عرض مشاركة واحدة
قديم 09-29-2010, 11:34 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
ViRuS Qalaa
iraQi HackerS
 
الصورة الرمزية ViRuS Qalaa
 

 

 
إحصائية العضو







ViRuS Qalaa غير متواجد حالياً

إرسال رسالة عبر MSN إلى ViRuS Qalaa

 

 

إحصائية الترشيح

عدد النقاط : 10
ViRuS Qalaa is on a distinguished road

.......... [~] ثغرات DLL hijack تحت مجهر فايروس قلعة [~]




اهلا وسهلا اعضاء ومشرفين ومدراء شبكة العناكب الاحترافية ’
اليوم بأذن الله سوف اقوم بشرح عن ثغرات واقتبس من مواقع سكيورتي والموقع الهكر الشهيرة .
عن ثغرات جديدة هي ثغرات DLL hijack هذة الثغرات لي الكثير سمع عنها في الاونة الاخيرة ولم يذكر اهتمام لها ,
اليوم سوف اكون لكم مرجع شامل عن هذة الثغرات وكيفة حدوثها واستغلالها واختبار هذة الثغرات dll hijack ..)


اولا شيء اقتباس من موقع isecur1ty

اقتباس
ثغرات dll hijacking تحليلها, أسبابها وطرق الحماية

مقال يتحدث عن ثغرة Dll Hijacking المنتشرة في الفترة الأخيرة, إذ يتساءل البعض, كيف تعمل وهل كل الأجهزة مصابة بها؟ هل كل البرامج يمكن أن تصاب بها وكيف أحمي نفسي؟ كيف أحمي برامجي منها؟ سنتطرق للعديد من الأمور عنها اليوم في نفس الموضوع.


الحمد لله المُطاع .. خالق الإبداع .. فاصل الأنواع .. نحمده أن أرسل إلينا خير داع .. و مكّن دينه في كلّ البقاع .. و أنزل لنا خير كتبه نثاب بالعمل به .. و بتلاوته و بالسماع .. و الصلاة الدائمة على حبيبه و من تبعه إلى يوم الدين بلا إنقطاع.


مقدمة:
الكل يعلم عن مكتبات الربط الديناميكي (dll) ودورها في توفير الجهد في التعامل مع النظام , إذ يكفيك للتعامل مع النظام , أن تستدعي المكتبة والدوال الموجودة فيها , فعندما تريد أن تحذف ملفاَ , ستستدعي مكتبة Kernel32.dll وتقوم بإستدعاء دالة DeleteFile التي تقوم بحذف الملف الممرر لها , وعندما تريد الإتصال بمنافذ أو أجهزة أخرى , تقوم بتحميل مكتبة ws2_32 وإستدعاء الدوال الخاصة بالمقابس.

أغلب المكاتب تتواجد في مجلد النظام System32 كما هو معلوم , ويمكنك إرفاق المكتبة مع البرنامج في نفس المجلد في بعض الأحيان عندما لا تتوفر المكاتب في الأجهزة الأخرى , وهنا جاءت المشكلة!

فكرة الثغرة:
عندما تقوم بتحميل مكتبة إلى برنامجك , تقوم بإستدعاء دالة LoadLibraryA وتمرير اسم المكتبة لها بالشكل التالي:
كود PHP:
LoadLibraryA("user32"
سيقوم النظام بالبحث عن مكتبة user32 في نفس مجلد البرنامج أو ما يسمى بالـ Current Directory, إذا لم يجد , سيقوم بالإنتقال إلى المجلدات الموجودة في متغير PATH ويبحث عن المكتبة , ويقوم بتحميلها للذاكرة أو يقوم بإرجال قيمة 0 للدالة دلالة على عدم تحميل المكتبة ,

من هنا يمكننا فهم الفكرة , إذ أن وضع مكتبة خاصة بنا في نفس مجلد العمل للبرنامج , أو في مكان يتم فحصه قبل الSystem32 يؤدي إلى تحميل المكتبة الخاصة بنا بدلاَ من المكتبة الأصلية...


سؤال: إذا كانت الفكرة بهذه البساطة, لماذا لا يمكننا إستغلالها لكل البرامج؟ بوضع أي مكتبة يستعملها البرنامج في نفس مجلد العمل؟
يجب , كما ذكرت أن يقوم البرنامج بتحميل المكتبة عن طريق دالة LoadLibraryA , إذ أن وجود المكتبة في قائمة جدول الإستيراد Import Table سيقوم بتحميل المكتبة من مجلد الSystem32 أولاَ , بهذا تجد أنه لا يمكن إستغلالها , أيضاَ يجب أن لا تكون المكتبة قد تم تحميلها للذاكرة , فمثلاَ عندما تقوم بتحميل مكتبة user32 , المكتبة تحوي العديد من المكاتب التابعة لها في جدول الإستيراد , وسيتم تحميلهم معها ومن نفس مجلدها , بهذا تفشل الثغرة.

مثال:
لدينا هنا برنامج يريد إستدعاء adsnt.dll بعد تحميله عن طريق دالة LoadLibraryA , بالشكل التالي:
كود PHP:
format PE GUI 4.0

entry start

include 'win32a.inc'


start:

push _lib

call 
[LoadlibraryA]

int 3

_lib db 
"adsnt",0


section 
'.idata' import data readable writeable

library kernel32
,'kernel32.dll'


import kernel32, \

LoadlibraryA 'LoadLibraryA' 
عندما نقوم بتجربته في المنقح ونقوم بتشغيله , نلاحظ أن المكتبة قد تم تشغيلها وتم تحميل المكتبات المضمنة معها بشكل تام.


الآن نقوم بعمل dll بنفس الإسم ولنجعلها تقوم بعمل break وقت تشغيلها , على الشكل التالي:

كود PHP:
format PE GUI 4.0 DLL

entry DllEntryPoint

include 'win32ax.inc'


.code

proc DllEntryPoint hinstDLL
,fdwReason,lpvReserved

int 3

mov eax
,5

ret

endp 
نقوم بترجمتها وجعلها في نفس مجلد البرنامج, ونقوم بتسميتها بإسم adsnt.dll

نقوم بتشغيل البرنامج في المنقح , وننتظر النتيجة, ستجد أنه قد تم تحميل مكتبتنا بدل المكتبة الأصلية وهذا هو أساس الثغرة ككل...



سؤال: ماهي المشاكل التي تواجه مطور الثغرة؟ هل الثغرة تعتبر كاملة بالشكل السابق؟
مثالنا السابق يمثل معظم إستغلالات الثغرة لكن إذا أردت أن تقوم بعملك على أكمل وجه, ستضطر لمواجهة العديد من المشاكل. مثلاً إذا قمت بجعل مكتبتك تعمل بدل مكتبة أخرى , يجب أن تقوم بتحميل المكتبة الأصلية وتوفير الدوال التي توفرها هي للبرامج التي تستدعيها وإلا ستكشف على الفور, أي أن البرنامج إذا قام بإستدعاء
كود PHP:
GetProcAddress(handle,"SetWindowHookEx"
مثلاَ, سترجع الدالة بالقيمة 0 لإن مكتبتك لا تحوي دالة SetWindowHookEx فستظهر لجلب جميع دوال المكتبة و يتم عمل ذلك عن طريق تصدير دوال بنفس أسماء المكتبة وجعل دوالك كـ Proxy أو وسيط بينهم كما في الموضوع التالي من موقع CodeProject.

الموضوع يتحدث عن ما ذكرناه , إنشاء مكتبة وسيط بينك وبين المكتبة الأم , بتقليد كافة دوالها والقفز إلى الدوال الأصلية وقت الإستدعاء.


سؤال: هل الدوال هي كل ما توفره المكاتب؟
لا طبعاَ, إذ أن المكاتب توفر مصادر Resources وأشياء أخرى وإذا أردت أن تقوم بإستبدال المكتبة , يجب أن تقوم بمحاكاة.


سؤال: كيف أحمي برنامجي من أن يستغل بهذه الثغرة؟
كما رأينا فإن المشكلة العامة هي بعدم توفير المسار الكامل للنظام لكي يبحث عن المكتبة فيه , بهذا نستطيع القول أننا لم إستدعينا المكاتب بالشكل التالي مثلأَ:
كود PHP:
LoadLibraryA("c:\windows\system32\user32.dll"
فسنتجاوز أي مشكلة مع هذه الثغرة إن شاء الله.


سؤال: كيف أحمي نظامي من هذه الثغرة؟
كما ذكر في شرح الأخ محمد القرني يجب أن تتأكد من الملفات المرفقة مع البرامج والملفات , أيضاَ مايكروسوفت وفرت ترقيع يسمح لك بمنع تحميل المكتبات من مجلدات العمل وإستعمال مجلدات النظام فقط.


أعمل حالياَ على طريقة تقوم بتغيير قيمة الدالة LoadLibraryA الراجعة للبرنامج بحيث يمكننا إستبدالها بقيمة الدالة الأصلية , بهذا نتفادى مشكلة المصادر والدوال وأي تعامل للبرنامج الأصل سيتم مع المكتبة الأم , لكن الموضوع معقد بالنسبة لي , وسأحاول طرح التحديث بأقرب وقت إن شاء الله.



اقتباس
إستغلال ثغرات dll hijacking باستخدام ميتاسبلويت

الموقع : isecur1ty
بعد نقاش مع الأخوه حول ثغرات dll hijacking في محادثة L((i))ve وجدت ان احسن طريقه هي كتابة مقال بسيط اشرح فيه طريقة استغلال الثغرة باستخدام مشروع ميتاسبلويت بعد معرفة البرنامج المصاب والحصول على سطر اوامر meterpreter.


ارجو مراجعة موضوعى الاخ محمد القرني و مصطفى العيسائي المنشورين فى المجتمع حول ثغرات dll hijacking لان المقال مبنى عليهم. التطبيق سيكون على برنامج smpalyer اخر اصدار Version: 0.6.9 - SVN r3447.

بعد معرفة أن البرنامج مصاب من خلال اداة DLLHijackAuditKit المطروحه فى مدونة الميتاسبلويت والتى اشار اليها الشباب فى الموضوعين السابقين



كما تلاحظون فإن البرنامج قام بتشغيل الحاسبه عند تشغيله وهذا يدل على انه مصاب بثغرة dll hijacking (الاخ مصطفى قدم شرح كافى فى هذا الجزء "جزاه الله خيرا"). نأتى الان الى تكوين ملف dll والذى من خلاله سنحصل على سطر الاوامر الذى تحدثنا عنه.

ستلاحظون داخل مجلد الاداه التى حملناها من مدونة الميتاسبلويت ملف بعنوان regenerate_binaries.rb هذا الملف هو المسؤل عن استعداء الحاسبه من خلال ملف dll واخر exe. نقوم الان بتكوين ملف dll من خلال الميتاسبلويت كما موضح فى الصوره التاليه:



يجب مراعاه استخدام الخيار D المسؤال عن تكوين الملف بصيغة dll و حفظ الملف بنفس الامتداد, الان نقوم بتشغيل multi handler من خلال ميتاسلويت و انتظار الاتصال على المنفذ 4444.



ثم نقوم بنقل payload.dll الى مجلد الملف المصاب ستلاحظ ان ملف dll المنشئ من الميتاسلويت نفس حجم الملف الاصلى 14 kb



احذف الملف الاصلى ثم قم بتغير اسم payload.dll الى اسم الملف الاصلى wintab32.dll.



وقت تشغيل ملف الفيديو "RMVP" سترى ان البرنامج يعمل بشكل طبيعى وفى نفس الوقت حصلنا على سطر الاوامر المراد



لم اطول فى الموضوع لان الشباب ما شاء الله شرحوا ثغرات dll hijacking شرح مفصل فى موضوعين سابقين.



اقتباس
فيديو: إكتشاف ثغرات dll hijacking

الموقع : isecur1ty

شرح فيديو يوضح طريقة اكتشاف ثغرات dll hijacking التي إنتشرت في الأيام الماضية والتي تعتبر نوع جديد من الثغرات. هذا النوع من الثغرات أصاب أغلب برامج نظام ويندوز وسيتم شرح إكتشاف هذا النوع من الثغرات بإستخدام أداة DLLHijackAuditKit التي تم برمجتها بواسطة مطوري مشروع Metasploit.


طرق للحمايه من ثغرات dll hijacking:
عدم تحميل أي برنامج إلا من الموقع الرسمي.
إظهار الملفات المخفيه في الوندوز.

الفديوا :
[hide]
كود PHP:
http://www.isecur1ty.org/video-tutorials/programs-tools/463-dll-hijacking-dllhijackauditkit.html 
[/hide]



اقتباس
اختبار , كتابة واستغلال ثغرات DLL hijack باحترافية : ) إخترق اي مستعمل وندوز

الموقع : v4-team

أو حقن ملفات DLLوبامكانك تخترق اي مستعمل وندوز بسهولة تامةتابع الدرس بس . أول شيء ندخل في تعريف بسيط لهاذي الثغرات طبعا وكل واحد منا يعرف انو كل برنامج

عند فتحه رح يقوم بتحميل مكتبة ملفات DLL فطبعا في شخص الي اكتشف الثغرة فكر انو يغير ها*ي المكتبة

بمكتبة أخرى زائفة أو خبيثة ان صح القول

بلب الموضوع فالكل قام بتجريب أداة مساعدةوهي DLLHijackAuditKit لكتابة الثغرات فقط أما اليوم شيء متغير

اليوم رح احكي عن كيفية اختيار برنامج مناسب , اكتشاف , كتابة , استغلال الثغرة

~~~ روابط التــحمــيل ~~~

مشاهدة الفيديو - مباشره -
[hide]
كود PHP:
http://raym0n.com/DLL%20hijack 
[/hide]

تحميل الفيديو
[hide]
كود PHP:
http://www.mediafire.com/?103et88xm2156yc 
[/hide]

الحقوق محفوظة

The Madjix



واتنى انكم استفاديتم طبعا الثغرة جديد وممكن يظهر هناك استغلات كثيرة وجديدة ,

واسف على التقصير وان شاء الله اشرحها لكم لكن ليس لدي وقت لذلك بسبب المدرسة غدا smilies16, وان شاء الله بس اكون فاضي راح اشرحها لكم :a03:
والى لقاء في مواضيع اخرى
بلتوفيق للجميع
smilies18





FZD eyvhj DLL hijack jpj l[iv thdv,s rgum

التوقيع

12 My Twelve Imams


Good Bye VbSpiders
I'll Back
Si
gn Out

 

   

رد مع اقتباس