DisidentS Team

Control de menores, aquí si, allá no.

noukeys — Sat, 28 Aug 2010 16:13:37 +0000

Caliente video, ¿no?

Me ha llamado la atención que youtube califica este vídeo como no apto para menores y desde su página necesitas confirmar tu edad para verlo, pero, si embebemos el video en una web (por ejemplo esta) no hay ningún tipo de control.

El contenido continua alojado en youtube, ¿deberían controlar el acceso?; ¿deberíamos hacerlo nosotros?

El debate queda abierto xD

convert this post to pdf.

Google Pacman!

dudu — Wed, 30 Jun 2010 18:10:00 +0000

Aloha!

como me parecio genial la idea de google de poner el pacman en su aniversario, rebuskando por varios sitios,

y con un minimo de trabajo, aki esta el GOOGLE PACMAN!

Que lo disfruteis!

Es un HTM con su corresponiendo jS.

Poka cosa, pero entrañable!

Ah las instrucciones es tener un servidor web instlado i soporte de javascript… poca kosa no?

Si no teneis nada de lo anterior, descargar e instalar apache q es libre

Link para descargar aquí.

convert this post to pdf.

Suplantación de identidad en comentarios de WP

noukeys — Thu, 24 Jun 2010 15:45:21 +0000

Mirando el blog de un amigo, me ha dado por registrarme y toqueteando me he dado cuenta de una cosa muy curiosa.

1.- Creo mi perfil noukeys y, como vemos en estas imágenes y escribo un comentario.

2.- Bueno hasta hay todo normal. Pero, ¿que pasa si cambiamos ciertos campos en nuestro perfil? Vamos a ver . . .

Pues el efecto óptico es muy bonito, parece que el admin nos esta dando la bienvenida!.

¿Suplantación de identidad?

¿Debería WP limitar ciertos nombres en ciertos campos?

¿Podemos considerarlo un fallo de seguridad?

Prefiero no pronunciarme, pero el efecto es cuanto menos curioso …

Un saludo y hasta el próximo _POST

convert this post to pdf.

hacking a university web at the university

noukeys — Sat, 29 May 2010 16:04:38 +0000

Un chico de españa mostrando en una charla en la universidad los fallos en la web de la misma.

Audio un poco malo, sorry

En breve actualizare el post con los videos que se muestran en la conferencia

convert this post to pdf.

Aumentando la velocidad de la ADSL

dudu — Thu, 06 May 2010 16:58:50 +0000

Bueno, esto sera una chorrada…. o No,

porque funciona en todas las ADSL que llevo probadas y van casi 20 .. XDD.

Si teneis contratadas 6 Mb, y os llegan 6Mb, dejar de leer…

pero si teneis contratado 6Mb y os llegan 3 … o cualkier velocidad i os llega MENOS de lo q deberias por distancia, ruido etc… etc…. podeis probar lo siguiente:

Hacer un NUDO SIMPLE al cable de la adsl del lado del ROUTER, y volver a linkar y comprobar como teneis una ADSL mas rapida Saludos

P.D. Ya se que la foto es de un cable de RED, no de telefono, pero os haceis a la idea del nudo jejeje

convert this post to pdf.

Tutorial Trainer para DrugLord 2.2 by Krozmic

krozmic — Mon, 03 May 2010 01:45:06 +0000

Bueno… este es mi primer tute… y no se como empezar… jeje vamos por partes no?

Imagen del juego:

Este es el juego… para que vean que no es un juego de esos en 3d y que tiene todos los chiches…este es así a lo sencillo…

El juego trata de ser vendedor de drogas… Un juego al estilo Oferta – Demanda… compras droga barata y lo vendes cuando sea cara…

Bueno.. como yo siempre lo juego y mi hermano también.. sabemos bien como funciona… el juego solo tiene 55 días máximo de juego… Para los que piensen.. NO es una protección de tiempo…es 55 días juego…

Como les decía.. quisimos jugar mas días.. tener mas dinero para comprar droga… y tener mayor capacidad para almacenar dicha droga…

Me dije.. “Hummm aprendería mas sobre el reversing haciendo esto…. y AHHH también aprendí a programar… Pues bueno.. Intentemoslo…”

Y ahora lo intentaremos…

– BUSCANDO DATOS IMPORTANTES…

Bueno.. ahí les señale lo que necesitamos… “Day: 2/30” , “Cash: 434” y “Your pants pocket (2/10)”

Como ven ya jugue dos dias… gaste mi dinero para comprar el “Pot” y en “Your pants…” tengo mis dos unidades, kilos, bolsas o lo que sea de Pot…

Si.. ya lo tenemos todo…

– ACLARACIONES o OBSERVACIONES…

Esto les muestro porque se como va el juego.. y para aclarar cualquier duda…

El juego tiene unos rankings… subis de ranking cuando ya tienes 1.000.000 de dolares etc etc y te da 5 dias mas de juego, te aumenta la capacidad y todo lo demas…aquí les dejo los rankings… que nos ayudaran para despues….

Ranks

You can have one of six ranks at any give time:

Wannabe

Cash Required: $0

Carrying Capacity: 10 units

Container: pants pocket

Small-time Operator

Cash Required: $5,000

Carrying Capacity: 25 units

Container: coat

Dealer

Cash Required: $40,000

Carrying Capacity: 100 units

Container: black Trans Am

Big-Time Dealer

Cash Required: $300,000

Carrying Capacity: 600 units

Container: converted milk truck

Distributer

Cash Required: $2,500,000

Carrying Capacity: 3,500 units

Container: warehouse

Drug Lord

Cash Required: $15,000,000

Carrying Capacity: 20,000 units

Container: island paradise

Ya…. Bueno ahora que viene…

Ah cierto.. debugear el juego…

– EL DEBUG DEL JUEGO….

Primero primero lo escaneamos con el RDG…

Bueno dice archivo sospechoso y bla bla.. no me interesa…

Pero no hay nada de packer y todo eso…

Depuremolo de una vez…

caemos aquí…

que le hago, que le hago.. si no se entiende un huevo…

Hey cierto… ver los text string y si no hay nada las apis comunes que siempre usamos…

Text String Primero:

huuuuuuuuuuuuu… millones… seguro hay alguno que nos sirve…

y seguro que hay millones de apis…

pero se me ocurrio algo…. en dias decia… “Day:1/30”

intentemos buscando la constante 30 en el debug.. en hexa es igual a “1E”

Click derecho sobre el debug > search for > Constant..

le ponemos el 30 en decimal o el 1E en hexa… Aceptamos

y paramos en….

Y si.. no me digan nada.. ahi tenemos una api… pero llegamos de otra forma… asique

EXPERIENCIA+1

Sigamos….

Ponemos una Bp sobre PUSH 1E… damos run… paramos de vuelta…

Traceamos un poco… y llegamos 00406011 MOV DWORD PTR DS:[42AD74],1E

osea que mueve los “30” a esa pocicion de memoria…

Ven…

bueno… para probar podriamos, no se.. modificar ese byte… por otro para probar si sale mas dias….entonces…

y cambia 1E por FF… que son…255…

damos run y nos fijamos…

y si.. son 255 dias…volvemos a donde estabamos y anotamos la posición de la memoria donde esta alojado el 1E…

[0042AD74]

Bien… ya tenemos los dias…

Ahora el cash…

Bueno cuando empezamos el juego.. tenemos 1,990 dolares y una deuda de 1,150…lo de la deuda lo dejamos… total cuando tengamos 1millon de dolares ni vamos a sentir esa deuda..jiji

Ahora.. como procedemos…

Lo que podriamos hacer es… poner un Bp en SendDlgItemMessageA y buscar y buscar hasta encontrar el indicado… Asi como lo hice yo… pero ya me olvide… asique eso lo pueden hacer ustedes…

bueno… la verdad que no me acuerdo de donde estaba, como y porque…

pero encontre que el primer cash que se agrega es 2,000 dolares y no 1,990.. seguro que es por los

impuestos, gasto por el carne de vendedor de drogas.. que se yo…

lo que si que cuando vimos donde se movia los dias a la memoria… mas abajito este el del cash…

si ven.. dice… 00406044 MOV DWORD PTR DS:[42ACE0],7D0

mueve 7D0 que son los 2000$ a esa pocicion de la memoria…

probamos de vuelta…

vemos en la memoria… osea en el dump y vemos

ahi esta el 7D0 alrevez… (Odio que siempre lo ponga al revez..me marea. y peor si estoy con resaca)

bueno ya saben como modificar los bytes… agarramos los dos y ponemo fill con FF`s si salio tiene que aver FF FF

pero cuanto dinero seria esto… para saber claro si salio o no… calculadora y son… 65.535 $

damos run y miramos el cash…

y practicamente nos faltan los 10$… pero no me importa.. a mi por lo menos 10$ en el juego no me interesa… si voy a ser rico…

bueno… ya sabemos que hacer… anotar la pocicion de la memoria donde esta alojado el cash…[42ACE0]

ya tenemos el cash.. luego le agregaremos lo que queremos de dinero…

Ahora lo que mas cuesta… la capacidad…

como vieron al comienzo donde estaban los rankings… se ve que hay 6 tipos de capacidades…

Wannabe

Carrying Capacity: 10 units

Small-time Operator

Carrying Capacity: 25 units

Dealer

Carrying Capacity: 100 units

Big-Time Dealer

Carrying Capacity: 600 units

Distributer

Carrying Capacity: 3,500 units

Drug Lord

Carrying Capacity: 20,000 units

y bueno.. si le modificamos al comienzo.. una capacidad de 10unidades por una capacidad de 15000unidades cuando subamos de ranking tendremos de vuelta 25 unidades de capacidad y asi sucesivamente… osea que hay que pescarlos a todos y modificarlos…

bueno… no me van a creer pero me olvide tambien como llegue ahi… haremos algo rapidito….

si tienen el GREATISWINDOWSE… pues ejecutenlo…

ejecutemos el juego tambien…

y veamos…

Bueno si tenemos el windowse y el druglord abiertos ponemos nuestro cursor sobre el (0/10) de Your pants pocket y nos fijamos en el windowse donde dice..

Control ID 000001FB

nos acordamos del numero ese y cerramos el windowse y el juego…abrimos de vuelta el juego con el Olly y damos click derecho> search for> constant y ponemos lo del control id que vimos recien….

y el olly nos tira aquí…

si ven … un chiqui mas arriba dice ASCII “Your %s (%d%d)”… osea que es eso.. y que estamos muy muy cerca….

que tal si le ponemos unas Bp un poco mas arriba para tracear….

lo pueden poner en 00402998 MOV EBX,EAX

dan run.. y paran y tracean…

Llegamos a 004029CA el primer Bp de la imagen de arriba…. compara EBX con una dato de que

esa direccion…

que es un 0A… osea 10decimal… que es nuestra primera capacidad.

Pero bueno traceamos un poco mas y llegamos al segundo Bp de la imagen de arriba… el 00402A0E y vemos que mueve el 0A que esta en la direccion de la memoria a EAX…

nos fijamos en el esa direccion el el dump y modificamos el 0A por FF para ver si cambia o no…

ya saben como se hace.. y no lo repetire… no pega copiar y pegar imagenes…. aparte ya lo tienen que saber a estas alturas…

bueno… ya le modificamos por los FF y damos run para mironear…

Y si.. ahi estan los 255 que era el FF que modificamos…

volvemos…. anotamos la direccion… 004230F0

como les dije.. ahora falta pescar a las otras 5 capacidades…

dejamos los Bp como estan… ahora a jugar para pescarlos…

(pero si hay que dominar el juego para subir de ranking… algo mas facil???)

bueno.. ya que anotaron donde estaba alojado el cash.. vamos a modificarlo de entrada para que los rankings pasen rapido…

reiniciamos el olly…

hacemos goto a 00406044 donde ingresaba el 2000$

y modificamos el D0 07 del dump por haber humm… para el ranking de druglord necesitamos

15.000.000 de $

asique… le agregaremos 20.000.000 de $

bueno.. 20millones en hexa es … 1312D00

y como les dije que me marea ponerlo alrevez… me programe un programita que te da la vuelta los

numeros (litle endian-big endian) para que los escribas en el dump…

Ahi lo tenemos… me automatice el problema… asique le modificamos al D0 07 por 00 2D 31 01

queda entonces asi..

y bueno Bp puestos… dinero puesto.. damos run y vemos que tenemos 19millones y pico…

ahora le damos en STAY HERE y nos para el olly…

nos fijamos que capacidad esta pasando…

volvemos a dar run… STAY HERE … para… miramos… run.. STAY HERE … para… miramos…hasta que tengamos estos valores

Carrying Capacity: 10 units este ya lo tenemos el 0A en hexa

Small-time Operator

Carrying Capacity: 25 units este es 19 en hexa

Dealer

Carrying Capacity: 100 units este es 64 en hexa

Big-Time Dealer

Carrying Capacity: 600 units este es 258 en hexa

Distributer

Carrying Capacity: 3,500 units este es DAC en hexa

Drug Lord

Carrying Capacity: 20,000 units este es 4E20 en hexa

esos valores en hex tienen que pescar… y anotar en que direccion de memoria estan…

yo les pongo aquí debajo…

el capacidad 25 esta en 423118 “19″

el capacidad 100 esta en 423140 “64″

el capacidad 600 esta en 423168 “258″

el capacidad 3500 esta en 423190 “DAC”

el capacidad 20000 esta en 4231B8 “4E20″

ya tenemos todo…

- RECOMPILACION DE NUEVOS DATOS

Dirección de donde se aloja los días [42AD74]

Dirección de donde se aloja el cash [42ACE0]

Dirección de donde se aloja la capacidad 10 decimal 0A hexa [4230F0]

Dirección de donde se aloja la capacidad 25 decimal 19 hexa [423118]

Dirección de donde se aloja la capacidad 100 decimal 64 hexa [423140]

Dirección de donde se aloja la capacidad 600 decimal 258 hexa [423168]

Dirección de donde se aloja la capacidad 3500 decimal DAC hexa [423190]

Dirección de donde se aloja la capacidad 20000 decimal 4E20 hexa [4231B8]

ya esta todo…

ahora…

- PROGRAMACION DEL TRAINER

Les dejo el código fuente en la capeta porque si les pego aquí se hará un caos.. y ustedes entenderán menos…

asique fíjense en la carpeta…

el código fuente tiene comentarios para que vean…

también les dejo en la carpeta el programita ese que da vuelta los números para ponerlo en el dump..

para los mas newies claro.. porque el resto de ustedes la dominan todo…

Con esto me voy despidiendo…

Bajar fuentes, complementos y juego:

OllydumpFORMAT druglord DrugLTrainer

convert this post to pdf.

md5 search function

noukeys — Sun, 28 Mar 2010 11:25:49 +0000

Muchas veces programamos chorraditas rápidas, que pueden llegar a ser muy útiles. Pues creo que la que aquí presento puede ser una de estas, es una función en python que búsca su f, dada su imagen f’.

La he utilizado para hacer una auditoría a un fichero con más de 30.000 imágenes y la verdad, los resultados han sido positivos.

He renombrado el ficherito a .txt para poder subirlo.

md5_cracker

import urllib

__id__ = “$Id: md5_cracker.py 2010-03-28 13:13$”
__version__ = “$Revision: 0 $”
__date__ = “$Date: 2010-03-28 13:13:51 +0100 (San, 28 Mar 2010) $”
__author__ = “noukeys reverser (noukeys@gmail.com)”
__copyright__ = “Copyright 2010+ noukeys”
__license__ = “GPL”
__URL__ = “http://www.reversing.es”

#Busca un hash en diversas webs conocidas.
def md5search(hash):

find = ”;

#busqueda:
try:
if find == ”:
f = urllib.urlopen(“http://gdataonline.com/qkhash.php?mode=txt&hash=” + hash.strip(‘\t\n’))
for line in f.readlines():
if (line.find(‘’) != -1) and (line.find(‘????’) == -1):
line = line.partition(’35%”>’)
line = line[2].partition(‘’)
find = line[0]
except:
pass

#busqueda
try:
if find == ”:
params = urllib.urlencode({‘pass’: hash.strip(‘\t\n’), ‘option’: ‘hash2text’, ‘send’: ‘Submit’})
f = urllib.urlopen(“http://md5online.net/”, params)
for line in f.readlines():
if line.find(‘pass :’) != -1:
line = line.partition(‘s : ’)
line = line[2].partition(‘’)
find = line[0]
except:
pass

#busqueda
try:
if find == ”:
params = urllib.urlencode({‘term’: hash.strip(‘\t\n’), ‘crackbtn’: ‘Crack+that+hash+baby%21′})
f = urllib.urlopen(“http://md5crack.com/crackmd5.php”, params)
for line in f.readlines():
if line.find(‘Found’) != -1:
line = line.partition(‘(“‘)
line = line[2].partition(‘”)’)
find = line[0]
except:
pass

#Resultados
return find.strip(‘\t\n’)

#P.O.C.
print md5search(’084e0343a0486ff05530df6c705c8bb4′)

convert this post to pdf.

Jugando con Samepage Merging

spark — Fri, 19 Mar 2010 00:19:42 +0000

Hola audiencia de disidents, hoy les voy a contar un poco sobre una cualidad que tienen ciertos entornos de virtualizacion, la cual podemos aprovechar para detectar los mismos.

El método que propongo esta basado en timing analysis, pero no sobre el tiempo de ejecución de determinadas instrucciones, sino que sobre los tiempos de acceso a memoria. Se han utilizado técnicas similares para detectar VMMs (incluyendo VT). Un método conocido es medir el tiempo de acceso a memoria con cache on/off, por lo general el VMM no permite desactivar el cache, entonces si ambas mediciones dan resultados similares significa que estamos dentro de un entorno virtual.

A diferencia de esa técnica, la manera que he encontrado no requiere ring0 y además es bastante sencilla. Claro que tiene ciertas limitaciones, no sirve para detectar cualquier VM, solo aquellas que implementen samepage merging (hasta ahora solo hice pruebas con KVM-KSM y VMware).

Supongo que tendré que explicar un poco en que consiste esto del samepage merging (desde ahora SM porque soy vago). El SM esta muy relacionado con el CoW (Copy on Write). Básicamente se trata de un thread que periódicamente recorre la memoria y une todas las páginas cuyo contenido es exactamente el mismo. Una vez unidas las páginas, el resto del proceso es exactamente un CoW, se comparte la misma page frame y se marca la página como read-only, cuando se intenta realizar una escritura, el manejador de excepciones se encarga de asignar una nueva página.

Este tipo de estrategia es bastante costosa por lo que no se suele utilizar sobre toda la memoria del sistema operativo. Sin embargo es muy tentador utilizarla en entornos virtualizados ya que se ahorran cantidades considerables de ram, el beneficio es máximo cuando se corren varios guests simultanea-mente.

En linux disponemos de KSM (Kernel Samepage Merging), este se puede activar y desactivar en el vuelo. Cualquier versión reciente de KVM saca provecho de KSM si se encuentra activado. La idea original sobre este tipo de tecnologías parece pertenecer a VMware y al parecer hubo ciertos problemas de patentes con KSM, lo importante a destacar es que si podemos aprovecharnos de KSM seguramente también podemos hacerlo de VMware.

Ya con todo esto un poco explicado, algunos deben estarse preguntando que pasaría si medimos los tiempos de acceso a memoria antes y después de que el KSM (o VMware) actue sobre la memoria del guest. Es justamente lo que vamos a averiguar

Ver código fuente smdetect.cpp

Ahora se compila con: g++ -O3 smdetect.cpp -o smdetect
Funciona tanto en linux como en windows (mingw).

Ahora unas gráficas con los resultados en distintos entornos:

Las gráficas corresponden a 10 ejecuciones de smdetect por cada entorno. Si todo fuera perfecto deberían ser lineas horizontales, pero factores externos como la carga del sistema hacen variar bastante los resultados.

Se puede apreciar una diferencia notable entre los casos donde no hay VMM y en los que la hay. Un caso curioso se da con OSX, donde la diferencia es apenas un 100% estando más cerca de los resultados donde no hay VMM. Incluso en una prueba llego a dar ~30% lo cual lo hace un target muy dificil de detectar.

Mirando las gráficas y sin considerar OSX, podriamos establecer un umbral de 150% para la detección. Incluyendo los datos de OSX he decidido utilizar un 98%, aún asi pueden darse falsos negativos en OSX y un umbral tan bajo podría llegar a dar falsos positivos si se dan ciertas condiciones.

Conclushion!

Tenemos un nuevo método, que si bien no es 100% confiable, puede ser utilizado de forma práctica y es posible refinarlo mucho más. Una posibilidad es la utilización de heurísticas para ajustar el umbral en función a información sobre la carga del sistema. Otro tema pendiente es la enorme espera que hay que realizar entre mediciones, pero esto no creo que sea un impedimento para muchos autores de malware…

Aquí se acaba

erg0t

http://www.48bits.com/

convert this post to pdf.

F1 Directo Imagenes

dudu — Tue, 09 Mar 2010 09:07:30 +0000

Bueno alguna captura del prog anterior !

convert this post to pdf.

F1Directo

dudu — Mon, 08 Mar 2010 18:27:01 +0000

Aqui os dejo un programa freeware para el que le kiera dar uso jeje

Empezo en una tipica mañana lluviosa en la que no habia ganas de salir de casa,

y a picar codigo

[DsD] Dudu

Aqui os dejo en link: f1directo

Que lo disfruteis!!!

:mm vindo los entrenos esta mañana, me he dado cuenta de que autosport, NO muestra la tabla de tiempos en estos entrenamientos… esperare a la siguiente sesion, sino los da, cambiare de pagina de datos por la de thef1. A ver si la tuviera lista para los entrenos de mañana sabado :O

convert this post to pdf.