[Уязвимости повреждения памяти & шеллкодинг] задай вопрос - получи ответ

[coree]

Есть книга о повреждениях памяти на русском??

 

[varwar]

Есть книга о повреждениях памяти на русском??

Вообще таких книг нет. Есть старые переводы курсов corelan'a от r0crew, инфа по техникам в целом устаревшая, но концепция не поменялась.
Линк: https://anonfiles.com/Nfo5j7B4x2/R0_Courses_7z

 

[CCod]

Где брать старые,уязвимые версии программ для сравнение и поиска 1-day уязвимостей?

 

[weaver]

Где брать старые,уязвимые версии программ для сравнение и поиска 1-day уязвимостей?

Ищи на торрентах, на верезных сайтах, собственно для 1day, как бы сами патчи нужны.

 

[CCod]

Всем привет,правильно ли я понимаю,что ASLR полностью убивает использование ROP гаджетов?Как в таком случае работают браузерные эксплойты типа use after free?

 

[weaver]

Всем привет,правильно ли я понимаю,что ASLR полностью убивает использование ROP гаджетов?Как в таком случае работают браузерные эксплойты типа use after free?

Да можно сказать и так. Ты не можешь узнать адрес библиотеки .DLL(PE)\.SO(ELF) файла, чтобы сконструировать ROP-цепочку. Так, как она будет грузится каждый раз по новому адресу и вся атака сойдет на нет.


Что мы можем сделать в таком случае? Касательно именно ASLR.

• «утечки адресов» — некоторые уязвимости позволяют злоумышленнику получать необходимые для атаки адреса, что и дает возможность обходить ASLR (Reed Hastings, Bob Joyce. Purify: Fast Detection of Memory Leaks and Access Errors);
• относительная адресация — некоторые уязвимости позволяют злоумышленнику получать доступ к данным относительно какого-то адреса и за счет этого обходить ASLR (Improper Restriction of Operations within the Bounds of a Memory Buffer);
• слабости реализации — некоторые уязвимости позволяют злоумышленнику угадать необходимые адреса из-за малой энтропии или свойств конкретной реализации ASLR (AMD Bulldozer Linux ASLR weakness: Reducing entropy by 87.5%);
• побочные эффекты работы аппаратуры — особенности работы процессора, позволяющие обойти ASLR (Dmitry Evtyushkin, Dmitry Ponomarev, Nael Abu-Ghazaleh. Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR).

Так же некоторые библиотеки могут быть скомпилироны без ASLR\CFG.


По поводу UAF.

Первым шагом эксплойта UAF обычно является замена освобожденного объекта другим объектом аналогичного размера, чтобы вызвать путаницу типов (type confusion), а затем попытаться создать из него утечку информации. После этого мы можем снова вызвать ошибку и заменить освобожденный объект другим поддельным объектом, где мы можем подделать виртуальную таблицу (vtable) и указать на некоторые rop-гаджеты и т. д.

UAF -> Type Confusion -> Info Leak
Потом снова триггерим UAF

Нужен инфо лик. Вообще советую посмотреть исходники разлиных эксплойтов, многие вопросы сами отпадут.

 

[irbis]

В интернете пишут: Слушайте че гадать что это? Посмотреть влом? Дира CRT/SRC/Intel файл chkstk.asm ф-ция появляется если только размер стэка для ф-ции более одной страницы 4k и для 64х 8К т.е. (вроде), она сама по себе ничего не делает, только проверяет можно на нее просто пустышку поставить.
отсюда вывод; сделать размер стэка для ф-ции не более 8К для одной страницы,
либо более подробней посмотреть код Дира CRT/SRC/Intel файл chkstk.asm для нахождения изьяна))))))))

 

[Whisper]

Приветик всем.
При шеллкоденге (не на чистом асме, конечно, пока что) под венду (x64), наткнулся на такую штуку, как __chkstk. Из названия понятно, что она работает со стеком, проверяет его целостность. Однако, не задача - она работает даже с выключенным GS и отключенной секьюр кукой, т.е, по сути __chkstk - это некая локальная секьюр кука, насколько я понимаю, чекающая локальные переменные.
Теперь, собсна, вопрос - как с ней бороться? Ибо переполняхи с ней работать не будут, так как она работает с мат. операциями. Вариант первый: можно попробовать использовать более старые билд тулзы VS. Вариант второй - создавать переполняху в другой функции, редачить шелл и добавлять переход адрес функи, где будет переполняха.
Может, у кого-то еще есть идеи? Буду признателен

Она не про секурность, она про дуступную глубину стека а не про целостность.

 

[moneyfloww]

Для чего вообще используются эксплоиты? Например я нашел/купил его и что можно дальше с ним делать?

 

[weaver]

Для чего вообще используются эксплоиты? Например я нашел/купил его и что можно дальше с ним делать?

Почитай вики...

Эксплойт — Википедия

ru.wikipedia.org

Эксплойт это такая же обычная программа, просто ее задача заключается в том, чтобы использовать уязвимость. А уязвимость дает использовать программу так, как она не запрограммирована. Уязвимости бывают разные, так же как и эксплойты. Например, эксплойт который дает тебе возможность на определенных версиях Windows\Linux поднять свои привилегии до SYSTEM. Этот эксплойт используется локально. Т.е у тебя должен быть доступ к этой тачке. Или эксплойт который посылает запрос на сервер. Это уже удаленный эксплойт, который даст тебе шелл. Тут тебе надо указать только IP-адрес сервера. В общем учи матчасть...

 

[coree]

Вопрос несколько не по теме, какие есть способы расширения окна TOCTOU? Мб какой-нибудь cheatsheet

 

[drpalpatine]

Вопрос несколько не по теме, какие есть способы расширения окна TOCTOU? Мб какой-нибудь cheatsheet

late reply
interesting you are only man inside the forum in talking in exploit defenses)))
--> normally to reduce the vulnerability window --> atomic operations, ACL, TxF etc have used inside windows kernel
they are simple and straight

for high security env -->
you can use KTR, KTM to make set operations into single transaction so if one fails --> everything fails.
KETB --> he enforces such transaction functionality on user mode apps
but performance is bad because of overhead
i faced deadlock when i moved everything to the transactions --> multiple threads/processes access the same resource once --> system failure

sometimes issues --> some drivers inside AV, virtualization softvar etc --> especially ones who use file system

 

[voldemort]

какие-либо советы для тех, кто начинает эксплуатировать программное обеспечение и найти уязвимости?

 

[weaver]

какие-либо советы для тех, кто начинает эксплуатировать программное обеспечение и найти уязвимости?

Хз каких советов ты ждешь. Но в целом, это изучить базу, которая есть во всех туториалах, а дальше когда поймешь принцип выбрать какую-то цель и дальше специализироваться на ней.

 

[voldemort]

Хз каких советов ты ждешь. Но в целом, это изучить базу, которая есть во всех туториалах, а дальше когда поймешь принцип выбрать какую-то цель и дальше специализироваться на ней.

Может быть, я не правильно сформулировал свой вопрос. Как найти ошибки, сообщенные для закрытого исходного программного обеспечения является обратной инженерии единственный способ Спасибо?

 

[weaver]

Может быть, я не правильно сформулировал свой вопрос. Как найти ошибки, сообщенные для закрытого исходного программного обеспечения является обратной инженерии единственный способ Спасибо?

По большей части именно так это реверс. Прежде чем браться за реверс ПО для начала надо подумать, а где эти ошибки могут быть в коде. Ты должен понимать где обрабатываются данные в программе, и вот код который отвечает за обработку эти данных скорее всего и содержит ошибки. Т.е. надо искать ошибки в парсерах. Ну, а чтобы дойти скажем до триггера уязвимости, когда ты разреверсил ПО, можно воспользоваться символическим исполнением, которое поможет быстренько воспроизвести тебе poc. Но дело не ограничевается только реверсом, можно использовать фаззеры которые работают на динамической инструментации кода (DBI), которые работают с закрытым исходным кодом. Если ты имеешь введу про ошибки, которые уже исправили в коде, то там надо сравнивать два файла... Опять же с помощью реверса.

 

[varwar]

Как найти ошибки, сообщенные для закрытого исходного программного обеспечения является обратной инженерии единственный способ

Чтобы находить ошибки, нужно знать как они выглядят в коде, т.е. нужно наработать навык распознавания паттернов. Для этого нужно читать блоги и книги по теме, возможно прохождение специализированных курсов. Дальше практика.
Следующий этап - это понимание архитектуры системы, поиск потенциальных точек входа и анализ.

 

[robomusk]

Господа, вопрос. Интерисует написание эксплоита на уже известную , протестированную уязвимость. Есть ли среди присутствующих умельцы? Где искать тех , кто мог бы исполнить такой код?

 

[varwar]

Господа, вопрос. Интерисует написание эксплоита на уже известную , протестированную уязвимость. Есть ли среди присутствующих умельцы? Где искать тех , кто мог бы исполнить такой код?

Лучше сразу писать что за уязвимость и в зависимости от того в чем она уже и умельцы возможно найдутся. Так вы ищете человека, который может все (коих нет).

 

[weaver]

Есть ли среди присутствующих умельцы? Где искать тех , кто мог бы исполнить такой код?

Эта тема создана чтобы обсуждать бинарные уязвимости, эксплуатация, разработка итд. Если ищите исполнителя вам прямая дорога в коммерческий раздел.