التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. قـسم الأختراق المتقدم .:: Advanced Hacking Section .:: ] > Buffer OverFlow

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 09-29-2010, 11:34 AM   رقم المشاركة : 1 (permalink)
معلومات العضو
ViRuS Qalaa
iraQi HackerS
 
الصورة الرمزية ViRuS Qalaa
 

 

 
إحصائية العضو







ViRuS Qalaa غير متواجد حالياً

إرسال رسالة عبر MSN إلى ViRuS Qalaa

 

 

إحصائية الترشيح

عدد النقاط : 10
ViRuS Qalaa is on a distinguished road

.......... [~] ثغرات DLL hijack تحت مجهر فايروس قلعة [~]




اهلا وسهلا اعضاء ومشرفين ومدراء شبكة العناكب الاحترافية ’
اليوم بأذن الله سوف اقوم بشرح عن ثغرات واقتبس من مواقع سكيورتي والموقع الهكر الشهيرة .
عن ثغرات جديدة هي ثغرات DLL hijack هذة الثغرات لي الكثير سمع عنها في الاونة الاخيرة ولم يذكر اهتمام لها ,
اليوم سوف اكون لكم مرجع شامل عن هذة الثغرات وكيفة حدوثها واستغلالها واختبار هذة الثغرات dll hijack ..)


اولا شيء اقتباس من موقع isecur1ty

اقتباس
ثغرات dll hijacking تحليلها, أسبابها وطرق الحماية

مقال يتحدث عن ثغرة Dll Hijacking المنتشرة في الفترة الأخيرة, إذ يتساءل البعض, كيف تعمل وهل كل الأجهزة مصابة بها؟ هل كل البرامج يمكن أن تصاب بها وكيف أحمي نفسي؟ كيف أحمي برامجي منها؟ سنتطرق للعديد من الأمور عنها اليوم في نفس الموضوع.


الحمد لله المُطاع .. خالق الإبداع .. فاصل الأنواع .. نحمده أن أرسل إلينا خير داع .. و مكّن دينه في كلّ البقاع .. و أنزل لنا خير كتبه نثاب بالعمل به .. و بتلاوته و بالسماع .. و الصلاة الدائمة على حبيبه و من تبعه إلى يوم الدين بلا إنقطاع.


مقدمة:
الكل يعلم عن مكتبات الربط الديناميكي (dll) ودورها في توفير الجهد في التعامل مع النظام , إذ يكفيك للتعامل مع النظام , أن تستدعي المكتبة والدوال الموجودة فيها , فعندما تريد أن تحذف ملفاَ , ستستدعي مكتبة Kernel32.dll وتقوم بإستدعاء دالة DeleteFile التي تقوم بحذف الملف الممرر لها , وعندما تريد الإتصال بمنافذ أو أجهزة أخرى , تقوم بتحميل مكتبة ws2_32 وإستدعاء الدوال الخاصة بالمقابس.

أغلب المكاتب تتواجد في مجلد النظام System32 كما هو معلوم , ويمكنك إرفاق المكتبة مع البرنامج في نفس المجلد في بعض الأحيان عندما لا تتوفر المكاتب في الأجهزة الأخرى , وهنا جاءت المشكلة!

فكرة الثغرة:
عندما تقوم بتحميل مكتبة إلى برنامجك , تقوم بإستدعاء دالة LoadLibraryA وتمرير اسم المكتبة لها بالشكل التالي:
كود PHP:
LoadLibraryA("user32"
سيقوم النظام بالبحث عن مكتبة user32 في نفس مجلد البرنامج أو ما يسمى بالـ Current Directory, إذا لم يجد , سيقوم بالإنتقال إلى المجلدات الموجودة في متغير PATH ويبحث عن المكتبة , ويقوم بتحميلها للذاكرة أو يقوم بإرجال قيمة 0 للدالة دلالة على عدم تحميل المكتبة ,

من هنا يمكننا فهم الفكرة , إذ أن وضع مكتبة خاصة بنا في نفس مجلد العمل للبرنامج , أو في مكان يتم فحصه قبل الSystem32 يؤدي إلى تحميل المكتبة الخاصة بنا بدلاَ من المكتبة الأصلية...


سؤال: إذا كانت الفكرة بهذه البساطة, لماذا لا يمكننا إستغلالها لكل البرامج؟ بوضع أي مكتبة يستعملها البرنامج في نفس مجلد العمل؟
يجب , كما ذكرت أن يقوم البرنامج بتحميل المكتبة عن طريق دالة LoadLibraryA , إذ أن وجود المكتبة في قائمة جدول الإستيراد Import Table سيقوم بتحميل المكتبة من مجلد الSystem32 أولاَ , بهذا تجد أنه لا يمكن إستغلالها , أيضاَ يجب أن لا تكون المكتبة قد تم تحميلها للذاكرة , فمثلاَ عندما تقوم بتحميل مكتبة user32 , المكتبة تحوي العديد من المكاتب التابعة لها في جدول الإستيراد , وسيتم تحميلهم معها ومن نفس مجلدها , بهذا تفشل الثغرة.

مثال:
لدينا هنا برنامج يريد إستدعاء adsnt.dll بعد تحميله عن طريق دالة LoadLibraryA , بالشكل التالي:
كود PHP:
format PE GUI 4.0

entry start

include 'win32a.inc'


start:

push _lib

call 
[LoadlibraryA]

int 3

_lib db 
"adsnt",0


section 
'.idata' import data readable writeable

library kernel32
,'kernel32.dll'


import kernel32, \

LoadlibraryA 'LoadLibraryA' 
عندما نقوم بتجربته في المنقح ونقوم بتشغيله , نلاحظ أن المكتبة قد تم تشغيلها وتم تحميل المكتبات المضمنة معها بشكل تام.


الآن نقوم بعمل dll بنفس الإسم ولنجعلها تقوم بعمل break وقت تشغيلها , على الشكل التالي:

كود PHP:
format PE GUI 4.0 DLL

entry DllEntryPoint

include 'win32ax.inc'


.code

proc DllEntryPoint hinstDLL
,fdwReason,lpvReserved

int 3

mov eax
,5

ret

endp 
نقوم بترجمتها وجعلها في نفس مجلد البرنامج, ونقوم بتسميتها بإسم adsnt.dll

نقوم بتشغيل البرنامج في المنقح , وننتظر النتيجة, ستجد أنه قد تم تحميل مكتبتنا بدل المكتبة الأصلية وهذا هو أساس الثغرة ككل...



سؤال: ماهي المشاكل التي تواجه مطور الثغرة؟ هل الثغرة تعتبر كاملة بالشكل السابق؟
مثالنا السابق يمثل معظم إستغلالات الثغرة لكن إذا أردت أن تقوم بعملك على أكمل وجه, ستضطر لمواجهة العديد من المشاكل. مثلاً إذا قمت بجعل مكتبتك تعمل بدل مكتبة أخرى , يجب أن تقوم بتحميل المكتبة الأصلية وتوفير الدوال التي توفرها هي للبرامج التي تستدعيها وإلا ستكشف على الفور, أي أن البرنامج إذا قام بإستدعاء
كود PHP:
GetProcAddress(handle,"SetWindowHookEx"
مثلاَ, سترجع الدالة بالقيمة 0 لإن مكتبتك لا تحوي دالة SetWindowHookEx فستظهر لجلب جميع دوال المكتبة و يتم عمل ذلك عن طريق تصدير دوال بنفس أسماء المكتبة وجعل دوالك كـ Proxy أو وسيط بينهم كما في الموضوع التالي من موقع CodeProject.

الموضوع يتحدث عن ما ذكرناه , إنشاء مكتبة وسيط بينك وبين المكتبة الأم , بتقليد كافة دوالها والقفز إلى الدوال الأصلية وقت الإستدعاء.


سؤال: هل الدوال هي كل ما توفره المكاتب؟
لا طبعاَ, إذ أن المكاتب توفر مصادر Resources وأشياء أخرى وإذا أردت أن تقوم بإستبدال المكتبة , يجب أن تقوم بمحاكاة.


سؤال: كيف أحمي برنامجي من أن يستغل بهذه الثغرة؟
كما رأينا فإن المشكلة العامة هي بعدم توفير المسار الكامل للنظام لكي يبحث عن المكتبة فيه , بهذا نستطيع القول أننا لم إستدعينا المكاتب بالشكل التالي مثلأَ:
كود PHP:
LoadLibraryA("c:\windows\system32\user32.dll"
فسنتجاوز أي مشكلة مع هذه الثغرة إن شاء الله.


سؤال: كيف أحمي نظامي من هذه الثغرة؟
كما ذكر في شرح الأخ محمد القرني يجب أن تتأكد من الملفات المرفقة مع البرامج والملفات , أيضاَ مايكروسوفت وفرت ترقيع يسمح لك بمنع تحميل المكتبات من مجلدات العمل وإستعمال مجلدات النظام فقط.


أعمل حالياَ على طريقة تقوم بتغيير قيمة الدالة LoadLibraryA الراجعة للبرنامج بحيث يمكننا إستبدالها بقيمة الدالة الأصلية , بهذا نتفادى مشكلة المصادر والدوال وأي تعامل للبرنامج الأصل سيتم مع المكتبة الأم , لكن الموضوع معقد بالنسبة لي , وسأحاول طرح التحديث بأقرب وقت إن شاء الله.



اقتباس
إستغلال ثغرات dll hijacking باستخدام ميتاسبلويت

الموقع : isecur1ty
بعد نقاش مع الأخوه حول ثغرات dll hijacking في محادثة L((i))ve وجدت ان احسن طريقه هي كتابة مقال بسيط اشرح فيه طريقة استغلال الثغرة باستخدام مشروع ميتاسبلويت بعد معرفة البرنامج المصاب والحصول على سطر اوامر meterpreter.


ارجو مراجعة موضوعى الاخ محمد القرني و مصطفى العيسائي المنشورين فى المجتمع حول ثغرات dll hijacking لان المقال مبنى عليهم. التطبيق سيكون على برنامج smpalyer اخر اصدار Version: 0.6.9 - SVN r3447.

بعد معرفة أن البرنامج مصاب من خلال اداة DLLHijackAuditKit المطروحه فى مدونة الميتاسبلويت والتى اشار اليها الشباب فى الموضوعين السابقين



كما تلاحظون فإن البرنامج قام بتشغيل الحاسبه عند تشغيله وهذا يدل على انه مصاب بثغرة dll hijacking (الاخ مصطفى قدم شرح كافى فى هذا الجزء "جزاه الله خيرا"). نأتى الان الى تكوين ملف dll والذى من خلاله سنحصل على سطر الاوامر الذى تحدثنا عنه.

ستلاحظون داخل مجلد الاداه التى حملناها من مدونة الميتاسبلويت ملف بعنوان regenerate_binaries.rb هذا الملف هو المسؤل عن استعداء الحاسبه من خلال ملف dll واخر exe. نقوم الان بتكوين ملف dll من خلال الميتاسبلويت كما موضح فى الصوره التاليه:



يجب مراعاه استخدام الخيار D المسؤال عن تكوين الملف بصيغة dll و حفظ الملف بنفس الامتداد, الان نقوم بتشغيل multi handler من خلال ميتاسلويت و انتظار الاتصال على المنفذ 4444.



ثم نقوم بنقل payload.dll الى مجلد الملف المصاب ستلاحظ ان ملف dll المنشئ من الميتاسلويت نفس حجم الملف الاصلى 14 kb



احذف الملف الاصلى ثم قم بتغير اسم payload.dll الى اسم الملف الاصلى wintab32.dll.



وقت تشغيل ملف الفيديو "RMVP" سترى ان البرنامج يعمل بشكل طبيعى وفى نفس الوقت حصلنا على سطر الاوامر المراد



لم اطول فى الموضوع لان الشباب ما شاء الله شرحوا ثغرات dll hijacking شرح مفصل فى موضوعين سابقين.



اقتباس
فيديو: إكتشاف ثغرات dll hijacking

الموقع : isecur1ty

شرح فيديو يوضح طريقة اكتشاف ثغرات dll hijacking التي إنتشرت في الأيام الماضية والتي تعتبر نوع جديد من الثغرات. هذا النوع من الثغرات أصاب أغلب برامج نظام ويندوز وسيتم شرح إكتشاف هذا النوع من الثغرات بإستخدام أداة DLLHijackAuditKit التي تم برمجتها بواسطة مطوري مشروع Metasploit.


طرق للحمايه من ثغرات dll hijacking:
عدم تحميل أي برنامج إلا من الموقع الرسمي.
إظهار الملفات المخفيه في الوندوز.

الفديوا :
[hide]
كود PHP:
http://www.isecur1ty.org/video-tutorials/programs-tools/463-dll-hijacking-dllhijackauditkit.html 
[/hide]



اقتباس
اختبار , كتابة واستغلال ثغرات DLL hijack باحترافية : ) إخترق اي مستعمل وندوز

الموقع : v4-team

أو حقن ملفات DLLوبامكانك تخترق اي مستعمل وندوز بسهولة تامةتابع الدرس بس . أول شيء ندخل في تعريف بسيط لهاذي الثغرات طبعا وكل واحد منا يعرف انو كل برنامج

عند فتحه رح يقوم بتحميل مكتبة ملفات DLL فطبعا في شخص الي اكتشف الثغرة فكر انو يغير ها*ي المكتبة

بمكتبة أخرى زائفة أو خبيثة ان صح القول

بلب الموضوع فالكل قام بتجريب أداة مساعدةوهي DLLHijackAuditKit لكتابة الثغرات فقط أما اليوم شيء متغير

اليوم رح احكي عن كيفية اختيار برنامج مناسب , اكتشاف , كتابة , استغلال الثغرة

~~~ روابط التــحمــيل ~~~

مشاهدة الفيديو - مباشره -
[hide]
كود PHP:
http://raym0n.com/DLL%20hijack 
[/hide]

تحميل الفيديو
[hide]
كود PHP:
http://www.mediafire.com/?103et88xm2156yc 
[/hide]

الحقوق محفوظة

The Madjix



واتنى انكم استفاديتم طبعا الثغرة جديد وممكن يظهر هناك استغلات كثيرة وجديدة ,

واسف على التقصير وان شاء الله اشرحها لكم لكن ليس لدي وقت لذلك بسبب المدرسة غدا smilies16, وان شاء الله بس اكون فاضي راح اشرحها لكم :a03:
والى لقاء في مواضيع اخرى
بلتوفيق للجميع
smilies18





FZD eyvhj DLL hijack jpj l[iv thdv,s rgum

التوقيع

12 My Twelve Imams


Good Bye VbSpiders
I'll Back
Si
gn Out

 

   

رد مع اقتباس
قديم 09-29-2010, 02:08 PM   رقم المشاركة : 2 (permalink)
معلومات العضو
Marine
Love Me
 
الصورة الرمزية Marine
 

 

 
إحصائية العضو





Marine غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Marine is on a distinguished road

افتراضي


ابداع مابعده ابداع

يثبت

5 Stars

   

رد مع اقتباس
قديم 09-29-2010, 05:11 PM   رقم المشاركة : 3 (permalink)
معلومات العضو
ViRuS Qalaa
iraQi HackerS
 
الصورة الرمزية ViRuS Qalaa
 

 

 
إحصائية العضو







ViRuS Qalaa غير متواجد حالياً

إرسال رسالة عبر MSN إلى ViRuS Qalaa

 

 

إحصائية الترشيح

عدد النقاط : 10
ViRuS Qalaa is on a distinguished road

افتراضي


[align=center]مشكور اخي على التثبيت بارك الله فيك والقادم اقوى بـأذن الله
[/align]

التوقيع

12 My Twelve Imams


Good Bye VbSpiders
I'll Back
Si
gn Out

 

   

رد مع اقتباس
قديم 09-29-2010, 06:15 PM   رقم المشاركة : 4 (permalink)
معلومات العضو
 
الصورة الرمزية merci1994
 

 

 
إحصائية العضو







merci1994 غير متواجد حالياً

إرسال رسالة عبر MSN إلى merci1994 إرسال رسالة عبر Skype إلى merci1994

 

 

إحصائية الترشيح

عدد النقاط : 10
merci1994 is on a distinguished road

افتراضي


مشكوورررر يامعلم

   

رد مع اقتباس
قديم 09-29-2010, 06:26 PM   رقم المشاركة : 5 (permalink)
معلومات العضو
KaLa$nikoV
VBSPIDERS TEAM

#~VoLc4n0~#

 
الصورة الرمزية KaLa$nikoV
 

 

 
إحصائية العضو







KaLa$nikoV غير متواجد حالياً

إرسال رسالة عبر MSN إلى KaLa$nikoV

 

 

إحصائية الترشيح

عدد النقاط : 11
KaLa$nikoV is on a distinguished road

افتراضي


goood work man

send to

المواضيع المتميزه

الف مبروك

التوقيع



هل سأعود يوما
ام هي نهايه الطريق !!
إلهيْ ’ / أبدل عُسَرِنا يسُراً


لا تنسونا من دعائكم







سبحان الله والحمدلله ولا اله الا الله والله اكبر
fb.com/groups/VoLc4n0/
volc4n0@hotmail.com

 

   

رد مع اقتباس
قديم 09-30-2010, 08:19 AM   رقم المشاركة : 6 (permalink)
معلومات العضو
 
إحصائية العضو





!! hack-back !! غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
!! hack-back !! is on a distinguished road

افتراضي


THXXXX MAAAAAAN

   

رد مع اقتباس
قديم 11-15-2010, 09:18 AM   رقم المشاركة : 7 (permalink)
معلومات العضو
 
الصورة الرمزية mr saw
 

 

 
إحصائية العضو







mr saw غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
mr saw is on a distinguished road

افتراضي


شكرآآ على الافآدة يآ حلو

التوقيع

 

   

رد مع اقتباس
قديم 11-15-2010, 12:21 PM   رقم المشاركة : 8 (permalink)
معلومات العضو
 
الصورة الرمزية عصام-محمد
 

 

 
إحصائية العضو





عصام-محمد غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
عصام-محمد is on a distinguished road

افتراضي


جزاك الله خيرا

التوقيع

http://img12.imageshack.us/img12/7831/3d541.jpg

 

   

رد مع اقتباس
قديم 11-17-2010, 11:39 AM   رقم المشاركة : 9 (permalink)
معلومات العضو
 
الصورة الرمزية Gx1Sniper
 

 

 
إحصائية العضو








Gx1Sniper غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Gx1Sniper is on a distinguished road

افتراضي


بارك الله فيك اخوي فيروس الفلعة

تقبل مروري

   

رد مع اقتباس
قديم 01-23-2011, 12:58 PM   رقم المشاركة : 10 (permalink)
معلومات العضو
 
الصورة الرمزية ab_satour
 

 

 
إحصائية العضو






ab_satour غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
ab_satour is on a distinguished road

افتراضي


بارك الله فيك اخوي فيروس الفلعة

   

رد مع اقتباس
قديم 02-06-2011, 12:00 AM   رقم المشاركة : 11 (permalink)
معلومات العضو
 
الصورة الرمزية Mr.DiSaStEr
 

 

 
إحصائية العضو






Mr.DiSaStEr غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Mr.DiSaStEr is on a distinguished road

افتراضي


مشكور اخوي تقبل مروري

التوقيع

EMaiL: Tg-@HotmaiL.CoM

الإنسان : كائن من التراب خرج.. وعلى التراب عاش..


ومع التراب تعامل.. وإلى التراب سيعود



دخول متقطع بسبب الدراسة [SIGPIC][/SIGPIC]

 

   

رد مع اقتباس
قديم 02-08-2011, 05:08 PM   رقم المشاركة : 12 (permalink)
معلومات العضو
 
الصورة الرمزية kamal199
 

 

 
إحصائية العضو








kamal199 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
kamal199 is on a distinguished road

افتراضي


بارك الله فيك

لا تحرمنا جديدك

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
دورة اكتشاف ثغرات الفايل انكلود + ثغرات xss وفحص ملفات php بالصو [حصـري]ر remoter حقن xss - ssi 39 12-12-2014 01:24 AM
[~] ثغرات DLL hijack تحت مجهر فايروس قلعة [~] ViRuS Qalaa قســم إختــراق الأجهــزة 27 05-25-2011 05:45 PM
طلب فايروس أمسن msn alger4 جـــ'ابات العناكــ'ب 0 08-18-2010 07:12 PM
فايروس تشرنوبل Salem hacker جـــ'ابات العناكــ'ب 0 08-18-2010 01:03 AM


الساعة الآن 07:59 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0