(n) http://n.pentest.jp life is penetration. geeks cheer. geeks be ambitious. Mon, 28 Jun 2010 14:49:07 +0000 ja hourly 1 http://wordpress.org/?v=3.0.1 第4回 パケットキャプチャ術で秘密もちょっぴりこぼれた? http://n.pentest.jp/?p=828 http://n.pentest.jp/?p=828#comments Mon, 28 Jun 2010 14:49:07 +0000 n http://n.pentest.jp/?p=828 title

前回まではCTFネタをお届けしたわけですが
今回今回は、編集の方のご意向もあり
新人技術者の方への「教育」を意識して、パケットキャプチャネタを書かせていただきました。
紹介させていただいているツールは「Wireshark」付属のコマンドラインツール「tshark」です。
記事中にも書いているのですが、こちらのツールは、「tcpdump」よりも小回りがきくだけでなく
「Wireshark」のフィルタの勉強にもなるということから、こちらのツールを紹介させていただいております。

ボクは、今まで、ペネトレーションテストを生業にさせていただいてきましたが
実は、初仕事は、IDS関連だったりします。
そして、学生時代には、パケットをキャプチャすることで裏側で何をしているのが分かる。
ということを学んで、ワクワクしたこともありました。

そういったこともあり、パケットキャプチャには特別思い入れがあり
「教育」というキーワードを聞いたとき、「コレしかない」と思ったわけです。
ネットワークに関係する仕事をする上で、いつまでも切っても切れないものだと思います。

記事中には、簡単な練習問題も出題していますので
新人の方は、パケットキャプチャに慣れるために
慣れ親しんだ方は、頭の体操にと
手を動かしていただければ幸いです。

]]> http://n.pentest.jp/?feed=rss2&p=828 2 Windowsのヘルプとサポートセンターの脆弱性(CVE-2010-1885)デモ http://n.pentest.jp/?p=810 http://n.pentest.jp/?p=810#comments Tue, 15 Jun 2010 05:55:15 +0000 n http://n.pentest.jp/?p=810 某所で公開している検証レポートでは、色々と制限もあるので
あくまで「個人的」に、デモを作成しました。
よって、このエントリは、私の所属する組織を代表するものではありません。

このエントリ作成現在、MSから、修正プログラムがリリースされておらず、
回避策のみの提示となっているので、その回避策実施後の
有効性チェックを行うなどに活用いただければと考えています。
回避策やその影響については下記のサイトを参照ください。
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される

デモの内容は以下のような流れです。

1. ブラウザでアクセス
2. 「ヘルプとサポートセンター」(helpctr.exe)が起動される。
3. 「コマンドプロンプト」(cmd.exe)が起動される。 ← 一瞬で消えます。
4. デスクトップにtwitterアドレスが書かれたテキスト「ntsuji.txt」が作成される
(echoコマンドを実行してテキストを作成しています。)

2010年6月17日追記:
4. のテキストの作成場所は、unDonutなどのIEコンポーネントを利用しているブラウザでは
デスクトップではなく、実行ファイルのCurDirに保存されるようです。
willowletさん 情報ありがとうございます。

以上の内容以外のことは実行していませんが
(ということ自体、信用していただくしかありませんが…)
本デモによって生じたいかなる損害にも責任は負いかねます。

細かいチェックはしていませんが、会社からのアクセスなどでは
アンチウイルスやIDSなどによる検知が行われる可能性があるため
自身の管理下にあるリソースでお試しください。

ご了承いただける方のみ下記リンクよりデモを体験してください。

2010年6月18日追記:
くどいようですが、デモをクリックするとアンチウイルスから警告が出る場合があります。
例えば、MSEでは「Exploit:Win32/CVE-2010-1885.A」と検出されます。

デモはこちら

ちなみにIE6でデモにアクセスした場合には以下のように
ヘルプとサポートセンターが起動し、その後は実行されませんでした。

]]> http://n.pentest.jp/?feed=rss2&p=810 3 PTKインストールメモ http://n.pentest.jp/?p=772 http://n.pentest.jp/?p=772#comments Thu, 10 Jun 2010 04:32:23 +0000 n http://n.pentest.jp/?p=772 SleuthKitのフロントエンドである「PTK」のインストールメモです。
同じフロントエンドとしては「Autopsy」が有名です。
インストール方法も「Autopsy」のほうが相当楽なのですが
操作性や見栄え、メモリイメージへの対応などを考えると
今後は、「PTK」が主流になっていくのかなぁ。
ということもあり、メモに残すことにしました。

インストール環境は、Ubuntu 9.10です。PTKは 1.0.5 です。

まずは、環境作りです。
# もし、古い(2系)SleuthKitがインストールされている場合は
# うまく動かないので予めapt-get removeしてください。

Ubuntuは、デフォルトでソースからのインストールのためのlibcなどが入っていないので
まずは、その環境を整えるためのパッケージをインストールします。
apt-get install build-essential
バージョンは違いますが
http://ptk.dflabs.com/practice_case.php#ubuntu_810
を参考に必要なパッケージをインストール。apt-get install afflib afflib-dev apache2-utils \
dcfldd foremost libtsk-dev rdd scalpel tct unhide vinetto
その他、必要そうなパッケージをインストールします。apt-get intasll apt-get install zlib1g-dev
apt-get install libcrypto++-dev libcrypto++-utils libcrypto++7
apt-get install libgcrypt11-dev libgpg-error-dev libxcrypt-dev libxcrypt1
apt-get install libssl-dev libssl0.9.8-dbg
apt-get install libuuid1 uuid-dev
apt-get install libexpat1-dev# 上記は、「Preparation of install PTK on Helix (Ubuntu)」を参考にさせていただきました。

次に、libewfAfflibSleuthKitのインストール。
これらは、ソースからインストールします。tar zxvf libewf-20100226.tar.gz
cd libewf-20100226
./configure --enable-wide-character-type
make
make install
cd ..

tar zxvf afflib-3.5.12.tar.gz
cd afflib-3.5.12
./configure
make
make install

cd ..
tar zxvf sleuthkit-3.1.2.tar.gz
cd cd sleuthkit-3.1.2
./configure
make
make install仕上げにApache、php、MySQL関連のパッケージをインストールします。apt-get install apache2 apache2.2-common \
libapache2-mod-php5 php5 php5-common php5-mysql \
mysql-client mysql-common mysql-serverインストール途中で MySQLのrootのパスワード設定内容を聞かれるので
適宜、設定してください。(PTKのセットアップ時に使用します。)


それでは、PTK本体のインストールです。

展開して、Apacheの公開ディレクトリに配置し、オーナーを変更。tar zxvf ptk-1.0.5.tar.gz
mv ptk /var/www/
chown -R www-data:www-data /var/www/ptk配置が完了したらブラウザでhttp://ptkをインストールしたマシン/ptk/にアクセスします。

↑が表示されればOK。
初期設定を行います。

■Your distribution
インストールしたシステムのディストリビューションの設定

  ・Distribution:
   ここはインストールしたシステムに応じて変更します。
   ボクの場合は、「Ubuntu/Kubuntu」

■Your MySQL configuration
   データベースの設定情報を入力します。

   ・Host:
    ここは、情報を格納するデータベースのアドレスを入力します。
    今回のメモではローカルにデータベースを配置しているので
    「127.0.0.1」でそのまま。

   ・Username:
    通常は「root」でかまいません。
    ここも値はそのまま。

   ・Password:
     MySQLインストール時に設定したパスワードを入力します。

■MySQL PTK account
    PTK用のデータベースアカウントを作成するための情報を入力します。

    ・MySQL PTK username:
     PTK用のユーザ名「investigator」でそのまま。
     # 変更できないっぽい?

    ・Password:
     上記ユーザのパスワードを設定

■PTK admin account
    PTKにログインするための管理者アカウントの設定。
    ユーザ名以外は任意に設定でいいと思います。

    ・Admin username:
     管理者アカウント名「admin」
     # これも変更不可?

    ・Admin name:
     管理者アカウントユーザの名前

    ・Admin surname:
     管理者アカウントユーザの姓

    ・Admin email:
     管理者アカウントユーザのメールアドレス

    ・Admin Password:
     管理者アカウントのパスワード

すべてを入力したら一番下にある「Configure !」をクリック。
成功すると下図のような画面が表示されます。

ここで、「Let’s continue」をクリックするとログイン画面へと遷移します。


先ほど、「PTK admin account」設定した「admin」アカウントでログインします。


問題なくログインができたらPTKのインストールは終了です。

]]> http://n.pentest.jp/?feed=rss2&p=772 0 Wireshark SMB file extraction plug-inをいれてみた。 http://n.pentest.jp/?p=756 http://n.pentest.jp/?p=756#comments Tue, 01 Jun 2010 10:15:28 +0000 n http://n.pentest.jp/?p=756 TaddongというところからWiresharkのplug-inがリリースされていました。
blogのエントリを斜め読みしたところ、SMB通信をキャプチャすると流れたファイルを補足して表示し
保存までできるような感じです。

とまぁ、いつものごとくしっかりドキュメントも読まずに
とりあえず動かしみよう。ということで手元のUbuntu9.10に入れてみました。
このplug-inはソースにパッチを当てることで組み込むことができます。
ということで

まずは必要そうなものをインストール。apt-get install patch
apt-get install autoconf
apt-get install libtool
apt-get install byacc
apt-get install flex
apt-get install libgtk2.0-dev
apt-get install libglib2.0-dev
次にソースをSubVersionでダウンロード。svn co http://anonsvn.wireshark.org/wireshark/trunk/ wireshark
ディレクトリに移動してパッチをダウンロード、適用します。

問題なくパッチが適用できたら、いざ、インストール。./autogen.sh
./configure
make
make install
これで、Wiresharkが起動できました。
# 何かが足りない場合は、適宜インストールしてくださいね。

Windowsのファイル共有を使ってファイルをコピーしている通信をキャプチャしてみました。
Plug-in自体は
メニュの[File]→[Export]→[Object]→[SMB]から利用することができます。
すると下図のようなウインドウが表示され、やり取りされたファイルが表示されました。
ちなみに、ここで選択すると、該当するパケットNo.が選択されます。

次にファイルをうまく抽出できるかを試してみた結果
下図のように画像ファイルを抽出しすることに成功しました。

ただ、小さめのテキストファイルは、サイズがゼロになってしまい
うまく抽出することができませんでした。
# ボクのやり方が悪いのか、小さいファイルに対しては、そうなってしまうのか
# 原因までは、突き止めていません。

色々役に立ちそうな、Plug-inだと思いますので
しばらく、いじってみようかと思います。

]]> http://n.pentest.jp/?feed=rss2&p=756 0 DEFCON 18 CTF Forensics 100(f100) writeup http://n.pentest.jp/?p=739 http://n.pentest.jp/?p=739#comments Wed, 26 May 2010 11:56:47 +0000 n http://n.pentest.jp/?p=739 問題文: Find the key
超訳:キーをみつけて。

問題ファイル

問題ファイルが何かを確認。
pentest@pubuntu:~/ctf/forensic100$ file f100_6db079ca91c4860f.bin
f100_6db079ca91c4860f.bin: x86 boot sector; partition 1: ID=0x7, starthead 0, startsector 31,
31558 sectors, extended partition table (last)\011, code offset 0x0x86 boot sectorでだそうです。
ファイルの先頭を確認します。
pentest@pubuntu:~/ctf/forensic100$ hexdump -C f100_6db079ca91c4860f.bin | head
00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001c0 01 01 07 00 df fa 1f 00 00 00 46 7b 00 00 00 00 |..........F{....|
000001d0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
000001f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 aa |..............U.|
00000200 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00003e00 eb 52 90 4e 54 46 53 20 20 20 20 00 02 08 00 00 |.R.NTFS .....|
00003e10 00 00 00 00 00 f8 00 00 3f 00 ff 00 1f 00 00 00 |........?.......|
フォーマットは、「NTFS」だと分かりました。
「file」コマンドの結果から、「startsector」は「31」からですので
余分なところを「dd」で削ります。
# もしかしたら削らなくても「autopsy」で見られるかも。
# flsでは読めなかったような。。。
pentest@pubuntu:~/ctf/forensic100$ dd if=f100_6db079ca91c4860f.bin of=f100.dd bs=512 skip=31
31585+0 記録始め
31585+0 記録終わり
16171520 バイト (16 MB) コピー終了, 0.3696 s, 43.8 MB/s削った後のファイルを「autopsy」で見ます。

早速、[key]なんてファイルが見つかりますが削除されていて中身が読めません。

次に、「KEYWORD SEARCH」で「key」という単語を検索。

↓検索結果

目でそれらしいところをgrep(eye-grep?)していると
明らかに怪しい個所を発見。
答えは
「notdeleted,neverexisted」

]]> http://n.pentest.jp/?feed=rss2&p=739 7 DEFCON 18 CTF Binary l33tness 200(b200) writeup http://n.pentest.jp/?p=734 http://n.pentest.jp/?p=734#comments Wed, 26 May 2010 11:36:44 +0000 n http://n.pentest.jp/?p=734 このwriteupは、一緒に頑張ってくれたykwsmから提供してもらいました。

問題: what treasure did pirates get?

問題ファイル

問題ファイルが何かを確認。
$ file b200_d00d7ddebd7034560.bin
b200_d00d7ddebd7034560.bin: ELF 32-bit LSB shared object, Intel 80386,
version 1 (SYSV), dynamically linked, stripped
実行してみる。
pentest@pubuntu:~/ctf/binary200$ ./b200_d00d7ddebd7034560.bin
Segmentation fault
おちる。

hexdumpの結果を見ると、Haiku-OSでコンパイルされたバイナリとわかる。
00001530 01 00 00 00 00 01 00 00 02 00 02 00 00 47 43 43 |.............GCC|
00001540 3a 20 28 47 4e 55 29 20 32 2e 39 35 2e 33 2d 68 |: (GNU) 2.95.3-h|
00001550 61 69 6b 75 2d 30 39 30 36 32 39 00 00 47 43 43 |aiku-090629..GCC|
00001560 3a 20 28 47 4e 55 29 20 32 2e 39 35 2e 33 2d 68 |: (GNU) 2.95.3-h|
00001570 61 69 6b 75 2d 30 39 30 36 32 39 00 00 47 43 43 |aiku-090629..GCC|
00001580 3a 20 28 47 4e 55 29 20 32 2e 39 35 2e 33 2d 68 |: (GNU) 2.95.3-h|
00001590 61 69 6b 75 2d 30 39 30 36 32 39 00 00 47 43 43 |aiku-090629..GCC|
000015a0 3a 20 28 47 4e 55 29 20 32 2e 39 35 2e 33 2d 68 |: (GNU) 2.95.3-h|
000015b0 61 69 6b 75 2d 30 39 30 36 32 39 00 00 47 43 43 |aiku-090629..GCC|
000015c0 3a 20 28 47 4e 55 29 20 32 2e 39 35 2e 33 2d 68 |: (GNU) 2.95.3-h|
000015d0 61 69 6b 75 2d 30 39 30 36 32 39 00 00 2e 73 68 |aiku-090629...sh|
000015e0 73 74 72 74 61 62 00 2e 68 61 73 68 00 2e 64 79 |strtab..hash..dy|
000015f0 6e 73 79 6d 00 2e 64 79 6e 73 74 72 00 2e 72 65 |nsym..dynstr..re|
00001600 6c 2e 64 79 6e 00 2e 72 65 6c 2e 70 6c 74 00 2e |l.dyn..rel.plt..|
00001610 69 6e 69 74 00 2e 74 65 78 74 00 2e 66 69 6e 69 |init..text..fini|
00001620 00 2e 72 6f 64 61 74 61 00 2e 65 68 5f 66 72 61 |..rodata..eh_fra|
00001630 6d 65 00 2e 63 74 6f 72 73 00 2e 64 74 6f 72 73 |me..ctors..dtors|
00001640 00 2e 64 79 6e 61 6d 69 63 00 2e 67 6f 74 00 2e |..dynamic..got..|
00001650 64 61 74 61 00 2e 62 73 73 00 2e 63 6f 6d 6d 65 |data..bss..comme|
00001660 6e 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |nt..............|ここでHaiku-OSのVMイメージをダウンロードし、その上で実行。


以下、Haiku-OS上で実施。Haiku-OS上で実行すると、同様に落ちる。関数pre_init内、アドレス0x002011f5で”General
protection fault”例外が発生し、落ちている
~/> gdb ./b200_d00d7ddebd7034560.bin
(gdb) r
Starting program: /boot/home/./b200_d00d7ddebd7034560.bin
Thread 235 caused an exception: General protection fault

Program received signal SIGILL, Illegal instruction.
0x002011f5 in pre_init ()objdumpで当該箇所のコードを見てみる。

0x000011f5(0x002011f5)にあるINT
80により例外が発生して落ちているとわかる。
何らかの機構なのかよく知らないものの、関数本体らしきものは後半0×00001200(0×00201200)から始まっている。
000011f0 :
11f0: b8 1d 00 00 00 mov $0x1d,%eax
11f5: cd 80 int $0x80
11f7: c9 leave
11f8: c3 ret
11f9: 90 nop
11fa: 90 nop
11fb: 90 nop
11fc: 90 nop
11fd: 90 nop
11fe: 90 nop
11ff: 90 nop
1200: 55 push %ebp
1201: 89 e5 mov %esp,%ebpこの先頭部分を通って実行される、frame_exit関数内の下記の通り0x00001113c(0x0020113c)のみ。
1131: 50 push %eax
1132: 6a 04 push $0x4
1134: e8 03 f7 ff ff call 83c
1139: 83 c4 f4 add $0xfffffff4,%esp
113c: e8 af 00 00 00 call 11f0 1141: 8b 5d e8 mov 0xffffffe8(%ebp),%ebx
1144: 89 ec mov %ebp,%esp
1146: 5d pop %ebp
1147: c3 ret
当該箇所の直前でbreak。
~/> gdb ./b200_d00d7ddebd7034560.bin
(gdb) b *0x0020113c
Breakpoint 1 at 0x20113c
(gdb) r
Starting program: /boot/home/./b200_d00d7ddebd7034560.bin
[tcsetpgrp failed in terminal_inferior: Invalid Argument]

Breakpoint 1, 0x0020113c in frame_exit ()
(gdb)
pre_initをコールしないようjump。そうしたら最後まで実行でき、何やらURLが出てきました。
(gdb) jump *0x00201141
Continuing at 0x201141.

http://is.gd/bUBRD

Program exited normally.
gdb: child_close, inferior_ptid=245
(gdb)このURLにアクセスすると、以下のようなサイトがあり、答えを発見。ここに答えがありました。
右のラクダのポスターにも書かれているし、URLにも入っている。

答えは、「asses of the caribbean」。

]]> http://n.pentest.jp/?feed=rss2&p=734 2