التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـقرصـنـة والأختراق ~ The Hidden World Of Hackers .:: ] > قســم إختــراق الأجهــزة

موضوع مغلق
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 09-29-2010, 11:34 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
ViRuS Qalaa
iraQi HackerS
 
الصورة الرمزية ViRuS Qalaa
 

 

 
إحصائية العضو







ViRuS Qalaa غير متواجد حالياً

إرسال رسالة عبر MSN إلى ViRuS Qalaa

 

 

إحصائية الترشيح

عدد النقاط : 10
ViRuS Qalaa is on a distinguished road

.......... [~] ثغرات DLL hijack تحت مجهر فايروس قلعة [~]




اهلا وسهلا اعضاء ومشرفين ومدراء شبكة العناكب الاحترافية ’
اليوم بأذن الله سوف اقوم بشرح عن ثغرات واقتبس من مواقع سكيورتي والموقع الهكر الشهيرة .
عن ثغرات جديدة هي ثغرات DLL hijack هذة الثغرات لي الكثير سمع عنها في الاونة الاخيرة ولم يذكر اهتمام لها ,
اليوم سوف اكون لكم مرجع شامل عن هذة الثغرات وكيفة حدوثها واستغلالها واختبار هذة الثغرات dll hijack ..)


اولا شيء اقتباس من موقع isecur1ty

اقتباس
ثغرات dll hijacking تحليلها, أسبابها وطرق الحماية

مقال يتحدث عن ثغرة Dll Hijacking المنتشرة في الفترة الأخيرة, إذ يتساءل البعض, كيف تعمل وهل كل الأجهزة مصابة بها؟ هل كل البرامج يمكن أن تصاب بها وكيف أحمي نفسي؟ كيف أحمي برامجي منها؟ سنتطرق للعديد من الأمور عنها اليوم في نفس الموضوع.


الحمد لله المُطاع .. خالق الإبداع .. فاصل الأنواع .. نحمده أن أرسل إلينا خير داع .. و مكّن دينه في كلّ البقاع .. و أنزل لنا خير كتبه نثاب بالعمل به .. و بتلاوته و بالسماع .. و الصلاة الدائمة على حبيبه و من تبعه إلى يوم الدين بلا إنقطاع.


مقدمة:
الكل يعلم عن مكتبات الربط الديناميكي (dll) ودورها في توفير الجهد في التعامل مع النظام , إذ يكفيك للتعامل مع النظام , أن تستدعي المكتبة والدوال الموجودة فيها , فعندما تريد أن تحذف ملفاَ , ستستدعي مكتبة Kernel32.dll وتقوم بإستدعاء دالة DeleteFile التي تقوم بحذف الملف الممرر لها , وعندما تريد الإتصال بمنافذ أو أجهزة أخرى , تقوم بتحميل مكتبة ws2_32 وإستدعاء الدوال الخاصة بالمقابس.

أغلب المكاتب تتواجد في مجلد النظام System32 كما هو معلوم , ويمكنك إرفاق المكتبة مع البرنامج في نفس المجلد في بعض الأحيان عندما لا تتوفر المكاتب في الأجهزة الأخرى , وهنا جاءت المشكلة!

فكرة الثغرة:
عندما تقوم بتحميل مكتبة إلى برنامجك , تقوم بإستدعاء دالة LoadLibraryA وتمرير اسم المكتبة لها بالشكل التالي:
كود PHP:
LoadLibraryA("user32"
سيقوم النظام بالبحث عن مكتبة user32 في نفس مجلد البرنامج أو ما يسمى بالـ Current Directory, إذا لم يجد , سيقوم بالإنتقال إلى المجلدات الموجودة في متغير PATH ويبحث عن المكتبة , ويقوم بتحميلها للذاكرة أو يقوم بإرجال قيمة 0 للدالة دلالة على عدم تحميل المكتبة ,

من هنا يمكننا فهم الفكرة , إذ أن وضع مكتبة خاصة بنا في نفس مجلد العمل للبرنامج , أو في مكان يتم فحصه قبل الSystem32 يؤدي إلى تحميل المكتبة الخاصة بنا بدلاَ من المكتبة الأصلية...


سؤال: إذا كانت الفكرة بهذه البساطة, لماذا لا يمكننا إستغلالها لكل البرامج؟ بوضع أي مكتبة يستعملها البرنامج في نفس مجلد العمل؟
يجب , كما ذكرت أن يقوم البرنامج بتحميل المكتبة عن طريق دالة LoadLibraryA , إذ أن وجود المكتبة في قائمة جدول الإستيراد Import Table سيقوم بتحميل المكتبة من مجلد الSystem32 أولاَ , بهذا تجد أنه لا يمكن إستغلالها , أيضاَ يجب أن لا تكون المكتبة قد تم تحميلها للذاكرة , فمثلاَ عندما تقوم بتحميل مكتبة user32 , المكتبة تحوي العديد من المكاتب التابعة لها في جدول الإستيراد , وسيتم تحميلهم معها ومن نفس مجلدها , بهذا تفشل الثغرة.

مثال:
لدينا هنا برنامج يريد إستدعاء adsnt.dll بعد تحميله عن طريق دالة LoadLibraryA , بالشكل التالي:
كود PHP:
format PE GUI 4.0

entry start

include 'win32a.inc'


start:

push _lib

call 
[LoadlibraryA]

int 3

_lib db 
"adsnt",0


section 
'.idata' import data readable writeable

library kernel32
,'kernel32.dll'


import kernel32, \

LoadlibraryA 'LoadLibraryA' 
عندما نقوم بتجربته في المنقح ونقوم بتشغيله , نلاحظ أن المكتبة قد تم تشغيلها وتم تحميل المكتبات المضمنة معها بشكل تام.


الآن نقوم بعمل dll بنفس الإسم ولنجعلها تقوم بعمل break وقت تشغيلها , على الشكل التالي:

كود PHP:
format PE GUI 4.0 DLL

entry DllEntryPoint

include 'win32ax.inc'


.code

proc DllEntryPoint hinstDLL
,fdwReason,lpvReserved

int 3

mov eax
,5

ret

endp 
نقوم بترجمتها وجعلها في نفس مجلد البرنامج, ونقوم بتسميتها بإسم adsnt.dll

نقوم بتشغيل البرنامج في المنقح , وننتظر النتيجة, ستجد أنه قد تم تحميل مكتبتنا بدل المكتبة الأصلية وهذا هو أساس الثغرة ككل...



سؤال: ماهي المشاكل التي تواجه مطور الثغرة؟ هل الثغرة تعتبر كاملة بالشكل السابق؟
مثالنا السابق يمثل معظم إستغلالات الثغرة لكن إذا أردت أن تقوم بعملك على أكمل وجه, ستضطر لمواجهة العديد من المشاكل. مثلاً إذا قمت بجعل مكتبتك تعمل بدل مكتبة أخرى , يجب أن تقوم بتحميل المكتبة الأصلية وتوفير الدوال التي توفرها هي للبرامج التي تستدعيها وإلا ستكشف على الفور, أي أن البرنامج إذا قام بإستدعاء
كود PHP:
GetProcAddress(handle,"SetWindowHookEx"
مثلاَ, سترجع الدالة بالقيمة 0 لإن مكتبتك لا تحوي دالة SetWindowHookEx فستظهر لجلب جميع دوال المكتبة و يتم عمل ذلك عن طريق تصدير دوال بنفس أسماء المكتبة وجعل دوالك كـ Proxy أو وسيط بينهم كما في الموضوع التالي من موقع CodeProject.

الموضوع يتحدث عن ما ذكرناه , إنشاء مكتبة وسيط بينك وبين المكتبة الأم , بتقليد كافة دوالها والقفز إلى الدوال الأصلية وقت الإستدعاء.


سؤال: هل الدوال هي كل ما توفره المكاتب؟
لا طبعاَ, إذ أن المكاتب توفر مصادر Resources وأشياء أخرى وإذا أردت أن تقوم بإستبدال المكتبة , يجب أن تقوم بمحاكاة.


سؤال: كيف أحمي برنامجي من أن يستغل بهذه الثغرة؟
كما رأينا فإن المشكلة العامة هي بعدم توفير المسار الكامل للنظام لكي يبحث عن المكتبة فيه , بهذا نستطيع القول أننا لم إستدعينا المكاتب بالشكل التالي مثلأَ:
كود PHP:
LoadLibraryA("c:\windows\system32\user32.dll"
فسنتجاوز أي مشكلة مع هذه الثغرة إن شاء الله.


سؤال: كيف أحمي نظامي من هذه الثغرة؟
كما ذكر في شرح الأخ محمد القرني يجب أن تتأكد من الملفات المرفقة مع البرامج والملفات , أيضاَ مايكروسوفت وفرت ترقيع يسمح لك بمنع تحميل المكتبات من مجلدات العمل وإستعمال مجلدات النظام فقط.


أعمل حالياَ على طريقة تقوم بتغيير قيمة الدالة LoadLibraryA الراجعة للبرنامج بحيث يمكننا إستبدالها بقيمة الدالة الأصلية , بهذا نتفادى مشكلة المصادر والدوال وأي تعامل للبرنامج الأصل سيتم مع المكتبة الأم , لكن الموضوع معقد بالنسبة لي , وسأحاول طرح التحديث بأقرب وقت إن شاء الله.



اقتباس
إستغلال ثغرات dll hijacking باستخدام ميتاسبلويت

الموقع : isecur1ty
بعد نقاش مع الأخوه حول ثغرات dll hijacking في محادثة L((i))ve وجدت ان احسن طريقه هي كتابة مقال بسيط اشرح فيه طريقة استغلال الثغرة باستخدام مشروع ميتاسبلويت بعد معرفة البرنامج المصاب والحصول على سطر اوامر meterpreter.


ارجو مراجعة موضوعى الاخ محمد القرني و مصطفى العيسائي المنشورين فى المجتمع حول ثغرات dll hijacking لان المقال مبنى عليهم. التطبيق سيكون على برنامج smpalyer اخر اصدار Version: 0.6.9 - SVN r3447.

بعد معرفة أن البرنامج مصاب من خلال اداة DLLHijackAuditKit المطروحه فى مدونة الميتاسبلويت والتى اشار اليها الشباب فى الموضوعين السابقين



كما تلاحظون فإن البرنامج قام بتشغيل الحاسبه عند تشغيله وهذا يدل على انه مصاب بثغرة dll hijacking (الاخ مصطفى قدم شرح كافى فى هذا الجزء "جزاه الله خيرا"). نأتى الان الى تكوين ملف dll والذى من خلاله سنحصل على سطر الاوامر الذى تحدثنا عنه.

ستلاحظون داخل مجلد الاداه التى حملناها من مدونة الميتاسبلويت ملف بعنوان regenerate_binaries.rb هذا الملف هو المسؤل عن استعداء الحاسبه من خلال ملف dll واخر exe. نقوم الان بتكوين ملف dll من خلال الميتاسبلويت كما موضح فى الصوره التاليه:



يجب مراعاه استخدام الخيار D المسؤال عن تكوين الملف بصيغة dll و حفظ الملف بنفس الامتداد, الان نقوم بتشغيل multi handler من خلال ميتاسلويت و انتظار الاتصال على المنفذ 4444.



ثم نقوم بنقل payload.dll الى مجلد الملف المصاب ستلاحظ ان ملف dll المنشئ من الميتاسلويت نفس حجم الملف الاصلى 14 kb



احذف الملف الاصلى ثم قم بتغير اسم payload.dll الى اسم الملف الاصلى wintab32.dll.



وقت تشغيل ملف الفيديو "RMVP" سترى ان البرنامج يعمل بشكل طبيعى وفى نفس الوقت حصلنا على سطر الاوامر المراد



لم اطول فى الموضوع لان الشباب ما شاء الله شرحوا ثغرات dll hijacking شرح مفصل فى موضوعين سابقين.



اقتباس
فيديو: إكتشاف ثغرات dll hijacking

الموقع : isecur1ty

شرح فيديو يوضح طريقة اكتشاف ثغرات dll hijacking التي إنتشرت في الأيام الماضية والتي تعتبر نوع جديد من الثغرات. هذا النوع من الثغرات أصاب أغلب برامج نظام ويندوز وسيتم شرح إكتشاف هذا النوع من الثغرات بإستخدام أداة DLLHijackAuditKit التي تم برمجتها بواسطة مطوري مشروع Metasploit.


طرق للحمايه من ثغرات dll hijacking:
عدم تحميل أي برنامج إلا من الموقع الرسمي.
إظهار الملفات المخفيه في الوندوز.

الفديوا :
[hide]
كود PHP:
http://www.isecur1ty.org/video-tutorials/programs-tools/463-dll-hijacking-dllhijackauditkit.html 
[/hide]



اقتباس
اختبار , كتابة واستغلال ثغرات DLL hijack باحترافية : ) إخترق اي مستعمل وندوز

الموقع : v4-team

أو حقن ملفات DLLوبامكانك تخترق اي مستعمل وندوز بسهولة تامةتابع الدرس بس . أول شيء ندخل في تعريف بسيط لهاذي الثغرات طبعا وكل واحد منا يعرف انو كل برنامج

عند فتحه رح يقوم بتحميل مكتبة ملفات DLL فطبعا في شخص الي اكتشف الثغرة فكر انو يغير ها*ي المكتبة

بمكتبة أخرى زائفة أو خبيثة ان صح القول

بلب الموضوع فالكل قام بتجريب أداة مساعدةوهي DLLHijackAuditKit لكتابة الثغرات فقط أما اليوم شيء متغير

اليوم رح احكي عن كيفية اختيار برنامج مناسب , اكتشاف , كتابة , استغلال الثغرة

~~~ روابط التــحمــيل ~~~

مشاهدة الفيديو - مباشره -
[hide]
كود PHP:
http://raym0n.com/DLL%20hijack 
[/hide]

تحميل الفيديو
[hide]
كود PHP:
http://www.mediafire.com/?103et88xm2156yc 
[/hide]

الحقوق محفوظة

The Madjix



واتنى انكم استفاديتم طبعا الثغرة جديد وممكن يظهر هناك استغلات كثيرة وجديدة ,

واسف على التقصير وان شاء الله اشرحها لكم لكن ليس لدي وقت لذلك بسبب المدرسة غدا smilies16, وان شاء الله بس اكون فاضي راح اشرحها لكم :a03:
والى لقاء في مواضيع اخرى
بلتوفيق للجميع
smilies18





FZD eyvhj DLL hijack jpj l[iv thdv,s rgum

التوقيع

12 My Twelve Imams


Good Bye VbSpiders
I'll Back
Si
gn Out

 


التعديل الأخير تم بواسطة ViRuS Qalaa ; 09-29-2010 الساعة 11:37 AM.

   

قديم 09-29-2010, 02:08 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
Marine
Love Me
 
الصورة الرمزية Marine
 

 

 
إحصائية العضو





Marine غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Marine is on a distinguished road

افتراضي


ابداع مابعده ابداع

يثبت

5 Stars

   

قديم 09-29-2010, 05:11 PM   رقم المشاركة : 3 (permalink)
معلومات العضو
ViRuS Qalaa
iraQi HackerS
 
الصورة الرمزية ViRuS Qalaa
 

 

 
إحصائية العضو







ViRuS Qalaa غير متواجد حالياً

إرسال رسالة عبر MSN إلى ViRuS Qalaa

 

 

إحصائية الترشيح

عدد النقاط : 10
ViRuS Qalaa is on a distinguished road

افتراضي


[align=center]مشكور اخي على التثبيت بارك الله فيك والقادم اقوى بـأذن الله
[/align]

التوقيع

12 My Twelve Imams


Good Bye VbSpiders
I'll Back
Si
gn Out

 

   

قديم 09-29-2010, 06:15 PM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية merci1994
 

 

 
إحصائية العضو







merci1994 غير متواجد حالياً

إرسال رسالة عبر MSN إلى merci1994 إرسال رسالة عبر Skype إلى merci1994

 

 

إحصائية الترشيح

عدد النقاط : 10
merci1994 is on a distinguished road

افتراضي


مشكوورررر يامعلم

   

قديم 09-29-2010, 06:26 PM   رقم المشاركة : 5 (permalink)
معلومات العضو
KaLa$nikoV
VBSPIDERS TEAM

#~VoLc4n0~#

 
الصورة الرمزية KaLa$nikoV
 

 

 
إحصائية العضو







KaLa$nikoV غير متواجد حالياً

إرسال رسالة عبر MSN إلى KaLa$nikoV

 

 

إحصائية الترشيح

عدد النقاط : 11
KaLa$nikoV is on a distinguished road

افتراضي


goood work man

send to

المواضيع المتميزه

الف مبروك

التوقيع



هل سأعود يوما
ام هي نهايه الطريق !!
إلهيْ ’ / أبدل عُسَرِنا يسُراً


لا تنسونا من دعائكم







سبحان الله والحمدلله ولا اله الا الله والله اكبر
fb.com/groups/VoLc4n0/
volc4n0@hotmail.com

 

   

قديم 09-29-2010, 07:12 PM   رقم المشاركة : 6 (permalink)
معلومات العضو
 
الصورة الرمزية waxer
 

 

 
إحصائية العضو





waxer غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
waxer is on a distinguished road

افتراضي


thankssssssssss

   

قديم 10-03-2010, 01:23 PM   رقم المشاركة : 7 (permalink)
معلومات العضو
 
الصورة الرمزية x91
 

 

 
إحصائية العضو





x91 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
x91 is on a distinguished road

افتراضي


مشكووووووووووووور

   

قديم 10-06-2010, 02:34 PM   رقم المشاركة : 8 (permalink)
معلومات العضو
 
إحصائية العضو





عمر العنزي غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
عمر العنزي is on a distinguished road

افتراضي


مشششكور يا مديــرر

   

قديم 10-16-2010, 10:16 AM   رقم المشاركة : 9 (permalink)
معلومات العضو
 
الصورة الرمزية biso4ever
 

 

 
إحصائية العضو





biso4ever غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
biso4ever is on a distinguished road

افتراضي


thanksssssssssssssssssssssssssssssssssssssssssssss ssss

   

قديم 10-16-2010, 10:57 AM   رقم المشاركة : 10 (permalink)
معلومات العضو
 
الصورة الرمزية hanoo
 

 

 
إحصائية العضو







hanoo غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
hanoo is on a distinguished road

افتراضي


ماشالله عليك مبدع واصل ابداعك يامعلم

   

قديم 10-28-2010, 07:06 AM   رقم المشاركة : 11 (permalink)
معلومات العضو
Xx-Youssef-xX
أمير الضلام
 
الصورة الرمزية Xx-Youssef-xX
 

 

 
إحصائية العضو







Xx-Youssef-xX غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Xx-Youssef-xX is on a distinguished road

افتراضي


واصل يا مبدع

التوقيع


جآري البحث عن توقيع
||||||||||||||||||||||||||||||||||||||||||||||||
i..%87 LoadinG


 

   

قديم 11-07-2010, 10:27 PM   رقم المشاركة : 12 (permalink)
معلومات العضو
 
الصورة الرمزية lobooooo
 

 

 
إحصائية العضو






lobooooo غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
lobooooo is on a distinguished road

افتراضي


thankkkkkkkkkkk

   

قديم 11-14-2010, 04:08 AM   رقم المشاركة : 13 (permalink)
معلومات العضو
 
الصورة الرمزية ahmedashraf
 

 

 
إحصائية العضو






ahmedashraf غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
ahmedashraf is on a distinguished road

افتراضي


شرح روعه بجد بارك الله فيك

   

قديم 11-29-2010, 01:53 AM   رقم المشاركة : 14 (permalink)
معلومات العضو
 
الصورة الرمزية romio-joujou
 

 

 
إحصائية العضو






romio-joujou غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
romio-joujou is on a distinguished road

افتراضي


mrciiiiiiiiiiiii

   

قديم 12-26-2010, 07:52 PM   رقم المشاركة : 15 (permalink)
معلومات العضو
 
الصورة الرمزية adame-92
 

 

 
إحصائية العضو





adame-92 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
adame-92 is on a distinguished road

افتراضي


thankyouuuuuuuuuu

   

موضوع مغلق

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
دورة اكتشاف ثغرات الفايل انكلود + ثغرات xss وفحص ملفات php بالصو [حصـري]ر remoter حقن xss - ssi 39 12-12-2014 01:24 AM
[~] ثغرات DLL hijack تحت مجهر فايروس قلعة [~] ViRuS Qalaa Buffer OverFlow 11 02-08-2011 05:08 PM
طلب فايروس أمسن msn alger4 جـــ'ابات العناكــ'ب 0 08-18-2010 07:12 PM
فايروس تشرنوبل Salem hacker جـــ'ابات العناكــ'ب 0 08-18-2010 01:03 AM


الساعة الآن 10:36 AM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0