Éxodo Inteligencia – Breaking Binary Browser Applications & Revisión Explotación

Original fecha: 03/08/2013 />
Inteligencia Éxodo? Entrenamiento?

Éxodo La inteligencia es una empresa con mucha gente talentosa. Muchos de ellos trabajaban programa de TippingPoint ZDI (Zero Day Initiative) en y decidió dirigir su propia empresa. Recientemente, la compañía inició un 9-5 de capacitación de cinco días sobre las aplicaciones Breaking binarias y Browser Explotación, que tuve el honor de ser el primer para asistir. Mientras que han hecho este tipo de clases antes en conferencias como RECon, al parecer, mucho ha cambiado desde esas clases. La semana de entrenamiento se divide en dos cursos. Rompiendo aplicaciones binarias, liderado por Aaron Portnoy y Zef Cekaj, fue enseñado por los primeros tres días. Este curso fue sobre todo de ingeniería inversa del protocolo de entender cómo recieves de entrada para encontrar fallas y / o la comprensión de cómo el cliente se comunica y lo que los caminos conducen a que más tarde se utilizará para los esfuerzos más fructíferos fuzzing diseño. La clase Explotación Browser, dirigido por Brandon Edwards (DrRaid) y Peter Vreugdenhil (WTFuzz), fue una experiencia intensa de dos días. Para decir algo acerca de esta clase sería que se trata de una más de lo que siempre quiso saber de clase (pero contento y útil que usted ahora sabe) en la explotación de IE9 con un uso escogido Después bug gratuito. Ten en cuenta que estas clases no eran para el alegre, que es lo que estaba buscando.

Rompiendo Aplicaciones Binarias

La gran cosa acerca de esta clase fue la enorme cantidad de material que nos fuimos en sólo tres días y que la mayoría de las vulnerabilidades no eran públicas hasta después de la clase. La clase había apuntado principalmente en encontrar maneras rápidas para ayudar a revertir una aplicación real como encontrar sus puntos de entrada, descubriendo lo que se necesita para comunicarse a través de los puntos de entrada, formas de evitar los posibles obstáculos, y luego analizar lo más posible acerca de lo que puede hacer con su usuario de datos controlada. Utilizamos la AIF y Windbg extensamente con Windows XP y las máquinas virtuales del servidor 2003. Maneras fáciles en torno a determinados temas repetitiva que nos encontramos al otro lado estaban cubiertas con el plugin IDA Toolbag. Yo no era capaz de conseguir ese plugin para trabajar (no parecía jugar bien con IDAPython y yo no tengo suficiente experiencia con plugins AIF) es así, por suerte, la clase comenzó con el camino más difícil primero y luego presentó la fácil manera / más rápido con la bolsa de herramientas. Yo, personalmente, encuentro esta la manera mejor y más completo para aprender cosas.

Lo hicimos un poco de análisis utilizando windbg. Esto fue muy bien, porque, aunque no nos centramos en esta arquitectura, windbg es la única buena depurador x64 para Windows que yo sepa. Lo usamos tanto que finalmente aprendimos a utilizar y crear nuestros propios filtros de análisis más rápido de lo que estábamos buscando. Con estos filtros, y la ayuda de otras herramientas de depuración como gflags, nos dieron un montón de información para realizar un análisis exhaustivo de choque. Muchos consejos de la experiencia y de WinDbg personalizada filtros indicados por los instructores permiten al estudiante a improvisar algo que funcionó para cualquier situación en que se encontró. El curso cubrió especialmente la importancia de utilizar las herramientas de análisis tanto dinámicas como estáticas juntos y cómo hacerlo bien.

SCADA You Say?
Empezamos con un producto SCADA y descubriendo qué miedo estas cosas son fáciles de jugar con. La gran cosa acerca de la enseñanza de técnicas de búsqueda de errores y con vulnerabilidades conocidas es que muchas personas en la clase fueron capaces de encontrar errores no descubiertos que fueron previamente por los instructores. También permitió un entrenamiento del panorama de la vida real perfecta con el software que es el equivalente del niño gordo en el campo de balón prisionero. Todo el mundo fue capaz de golpear

Java -. La

El día siguiente nos fuimos un poco el miedo unwarrented del 7u11 Java parchear. Este es el parche que establece la configuración de seguridad del applet de alta por defecto por lo que requiere un CA válido para firmar el applet o se muestra la gran advertencia no es de confianza para el usuario. Aunque la mayoría de los usuarios han aprendido a hacer clic a través de cualquier cosa para conseguir lo que quieren, cualquier nuevo exploit en Java es realmente sólo vale la pena si se pasa por alto este requisito. Así, analizamos la ruta de ejecución de un applet de Java toma antes de la advertencia 7u11 es aún visto. Mostrando los diferentes métodos de ataque que aún son viables. La tarea, después de la tan sencilla quieres llorar vulnerabilidad fue encontrada, era para elaborar un exploit para la vulnerabilidad. Me gustó mucho simplemente trabajando en esta parte ya que era capaz de llegar a una mejor técnica que la que muestran los instructores después de arrastrarse a través de la documentación de lo que parecieron horas.

Adobe Shockwave, que apenas conocíamos Ti

Mi parte favorita de este estudio de caso fue la comprensión de que liberar enormes cantidades de insectos es grande, pero por lo general viene a costa de largos períodos de agotadora sobre especificaciones de documentación , del api, y más ante un plan de juego válido, incluso se puede eclosionaron. A pesar de que no tuvimos que ir tan profundo como los instructores, nos llevará por el proceso de lo que podría adoptar para encontrar buenos insectos en grandes productos. Una lección muy necesario para aquellos que piensan con suficiente conocimiento de todo llega rápidamente y / o fácilmente

CA ARCserve -. Desarrollos interesantes

Por último, se desató el caos para destruir a un producto. Primero ingeniería inversa de cómo ocurrió la comunicación y en el que ocurrió (la construcción de la estructura que utiliza). A continuación, analizó la superficie de ataque, yendo a fondo de lo que muchos investigadores no van inmediatamente a la hora de analizar los puntos de entrada de su objetivo. La vulnerabilidad real era uno de mis favoritos, ya que era el más interesante para jugar con

IBM Tivoli -. La Pinata

Este Llamé la piñata por una razón. La mayor parte del tiempo se dedicó a invertir appropraitely la comunicación entre el cliente y sin pasar por muchos un obstáculo molesto para hacerlo bien. Pero una vez que nos dieron todo lo que necesitábamos, recurrimos a la caza de errores juego rápido de fuzzing. Cada uno de nosotros construye nuestras propias fuzzers y golpeó en la solicitud en una de sus, muy probablemente, manchas fructíferos para encontrar temas. En este juego, casi todo el mundo en la clase encontró su propio accidente que pudieran jugar.

De Outlook y las terceras partes potable
juego
Como bono extra, nos entró por otra joya caza de errores, la búsqueda de las bibliotecas antiguas y problemáticos utilizados por el objetivo. Una cuestión recientemente parcheado fue explorado, analizado, y se deja a los estudiantes a explotar en su propio tiempo. Era irónico que esto estaba cubierto porque tenía que hacer frente a este exploit exacta en la naturaleza no pero una semana antes de la clase.

Explotación Browser

Este fue un muy dos días intensos, ya que giró en torno a la comprensión de muchas cosas diferentes acerca internos IE9 y los cambios en los ambientes modernos de Windows (como el funcionamiento de la LFH y cómo abusar de ella). He aprendido mucho y hay ciertos lugares en este curso que quería golpear mi cabeza en el escritorio, pero por lo general los instructores eran sólo una cuestión de distancia de usted. Esta clase, a diferencia de la anterior, a fondo se llevó aparte y se analiza una vulnerabilidad de la UAF pública y escritura explota un par de maneras diferentes.

Spray aerosol spray

Después de que te guiará a través de una exploración del montón de fragmentación baja, los objetos internos IE9, y el análisis de la vulnerabilidad, la primera tarea era tomar uno de varios métodos de pulverización montón diferentes y aplicarlo a la vulnerabilidad. Muchos estilos diferentes se introdujeron, algunos que sólo funciona con IE9 o más reciente. La eficacia y los problemas de cada método fue claramente presentados y estábamos en nuestro camino. Muchos de los ejercicios eran saltos cortos a una mejor comprensión de la vulnerabilidad utilizando excelentes filtros de WinDbg personalizada y ver las asignaciones. Al final del día estábamos para ganar el control EIP con nuestro método de pulverización montón elegido

Mantenerlo con clase -. Souvenirs Leak Y Cadenas vulnerabilidad

Este fue el día en que tenía que tener la cabeza en el juego. Empezamos a adentrarnos en las profundidades técnicas exploitatoin para conseguir protecciones modernas pasadas. Esto incluyó el ROP genérica (en la que se les dio una lista de instrucciones y se va a encontrar su propia cadena) y técnicas exploitiation como abusar SHARED_USER_DATA fugas base del módulo. La parte más interesante y el cerebro abusar de ello fue la comprensión de la pérdida de memoria, cómo funciona, y cómo desencadenar otra vulnerabilidad después de haber usado la pérdida de memoria de moverse ASLR. Todo esto fue hecho internamente en el navegador sin aerosol y rezar técnicas. Usted tiene la oportunidad de jugar y entender cómo usar una vulnerabilidad para realizar la memleak y luego continuar a causar otros problemas que llevan a la explotación adecuada y completa. Al final, el exploit anuladas Windows 7 x64 (proceso IE9 de 32 bits) con protecciones EMET 3.5 habilitadas y era mucho más que fiable.

Conclusión
A pesar de que no tengo mucha experiencia en entrenamientos, este ha sido mi entrenamiento favorito hasta ahora. La clase es más acerca de tener acceso directo a los instructores, en caso de que usted está atascado / frustrado / confundido, que otra cosa. Por lo general, le dan un concepto y luego de 30 minutos para jugar con el concepto al tratar de usted mismo. Los instructores fueron siempre dispuesto a responder a su pregunta y le dan diferentes formas de pensar sobre el problema hasta que usted está en el camino correcto. Esto permitió que el tiempo de exploración con otras opciones si eres rápido, o una guía de mano en pasar por lo que sea la mente del bloque que está teniendo en la comprensión de algo. Yo lo recomendaría a cualquier persona interesada en la caza de errores para tomar definitivamente las aplicaciones Breaking binarios. Si usted está interesado en buceo profundo en los errores del navegador y pérdidas de memoria (aunque IE9 está estrictamente cubierto, la comprensión del proceso debería ayudar a otros marcos del navegador), sin duda tomar el curso de la Explotación del navegador.