 |
- Spaghetti Hacker : questo è un blog personale di studio e approfondimento di tematiche acare; una spaghettata acara, aglio, olio, pepperoncino e tanto reverse engineering, memory corruption, binary exploitation, malware analysis, digital forensics, sintesi del suono e tutto ciò che riguarda il mondo low level.
- bz, hcf, akira basho, radical edward, peperu, dr. akira pepper, yt rabbz, bpa : hacker artist, reverse engineer, battle programmer, malware & cybersecurity analyst
-
ELF MALWARE3 - BASH
0x00400078 mov edi, 0x6e301cbd
0x0040007d fcmovnu st(0), st(4)
0x0040007f fnstenv [rsp - 0xc]
0x00400083 pop rdx
0x00400084 sub ecx, ecx ; arg4
0x00400086 mov cl, 0x21 ; '!' ; 33
0x00400088 sub edx, 0xfffffffc
0x0040008b xor dword [rdx + 0x10], edi
0x00400091 pop rdi
0x00400092 jmp 0x78a0600f
;il malware si comporta in maniera del tutto simile all'elf malware2 analizzato nel post procedente; la cosa particolare di questo malware risiede nel fatto che staticamente non può essere analizzato; abbiamo solo un piccolo pezzettino di codice dopo il quale sia radare2 sia ghidra vedono badcode senza alcun significato; ma analizzando con il debugger di radare2, passo dopo passo, si può notare come il malware va a riscriversi partendo dall'indirizzo di memoria 0x00400091; -
ELF MALWARE2 - bash
log.015
;reverse engineering, analisi statica e dinamica di un ELF Malware, partendo dal disassemblato;
;sito molto interessante, dove abbiamo la lista di tutte le syscall di linux, con i relativi parametri passati alla syscall attraverso i registri: link[0x00400078]> pdf
0x00400078 xor rdi, rdi
0x0040007b push 9 ;9
0x0040007d pop rax ;9 mmap
0x0040007e cdq
0x0040007f mov dh, 0x10 ;16
0x00400081 mov rsi, rdx ;arg3
0x00400084 xor r9, r9
0x00400087 push 0x22 ;34
0x00400089 pop r10 -
ROOF - rioux
log.014
Edited by AKIRA BASHO - 14/3/2023, 16:45 -
WHOAMI - bash
log.013
;reverse engineering della funzione main del comando linux whoamichecksec --file ./whoami
[*] '/home/re/whoami'
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
;abbiamo tutte le lampadine accese[0x000027c0]> s main
[0x000025c0]> pdf
;arg int argc @ rdi
;arg char **argv @ rsi
0x000025c0 endbr64
0x000025c4 push r14
0x000025c6 push r13
0x000025c8 push r12
0x000025ca push rbp
0x000025cb push rbx
;salva questi registri nello stack0x000025cc 488b1e mov rbx, qword [rsi] ; argv
0x000025cf test rbx, rbx
0x000025d2 je 0x275a
;qui fa il check per vedere se argv[0] è valorizzato da shell o viene eseguito tramite execve, nel qual caso, fa un abort -
DEP/NX BYPASS - bash
log.012
;DEP/NX Protezione Esecuzione Dati (DEP) o No-Execute (NX). Quando questa opzione è abilitata, funziona con il processore per impedire attacchi di overflow del buffer bloccando l'esecuzione del codice dalla memoria contrassegnata come non eseguibile; per bypassare questa protezione utilizzeremo la tecnica del return to libc[0x0804925b]> s sym.secure
[0x080491f6]> pdf
;arg char **src @ ebp+0x8
;var int32_t var_4h @ ebp-0x4
;var char *dest @ ebp-0x108
0x080491f6 f30f1efb endbr32
0x080491fa 55 push ebp
0x080491fb 89e5 mov ebp, esp
0x080491fd 53 push ebx
0x080491fe 81ec04010000 sub esp, 0x104
;>>> 0x104
;260 byte sullo stack -
HALT AND CATCH FIRE - bash
log.011
-
BASH'S FLEAS - bash
log.010
0x080494aa add esp, 0x10
0x080494ad sub esp, 8
0x080494b0 push 0x1c ;28 ;size_t size
;qui alloca 28 byte, ma come faccio a capire che è una struttura?0x080494b2 push 1 ;1 ;size_t nmeb
0x080494b4 call sym.imp.calloc ;void *calloc(size_t nmeb, size_t size)
;calloc da 28bytes tutti a zero che vengono puntati da var_dch0x080494b9 add esp, 0x10
0x080494bc mov dword [var_dch], eax
0x080494c2 mov eax, dword [var_dch]
0x080494c8 lea edx, [ebx - 0x2c19]
0x080494ce mov dword [eax + 4], edx
;è una struttura e esiste un secondo elemento "almeno" puntato da var_dch+4 ;in questo elemento ci va a finire, si scoprirà successivamente, l'indirizzo di una funzione -
FTRACE ROOTKIT - bash
log.00f
;ftrace è un tracciante interno progettato per aiutare gli sviluppatori e progettisti di sistemi a scoprire cosa sta succedendo all'interno del kernel. Può essere utilizzato per il debug o l'analisi di latenze e problemi di prestazioni che si verificano al di fuori dello spazio utente.#define pr_fmt(fmt) "ftrace_hook: " fmt
;a causa del modo in cui funziona la macro, questa riga deve comparire prima del blocco #include che altrimenti si troverebbe all'inizio del file. Definire pr_fmt() in questo modo (#define pr_fmt(fmt) KBUILD_MODNAME ": " fmt) fa sì che tutte le stringhe stampate dal file abbiano il nome del modulo preceduto; molti sottosistemi usano una stringa letterale invece del nome del modulo (come nel nostro caso), ma l'intento è lo stesso. -
FORMAT STRING1 - bash
log.00e
file formatstring1
formatstring1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=4c408b622a0eafe253114dacbf8aafdcddf3e4eb, for GNU/Linux 3.2.0, not stripped
checksec --file formatstring1
[*] '/home/ytrabbz/FollowTheWhiteRabbit/Code/formatstring1'
Arch: amd64-64-little
RELRO: No RELRO
Stack: Canary found
NX: NX disabled
PIE: No PIE (0x400000)
RWX: Has RWX segments
;è un ELF 64-bit no stripped; Stack: Canary found;
;gli Stack Canaries sono valori segreti posti nello stack che cambiano ogni volta che il programma viene avviato. Prima del ritorno di una funzione, lo stack canary viene controllato e se è stato modificato, il programma esce immediatamente. -
HACKER CORE - bash feat. YTCracker
log.00d
bash, akira basho, il merlo nero, conosciuto nella netsfera anche come yt rabbz, aiutato dai suoi amici blam punk, riesce prima ad introdursi nei livelli nexus della netsfera e poi a sferrare un attacco fatale contro l'intelligenza artificiale lucifer, precipitando nel panico la silicon life society;
la macchina non è un'estensione del corpo, nè uno strumento di controllo; non è la macchina che controlla l'uomo; è l'uomo che controlla e comprende la macchina; è lo strumento dell'artigiano tecnologico, lo strumento musicale dell'artista acaro, la katana dell'artista hacker cyber samurai, il suo core; l'hacker core;
music : fortune or freedom - ytcracker
Edited by AKIRA BASHO - 19/1/2024, 11:04
Reply
Create your blog! · Create your forum! · Top Blog · Categories · Help ·
Status · Contacts · Powered by BlogFree
