[CrR@CkInGl@nDi@]

Quick Post - DRx Calculator v.1.1 x64 & source code

2011-11-15T18:53:00.000-08:00

Hola!,

hace un tiempo hice un post sobre una pequeña tool que desarrollé luego del training "Defeating Software Protections" en la Ekoparty 2011.

Este pequeño y rápido post es para hacerles saber que he agregado la versión de 64 bits y que además he colgado el source code de la herramienta en googlecode.

Hasta pronto!.

ARTeam Tutorial - Analyzing an Adobe Flash Malware CVE-2011-2110

2011-11-09T15:52:00.000-08:00

Hola!,

acá pueden encontrar un nuevo tutorial que escribí, esta vez, para la gente de ARTeam.

El tutorial es sobre un bug de hace un par de meses en Adobe Flash. Van a poder encontrar, entre otras cosas:

- Anáisis del bug
- Análisis del malware que explota el bug
- Análisis del exploit utilizado para explotar el bug
- Como desarrollar una pequeña herramienta utilizando Pin

Antes de despedirme, quiero agradecer a marciano, que fue con quien estuve analizando este bug, a Nacho_dj por el feedback sobre el tutorial y a Shub por editarlo y publicarlo. Gracias a todos ellos!.

El tutorial fue escrito en Inglés y Español, para que nadie se quede afuera :P

Espero que sea de su agrado!.

Cualquier comentario acerca del tutorial es bienvenido :)

Hasta pronto!.

[TOOL] DRx Calculator v1.0

2011-09-28T21:31:00.000-07:00

Mientras dictabamos el training Defeating Software Protections uno de los temas que se tocaban era el de como fabricanos un Loader Debugger (LD).

Para aquellos que no sepan de que se trata un LD les diré rápidamente que no es mas que un Loader (un programa que carga otro) pero con las capacidades de un debugger. Un LD permite tener una comunicación sincrónica con el target.

El hecho y motivo de este post tiene que ver con que cuando construimos un LD queremos colocar breakpoints para poder detenernos en ciertos lugares del programa y hacer nuestras modificaciones.

Como todo debugger, podemos colocar software breakpoints, memory breakpoints y hardware breakpoints. Estos últimos tal vez sean los más tediosos de colocar dado que tenemos que colocar un par de valores en una estructura llamada CONTEXT:


typedef struct _CONTEXT {
DWORD ContextFlags;
DWORD Dr0;
DWORD Dr1;
DWORD Dr2;
DWORD Dr3;
DWORD Dr6;
DWORD Dr7;
FLOATING_SAVE_AREA FloatSave;
DWORD SegGs;
DWORD SegFs;
DWORD SegEs;
DWORD SegDs;
DWORD Edi;
DWORD Esi;
DWORD Ebx;
DWORD Edx;
DWORD Ecx;
DWORD Eax;
DWORD Ebp;
DWORD Eip;
DWORD SegCs;
DWORD EFlags;
DWORD Esp;
DWORD SegSs;
BYTE
ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];
} CONTEXT;

Básicamente, lo que se hace es colocar las direcciones, en las cuales queremos que estén los hardware breakpoints, en los registros que van desde DR0 a DR3 (DEBUG REGISTERS) y luego, colocar un valor en el registro DR7 que indica tres cosas:

Que registro se utilizó para colocar el HB
De que tipo es el HB (ON_EXECUTION, ON_READ, ON_WRITE)
La cantidad de bytes que abarcamos con el breakpoint (1, 2 ó 4)

Esa constante que se coloca en DR7 se calcula en base a una tabla (http://members.fortunecity.com/blackfenix/seh.html). Por ejemplo, si quisieramos colocar un HB ON_EXECUTION en DR0, deberíamos de hacer una cuenta como esta:


LOCAL_EXACT_BPM_ENABLED + DR0_LOCAL_EXACT_BPM_ENABLED + DR0_EXECUTION + DR0_LEN1

Según la tabla, los valores para cada constante son:


LOCAL_EXACT_BPM_ENABLED = 100000000b
DR0_LOCAL_EXACT_BPM_ENABLED = 1
DR0_EXECUTION = 0
DR0_LEN1 = 0

Por lo tanto, el resultado es: 101h

Para no tener que andar haciendo ninguna cuenta hice una pequeña aplicación que calcule las cosas solitas, nada del otro mundo pero tal vez a alguno le pueda ser útil (sobre todo a aquellos que siempre tienen fiaca :P):

Puede bajar la aplicación aquí.

UPDATE: Subí una nueva version (v1.1) con un pequeño fix acá.

Hasta la próxima!.

Defeating Software Protections - Un año más!

2011-09-21T18:53:00.000-07:00

Como dice el título, un año más se suma a nuestra experiencia como trainers en la Eko.

Este 2011 nos dejo un buen sabor de boca con el training "Defeating Software Protections" que dictamos junto con @ricnar456 y @solidcls en la Ekoparty.

El training comenzó con una introducción básica a ASM (para todos aquellos que no tenian muy fresco el tema) y luego continuo con la Introduccón al Cracking en la cual se comienzan a ver las técnicas básicas de protección y los mecanismos que existen para atacarlas. Algunos de los temas mas importantes que se trataron fueron Loaders, Cracking en Java, Cracking en .NET y Unpacking, pero además se tocaron otros temas como Loaders y estructura PE.

Realizamos ejercicios paso a paso junto con los alumnos y prácticas para ver si la gente que asistió realmente estaba aprendiendo :)

Por los comentarios que recibimos de la misma gente que asistió al training podemos decir que fue todo un éxito! todos quedaron contentos!.

Quiero agradecer, primero, a Core Security por permitirnos preparar el training, a la organización de la Ekoparty por darnos el lugar para dictarlo, a las personas que asistieron y a mis compañeros con los cuales preparamos todo el material.

Les dejo una postal!.

BlackHat 2011 USA - Defcon 19

2011-09-05T21:14:00.000-07:00

Hace un par de semanas tuvieron lugar en Las Vegas dos de las conferencias mundiales mas importantes en lo que a seguridad informática se refiere, BlackHat y Defcon.

Tuve la suerte de estar este año allí y poder ver de que se trata. Lamentablemente no fui como speaker (no faltará oportunidad) pero de todas maneras fue una experiencia increíble que sin dudas quiero volver a repetir.

Este post es para contarles un poco sobre algunas de las charlas a las que asistí. No quiero discutir en detalle cada una de las charlas sino comentarles un poco de que trató cada una. Para tener más información al respecto pueden ver cada uno de los papers y/o videos de los mismos.

Vamos a hablar primeramente de las charlas de BH.

Constant Insecurity: Things you didn't know about (PE) Portable Executable file format (Mario Vuksan + Tomislav Pericin): Esta fue la primera de las charlas a las que asistí. Los que me conocen saben que el trabajo de la gente de ReversingLabs me agrada mucho y como no podía ser de otra manera esta charla no podía perdermela. Lo primero que se hizo fue dar un breve repaso por la estructura PE y luego se contrasto lo que dice el PECOFF con lo que realmente hace el loader de Windows al cargar un ejecutable. Se mostraron los diferentes tipos de malformaciones que existen en la estructura de un ejecutable que según la documentación oficial de Miscrosoft no pasarían como archivos válidos, sin embargo los archivos se ejecutaban perfectamente.

Muchas de las malformaciones en archivos ejecutables no son contemplados por las herramientas que hoy en día se utilizan para realizar RCE. Por lo tanto, es interesante para cualquier persona sean malware analysts o virus writters, desarrolladores de packers o crackers, etc; estar al tanto de estás cosas para no fallar en su análisis o desarrollo, respectivamente.

Aquí pueden encontrar el paper y los slides de la charla.

Attacking Clientside JIT Compilers (Chris Rohlf + Yan Ivnitskiy): Esta charla fue interesante hasta un punto dado. Por qué? pues porque en un punto era necesario tener una idea clara sobre JIT compilers, cosa que yo no tengo :P.

La charla se baso en dos ejes, los JITs de Mozilla y el de LLVM. Mostraron como funciona cada uno de ellos y sus diferencias. Esta parte estuvo un poco densa para mi gusto pero tal vez haya sido por la falta de conocimiento sobre el tema.

Además, hablaron sobre varias cosas más como vulnerabilidades en los JIT compilers y sobre técnicas de explotación como JIT Spray, JIT Feng Shui (una variación del Heap Feng Shui) y especialmente sobre las herramientas que desarrollaron y utilizaron en su research.

Para el que quiera saber un poco más al respecto, puede consultar el paper y los slides aquí.

Windows Hooks of Death: Kernel Attacks Through User-Mode Callbacks (Tarjei Mandt): Esta era una de las charlas obligadas para todas aquellas personas a las cuales nos apasiona el mundo de ring0, los kernels y las cosas a muy bajo nivel.

En esta charla se habló sobre las decenas de vulnerabilidades que Tarjei encontró en el kernel de Windows, más precisamente en win32k.sys cuando maneja la transición de un callback desde user-mode a kernel-mode. Cada una de las vulnerabilidades fue clasificada en una categoría específica, habló de cada una de esas categorías, donde fue que estaba la falla y como se podía hacer para explotarla aunque primeramente nos dió un paseo por win32k y varias estructuras utiilzadas por el mismo. Finalmente, hizo dos demos en las cuales nos enseñó como logró explotar de manera reliable dos de esos bugs. Una charla que no tuvo desperdicios.

Aquí pueden encontrar los slides y el paper de la charla.

Reverse Engineering Browser Components: Dissecting and Hacking Silverlight, HTML 5 and Flex (Shreeraj Shah): Al leer sobre que iba a tratar esta charla estaba bastante entusiasmado por asistir. Cosas que tienen que ver con la Web directamente como HTML5, Silverlight y Flex no me apasionan demasiado, sin embargo, para mi trabajo diario era una buena oportunidad de aprender algo al respecto para luego aplicarlo.

Shreeraj contó sobre el uso de las diferentes herramientas existentes hoy en día para atacar cada una de las tecnologías mencionadas. Al menos yo, esperaba ver un IDA abierto en algun momento con código, contando algo más que presionar un botón para poder realizar determinada tarea.

De todas maneras, al que le interese puede mirar los slides + paper.

Playing In The Reader X Sandbox (Paul Sabanal + Mark Yason):Esta charla estuvo buena salvo por el final donde se hicieron los piolas. Antes les cuento más o menos de que iba la charla.

Como se podrán imaginar, en la charla se discutía sobre el sandbox implementado en Adobe Reader X. Primero hablaron de la relación entre este sandbox y el de Chromium (sí, parece que está basado en el sandbox de Chromium), las herramientas que utilizaron para poder reversearla, sobre la arquitectura y mecanismos de restricciones que posee y lo más importante para un Exploit Writter, que se puede hacer y que nó, es decir, limitaciones y debilidades del sandbox.

Como les dije al principio, todo iba bien hasta el final donde hicieron dos demos. La primera fue sobre una vulnerabilidad conocida publicamente (CVE-2011-0609). En la segunda demo, aparentemente, bypassearon el sandbox con un bug que no es público hasta el momento y del cual no se conocen detalles. Esto último fue algo que no me pareció que le sumara valor a la charla, simplemente, a mi manera de ver las cosas, lo mostraron como una manera de decir: "Miren que piolas que somos, tenemos un 0-day y ustedes no". Porque además fue algo como: "Ahora vamos a hacer la segunda demo en la cual vamos a bypassear el sandbox.", "OK, demo terminada", "No más preguntas". WTF?.

En fin, el que quiera puede mirar los slides y el paper.

Algunas de las charlas de Defcon 19 a las que asistí fueron:

Chip & PIN is Definitely Broken (Andrea Barisani + Adam Laurie + Zac Franken + Daniele Bianco): Esta charla fue otra de esas en las que si no estás un poco al tanto de las cosas te perdes algunas otras :P pero en términos generales, hablaron sobre estas tarjetas que pueden ser utilizadas como débito y crédito gracias a un chip que tienen y les permite hacer este tipo de transacciones. En Argentina no conozco a nadie todavía que tenga una de estas, de hecho creo que en nuestro país aún no existe este sistema sino que tenemos que contar con dos tarjetas, una de débito y otra de crédito.

La charla se centraba en los mecanismos de protección y validación que se tienen para este tipo de tecnología y como un atacante podía clonar y utilizar una tarjeta robada.

Acá pueden encontrar el paper de la charla.

Economics of Password Cracking in the GPU Era (Robert "Hackajar" Imhoff-Dousharm): El speaker en esta charla era un troll hecho y derecho. La verdad, lo que menos importó fue la charla en sí, podría haber estado hablando de como construir un cohete a marte que a nadie le hubiera interesado. Puedo resumir esta charla en dos cosas: Troll y pendejas golpeandose con almohadas. Pero antes de seguir, les voy a comentar un poco de que iba la cosa.

La charla fue meramente informativa. Habló sobre que hardware y software necesitamos para crackear passwords utilizando GPUs. Además, había una planillita que calculaba el tiempo que tardaríamos en crackear un password de x cantidad de caracteres utilizando una configuración determinada. Ah, y cual sería la mejor máquina que podríamos armar para poder crackear passwords!, lástima que salía algo de 52.000 dólares!.

Ahora sí, lo interesante de la charla fueron dos cosas:

1) En casi toda la charla se la pasó trolleando a todas aquellas empresas que tenían productos para crackear passwords y que, según su opinión, no servían para nada.

2) En un momento de la charla entraron aproximadamente 10 chicas golpeandosé con almohadas, se fueron hasta el escenario a continuar golpeandosé entre ellas y finalmente se fueron.

Fue una charla bastante atípica!.

Los slides de la charla los pueden encontrar aquí.

Como habrán podido observar, no hay nada espectacular en este post, nada técnico ni detallado en profundidad, simplemente quería compartir con ustedes mi opinión sobre cada una de las charlas a las cuales asistí. Si a alguno le gustó bien y sino ... también.

Hasta cualquier otro momento!.

[TUTORIAL] Writing Dynamic Unpackers for Fun with TitanEngine (English)

2011-07-13T21:13:00.000-07:00

Hola!,

esta entrada es para comentarles que finalmente, y a pedido de muchos, la versión en inglés del tutorial sobre TitanEngine y FUU fue agregado a la sección de Downloads del proyecto.

Quiero agradecer a las personas que tuvieron mucho que ver con este arduo trabajo que fue traducir y revisar mas de 80 páginas:

* Juan Esteban Forgia (@ztoker) por traducir las primeras 4 páginas del tutorial.
* Apokliptiko por traducir la segunda parte del tutorial.
* Francisco Falcón (@fdfalcon) por leer y revisar la gramática.
* Fotis (@__fastcall) por darnos ánimos estas últimas semanas. Eso nos dió la fuerza que faltaba para terminar este trabajo!.

Gracias a todos ellos!.

Si encuentran algun error, por favor, avisenme y será corregido a la brevedad.

Espero que lo disfruten!.

Un abrazo!.

[Training Ekoparty 2011] Defeating software protections

2011-07-07T22:25:00.000-07:00

Hola!,

esta entrada es para hacerles saber que este año 2011 estaremos nuevamente presentes en la Ekopary, la conferencia mas importante sobre seguridad informática en Latinoamérica, con el training "Defeating Software Protections".

A continuación, les dejo el temario del curso:

CONTENIDO:

Cuando una empresa o programador necesita distribuir su Software, Shareware, Trial o Demo, necesita optar por algún mecanismo para proteger la propiedad intelectual de los ojos curiosos de los crackers.

Que mejor que un curso de cracking para estar al tanto de las técnicas mas utilizadas a la hora de romper protecciones de software?. Conocer las técnicas mas comunes a la hora de desproteger software brinda la posibilidad de desarrollar nuevos mecanismos para protegerlos.

El training comenzará con una introducción de assembler(x86) y las herramientas generalmente empleadas para luego continuar con la descripción del formato ejecutable utilizado en Windows.

Se mostraran diversas técnicas para obtener un serial en memoria o como patchear instrucciones para desviar la ejecución del programa y evitar que se ejecuten funciones no deseadas. Este día finalizara con la creación de un patcher, el cual facilita por ejemplo la distribución de los cambios hechos en un ejecutable.

Durante el transcurso del segundo día, se intensificara lo aprendido aplicándolo a diferentes lenguajes de programación. Se expondrán las técnicas para atacar aplicaciones .NET y Java entre otros.

Se explicara el funcionamiento de las protecciones comerciales ( packers ) y las diferentes formas de atacarlas. También se demostrara como modificar los programas protegidos sin necesidad de desempacar los binarios ( inline patching ).

Los alumnos aplicaran los conceptos aprendidos en la resolución de ejercicios creados especialmente para el Training versión EKOparty.

Se realizara la entrega de un manual con mas 300 paginas ilustrativas + CD con el contenido completo de todo el curso, incluyendo sus ejercicios, herramientas y la foto de Ricardo Narvaja.

Día 1:

* Conceptos básicos y herramientas
* PE structure
* String references
* Serial fishing
* API cracking
* Patchers
* Loaders

Día 2:

* .NET cracking
* Java Cracking
* Unpacking
* OEP finding
* Stolen bytes recovering
* IAT rebuilding
* Ollyscripting
* Inline patching
* Antidumping
* Antidebugging
* Keygenning

Para el que le interese y necesite más información, consulte aquí.

Los esperamos!.

[Advisory] HP Data Protector EXEC_CMD Buffer Overflow Vulnerability

2011-06-29T16:49:00.000-07:00

Hola!,

después de un par de meses sin ningún post volvemos con algunas noticias.

En esta pequeña entrada les quiero hablar un poco de un bug que encontré haciendo research de otro bug (ZDI-11-055).

El bug ZDI-11-055 es un path traversal que termina en Remote Code Execution.

El paquete que se envia para triggerear el Path Traversal contiene un Path (el ejecutable que queremos lanzar en la maquina remota), si este path es lo suficientemente largo, puede producir un stack overflow.

Pueden encontrar el advisory con el analisis del bug acá.

Algo importante para mencionar es que al momento de escribir este post no hay patch oficial para este bug.

Aprovecho para comentarles que en breve voy a publicar un par de tutoriales que tal vez les puedan interesar!. Asi que atenti!.

Saludos.

Nuevo Plugin para FUU - dePFE

2011-02-18T10:53:00.000-08:00

crosspost de: http://pastafr0la.wordpress.com/2011/02/18/probando/

Gracias a "El Tio Pastafrola" por la colaboracion y por prenderse con el proyecto FUU!.

Hola amigos, hoy les traigo una pequeña reseña sobre el packer PFE CX v0.1 con el cual hice mis primeros pinitos en TitanEngine y FUU

primero echemos una mirada a la GUI del protector

haremos una muestra con el maximo nivel de compresion y todas las opciones activadas, en mi caso usare calc.exe para probarlo.

Este protector corre en dos procesos como podemos ver en la imagen

asi que lo cargamos con OllyDBG y buscamos las llamadas a CreateProcessA para caer en la zona caliente del packer

aca estamos en la zona caliente, vemos como crea el proceso hijo en modo suspendido, alloca memoria y despues le escribe algunas cosas en memoria :)

Pongamos un bp en el WriteProcessMemory que le sigue al VirtualAllocEx y miremos que tiene el buffer

ese MZ corresponde a la cabezera de nuestro protegido, en mi caso calc.exe. Esto significa que no tendremos que trabajar con el segundo proceso porque el primero ya nos da el programa en bandeja de plata.

Lo unico que tenemos que hacer ahora es alinear y dumpear

Para alinearlo, cambiamos el RawOffset y RawSize de cada seccion por su VirtualOffset y VirtualSize respectivamente.

y hacemos un dumpeado de memoria con por ejemplo, el dumper del plugin IsDebuggerPresent

Obteniendo un PE valido y funcional.

Automatizarlo con TitanEngine es bastante sencillo, los pasos a seguir serian:

Setear un BP en WriteProcessMemory con la funcion SetAPIBreakPoint.
El callback encargado de procesar ese breakpoint, alineara y dumpeara la imagen :)

Para dumpear regiones de memoria tampoco nos tenemos que complicar mucho, ya que TitanEngine nos provee de la funcion DumpMemory.

Eso es todo amigos, un packer facilito siempre y cuando ataquemos el primer proceso. En las primeras pruebas arranque trabajando con el segundo proceso y la verdad es que cuesta mucho trabajar con los 2 procesos a la vez debido a que el SDK aun no nos provee de dichas funciones y lo tenemos que hacer a mano.

Todo este proceso fue automatizado en el siguiente plugin: bin src

p.d. Para los que estan interesados en crear algun plugin para FUU, les paso la buena noticia que ya no es necesario el uso de la funcion _DoUnpack para elegir setear nuestro primer callback.

Ahora directamente trabajamos con InitDebugEx que como ultimo argumento nos permite definir un bp que se ejecutara cuando llegue al callback del debuggee.

Tengan bien presente esto, ya que si tratan de definir bp en API's sin haber iniciado el DebugLoop, esta funcion no procesara el LOAD_DLL (CodeException 06) y por lo tanto no podran setear los bp debido a que no estan cargadas las dll's.

Advisory - Symantec Intel Handler Service Remote DoS

2010-12-13T12:44:00.000-08:00

Hola!,

quería dejarles el ultimo advisory de una vulnerabilidad que descubrí hace ya un tiempo investigando otro bug.

El análisis y una descripción tenica la pueden encontrar acá: Symantec Intel Handler Service Remote DoS

Saludos.

aadp4olly v0.2 & aadp4immdbg

2010-11-29T16:42:00.000-08:00

Hola!,

queria hacerles saber que una nueva version de aadp4olly ha sido releseada. Entre las mejoras, podemos citar las siguientes:

v0.2 (29/11/2010)
--

- added Anti-Antidebugging features for the following tricks:
* BlockInput
* SuspendThread
* UnhandledExceptionFilter
* Process32Next
* Module32Next
* ZwQuerySystemInformation
* ZwQueryObject
* TerminateProcess
* ZwOPenProcess
* FindWindow

- now, the plugin should support XP (ALL), Windows Vista (ALL) and Windows 7 (ALL) OS.

Quedan algunos bugs de la version v0.1.3, en especial los reportados por Peter Ferrie que tienen que ver con una falta de comprobacion sobre algunos punteros, pero van a ser fixeados en la proxima version (v0.3) en la cual ya estoy trabajando!.

Como nota final, les puedo adelantar que con la proxima version de aadp4olly voy a liberar los sources de aadlib, la libreria anti-anti-dbg en la cual se basa el plugin.

La ultima version de aadp4olly la pueden conseguir en la web del proyecto: aadp

Junto con esta nueva version de aadp4olly, he releseado aadp4immdbg, que seria basicamente el mismo plugin pero para ser utilizado con ImmunityDebugger.

Saludos!,

Hasta la proxima!.

UPDATE (02/12/2010): fue agregada una nueva modificacion del plugin aadp4olly, aadp4ollysnd es una version de aadp4olly pero ajustada para trabajar con el OllySND. Gracias a Guan de Dio por esta modificacion.

Lamerz!

2010-11-28T00:27:00.000-08:00

Hola!,

este pequeño post es para contarles algo sobre lo cual tal vez ya esten al tanto.

La semana pasada, un compañero de la lista de Crackslatinos me señalo un post en un blog, ese post era el siguiente:

http://martik-scorp.blogspot.com/2010/11/martk-unpacker.html

Seguramente, ese link no les va a funcionar, sin embargo, todavia se puede acceder desde la cache de google: http://goo.gl/0J0o9

Bajo una vista rapida no parece nada del otro mundo, otra tool para desempacar ... pero mirando detenidamente, veo que tiene muchas similitudes con FUU:

Epa!, los mismos plugins que FUU?, las mismas tools que FUU?. Bueno, pero FUU es open source bajo GPLv3, con lo cual, cualquiera puede agarrar el source, agregar nuevas funcionalidades y hacer su propio release, obviamente bajo la misma licencia que el proyecto original, ademas, esta obligado a dar creditos al autor original. Obviamente, las modificaciones hechas:

7. Additional Terms. “Additional permissions” are terms that supplement the terms of this License by making exceptions from one or more of its conditions. Additional permissions that are applicable to the entire Program shall be treated as though they were included in this License, to the extent that they are valid under applicable law. If additional permissions apply only to part of the Program, that part may be used separately under those permissions, but the entire Program remains governed by this License without regard to the additional permissions. When you convey a copy of a covered work, you may at your option remove any additional permissions from that copy, or from any part of it. (Additional permissions may be written to require their own removal in certain cases when you modify the work.) You may place additional permissions on material, added by you to a covered work, for which you have or can give appropriate copyright permission. Notwithstanding any other provision of this License, for material you add to a covered work, you may (if authorized by the copyright holders of that material) supplement the terms of this License with terms: * a) Disclaiming warranty or limiting liability differently from the terms of sections 15 and 16 of this License; or * b) Requiring preservation of specified reasonable legal notices or author attributions in that material or in the Appropriate Legal Notices displayed by works containing it; or * c) Prohibiting misrepresentation of the origin of that material, or requiring that modified versions of such material be marked in reasonable ways as different from the original version; or * d) Limiting the use for publicity purposes of names of licensors or authors of the material; or * e) Declining to grant rights under trademark law for use of some trade names, trademarks, or service marks; or * f) Requiring indemnification of licensors and authors of that material by anyone who conveys the material (or modified versions of it) with contractual assumptions of liability to the recipient, for any liability that these contractual assumptions directly impose on those licensors and authors. All other non-permissive additional terms are considered “further restrictions” within the meaning of section 10. If the Program as you received it, or any part of it, contains a notice stating that it is governed by this License along with a term that is a further restriction, you may remove that term. If a license document contains a further restriction but permits relicensing or conveying under this License, you may add to a covered work material governed by the terms of that license document, provided that the further restriction does not survive such relicensing or conveying. If you add terms to a covered work in accord with this section, you must place, in the relevant source files, a statement of the additional terms that apply to those files, or a notice indicating where to find the applicable terms. Additional terms, permissive or non-permissive, may be stated in the form of a separately written license, or stated as exceptions; the above requirements apply either way.

Pero cual fue la sorpresa? bueno, primeramente, no habia ninguna mejora a simple vista pero lo que si se podia observar era que todas las strings habian sido editadas:
Y peor todavia, en los plugins los creditos habian sido editados tambien, atribuyendole los creditos a un tal MART!K:

Para los detallistas, se puede observar que los espacios sobrantes en las strings fueron reemplazados por espacios en blanco, lo cual me da la idea de que ni siquiera se tomo el trabajo de compilar nuevamente el proyecto sino que mediante algun tipo de editor de recursos como ResHackers, simplemente edito los strings, cambio un icono y un BMP.

Al ver esto, me senti un boludo, por que? porque todo el laburo que habia hecho y compartido con la comunidad, de buena fe y con muchas ganas, habia sido plagiado.

Luego de ver todo esto, decidi enviar un mail al autor y aca estan los mails intercambiados con el:

---------------
from +NCR/CRC! [ReVeRsEr] to Martik.Panosian@gmail.com
date Tue, Nov 23, 2010 at 2:05 PM
subject FUU & MART!K Unpacker
mailed-by gmail.com

Hi!, i'm the author of FUU (and MART!K Unpacker too¿?), i saw your blog and post about FUU, sorry, MART!K Unpacker. You are stealing a project, and idea just replacing strings???? come on!!! please, write your own version!.

BR,
NCR
---------------

La respuesta fue la siguiente:

---------------
from martik panosian to "+NCR/CRC! [ReVeRsEr]"
date Tue, Nov 23, 2010 at 2:32 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com
signed-by gmail.com

hello, yes, you right, but the source code is free, isnt it? btw, i appreciate your work. i dont see any wrong thing with what i was done!
---------------

A lo cual conteste:
---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:34 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

yes, but i don't see any link or mention to the original project, so .....
---------------

Y agregue lo siguiente:

---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:37 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

in the readme and license you saying that YOU create the software and that's no true, so, please add a mention to the original project and author.

BR,
NCR
---------------

Despues de un rato, respondio lo siguiente:

---------------
from martik panosian to "+NCR/CRC! [ReVeRsEr]"
date Tue, Nov 23, 2010 at 2:49 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com
signed-by gmail.com

ok, you right. i will mention to your blog and original software as soon as possible. sorry about that. p.s. now im on mobile. as soon as i get my pc, i'll fix that.
---------------

Con lo cual respondi:
---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 2:50 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

Thanks!
---------------

Luego de esto, la mencion fue agregada pero los creditos al proyecto y autor original tanto en el binario como en los plugins seguian (y siguen) sin aparecer, con lo cual, envie tres nuevos mails al autor y obviamente, ya no tuve mas respuestas de su parte:

---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Tue, Nov 23, 2010 at 3:02 PM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

btw, i can't see any new feature in your version, it would be great if you contribute to the original project or add something new to your own version.

Cheers,
NCR
---------------

---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Wed, Nov 24, 2010 at 11:44 AM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

Thanks for adding the mentions to FUU in your blog. Btw, you should do it in your package too and release the modified source code of you tool, remember that the FUU project is under GPLv3, so, if you release a modified version of my sources, then, you must release those modified sources.

Have a nice day.
---------------

---------------
from +NCR/CRC! [ReVeRsEr] to martik panosian
date Wed, Nov 24, 2010 at 11:54 AM
subject Re: FUU & MART!K Unpacker
mailed-by gmail.com

one last thing: the log messages must remain as the original, for example, in the aspack plugin it says: "Developed by: Mart ik Panosian" and we all know that is not true, so, please, do it in the right way. GNU legal team was contacted in order to verify that you are complying with the GPLv3 license.
---------------

Luego, MCKSys, de la lista de Crackslatinos, hizo la denuncia pertinente a la gente de blogger y esta fue la siguiente:

---------------
from MCKSys Argentina reply-to crackslatinos@googlegroups.com to crackslatinos@googlegroups.com
date Wed, Nov 24, 2010 at 9:38 PM
subject Re: {CrackSLatinoS} Malas noticias NCR
mailing list Filter messages from this mailing list
mailed-by googlegroups.com
signed-by googlegroups.com

Bueno, algo es algo. Reescribo el mensaje recibido por la denuncia que hice: Hemos recibido su aviso de incidente de la DMCA en http://martik-scorp.blogspot.com/2010/11/martk-unpacker.html con fecha del 23.11.2010 y hemos revisado el contenido que supuestamente infringe la ley. De acuerdo con nuestra política, hemos dejado el contenido sin conexión y se ha informado de la reclamación al autor del blog. Si en esta entrada vuelve a aparecer el contenido objeto de la infracción, le rogamos que nos informe de ello para tomar las medidas oportunas.

Atentamente,
El equipo de Blogger

Esperemos que sirva para algo...
---------------

Luego de eso, su post en el blog fue removido.

Ademas, otra persona muy reconocida del ambiente, Nicolas Brulez, al cual le agradezco la gentileza, hizo un pequeño analisis sobre este tal "MART!K":

http://omgwtfhax.org/

Luego, en los foros de ARTeam y tuts4you me dieron mas ejemplos sobre este tipo, que al parecer, es un lamer bien conocido en el ambiente (no lo era hasta ahora por mi), se encarga de rippear muchos de los releases que la scene va sacando, de hecho, si miran en su web van a ver muchos releases de grupos conocidos pero obviamente rippeados por el.

Agradezco tambien a Guan de Dio por poner un mensaje en su blog: http://guandedio.no-ip.org/

Ah, algo que me olvide de mencionar es que la licencia de este tal "MART!K Unpacker" no es la GPLv3 sino "MART!K License".

Que quiero exponer con todo esto? pues que un software OpenSource es libre pero no en el sentido de "Cerveza gratis" como bien dice la GNU, sino en el sentido de que cada uno puede agarrar ese codigo, modificarlo, distribuirlo, copiarlo pero siempre y cuando reconozca al autor original y coloque los creditos correspondientes, aunque la licencia no lo este obligando, siempre es de buena educacion dar creditos al autor correspondiente.

Asi que por favor, a no chorear!!! :)

Hasta la proxima!.

Saludos.

UPDATE (14/12/2010): Parece que el mismo día que armé este post, y al ver que su post original en su blog fue removido por la gente de Blogger, el amigo Mart!k abrió un nuevo blog en wordpress con el mismo post sobre "su" unpacker: http://martik2scorp.wordpress.com/2010/11/28/martk-unpacker-1-0/. Triste! pero ... que se puede esperar de un lamer?.

Nuevo plugin para Ollydbg - aadp4olly v0.1

2010-11-13T17:24:00.000-08:00

Hola!,

esta vez queria presentarles un nuevo proyecto en el cual he estado trabajando estas ultimas tres o 4 semanas en mis ratos libres. Se trata de un nuevo plugin para Ollydbg, aadp4olly o Anti-Anti-Debugger Plugin for Ollydbg.

Este nuevo plugin sirve para ocultar a Ollydbg de los trucos anti-dbg mas comunes como IsDebuggerPresent, NtGlobalFlags, etc; si bien ya hay plugins de este estilo para Ollydbg desde hace mucho tiempo, queria hacer mi propia version para incluir todos los trucos que necesito en mis sesiones de debugging con packers.

En esta primera version pueden encontrar trucos anti IsDebuggerPresent, NtGlobalFlags, HeapFlags, ZwSetInformationThread, OutputDebugString, ZwQueryInformationProcess y GetTickCount, por el momento, todos desde ring3.

En proximas versiones voy a continuar agregando mas trucos y posiblemente no solo en ring3 sino en ring0.

Cualquier comentario, sugerencia, pedido para agregar algo, etc, no duden en comentar aqui o escribirme directamente.

Obviamente, el proyecto es Open Source, como todo lo que he hecho hasta ahora.

Sin mucho mas que decirles, les dejo la pagina del proyecto: aadp

La descarga directa del plugin es: aadp4olly

Espero que les sea util!.

Aca les dejo un screenshot:

Hasta pronto!.

UPDATE (14/11/2010): aadp4olly ha sido actualizado a la version 0.1.1. Se fixeo un pequeño bug cuando se cerraba la ventana del plugin (reportado por marciano).
UPDATE (18/11/2010): aadp4olly ha sido actualizado a la version 0.1.2. Se incluye un fix para XP SP0 que permite que las opciones para hookear las funciones "Zw" funcionen en dicho OS (reportado por LCF-AT).
UPDATE (21/11/2010): aadp4olly ha sido actualizado a la version 0.1.3. Se incluye un nuevo fix para las funciones Zw reportado por LCF-AT.

Nuevo plugin para FUU - dePeX

2010-10-12T19:28:00.000-07:00

Hola!,

despues de un tiempo sin ningun post queria decirles que en el blog de FUU hay un nuevo post anunciando un nuevo update para FUU.

Además, hay una pequeña reseña del packer.

Acá pueden verlo!.

Saludos.

Tutorial - Writing Dynamic Unpackers for Fun with TitanEngine

2010-09-19T11:46:00.000-07:00

Hola!,

hace rato que tenia este tutorial guardado a medio terminar y como soy de los que siempre terminan lo que empiezan decidi que era un buen momento para hacerlo.

En este tutorial se intenta explorar un poco toda la funcionalidad de TitanEngine para construir diferentes tipos de herramientas. Debo aclarar que no es la version final del tutorial, me quedaron un par de cosas que hubiera querido agregar pero si me detenia mas tiempo el tutorial iba a quedar en el olvido.

De todas maneras, las voy a agregar pero cuando tenga un poco mas de tiempo.

Cualquier correccion que quieran hacer ya saben donde encontrarme. Si les parece que habria que agregar algo mas o detallar algo no duden en escribirme.

Este tutorial va a ser agregado como documentacion en la web del proyecto FUU. Por ahora solo tengo la version en español pero pronto lo vamos a hacer en ingles.

Bueno, aca les dejo los links para la descarga: Descarga1 - Descarga2

Espero que les sea util!.

Hasta pronto!.

Lo que dejo la Ekoparty 2010

2010-09-18T17:56:00.001-07:00

Un año más y una edición mas de la Ekoparty.

En esta edicion hubo muchas charlas, trainings, talleres, stands, etc. Debo reconocer que tambien tuvo sus cosas malas pero eso no fue motivo para opacar el resto del a conferencia que particularmente para mi, este año fue la excusa para juntarme con amigos y divertirnos.

La primer experiencia este año en la Eko la tuve dictando, con Ricardo Narvaja, Ariel Coronel, Marcos Accossatto y Daniel Kasimirow, el training de Introduccion al Cracking. Fueron dos dias bastante moviditos enseñando este noble arte de analizar y comprender las protecciones de software que andan dando vuelta por ahi. A mi cargo tuve la tarea de explicar el tema de Loaders, Cracking en .NET, Cracking en Delphi y Cracking en Java.

Luego, vinieron los dias de charlas. Creo que ya es tradicion en la Eko que la acreditacion comience tarde y en consecuencia las charlas se atracen mas de una hora. Tanto yo como mucha gente estuvimos en la puerta 7.30 AM (como se pidio) para la acreditacion que comenzaria una hora mas tarde. Sin dudas este es un punto que podrian mejorar en las proximas ediciones pero bueno, el resto de la conferencia hizo que ese mal sabor desaparezca.

Este año la verdad es que vi pocas charlas de las cuales rescato las siguientes:

Understanding the Win SMB NTLM weak nonce vulnerability (Hernán Ochoa, Agustín Azubel): en esta charla Hernan y Agustin nos contaron un poco como fue que encontraron una serie de bugs en la implementacion de la autenticacion de SMB, dieron diferentes muestras de que se puede hacer con los bugs que ellos encontraron y como fue que MS intento de apaciguar el impacto de estas vulnerabilidades. Combinando los las diferentes vulnerabilidades que encontraron se puede lograr ejecutar codigo en la maquina remota y esa fue la ultima demo que dieron. Una charla bien técnica que me gusto mucho y de la cual aprendi bastante.

Distinguishing Lockpicks: Raking vs Lifting vs Jiggling and More (Deviant Ollam): al igual que el año pasado, el maestro del lockpicking dio una charla sobre las diferentes herramientas que se utilizan en este noble y entretenido arte. Dio una breve repaso por cada una de las herramientas que se utilizan y como diferenciarlas entre si. Fue una charla como para distendesrse un poco y aprender algo poco común, al menos para mi. Creo que gracias a Deviant, cada año hay mas y mas gente intresada en el lockpicking, mucha gente se junta en el stand de Deviant para jugar al GringoWarrior y cada vez hay mas gente que logra abrir las cerraduras muy facilmente.

WPA Migration Mode: WEP is back to haunt you... (Diego Sor y Leandro Federico Meiners): esta charla en particular me gusto mucho. No soy un entendido en el ambiente de la seguridad wireless pero la charla se entendio perfectamente. Estuvieron mostrando un ataque hacia aparatos CISCO cuando estan en el modo WPA Migration Mode. Basicamente, estos aparatos cuentan con un modo en el cual pueden operar con clientes que sean WEP y WPA. Si una empresa esta migrando toda su seguridad wireless de WEP a WPA puede poner estos CISCOs en ese modo pero el problema es que como estos aparatos operan al nivel mas basico de seguridad entonces todo termina siendo WEP y como WEP esta roto, entonces, la seguridad de la empresa se va al tacho :P

Understanding the Low Fragmentation Heap: From Allocation to Exploitation (Chris Valasek): esta charla fue muy pero muy técnica y trataba sobre el Low Fragmentation Heap en Windows. La verdad es que se me hizo un poco pesada pero explico con lujo de detalles como es que funcionan cada una de las partes del mecanismo de LFH en windows. Muy recomendable la lectura de su super paper!.

Atacking VoIP… un paraíso! (Giovanni Cruz): esta charla me sorprendio. Pense que iba a ser muy densa e imposible de seguir pero sin embargo fue una de las que mas me gusto. Giovanni mostro un par de ataques que se puede realizar sobre aparatos que soportan VoIP que basicamente son los mismos ataques que se vienen realizando desde que se creo el primer standard para VoIP, hace diez años atras.

2x1 Microsoft Bugs: 'Virtual PC hyper-hole-visor' + 'Windows Creation Vulnerability (MS10-048) (Nicolas Economou): otra charla que me gusto mucho, muy tecnica tambien. A mi me facinan las cosas de kernel y Nico se encargo de darme, al menos a mi, esa dosis de kernel que me hacia falta. Nico estuvo contando un poco como fue que descubrio los bugs en el hypervisor de VirtualPC y el bug en kernel denominado Windows Creation Vulnerability. Mostro con lujo de detalles ambos bugs y la manera en la cual los exploto asi como las implicancias que ambos bugs tienen sobre la seguridad en windows.

Pentesting Driven por FOCA (Chema Alonso): otro año mas, Chema estuvo hablando en la Eko. En esta ocasion, nos mostro una tool muy interesante llamada FOCA para jugar con la metadata almacenada en los sitios webs. Mostro un par de ejemplos en los cuales utilizando FOCA se pueden encontrar cosas muy interesantes como un documento xls con todos los usuarios de un site o incluso un site con permisos para subir una shell php :) Luego de esa charla, yo y varios amigos salimos corriendo a bajarnos la FOCA y a jugar un rato :)

Exploiting Digital Cameras (Alfredo Ortega, Oren Isacson): en esta charla, Oren y Alfred, nos estuvieron mostrando como fue que reversearon las camaras CANON. Ahi se encontraron con un interprete que les permitio ejecutar codigo y poder ademas comprometer una PC con solo la memory card de la camara. Otra charla muy etretenida y de las que mas me gusto.

Hanging on a ROPe (Pablo Solé): La primer parte de esta charla no incluia nada nuevo. Basicamente, se estuvo hablando de ROP o lo que hace años se conoce como ret2libc. En resumen, son un conjunto de tecnicas que le permiten al exploit writter poder bypassear, por ejemplo, DEP en Windows. Pero no solo eso, tambien se pueden utiilzar para bypassear protecciones en MAC OSx, Iphone, etc; Lo que si me gusto y es para resaltar fue la tool que presentó para armar un ROP Shellcode de manera automatica utilizando deplib. Fue interesante ver los problemas que se encontraron, como los solucionaron y finalmente la manera "generica" para armar todo un shellcode ROP con unas pocas lineas de Python.

Esas fueron, a mi criterio, las charlas mas interesantes de la Eko de este año. De todas maneras, no puedo dejar de mencionar la charla mas esperada de la Eko que fue Padding Oracles Everywhere (Juliano Rizzo, Thai Duong). En esta charla se libero un 0day para Microsoft ASP.NET.

Hubo otra charla mas que segun la gente en twitter fue muy interesante fue Jackpotting Automated Teller Machines (Barnaby Jack) en la cual se hablo de como hackear ATMs.

Bueno, eso fue un pequeño resumen de las charlas de la Eko este año. Hubo muchas mas y seguramente mas interesantes que estas pero al menos a mi estas fueron las que mas me gustaron.

Ademas de estas charlas hubo muchas otras cosas asi que si este año se las perdieron no falten el proximo!.

Ah, me olvidaba de dejarles la posta de CLS en la Eko!:

Hasta pronto!.

Training de Intro al cracking en la Eko 2010!

2010-09-15T15:15:00.000-07:00

Hola!,

ayer termino el segundo dia de training de "Introducción al cracking y anti-cracking" en la Ekoparty 2010. La verdad es que tanto del lado de los instructores como del lado de las personas que asistieron al training quedamos todos contentos. Estuvo muy bueno, fue una muy buena experiencia y sobre todo, nos divertimos mucho enseñando todo lo que aprendimos en CracksLatinoS! durante todos estos años.

Quisiera agradecer a la gente de la organizacion de la Ekoparty 2010 que se porto de 10! con nosotros!.

Ah, y no se olviden, mañana arrancan los dos dias seguidos de charlas en la Eko, asi que no se lo pierdan!.

Cuando pase la conferencia voy a hacer un par de post con el resumen y mi opinion sobre cada charla!.

Para terminar, aca les dejo una postal del training!:

Hasta entonces!.

TRAINING de Introduccion al Cracking y anti-cracking en la Ekoparty 2010

2010-08-18T14:38:00.000-07:00

Hola!,

queria comentarles que este año, junto a unos amigos y de la mano de Core Security Technologies, vamos a estar dando un training en la conferencia de seguridad mas imporantante de Latinoamérica y alrededores.

El training es una introduccion al cracking y anti-cracking. No quiero adelantar mucho pero les puedo decir que va a estar muy bueno. No hay precedentes, al menos en Latinoamerica, de un curso de este estilo.

Para mas informacion, pueden visitar el blog de la conferencia acá o dirigirse a la página oficial de la Ekoparty a la sección de Trainings.

Espero verlos por allá!.

CracksLatinoS cumple 10 años!!!

2010-08-18T14:25:00.001-07:00

Allá por el año 2000 un grupo increible de gente se estaba juntando para compartir lo que sabian sobre computadoras y en especial sobre como quitar limitaciones a programas. La lista original creo recordar que alguna vez se dijo que estaba en e-listas y luego paso a Yahoo para finalmente quedarse en Google groups. En aquella lista, como dije anteriormente, un grupo de personas compartian sus conocimientos adquiridos de manera autodidacta con todo aquel que estuviera dispuesto a leer, sin mas interes que el de enseñar por gusto y para ayudar al resto de la comunidad. De esa lista fundanda originalmente por Tank y Ricardo Narvaja salieron grandes exponentes que durante estos 10 años han dado que hablar y han dejado una huella en el mundo del cracking, como el mismisimo Ricardo Narvaja y tantos otros que hoy dia siguen enseñando sobre cracking de manera desinteresada.

Para todos ellos, este pequeño homenaje en hoy, su cumpleaños nro 10!!!!.

No puedo dejar de agradecer a todos ellos por todo lo que me enseñaron!!!, estoy muy orgulloso de pertenecer a semejante grupo que considero una familia y en la cual he hecho muy buenos amigos que hoy dia hasta trabajan junto a mi.

Feliz cumpleaños CracksLatinoS! y vamos por otros 10 años mas!.

Web del grupo: http://groups.google.com/group/CrackSLatinoS

HP OpenView NNM OvJavaLocale Buffer Overflow Vulnerability

2010-08-03T14:27:00.000-07:00

Hola!,

este post es para dejarles el advisory de un bug que encontre (fixeado de manera silenciosa) por la gente de HP.

Link al avisory: HP OpenView NNM OvJavaLocale Buffer Overflow Vulnerability

Saludos.

QuickPost - FUU - Blog and Twitter

2010-07-22T16:33:00.000-07:00

Hola!,

este post es solo para dejarles saber que he creado un blog y un twitter exclusivos para las novedades que vayan saliendo sobre FUU.

Blog: http://fuuproject.wordpress.com
Twitter: http://twitter.com/fuuproject

Disfruten!

New FUU Plugin - deExeFog!

2010-07-16T13:13:00.000-07:00

Hola!,
quienes me conocen, saben que continuamente estoy intentando hacer algo, escribiendo algun tutorial, programando alguna toolcita, etc; ahora, quiero hacer una cosa: por cada nuevo plugin de FUU que haga voy a escribir un post comentando un poco los trucos que utiliza el packer para poder facilmente identificar las zonas importantes a la hora de desempacar.
En este primer post, vamos a hablar de un packer sencillo, exeFog, mas particularmente, nos centraremos en exeFog v1.x, desconozco si existe alguna version 2.x, si alguno tiene un exe, dll, ocx o lo que sea packeado con alguna otra version de exeFog, no tiene mas que enviarla para que la pueda estudiarla y agregarle soporte al correspondiente plugin.

La idea de este y los siguientes post no es la de realizar un analisis detallado sobre el packer como suelo realizar en los tutoriales, sino que veremos las partes importantes nada mas como para vencerlo y que son utilizadas luego en el plugin.

Voy a basarme en este crackme: http://www.tuts4you.com/request.php?1093

Por ejemplo, si cargamos el programa packeado en Olly (sin plugins) y le damos a F9 (Run), veremos que Olly se detiene en una exception, mas especificamente, un DIVISION_BY_ZERO:

Esto se debe a un viejo y conocido truco anti-debug conocido como IsDebuggerPresent pero en este caso, el truco no invocando explicitamente a la API IsDebuggerPresent, sino realizando un inline de esta funcion.

Si comenzamos a tracear, veremos que primeramente, llegamos a un loop en el cual se desexorea codigo, este codigo no es mas que otra parte del stub de desempacado del programa:

Como vemos, primero coloca en EBX un puntero a una zona un poco mas abajo de la instruccion "loopd", coloca en ECX un offset, en este caso "0x3c8" y en AL la key para xorear, en este caso "0x8c", luego, solo va indexando en EBX+ECX y xoreando cada byte, luego, vuelve a tomar otro byte en AL y a repetir la operacion.

Una vez que pasamos esto, si llegamos a la zona del inline IsDebuggerPresent:

Como pueden observar, solo esta accediendo al flag "BeingDebugged" que se encuentra en la PEB:

typedef struct _PEB {
BYTE                          Reserved1[2];
BYTE                          BeingDebugged;
BYTE                          Reserved2[1];
PVOID                         Reserved3[2];
PPEB_LDR_DATA                 Ldr;
PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
BYTE                          Reserved4[104];
PVOID                         Reserved5[52];
PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
BYTE                          Reserved6[128];
PVOID                         Reserved7[1];
ULONG                         SessionId;
} PEB, *PPEB;

Se encuentra en el campo [2] de la PEB del proceso (movzx eax, byte ptr ds:[eax+2]).

Como vemos, a ese byte, primero le aplica un NOT y luego un AND con 1, con lo cual, si ese byte esta en 1 (quiere decir que el proceso esta siendo debuggeado), el resultado de esas dos operaciones sera 0 y si el byte esta en 0 (quiere decir que el proceso no esta siendo debuggeado) pues el resultado de esas dos operaciones dara 1.

Cual es el truco en todo esto? pues que este valor es utilizado como divisor y dividendo en una division un poco mas adelante:

Como vimos, el resultado del NOT y AND lo colocaba en EBX pero a su vez quedaba en EAX tambien, con lo cual si el resultado del NOT y AND es 0 pues sera 0 / 0 = ERROR!!!.

Para solucionar esto, simplemente debemos de setear ese byte a 0 para que el resultado del NOT y AND sea 1. Podemos hacerlo de varias maneras, la mas rapida es: cuando estemos en el EP (EntryPoint) del packer, simplemente hacemos CTRL+G y ponemos "EBX" y cambiamos el valor del segundo byte a 0. Por que asi? pues porque EBX siempre apunta a la PEB cuando estamos parados en el EP:

Luego, tenemos dos partes importantes mas:

1) Donde resuelve los imports.
2) Donde salta al OEP (Original Entry Point)

Ambas zonas son facil de encontrar, miremos un poco el codigo y vamos a ver que aqui resuelve las dlls importadas por el programa:

Si miramos los registros en este momento, podremos ver que EBX contiene un puntero al string de la dll importada:

Luego, en esta zona, veremos que resuelve las funciones importadas por cada dll:

y si miramos los registros, veremos que EAX contiene el puntero al string de la funcion importada y EDI el puntero al lugar en la IAT donde esa funcion deberia de encontrarse en el programa original:

Ah, antes de continuar, queria comentarles que ademas, exeFog, realiza comprobaciones en los primeros bytes de las APIs a las cuales va a llamar para ver si hay un breakpoint colocado ahi:

Ahi pueden ver un ejemplo de como, luego de resolver la funcion y colocar el puntero en EAX, verifica que el primer byte de esa funcion no contenga un breakpoint (0xCC). Con colocar hardware breakpoints o colocar los breakpoints por software en la segunda instruccion de la API (o en el RET) bastara para bypassear la comprobacion.

Bien, finalmente, el lugar en el cual se salta al OEP es este:

Llegado al "ADD", ESP contiene el offset al EP y EBP la ImageBase del programa, con lo cual, al sumarlo dara como resultado el OEP y al tomar el RET quedaremos parados ahi:

Para realizar el plugin, los pasos que realice fueron los siguientes:

1) Buscar el patron del loop que desexorea el codigo.
2) Pasar el loop anterior y realizar una busqueda de los patrones de codigo que resuelven la IAT, nos dan el salto al OEP y realizan la verificacion de BeingDebugged. Esto lo hago seteando callbacks para cada una de las tareas.
3) Cuando salta el callback en el truco anti-dbg lo unico que hago es colocar EAX en 1 luego el AND y antes del MOV EBX, EAX, con eso me aseguro de que EAX siempre es 1.
2) Cuando salta el callback de LoadLibraryA solo tomo el valor de EAX y lo voy agregando a la IAT.
4) Cuando salta el callback de GetProcAddress simplemente tomo los valores de EAX y EDI y los agrego en la IAT.

La el plugin (dll) lo pueden conseguir aca: http://tinyurl.com/2arrnct

El source code del plugin lo pueden conseguir aca: http://tinyurl.com/2wz5bty

Hasta el proximo post!.

FUU v0.1.1 Beta - Minor Release

2010-07-07T15:30:00.001-07:00

Hola!,

bueno, luego de un tiempo sin actualizaciones al final sacamos una nueva version de FUU. Esta nueva version es mas que nada un minor release para corregir un par de cosas que habian quedado muy feas en la primera version.

Alguna de las cosas que se corrigieron son la funcion de "Refresh" en la GUI y un par de errores logicos en el codigo, tanto de la GUI como de los plugins. Ademas, se agrego la posibilidad de poder guardar el dumpeado resultante del proceso de unpacking en el lugar que uno elija.

Tengo que agradecer a toda la gente que se acerco a darme una mano con el proyecto, como GUAN, Eddy, Marciano, Mario Vilas y Erisoft. Todos ellos estuvieron ayudandome tanto para testear la herramienta y reportar bugs, como para colaborar con codigo e ideas para futuras versiones como con samples para poder realizar pruebas "particulares".

Un amigo, GUAN de Dio, se ha sumado al proyecto como colaborador migrando la version de 32 bits a 64 bits. Lamentablemente, en este release no pudimos incluirla porque estamos teniendo problemas con el SDK TitanEngine y su soporte para 64 bits con MASM y VS (Visual Studio), pero esperamos prontamente poder solucionar esto y lanzar finalmente una version de 64 bits.

Quisiera ademas aprovechar un poco para aclarar algunas cosas. He visto por al red algunos comentarios de algunas personas diciendo cosas del estilo: "Para que usar FUU si PEiD con plugins va mejor". Bueno, primero que nada quisiera aclarar que la idea principal de FUU es la de un proyecto OpenSource donde todo el mundo pueda colaborar. PEiD en cambio es un proyecto No-OpenSource. Ademas, agregar que la palabra "Universal" en FUU no significa un unpacker generico sino que con esa palabra intentamos describir lo que en un futuro FUU puede llegar a ser: al ser un proyecto OpenSource en el cual todo el mundo interesado puede colaborar con sus plugins y unpackers, entonces, podriamos desarrollar un unpacker para cada proteccion conocida hasta el momento, eso es lo que quiero decir cuando digo que FUU es "Universal Unpacker".

En fin, cualquier sugerencia, reporte de bugs, aporte para el proyecto es bienvenido y solo tienen que sumarse a nuestra lista de correo o enviarme un mail (en el caso de respoderle a una persona en particular de manera privada hace que el proyecto deje de tener sentido, la idea es que todos discutamos en la lista las ideas y aportes para FUU).

Nuevamente, agradecer a todos aquellos que colaboraron con el proyecto!!!.

Las ideas aportadas fueron muy buenas y sin dudas las vamos a ir agregando de a poco en los posteriores releases.

Ah, antes de que me olvide, prometo actualizar de manera algo mas periodica que hasta ahora la seccion de plugins, subiendo nuevos sources de nuevos plugins (siempre y cuando el tiempo me lo permita).

Web del proyecto: FUU

FUU v0.1.1 Beta Download link: FUUv0.1.1b

Disfruten!.

Hasta el proximo release!.

XnView MBM Processing Heap Overflow

2010-06-14T14:02:00.000-07:00

Hola!,

queria solo dejarles un advisory en el cual participe haciendo el analisis tecnico de la vulnerabilidad.

El que descubrio el bug no he sido yo sino un amigo, Mauro Olea, y entre los dos hemos escrito el advisory de dicho bug.

Link al advisory: XnView MBM Processing Heap Overflow

Saludos.

Tutorial - Arbitrary Memory Overwrite en Drivers en Kernel

2010-05-30T22:16:00.000-07:00

Hola!,

hace un tiempo en la lista de CLS se armo una discusion sobre si se podia o no allocar en la NULL Page (0x00000000) desde usermode asi que decidi hacer un pequeño tutorial sobre como explotar Arbitrary Memory Overwrites en Drivers en Kernel y como utlizar esta tecnica de allocar en la NULL Page.

Espero que les guste!.

Aqui les dejo el tutorial: Explotando Arbitrary Memory Overwrite en Drivers en Windows

Saludos.

Quick Post - Tutorial por marciano - Hackeando juegos de NES con emulador

2010-05-15T10:07:00.000-07:00

Hola!,

solo queria dejarles un tutorial que escribio mi amigo marciano sobre como modificar juegos para NES.

Me parecio que vale la pena difundirlo porque es interesante y ademas no he visto este tipo de tutoriales en español (aunque posiblemente existan).

En fin, les dejo el link:

Hackeando juegos de NES con emulador por marciano

Hasta la proxima!

Tutorial - Unpacking en 64 Bits PARTE I

2010-05-14T15:21:00.001-07:00

Hola!,

aca les dejo un nuevo tutorial. Va a formar parte de una serie de tutoriales dedicados al unpacking en 64 bits.

Unpacking en 64 bits PARTE I

Espero que les guste!.

Hasta la proxima!.

Adobe Director Memory Corruption Vulnerability

2010-05-12T19:21:00.000-07:00

Hola!,

Solo queria dejarles el link al advisory de un bug que descubri un par de meses atras y del cual ayer salio el advisory.

Adobe Director Memory Corruption Vulnerability

UPDATE 12/08/2010: Se realizo un update del advisory con informacion tecnica adicional. El analisis lo hizo un amigo, marciano, asi que gracias a el por la ayuda!.

---------------------------------------------------------------------------------
Adobe Director DIRAPI.DLL Invalid Read Vulnerability
1. Advisory Information

Title: Adobe Director DIRAPI.DLL Invalid Read Vulnerability
Advisory Id: CORE-2010-0405
Advisory URL: http://www.coresecurity.com/content/adobe-director-memory-corruption
Date published: 2010-05-11
Date of last update: 2010-05-11
Vendors contacted: Adobe
Release mode: Coordinated release
2. Vulnerability Information

Class: Input validation error [CWE-20]
Impact: Denial of service
Remotely Exploitable: Yes (client-side)
Locally Exploitable: No
CVE Name: CVE-2010-0128
Bugtraq ID: N/A
3. Vulnerability Description

Adobe Director is prone to a vulnerability due to an invalid read in DIRAPI.DLL, when opening a malformed .dir file. This vulnerability could be used by a remote attacker to execute arbitrary code, by enticing the user of Adobe Director to open a specially crafted file.
4. Vulnerable packages

* Adobe Director 11.5
* Adobe Director 11 (Version: 11.0.0.426)

5. Non-vulnerable packages

* Adobe Director 11.5 (Version: 11.5.7.609)

6. Solutions and Workarounds
See the Adobe Security Bulletin [1] available at http://www.adobe.com/go/apsb10-12/.
7. Credits

This vulnerability was discovered and researched by Nahuel Riva, from Core Security Technologies. Publication was coordinated by Jorge Lucangeli Obes.
8. Technical Description

The vulnerability occurs at offset 0x68174813 of the dirapi.dll module of Adobe Director. Improper validation of input data leads to a crash in the memory read instruction. This vulnerability could result in arbitrary code execution, although it was not verified.

Version: 11.0.0.426
Module crash: Dirapi.dll Version: 11.0.0.426

Crash:
68174813 |. 8906 |MOV DWORD PTR DS:[ESI],EAX
68174815 |> 8B4C24 14 |MOV ECX,DWORD PTR SS:[ESP+14]
68174819 |. 51 |PUSH ECX
6817481A |. E8 3197F5FF |CALL
6817481F |. 8946 04 |MOV DWORD PTR DS:[ESI+4],EAX
68174822 |. 83C6 08 |ADD ESI,8
68174825 |. 4D |DEC EBP
68174826 |.^ 75 C8 \JNZ SHORT DIRAPI.681747F0

EAX=00000000
DS:[02889B20]=???

Registers:
EAX 00000000
ECX 00000068
EDX 00000001
EBX FFE4B4D4
ESP 0012DFB8
EBP 0000373D
ESI 02889B20
EDI 01BC9964
EIP 68174813 DIRAPI.68174813
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 1 DS 0023 32bit 0(FFFFFFFF)
S 0 FS 003B 32bit 7FFDD000(FFF)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_NEGATIVE_SEEK (00000083)
EFL 00250246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty -??? FFFF 00000000 00000000
ST1 empty -??? FFFF 00000000 00000000
ST2 empty -??? FFFF 00000000 00000000
ST3 empty -??? FFFF 00000000 00000000
ST4 empty 0.0000106994366433355
ST5 empty 0.6322773098945617676
ST6 empty -0.0034003453329205513
ST7 empty 1041416.9375000000000
3 2 1 0 E S P U O Z D I
FST 4220 Cond 1 0 1 0 Err 0 0 1 0 0 0 0 0 (EQ)
FCW 007F Prec NEAR,24 Mask 1 1 1 1 1 1

Stack Trace:
Call stack of main thread
Address Stack Procedure / arguments Called from Frame
0012DFC4 68175563 DIRAPI.681747A0 DIRAPI.6817555E
0012DFE4 6817003B DIRAPI.68175290 DIRAPI.68170036
0012E018 6817020D DIRAPI.6816FF40 DIRAPI.68170208
0012E01C 00A923C8 Arg1 = 00A923C8
0012E020 00000011 Arg2 = 00000011
0012E024 00000003 Arg3 = 00000003
0012E028 0012E050 Arg4 = 0012E050
0012E02C 00001100 Arg5 = 00001100
0012E048 680F6D50 DIRAPI.681701A0 DIRAPI.680F6D4B
0012E04C 00000000 Arg1 = 00000000
0012E050 00000003 Arg2 = 00000003
0012E054 00000091 Arg3 = 00000091
0012E058 0012E07C Arg4 = 0012E07C
0012E05C 00001100 Arg5 = 00001100
0012E068 6800CFC0 DIRAPI.680F6D30 DIRAPI.6800CFBB
0012E088 680817EC DIRAPI.6800CF80 DIRAPI.680817E7
0012E0B4 680823E3 DIRAPI.68081760 DIRAPI.680823DE
0012E0C8 680836A7 DIRAPI.68082380 DIRAPI.680836A2
0012E638 680839E2 DIRAPI.68082EA0 DIRAPI.680839DD 0012E634
0012E63C 00A86E8C Arg1 = 00A86E8C
0012E640 0012F5EC Arg2 = 0012F5EC
0012E644 00000000 Arg3 = 00000000
0012E648 00000000 Arg4 = 00000000
0012E64C 0000001A Arg5 = 0000001A
0012E674 68042D8C DIRAPI.68083970 DIRAPI.68042D87 0012F5EC
0012E678 00A86E8C Arg1 = 00A86E8C
0012E67C 0012F5EC Arg2 = 0012F5EC
0012E680 00000000 Arg3 = 00000000
0012E684 00000000 Arg4 = 00000000
0012E688 0000001A Arg5 = 0000001A
0012E6B0 6800A111 DIRAPI.68042C90 DIRAPI.#88+7C
0012E6B4 00A92588 Arg1 = 00A92588
0012E6B8 0012F5EC Arg2 = 0012F5EC
0012E6BC 00000000 Arg3 = 00000000
0012E6C0 0000001A Arg4 = 0000001A
0012E6DC 2018BB23 Director.2018BB1E
0012E83C 2027E776 ? Director.2018BAB0 Director.2027E771

9. Report Timeline

* 2010-04-14: Vendor contacted.
* 2010-04-14: Vendor requests PoC file.
* 2010-04-14: Core replies with the PoC file and the draft advisory.
* 2010-04-14: Adobe replies that will investigate the issue and sets a preliminary release date for June/July.
* 2010-04-15: Core agrees with the preliminary release date.
* 2010-04-28: Core requests an update on the situation, and asks whether Adobe was able to confirm if the bug is exploitable.
* 2010-04-28: Adobe replies that the issue was investigated and is scheduled to be fixed in the next release of Adobe Shockwave Player, planned for May; they did not carry out further exploitability research.
* 2010-04-28: Core requests a specific publication date for the fix.
* 2010-05-06: Adobe informs Core that the release date for the fix has been set to May 11th.
* 2010-05-07: Core asks Adobe if they want to provide the text for the "Solutions and Workarounds" section of the advisory.
* 2010-05-07: Adobe replies with the text for the "Solutions and Workarounds" section of the advisory.
* 2010-05-11: Advisory published.

10. References

[1] Adobe Security Bulletin http://www.adobe.com/go/apsb10-12/.
11. About CoreLabs

CoreLabs, the research center of Core Security Technologies, is charged with anticipating the future needs and requirements for information security technologies. We conduct our research in several important areas of computer security including system vulnerabilities, cyber attack planning and simulation, source code auditing, and cryptography. Our results include problem formalization, identification of vulnerabilities, novel solutions and prototypes for new technologies. CoreLabs regularly publishes security advisories, technical papers, project information and shared software tools for public use at: http://www.coresecurity.com/corelabs.
12. About Core Security Technologies

Core Security Technologies develops strategic solutions that help security-conscious organizations worldwide develop and maintain a proactive process for securing their networks. The company's flagship product, CORE IMPACT, is the most comprehensive product for performing enterprise security assurance testing. CORE IMPACT evaluates network, endpoint and end-user vulnerabilities and identifies what resources are exposed. It enables organizations to determine if current security investments are detecting and preventing attacks. Core Security Technologies augments its leading technology solution with world-class security consulting services, including penetration testing and software security auditing. Based in Boston, MA and Buenos Aires, Argentina, Core Security Technologies can be reached at 617-399-6980 or on the Web at http://www.coresecurity.com.
13. Disclaimer

The contents of this advisory are copyright (c) 2010 Core Security Technologies and (c) 2010 CoreLabs, and may be distributed freely provided that no fee is charged for this distribution and proper credit is given.
14. PGP/GPG Keys

This advisory has been signed with the GPG key of Core Security Technologies advisories team, which is available for download at http://www.coresecurity.com/files/attachments/core_security_advisories.asc.

---------------------------------------------------------------------------------

Chau!

Tool - FUU - [F]aster [U]niversal [U]npacker

2010-04-27T15:15:00.001-07:00

Hola a todos!,

Si, si, no estoy muerto! sigo aca!. Durante este tiempo estuve haciendo algunas cositas, entre ellas, una nueva tool, llamada FUU, Faster Universal Unpacker.

Primero que nada quiero comentarles que esta tool nacio por la curiosidad de saber de que se trataba TitanEngine. TitanEngine es un SDK desarrollado por la gente de ReversingLabs. Se trata de una libreria llena de funciones listas para ser usadas y que tienen como finalidad la creacion de tooles del estilo de unpackers, decrypters, decompressors, etc. TitanEngine fue presentado en BlackHat en 2009 y fue ahi donde lo conoci.

Ahora bien ... que es FUU? FUU es basicamente una GUI mediante la cual se puede acceder a diferentes tipos de tools. La mision principal de FUU es la de darnos una manera facil de poder desempacar programas empacados, comprimidos o encryptados con los packers/compressors y crypters mas conocidos como UPX, ASPack, etc; Ademas, cuenta con algunos plugins extras como "Generic OEP Finder", "Crypto Signatures Detector" y "Generic Unpacker"; estos plugins fueron diseñados por la misma gente que hizo PEiD.

La tool esta creada (tanto la GUI como los plugins) estan hechos en ASM. Particularmente, la GUI, esta armada con RadASM.

Por que "Universal"?. El termino, en este caso, no esta usado de la manera que uno puede llegar a pensar, es decir, en un algoritmo que engloba la comportamiento general en varios packers y permite con una sola funcion, desempacar varios clases de packers/crypters/compressors; sino que cuando le puse "Universal" pense en que podriamos agregar cuantos plugins quisieramos para poder analizar y desempacar tantos packers como queramos, hasta llegar al punto que abarquemos todos (o al menos la gran mayoria) los existentes.

En este primer release pueden encontrar, entre muchos bugs, 4 plugins para desempacar UPX, ASPack, BeRoExePacker y FSG y ademas, los plugins mencionados anteriormente. En proximas versiones se continuaran agregando plugins para diferentes packers/crypters/compressors y alguna que otra tool extra, ademas de fixear bugs :)

El proyecto esta hosteado en googlecode:

http://code.google.com/p/fuu/

Si quieren, pueden mirar el source code aqui: http://code.google.com/p/fuu/source/browse/

Ademas, he creado un grupo en Google Groups por si alguien quiere sumarse para discutir algun tema particular, reportar bugs, pedir algun feature o algun plugin especial. El grupo lo pueden encontrar aqui: http://groups.google.com/group/faster-universal-unpacker

La GUI esta distribuida bajo licencia GPL y cada plugin (menos los extra) estan distribuidos bajo LGPL.

La primer release la puede bajar directamente desde aqui:

http://fuu.googlecode.com/files/FUU%20v0.1%20Beta.rar

En breve publicare un tutorial explicando como fue que cree esta tool y ademas como se crea un plugin con TitanEngine.

Espero que les guste y les sea util. Comentarios, sugerencias y bugs son bienvenidos siempre!.

Antes de finalizar, quisiera agradecer a Guan De Dio y marciano por aguantarme y responder todas las preguntas que siempre estoy haciendoles, por ayudarme con los problemas que suelo encontrarme y que no se como afrontar y a InDuLgEo por diseñar el main logo de la tool :P Gracias a los tres!.

Un abrazo!

Hasta la proxima!.

Tutorial - Keygenning ZtreeWin

2010-03-23T09:39:00.000-07:00

Hola!,

Queria contarles que aqui pueden encontrar un nuevo tutorial con un analisis sobre el algoritmo utilizado en ZtreeWin para generar el serial, con kgn incluido :P.

Espero que les guste!.

Hasta la proxima!.

Tutorial - Cracking en Java

2010-03-15T06:59:00.001-07:00

Hola!, aquí les dejo un pequeño tutorial sobre un interesante crackme en Java.

Trata sobre la serializacion y deserializacion de objetos, muy original la idea.

Espero que les guste.

Saludos.

ActionScript & JIT Spray

2010-02-11T14:37:00.000-08:00

Hola!,

La semana pasada se ha presentado en BlackHat DC 2010 una nueva técnica llamada JIT Spray (es como el HeapSpray pero utilizando código ActionScript) que permite bypassear DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization); esto permitiria explotar bugs en IE8 sobre Windows 7 dado que hasta ahora las técnicas conocidas habían quedado obsoletas.

El paper de Dionysus Blazakis se puede encontrar aquí.

Además, pueden visitar http://reversinglabs.wordpress.com/ para leer un post muy interesante sobre como debuggear este código JITeado.

Slds!.

Felis Nabidad y Japy Niu iar!!

2009-12-21T19:24:00.000-08:00

Hola!,

Bueno, despues de un tiempo de escribir en este blog, creo que es la primera vez que escribo unas palabras antes de la navidad y el fin de año.

No se muy bien que decir porque no estoy acostumbrado :P

Solo queria comentarles que durante estas vacaciones que ya comienzan en unos dias, voy a intentar actualizar el blog con un par de cosas interesantes y no con tantas gacetas informaticas :)

Ah, ademas, como pueden observar, el blog ha tomado otro color :P.

Por cierto, voy a seguir trabajando, junto con Matias y compañia, en la toolcita PyPEELF, que si bien ya llevamos rato trabajando en ella, todavia falta bastante para poder relesear algo "utilizable" por la comunidad.

En fin, un saludo para todos!, Feliz Navidad y un prospero Año Nuevo!.

Hasta pronto!.

Otra vez Adobe Reader, 0-day

2009-12-15T17:26:00.001-08:00

Hola!,

Solo un pequeño post para comentarles que hoy se dio a conocer un nuevo 0-day en Adobe PDF Reader y Professional que parece se estaba explotando desde inicios de Diciembre.

Aparentemente, el bug esta en la funcion Doc.media.newPlayer() y se trata de un memory corruption. Se puede explotar embebiendo codigo javascript que ejecute la funcion antes mencionada y ademas agregando codigo javascript para generar un heap spray.

Para mas informacion:

1- extraexploit analisis 1.
2- extraexploit analisis 2.
3- F-secure analisis.
4- Metasploit exploit module.
5- CVE Mitre.

Hasta la proxima!.

Quick Post - Exploit Writing Tutorials

2009-11-13T15:58:00.001-08:00

Hola!,

Solo queria informarles acerca de una serie de tutoriales que Peter Van Eeckhoutte esta escribiendo desde hace un tiempo.

Hasta ahora ha publicado 7 tutoriales explicando lo basico en el arte de escribir exploits; vienen muy bien para la gente que quiera introducirse en este mundo del ninjitsu :P

Aca pueden encontrar la web de Peter y bajarse los tutoriales en formato PDF o leerlos on-line.

Para el que quiera bajarse todos los tutoriales en PDF, los puede bajar de aqui.

Ademas, aqui pueden encontrar una completa guia que muestra como hacer exploits para Metasploit y muchos aspectos mas de este framework.

Disfrutenlo!!!

Nuevo differ - TurboDiff

2009-10-15T17:25:00.001-07:00

Hola a todos!,

hoy queria comentarles un poco acerca de un nueo differ que se ha publicado en la internet :P

Se trata de un nuevo differ (un programa para comparar .exe, .dll, etc en busca de diferencias) escrito por Nicolas Economou (CORE Security Technologies) y presentado en la Ekoparty 2009 en Argentina.

Basicamente, la mayor diferencia con el resto de los differs actuales (Bindiff, Patchdiff, DarumGrim) es que este differ esta pensado para la busqueda de vulnerabilidades, esta especialmente pensado y programado para que no se le pase el mas minimo detalle a la hora de identificar un minimo cambio como un JA por un JB, cosa que al resto de los differs suele pasarsele por alto en ocasiones, incluso detecta diferencias en funciones que no son analizadas correctamente por IDA (si, me falto decir que es un plugin de IDA :).

Yo lo he utilizado un poco y me parecio bastante mejor que bindiff, el unico punto debil son los graficos puesto que no se comparan con los de bindiff pero el punto fuerte es que es mucho mas preciso que bindiff y el resto de differs a la hora de buscar vulnerabilidades.

Un buen post al respecto lo pueden enconrar aqui.

El source code y el plugin compilado lo pueden encontrar en la web de Corelabs, aqui.

update1: para ser imparciales y no ejercer favoritismos :P debo de decir que hace unos dias estuve probando Bindiff 3.0 y he tenido los mismos resultados que con turbodiff en cuanto a funciones cambiadas, sin embargo, turbodiff sigue siendo un poco mas rapido en el analisis que bindiff pero sin duda este ultimo mejoro bastante desde la version 2.0.

Hasta la proxima!.

CollaboREate & IPython for IDAPython

2009-10-14T15:44:00.000-07:00

Hola!,

Queria comentarles acerca de dos plugins interesantes para IDA.

Creo que todos conocen IDAPython (el plugin para IDA que permite interactuar con la API de IDA a traves de Python y que ademas nos provee de todas las bondades de python en IDA), bueno resulta que hasta ahora, los que no contamos con las nuevas versiones de IDA (hablo de la > 5.2) a no ser que hayamos comprado una de las caras licencias o tener acceso a alguna distro en nuestro trabajo, debiamos de editar el script de IDAPython en un simple textbox y ademas utilizar el menu o algun atajo de teclado para correr el script, bueno ahora hay una posibilidad mas.

Mediante el script que se encuentra aqui, podemos utilizar el tan conocido interactive shell, IPython, en IDA.

Post original en OpenRCE aqui.

Gracias sagar por el script!.

El segundo plugin sobre el cual queria hablar un poco es CollaboREate.

Se trata de un plugin que permite realizar trabajos de ingenieria inversa con IDA sobre un IDB pero de manera comunitaria. Como es esto? pues dos personas trabajando en un mismo idb, pueden compartir, en tiempo real, todos los cambios que vayan realizando sobre el idb, como renombrar variables, nombres de funciones, parametros, structs, unions, etc etc etc. Solo hace falta montar un server que sea el que envia los datos a todos los que se conecten a el.

Esto quiere decir que el usuario X y el usuario Y que trabajan sobre el mismo idb van a poder trabajar de una manera mas coordinada e instantanea que si tuvieramos que enviar los idbs por mail o subirlos a algun lado en internet, etc. Muy bueno sin duda para trabajos en conjunto.

Homepage de CollaboREate aqui.

Aca un paper sobre el plugin.

Bueno, eso!.

Saludos!.

El colador de CA (Computer Associates)

2009-10-09T19:42:00.000-07:00

Hola!,

Queria contarles acerca de un bug que encontre mientras hacia un exploit para un producto de la compañia CA (Computer Associates - www.ca.com).

El producto en cuestion es el archi-conocido ARCserve Backup, un software corporativo para realizar backups.

Los que trabajan en esta cuestion de buscar bugs y hacer exploits saben de sobra que la mayoria de los productos ofrecidos por esta empresa (CA) pareciera que vienen programados por chicos de 15 años que solo saben utilizar strcpy() y gets(); ARCserve esta lleno de bugs y para comprobarlo, basta con solo colocar "arcserve backup vulnerability" en Google para ver la cantidad de advisories que mencionan vulnerabilidades en este software (acá).

En fin, quiero contarles un poco como fue que di con un bug extra en la misma función que ya tenía otro bug! XD.

La historia fue mas o menos asi:

Estaba tratando de hacer un exploit para CVE-2008-4397. Dicha vulnerabilidad nos permite ejecutar comandos de manera remota, sin autenticacion e incluso lograr dropear un .exe que nos de acceso completo a la maquina victima. Por ejemplo, si enviaramos el comando "cmd /c ntsd -c calc.exe" se ejecutaria el ntsd con la calculadora attacheada.

La funcion vulnerable es accesible mediante RPC (MSRPC). La interfaz que contiene dicha funcion es:

[
uuid(506b1890-14c8-11d1-bbc3-00805fa6962e),
version(1.0)
]

Esa interfaz se encuentra en la libreria Asdbapi.dll y es accesible mediante el servicio llamado "CA Message Service" que escucha en el puerto 6504/TCP y que corre con privilegios de SYSTEM.

La funcion vulnerable es la siguiente:

/* opcode: 0x156, address: 0x28EAAAB0 */

long sub_28EAAAB0 (
[in] handle_t arg_1,
[in][ref][string] char * arg_2,
[in][ref][string] char * arg_3,
[in][ref][string] char * arg_4,
[in][ref][string] char * arg_5,
[in] long arg_6,
[in][ref][size_is(arg_1)] char * arg_7,
[in] long arg_8,
[in, out][ref] long * arg_9,
[out][ref][size_is(*arg_9)] char ** arg_10
);

}

Como podemos ver, el OPCODE que representa a la funcion es el 0x156. Si desensamblamos esta funcion con IDA, veremos que comienza de esta manera:

.text:28EAAAB0 ; int __stdcall sub_28EAAAB0(PRPC_MESSAGE Message)
.text:28EAAAB0 sub_28EAAAB0 proc near
.text:28EAAAB0
.text:28EAAAB0 Args= dword ptr -128h
.text:28EAAAB0 var_124= dword ptr -124h
.text:28EAAAB0 ppMemory= byte ptr -120h
.text:28EAAAB0 var_11C= dword ptr -11Ch
.text:28EAAAB0 var_118= dword ptr -118h
.text:28EAAAB0 var_114= dword ptr -114h
.text:28EAAAB0 pStubMsg= _MIDL_STUB_MESSAGE ptr -110h
.text:28EAAAB0 var_34= dword ptr -34h
.text:28EAAAB0 var_30= dword ptr -30h
.text:28EAAAB0 var_2C= dword ptr -2Ch
.text:28EAAAB0 var_28= dword ptr -28h
.text:28EAAAB0 lpBuffer= dword ptr -24h
.text:28EAAAB0 var_20= dword ptr -20h
.text:28EAAAB0 var_1C= dword ptr -1Ch
.text:28EAAAB0 var_18= dword ptr -18h
.text:28EAAAB0 var_10= dword ptr -10h
.text:28EAAAB0 var_4= dword ptr -4
.text:28EAAAB0 Message= dword ptr 8
.text:28EAAAB0
.text:28EAAAB0 push ebp
.text:28EAAAB1 mov ebp, esp
.text:28EAAAB3 push 0FFFFFFFFh
.text:28EAAAB5 push offset unk_28EC0BC0
.text:28EAAABA push offset _except_handler3
.text:28EAAABF mov eax, large fs:0
.text:28EAAAC5 push eax
.text:28EAAAC6 mov large fs:0, esp
.text:28EAAACD sub esp, 11Ch
.text:28EAAAD3 push ebx
.text:28EAAAD4 push esi
.text:28EAAAD5 push edi
.text:28EAAAD6 mov [ebp+var_18], esp
.text:28EAAAD9 push offset stru_28EBC410 ; pStubDescriptor
.text:28EAAADE lea eax, [ebp+pStubMsg]
.text:28EAAAE4 push eax ; pStubMsg
.text:28EAAAE5 mov esi, [ebp+Message]
.text:28EAAAE8 push esi ; pRpcMsg
.text:28EAAAE9 call ds:NdrServerInitiali

Esa parte corresponde al prologo de la funcion vulnerable. Si nos fijamos, un poco mas abajo realiza un par de comprobaciones sobre los tipos de datos enviados en el paquete, si se corresponde con los tipos esperados, entonces continuara por esta parte:

.text:28EAAC0F loc_28EAAC0F:
.text:28EAAC0F mov [ebp+var_4], ebx
.text:28EAAC12 lea edx, [ebp+ppMemory]
.text:28EAAC18 mov [ebp+var_28], edx
.text:28EAAC1B mov dword ptr [ebp+ppMemory], ebx
.text:28EAAC21 lea eax, [ebp+ppMemory]
.text:28EAAC27 push eax ; ppMemory
.text:28EAAC28 push esi ; int
.text:28EAAC29 push ecx ; int
.text:28EAAC2A mov ecx, [ebp+lpBuffer]
.text:28EAAC2D push ecx ; lpBuffer
.text:28EAAC2E push edi ; nNumberOfBytesToWrite
.text:28EAAC2F mov edx, [ebp+var_124]
.text:28EAAC35 push edx ; int
.text:28EAAC36 mov eax, [ebp+var_34]
.text:28EAAC39 push eax ; int
.text:28EAAC3A mov ecx, [ebp+var_30]
.text:28EAAC3D push ecx ; int
.text:28EAAC3E mov edx, [ebp+Args]
.text:28EAAC44 push edx ; Args
.text:28EAAC45 mov eax, [ebp+var_1C]
.text:28EAAC48 push eax ; int
.text:28EAAC49 call sub_28E19360
.text:28EAAC4E add esp, 28h
.text:28EAAC51 mov [ebp+var_11C], eax
.text:28EAAC57 mov [ebp+pStubMsg.BufferLength], 17h
.text:28EAAC61 cmp esi, ebx
.text:28EAAC63 jz short loc_28E

En la funcion sub_28E19360 es un wrapper que solo pushea los argumentos para la funcion ASDB_ReportRemoteExecuteCML:

.text:28E19360 ; int __cdecl sub_28E19360(int, char Args, int, int, int, DWORD nNumberOfBytesToWrite, LPCVOID lpBuffer, int, int, int ppMemory)
.text:28E19360 sub_28E19360 proc near
.text:28E19360
.text:28E19360 Args= byte ptr 8
.text:28E19360 arg_8= dword ptr 0Ch
.text:28E19360 arg_C= dword ptr 10h
.text:28E19360 arg_10= dword ptr 14h
.text:28E19360 nNumberOfBytesToWrite= dword ptr 18h
.text:28E19360 lpBuffer= dword ptr 1Ch
.text:28E19360 arg_1C= dword ptr 20h
.text:28E19360 arg_20= dword ptr 24h
.text:28E19360 ppMemory= dword ptr 28h
.text:28E19360
.text:28E19360 mov eax, [esp+ppMemory]
.text:28E19364 mov ecx, [esp+arg_20]
.text:28E19368 mov edx, [esp+arg_1C]
.text:28E1936C push eax ; ppMemory
.text:28E1936D mov eax, [esp+4+lpBuffer]
.text:28E19371 push ecx ; int
.text:28E19372 mov ecx, [esp+8+nNumberOfBytesToWrite]
.text:28E19376 push edx ; int
.text:28E19377 mov edx, [esp+0Ch+arg_10]
.text:28E1937B push eax ; lpBuffer
.text:28E1937C mov eax, [esp+10h+arg_C]
.text:28E19380 push ecx ; nNumberOfBytesToWrite
.text:28E19381 mov ecx, [esp+14h+arg_8]
.text:28E19385 push edx ; int
.text:28E19386 mov edx, dword ptr [esp+18h+Args]
.text:28E1938A push eax ; int
.text:28E1938B push ecx ; int
.text:28E1938C push edx ; Args
.text:28E1938D call ASDB_ReportRemoteExecuteCML
.text:28E19392 add esp, 24h
.text:28E19395 retn
.text:28E19395 sub_28E19360 endp

Esta funcion en la responsable de ejecutar los comandos enviados desde el exterior, por ejemplo, si enviamos: "..\\..\\..\\..\\..\\..\\..\\..\\..\\Windows\\system32\\cmd /c \"""\""""

Le estamos indicando el path (mas precisamente, el bug es del tipo path traversal) del cmd que sera el que nos ejecute el comando que le indiquemos con los parametros que le indiquemos.

Los "..\\" son para trigerear la primera de las vulnerabilidades, el path traversal, pero si nos fijamos un poco mas adentro, en una de las funciones (sub_28E3F6B0), tenemos un sprintf():

[...]
.text:28E3F8D9 lea edx, [esp+7C0h+Args]
.text:28E3F8E0 push offset aSSSRSOSS ; "%s\\%s -s -r %s -o %s %s"
.text:28E3F8E5 push edx ; Dest
.text:28E3F8E6 call ds:sprintf
[...]

El bug es obvio, no hay ningun tipo de chequeo sobre el tamaño del string que se va a copiar al stack, con lo cual, enviando como comando un string lo suficientemente "largo" lograriamos sobreescribir el RET de la funcion e incluso el exception handler y saltar a ejecutar codigo.

Previo a llegar a esta zona del bug, hay un chequeo(sub_28E01230) sobre uno de los argumentos que se envian, el paquete debe de contener el hostname de la maquina a la cual estamos atacando:

[...]
.text:28E01250 push eax
.text:28E01251 push offset Buffer
.text:28E01256 call ds:_mbsicmp
.text:28E0125C add esp, 8
.text:28E0125F test eax, eax
.text:28E01261 jz short loc_28
[...]

Si el salto se produce, entonces llegaremos a la zona vulnerable, en caso contrario nos hechara fuera.

Para conseguir el hostname podemos hacer un request utilizando SMB, utilizando python + impacket es sencillo.

Esto que les he comentado, lo probe en la version CA ARCserve Backup r11.5 sin ningun SP ni patch level.

El bug fue arreglado en el SP2 de 11.5 en el cual reescribieron la funcion vulnerable.

Aclaro que en realidad aca son dos bugs. Si se fijan en el PoC mas abajo, lo primero que hacemos es trigerear el path traversal y luego el overflow.

El PoC (Proof Of Concept) lo pueden encontrar aqui:

Bueno, eso es todo por el momento.

Hasta la proxima!.

Sector Virus - Solucion a los dos primeros niveles

2009-09-26T18:14:00.000-07:00

Hola!,

Hace ya un par de dias que vencio el plazo para el concurso 1 de Sector Virus. Como nadie envio soluciones y nunca se dijo mas nada, decidi escribir las soluciones yo.

Las dos primeras las pueden encontrar provisoriamente aqui:

Solucion Nivel 1
Solucion Nivel 2

Proximamente las soluciones a los siguientes niveles.

UPDATE1:
Solucion al Nivel 3

Saludos.

PyCon 2009 - Slides

2009-09-22T21:59:00.001-07:00

Hola!, solo queria comentarles que la mayoria de las charlas de PyCon 2009 ya fueron subidas y estan disponibles en la web de la conferencia para que se las bajen.

Pueden conseguirlas aqui: http://ar.pycon.org/2009/conference/schedule/

Haciendo click en cada una de las charlas, pueden acceder al material.

Espero que lo disfruten!.

Hasta pronto!.

Ekoparty 2009 - Buenos Aires, Argentina - Dia #2

2009-09-19T15:30:00.000-07:00

Hola nuevamente!,

Bueno, les voy a contar un poco que fue lo que acontecio en las charlas del dia Vienes en la Eko.

Para comenzar, nos desayunamos con la charla de Cesar Cerrudo de Argenis, "Opening intranets to attacks by using internet explorer". En esta charla, Cesar estuvo comentando un poco sobre las diferentes configuraciones por defecto que trae Internet Explorer y como esas configuraciones por defaul pueden resultar no tan seguras y abrir la puerta a un atacante que ayudado por otro tipo de bug (xss, sqli) puede acceder anonimante desde internet a la intranet de una empresa y realizar un ataque a dicha red. No hubo nada espectacular pero fue bueno conocer un poco mas sobre las configuraciones por defecto para cada zona.

La charla de Philippe Langlois, "SCCP hacking, attacking the SS7 & sigtran applications one step further and mapping the phone system". Esta charla la verdad es que no la vi, justo en este momento estabamos con algunos de los chicos de CLS en el shopping por comprar una PC nueva para Solid :P

Luego, hubo una charla de este mismo señor, Philippe sobre algo asi como un lugar de reunion para hackers para ayudar a discutir ideas y proyectos de manera libre, independiente, etc etc etc, siguiendo un poco la filosofia del CCC (chaos computer club). Un punto de renion de hackers pero sin andar escondiendose de nada ni de nadie.

Otra de las TurboTalks del dia fue la de Lucas, que estuvo contando un poco sobre estaciones numericas que son estaciones de radio desde las cuales se transmite por todo el mundo una serie de numeros que representan ordenes o tareas para los espias de un pais que se encuentra alrededor del mundo. Lucas nos mostro un par de cosas siniestras como un par de grabaciones de una estacion numerica en cuba y algunas otras mas. Ademas, dijo que se podia simplemente con un receptor de onda corta como es una radio comun y corriente, poder captar este tipo de transmiciones sin demasiada dificultad.

Luego, vino la charla de POSIX Meterpreter de Sebastian N. Fernandez, que a mi gusto no estuvo tan entretenida. Si bien la informacion presentada parecia excelente, a la hora de explicar que es lo que se habia hecho en la investigacion, quedaban muchas cosas en el tintero y sin demasiada explicacion. Sebastian es uno de los developers que ayuda en el proyecto MSF (metasploit framework) y conto un poco acerca del meterpreter anterior con el que contaba MSF (o cuenta realmente en estos momentos) y la tarea que llevo adelante desarrollando ese mismo merterpreter con una interfaz (API) que permita ejecutarse en la mayor parte de sistemas UNIX (es lo que se llama POSIX http://www.alegsa.com.ar/Dic/posix.php).

Esta fue la charla que menos me gusto por lo que mencione, no se si se debia a la poca edad y experiencia del disertante o que, pero para mi hubiera sido mejor que estuviera en una TurboTalk y no en una charla de 40 minutos o mas, incluso sobro mucho tiempo.

En fin....

Luego, vino Charlie Miller con su charla "Iphone hacking: fuzzing and payloads". Esta charla me gusto bastante, Miller, estuvo exponiendo un poco sobre la implementacion el protocolo de SMS en iphone que fue mas o menos lo que Luis Miras presento en su charla, pero ademas mostro la estructura de un mensaje de texto en iphone y un par de tooles para poder manipular estas estructuras. Luego, ya nos mostros como fue que encontro su famoso bug de SMS y los problemas que se encontro a la hora de escribir un exploit reliable para dicho bug.

Casi al final, vinieron dos ninjas, Alfredo Ortega y Anibal Sacco, sin duda, una de las mejores charlas de la Eko. La charla "Deactivate the rootkit" es la continuacion de su charla presentada en CanSec 2009 este año ("Persisten BIOS infection"). Alfred y Anibal, nos contaron que mientras intentaban meter un rootkit en la BIOS, se encontraron con algo alli adentro, alguien les habia ganado de mano y no era ni mas ni menos que Computrace. Parece, y se demostro, que dicha empresa ha hecho algun tipo de arreglo con los vendors mas famosos de laptops del mundo y han instalado un rootkit en la BIOS que permite rastrear tu maquina desde cualquier parte del mundo, lo peor de todo es que este rootkit puede ser activado de manera remota por un atacante sin autenticacion y para colmo de males la comunicacion entre el agente y el cliente remoto se realiza sin ningun tipo de encripcion en sus primeras etapas, incluso la clave que se envia para encriptar una parte de la comunicacion, es enviada en un primer stage de manera plana cosa de que todo el mundo puede verla jeje.

Ademas de comentarnos todo esto, nos mostraron un par de tecnicas y tooles, tanto para desactivar el rootkit como para detectar este rootkit en nuestras maquinas.

La ultima charla fue la de Moxie Marlinspike, "More tricks for defeating SSL in practice", pero de esta charla no puedo hablarles porque ya me habia retirado del evento, asi que si se quieren enterar van a tener que esperar a que suban los papers :P

Eso fue todo! yo la pase muy bien, me diverti, aprendi y conoci gente nueva!.

Todo un exito la Eko 2009!.

Hasta pronto!.

Delincuentes de CLS en la Eko 2009!

2009-09-19T10:41:00.000-07:00

Solo un post cortito para mostrarles el grupo de CracksLatinoS! que se armo en la Eko.

De izquierda a derecha: Lordf00, Ricardo Narvaja, Sick, NCR (yo je), marciano, Matias Bordese y Solid. Faltan Franco, Ulises2k y Chucky (dapaf) que andaban perdidos por ahi en ese momento que entramos, a Franco lo conocimos un rato despues, con Ulises2k nos saludamos un rato mas tarde y chucky llego tarde asi que no estaba para la foto :(

Ekoparty 2009 - Buenos Aires, Argentina - Dia #1

2009-09-17T20:34:00.000-07:00

Hola!!!,

Quiero contarles un poco sobre lo que vi en la 5° edicion de la conferencia sobre seguridad informatica que se realizo en Buenos Aires, Argentina, este pasado fin de semana.

Antes de comenzar con la parte de las charlas, quisiera decir que este fue el año que mas concurrencia acarreo desde todos los costados del planeta, mucha gente del interior del pais, de paises vecinos y ademas del exterior.

Las charlas tuvieron un excelente nivel tecnico y presentaron algunas cosas nuevas que ya veremos.

No quisiera dejar de comentar que mucha gente de la lista CracksLatinoS! estuvo presente en la conferencia, con esa "prole" compartimos los almuerzos y breaks que se realizaron y la verdad es que la pasamos muy bien!, fue un muy buen punto de encuentro y la mejor excusa para conocer a los CLSs que faltaban por conocer.

Bueno, vamos a pasar a comentar un poco lo que se vio (y entendi) de las charlas.

Ah, algo que quisiera criticar es que si bien el nivel de las charlas fue excelente tecnicamente hablando, el contenido era muy muy bueno pero no asi el disertante, hubo un par de cosas en que la charla se volvia densa solo por la manera de explicar del disertante, aunque claro, no somos personas que nos dediquemos a las relaciones publicas sino a la seguridad informatica jeje, asi que es entendible.

Bueno, la primera de las charlas fue: "Mostrame la Guita -Adventures in buying vulnerabilities" por Pedram Amini. Basicamente, Pedram estuvo contandonos un poco sobre como surgio la idea de servicios como Idefense y ZDI del cual el es el fundador. Pedram tambien comentaba un poco el hecho de las diferentes maneras de vender una vuln y que es lo que se hace con esa informacion, a donde va a parar, quien la utiliza, etc. Tambien comento un poco sobre los montos que se estan pagando por x tipo de vulnerabilidades y ademas un par de estadisticas sobre el tiempo en que los vendors tardan en responder y patchear cuando reciben un aviso sobre un bug en sus softwares.

Luego de la charla de Pedram, vino una de las charlas que mas me gusto, de la cual no tenia idea y la que desperto un nuevo interes en mi cabeza, la charla se titulo: "Ten things everyone should know about lockpicking & physical security" por Deviant Ollam. Esta charla basicamente fue la mas divertida puesto que ademas de ser muy practica, Deviant le puso toda la onda para darla. Conto un poco sobre el tema de la seguridad fisica, diferentes tipos de cerraduras y algunas demos sobre como abrir cerraduras, candados etc. Lo que decia Deviant es que la seguridad en tu software y/o hardware es tan buena como la seguridad del lugar fisico donde ese software/hardware se encuentra. No sirve de nada tener un server room con las maquinas con IDS/IPS, patcheadas al dia, protegidas con password, etc si le pones una cerradura que se puede abrir en dos minutos con dos ganzuas.

Luego, hubo dos TurboTalks, la primera de ellas fue la de Nicolas Waisman de Immunity Inc, "Abusando Bitmask" que trato sobre una "nueva" tecnica para explotar bugs de heap overflows en windows cuando solo se puede manejar un byte, seria un off-by-one en el heap. En realidad, en la charla mostro un ejemplo de un bug en NNTP de hace un par de años en donde el overflow se producia solo por dos bytes de los cuales solo uno era handleable por el atacante.
La segunda TurboTalk fue la de Federico Meiners de CORE, "wi-fi power safe DoS". Esta charla fue tambien muy amena y muy clara. Basicamente, Federico nos contaba de una ataque de DoS que descubrio realizando uno de sus trabajos. El ataque se basa en el power safe de la maquina que esta conectada al AP que le permite entrar en un estado de "sleep" en el cual no puede enviar ni recibir paquetes.

Otra de las charlas que mas repercusion tuvo fue la de Nicolas Economou, "Heuristicas aplicadas a la comparacion de binarios". Esta charla fue una de las mas tecnicas que hubo y sin duda valio la pena quedarse. Nico nos contaba acerca de una tool que se programo para poder diffear binarios y asi poder dar con bugs (por ejemplo en los parches de Microsoft). Hizo una comparacion entre los differs actuales que se puede conseguir (pagos y gratis) para realizar esta tarea pero todos ellos fallaban en cosas muy basicas o tardaban demasiado tiempo en realizar el analisis. Su tool daba con diferencias minimas que al resto de los differs se le escapaban y que ese tipo de diferencias son fundamentales a la hora de descubrir un bug y poder hacer el exploit.

Nico ademas nos conto sobre los diferentes problemas que se encontro al desarrollar esta nueva herramienta y como los fue solucionando. Dentro de un tiempo la tool va a estar disponible en la web junto con los slides, no se lo pierdan!.

Otra de las charlas divertidas que tuvo la Eko, fue la de Chema Alonso, "Connection String Attacks" en la cual nos contaba sobre un par de productos un poco viejo pero que todavias son muy utilizados para autenticarse contra una base de datos y que lamentablemente la seguridad es muy pobre en dichos productos y con una sola comilla todo se desmoronaba y podiamos acceder a la base de datos sin mayores problemas.

La penultima charla fue la de Luis Miras, "Attacking SMS". En esta charla, Luis, nos comento un poco los diferentes ataques que se pueden hacer sobre el protocolo de SMS, como podemos desarrollar ataques y como afecta esto a los telefonos que soportan este tipo de protocolo (todos los telefonos celulares del mundo :P)

La ultima charla del dia Jueves fue la del español Leonardo Nve, "Playing in a satellite environment 1.2". Leonardo, estuvo comentando un poco como jugar con PCs y comunicaciones via satelites, como poder sniffear el trafico de estas comunicciones y como poder enviar datos a en el sentido contrario, es decir hacia el satelite.

Ademas de todas esats charlas, paralelamente habia varias actividades como retos en los stands de Core, ZDI, el CTF de la Eko y los desafios de lockpiking.

Bueno, en un rato posteo lo que acontencio el dia Viernes.

Saludos.

Blog acerca de PyPEELF

2009-09-11T14:26:00.001-07:00

Hola!,

Solo queria comentarles que he decidido abrir un blog para ir posteando las novedades que se van dando con PyPEELF.

Para aquel que quiera seguirlo, aca esta el link!.

Saludos!.

PyDbgExt - Python para Windbg

2009-09-09T16:46:00.000-07:00

Hola!,

Solo queria comentarles algo que yo al menos no conocia. Si bien hace un tiempo ya que esta, nunca habia escuchado de el, pero gracias a unos amigos (gracias Boken y Yibam) ahora se que existe.

Se trata de una extension para Windbg que permite utilizar Python desde Windbg. Ademas, de permitirnos tener Python en la linea de comandos de Windbg, podemos utilizar scripts ya predefinidos que ya vienen hechos.

Home del proyecto: PyDbgExt

Espero que les sea util.

Hasta pronto!.

Microsoft Windows SMB 2.0 SRV2.SYS Negotiate Request BSoD

2009-09-09T16:07:00.000-07:00

Hola!,

Bueno, ayer se han publicado los parches para este mes de Microsoft y mas alla del parche que arregla un problema en la implementacion del protocolo TCP que varios, no solo MS, tuvieron que salir a subsanar, lo mas interesante esta semana sin duda fue el BSoD publicado el lunes que afecta a Windows Vista y Windows 7.

El advisory de MS aqui.

El bug esta en el header de SMB, v2, de la nueva implementacion que nos provee MS a partir de Windows Vista.

La funcion vulnerable es _Smb2ValidateProviderCallback() que mediante un dereferenced call nos permite controlar un short proveniente de un array. El campo problematico es el Process ID High del header de SMB en el SMB_NEGOTIATE:

SMB_Header

{

UCHAR Protocol[4];

UCHAR Command;

SMB_ERROR Status;

UCHAR Flags;

USHORT Flags2;

USHORT PIDHigh; // este es el problema cuando se le pasa "&"

UCHAR SecurityFeatures[8];

USHORT Reserved;

USHORT TID;

USHORT PIDLow;

USHORT UID;

USHORT MID;

}

Cuando en ese campo se introduce un "&", produce un BSoD. La explotacion no es trivial pero si existe una posibilidad.

Ya hay un PoC publico para demostrar el fallo aqui.

Para mas informacion pueden visitar las siguientes paginas:

1- http://blog.48bits.com/?p=510#comments
2- http://reversemode.com/
3- http://www.securityfocus.com/bid/36299/

Solo como comentario les digo que he probado el PoC en un Windows 7 Ultimate x64 RTM y no ha pasado nada, el SMB_NEGOTIATE se hace efectivamente con el "&" en el campo PIDHigh, pero no hay BSoD, el SMB_NEGOTIATE Response llega.

UPDATE1:
Metasploit acaba de sacar un exploit (no PoC) para esta vuln.

http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/smb/smb2_negotiate_func_index.rb

Saludos.

PyCon 2009 Argentina! #2

2009-09-05T15:22:00.001-07:00

Hola!,

Bueno, voy a seguir comentandoles un poco que fue lo que vi el segundo dia de conferencia de PyCon 2009 Argentina.

Bien temprano, nos desayunamos una charla llamada: "Entendiendo Unicode" por Facundo Bastista. Basicamente, la charla hablaba de Unicode (cuac!), detallando un poco el contenido, podriamos decir que transitamos por lo problemas mas comunes que un programador encuentra a la hora de tener diferentes codificaciones y basicamente lo que recomendaba Facundo era que almacenemos siempre nuestros datos en unicode, cuando los necesitemos los decodifiquemos, trabajemos con ellos y posteriormente los volvamos a codificar antes de guardarlos, de esta manera evitamos problemas de recibir datos en una codificacion y terminemos guardandolos en otra y asi luego nos perdamos entre tantas codificaciones. Obviamente, estuvo mostrando los modulos standards que nos provee python para trabajar con Unicode.

La segunda charla del dia fue la llamada: "PyQt + wxPython + PyGTK" por Roberto Alsina y Cia. En esta charla se discutieron los diferentes aspectos de cada uno de estos paquetes para desarrollar aplicaciones basadas en GUIs. Basicamente se hablo de PyGTK y sus bondades, wxPython y su flexibilidad y PyQt y su madurez. No fue una charla en la cual cada uno intentaba de convencernos que usemos su toolkit preferido sino simplemente contarnos que es lo que cada uno trae y nos permite desarrollar, luego queda a criterio del programador cual utilizar. A mi, particularmente, me gusta mucho wxPython asi que les recomiendo ese. Por que wxPython? basicamente lo que me convencio fue la facilidad para aprender a programar con el y su completa API, posee la mayoria de los widgets modernos y permite manipularlos de una manera muy sencilla. Vale aclarar que cada uno de estos toolkits es cross platform.

La tercera charla a la que asisti fue: "from wiimote import fun" por Juan Manuel Schilliaci y Hector Sanchez, una charla dedicada a wiimote y Python.

La charla se baso en un par de scripts y experimientos que se hicieron utilizando el wiimote y Python. Los muchachos realizaron varias demos entre las que recuerdo que se utilizo el wiimote como control remoto de un media player asi como el control remoto de un auto. Tambien, se programo un script para poder utilizar el wiimote como un instrumento utilizando Oxygen, y ademas tenian un script que permitia utilizar el wiimote para juegos realizados con PyGame.

La cuarta charla tuvo que ver con "Taint Mode en Python" por Juan Jose Conti.

Esta charla se basaba en un proyecto nuevo dedicado a encontrar bugs en la etapa de desarrollo del software mediante variables manchadas. Una variable manchada basicamente es una variable que contiene un input malicioso y puede terminar generando un error en nuestro programa. Juan nos comento diferentes tecnicas para poder marcar este tipo de variables y poder informarle al usuario de estos posibles fallos y asi corregirlos antes de que el software sea puesto en produccion.

La quinta charla, "Twisted para seres humanos" por Lucio Torre, tuvo que ver, obviamente, con Twisted, es un completo engine para desarrollar aplicaciones de red, como por ejemplo, un servidor web. Basicamente, presento este proyecto como una alternativa a la hora de trabajar con multi procesos y multi threads para poder atender miles de peticiones concurrentes. La API de Twisted presenta un par de funciones mediante las cuales pueden atenderse miles de peticiones concurrentes con muy pocos recursos.

La sexta y ultima charla a la cual asisti el dia sabado fue "Behind the scenes: Python bytecode" por Matias Bordese. Fue una de las charlas que mas esperaba cuando vi el cronograma y sin duda fue la que mas me gusto y tuvo que ver con el trabajo que hago. Basicamente, Matias, nos estuvo explicando como es que funciona python desde adentro, su byte code, como la vm los interpreta, como reconstruir un programa a partir de su byte code (como obtener su codigo fuente), como escribir un programa directamente utilizando el byte code y un pequeño ejemplo de RCE sobre un crackme para resolverlo utilizando justamente solo el byte code de python.

Luego de esto, hubos una hora de charlas relampago y una plenaria dicatada por Colin Winter, llamada "Unladen Swallow", pero ya habia sido demasiado para mi por un fin de semana, casi 18 horas en la semana de Python habia agotado mi cerebro :P

En conclusion puedo decir que para ser la primera vez que se da una conferencia de Python en español, fue excelente!, solo eso!. Ademas, esta conferencia fue pure Python Argentina!, made in Argentina asi que eso me alegra mas aun!.

Hasta el proximo post!.

PyCon 2009 Argentina!

2009-09-05T14:23:00.000-07:00

Hola!,

Acabo de volver de PyCon 2009, la primer conferencia en español sobre Python!. Es la primera que se hace en sudamérica una conferencia en español de esta índole. Si bien hay ya varias PyCon en otras partes del mundo, esta en particular es la primera hablada en español. Puden consultar el resto de las PyCon en esta página.

Bien, queria contarles un poco sobre las charlas a las cuales estuve asistiendo pero primero quisiera admitir de que mi espectativa con respecto a esta conferencia no era la mejor, mi idea fue: "voy para ver que hay", pero me lleve una sorpresa, volvì con muchas cosas nuevas en la cabeza y con un panorama completamente diferente al que esperaba. Charlas de muy buen nivel, muy bien explicadas y sobre todo, muy buen ambiente!.

Para ver el programa de las charlas pueden seguir este link.

Creo que esta de más decir que en esta conferencia, todas las charlas, contienen un contenido relacionado con el lenguaje de programación que es Python, intentando enriquecerlo con nuevas librerias, tecnologías e ideas para seguir creciendo.

La primera de las charlas a las cuales asistí fue "Python como un lenguaje de hacking" en la cual Andrés Riancho de Bonsai estuvo dando un pantallazo sobre un par de librerías utilizadas para la realizar assesmente de aplicaciones web. Estuvo hablando sobre la implementacion y la utlizacion de librerias como scapy y sobre algunos frameworks para fuzzing como Peach y w3af. En mi opinion, le falto detenerse un poco mas en algunos puntos pero a nivel contenido estuvo muy bien.

En particula lo que mas me gusto de esa charla fue scapy que hasta ahora solo la conocia de nombre pero me parecio una muy buena libreria que nos abstrae de por ejemplo, libpcap y que permite disectar paquetes de manera muy facil, asi como enviar cosas al cable sin problema, sin siquiera tener que formar un paquete valido.

Ademas, Peach que tambien lo conocia de nombre, me parecio excelente para armar fuzzers de una manera mucho mas inteligente que solo fuzzear un par de bytes de manera random. Si bien la curva de aprendizaje puede parecer algo lenta, puesto que hay que conocer un poco el procolo o formato de file que estemos fuzzeando para poder decirle a Peach que campos fuzzear y cuales no, me parece una muy buena opcion para armarse fuzzers un pequeño grado de inteligencia y poder encontrar vulns (si tenemos suerte).

La segunda charla a la cual asisti fue: "Byte Twidding: Optimizando el manejo de (muuuuuchos) bytes" por Alejandro J. Cura.

En esta charla se discutio al respecto de algunas tecnicas o mecanismos que se utilizan para programar en python cosas relacionadas con musica, imagenes y sonido que muchas veces suelen generar overhead sobre nuestra aplicacion. Alejandro, estuvo mostrando un par de libs interesantes para trabajar con imagenes como Python Imaging Library, librerias para trabajar con numeros como NumPy, y librerias para trabajar con sonido de las cuales no recuerdo el nombre pero que podran ver en la presentacion y los slides en la web de PyCon dentro de poco.

Basicamente, lo que Alejandro comentaba era no perder tiempo en escribir una libreria en C/C++ para procesar datos de maneras mas rapida y eficiente y proxearla median, por ejemplo, PyRex, sino hacer uso de algunas librerias como las mencionadas antes para poder realizar un procesamiento mucho mas eficiente de los datos y no enlentecer nuestro programa/script en python.

La tercer charla a la cual asisti fue: "¿Sueñan las serpientes electronicas?" por Fernando Russ (o Fruss para los amigos) y Alejandro David Weil (Dave o Tenuki para los amigos :P).

Esta charla la considero una de las mas interesantes de la conferencia puesto que hablaron de una "nueva" tecnologia que Python y las aplicaciones necesitaran en algun momento que sera la de detener la ejecucion de codigo en un momento dado, guardar el estado y el contexto de ese programa de alguna manera y luego poder volver a restaurarlo con el contexto que nosotros querramos. Basicamente es un desafio y los muchachos estuvieron mostrandonos conceptos, ideas, problemas y soluciones sobre dicho tema. Todo esto desemboca en una nueva libreria escrita en pure-Python llamada dreampy (la cual no es publica todavia) pero que pretende llevar a cabo esa idea, suspender ejecucion de codigo y restaurarlo esa ejecucion en un momento dado.

Otra de las charlas que mas me gusto fue: "Juegos educativos con Pygame" por Alejandro J. Cura y Hector Sanchez.

Yo pensaba que hacer un juego era realmente un trabajo tedioso, pesado y demasiado complejo (de hecho lo es para juegos en 3d y avanzados como los hay hoy) pero realizar juegos 2-d utilizando PyGame resulta muy sencillo y divertido. Los chicos nos llevaron a traves de un par de diapositvas en las cuales nos mostraban paso a paso como armar un sencillo juego en 2-d. Obviamente no es la unica lib en python para armar juegos, tambien esta COCOS 2d, pero PyGame es la mas madura de todas, hace alrededor de 10-15 años que se mantiene por lo cual es bastante estable y la mayoria de los bugs que el resto de las librerias posee, en PyGame ya fueron reparados.

Una de las ultimas charlas a las cuales asisti el dia viernes fue: "PyCasa inside: PyGTK on glade" por Natalia Beatriz Bidart y Matias Bordese.

En esta charla, Natalia nos llevo por un paseo alrededor de PyCasa, la aplicacion para administrar los albumnes de picasa web.

Ademas de mostrarnos como estaba hecho PyCasa, nos mostro como funciona y como se compone PyGTK y como desarrollar aplicaciones utilizando PyGTK + glade (un RAD para desarrollar GUIs en python). A mi particularmente, me gusto mucho puesto que yo hasta ahora habia realizado aplicaciones utiilzando Boa Constructor, VisualWx y wxPython, pero GTK + PyGTK parece una buena opcion aunque me parecio un poco mas dificil de aprender a utilizar que wxPython.

Luego de todas estas charlas, hubo un par de charlas relampago de las cuales rescate charla de Ricardo Quesada (el creador de COCOS 2d), que hablaba de PyWeek, una competencia para realizar un juego totalmente en python desde cero en tan solo 7 dias!, lo mejor es que se puede participar en la competencia desde nuestra propia casa y tanto en grupo como de manera individual.

Luego hubo una charla plenaria dicatada por Jacob Kanplan (principal interventor en el proyecto django) pero a esta charla no pude asistir asi que no puedo comentarles que fue lo que se discutio :P

Uff, ya escribi demasiado por ahora, cuando me tome un descanso vuelvo a postear sobre las charlas del segundo dia, sabado, que estuvieron igual de interesantes que el primer dia!.

Hasta dentro de un rato!.

PyPEELF - Multi-Platform & Multi-Format Binary Editor

2009-08-29T10:27:00.001-07:00

Hola!, este post es para contarles un acerca de un proyecto Open Source en el que estamos trabajando con unos amigos. Se trata de un editor binario multi plataorma y multi formato.

Qué quiere multi-plataforma y multi-formato? Quiere decir que corre tanto en Windows / Linux, sea x86 o x64 nativamente y además soporta PE32, PE+ (PE64) y ELF y en un futuro pensamos darle soporte para Mac OS X.

Actualmente se encuentra en fase de desarrollo todavía, estamos deliverando que incluir en el primer release y que queda para los próximos. Además de lo básico de un editor binario contará con soporte para .NET, es decir que podrá visualizarse y editarse datos propios del formato .NET. Esto último es posible mediante CFF Explorer Suite de Daniel Pistelli pero la diferencia con PyPEELF es que este es Open Source, además de que es nuestra propia implementación.

Pensamos además incluir algunas herramientas extras para hacerlo lo mas completo posible. Todavia no tenemos una fecha fijada para el primer release pero esperamos que sea pronto. Cada uno de nosotros (3 por el momento) tenemos nuestros propios trabajos y esto lo hacemos como hobbie con lo cual el tiempo que le dedicamos no es suficiente pero hacemos lo posible.

Este proyecto esta realizado completamente en Python y utilizamos wxPython para la GUI.

Cuando tengamos mas noticias les informaremos!.

Hasta la próxima!.

Sector Virus - Virus Challenge #1

2009-08-15T19:18:00.000-07:00

Hola!, Queria comentarles acerca de un nuevo grupo (actualmente se encuentra en Googlegoups) que se dedica a la enseñanza de programación de Virus. Actualmente cuenta con varios miembros de la lista Crackslatinos a los cuales les interesa, además del cracking, poder aprender y enseñar sobre programación de virus, analisis de malware, rootkits, etc.

Básicamente está orientada a gente que recién comienza en el tema y no tiene conocimientos sobre ASM y/o Virus pero también está abierta a debates sobre temas avanzados.

En un principio era ZeroPad el moderador e impulsor de la lista pero debido a su escaso tiempo para poder dedicarle a la lista, Asphixya se esta haciendo cargo y dandole un nuevo impulso proponiendo un Virus Challenge #1 que cuenta con 4 virus diseñados por el para poder realizar desde un analisis básico hasta algo mas avanzado.

Además de este VC, existe un curso sobre programación de Virus que se esta desarrollando y que actualmente va por la parte #13.

Los invito a darse una vuelta por el grupo: http://groups.google.com.ar/group/sector-virus

Además, pueden bajarse los tutoriales del curso de programación de virus desde aquí: http://ricardonarvaja.info/WEB/OTROS/PROGRAMACION%20DE%20VIRUS/

Hasta la próxima!.

Papers - BlackHat 2009

2009-07-31T16:07:00.000-07:00

Este entrada es solo para comentar que ya estan disponibles los papers, slides y videos de las presentaciones que se dieron en BlackHat 2009.

http://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html

Algunas interesantes como la que dieron Alfredo Ortega y Anibal Sacco de Core Security Technologies en la que nos dieron a conocer de un rootkit que viene preinstalado en casi todas las laptos del planeta :P

Lean!.

Otra vez sopa! (nuevo 0-day en Adobe Flash)

2009-07-23T17:35:00.000-07:00

Parece que anda circulando un nuevo worm explotando una nueva vulnerabilidad (todavia no patcheada) en Flash Player. Parece que ademas, este worm, afecta a Adobe Reader al poder embeber un .swf dentro de un .pdf.

Hasta el momento no hay mas noticias publicas. En Milw0rm se publico un supuesto PoC:

http://milw0rm.com/exploits/9233

Pero aparentemente segun Symantec este no tiene relacion con este nuevo 0day.

Para mayor informacion pueden visitar los siguientes sites:

http://twitter.com/Str0ke
http://twitter.com/hdmoore
http://blogs.adobe.com/psirt/2009/07/potential_adobe_reader_and_fla.html
http://www.kb.cert.org/vuls/id/259425

UPDATE1:
http://xorl.wordpress.com/2009/07/23/adobe-vulnerability-on-milw0rm/
http://blog.fireeye.com/research/2009/07/actionscript_heap_spray.html
http://isc.sans.org/diary.html?storyid=6847
http://extraexploit.blogspot.com/2009/07/something-about-cve-2009-1862-poc.html

Saludos.

while(1), simple as that!.

2009-07-20T17:00:00.000-07:00

Hola!,

queria contarles de un problema que tuve y como lo solucione muy facilmente.

La situacion era la siguiente: tenia un webserver corriendo y ademas otro programa que fowardeaba los requests http de determinada clase al webserver. Determinado request hacia que se cargue una dll on-demand que yo queria tracear. En principio, sospechaba del proceso responsable de cargar dicha dll pero probando con Olly varias cosas como por ejemplo, setearlo para que se detenga cuando una dll nueva es cargada, no funcionaba, ni tampoco un BPX en LoadLibraryA. La cosa se ponia dificil.

Conversando un rato con un amigo (Yibam) y comentandole el problema que tenia, ideamos un par de soluciones que podian llegar a resultar, como por ejemplo, utilizando un driver y desde kernel seteando un callback para que cuando se carguen las dlls podamos determinar que proceso era y que dll cargaba. Otra idea fue implementar eso mismo pero desde user-mode con uhooker....todas eran soluciones un tanto liosas para algo tan simple.

Luego, hablando con otro amigo (marciano) me dijo: "y si pones un INT3 en el DllMain?", la idea era buena, la probe pero resulta que el webserver parecia catchear la excepcion y tirar un error :(

Finalmente di con la solucion (gracias marciano nuevamente), por que en lugar de un INT3 no colocamos un JMP EIP (while(1))?. Pues dicho y hecho, eso fue lo que hice y pum!!!! habia un proceso que se "comia" el 99% del CPU!, attacheandome a dicho proceso pude comprobar que era el causante de cargar la dll que tanto buscaba.

Al final, un problema que parecia sencillo, para el cual habiamos diseñado soluciones algo complejas, termino solucionandose con algo super sencillo!, como era de esperar.

Bueno, eso, una estupidez pero queria contarselas!.

Hasta la proxima!.

Nuevo 0day en Microsoft Office (Web Components) CVE-2009-1136

2009-07-13T08:36:00.000-07:00

Hola!,

Parece que MS ha publicado un nuevo advisory sobre una vulnerabilidad en Web Components instalado por varias versiones de Office (XP, 2003, 2007). Aparentemente es un ActiveX cuyo CLSID es {0002E541-0000-0000-C000-000000000046}.

Aqui la lista de software afectado:

Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 3
Microsoft Office XP Web Components Service Pack 3
Microsoft Office 2003 Web Components Service Pack 3
Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
Microsoft Internet Security and Acceleration Server 2006
Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Microsoft Office Small Business Accounting 2006

Aqui esta el advisory de Microsoft:

http://www.microsoft.com/technet/security/advisory/973472.mspx

Algunos links de interes mas:

http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx

PoCs:
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.html
http://downloads.securityfocus.com/vulnerabilities/exploits/35642.rb

A patchear sus sistemas!.

Crackinglandia ahora en twitter!

2009-07-10T07:10:00.000-07:00

Hola!,

Si, como dice el titulo del post, ahora Crackinglandia en Twitter!:

http://twitter.com/crackinglandia

Eso, un update rapido!.

Nos vemos!.

Cracking en linux por Juan Jose

2009-05-16T17:56:00.000-07:00

Hola manola!,

Solo queria comentarles sobre el gran trabajo que esta haciendo Juan Jose (Amigo de la lista CracksLatinoS!) para enseñarnos sobre cracking en Linux. Hasta ahora lleva publicados 4 tutoriales acerca de este tema, los dos primeros son basicos acerca del manejo de GDB y los ultimos escritos hablan acerca de un "nuevo" framework que entre muchas de las tools que trae, incluye un debugger.

Para el que quiera chusmear los tutoriales, pueden encontrarlos aqui:

Crackeando en Linux por Juan Jose

Cualquier duda o pregunta pueden escribirle directamente a Juanjo que no tendrá ningun tipo de problema en contestarles!.

Saludos.

[CLS].Themida.desde.cero.PARTE.I

2009-05-06T00:10:00.000-07:00

Hola!,

Aca les dejo el primer tutorial de una saga. Espero que les guste.

[CLS].Themida.desde.cero.PARTE.I.by.+NCR

NOTA: si 4shared les avisa de un virus en el paquete es solo porque viene con los programas packeados con themida y dumpeados. La heuristica del AV lo detecta como virus pero en realidad no es mas que por el polimorfismo del codigo del packer. Pueden bajarlo sin problemas.

Hasta la proxima!.

Reto panda - Solucion Reto 1, 2 y 3

2009-04-18T15:39:00.000-07:00

Hola!,

Hace unos dias cerro el reto panda. Consistia de tres desafios (crackmes) que habia que resolver. Yo no pude ver ninguno todavia por falta de tiempo pero algunos amigos si lo hicieron y ha resuelto el primero de ellos, asi que aqui les dejo los tutoriales:

Soluciones al reto1:

Solucion por Shaddy

Solucion por Thor - Parte 1
Solucion por Thor - Parte 2
Solucion por Thor - Parte 3

Solucion(nes) reto2:

Solucion por Abbsha y GUAN DE DIO

Soluciones al reto3:

Solucion por Romansoft

Hasta la proxima!.

[NCR2009] Black Crk y pydbg con VisualWx PARTE2

2009-04-01T17:40:00.000-07:00

Hola!,

Aca les dejo la segunda parte de este tutorial.

[NCR2009] Black Crk y pydbg con VisualWx PARTE2

Hasta la proxima!.

El confite que esta de moda....

2009-03-30T17:49:00.000-07:00

Hola!,

Parece que ultimamente el Conficker (el worm que explota la vuln MS08-67) esta mutando muy seguido, ya hay varias versiones y parece que proximamente se estara actualizando.

Aca les dejo algo de info sobre el bicho este, lectura recomendable, abalisis y hasta un scanner para el conficker:

http://mtc.sri.com/Conficker/
http://vil.nai.com/vil/content/v_153464.htm#tab1
http://www.honeynet.org/node/254
http://mtc.sri.com/Conficker/addendumC/index.html
http://it.slashdot.org/it/09/03/30/090224.shtml

Aca les dejo el scanner hecho en python con impacket: Conficker Scanner

Hasta la proxima!.

Algo mas sobre pydbg...

2009-03-22T20:39:00.000-07:00

Hola!,

Como recibi algun mensaje sobre el ultimo tutorial sobre pydbg y VisualWx de que habia algunas cosas que no se comprendian del todo en cuanto al uso de algunas funciones de pydbg y struct, pues aca les dejo un compendio sobre ello.

Compendio funciones pydbg

Hasta la proxima!.

[NCR2009] BlackCrackme con pydbg y VisualWx PARTE1

2009-03-20T20:20:00.000-07:00

Hola!,

Aca les dejo otro tutorial sobre como solucionar un lindo crackme con pydbg y VisualWx.

Saludos.

Unwrappers for BlackCrackme

2009-03-20T12:39:00.001-07:00

Hola!,

solo queria postear estos dos pequeños unwrappers que escribi para el BlackCrackme.

Unwrapper1
Unwrapper2

Luego voy a mandar un tutorial de como resolver el crackme y los unwrappers.

Saludos.

La odisea Python 2.5 + PAIMEI (pydbg)

2009-03-19T20:05:00.000-07:00

Hola!,

Muchas veces lei por ahi en la web de que siempre hay problemas a la hora de hacer funcionar a PAIMEI, en especial pydbg con Python 2.5, asi que aca les dejo un pequeño apunte de como hacerlo!.

Instalar PAIMEI con Python 2.5

De aca se pueden bajar todos los programas que menciono en el tutorial

Saludos.

[NCR2009] White keygen en VisualWx y py2exe

2009-03-18T21:02:00.001-07:00

Hola!,

Aca les dejo el anexo que les prometi sobre el keygen en VisualWx:

[NCR2009] White keygen en VisualWx y py2exe

Hasta el proximo post!.

Saludos.

[NCR2009] - Un crackme sencillo en .NET

2009-03-18T16:53:00.000-07:00

Hola!,

Solo postear algo muy sencillo en .NET:

[NCR2009]Un.crackme.sencillo.en.NET

Saludos.

El anexo que debia...

2009-03-17T22:39:00.000-07:00

Hola!,

Hace ya un tiempo, publique un tutorial sobre un sencillo Keygenme y me habia quedado pendiente el keygen asi que aca esta. Es un simple script en python muy mal hecho pero que cumple con su cometido!. Proximamente voy a estar subiendo un pequeño .doc o .pdf en el cual vamos a dejarlo un poco mas bonito programando una GUI en VisualWx!.


# little keygen to White Crackme (HMX0101) by NCR/CRC! [ReVeRsEr]
# 17/03/2009

import sys
import random

username = sys.stdin.readline().strip("\n")
namevalue = 0

# generate a name based value
for i in range(len(username)):
    if ord(username[i]) >= 0x30 and ord(username[i]) <= 0x39:
        namevalue += 2 * ord(username[i])
    if ord(username[i]) >= 0x41 and ord(username[i]) <= 0x5a:
        namevalue += ord(username[i]) + ord(username[i]) * 2
    if ord(username[i]) >= 0x61 and ord(username[i]) <= 0x7a:
        namevalue += ord(username[i]) << 2

namevalue = namevalue & 0xFFF

# generate a random number
randvalue = random.randint(1,9999)
if randvalue < 1000:
    randvalue = str(0) + str(randvalue)
else:
    randvalue = str(randvalue)

sp = str(((((int(randvalue[2]) << 4)) + namevalue) + (int(randvalue[3]) << 4)))

num1 = random.randint(0,9)
num11 = random.randint(0,9)
num13 = random.randint(0,9)

while 1:
    if((num1 + int(randvalue[2]) + num11 + num13) != 0x18):
        num1 = random.randint(0,9)
        num11 = random.randint(0,9)
        num13 = random.randint(0,9)
    else:
        break

num12 = random.randint(0,9)
num14 = random.randint(0,9)
num2 = random.randint(0,9)

while 1:
    if(2 * (int(randvalue[3]) + num2 + num12 + num14) != 0x20):
        num12 = random.randint(0,9)
        num14 = random.randint(0,9)
        num2 = random.randint(0,9)
    else:
        break
   
num16and17 = str(((ord(username[0]) >> 1) + num1) + 0x0a)
num18and19 = str(((ord(username[len(username) - 1]) >> 1) + num2) + 0x08)

print 'serial is: %s-%s-%s-%s' % (str(num1) + str(num2) + str(int(randvalue[2])) + str(int(randvalue[3])), sp, str(num11) + str(num12) + str(num13) + str(num14), str(num16and17) + str(num18and19))

Pueden bajar el script desde aca.

Hasta la proxima!.

pd. no se rian del codigo, son las 2:41 a.m!!!, tengan piedad! :P

Web

2009-03-16T07:11:00.000-07:00

Hola!,

Solo queria dejarles saber que un amigo me ha ayudado a colgar todos los tutoriales que he escrito aqui:

http://www.reversinglabs.com.ar/ncr/

Saludos.

Windows 7 beta 2

2009-03-13T18:10:00.000-07:00

Hola!,

Solo quiero hacer este post para darles mi opinion sobre la beta 2 de Windows 7.

Estuve usandola un poco en una VM y y la verdad es que quede asombrado. Yo en general busco un OS que me de estabilidad, seguridad y que ademas sea agradable a la vista, no me importa si es Windows, algun derivado Unix, *BSD o lo que sea, de hecho he sido usuario de Windows por mucho tiempo y el que mas a durado en mi maquina es Windows XP desde su version inicial hasta el SP3, pero ademas he pasado por Ubuntu, Kubuntu, Debian, en incluso he llegado a usar algun *BSD como Desktop BSD. Tambien, he probado las versiones de Windows Vista y debo decir que Windows 7 en mi particular opinion es mucho mas rapido, estable y agradable que Windows Vista (hablo como usuario final). Para mi, Windows Vista fue el fracaso mas grande de la historia de los OS, tal vez con el SP 1 lo arreglaron un poco pero sigue siendo un horror. Luego probe Windows Server 2008 y andaba mucho mejor que Windows Vista con lo cual pense: "apreiendieron de los errores", y ahora con Windows 7 creo que se estan reibindicando.

Como dije, la estabilidad de la beta es increible y ademas la rapidez con la que corre en una VM (teniendo en cuenta que cuando hice la prueba con Windows Vista, este se arrastraba por decirlo de alguna manera), ademas de que la interfaz es muy fluida y vistosa, asi que extrapolando los resultados obtenidos en la VM a una maquina fisica, imagino que andara mucho mejor, incluso escuche que este Windows 7 lo estan preparando especialmente para que corra en computadoras como las EEPC y similares, asi que esperemos que cuando salga la version final ahora cerca de octubre se mantengan o mejoren los resultados. Lastima que segun lei, va a ser el ultimo OS de Microsoft con soporte para 32 bist, los proximos solo contaran con versiones de 64 bits, pero bueno, es la evolucion :P ya no nos podemos conformar con que nuestra maquina nos reconozca solo 3 GB de Ram :P

Ah, me falta agregar que las pruebas las realice en una Intel Pentium Core 2 Duo 2 Ghz, con 2 GB de Ram.

Hasta la proxima!.

Estamos sick! :P

2009-02-26T05:03:00.000-08:00

Bueno, con un amigo que no quiero decir quien es pero esta medio Sick!, estamos armando un nuevo proyecto aqui:

reversinglabs.com.ar

Vamos a intentar postear perdiodicamente algunas cosas referentes a ingenieria inversa asi que si quieren ver de que se trata los invito a que se den una vuelta por alli.

Todavia no hay mucho movimiento puesto que estamos ultimando detalles, viendo que posteamos que no, elijiendo temas y demas cosas que un proyecto asi implica.

Si alguno quiere formar parte de ello, pues que escriba a sick@reversing.com.ar o a ncr@reversing.com.ar

En fin...agendenlo!.

Hasta pronto!.

Asuntos pendientes (White Crackme)

2009-02-20T16:22:00.000-08:00

Hola!,

Volvi de la muerte y junto conmigo traje algunos proyectos que me habian quedado en un volumen encriptado con TrueCrypt :P, uno de ellos era la solucion al White Crackme de HMX!. Para el que quiera leerla, aca la tiene:

White Crackme PARTE II by +NCR

Hasta la proxima!,
NCR

Desarrollo de Exploits para Metasploit - Parte 3

2008-12-23T05:31:00.000-08:00

Hola!,

Bueno, lo prometido es deuda, como le dije a mi amigo Boken, aqui esta el tutorial sobre el ataque de SMB:

SMB Credential Reflection Attack (Desarrollo de Exploits para Metasploit Parte 3)

Espero que les guste!.

Saludos.

Protecciones de Software Basicas

2008-11-23T09:51:00.001-08:00

Hola!,

Solo queria hacer un cross post del blog de S21sec que esta haciendo una recopilacion de las tecnicas que se utilizan para proteger el software, si bien son cosas muy basicas, me parece genial la recopilacion, que ya va por la parte 7:

Proteccion de Software Parte 1
Proteccion de Software Parte 2
Proteccion de Software Parte 3
Proteccion de Software Parte 4
Proteccion de Software Parte 5
Proteccion de Software Parte 6
Proteccion de Software Parte 7

Chau!

Un simple tutorial...

2008-11-23T08:40:00.000-08:00

Hola!,

En la lista de Crackslatinos iniciaron un hilo de como crackear aplicaciones flash, en particular, de como descomprimir / comprimir un flash. Asi que hice este pequeño apunte.

Tal vez a alguien le sirve :P

Descomprimiendo un SWF con ZLIB

Mirror

Hasta pronto!.

Desarrollo de exploits para Metasploit

2008-11-22T09:25:00.001-08:00

Hola!,

Hoy quisiera hablar de la iniciativa de Boken. Este muchacho se ha planteado desarrollar una serie de tutoriales que hablen acerca de como escribir exploits para el framework Metasploit.

Ya ha escrito dos partes las cuales estan muy bien redactadas y explicadas en detalle, los invito a que hagan una lectura y se introduzcan en el tema.

Desarrollo de Exploits para Metasploit por Boken Parte 1
Desarrollo de Exploits para Metasploit por Boken Parte 2

Proximamente nos estara brindando una nueva entrega!.

Hasta pronto!.

SMB Relay Attack - MS08-068 (CVE-2008-4037)

2008-11-16T15:06:00.000-08:00

Hola Manola!,

El martes pasado, Microsoft publico nuevamente sus parches:

http://blogs.technet.com/msrc/archive/2008/11/11/november-2008-bulletin-release.aspx

De los dos parches, el que mas me llamo la atencion fue el ms08-068 que viene arrastrandose desde el año 2001 y que tiene que ver con el proceso de autenticacion de NTLM sobre SMB.

NTLM es un protocolo de autenticacion utilizado por Microsoft sobre varios protocolos, uno de ellos, SMB.

El ataque que se viene discutiendo desde hace mucho y ya hay varias tools que lo implementan.

Lo que nos permite, basicamente, es loguearnos es una maquina usando sus propias credenciales.

El protocolo NTLM funciona mas o menos de la siguiente manera:

1- El cliente se conecta al server.
2- El server genera un CHALLENGE (8 bytes) y lo envia al cliente.
3- El cliente toma ese CHALLENGE y con el HASH de su password, encrypta el CHALLENGE.
4- El cliente envia el CHALLENGE-ENCRIPTADO al server.
5- El server agarra el hash que tiene guardado y encripta el mismo CHALLENGE que envio al cliente y lo compara con el CHALLENGE-ENCRIPTADO, si ambos son iguales, ACCESO CONCEDIDO, sino, ACCESO DENEGADO.

Entonces el ataque consiste mas o menos en lo siguiente:

1- El cliente se conecta al server.
2- El server se conecta al cliente (ahora el cliente se convierte en server).
3- El cliente genera un challenge y lo envia al server.
4- El server agarra el challenge y se lo envia al cliente que esta esperando en la otra sesion.
5- El cliente toma el challenge y lo encripta con su hash y se lo envia al server.
6- El server agarra el challenge encriptado y se lo envia a la otra conexion que tiene con el cliente.
7- El server corta la conexion con el cliente.
8- El server tiene conexion con el cliente utilizando sus mismas credenciales. Por que? pues porque envio EL MISMO challenge al cliente que el cliente le envio.

Una vez que ya tenemos una sesion autenticada con el cliente, podemos por ejemplo, dropear un file en ADMIN$ y levantarlo como servicio mediante llamadas RPC.

Todo este ataque es sobre SMB, pero tambien puede realizarse sobre otros protocolos que soporten NTLM como HTTP, IMAP, POP3, etc.

Para el que quiera mayor informacion puede visitar esta paginas:

1- Metasploit and SMB Relay Attack
2- Multiprotocol NTLM Replay Attack
3- Multiprotocol NTLM Replay Attack (PDF)
4- Metasploit SMB Relay Attack Exploit
5- MS08-68 - SMB Relay (MSRC)
6- SMB Relay and SMB Relay2
7- SMB Reflection Made Way Too Easy
8- BackTrack 3: Demos of selected tools
9- Windows Smb Relay Exploit (Demo Video)

Hasta pronto!.

Panda Internet Security/Antivirus+Firewall 2008 CPoint.sys Memory Corruption Vulnerability

2008-11-10T05:42:00.000-08:00

Hola!,

Nuevamente vamos a hablar de una vuln que salio hace tiempo:

http://www.securityfocus.com/bid/28150

Es otra vez una falla trivial por falta de chequeos en los datos
que se pasan desde user-mode a kernel-mode.

En este caso se trata de una vulnerabilidad en cpoit.sys que es
usado por Panda Firewall + AntiVirus 2008.

En este caso la falla permite dejarnos inutilizada la maquina mediante un BSoD o bien,
si la explotacion es exitosa, conseguir privilegios de SYSTEM.

Como ya contamos con algo de informacion publica, desensamblaremos
el driver (cpoint.sys) con IDA. Lo primero que haremos sera buscar el
IOCTL Manager:

mov eax, offset sub_10B24
mov [ebx+70h], eax
mov [ebx+74h], eax

No tardamos mucho tiempo en encontrarlo :P

Sabemos de antemano que el IOCTL vulnerable es 0xba002848, entonces
busquemos donde es que se despacha ese IOCTL.

Lo primero que vemos es como comienza comparando el valor de ECX
(nuestro IOCTL) con diferentes valores (el resto de los IOCTL's):

mov edi, [ebx+60h]
mov ecx, [edi+0Ch]
cmp ecx, 0BA00283Ch
jz loc_10D1B

Se fija si nuestro IOCTL es igual a 0BA00283Ch, como no es igual, seguiremos
por esta parte:

cmp ecx, 0BA002840h
jz loc_10C7D

Como nuestro IOCTL tampoco es igual a 0BA002840h, llegaremos a esta otra parte:

cmp ecx, 0BA002844h
jz short loc_10B93

Nuevamente, la comparacion resultara falsa y terminaremos llegando a este basic block:

mov eax, [ebx+0Ch]
lea edx, [ebp+var_4]
push edx
push dword ptr [edi+4]
push eax
push dword ptr [edi+8]
push eax
push ecx
call sub_12254
mov edi, eax
jmp loc_10CFF

Como vemos, hay un call a sub_12254, vemamos que hay dentro de esa funcion:

mov edi, edi
push ebp
mov ebp, esp
mov ecx, [ebp+IOCTL]
push ebx
mov edx, 0BA002828h
cmp ecx, edx
push esi
push edi
mov eax, 0C000000Dh
ja loc_12633

Nuevamente, sigue comparando IOCTL's, ECX contiene nuestro IOCTL.
Como nuestro IOCTL es mayor que 0BA002828h, continuaremos por esta parte:

loc_12633:
mov edx, 0BA002848h
cmp ecx, edx
ja loc_12946

Aqui si estamos en el lugar correcto, primero compara nuestro IOCTL con 0BA002848h, y como
ECX no es mayor sino igual a 0BA002848h, entonces continuaremos por aqui:

jz loc_128BE

Aqui compara si es igual, lo cual es verdadero y entonces llegamos aqui:

loc_128BE:
cmp [ebp+IN_BUFFER_SIZE], 1008h
jb loc_12A7D

Aqui comprueba si el tamaño del buffer de entrada es menor a 0x1008; en caso de
que sea mayor, llegamos a esta parte:

mov esi, [ebp+IN_BUFFER_DATA]
cmp dword ptr [esi], 3F256B9Ah
jnz loc_12A7D

Aqui, saca datos de nuestro buffer y compara con una constante (3F256B9Ah), o sea que
en nuestro buffer tenemos que pasarle esa constante para poder llegar a la zona vulnerable:

mov ebx, offset dword_1335C
mov ecx, ebx ; SpinLock
call ds:KfAcquireSpinLock
mov byte_13360, al
mov eax, [esi+10Ch]
mov dword_134A4, eax
mov eax, [esi+8]
mov dword_133A0, eax
xor eax, eax
cmp [esi+8], eax
jbe short loc_1291B

En la ultima parte de este basic block, tenemos un check mas, en el cual pone EAX a 0 y comprueba
que nuestro in_buffer+8 tenga 0.

Luego de pasar ese check, llegamos aqui:

lea ecx, [esi+0Ch]

Aqui saca data de nuestro IN_BUFFER+0Ch y lo pone en ECX.

Esta es la parte del codigo vulnerable:

loc_12909:
mov edx, [ecx]
mov dword_133A4[eax*4], edx
inc eax
add ecx, 4
cmp eax, [esi+8]
jb short loc_12909

Mueve a EDX el contenido de nuestra data y lo escribe en una zona de la memoria del driver dword_133A4.
Luego, incrementa EAX, le suma 4 a nuestro IN_BUFFER y compara EAX (contador del loop) con ESI+8 que controlamos
nosotros, o sea que controlamos el loop y podemos hacer que escriba tantas veces como queramos en esa zona
de memoria del driver.

Vale aclarar que un poco mas abajo, pasando este primer loop, tenemos una una zona muy similar a esta en la cual
hay otro loop que tambien escribe en otra zona del driver.

Si nos fijamos, la zona de memoria en la cual podemos escribir se trata de la seccion .data del driver
y mirando un poco esa seccion, nos encontramos con que hay cosas interesantes para pisar con nuestra
data:

.data:00013630 ; struct _KEVENT Event
.data:00013630 Event _KEVENT <0> ; DATA XREF: sub_107D2+1E9o
.data:00013630 ; sub_10A46+97o
.data:00013640 ; struct _KEVENT stru_13640
.data:00013640 stru_13640 _KEVENT <0> ; DATA XREF: sub_107D2+1F4o
.data:00013640 ; IOCTL_Manager+F8o ...
.data:00013650 unk_13650 db 0 ; DATA XREF: sub_107D2+203o
.data:00013650 ; IOCTL_Manager+1AEo

Un poco mas abajo de donde comienza a copiar, tenemos una structura KEVENT que podriamos pisar
cuidadosamente para lograr ejecutar codigo. No es facil pero es una posibilidad interesante.

Yo he programado un plugin para Kartoffel que trigerea esta vulnerabilidad. Si alguien tiene ganas
y programa un exploit funcional y quiere compartirlo pues lo invito a que lo haga.

Panda cpoint.sys PoC:

http://www.4shared.com/file/70535874/3db3935b/panda_plugin.html

Tambie pueden descargar el plugin desde la misma web de kartoffel:

http://kartoffel.reversemode.com/downloads/panda_plugin.zip

Aqui les dejo la estructuta KEVENT:

kd> dt_KEVENT
ntdll!_KEVENT
+0x000 Header : _DISPATCHER_HEADER
kd> dt_DISPATCHER_HEADER
ntdll!_DISPATCHER_HEADER
+0x000 Type : UChar
+0x001 Absolute : UChar
+0x002 Size : UChar
+0x003 Inserted : UChar
+0x004 SignalState : Int4B
+0x008 WaitListHead : _LIST_ENTRY
kd> dt_LIST_ENTRY
ntdll!_LIST_ENTRY
+0x000 Flink : Ptr32 _LIST_ENTRY
+0x004 Blink : Ptr32 _LIST_ENTRY

Para el que quiero informacion adicional:

http://www.trapkit.de/advisories/TKADV2008-001.txt

Bueno por ahora es todo.

Saludos.

Recopilacion MS08-67 (CVE-2008-4250)

2008-11-02T05:55:00.000-08:00

Hola!,

Por el momento solo quiero hacer una recopilacion de informacion y PoC's sobre esta vulnerabilidad que salio al semana pasada en un parche "out of bound" de Microsoft.

Hasta el momento, creo que, de los exploits publicos que salieron, el mas eficiente es el de Metasploit:

Microsoft Server Service Relative Path Stack Corruption

Actualmente soporta varias plataformas como XP/2000/2003 y ademas, en 2003 puede bypassear DEP.

Luego tenemos algo menos eficiente pero que puede trigerear la vuln, como este PoC:

http://www.securityfocus.com/data/vulnerabilities/exploits/31874.zip

Y finalmente, tenemos los exploits de Core IMPACT y de Immunity CANVAS pero esos no son publicos :P

Si quieren mayor informacion acerca del bug pueden visitar:

http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

Aunque ya se ha discutido mucho acerca de este bug y hay mucha info dando vuelta en la web, en alguna entrada posterior me gustaria explicar en que consiste y como llegar hasta ahi.

Hoy 12/11/2008 salio un nuevo Proof of Concept:

http://www.milw0rm.com/exploits/7104

Hasta pronto!.

Novell NetWare Client nicm.sys Local Privilege Escalation Vulnerability

2008-10-30T15:23:00.000-07:00

Hola!,

Hoy queria hablar un poco acerca de esta vulnerabilidad que aunque es vieja, resulta muy trivial:

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=637

Todo el problema esta en el driver ncim.sys que no valida los datos que le pasamos en el input buffer desde user mode.

Desensamblando un poco el codigo en IDA, ubicamos primero el IOCTL Manager:

[...]
push edi
mov dword ptr [esi+38h], offset sub_16E16
mov dword ptr [esi+80h], offset sub_16E16
mov dword ptr [esi+40h], offset sub_16E16
mov dword ptr [esi+70h], offset ioctl_manager
mov dword ptr [esi+78h], offset sub_16E16
push DeviceObject ; DeviceObject
[...]

Lo primero que hace es verificar que el IOCTL es del tipo METHOD_NEITHER:

[...]
mov edi, [ebp+Irp]
push edi
call sub_16BE2
mov [ebp+var_28], al
mov esi, [edi+60h]
mov [ebp+var_2C], esi
mov eax, [esi+0Ch] ; IOCTL
sub eax, 143B63h ; METHOD_NEITHER
jz loc_16D74 ; input_buffer
[...]

En caso de que lo sea, comprueba que el INPUT_BUFFER no sea 0:

[...]
loc_16D74: ; input_buffer
mov eax, [esi+10h]
test eax, eax
jz short loc_16DD5
[...]
y luego, guarda el addrs del INPUT_BUFFER en el stack:

[...]
lea ecx, [eax+10h]
mov [ebp+var_40], ecx
[...]

Como vemos, es INPUT_BUFFER+10h.

Luego, continua haciendo un par de cosas pero nunca mas toca esa variable del stack hasta aqui:

[...]
mov eax, [ebp+var_40]
mov eax, [eax]
mov ecx, [eax]
push eax
call dword ptr [ecx+8]
jmp short loc_16DCC
[...]

Como vemos, primero saca INPUT_BUFFER+10h del stack, luego saca el primer DWORD de lo apuntando por INPUT_BUFFER+10h y posteriormente, vuelve a sacar el contenido de lo apuntado por el contenido de INPUT_BUFFER+10h y termina llamando al contenido de ese pujntero + 8; en ese momento logramos ejecutar nuestro codigo en ring0 desde user. El INPUT_BUFFER lo manejamos nosotros y por ende tambien su contenido.

Pero para llegar hasta aqui, debemos de bypassear dos comprobaciones.

La primero de ellas es esta:

[...]
call NicmCreateInstance
mov ebx, eax
mov ecx, ebx
mov eax, 0C0000000h
and ecx, eax
cmp ecx, eax
jz short loc_16DC7
[...]

En donde si EAX y ECX son ambos iguales nos iremos fuera del IOCTL manager pero en caso de que sean diferentes, pues estaremos un poco mas cerca de la parte vulnerable. Hay que decir que el valor de EAX depende de la llamada a NicmCreateInstance() a la cual se le pasan varios parametros controlados por nosotros:

[...]
mov [ebp+var_40], ecx
push ecx ; inbuffer_addr+10h
push offset dword_10568 ; constants_array
push 0 ; NULL
push eax ; input_buffer_addrs
call NicmCreateInstance
[...]

El siguiente trozo de codigo es la ultima comprobacion que debemos de pasar para poder estar en la parte vulnerable:

[...]
call sub_1716A
mov eax, [ebp+var_40]
push dword ptr [eax]
call sub_16FD2
mov ecx, eax
mov eax, 0C0000000h
and ecx, eax
cmp ecx, eax
jnz short loc_16DCC
[...]

Aqui, ECX y EAX deben de ser diferentes para que el JNZ nos lleve a la parte vulnerable. Notese que el parametro pasado al segundo call (call sub_16FD2) es un valor que nosotros controlamos y es el contenido de INPUT_BUFFER+10h.

Si logramos hacer todo eso, entonces estaremos ejecutando codigo en ring0 desde una cuenta con pocos privilegios ya que el symlink: \\..\nicm esta abierto para todo el mundo :)

Si alguien quiere el .idb de IDA ya sabe donde encontrarme.

Saludos.

SDT Cleaner v1.0

2008-07-26T07:23:00.000-07:00

What is the SDT Cleaner?

SDT Cleaner is a tool that intends to clean the SSDT (system service descriptor table) from hooks.

The SDT Cleaner allows you to clean hooks installed by Anti-Virus and Firewalls.
This little tool (in this first release) tries to collect info from your current kernel and then switches to kernel land and if there are any hooks in SSDT, this tool will replace them with the original entries.

http://oss.coresecurity.com/projects/sdtcleaner.html

Ubuntu y ...

2008-05-26T18:55:00.000-07:00

Esta vez solo pretendo dejar dos cosas que me sirvieron con la ultima version de Ubuntu (Hardy). Si buscan en la red seguro encontraran varias soluciones posibles, pero a mi son estas dos las que me han servido. De que estoy hablando?...pues de VMWare Server (que todavia no tiene un instalador oficial para Hardy) y de kyba-dock que tiene el mismo problema que VMWarer.

Calculo que VMWare no necesita presentacion, pero para los que no la conocen, les dejo el link VMware Server y para los que no sepan que es kiba-dock pues aqui les dejo otro link KIBA-DOCK.

Para instalar estas dos aplicaciones me encontre con varios problemas, pero gracias a estos dos post logre solucionarlos:

1- Instalando VMWare Server
2- Instalando Kiba-Dock

Espero que les sirvan.

Saludos.

wubi - Ubuntu desde Windows!

2008-05-06T21:55:00.000-07:00

El otro dia un amigo de trabajo y compañero de una lista de cracking en la que me encuentro (de paso decir que se trata de la mejor lista de cracking hispano, CracksLatinoS!) me paso un link interesante y me comento de que se tartaba y la verdad es que al probarlo no me arrepieto de haberlo escuchado.

Muchos usuarios (entre los cuales me incluyo) hemos utilizado VMWare en Windows para correr y probar algun que otro sistema Unix, como por ejemplo Ubuntu, Kubuntu, etc; tambien hemos utilizado alguna particion o disco aparte para instalarlo y volver a formatearlo a los 5 minutos y algunos otros utilizan cosas como cygwin para intentar correr aplicaciones *nix en Windows, pues esto es algo que les traera felicidad a aquellos que no se animan todavia a pasarse al lado del pinguinito =).

Se trata de un instalador que simplemente nos baja la ultima ISO de Ubuntu (actualmente la 8.04, Hardy) y la instala como si fuera una aplicacion mas de Windows. Podemos optar por elegir Ubuntu, Kubuntu, Xubuntu y alguna que otra distro mas. Luego, lo que hace es crear una carpeta con un file gigantesco (que depende del tamaño que le asignemos al nuevo OS durante la instalacion) donde se almacena todo el filesystem de Ubuntu, luego, toca el boot loader para darnos en la proxima reiniciada, la opcion de iniciar con Ubuntu o Windows.

La verdad a mi me resulto muy util y lo estoy probando con excelentes resultados, es un Ubuntu completo sobre NTFS. Muy recomendable. Yo venia probando Ubuntu desde su version 5.10 y la verdad es que nunca me decidia por completo a instalarlo en mi maquina host, siempre en VMs, pero Wubi fue el paso definitivo que me llevo al mundo de Linux :)

Pueden bajarse el instalador de Wubi desde aqui: Wubi

La instalacion en mi maquina llevo alrededor de 1 hora + o -.

Espero que muchos lo prueben y den sus opiniones.

Hasta la proxima.

Volviendo a casa!!!

2008-03-06T20:27:00.000-08:00

Hola manola!.

Volvi a escribir algo despues de mucho tiempo, nada rebuscado, sino dos cosas muy simples, la primera de ellas:

[*] pyPeviewer

Un simple visualizador de los datos del PE Header hecho en python con pefile (Ero Carrera) y wxPython. Nada del otro mundo, solo para practica!.

[*] White Crackme by HMX0101 PARTE I

Un simple crackme con Name/Serial como para desempolvar viejas tools (y nuevas tambien) y volver a la programacion de keygens. Solo la primera parte, la segunda en poco tiempo :)

EL resto de los tutoriales escritos los pueden encontrar en ncr.4shared.com, ncr.rvlcnsecurity.com. Tambien pueden hacer alguna busqueda en google :P