Microsoft Windows XP Workstation Service Remote Exploit (MS03-049)

-Esp- Guest	#141 Это нравится:0 Да/0 Нет 06.01.2004 11:22:16 Ну вот тоже все исправил, скомпилил - нихэ не пашет.Комп начинает дико глючить и все...И в чем тут дело?

Rondo

Guest

#142

Это нравится:0 Да/0 Нет

06.01.2004 15:04:25

r00t
Знаеш я пробовал разобраться
На асме я кодить не умею, на си не очень.
Ведь надо написать прогу на си которая просто откроет cmd и
кидает в него net user & net localgroup
потом отдизассембелировать, а потом хекс редактором выдераем машиный код, я правильно всё понял?
А реверс шелл я даже не представляю как написать на си... [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG]

Rondo Guest	#143 Это нравится:0 Да/0 Нет 06.01.2004 20:19:52 Кстати на сайте intel лежит повреждённый сетупняк intel cpp comp., 2 раза качал с разных мирроров нехрена! [IMG]http://www.securitylab.ru/forum/smileys/smiley7.gif[/IMG] А у меня диалап!

r00t

Guest

#144

Это нравится:0 Да/0 Нет

06.01.2004 22:31:35

Rondo
Лол зачем так сложно.
Шеллкод пишется на асме, а потом просто в HEX виде вставляется в исходник эксплоита, к-рый обычно на C пишут.
Реверсшелл это тот же шелл, но к-рый не порт открывает, а инициирует исходящее соежинения, к-рое при разрешенных на файрволе исходящих соединениях по определенным портам пройдет незаблокированным.
А вообще в инете про все куча док лежит, как и рабочие шеллкоды любых типов под любые платформы - осталось только найти и вставить, еси сам написать не можешь (:

Rondo

Guest

#145

Это нравится:0 Да/0 Нет

07.01.2004 18:49:10

ХМ я знаю что такое реверс шелл. Ведь если просто выдрав шеллкод из одного сплоита и вставив его в другой, то сплоит фурыкать не будет, а надо вычеслять расположение шеллкода по формуле: нужный адрес = 0xbfffffff - 5 - длина имени файла. Я правильно понял ? А насчет готовых я поищу.

r00t

Guest

#146

Это нравится:0 Да/0 Нет

08.01.2004 05:13:38

Rondo
По поводу 0xbfffffff - ты путаешь линукс с виндой, если вообще понимаешь о чем речь.
Стандартный универсальный виндовый (биндшелл/реверсшелл)шеллкод не зависит ни от оси в пределах семейства NT(т.к. с 9x много мороки много да и никому они нафиг не нужны, поэтому под них как эксплоитов так и шеллкодов мало), ни от SP - от этого зависит только адрес aka offset инструкции на к-рую происходит переход после переполнения.
В реверсшеллкоде меняется только адрес и порт куда делается обратный коннект, они прописываются прямо в шеллкод по известным смещениям внутри него на этапе генерации шеллкода перед его кодированием и отправкой по нужному адресу (:

Rondo Guest	#147 Это нравится:0 Да/0 Нет 08.01.2004 19:10:17 Понятно, спасибо за инфу!

Poukzujan

Guest

#148

Это нравится:0 Да/0 Нет

10.01.2004 21:19:03

Я задаю может уже всем поднадаевший вопрос о компиляции программы. Исправил как указана на форуме, ругается 0349(sec) error C2664: '_beginthread' : cannot convert parameter 1 from 'void (void)' to 'void (__cdecl *)(void *)'
, в чём проблема?. Я пользуюсь vc++.net , и ещё в состав этой проги входит lib.exe как я понимаю аналог buildlib.exe который не запускается и хочет файл mspdb70.dll который имеется в системе!

LoD

Guest

#149

Это нравится:0 Да/0 Нет

12.01.2004 12:46:57

to Poukzujan
void __cdecl send_exp(void* pParam)
Вопрос:
У меня про компиляции выдаёт следущее
test error LNK2020: unresolved token (0A00001A) optarg
test fatal error LNK1120: 1 unresolved externals
warningC4068: unknown pragma
warningC4068: unknown pragma
warningC4068: unknown pragma
getopt.h из netcat подключал!
to:r00t
Ты говорил про технику ниндзя, как я понял она используется в qwks сплоите.
Не мог бы ты подробнее её описать?

k-otik Guest	#150 Это нравится:0 Да/0 Нет 13.01.2004 10:20:33 Будет ли этот сплоит работать против win2k?

fiNis

Guest

#151

Это нравится:0 Да/0 Нет

13.01.2004 10:30:45

Цитата
k-otik пишет: Будет ли этот сплоит работать против win2k?

по определению не должен =) хотя чудеса бывают всякие

k-otik

Guest

#152

Это нравится:0 Да/0 Нет

13.01.2004 17:18:49

Как по определению? Если положить оффсет от вин2к то он заработает? Сдесь проскальзывали мессаги о том что этот эксплоит НЕКОГДА не сможить эксплотировать 2к. Хотя уязвимости подвержены и 2000 и XP...

k-otik Guest	#153 Это нравится:0 Да/0 Нет 13.01.2004 17:20:49 TO fiNis: не подскажеш что надо менять в твоём экслоите при смене шеллкода ( как прикрутить другой шеллкод ? )

r00t

Guest

#154

Это нравится:0 Да/0 Нет

13.01.2004 18:56:34

LoD
Суть метода ниндзя - в создании шеллкода, к-рый преодолевает фильтрование/преобразование программами входных данных.
Создается самомодифицирующийся декодер, состоящий из инструкций, коды к-рых попадают в диапазон разрешенных сомволов, к-рые проходят через фильтр без модификации. Декодер получает управление после переполнения в уязвимой программе, затем, по мере выполнения, он преобразует себя в нормальный код, чтобы выполнить свою задачу - декодирование основного шеллкода, расшифровывает шеллкод и передает на него управление. Т.е. шеллкод просачивается через фильтр и выполняет свою задачу.
Основная сложность - написание декодера, состоящего только из разрешенных кодов инструкций, основной же шеллкод может состоять из байтов с произвольными значениями - они на этапе генерации шеллкода будут преобразованы в байты с разрешенными значениями.
При написании декодера требуется мастерство, сравнимое с мастерством ниндзя, отсюда, скорее всего, и название метода (:

fiNis

Guest

#155

Это нравится:0 Да/0 Нет

14.01.2004 15:37:47

Цитата
k-otik пишет: Как по определению? Если положить оффсет от вин2к то он заработает? Сдесь проскальзывали мессаги о том что этот эксплоит НЕКОГДА не сможить эксплотировать 2к. Хотя уязвимости подвержены и 2000 и XP...

так и есть, почему читай там же

Цитата
k-otik пишет: TO fiNis: не подскажеш что надо менять в твоём экслоите при смене шеллкода ( как прикрутить другой шеллкод ? )

да не вопрос прикручивай:
если биндишь другой порт - поправь часть кода
если используешь реверсив.шел - перепиши часть кода
если юзера добавляешь - убери часть кода [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

k-otik Guest	#156 Это нравится:0 Да/0 Нет 14.01.2004 19:51:28 Спасибо fiNis! А если я хочу вставить опс другой шеллкод? Не надо больше нечего менять? Там же прочел но ни ху не понял! [IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG]

Welldone Guest	#157 Это нравится:0 Да/0 Нет 15.01.2004 04:51:43 to FINIS : pls send me your MS03-049 exploit + BINARY(!!!), because i cant copile it . I'm from Bulgaria . e-mail: askin@abv.bg ICQ UIN : 194598287 10xzzz [IMG]http://www.securitylab.ru/forum/smileys/smiley10.gif[/IMG]

DigiBrain

Guest

#158

Это нравится:0 Да/0 Нет

15.01.2004 15:22:17

Цитата
k-otik пишет: Спасибо fiNis! А если я хочу вставить опс другой шеллкод? Не надо больше нечего менять? Там же прочел но ни ху не понял! [IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG]

а что значит абсолютно другой шелкод?
ты че туда задумал от ... например Линуха запихнуть [IMG]http://www.securitylab.ru/forum/smileys/smiley36.gif[/IMG]

karlss0n

Guest

#159

Это нравится:0 Да/0 Нет

16.01.2004 17:13:40

2 r00t:
Да ладно никакой техники ниндзя там не требуется особо, у xor байткод 0x35, что соответствует замечательной цифре 5,а у jnz jne - 0x74 и 0x75 (t и u), так что любой фильтр пропустит =)
Вон Касперски в своей книге излагал как с помощью alt+numbers писать програмы в машинных кодах, да ещё при том, что половина цифр не работает =( ), хотя наверное это уже камасутра

))

r00t Guest	#160 Это нравится:0 Да/0 Нет 17.01.2004 18:46:22 karlss0n Никаких извратов применять не нужно против SP1, но против SP0 - нужно, иначе не сломается! Адрес начала шеллкода откуда возьмешь? Определение смещения шеллкода относительно адреса в ESP практически всегда вот так делается: jmp SHORT L02 L01: pop eax ; ebx/ecx/.. jmp SHORT L03 L02: call L01 L03: ... &nb sp; ; eax(ebx/ecx/..) = адрес L03 JMP = EB XX (опкод > 0x80), CALL = E8 XX XX XX XX(опкод >0x80, при том XX > 0x80, т.к. смещение специально выбирается отрицательное для того, чтобы нулей не было в rel_addr... Да и цикл по декодированию не только xor включает, а еще и проверку счетчика, да и в регистр счечика нужно сначала загрузить, а это нужно еще суметь сделать, т.к. MOV = 0xB0+XX, да и значение счетчика будет скорее всего содержать байт > 0x80. Да и еще - простое хоринье тут не поможет, т.к. каждый байт шеллкода должен быть <0x80, т.е. нужно что-то типа BASE64 кодирования шеллкода применять. Так что не все так просто и без ниндзюцы,чтобы сломать SP0, тут не обойтись (;

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?