banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Vấn đề Metasploit với DEP (Data Execution Prevention)  XML
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 26/06/2011 20:48:01 (+0700) | #1 | 242149
belenba
Member

[Minus]    0    [Plus]
Joined: 23/12/2006 23:40:54
Messages: 22
Offline
[Profile] [PM]
Gửi các anh,

Em tham gia diễn đàn lâu nhưng ít dám nói gì vì học hành chưa kĩ, chưa dám thảo luận nhiều. Nay em có vấn đề này, rất mong được các anh giúp đỡ

Em nghiên cứu sử dụng Metasploit để thực hiện tự động việc khai thác các lỗ hổng phần mềm, cụ thể là lỗi Buffer-Overflow. Em thử khai thác một lỗi của Microsoft Word RTF pFragments Stack Overflow (em dùng thông qua GUI của Metasploit), với payload là Exec notepad.exe mục đích là nếu khai thác thành công thì bật notepad.exe lên . Nhưng khi đem file msf.rtf được sinh ra bởi Metasploit lên một máy tính chạy Windows XP Sp3 dùng Microsoft office 2007 không service pack (đúng môi trường mà module exploit yêu cầu), và kích chạy thì quá trình khai thác không thành công. Em mày mò mãi thì nghĩ đến Windows có chức năng DEP (Data Execution Prevention) có tác dụng ngăn ngừa khai thác buffer-overflow, nên em vào system setting và thiết lập cho nó except chương trình WINWORD.exe đi. Thì lúc này lại khai thác thành công, tức là kích chạy file msf.rtf thì notepad.exe được bật lên.

Em đã thực hiện lại tất cả các khai thác buffer-overflow trước đây mà em từng làm không thành công với Metasploit thì lần này, với DEP được tắt thì việc khai thác suôn sẻ, thành công

Em đã tìm kiếm rất kĩ trên Google về việc làm sao để Metasploit bypass DEP thì không thấy ai đề cập tới vấn đề này, ngoại trừ có người viết một chương trình là shellcodeexec có bypass DEP nhưng không đúng vấn đề em đang đề cập

Em thấy các hướng dẫn trên mạng về sử dụng metasploit, không cái nào đề cập tới việc phải tắt DEP trên máy bị tấn công cả

Em rất mong các anh hướng dẫn cho em, cách thiết lập làm sao để Metasploit bypass được DEP
[Up] [Print Copy]
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 27/06/2011 02:48:48 (+0700) | #2 | 242161
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ xài metaploit phiên bản mấy? Bồ nên tìm đọc thông tin "release" của bản 3.7.2 để biết thêm thông tin.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 27/06/2011 07:03:11 (+0700) | #3 | 242164
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]

Bypass DEP ( Data execution Prevention) không phải do thiết lập trong metasploit mà là do phương pháp được sử dụng của exploit đó có làm được hay không, theo cách exploit BoF đơn giản nhất đó là [NOP SLED][SHELLCODE][RET], RET chỉ cần trỏ vào đoạn giữa từ bắt đầu NOP đến SHELLCODE là sẽ execution được SHELLCODE ( tức là chạy notepad.exe), DEP nói nôm na là vùng stack sẽ không có cờ X tức là không thực thi được, do đó SHELLCODE sẽ không chạy. Cách bypass phổ biến nhất đối với hệ thống có DEP ( hay NX - non executable trên Linux) đó là Return to Libc.
[Up] [Print Copy]
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 27/06/2011 09:37:42 (+0700) | #4 | 242177
[Avatar]
Mr.SuperCat
Member

[Minus]    0    [Plus]
Joined: 16/06/2011 06:23:53
Messages: 65
Location: Mid Digital
Offline
[Profile] [PM] [Yahoo!]
ở đây có đề cập đến bỏ qua DEP đây bạn, theo mình ko cần tắt mà bỏ qua nó là được thôi.
http://hi.baidu.com/thesum/blog/item/47105bf4477a1edef2d385af.html&usg=ALkJrhjGxZ8pNGV4nPHkXw68c6VkI9G4xg
Chúng tôi đại diện cho những nhân vật phản diện
Đầy khả ái và ngây ngất lòng người. smilie
[Up] [Print Copy]
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 27/06/2011 16:27:54 (+0700) | #5 | 242206
belenba
Member

[Minus]    0    [Plus]
Joined: 23/12/2006 23:40:54
Messages: 22
Offline
[Profile] [PM]

conmale wrote:
Bồ xài metaploit phiên bản mấy? Bồ nên tìm đọc thông tin "release" của bản 3.7.2 để biết thêm thông tin. 


Dạ em sử dụng Metasploit 3.7.1 nhưng được update qua SVN thành Metasploit 3.8.0-dev

Đi xuyên qua một vài link từ chỗ gợi ý của anh em đến được trang đề cập tới phần cập nhật mới nhất của bản 3.7.2 về bypass DEP , kĩ thuật Ropping eggs http://www.corelan.be/index.php/2011/05/12/hack-notes-ropping-eggs-for-breakfast/)

Em đọc kĩ bài viết này nhiều lần, nhưng chưa hiểu được chính xác là mình cần bổ sung các dòng mã (được đề cập tới trong link trên) vào phần nào của Metasploit (exploit hay payload), và bổ sung làm sao, vì hình như phải hiểu kĩ exploit đó mới có thể bổ sung mã được.

Mong anh giúp em thêm
[Up] [Print Copy]
  [Discussion]   Vấn đề Metasploit với DEP (Data Execution Prevention) 27/06/2011 16:29:56 (+0700) | #6 | 242208
belenba
Member

[Minus]    0    [Plus]
Joined: 23/12/2006 23:40:54
Messages: 22
Offline
[Profile] [PM]

H3x4 wrote:

Bypass DEP ( Data execution Prevention) không phải do thiết lập trong metasploit mà là do phương pháp được sử dụng của exploit đó có làm được hay không, theo cách exploit BoF đơn giản nhất đó là [NOP SLED][SHELLCODE][RET], RET chỉ cần trỏ vào đoạn giữa từ bắt đầu NOP đến SHELLCODE là sẽ execution được SHELLCODE ( tức là chạy notepad.exe), DEP nói nôm na là vùng stack sẽ không có cờ X tức là không thực thi được, do đó SHELLCODE sẽ không chạy. Cách bypass phổ biến nhất đối với hệ thống có DEP ( hay NX - non executable trên Linux) đó là Return to Libc. 


Kĩ thuật Return to Libc này thực hiện ra sao vậy anh ? anh có thể cho em một link nào đề cập tới cách thực hiện kĩ thuật này được không ạ ?

Cám ơn anh đã trả lời em smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|