magnify
formats

CONFidence

Bilindigi gibi Mayıs ayında Polonya, Krakow’da duzenlenen CONFidence konferansında Ulaşcan Aytolun ile beraber “Analysis of Software Vulnerabilities” isimli bir sunum verdim.

Konferansta stack overflow , command injection açıklarından bahsetttik. Aynı zaman da daha önce bulduğum ve yayınladığımda 0-day olan Novell eDirectory’deki buffer overflow açığının analizini yaptık.

Gerçekten alanında sağlam çok iyi konuşmacılar vardı bu konferansta ImmunitySec’den , Zynamics’den vs… Dan Kaminsky normal bir insan değil onu söyleyeyim.  Domuz eti yemediğimden dolayı israilli iki konuşmacıyla yakın olduk.  siyasi sorunlarımız olmasına rağmen Ortadoğu’lu olmak bizi orda yakınlaştırdı sanırım :]  Bir tanesi gerçekten daha önce underground’dan tanıdığım sağlam bir blackhat’di.

Velhasıl güzel bir anı oldu bizim için. Konferansdan ziyade Krakow gerçekten mükemmel bir şehir. Görülmesi gereken bir yer..

İnşallah kafamdaki bir kaç yeni konuyu yazıya dökebilirsem  yeni konferanslara doğru yol alacağız umarım…

CONFidence
Celil Ünüver , Ulaşcan Aytolun

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
1 Comment  comments 
formats

Binary Modification [Patching]

http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/binary-modification-acikliklari-yamama.html

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 
formats

Unpacking

31.07.2010
Geçmişte çalıştığım birisinin mailiyle güne başladım.Geçmişte çalıştığım birisinin mailiyle güne başladım.Bir programı inceleyip nereye bağlandığını , veriyi nereden çektiğini bilmek istiyordu.Wireshark açıp bak dediğimde programın çalışmadığını söyledi, tamam yolla dedim.Evet program çalışmıyordu (lisans vb korumalar) yani wireshark bu haliyle doğal olarak işe yaramazdı :]
ida
Eski günleri yad edip , arşivden PEiD , OllyDmp , ImpRec i çıkardım :]
Peid , programın aspack ile packlendiğini gösteriyordu. (Bad choice!!)
90lardan kalma ESP trick’iyle Oep’i (Original Entry Point) bulup programı unpack ettim.
Eski ve bilinen bir yöntem , hakkında türkçe döküman dahi mevcut.
Bu yüzden üstünden geçerek yaptığım işlemlerden bahsedeyim.
entry point şu şekilde;
olly
Sırasıyla işlemler;
* Step over(f8) PUSHAD
|
|
\ /
Follow ESP in Dump
|
|
\ /
Set a hardware breakpoint (Dump’da takip ettğimiz adrese)
|
|
\ /
f9 (execution)
|
|
\ /
Step to Retn, step into retn (f7), analyse code
|
|
\ /
OllyDump ile Modify (oep) adresini aklımızda tutup, dosyayı dump ediyoruz.
|
|
\ /
ImpRec ile IAT’ı düzeltip dump dosyamızı fixleme işlemi.

..
Sonuç;
Aşağıdaki resimde görüldüğü gibi gerekli bilgiler bulundu ve kişiye gönderildi. Db’ye bağlanıp karşılaştığım bilgiler ise sanırım benim ve hellcode research ile mezara gidecek cinsten.
db

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 
formats

Referans

Bugün Bilgiguvenli.gov.tr ye girince baktım ki güncel açıklarda en üst sırada Novell eDirectory arabellek taşmaları var.. (http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/novell-edirectory-ara-bellek-tasmasi.html ) Nerdeyse 1 yıl önce bulduğumuz açık için patch yayınlanmış. Dhost’da bulduğumuz overflow açığına bizi değil HACKATTACK’i referans vermişler (CVE-2009-4653http://www.securityfocus.com/bid/40541)

Hackattack in yayinladigi advisorynin tarihi Kasım. Bizim “bu açığı” yayınladığımız tarih ekim (http://www.securityfocus.com/archive/1/507412)

Açık şu ki dhost’a modül load ederken kontrolsüz sprintf kullanıldığı için taşmaya sebebiyet verebiliyor, Confidence’de analizini detaylı yapmıştım;

.text:0040BD1E push offset aS_dlm ; “%s.dlm”
.text:0040BD26 lea eax, [ebp+var_24]
.text:0040BD2D push eax ; char *
.text:0040BD2E call ds:sprintf

Neyse analizi bırakalım.. modules?L ile module load ediliyor, modules?I ile module infosunu gosteriyor. modules?U ile de module unload ediliyor. bunların hepsinde kontrolsüz sprintf kullanıldığı için U’da I’da L’de hepsinde taşma mevcut :]

Biz LoadModule’de ki overflow’u advisory olarak yayinladik.. O aralar adi gecen referansi alan sirkete zero-day satiyorduk. I’yi ve U’yu da ona sattik :] derdim referans deil, sadece piyasadaki bilişim güvenliği şirketlerinin halini gözler önüne sermeye çalıştım. Aynı açığı aldığının farkında bile değiller…. )

Celil Ünüver

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 
formats

Güvenlik Bildirileri

Blog yeni olunca birşeyler karalamak lazım… Eski yazıları koymayı planlıyorum.  Öncelikle işe benim tarafımdan bulunmuş ve yayınlanmış güvenlik bildirilerinin listesini paylaşarak başlamak istedim.

Adobe Shockwave Player Yığın Taşması Güvenlik Zaafiyeti || SecurityFocus

Windos Mobile 6.1 & 6.5 Heap Corruption / Double Free Güvenlik Zaafiyeti || SecurityFocus

AOL 9.5 ActiveX Yığın Taşması Güvenlik Zaafiyeti || IBM-ISS

OpenOffice Null Pointer Zaafiyeti|| SecurityFocus

Novell eDirectory Login Hafıza Taşması Güvenlik Zaafiyeti || SecurityFocus

Novell eDirectory Dhost Hafıza Taşması Zaafiyeti || SecurityFocus

Novell eDirectory Servis Engelleme (DoS) Zaafiyeti || SecurityFocus

Internet Download Manager Hafıza Taşması Zaafiyeti || SecurityFocus

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments 
formats

Hayırlı olsun.

Tarih 30 Ağustos 2010 yazar içinde Genel

Kişisel sitemin , kişisel blog’unu açmış bulunmaktayım.

Güzel paylaşımlar ve hayırlı olması dileğiyle…

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
No Comments  comments