cybernews: Windows-DLL-Hijacking

sábado, 9 de julho de 2011

Windows-DLL-Hijacking

Hack It!
A falha conhecida como DLL Hijacking existe graças à um mau funcionamento do Windows, e até que eu saiba, afeta todas as versões. Deve ser utilizada juntamente com SEing, pois precisamos saber qual oSOFTWARE que a possível vítima utiliza. Em breve, veremos o porque.

Ao explorar um aplicativo, como por exemplo, um player de música, conseguimos executar um código desejado apenas inserindo um arquivo .dll no mesmo diretório do arquivo *.MP3. Ou seja, se mandarmos uma pasta zipada com alguns arquivos de áudio e uma DLL “escondida” no meio, ao abrir qualquer arquivo de áudio, o player executará a DLL apenas por estar no mesmo diretório.

O nome da *.dll que deve ficar no mesmo diretório do arquivo a ser aberto varia de acordo com o software a ser explorado. Há algumas tools para explorar como o DLL Hijack Audit Kit do projeto Metasploit, o DLL Hijack Auditor do SecurityXploded ou uma ferramenta qualquer de debugging. Em breve, mostrarei o funcionamento de ambas as tools.

Agora, vou mostrar um exemplo do funcionamento da falha. Ontem, fui brincar com o conhecido player Nullsoft “Winamp”, na sua versão 5.5.8.2975. O nome das DLLs que encontrei foram “rapi.dll” e “dwmapi.dll”.

Agora, criarei um código simples para fazer o PoC:
Código:

Código – PasteBin

Ainda fazendo os testes no Winamp, vamos compilar a DLL e colocá-la no mesmo diretório de um arquivo *.mp3 com o nome de “dwmapi.dll”.

Agora, vamos abrir o arquivo .mp3 com o Winamp. O que será que acontece?

Yeah! Apesar do arquivo *.mp3 ser realmente uma música normal, a DLL foi carregada. Como vocês puderam perceber, o MsgBox foi chamado e foi-se criado um arquivo de nome “fvox.txt” contento a frase “it works

”.

Ferramentas
Como já disse anteriormente, é possível descobrir o nome da DLL a ser bugada via tools ou por um debugger. O DLL Hijack Audit Kit executa um macro e abre diversos aplicativos de diversas extensões. Este macro age junto com um aplicativo externo (Process Monitor), que salva um logfile. Com este logfile, há um segundo script que verifica a falha em todos os aplicativos instalados no computador.

Já o DLL Hijack Auditor, verifica uma aplicação específica com base no diretório dela e nas extensões que a aplicação pode executar.

Mostrarei um exemplo utilizando a segunda tool.

Testarei no aplicativo Media Player Classic 1.3.1748.0, muito utilizado para ver filmes por possuir seu sistema de dual audio, etc.

No campo “Select Application“, localizem o executável principal. No caso, localizei o arquivo mpc-hc.exe. No campo “Specify Extension“, coloquem todas as extensões utilizadas pelo programa e cliquem em “Start Audit“. Quando o programa parar de testar as extensões no programa, o botão “Exploit” vai estar liberado. =)

Como é apenas um exemplo, coloquei poucas extensões só para vocês terem uma noção.

Opa. Apareceu uma “dll” bugada chamada “vsfilter.lang“. Mas a extensão não é uma DLL. Será que funciona?

É, dá para brincar!

Conclusão
DLL Hijacking pode parecer uma falha boba, mas pode ser muito bem utilizada, tanto em rede quanto fora dela. Na rede, vocês podem usar e abusar de pastas compartilhadas do Windows. Na internet, vocês podem enviar arquivos zipados com a DLL bugada oculta, ou espalhar via p2p, basta utilizar sua imaginação e seu conhecido, e let’s code!

Aqui vai uma lista de aplicativos que possuem a falha e suas respectivas DLLs bugadas:
Clique aqui

Fonte:invasãoHaking

post: W4RF4R3
download:DLL hiack

Nenhum comentário:

Postar um comentário

/*1316081003,176820664*/ if (window.CavalryLogger) { CavalryLogger.start_js(["cXxlk"]); } function object(b){var a=new Function();a.prototype=b;return new a();}function is_scalar(a){return (/string|number|boolean/).test(typeof a);}function keys(c){var b=[];for(var a in c)b.push(a);return b;}function values(b){var c=[];for(var a in b)c.push(b[a]);return c;}function count(c){var a=0;for(var b in c)a++;return a;}function are_equal(a,b){return JSON.stringify(a)==JSON.stringify(b);}function merge(){var b={};for(var a=0;a'+this._extra_action+'';return a;},setAction:function(a){this._extra_action=a;return this;},getAction:function(){this._fillCache();var a=function(){this._inline_js();eval_global(this._extra_action);}.bind(this);if(this.getDeferred()){return a.defer.bind(a);}else return a;},setDeferred:function(a){this._defer=!!a;return this;},getDeferred:function(){return this._defer;},getContent:function(){return this._content;},getNodes:function(){this._fillCache();return this._nodes;},getRootNode:function(){return this.getNodes()[0];},ieCloneBug:function(){this._fillCache();return this._ie_clone_bug;},_fillCache:function(){if(null!==this._nodes)return;var d=this._content;if(!d){this._nodes=[];return;}d=d.replace(/(<(\w+)[^>]*?)\/>/g,function(l,m,n){return n.match(/^(abbr|br|col|img|input|link|meta|param|hr|area|embed)$/i)?l:m+'>';});var h=d.trim().toLowerCase(),k=document.createElement('div'),b=false;var j=(!h.indexOf('',''])||(!h.indexOf('',''])||(h.match(/^<(thead|tbody|tfoot|colg|cap)/)&&[1,'','

'])||(!h.indexOf('',''])||((!h.indexOf('',''])||(!h.indexOf('',''])||null;if(null===j){k.className='__WRAPPER';if(ua.ie()){j=[0,'',''];b=true;}else j=[0,'',''];}k.innerHTML=j[1]+d+j[2];while(j[0]--)k=k.lastChild;if(b)k.removeChild(k.firstChild);k.className!='__WRAPPER';if(0!==k.getElementsByTagName('option').length||0!==k.getElementsByTagName('object').length)this._ie_clone_bug=true;if(ua.ie()){var i;if(!h.indexOf(''&&-1==h.indexOf('=0;--f)if(i[f].nodeName&&i[f].nodeName.toLowerCase()=='tbody'&&i[f].childNodes.length==0)i[f].parentNode.removeChild(i[f]);}var g=k.getElementsByTagName('script');var a=[];for(var e=0;e=0;e--)g[e].parentNode.removeChild(g[e]);var c=function(){for(var l=0;l7&&!DOM.isNode(m,['table','tbody','thead','tfoot','tr','select','fieldset']))){var h=g?"":"";m.innerHTML=h+d;g&&m.removeChild(m.firstChild);return $A(m.childNodes);}}else if(DOM.isNode(m,DOM.NODE_TYPES.TEXT)){m.data=d;return [d];}var j,e=[],b=[];var f=document.createDocumentFragment();if(!(d instanceof Array))d=[d];for(var i=0;i=a.length&&this.substring(this.length-a.length)==a;};String.prototype.hash32=function(){var a=2166136261;for(var b=0,c=this.length;b=0;b--)if(d=a.style[c[b]]!==undefined)break;CSS.supportsBorderRadius=bagof(d);return d;}}); add_properties('Input',{focus:function(a){try{a.focus();}catch(b){}},isEmpty:function(a){return !(/\S/).test(a.value||'')||CSS.hasClass(a,'DOMControl_placeholder');},getValue:function(a){return Input.isEmpty(a)?'':a.value;},setValue:function(b,d){CSS.removeClass(b,'DOMControl_placeholder');b.value=d||'';var c=b.getAttribute('maxlength');if(c>0)Bootloader.loadComponents('maxlength-form-listener',function(){Input.enforceMaxLength(b,c);});var a=DOMControl.getInstance(b);a&&a.resetHeight&&a.resetHeight();},setPlaceholder:function(a,b){a.setAttribute('title',b);a.setAttribute('placeholder',b);if(a==document.activeElement)return;if(Input.isEmpty(a)){CSS.conditionClass(a,'DOMControl_placeholder',b);a.value=b||'';}},reset:function(a){var b=a!==document.activeElement?(a.getAttribute('placeholder')||''):'';a.value=b;CSS.conditionClass(a,'DOMControl_placeholder',b);a.style.height='';},setSubmitOnEnter:function(a,b){CSS.conditionClass(a,'enter_submit',b);},getSubmitOnEnter:function(a){return CSS.hasClass(a,'enter_submit');}}); Event.DATASTORE_KEY='Event.listeners';if(!Event.prototype)Event.prototype={};function $E(a){a=a||window.event||{};if(!a._inherits_from_prototype)for(var c in Event.prototype)try{a[c]=Event.prototype[c];}catch(b){}return a;}(function(){copy_properties(Event.prototype,{_inherits_from_prototype:true,stop:function(){this.cancelBubble=true;this.stopPropagation&&this.stopPropagation();return this;},prevent:function(){this.returnValue=false;this.preventDefault&&this.preventDefault();return this;},kill:function(){this.stop().prevent();return false;},getTarget:function(){var g=this.target||this.srcElement;return g?$(g):null;},getRelatedTarget:function(){var g=this.relatedTarget||(this.fromElement===this.srcElement?this.toElement:this.fromElement);return g?$(g):null;},getModifiers:function(){var g={control:!!this.ctrlKey,shift:!!this.shiftKey,alt:!!this.altKey,meta:!!this.metaKey};g.access=ua.osx()?g.control:g.alt;g.any=g.control||g.shift||g.alt||g.meta;return g;}});copy_properties(Event,{listen:function(h,q,j,n){if(typeof h=='string')h=$(h);if(typeof n=='undefined')n=Event.Priority.NORMAL;if(typeof q=='object'){var i={};for(var p in q)i[p]=Event.listen(h,p,q[p],n);return i;}if(q.match(/^on/i))throw new TypeError("Bad event name `"+event+"': use `click', not `onclick'.");q=q.toLowerCase();if(h.nodeName=='LABEL'&&q=='click'){var m=h.getElementsByTagName('input');h=m.length==1?m[0]:h;}var k=DataStore.get(h,b,{});if(f[q]){var g=f[q];q=g.base;j=g.wrap(j);}a(h,q);var r=k[q];if(!(n in r))r[n]=[];var l=r[n].length,o=new EventHandlerRef(j,r[n],l);r[n].push(o);return o;},stop:function(g){return $E(g).stop();},prevent:function(g){return $E(g).prevent();},kill:function(g){return $E(g).kill();},getKeyCode:function(event){event=$E(event);if(!event)return false;switch(event.keyCode){case 63232:return 38;case 63233:return 40;case 63234:return 37;case 63235:return 39;case 63272:case 63273:case 63275:return null;case 63276:return 33;case 63277:return 34;}if(event.shiftKey)switch(event.keyCode){case 33:case 34:case 37:case 38:case 39:case 40:return null;}return event.keyCode;},getPriorities:function(){if(!e){var g=values(Event.Priority);g.sort(function(h,i){return h-i;});e=g;}return e;},__fire:function(g,i,event){var h=Event.__getHandler(g,i);if(h)return h($E(event));},__getHandler:function(g,h){return DataStore.get(g,Event.DATASTORE_KEY+h);}});var e=null,b=Event.DATASTORE_KEY;var c=function(g){return function(h){if(!DOM.contains(this,h.getRelatedTarget()))return g.call(this,h);};};var f={mouseenter:{base:'mouseover',wrap:c},mouseleave:{base:'mouseout',wrap:c}};var a=function(g,m){var h='on'+m;var k=d.bind(g);var j=DataStore.get(g,b);if(m in j)return;j[m]={};if(g.addEventListener){g.addEventListener(m,k,false);}else if(g.attachEvent)g.attachEvent(h,k);DataStore.set(g,b+m,k);if(g[h]){var l=g===document.documentElement?Event.Priority._BUBBLE:Event.Priority.TRADITIONAL;var i=g[h];g[h]=null;Event.listen(g,m,i,l);}if(g.nodeName==='FORM'&&m==='submit')Event.listen(g,m,Event.__bubbleSubmit.curry(g),Event.Priority._BUBBLE);};var d=function(event){event=$E(event);var n=event.type;if(!DataStore.get(this,b))throw new Error("Bad listenHandler context.");var o=DataStore.get(this,b)[n];if(!o)throw new Error("No registered handlers for `"+n+"'.");window.ArbiterMonitor&&ArbiterMonitor.pause();if(n=='click'){var i=Parent.byTag(event.getTarget(),'a');user_action(i,'click',event);}var k=Event.getPriorities();for(var j=0;jd)d=b;}}if(animation.timeout){clearTimeout(animation.timeout);delete animation.timeout;}var c=new Date().getTime();if(d>c)animation.timeout=setTimeout(animation._animate,d-c,false);};animation._animate=function(d,c){d=d||new Date().getTime();for(var b=(c===true)?animation.active.length-1:0;b0){var d=e[0];try{if(elementY(d)>0&&elementX(d)>0)return d;}catch(a){}}return null;},focusFirst:function(b){var a=Form.getFirstElement(b);if(a){a.focus();return true;}return false;}});var DOMPath={findNodePath:function(c,e){e=e||[];if(c.id||!DOM.isNode(c.parentNode))return {id:c.id,path:e.reverse()};var d=c.parentNode;var b=d.childNodes;for(var a=0;a=0;a--)if(!(b&&c[a]._cross_transition))c[a].hide();},_escape:function(){var d=Dialog.getCurrent();if(!d)return false;var e=d._semi_modal;var b=d._buttons;if(!b&&!e)return false;if(e&&!b){d.hide();return true;}var a;var c=Dialog._findButton(b,'cancel');if(d._cancelHandler){d.cancel();return true;}else if(c){a=c;}else if(b.length==1){a=b[0];}else return false;d._handleButton(a);return true;},call_or_eval:function(obj,func,args){if(!func)return undefined;args=args||{};if(typeof(func)=='string'){var params=keys(args).join(', ');func=eval('({f: function('+params+') { '+func+'}})').f;}return func.apply(obj,values(args));}});copy_properties(Dialog.prototype,{_cross_transition:false,_fixed:false,show:function(a){Arbiter.inform("DialogShown");this._showing=true;if(a){if(this._fade_enabled)CSS.setStyle(this._obj,'opacity',1);this._obj.style.display='';}else this._dirty();return this;},showLoading:function(){this._loading_was_shown=true;this._renderDialog($N('div',{className:'dialog_loading'},_tx("Carregando...")));return this;},hide:function(a){if(!this._showing)return this;Arbiter.inform("DialogHidden");this._showing=false;if(this._autohide_timeout){clearTimeout(this._autohide_timeout);this._autohide_timeout=null;}if(this._fade_enabled&&Dialog._stack.length<=1){this._fadeOut(a);}else this._hide(a);return this;},cancel:function(){if(!this._cancelHandler||this._cancelHandler()!==false)this.hide();},getRoot:function(){return this._obj;},getBody:function(){return DOM.scry(this._obj,'div.dialog_body')[0];},getButtonElement:function(a){if(typeof a=='string')a=Dialog._findButton(this._buttons,a);if(!a||!a.name)return null;var b=DOM.scry(this._popup,'input');var c=function(d){return d.name==a.name;};return b.filter(c)[0]||null;},getContentNode:function(){return DOM.find(this._content,'div.dialog_content');},getFormData:function(){return Form.serialize(this.getContentNode());},setAllowCrossPageTransition:function(a){this._cross_transition=a;return this;},setShowing:function(){this.show();return this;},setHiding:function(){this.hide();return this;},setTitle:Dialog._basicMutator('_title'),setBody:Dialog._basicMutator('_body'),setExtraData:Dialog._basicMutator('_extra_data'),setReturnData:Dialog._basicMutator('_return_data'),setShowLoading:Dialog._basicMutator('_show_loading'),setFullBleed:Dialog._basicMutator('_full_bleed'),setImmediateRendering:function(a){this._immediate_rendering=a;return this;},setCausalElement:function(a){this._causal_elem=a;return this;},setUserData:Dialog._basicMutator('_user_data'),getUserData:function(){return this._user_data;},setAutohide:function(a){if(a){if(this._showing){this._autohide_timeout=setTimeout(this.hide.shield(this),a);}else this._autohide=a;}else{this._autohide=null;if(this._autohide_timeout){clearTimeout(this._autohide_timeout);this._autohide_timeout=null;}}return this;},setSummary:Dialog._basicMutator('_summary'),setButtons:function(a){var c;if(!(a instanceof Array)){c=$A(arguments);}else c=a;for(var d=0;d0)||this._buttons_message){if(this._buttons_message)c.push($N('div',{className:'dialog_buttons_msg'},this._format(this._buttons_message)));if(this._buttons)for(var f=0;f

'+'

';}else a='

'+'

=0;a--)if(b[a]==this){b.splice(a,1);break;}if(b.length)b[b.length-1]._showDialog();}if(this._obj){DOM.remove(this._obj);this._obj=null;this._shim&&this._shim.hide();this._shim=null;}if(this._close_handler)this._close_handler({return_data:this._return_data});},_handleButton:function(a){if(typeof a=='string')a=Dialog._findButton(this._buttons,a);var b=Dialog.call_or_eval(a,a.handler);if(b===false)return;if(a.name=='cancel'){this.cancel();}else if(Dialog.call_or_eval(this,this._handler,{button:a})!==false)this.hide();},_submitForm:function(d,e,b){var c=this.getFormData();if(b)c[b.name]=b.label;if(this._extra_data)copy_properties(c,this._extra_data);var a=new AsyncRequest().setURI(e).setData(c).setMethod(d).setNectarModuleDataSafe(this._causal_elem).setReadOnly(d=='GET');this.setAsync(a);return false;},_setFromModel:function(c){var a={};copy_properties(a,c);if(a.immediateRendering){this.setImmediateRendering(a.immediateRendering);delete a.immediateRendering;}for(var d in a){if(d=='onloadRegister'){this.onloadRegister(a[d]);continue;}var b=this['set'+d.substr(0,1).toUpperCase()+d.substr(1)];b.apply(this,$A(a[d]));}},_updateBottom:function(){var a=Vector2.getElementDimensions(this._content).y+Vector2.getElementPosition(this._content).y;Dialog._bottoms[Dialog._bottoms.length-1]=a;Dialog._updateMaxBottom();}}); function AsyncRequest(uri){var dispatchResponse=bind(this,function(asyncResponse){try{this.clearStatusIndicator();if(!this.isRelevant()){invokeErrorHandler(1010);return;}if(this.initialHandler(asyncResponse)!==false){clearTimeout(this.timer);asyncResponse.jscc&&invoke_callbacks([asyncResponse.jscc]);if(this.handler)try{var suppress_onload=this.handler(asyncResponse);}catch(exception){asyncResponse.is_last&&this.finallyHandler(asyncResponse);throw exception;}if(suppress_onload!==AsyncRequest.suppressOnloadToken){var onload=asyncResponse.onload;if(onload)for(var ii=0;ii

Marcadores

sábado, 9 de julho de 2011

Windows-DLL-Hijacking

Nenhum comentário:

Postar um comentário