Перейти к содержанию
  • записей
    88
  • комментарий
    91
  • просмотра
    5883

О блоге

 

 

Записи в этом блоге

 

Книги

Немного обновил и упорядочил книги из личного хранилища, может кому пригодятся. (Возможно это считается за пиратством, так что ссылку буду выдавать в личных сообщениях, на форуме или в дискорде) В архив входят:  

partoftheworlD

partoftheworlD

 

История о том, как я для юнити писал автосплитер

Начнем с того, что теперь я ненавижу юнити, так, что моей ненавистью можно питать пару крупных городов еще и останется.
Проблема возникла с тем, что у игры есть свои значения проверяющие загружена игра или нет, но получить к ним доступ через указатель оказалось невозможным. Перепробовав около 50 разных способов и потратив 1.5 недели, решил залезть в управление памятью юнити, возможно что-то интересно окажется там. Доков и исходников нет и поэтому - Реверсим, реврсим, вертим крутим и делаемся всякие непотребства с памятью и...   Бам, оказалось( возможно это чистое совпадение), но UnityPlayer использует статические адреса для "работы" с CFG.
CFG/CF это Control Flow Guard -  механизм защиты Windows, нацеленный на усложнения процесса эксплуатации бинарных уязвимостей в пользовательских и ядреных приложения.   Сам механизма проводит валидацию неявных вызовов, предотвращающая перехват потока исполнения, например переписывая таблицы виртуальных функций. Именно этим мы и воспользуемся, но для начала найдем максимум информации о CFG и его внутреннем устройстве.   Итак, когда игра не загружена то, адреса должны указывать на статические данные внутри UnityPlayer.dll, но после загрузки игры выделяться, например в куче. Зная это, можем приступать к поиску. В итоге нашелся статический адрес указывающий на старшую часть указателя, который работает с CFG, когда игра находится в меню или загружается, то старшая часть равна 7FFX( X - значение от 0 до F), но когда игра загружена, то значение меняется на адрес кучи. Что-то типа: Static - 7FFFDEADBEEF Heap   - 01EFDEADBEEF   Значит берем старшую часть, уменьшаем её для более простого сравнения используя:
  value & 0xFFF В итоге, получаем значение которое можем засунуть для проверки в автосплитере, если игра не загружена, то значение равно от 4080 до 4095, но если игра загружена, то значение меньше 600, но на всякий случай, я указал:   value < 4080   И на этом все, на все про все у меня ушло где-то 2.5-3 недели, просто чтобы узнать состояние игры. В общем, было интересно и стало более понятно как юнити работает с памятью. 
Желаю всем подобных заданий, это ведь интересней, чем патрончики накручивать.

partoftheworlD

partoftheworlD

 

[Ghidra] Правка вывода декомпилятора

Небольшая заметка.
В общем давняя проблема была со значениями при декомпиляции, а именно они просто не отображались и вывод декомпилятора выглядел вот так: fVar12 = (float)uVar3 * (float)0x2f800000 * FLOAT_142ab7340; а нам нужно: fVar12 = (float)uVar3 * (float)0x2f800000 * 6.28318548; Это возникает только при анализе дампов, когда гидра считает, что адрес по которому лежит значения является динамическим, поэтому брать на себя ответственность за неправильный вывод гидра не хочет и предоставляет нам адрес. Чтобы поправить вывод, необходимо указать, что этот адрес и значение в нем являются константой. Для этого надо перейти по адресу со значением, ПКМ по значению, Data -> Settings -> Mutability = constant.
    Теперь мне кажется, что гидра еще более сложный инструмент, чем ида.😄

partoftheworlD

partoftheworlD

 

[Writeup] TraineMe by Xipho

(С сегодняшнего дня все статьи будут идти в 2-х экземплярах, постом в блоге и в pdf версии, чтобы скрины в случае чего не полетели) Прошла уже неделя с момента релиза TraineMe, думаю все кто хотел уже поковыряли программу и уже пора выпустить решебник. Итак начнем. Используемые программы: Ghidra, CE. x64dbg, CherryTree.(Гидра была выбрана по 2-м причинам, первая она мне больше нравится, а вторая декомпилятор с этим файлом у гидры генерировал более понятный код, чем hex-rays.) Задание 1 m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,0); m_fnEncodeValue(this ,param_2,m_fAttack ,AllocatedMemory,1); m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,2);   Здоровье передается в функцию m_fnEncodeValue в hex 1000.f = 0x447A0000 линия 1 и 3

Реверсим...Ставим бряк по адресу TraineMe.0+12E6  в x64dbg: bp TraineMe.0+12e6 Чтобы узнать, что лежит в регистрах и сделать код в функции m_fnEncodeValue более читаемым. После восстановления видим, что существует 2 массива для работы со здоровьем с общей структурой т.е.: PlayersArray[idx * 4] = KeysArray[idx * 4] ^ m_fLoadedHealth
Сам ключ вычисляется довольно просто: srand(time64(0)) //Задаем seed для последующей генерации "рандомных" чисел с помощью rand() m_wPseudorandom = rand() KeysArray[idx * 4] = (m_wPseudorandom + (m_wPseudorandom * 0x93275ab3) >> 0x3f) * 0xdeadbeef + 1   Обратите внимание на код, который был показан выше, а точнее на последний аргумент: m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,0); m_fnEncodeValue(this ,param_2,m_fAttack ,AllocatedMemory,1); m_fnEncodeValue(this ,param_2,m_fHealth ,AllocatedMemory,2);
0, 1, 2 указывает на используемый индекс в структуре, которая была выделена во время нажатия кнопки “Start Game” 0 - текущее значение 1 - урон (???) 2 - статичное значение, скорее всего максимальное значение здоровья
Эти значения могут пригодится для одного из способов создания бессмертия. Немного о выделении памяти, в этом traineme существует 2 основных выделения памяти под структуры на 48 и 24 байт. Все основные вычисления проводятся в той что по-больше.
Задание 2

Выполнив первое задание, мы без проблем можем обнаружить единственную нужную инструкцию.  
После быстрого анализа кода с помощью трассировок, найти участок кода, где здоровье вычитается(а на деле прибавляется.), не составит труда. А теперь вспомним о значение 50, которое мы находили в первом задании. Весь алгоритм вычисления урона:   srand(time64(0)) damage_multiplier = rand() / 32767.00000000 //приводим множитель к 1 damage = 50.f * damage_multiplier ^ 0x80000000 // 50.0 * 0.67 = 33.5 ^ 0x80000000 = -33.5 // // Загружается и расшифровывается значение здоровья (health) // health += damage //1000.0 += -33.5 damage = 0 damage_multiplier = 0 Задание 3
Довольно сложное задание, для тех, кто никогда/мало работал с GDI, поэтому ответ есть в этом видео:
01. Основные графики Windows. Изучаем GDI. Pen, Brush, Rectangle.   Ну и табличка прилагается. TraineMe.CT RE--TraineMe.pdf

partoftheworlD

partoftheworlD

 

Субтитры в UE3/4

FText является классом, для каждого субтитра устанавливается свое время отображения.      

partoftheworlD

partoftheworlD

 

Экономия времени при реверсе за счет вычислений энтропии

В зависимости от энтропии, мы можем с ходу определить какие утилиты нам понадобятся, для примера возьмем игровую дллку. Возьмем файл из каталога и проверим энтропию:
      Обычно энтропия выше 2-3 указывает на то, что файл накрыт чем-то и не подходит для статического анализа, из-за того, что будет попадаться мусор, куски нерабочего кода и отсутствие перекрестных ссылок, проделаем тоже самое, но уже с дампом этой же дллки.

    Как видите, энтропия стала меньше, а линия стала более ровной, это означает, что файл готов к использованию и во время реверса не возникнет никаких проблем.

partoftheworlD

partoftheworlD

 

Radare2 Эмуляция кода

Глава 0. Пролог   В общем в прошлой статье слетели картинки, да и статья не особо понравилась, вот её переписанная и обновленная версия. Место действия – терминал, в главных ролях – radare2, отлаживаемая программа.   Глава 1. Настройка окружения ESIL e asm.emu=true - Run ESIL emulation analysis on disasm e io.cache=true Глава 2. Настройка эмулятора Тут достаточно простой список команд: aei – инициализирует состояние виртуальной машины aeim – инициализирует стек aeip – устанавливает EIP по текущему положению в коде после всех этих команд в регистрах выставились адреса ebp, esp, eip.   Остальные регистры устанавливаем с помощью команды aer, значения обычно берутся из отладчика, но можно выставить любые. aer eax = 00000004;aer ebx = 0x17426e8;aer edx = 00000004;aer edi = 0x05e4830;aer tf  = 1;aer if  = 1;   Для пошагового выполнения кода используем aes, я обычно использую такую связку, чтобы получать необходимый минимум информации: pd -1 @ eip; aer=; aes но если кому так не удобно, есть возможность использовать визуальную отладку используя команду V!   Глава 3. Тест   Попробуем отладить код из дампа и посмотреть, что там вообще происходит.     Глава 4. Эпилог   Как видите, все достаточно просто, плюс поддерживается для эмуляции туева хуча архитектур. Так же это быстрее, чем поднять qemu или использовать реальное железо, плюс поддержка скриптов радара делает из эмуляции достаточно мощный инструмент для статической отладки и анализа кода.  

partoftheworlD

partoftheworlD

 

Немного о том, почему я люблю radare2

Покажу на примере кода по расшифровке строк, ничего особенного, просто xor шифрование, вроде бы все и понятно, но так не хочется вручную восстанавливать. А декомпилятор в x64dbg ужасен.
  И что же в таком случае делать? Воспользоваться radare2. Просто выделяем функцию, записываем её в файл и отрываем этот файл в r2.
Теперь определяемся что нам нужно из этого кода? Например, регистр cl. Пишем такую команду: pdc~cl Читается как:  pdc - pseudo disassembler output in C-like syntax ~ - grep cl   Хоба, и видим алгоритм расшифровки: [0x00aa93b0]> pdc~cl cl = bl cl ^= dl byte [rdi + rax + 1] = cl cl = bl cl ^= byte [rsi + 0x12c66dc] byte [rsp + rax + 0x1d] = cl cl = bl cl ^= byte [rsi + 0x12c66e0] byte [rax + rbp + 3] = cl cl = bl cl ^= dl byte [rsp + rax + 0x1f] = cl     Это не совсем декомпилятор, просто вывод дизассемблерного кода в удобно читаемом виде.  Код целиком.    

partoftheworlD

partoftheworlD

 

Приключение Wireshark в мире USB

Решил тут сделать кастомные пресеты для подсветки, но в софте производителя такой возможности не было, были стандартные, ограниченные. Как же я не люблю ограничения, ну что ж...приступим к исследованию.   Для начала необходимо понять как софт общается с клавиатурой, для этого запускаем Wireshark. При изменении яркости, происходит отправка пакета по USB.     Отлично, это уже что-то. Выполним еще пару действий, чтобы сделать шаблон для данных. //Стандартные настройки : 11 ff 0c 3a 00 01 ff 00 00 02 00 00 00 00 00 00 00 00 00 00 //Изменение яркости : 11 ff 0c 3a 00 01 f5 00 00 02 00 00 00 00 00 00 00 00 00 00 //Включение пресета : 11 ff 0c 3a 00 02 ff 00 00 10 40 00 64 00 00 00 00 00 00 00 //Изменение скорости пресета: 11 ff 0c 3a 00 02 ff 00 00 05 c7 00 64 00 00 00 00 00 00 00 Открываем 010 Editor и делаем шаблон.     Шаблон:   Шаблон можно будет использовать для программирования клавиатуры. Для программирования будем обращаться по имени HID устройства, чтобы с помощью CreateFile получить хендл и общаться с клавиатурой. Не самый лучший способ, но быстрый, хотя я бы выбрал хуки. Все есть файл. (ну почти) Посмотрим под отладчиком, что говорит софт логитека клавиатуре. Ставим бряк на WriteFile и бдыщ.     Дальше остается использовать CreateFile, Read/WriteFile, чтобы сделать основу для собственных пресетов. Один из плюсов всего этого, это уменьшение размера программы с 200 мб до 10кб.   Как раз вот-вот уже выходные, в планах привязать изменение подсветки клавиатуры в зависимости от готовности кофе в кофеварке. А до следующей статьи, можно будет разобрать как расширить функционал встроенных скриптов в клавиатуре и можно ли, туда прописать что-то действительно полезное, и что может пойти не так. И разобрать, за что отвечают последние 4 байта.

partoftheworlD

partoftheworlD

 

DDG яндекс фикс

В любой блокировщик рекламы как кастомный фильтр. Удаляет мусор от яндекса в уточке. duckduckgo.com##.result.results_links_deep.highlight_d:-abp-contains(/(data-domain\=)|(.*yandex.*|.*ya\.ru)/)  

partoftheworlD

partoftheworlD

 

[Burp Suite] Написание кейгена для твика iOS

Похожая статья уже была, но тут "новый" инструмент и не просто подмена рандомного значения. Что ж, для начала надо запихнуть исполняемый файл под дизассемблер, ищем что-нибудь связанное с лицензией, реверсим.     Привели к читаемому виду, а теперь разбираемся что же тут происходит.   Часть 1, проверка, чтобы имя пользователя было не длиннее, чем 20 символов. IVar1 = __picsymbolstub4::_objc_retain(param_3,param_2,(_NSZone *)param_3); lenth = __picsymbolstub4::_objc_msgSend(IVar1,"length"); if (lenth < 20) { bResult._0_1_ = 0; } Часть 2. Считываем введенное имя пользователя с 12 по 16 символ. uname = __picsymbolstub4::_objc_msgSend(inpurt_username,"substringWithRange:",12,16); user_name = __picsymbolstub4::AutoreleasedReturnValue(uname); Часть 3. Получение серийного номера устройства. SerialNumber = __picsymbolstub4::_objc_msgSend(&ATTweakClient,"getSerialNumber"); serial_number = __picsymbolstub4::AutoreleasedReturnValue(SerialNumber); Часть 4. Составление строки из соли, серийного номера и имени пользователя. _complite_string = __picsymbolstub4::_objc_msgSend (&_OBJC_CLASS_$_NSString,"stringWithFormat:",&cf_%@%@%@, & cf_kyf6jFJYT8aawe[we]D+F-s4JYI3jsaDp69jsdq123sDdflkDuF3sgvlkd3asfKLFDGhjalsddgasd ,serial_number,user_name); complite_string = __picsymbolstub4::AutoreleasedReturnValue(_complite_string); Часть 5. Хеширование полученной строки. hash = __picsymbolstub4::_objc_msgSend(&Utils,"sha1:",complite_string); IVar1 = __picsymbolstub4::AutoreleasedReturnValue(hash); Часть 6. Узнаем, что приходит от сервера. (Формат ключа)   Начинаем писать кейген. #Импортируем модуль для работы с хеш-функциями from hashlib import sha1 #Задаем серийный номер аппарата serial = b"QTW6NR7XXP7M" #Задаем имя пользователя == 16 знакам name = b"partoftheworlD16" #Задаем соль salt = b"kyf6jFJYT8aawe[we]D+F-s4JYI3jsaDp69jsdq123sDdflkDuF3sgvlkd3asfKLFDGhjalsddgasd" def generate_license_file(): #Хешируем и переводим хеш в hex license_hash = sha1(salt + serial + name).hexdigest() #Формируем ключ key = license_hash[:12]+name.decode("utf-8")+license_hash[12:] #Формируем лицензионный файл print("{\"validated\":true,\"key\":\""+key+"\",\"create_time\":\"00:00:00 Apr 10, 2019 MSK\"}") generate_license_file() На выходе получаем. {"validated":true,"key":"2ebb4e00950epartoftheworlD16cff6343256a724d56eb6506173ec","create_time":"00:00:00 Apr 10, 2019 MSK"}   Теперь необходимо этот ключ как-то скормить программе. 1. Способ, поместить ключ прямо в папку с программой 2. Скормить, через ответ с сервера.   Я выбрал второй, просто потому, что мне лень по папкам лазить, чтобы создать файл. Пусть за меня это делает программа, я что её зря взламывал? Заходим в Burp Suite, вкладка Proxy, Options.     Переходим в программу и запрашиваем лицензию.     Ах да, я забыл снова включить прокси. Все, после запроса, срабатывает подмена ответа с сервера и в Burp Suite видим.     А на экране телефона, успешно загруженную лицензию.  
   

partoftheworlD

partoftheworlD

 

Fiddler vs Burp Suite

Ну что ж, случайно на последнем CTF узнал, что Burp умеет сертификаты генерировать для прослушки HTTPS. Раньше я писал скрип для подмены запроса для mouse sensitivity в Fiddler, а тут оказалось, ничего писать не надо, составил регулярку для поиска и написал в окошечко на что заменить. Да и инструмент более гибкий, имеющий кучу плюшек.     Это же прелесть. А баг так и не по фиксили.      

partoftheworlD

partoftheworlD

 

Игровой фаззер

В общем начал разрабатывать игровой фазер, предназначенный для восстановления классов и смещений для не виртуальных функций. На данный момент я представляю это как отдельный проект, возможно написанный с нуля, но думаю использовать готовые дизассемблерные библиотеки, чтобы сэкономить время, который будет представлять из себя универсальный дампер SDK для любых игр. Хотя использовать x64dbg для подобного будет очень даже уместно т.к. функциональное ядро будет готово.   На первом этапе вешаем бряк на инструкцию. Получаем стек вызовов и восстанавливаем путь от 1-й функции вызванной клиентом до последней в которой находимся мы. На втором этапе будет создаваться каркас из классов, функций и ответвлений, я думаю воспользоваться перекрестными ссылками. На третьем этапе начнется интерпретация и парсинг инструкций основного древа без ответвлений кода, чтобы восстановить используемые в коде смещения и типы данных, отслеживая поведение инструкций. На четвертом этапе будет проводиться тоже самое, но только для ответвлений имея на руках уже найденные адреса и значения, я думаю это эффективней работы с ответвлениями начиная с нуля. На пятом этапе представлять в графическом виде все древо. На шестом генерировать таблицу рекласса.   Красным веделен четвертый этап, черным третий.   Основная проблема в том, что мы не знаем точный размер структур. И пока я не представляю, как можно получить размер динамически выделяемой памяти. Как вариант, пятым этапом вешать бряки на функции освобождающие память, фильтруя по всем найденным начальным адресам структур и после убивать процесс, чтобы перехватить размер. А после обрезать структуры по размеру, но концепция "ищи, чтобы удалить" мне не очень нравится.   Плюсы данного проекта в том, что ничего не надо делать самому(пфф, что-то там руками искать в 2019), а так же можно прилепить на один из этапов "рекурсивное" восстановление, т.е начинаешь с инструкции патрон и чем больше смещений восстановится, тем к большему числу классов получаешь доступ для восстановления и так будет продолжаться, пока файл не восстановится полностью. (нет это не нейронная сеть, хотя кто знает)

partoftheworlD

partoftheworlD

 

REDasm очередной игрок в мире интерактивных дизассемблеров

Выглядит достаточно ида-подобно, кроссплатформенный инструмент использующий Qt5 и конечно же опенсорсный.       Можно оставить в закладках и следить за развитием.  2019 можно назвать годом интерактивных дизассемблеров и декомпиляторов, много новых игроков появляется, даже немного удивительно.   https://redasm.io

partoftheworlD

partoftheworlD

 

реверсдоки

Intel 64 and IA-32 Architectures Software Developer's Manual Volume 2 (2A, 2B, 2C & 2D): Instruction Set Reference, A-Z, Sep 2016 (325383-060US)  https://www.intel.com/content/dam/www/public/us/en/documents/manuals/64-ia-32-architectures-software-developer-instruction-set-reference-manual-325383.pdf AMD64 Architecture Programmer's Manual Volume 3: General-Purpose and System Instructions, Rev 3.26 May 2018 (24594)  https://www.amd.com/system/files/TechDocs/24594.pdf AMD64 Architecture Programmer's Manual Volume 4: 128-Bit and 256-Bit Media Instructions, Rev 3.23 Feb 2019 (26568)  https://www.amd.com/system/files/TechDocs/26568.pdf AMD64 Architecture Programmer's Manual Volume 5: 64-Bit Media and x87 Floating-Point Instructions, Rev 3.15 May 2018 (26569)  https://www.amd.com/system/files/TechDocs/26569_APM_v5.pdf AMD64 Technology 128-Bit SSE5 Instruction Set, Rev 3.01 August 2007 (43479)  http://www.cs.northwestern.edu/~pdinda/icsclass/doc/AMD_ARCH_MANUALS/AMD64_128_Bit_SSE5_Instrs.pdf

partoftheworlD

partoftheworlD

 

[Just Cause 2] Увеличение длинны крюка

Когда-то давно я хотел сломать длину крюка, ну так вот, как и предполагал это оказалось статичное значение получаемое из файла конфигураций по значению: 0x72104687(возможно, это ID параметра в таблице со значениями), найти это с помощью поиска я не смог т.к. нет значений от которых можно было бы оттолкнуться. И нам на помощь приходит реверс.   Вот так выглядит код.   Тут все достаточно просто, функция по ID параметра загружает значение из файла и записывает в структуру крюка-кошки, вместе со всеми остальными параметрами.     Параметров очень много, начиная от начальной скорости и ускорения, заканчивая силой захвата людей. И как это обычно бывает, во время тестов возникла проблема. Крюк-кошка в игре считается за патрон, а пули для оптимизации очищаются, когда достигают пика своего существования.
Поэтому даже если найдем длину крюка-кошки и изменим её, то ничего не получится, просто потому, что время жизни крюка всего ничего. Значит, придется найти инвентарь, в инвентаре указатель на оружие, а в структуре оружия найти характеристики, и только тогда крюк кошка заработает.        

partoftheworlD

partoftheworlD

 

История исследования прошивки роутера

Данный материал приведен в ознакомительных целях и если вы будете ломать соседей, я тут вообще ни причем как и форум. А так же статья носит популистский характер, призывающий вас не останавливаться только на взломе игр и постоянно совершенствовать свои навыки в различных областях компьютерных наук.

Сегодня мы поговорим о серьезных вещах, а именно безопасности, которую предлагают нам провайдеры, предлагая купить/взять в аренду их роутер. Проблема носит масштабный характер, и это серьезная проблема в нашем регионе, мой провайдер предлагает подобный роутер и люди не разбирающиеся в этом, покупают уязвимые устройства, у которых по дефолту(в 70% случаев) включен удаленный доступ, достаточно установить на телефон nmap + telnet и сеть пала. Только в своем дворе я нашел около 70 потенциально уязвимых устройств этой же модели в радиусе 30 метров. И это не нормально.   Начнем с того, что этот роутер (ZXDSL931WII) у меня давно лежит под скальпелем, и давно хотелось поковырять какую-нибудь прошивку для железки. Ну что ж, возьмем прошивку с диска, проверим энтропию, чтобы быть уверенными, что прошивка ни чем не упакована. Это можно сделать с помощью утилиты binwalk, ей же будет и распаковывать все файлы прошивки. После распаковки, надо понять вектор атаки, например, проверка подлинности/авторизация и что-то в этом роде.      Лучшим инструментом для поиска экспортируемых функций под Windows будет Total commander.
  *.so файлы представляют из себя подобие dll в Windows. 
В нашем случае libcms_cli.so   Как видите на картинке ниже, никакой защиты памяти нет.   Теперь переходим к реверсу.     cmsCli_authenticate является функцией, которая считывает логин с паролем при подключении к роутеру через telnet(точно, остальные виды подключения не проверял). Приведем код к читаемому виду.
    Я думаю, что опытные программисты уже заметили в чем тут дело. Но, если кто не понял, то вот, тот участок из-за которого возможны проблемы(а они будут). // Считывание введенного пароля password = getpass("Password: "); if (password != (char *)0x0) { cmsUtl_strcpy(password_buffer,password); password_len = cmsUtl_strlen(password); memset(password,0,password_len); }   Т.к. отладчик не поднять, методом "тыка" было выяснено, что пароль может быть больше 256 байт(!!!). А проблема возникает из-за метода getpass, который,возвращает пароль в функцию, которую нельзя называть, это одна из запрещенных функций,  использование запрещенных функций, тоже самое, что купить билет в один конец до Азкабана из-за того, что strcpy не проверяет размер аргументов и это может вызывать переполнение. Чем мы сейчас и воспользуемся. addiu sp,sp,-0x238 //выделение памяти под кадр стека password_buffer = -0x110 //позиция буфера пароля ra = 0x0 //return address залогинились = 0x12c20 //участок кода, который сообщает роутеру об успешном выполнении проверки   Это все что нам надо знать для написания эксплоита, его будем лепить с помощью pwntools. Достаточно лишь заполнить 276 байт мусором, а после прописать 0x12c20 как адрес возврата.   Ну что, давайте украдем сладкий рулет!!!
  Пароль неверный, а доступ получили. Такие дела.       Как видим, права у стека полные.   7f97b000-7f990000 rwxp 7f97b000 00:00 0 [stack]     Функционал прошивки ограничен
, но когда это кого-то останавливало? Можно придумать костыли всегда. Например, использовать dumpmem в цикле, чтобы задампить всю память в которой, находится интересная информация, например, логин и пароль от учетки для подключения к интернету, пароль от вайфая и т.д. (На самом деле, получив доступ к роутеру, можно просто вызывать команду, которая покажет всю информацию о роутере, настройках в том числе и паролях.
  Или создать скрытую точку доступа, установив на него свой пароль и пользоваться чужим интернетом, устроить dhcp спуфинг.(Это все конечно теоретически, на тестовых машинах, только ради исследовательского интереса, ничего противозаконного, лол)   А теперь о том как защититься: В идеале обновить прошивку и следить за тем, что обновление исправляет. В реалиях придется просто отключить удаленный доступ к сервисам, которыми вы не пользуетесь, а ещё лучше и локальные, если вы неуверенны в людях, который присоединяются к вашему вайфаю.

partoftheworlD

partoftheworlD

 

[GHIDRA] Спустя 2 недели использования

Ну что ж, вот и прошло 2 недели с момента выхода GHIDRA и хотите верьте, хотите нет, но за все это время у меня не возникло желания вернуться в IDA (даже открыть). Т.е. весь функционал, который дает гидра из коробки в IDA реализован только в плагинах.   Производительность. После релиза я писал статью, где рассказывал о «баге» с производительностью, как мне потом объяснили, что такое возможно на свежеустановленной Java, т.е. после запуска какие-то данные кешируются на жесткий, чтобы при последующих запусках не выдирать их из файлов GHIDRA, так что сейчас с этим все отлично. Ах, да гибкие настройки автоанализа, которые позволяют выбрать что именно нужно анализировать, уменьшить количество потоков, анализирующих файл, чтобы уменьшить нагрузку на систему.   Декомпиляция. С этим что у Hex-Rays, что у GHIDRA все на одном уровне. Где-то вывод хуже в GHIDRA, где-то в IDA. Но для себя я выбрал декомпилятор гидры просто потому, что у меня на руках есть все правила декомпилятора и если, вдруг, что-то где-то выводится неправильно, то я могу поправить это за 5 минут, а не ждать год в лучшем случае, пока китайцы сольют новую версию IDA, где возможно, поправят этот баг. Временами вывод декомпилятора GHIDRA странный, если сравнивать с IDA, но если вдуматься, то он более логичный.   Документация. Еще гидра идет с подробнейшей документаций как по работе с GHIDRA, так и по работе с API. В менеджере скриптов, так же идут различные примеры работы с кодом. И переписывая плагин для ассоциации функций строками, наслаждался эти процессом, из-за того, что в документации написано «чтобы использовать эту апи, вот эту штуку засунь сюда и получишь вот это, с которой можно работать вот так»   Плагины. К моему глубочайшему удивлению за 2 недели комьюнити наделало огромное количество плагинов. Хочешь деобфускатор кода — пожалуйста, хочешь загрузчик switch, wasm, ps4, sega — без проблем, есть какая-то специфичная прошивка для специфичной железяки — читай документацию и без проблем сделаешь для него загрузчик и даже декомпилятор.    И в заключении, сегодня я удалил IDA из-за ненадобности. Да, она была хороша и удобна, когда не было альтернатив, но сейчас у IDA нет какой-то особенной фитчи, которая бы серьезно повлияла на выбор в её пользу.   

partoftheworlD

partoftheworlD

 

[Ghidra] Function String Associate релиз.

Переписал скрипт на гидролад.(я теперь знаю Java через Python 😄)
 Делает все тоже самое, рекурсивный поиск строк в функции и создание комментов.   Установка: Скачиваем файл из  репозитория Добавляем его в менеджер скриптов Ищем среди всех скриптов Запускаем     Надо будет еще по колдовать над форматированием строк, а так вроде все работает. Если что, какие-то баги, пишите сюда или создавайте репорт на гитхабе.

partoftheworlD

partoftheworlD

×

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.