• XSS.stack #1 – первый литературный журнал от юзеров форума

Уязвимость в VMWare, запуск исполняемого файла, Zero-Day

Отслеживать
it_solutions

it_solutions

HDD-drive
Пользователь
Регистрация
03.07.2020
Сообщения
49
Реакции
163
Начало здесь: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/98414/
Решил выложить бесплатно то что нашёл, подарок форуму.
Пароль на архив PassPassPass123

Описание того как всё это работает:

1. В вмваре есть возможность выводить данные из ком порта в отдельный файл. Пишем в настройках такое имя файла: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\test.hta
После этого всё что отправляется в компорт изнутри вмваре будет попадать в этот файл.

2. Теперь о том как записать контент в этот файл. В VMWare есть возможность подключать сторонние биосы. Пишем свой небольшой BIOS, единственная функция которого это отправка данных в COM порт.
Этот bios находится в файле bios.rom, сам файл bios rom прописывается в файле настроек образа MS-DOS.vmx

3. Этот bios при запуске образа вмваре отправит в ком порт строку "<script>alert(7);</script>". В вмваре будет просто чёрный экран и всё. Но в папке автозагрузки появится файл test.hta с контентом.

4. После ребута компа сработает файл test.hta из автозагрузки и выведет тестовый месседжбокс

Сейчас оформляю всё это в виде статьи, с побробным описанием и исходниками.
 

Вложения

  • test.zip
    3.8 КБ · Просмотры: 58
Подарок - это, конечно, хорошо, но это подарок на неделю. Через неделю к этому подарку будет багфикс от вендора. Оформил бы тогда полноценный багрепорт вендору - хоть строчка в резюме была бы. А так кто-то это за тебя сделает. Скорее всего из кто-то из ресёрчеров, кто на форуме пасётся.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
it_solutions сказал(а):
Начало здесь: http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/98414/
Решил выложить бесплатно то что нашёл, подарок форуму.
Пароль на архив PassPassPass123

Описание того как всё это работает:

1. В вмваре есть возможность выводить данные из ком порта в отдельный файл. Пишем в настройках такое имя файла: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\test.hta
После этого всё что отправляется в компорт изнутри вмваре будет попадать в этот файл.

2. Теперь о том как записать контент в этот файл. В VMWare есть возможность подключать сторонние биосы. Пишем свой небольшой BIOS, единственная функция которого это отправка данных в COM порт.
Этот bios находится в файле bios.rom, сам файл bios rom прописывается в файле настроек образа MS-DOS.vmx

3. Этот bios при запуске образа вмваре отправит в ком порт строку "<script>alert(7);</script>". В вмваре будет просто чёрный экран и всё. Но в папке автозагрузки появится файл test.hta с контентом.

4. После ребута компа сработает файл test.hta из автозагрузки и выведет тестовый месседжбокс

Сейчас оформляю всё это в виде статьи, с побробным описанием и исходниками.
Поставь хайд достойный)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
r1z Removed attachment for now.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
it_solutions сказал(а):
There are no unsafe executables files in this archive. This PoC only creates test hta file with messagebox.
Confirmed, there are no exe files in the folder and it's content looks safe to me.
r1z please, explain.

1695310013488.png
 
21.09.2023 00:17 <DIR> .
21.09.2023 00:17 <DIR> ..
19.09.2023 18:58 524 288 bios.rom
19.09.2023 23:00 65 536 MS-DOS-s001.vmdk
19.09.2023 23:05 379 MS-DOS.vmdk
19.09.2023 23:00 0 MS-DOS.vmsd
19.09.2023 23:08 1 876 MS-DOS.vmx
19.09.2023 23:05 214 MS-DOS.vmxf
6 файлов 592 293 байт
Here is a content of test.zip. Where some exe, msi or another files here ? Who is GoGoDuck ?
I don't undesrstand anything.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Скрытый контент для пользователей: .
 
Пожалуйста, обратите внимание, что пользователь заблокирован
it_solutions archive is returned back, some misunderstanding and overreaction happened.
r1z thank you for your attention.
 
Vexer2k сказал(а):
Они не собираются это исправлять, потому что так работают последовательные порты.
Ну, строго говоря, последовательные порты работает не так :)

В данном же случае, достаточно ограничить запись определёнными путями и/или правами на конечный файл.

А так да, при наличии эксплойта или иной возможности, позволяющей изменять путь записываемого файла был бы интересный способ побега из гостевой машины.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
xakep64 сказал(а):
Интересно, как это все оформить в атаку, и убедить человека сделать все это?
Читай следующие топики, автор сделал разбор.
ZeroDay уязвимость в VMWare, Virtual Box и других виртуальных машинах. Подробный разбор и исходники.
Уязвимость в VMWARE и других виртуальных машинах: продолжение. Делаем запуск EXE, DLL и шеллкода.
Уязвимость в VMWare и других виртуальных машинах: продолжение. Реализация через бутлоадер.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх