DisidentS Team » noukeys

Control de menores, aquí si, allá no.

noukeys — Sat, 28 Aug 2010 16:13:37 +0000

Caliente video, ¿no?

Me ha llamado la atención que youtube califica este vídeo como no apto para menores y desde su página necesitas confirmar tu edad para verlo, pero, si embebemos el video en una web (por ejemplo esta) no hay ningún tipo de control.

El contenido continua alojado en youtube, ¿deberían controlar el acceso?; ¿deberíamos hacerlo nosotros?

El debate queda abierto xD

convert this post to pdf.

Suplantación de identidad en comentarios de WP

noukeys — Thu, 24 Jun 2010 15:45:21 +0000

Mirando el blog de un amigo, me ha dado por registrarme y toqueteando me he dado cuenta de una cosa muy curiosa.

1.- Creo mi perfil noukeys y, como vemos en estas imágenes y escribo un comentario.

2.- Bueno hasta hay todo normal. Pero, ¿que pasa si cambiamos ciertos campos en nuestro perfil? Vamos a ver . . .

Pues el efecto óptico es muy bonito, parece que el admin nos esta dando la bienvenida!.

¿Suplantación de identidad?

¿Debería WP limitar ciertos nombres en ciertos campos?

¿Podemos considerarlo un fallo de seguridad?

Prefiero no pronunciarme, pero el efecto es cuanto menos curioso …

Un saludo y hasta el próximo _POST

convert this post to pdf.

hacking a university web at the university

noukeys — Sat, 29 May 2010 16:04:38 +0000

Un chico de españa mostrando en una charla en la universidad los fallos en la web de la misma.

Audio un poco malo, sorry

En breve actualizare el post con los videos que se muestran en la conferencia

convert this post to pdf.

md5 search function

noukeys — Sun, 28 Mar 2010 11:25:49 +0000

Muchas veces programamos chorraditas rápidas, que pueden llegar a ser muy útiles. Pues creo que la que aquí presento puede ser una de estas, es una función en python que búsca su f, dada su imagen f’.

La he utilizado para hacer una auditoría a un fichero con más de 30.000 imágenes y la verdad, los resultados han sido positivos.

He renombrado el ficherito a .txt para poder subirlo.

md5_cracker

import urllib

__id__ = “$Id: md5_cracker.py 2010-03-28 13:13$”
__version__ = “$Revision: 0 $”
__date__ = “$Date: 2010-03-28 13:13:51 +0100 (San, 28 Mar 2010) $”
__author__ = “noukeys reverser (noukeys@gmail.com)”
__copyright__ = “Copyright 2010+ noukeys”
__license__ = “GPL”
__URL__ = “http://www.reversing.es”

#Busca un hash en diversas webs conocidas.
def md5search(hash):

find = ”;

#busqueda:
try:
if find == ”:
f = urllib.urlopen(“http://gdataonline.com/qkhash.php?mode=txt&hash=” + hash.strip(‘\t\n’))
for line in f.readlines():
if (line.find(‘’) != -1) and (line.find(‘????’) == -1):
line = line.partition(’35%”>’)
line = line[2].partition(‘’)
find = line[0]
except:
pass

#busqueda
try:
if find == ”:
params = urllib.urlencode({‘pass’: hash.strip(‘\t\n’), ‘option’: ‘hash2text’, ‘send’: ‘Submit’})
f = urllib.urlopen(“http://md5online.net/”, params)
for line in f.readlines():
if line.find(‘pass :’) != -1:
line = line.partition(‘s : ’)
line = line[2].partition(‘’)
find = line[0]
except:
pass

#busqueda
try:
if find == ”:
params = urllib.urlencode({‘term’: hash.strip(‘\t\n’), ‘crackbtn’: ‘Crack+that+hash+baby%21′})
f = urllib.urlopen(“http://md5crack.com/crackmd5.php”, params)
for line in f.readlines():
if line.find(‘Found’) != -1:
line = line.partition(‘(“‘)
line = line[2].partition(‘”)’)
find = line[0]
except:
pass

#Resultados
return find.strip(‘\t\n’)

#P.O.C.
print md5search(’084e0343a0486ff05530df6c705c8bb4′)

convert this post to pdf.

…desempacar, desempacar … ¿Whyyyyyy!!!!?

noukeys — Mon, 23 Feb 2009 23:55:49 +0000

Donde quedan los tiempos de antaño en los que la gente se hacía sus loader “de p**a ma*re”, o como dirian los argentinos… “de la concha de tu madre la pelotuda”. El caso es que por casualidad un amigo me comentó que le echara un vistazo a un programa.

1) Ouff Aspack!

2) Problema

No tenemos tiempo de estudiar packers, o no sabemos, o no queremos. Pues utilizamos alguna tool de internet.

crash!, el programa no funciona y todo el mundo desesperado en los foros. ¿Abandonamos? – No !

3) Solucionando el problema.

En ollydbg tenemos una opción magnífica llamada Atach! Así que, ejecutamos el programa y paramos aquí.

Atacheamos y buscamos la función,

Mediante los RET llegamos a este punto.

Esto es la llamada, “zona caliente”. Bueno, a estas alturas el programa esta como una mujer desnuda, esperando que la desvirgemos; llegados a este punto poco hay que decir.

005A2430 |. E8 6FFBFFFF |CALL gdbnt.005A1FA4

005A2447 |. E8 5CF9FFFF |CALL gdbnt.005A1DA8

Estas son las llamadas a las dos funciones principales de chequeo. Con hacer un MOV EAX,01 en la entrada de la función, lo tenemos listo.

Bueno, ahora solo queda que algún valiente trace el código y escriba un keygen, o que alguien cree un loader para el programa.

4) Despedida

Este escrito pretende demostrar que no hay que ofuscarse al encontrar un problema, hay que buscar soluciones alternativas por nosotros mismos. Un abrazo a todos y no olvideis buscar el ZEN CRACKING!

convert this post to pdf.

Solucionando un CrackME de Hispasec!

noukeys — Tue, 20 Jan 2009 10:35:10 +0000

En el presente escrito se abordará la resolución del CrackME de hispasec, llamado a partir de ahora crackme o reto, detallando las siguientes partes.

¿Qué se pretende?
Encontrando la zona de interés.
Análisis del algoritmo.
Generación de un fichero válido.
Fallos de diseño.
Despedida y cierre.

El crackme y el fichero de licencia lo podeis encontrar en el siguiente enlace.

CrackME!

1.- ¿Qué se pretende?

El objetivo de este reto, es generar un fichero de licencia válido y explicar los fallos de diseño encontrados en los hilos. Quiero comentar que en este documento encontraremos lo que a mi juicio son fallos de diseño, no tienen porque coincidir con los criterios de los autores del reto. Para la resolución de este reto se ha utilizado un depurador y un editor hexadecimal, en mi caso he optado por Ollydbg y por Hex Workshop.

2.- Encontrando la zona de interés.

Para llegar a la zona que nos interesa analizar, y sabiendo de antemano que necesitamos un fichero de licencia, tenemos varia maneras de abordar nuestro cometido; explicaré un par de ellas.

Localizando la función de chequeo mediante referencias a cadenas.

Nada más cargar nuestro reto en el depurador, parados en el oep, buscamos referencias a cadenas con search for > All referenced text strings. Obtenemos esto.

Podemos ver las cadenas “crackem.lic”, “Good job!” y “Keep trying”, es evidente que nuestro objetivo es “Good job”. Seguimos la cadena y caemos en este punto.

En función de un par de comparaciones carga una de las cadenas. Seguimos el código hacia arriba, para ver donde se inicia esta función.

Aquí encontramos el inicio de la función, en la dirección 004010B0, vamos a fijarnos un momento que llama a la API CreateFileA, pero el atributo Mode es OPEN_EXISTING. Esto es importante para el siguiente punto.

Localizando la función de chequeo utilizando la API de Windows.

Ahora vamos a utilizar la API de Windows para llegar al mismo punto. Nada más cargar nuestro reto en el depurador, parados en el oep, buscamos referencias a APIs cargadas con search for > Name (label) in current module. Obtenemos esto.

Vamos a poner un BP en cada API específica de ficheros.

KERNEL32.CreateFileA

KERNEL32.GetFileSize

KERNEL32.GetFileType

KERNEL32.ReadFile

KERNEL32.WriteFile

Ejecutamos varias veces y vemos unas cuantas paradas antes de llegar a este BP en la dirección 004010CB, tal como vemos en esta imagen.

Seguimos el código hacia arriba, para ver donde se inicia esta función. Encontramos el inicio en la dirección 004010B0.

3.- Análisis del algoritmo.

Como ya hemos localizado la función de chequeo, ahora vamos a centrarnos en analizarla.

La función comprueba que existe el fichero “crackme.lic” , mira el tamaño del fichero, crea un buffer para guardar los datos, vuelca el contenido del fichero en el buffer creado, lanza los hilos que comprueban si los datos que hemos volcado son válidos y analiza el resultado de los hilos para decidir que cadena muestra. Esto corresponde al siguiente esquema.

Bueno, lo realmente interesante esta en los hilos de ejecución, así que vamos a ver que es lo que hacen los mismos. Vamos a fijarnos en el argumento Thread Function, vemos que tiene el parámetro 00401000, este es el inicio de la función que ejecuta el hilo.

Los bytes del fichero llave deben ser menores de 0Ah, es decir menores de 10d, si el hilo encuentra un byte igual a FFh, termina el análisis. Si nos fijamos, la función tiene dos salidas, una en la que realiza un “XOR EAX,EAX” o lo que es lo mismo, poner EAX a 0; y otra que realiza un “MOV EAX,1″ o lo que es lo mismo, poner EAX a 1.

¿Cómo conseguimos poner EAX a 1?, si solucionamos esta pregunta, tenemos solucionado el problema; para conseguir la ejecución de ese salto, debemos lograr que el resultado de AL tras la ejecución del código sea igual a 09h. Veamos más claramente la ejecución.

El proceso le el primer byte del fichero, carga otro byte que utiliza para los cálculos, vamos a llamarlo byte auxiliar o aux; este byte, al principio va a estar a 0. Tras esto realiza una operación con este byte, aux = aux + 4*aux, esto lo guarda en edx. Carga en bl el dato leído del fichero y este dato junto con aux, lo utiliza para acceder a una tabla de bytes; el calculo es el siguiente desplazamiento = dato + aux * 2.

En nuestro caso necesitamos un desplazamiento de 48h, si no conseguimos cargar el 09h, el byte apuntado se convierte en el nuevo aux. Y esto se repite hasta encontrar FFh.

4.- Generación de un fichero válido.

Bueno, conociendo el algoritmo, es fácil generar un fichero válido, solo necesitamos conocer la tabla de bytes que hemos comentado anteriormente. Es la siguiente (las cabeceras de la tabla están representadas en decimal.).

1 .- Bytes hexadecimales.

	0	1	2	3	4	5	6	7	8	9
0	05	01	03	02	01	02	04	03	05	04
10	00	00	00	00	00	02	00	00	00	00
20	02	03	03	00	00	01	01	04	04	05
30	02	03	03	01	06	04	04	05	05	00
40	00	00	05	01	02	03	04	08	08	05
50	05	05	05	04	04	05	05	00	00	00
60	06	06	06	06	06	07	08	08	06	06
70	07	07	09	08	07	07	07	08	08	08
80	08	07	07	08	08	08	08	07	07	07

Necesitamos conseguir un desplazamiento de 72d bytes. Para ello vamos a realizar las siguientes operaciones.

Aux = 0 (la primera pasada del algoritmo).

Data = 06 (Primer byte del fichero).

0 + 0*4 = 0.

6 + 0*2 = 6.

Cargamos el byte que hay con desplazamiento 6; el 04.

No es 09, por tanto lo usamos como nuevo aux.

Aux = 04.

Data = 07 (Segundo byte del fichero).

4 + 4*4 = 20.

7 + 20*2 = 47.

Cargamos el byte que hay con desplazamiento 46; el 08.

No es 09, por lo tanto lo usamos como nuevo aux.

Aux = 08.

Data = 01 (Tercer byte del fichero).

8 + 8*4 = 40.

1 + 40*2 = 81

Cargamos el byte que hay con desplazamiento 81; el 07;

No es 09, por lo tanto lo usamos como nuevo aux.

Aux = 07.

Data = 02 (Cuarto byte del fichero).

7 + 7*4 = 35.

02 + 35*2 = 72.

Cargamos el byte que hay con desplazamiento 72; el 09.

Es 09, por lo tanto terminamos en el return que nos interesa.

Si nos fijamos, el segundo hilo, utiliza exactamente la segunda función, además, la tabla de bytes no es modificada, por tanto, sólo tenemos que duplicar la cadena de bytes obtenida anteriormente y replicarla. Al final, añadimos el byte de fin que utiliza el programa, el FFh.

La cadena de bytes que necesitamos escribir para generar un fichero válido es la siguiente: “0607010206070102FF”. Esto lo podemos hacer con nuestro editor hexadecimal preferido. Una vez realizado esto, tenemos solucionado este reto.

5.- Fallos de diseño.

A continuación, comento lo que a mi juicio son fallos de diseño en el algoritmo.

Existe un fragmento de código, que no es necesario para la resolución del reto,

00401070 . 68 CE070000 push 7CE

00401075 . FFD6 call esi ; kernel32.Sleep

00401077 . EB 04 jmp short crackme.0040107D

0040107D > \E8 67010000 call crackme.004011E9

00401082 . 99 cdq

00401083 . B9 32000000 mov ecx,32

00401088 . F7F9 idiv ecx

0040108A . 52 push edx

0040108B . FFD6 call esi ; kernel32.Sleep

Si se ha utilizado a modo de código basura, debería de repartirse más por la función o diseñarse de alguna otra manera ya que es muy obvio comprobar que no es necesario analizarlo para la resolución del reto.

Los dos hilos que se lanzan para comprobar el fichero llave, utilizan la misma función y esta hace exactamente lo miso. Podríamos haber solucionado esto utilizando por ejemplo dos puntos de entrada para la función o una modificación de la misma. Otra opción hubiese sido utilizar otra función que comprobase otras propiedades del los bytes del fichero.

Al utilizar el segundo hilo para chequear los bytes del fichero, si no hemos modificado la función ni hemos utilizado otra función distinta, al menos deberíamos haber cambiado la tabla de bytes para forzar un nuevo cálculo de la segunda parte de los bytes del fichero.

6.- Despedida y cierre.

Un Saludo a los miembros de Disidents.org, al canal #crackers, a thEpOpE, a NoMuRyTo y a toda la gente que me dejo pero sabe que puede darse por saludada. Espero que no seais muy duros en las críticas de mi primera publicación.

convert this post to pdf.

	0	1	2	3	4	5	6	7	8	9
0	05	01	03	02	01	02	04	03	05	04
10	00	00	00	00	00	02	00	00	00	00
20	02	03	03	00	00	01	01	04	04	05
30	02	03	03	01	06	04	04	05	05	00
40	00	00	05	01	02	03	04	08	08	05
50	05	05	05	04	04	05	05	00	00	00
60	06	06	06	06	06	07	08	08	06	06
70	07	07	09	08	07	07	07	08	08	08
80	08	07	07	08	08	08	08	07	07	07

	0	1	2	3	4	5	6	7	8	9
0	05	01	03	02	01	02	04	03	05	04
10	00	00	00	00	00	02	00	00	00	00
20	02	03	03	00	00	01	01	04	04	05
30	02	03	03	01	06	04	04	05	05	00
40	00	00	05	01	02	03	04	08	08	05
50	05	05	05	04	04	05	05	00	00	00
60	06	06	06	06	06	07	08	08	06	06
70	07	07	09	08	07	07	07	08	08	08
80	08	07	07	08	08	08	08	07	07	07

	0	1	2	3	4	5	6	7	8	9
0	05	01	03	02	01	02	04	03	05	04
10	00	00	00	00	00	02	00	00	00	00
20	02	03	03	00	00	01	01	04	04	05
30	02	03	03	01	06	04	04	05	05	00
40	00	00	05	01	02	03	04	08	08	05
50	05	05	05	04	04	05	05	00	00	00
60	06	06	06	06	06	07	08	08	06	06
70	07	07	09	08	07	07	07	08	08	08
80	08	07	07	08	08	08	08	07	07	07