении на buck выдавал«:-)». Проделав обратную операцию, мы восстановим исходный аргумент — 6B4A5858h. Интересно, кто бы его мог заслать в стек? Уж точно не UPX!

Извлекаем оригинальный exe из архива и загружаем его в HIEW. Втыкаем в директорию таблиц. Видим, что там есть TLS. Рысцой переключаемся на распакованную версию. TLS — как турбиной сдуло. Что хоть в TLS было? Зовем на помощь IDA-Pro или HIEW.

УтерянныйприраспаковкеTLScallback

Ага, вот он — уже знакомый нам аргумент 6B4A5858h, засылаемый в стек. После чего callback проверяет значение параметра Reason и, если он не DLL_PROCESS_ATTACH, то циклит программу. В противном же случае передает управление на точку входа, давая отработать UPX’у. Тот распаковывает программу и зовет start, оставляя на стеке 6B4A5858h. А вот при статической распаковке UPX не сохраняет TLS, поскольку TLS был наложен руками на уже упакованный UPX’ом файл.

Подобный трюк использовался в конкурсе, проводимом F-Secure. Большое количество участников, видя знакомый UPX, распаковывало его на автомате, теряя TLS-callback, а вместе с ним — и часть функционала.

Вывод: перед распаковкой всегда смотри TLS!z

Леонид «R0id» Стройков

/ r0id@bk.ru /