/*
Este post é uma sequência. Para melhor entendimento, vejam:
SLAE - 1st Assignment - Shell Bind TCP
Hacking do Dia - Shell Bind TCP Random Port
SLAE - 2nd Assignment - Shell Reverse TCP
O menor do mundo? Yeah? So Beat the Bits!
*/
This blog post has been created for completing the requirements of the SecurityTube Linux Assembly Expert certification:
http://securitytube-training.com/online-courses/securitytube-linux-assembly-expert/
Student ID: SLAE-237
Códigos deste post estão no GitHub.
Terceira Missão (Caça aos bits)
Olá! Continuemos com a terceira missão do SLAE.
Nesta empreitada, vamos caçar ovos… não, cooler, não vai ser um elefante engolido por uma jiboia, muito menos achocolatados. :D []’s
3rd Assignment
- Estudar sobre shellcodes egg hunter.
- Criar uma demonstração funcional de um.
- Essa demonstração deve ser configurável para diferentes payloads.
O resultado da pesquisa sobre egg hunting foi escasso. Encontrei apenas um shellcode do tipo para Linux. Fiz alguns testes mas logo vi que ele não era funcional, pois tentava ler toda a VAS do usuário (0x0 a 0xffffffff) resultando em SIGSEGV quando batia na porta de uma área protegida. A ideia principal que era percorrer a memória num looping eu já tinha abstraído, entretanto, como fazer isso de forma segura?
Perseverei no google e mudei a pesquisa de linux egg hunter para “windows” egg hunter. Bingo! Encontrei um paper fantástico escrito por skape em 2004, Safely Searching Process Virtual Address Space. Esse artigo, felizmente, além de abordar o windows, descreve duas formas no linux de se verificar se o usuário (aplicativo) tem permissões de leitura a dado offset. A primeira, a qual optei, é através da syscall access e a segunda é através da sigaction. Não sei por que tive que colocar “windows” na pesquisa; o que importa é que encontrei o que precisava.
Ok! Mas você não disse para que serve mesmo um egg hunter!
Perdão, vamos lá! Em alguns casos de exploração encontramos pequenas janelas de buffer disponíveis para injeção de código, nas quais um shellcode de tamanho maior seria inútil. Nessa mesma janela poderíamos injetar um Egg Hunter, obviamente menor que o shellcode principal, para vasculharmos a memória em busca do nosso shellcode (egg). Em suma, o Egg Hunter é um tipo de stager shellcode.
Mas como nosso shellcode principal (egg) estaria na memória?
Isso vai depender da aplicação explorada, das formas de entrada de dados etc. Como exemplos poderíamos ter um browser que carregaria o egg de um html, um mp3 player que carregaria o egg de um mp3 ou m3u, um programa genérico que leria todo o conteúdo de um arquivo de configuração com o egg implantado.
Compreendendo as explicações do skape a respeito do seu Egg Hunter (access), complementei-o com controle de lixo dos registers e limpando o DF (Direction Flag) para se garantir o incremento de EDI no uso da SCASD.
O resultado foi este.
Fluxograma gerado no r2 (radare).
Para facilitar a exemplificação, o Egg já se encontra no próprio Egg Hunter Launcher.
A configuração da assinatura do Egg é feita mudando-se os seus oito primeiros bytes; já no Egg Hunter, do 25° ao 28° byte. Optei por usar opcodes que não interferem no fluxo (nops, pushs), mesmo eles sendo ignorados no último JMP.
É importante ressaltar que os quatro últimos bytes, no caso do Egg, são uma mera repetição dos quatro primeiros; tal medida visa a fortificar a identificação evitando-se falso-positivos e faz parte do algoritmo de identificação do Egg Hunter, assim, se desejarem modificar os quatro primeiros bytes, repliquem a mesma mudança nos últimos.
Testando
$ gcc -m32 -fno-stack-protector -z execstack egg_hunter_shellcode.c -o egg_hunter_shellcode
$ ./egg_hunter_shellcode
Egg MarkMissão Cumprida
Bom pessoal, é isso. Boa caça aos ovos!
Mais Informações
SLAE - SecurityTube Linux Assembly Expert
Safely Searching Process Virtual Address Space - skape
Virtual Address Space
Anatomy of a program in memory - Gustavo Duarte
Cogumelo Binário
radare
bokken
