Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Még mindig shellt nyomtatnék

2010.09.30. 15:32 | buherator | 8 komment

Nos, sikerült valamelyest előrelépnem az MS10-061 témájában, a következő a helyzet: Végigcsináltam a Carsten Köhler-féle mókát, és vagy elbénáztam valamit, vagy nem működik a dolog. A spéci nyomtatódriverem szépen betöltődik és le is futtatja a notepad.exe-t (nem is egyszer...) de mindig a nyomtatót installáló, ill a nyomtatást elindító felhasználó nevében. Teszteltem zsírúj XP SP0-n, úgy hogy éppen csak az MS10-061 volt fent, és úgy hogy egy frissítés sem hiányzott, az eredmény mindhárom esetben azonos.

Akinek van tippje, ne tartsa magában! 

Címkék: windows ms10 061

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

domi007 2010.10.02. 00:21:24

Nem lehetséges, hogy a Windows valamilyen agymenése miatt véletlenül a te gépeden a spooler helyi felhasználói jogokkal fut?

buherator · http://buhera.blog.hu 2010.10.02. 11:34:33

@domi007: SYSTEM-ként fut a teszt rendszeren is.

GHost (törölt) 2010.10.02. 12:09:33

@buherator: És az nem elég jó neked?
Azért amit systemként nem tudsz az nincs is

buherator · http://buhera.blog.hu 2010.10.02. 12:13:52

@GHost: A posztban is írom, hogy a betöltött driver által ShellExec-el indított program nem SYSTEM-ként, hanem a drivert betöltő felhasználó (esetünkben limited xp user) jogkörével fut le.

sghctoma · http://sghctoma.extra.hu 2010.10.03. 14:18:05

megneztem en is, a watermark-os peldat alapul veve.. nyomtataskor a nyomtatast indito program tolti be a dll-t, igy a ShellExecute a progit indito user jogosultsagaival fut..

ok, ez eddig semmire nem jo.. de ugye eddig a ket altalunk kiszolgalt dll kozul egynek (wmarkps.dll) egyetlen exportalt fuggvenyet (DllMain) neztuk meg.. driver forditasa verbose logging-gal, DebugView inditasa, nyomtatas.. semmi, minden debug uzenet a nyomtatast indito processzbol jon..

tehat nyomtatassal nem tudunk SYSTEM-hez jutni*, mi a helyzet a telepiteskor? halozati nyomtato torol, ujra hozzaad, kozben DebugView kimenetet figyel.. hohoo, rakas debug uzenet a spoolsv.exe processzbol :) harom cpp-bol jonnek az uzenetek:

wmarkui\interface.cpp
wmarkui\dllentry.cpp
common\devmode.cpp

szoval ezek valamelyikebe kell pakolni a malicsusz (megtetszett a szo, meg konnyebb is leirni, mint az eredetit :) ) kodunkat.. en a wmarkui DllMain-jebe tettem egy ShellExecute-ot, jutalmam: egy kalkeksze sima user-rel, plusz ketto SYSTEM-mel..

ami a legyonyorubb az egeszben: fullra peccselt XPSP3-mal is megy!!

* illetve ez nem biztos, lehet, hogy van olyan fuggveny, ami nem irkal a debug outra, nem neztem meg..

buherator · http://buhera.blog.hu 2010.10.03. 14:30:27

@sghctoma: Nayon kösz, hogy megnézted, akkor nálam lesz a hiba...

Annyi különbséget látok kettőnk eljárása között, hogy én a wmarkps (és nem az ui) DllMainjét módosítottam, és telepítésnél nálam is felbukkant a néhány notepad (én azt indítottam...), de mindegyik limited userrel...

"ami a legyonyorubb az egeszben: fullra peccselt XPSP3-mal is megy!!" - ez azt jelenti, hogy MS10-061 után is? Ez igazolná azt az elgondolásomat, hogy a két probléma nem azonos eredetű.

sghctoma · http://sghctoma.extra.hu 2010.10.03. 14:47:39

csak abban a harom cpp-ben levo kod fut le a spoolsv processzben, a wmarkps\dllentry.cpp nincs koztuk, az csak a nyomtatast indito user jogosultsagaival fut, ezert kaptal limited user-es notepad-et..

igen, MS10-061 utan is.. es igen, ennek nincs koze az MS10-061-hez, de Kohler nem csak ezt az egy tamadast irta le a cikkeben.. a "Use A Shared Printer to Copy Data to the Target System" cimu fejezet foglalkozik azzal, amirol az MS10-061 szol..

buherator · http://buhera.blog.hu 2010.10.03. 14:57:00

@sghctoma: Ahh, így már minden világos! Arról a fejezetről valahogy teljesen megfeledkeztem, pedig még olvastam is annak idején... Akkor asszem elkezdek összedobni még egy posztot a témában, amiben leírom azt is, hogy hogyan használták ki a fájlírást kódfuttatásra.

Még egyszer köszi!