[HaBo]

javahacker · 16.08.06, 22:42

Hallo, ich hatte mir nach langer Zeit mal wieder den Artikel von hakin9 über shatter attacken durchgelesen. Ich wollte die Attacke erstma auf meinem Editor ausprobieren, nur habe ich festegstellt, dass der Schellcode im Memory so aussieht:

Code:

000B1B58  68 00 61 00 6B 00 69 00 6E 00 39 00 E9 00 AC 20  h.a.k.i.n.9.é.?
000B1B68  AB 00 C9 00 92 01 E9 00 DD 00 D9 00 EE 00 D9 00  ?.É.?é.Ý.?.î.?.
000B1B78  74 00 24 00 F4 00 5B 00 81 00 73 00 13 00 13 20  t.$.ô.[..s..
000B1B88  29 00 6A 00 C1 00 92 01 EB 00 FC 00 E2 00 F4 00  ).j.Á.?ë.ü.â.ô.
000B1B98  6A 00 C1 00 2E 00 C1 00 13 20 29 00 E1 00 1E 20  j.Á...Á. ).á.
000B1BA8  AA 00 A2 00 16 00 C4 00 EE 00 28 00 26 20 4A 00  ?.?..Ä.î.(.& J.
000B1BB8  D9 00 31 00 E1 00 7E 01 B6 00 28 00 81 00 C6 02  ?.1.á.~?.(..?
000B1BC8  1D 00 1D 00 E1 00 C0 00 78 00 18 00 AA 00 58 00  ..á.?.x..?.X.
000B1BD8  3A 00 AD 00 AA 00 B5 00 18 20 E8 00 A0 00 CC 00  :. .?.?. ?. .?.
000B1BE8  14 20 EB 00 81 00 35 00 AD 00 7D 00 4E 00 C5 00   ë..5. .}.N.?.
000B1BF8  E3 00 CC 00 E1 00 7E 01 B2 00 28 00 81 00 A7 00  ?.?.á.~?.(..§.
000B1C08  1D 00 25 00 21 00 4A 00 C9 00 35 00 6B 00 2A 00  .%.!.J.É.5.k.*.
000B1C18  1D 00 35 00 E1 00 C0 00 7D 00 A0 00 36 00 E5 00  .5.á.?.}. .6.?.
000B1C28  19 20 EA 00 5B 00 01 00 F2 00 A2 00 2A 00 F1 00   ?.[..?.?.*.?.
000B1C38  13 00 E9 00 12 00 CD 00 1D 00 69 00 66 00 4A 00  .é..Í..i.f.J.
000B1C48  E6 00 35 00 C7 00 4A 00 FE 00 21 00 81 00 C8 00  ?.5.Ç.J.?.!..?.
000B1C58  1D 00 A9 00 DA 00 C1 00 13 20 29 00 E1 00 A9 00  .?.Ú.Á. ).á.?.
000B1C68  AA 00 76 00 5B 00 37 00 F6 00 7F 00 E3 00 39 00  ?.v.[.7.ö..?.9.
000B1C78  15 00 E9 00 11 00 18 20 FE 00 D9 00 E0 00 C5 00  .é.. ?.?.?.?.
000B1C88  C9 00 41 00 F2 00 3F 00 1C 00 27 00 3D 00 3E 00  É.A.?.?..'.=.>.
000B1C98  71 00 47 00 05 00 B5 00 F3 00 59 00 0B 00 A5 00  q.G..?.ó.Y..?.
000B1CA8  13 20 29 00 6A 00 C1                              ).j.Á

Nach einigen Recherchen habe ich rausbekommen, dass es sich hier um Unicode handelt. Jetzt ist meine Frage: Wie kann ich diesen Shellcode ausführen?

Vielen Dank im Voraus...

**CDW** · 17.08.06, 00:33

nicht jeder hat den Artikel gelesen bzw. kauft sich die Zeitschrift

1. was wird da so im groben eingesetzt?
also : suche Fenster mit einem Edit -
GetEditHandle
entferne die Begrenzungen dafür (Zusatzprogramm?)
kopiere den Code da rein (wahrscheinlich per Zusatzprogramm, welches WM_PASTE abschickt)
Sende WM_TIMER mit der Adresse (auch Zusatzprogramm)
?(

2. woraus kopierst Du den shellcode?
Ich vermute stark, dass Du den Text im Unicodeformat kopierst (da Clipboard dafür extra Angaben hat - CF_UNICODETEXT). "Schöner" ist es, wenn man es mit einem eigenen Programm erledigt, da man dann direkt die Binärdaten in den Speicher kopieren kann und CF_TEXT Flag angibt, so dass auf der Gegenseite auch wirklich dieselben Bytes ankommen sollten). Es wäre imho auch möglich den Unicodeflag zu schicken - da man den Code selber in den Zwischenspeicher kopiert hat und damit sicherstellt, dass nichts konvertiert wurde.

Wenn der Code allerdings wie in diesem fall schon "vorformatiert" wurde durch einen Editor - da gibt es nichts zum ausführen. Denn 00 wird je nach Kontext unterschiedlich interpretiert

- anders gesagt: Du hast jetzt einen vollkommen anderen Code drin, als vorgesehen, es stimmt nichts mehr - keine Adressen, keine Anweisungen.

Versuche es nochmal, stell aber sicher, dass der Editor, aus dem Du es kopierst, wirklich nichts daran macht (z.B in den Hexeditor reinpasten und anschauen).

EDIT: eventuell gefällt Dir das besser (die lange URL wird leider zerstückelt, daher als Text):

Code:

http://72.14.221.104/search?q=cache:OyUSKJKTE7wJ:security.tombom.co.uk/shatter.html+shatter+attack&hl=en&ct=clnk&cd=1&ie=UTF-8

zusammen mit:
http://metasploit.com:55555/PAYLOADS...nerate+Payload

Anzeige

- Anzeige -

javahacker · 27.08.06, 13:04

hey, hab das jetz mit der shatter attack hinbekommen. hab ein crackme von hackits.de genommen. Das hat auch geklappt. Ich wollte das jetz mal mit einem Windows-eigenen Programm ausprobieren. Nur habe ich gelesen, dass, wenn man Gast ist, und zB ein Administrator hinzufügen will, der Benutzername von dem Prozess SYSTEM sein muss. Kennt jemand da eine Windows-eigene Anwendung, die ich für sowas nehmen kann?

Anzeige

- Anzeige -

17.08.06, 00:33	#2 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	nicht jeder hat den Artikel gelesen bzw. kauft sich die Zeitschrift 1. was wird da so im groben eingesetzt? also : suche Fenster mit einem Edit - GetEditHandle entferne die Begrenzungen dafür (Zusatzprogramm?) kopiere den Code da rein (wahrscheinlich per Zusatzprogramm, welches WM_PASTE abschickt) Sende WM_TIMER mit der Adresse (auch Zusatzprogramm) ?( 2. woraus kopierst Du den shellcode? Ich vermute stark, dass Du den Text im Unicodeformat kopierst (da Clipboard dafür extra Angaben hat - CF_UNICODETEXT). "Schöner" ist es, wenn man es mit einem eigenen Programm erledigt, da man dann direkt die Binärdaten in den Speicher kopieren kann und CF_TEXT Flag angibt, so dass auf der Gegenseite auch wirklich dieselben Bytes ankommen sollten). Es wäre imho auch möglich den Unicodeflag zu schicken - da man den Code selber in den Zwischenspeicher kopiert hat und damit sicherstellt, dass nichts konvertiert wurde. Wenn der Code allerdings wie in diesem fall schon "vorformatiert" wurde durch einen Editor - da gibt es nichts zum ausführen. Denn 00 wird je nach Kontext unterschiedlich interpretiert - anders gesagt: Du hast jetzt einen vollkommen anderen Code drin, als vorgesehen, es stimmt nichts mehr - keine Adressen, keine Anweisungen. Versuche es nochmal, stell aber sicher, dass der Editor, aus dem Du es kopierst, wirklich nichts daran macht (z.B in den Hexeditor reinpasten und anschauen). EDIT: eventuell gefällt Dir das besser (die lange URL wird leider zerstückelt, daher als Text): Code: http://72.14.221.104/search?q=cache:OyUSKJKTE7wJ:security.tombom.co.uk/shatter.html+shatter+attack&hl=en&ct=clnk&cd=1&ie=UTF-8 zusammen mit: http://metasploit.com:55555/PAYLOADS...nerate+Payload __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
C++ und Unicode	Nimda05	Code Kitchen	3	21.04.09 19:58
MS VC++ und Unicode	shinobo	Code Kitchen	9	27.01.09 12:46
Sonderzeichen in Unicode	Gottzilla	Applikationen	0	25.08.06 11:55
IIs und Unicode Bug	dark faro	(In)security allgemein	5	29.07.03 20:16
Der Unicode Bug	ToXiC Blue	Code Kitchen	4	01.12.02 01:34

27.08.06, 13:04	#3 (permalink)
javahacker Themenstarter Registriert seit: 18.10.05 Likes: 0	hey, hab das jetz mit der shatter attack hinbekommen. hab ein crackme von hackits.de genommen. Das hat auch geklappt. Ich wollte das jetz mal mit einem Windows-eigenen Programm ausprobieren. Nur habe ich gelesen, dass, wenn man Gast ist, und zB ein Administrator hinzufügen will, der Benutzername von dem Prozess SYSTEM sein muss. Kennt jemand da eine Windows-eigene Anwendung, die ich für sowas nehmen kann?

[HaBo]

Unicode Shellcode ausführen