Обзор эксплойтов

Докучаев Дмитрий aka Forb

Хакер, номер #080, стр. 080-047-1

(forb@real.xakep.ru)

[MS color management buffer overflow]

Описание:

За этот летний месяц вышло не так уж и много громких эксплойтов, однако некоторые багоискатели сумели наделать шума. Так, например, 21 июля некий хакер отыскал уязвимость в модуле Internet Explorer. Бажный плагин отвечает за подгрузку картинок на страницах ослика. Автор эксплойта утверждает, что баг содержится в функции GetColorProfileElement. Ошибка позволяет перезаписать стек определенным кодом. В сплойте содержится шеллкод для запуска блокнота.

Но не все так хорошо, как написано в багтраке. Лично у меня не получилось запустить ноутпад, а максимум чего я добился — аварийного завершения работы браузера. Испытания проводились на чистой WinXP+SP2. Попробуй, быть может получится у тебя :).

Защита:

Защититься от напасти можно с помощью очередной заплатки от Microsoft. Последнюю ты сможешь найти на официальном сайте M$.

Ссылки:

Вредоносный код находится по адресу http://securitylab.ru/_Exploits/2005/07/icc_ex.c.txt.

Злоключение:

Если даже в коде и содержится зашита от дурака, которую ты не в силах обнаружить, то можно применить сплойт в качестве средства для DoS-атак. Просто попроси недруга заценить фотку обнаженной красотки :).

Greets:

Эксплойт был написан хакером Snooq (www.redpuffer.net/snooq/web). Также объявляется благодарность Sk, Eugene и Sugi за соавторство.

[Invision Power Board 1.3-2.x exploit]

Описание:

Как ты помнишь не так давно я описывал отличный эксплойт для IPB, позволяющий получать привилегии администратора. Авторы борды довольно быстро залатали баг, но ушлые хакеры нашли еще одну SQL-инъекцию в том же самом сценарии login.php. Более того, код, как и в прошлый раз, реализован на языке Perl. Суть бреши похожа на предыдущую, поэтому за деталями бага отправляю тебя в прошлый обзор эксплойтов :). Традиционно в коде кроется защита от детей, но скажу по секрету, найти ее может даже человек не особо разбирающийся в Perl.

Сплойт требует наличия модуля LWP::UserAgent, так что прежде чем его тестировать, убедись в правильной работе плагина. Для правильного запуска эксплойта, ему необходимо передать ряд параметров: хост сервера (без префикса http://), путь к форуму, версию борды (0 — 1.3, 1 — 2.x) и опционально идентификатор пользователя, права которого надо получить. Уже через несколько секунд сплойт выведет хэш нужного пароля.

Защита:

Пока что защиты от бага не существует, но автор сплойта предложил метод спасения от уязвимости. Для этого замени следующие строки в коде скрипта login.php:

$mid = intval($std->my_get cookie(member_id));

$pid = $std->my_get cookie(pass_hash);

на

$mid = mysql_escape_string(intval($std->my_get cookie(member _id)));

$pid = mysql_escape_string($std->my_get cookie(pass_hash));

Данная модификация может быть произведена на всех версиях форума.

Ссылки:

Забирай эксплойт по ссылке http://securitylab.ru/_Exploits/2005/07/ipb.pltxt. Существует также клон сплойта, который совсем не нужно патчить (http://skides.net.ru/exploits/ipb_skides.txt).

Злоключение:

Данный релиз эксплойта показал, что программисты форума не способны правильно закрывать SQL-уязвимости, поэтому борьба программистов с хакерами будет продолжаться еще долгое время.

Содержание  Вперед на стр. 080-047-2
ttfb: 3.3631324768066 ms