اطلاعیه

Collapse
No announcement yet.

آموزش + تحقیق : بررسی اسیب پذیری Image File Execution

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • آموزش + تحقیق : بررسی اسیب پذیری Image File Execution

    سری مقالات امن سازی سیستم عامل ویندوز

    به صورت خلاصه عرض میکم

    یکی از امکانات جالبی که ویندوز در ویندوز وجود دارد این است که وقتی که یک فایلی را اجرا میکنیم همزمان با اجرا شدن اون فایل یک فایل Exe دیگری هم اجرا شود .

    این کار بیشتر در برنامه ویژوال استدیو برای اجرای یک فایل دیگر به کار برده میشه اما خوب فکر کنم وظیفه ی ما به عنوان یک محقق امنیت سیستم عامل ویندوز بررسی آسیب پذیری های این سیستم عامل هست

    بسیاری از ویروس نویسان و هکر ها سو استفاده های جالبی می توانند از این امکان بکنند .

    اما چونگی انجام این کار

    می توانید به مسیر زیر در رجیستری بروید .
    کد:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    در این مسیر شما لیستی از فایل های اجرایی مختلف را می بینید . اینجا من میام برنامه ای رو با نام مثلا notepad.exe را پیدا می کنم و می خوام هرکسی که می خواد یک فایل txt رو باز کرد به جای برنامه ی notepad برنامه ی CMD.exe اجرا بشه

    خوب میام مراحل زیر رو اجرا میکنم

    1 - یک زیر کلید با نام notepad.exe در این مسیر می سازم
    2 – مقدار Debugger را از نوع REG_SZ می سازم
    3 – آدرس فایلی که می خوام اجرا بشه به جای notepad.exe را در آن میندازم .
    4 – یک فایل txt و یا برنامه ی notepad را اجرا میکنم
    5 – سلامتی شما

    می بینید که اینجا به جای فایل notepad.exe برنامه ی CMD.exe اجرا میشه

    خوب حالا هکر ها چه سو استفاده هایی از اون می کنند ؟
    یک هکر می تونه به جای Startup کردن برنامه ی خودش از اون استفاده کنه یعنی میگه هر وقت فایل notepad یا هرچی اجرا شد تو بیا Trojan.exe رو اجرا کن
    به مانند تروجان زیر http://blogs.mcafee.com/mcafee-labs/...cution-options
    ما می تونیم به جای فایل cmd.exe هر فایل دیگه ای رو هم بنویسیم مثلا BAd File.exe



    یا مثلا اینجا

    http://about-threats.trendmicro.com/...ROJ_INJECT.SMI
    اومدن به جای فایل Explorer.exe فایل malware خودشون رو اجرا کردن حالا بسته به هوش فرد مثلا وقتی کسی میاد تروجان خودش رو به جای Explorer اجرا میکنه یعنی اینکه از همون اول ویندوز که فایل Explorer.exe اجرا میشه جلوش رو بگیر ( پس دسکتاپ و ایکون هاش اجرا نمیشه ) و بعد تروجان خودم رو اجرا کن و سپس بیا دوباره مقدار debugger رو ححذف کن و Explorer.exe رو اجرا کن

    خوب این کار باعث میشه که حتی اگه فایل تروجان تغییراتی رو در رجیستری ویندوز بده با فعال کردن فایل Explorer تغییرات تثبیت بشه و نیازی به logoff یا راه اندازی دوباره نباشه
    و نمونه های دیگه

    http://www.pandasecurity.com/homeuse...on/AKStealer.A
    http://www.eset.com/us/threat-center...win32agentksq/
    http://www.symantec.com/security_res...050-99&tabid=2

    Ùˆ ...


    یک قدم به جلوتر

    حالا من که از این امکان خبر دارم میام می خوام شروع به هک سیستم عامل ویندوز کنم البته در دسترسی لوکال

    اینجا می دونم که یک سری فایل داریم که در Welcom screen هم اجرا می شن یعنی فایل های Exe خوب میام جایگزین می کنم

    در زیر این فایل ها در قسمت welcome screen اجرا می شن
    کد:
    Displayswitch.exe – sethc.exe – narrattor.exe – magnify.exe – OSK.exe - utilman.exe

    و اینو می دونید که هر فایلی که در Welcom screen اجرا بشه دارای دسترسی authority\system هست و اینم می دونیم که هر فایلی هم از طریق یک فایل دیگه اجرا بشه اونم دارای همین سطح دسترسی هست
    پس میایم یک کلید با نام OSK.exe در این مسیر از رجیستری می سازیم و بعد مقدار Debugger از نوع REG_SZ
    حالا من اگه از اسکریپت نویسی در ویندوز استفاده کنم می تونیم از کد های زیر این کار رو انجام بدیم


    کد:
     
    'baraye sakhtane key dar kelide registry
    Const HKEY_LOCAL_MACHINE = &H80000002
    strComputer = "."
    Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ 
    strComputer & "\root\default:StdRegProv")
    strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe"
    oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
     
    '------------------------------------
    ' sakhtane ye value ba name debugger va meghdar an = addresse CMD.exe
    Const HKEY_LOCAL_MACHINE = &H80000002
    strComputer = "."
     Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ 
        strComputer & "\root\default:StdRegProv")
     strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe"
    strValueName = "Debugger"
    strValue = "C:\windows\system32\cmd.exe"
    oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue
     
    '---------------------

    یا اینکه می تونیم از همان دستور REG از طریق CMD این کار را انجام بدیم


    کد:
     
     
    REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
    کافیه در فایل BAT ذخیره بشه و بعد اجرا کنید .

    حالا سیستم رو restart یا logoff می کنیم و در صعحه ی خوش آمد گویی فایل OSK.exe که همان کیبورد مجازی ویندوز هست را اجرا می کنیم و میبینیم که به جای اون فایل cmd.exe اجرا شده و اینجا ما میتونیم بیایم با استفاده از فرمان های زیر پسورد حساب کاربری که می خواهیم رو حذف و یا تغییر بدیم
    کد:
      
    Net user "username" "password"

    یک قدم به جلوتر می رویم


    UAC ویندوز را فعال میکنیم و پسورد روی اون میزاریم

    حالا دوباره logoff میکنیم و OSK.exe را اجرا میکنیم تا CMD.exe اجرا بشه و بعد ان را نمی بندیم و میریم داخل ویندوز و login میکنیم به حساب کاربری

    و اینجا مثلا در Run فایل Secpol.msc را اجرا میکنیم و میبینیم که UAC ویندوز از ما پسورد می خواد ولی اینجا وقتی که ALT + Tab رو بزنیم می بینیم که فایل UAC هم اجرا شده خوب میایم اونجا اون قسمتی که می خوایم باز کنیم رو می زنیم دیگه UAC ویندوز جلوشون میگیره

    و اصطلاحا Bypass میشه UAC

    حالا می خوایم علاوه بر اینکه BYPASS کردیم اون رو هم غیر فعال کنیم کلا

    میایم رجیستری ویندوز رو از طریق CMD.exe باز میکنیم ( همون cmd )

    و بعد داخل مسیر زیر میشیم


    کد:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    در اینجا 2 مقدار وجود داره به اسم های


    کد:
     
    EnableLUA
    ConsentPromptBehaviorAdmin

    اون 2 تا رو حذف میکنیم و بعد UAC که همین جوری باز هست رو می بندیم و دوباره مقدار Secpol.msc رو باز میکنیم و میبینیم که دیگه UAC فعال نیست


    روش مقابله :

    نگران نباشید هنوز جای کار زیاد داره که نشه با این مورد مقابله کرد

    UAC رو فعال کنید و مقدار اون رو به آخرین حدش برسونید و مقدارم ConsentPromptBehaviorAdmin از نوع Dword را در مسیر

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System بسازید و بعد مقدار اون رو برابر 3 قرار دهید

    و یک پسورد خوب بر روس حساب کاربری خودتون قرار بدید و ویندوز رو اپدیت کنید

    اینجوری کسی اگه بخواد بره داخل رجیستری و اون تغییرات رو اعمال کنه ازش پسورد می خواد پس نمی تونه کاری کنه


    لازم به ذکره که بیشتر از این نمی خوام در مورد شکستن UAC و bypass اون حرف بزنم ولی تا اینجایی که گفتم کسی سوال داره بپرسه بررسی اسیب پذیری Image File Execution
    Last edited by l4tr0d3ctism; 12-11-2013, 08:18 AM.
    ...

  • #2
    یک نکته ای رو بگم که بهتره Debugger رو بر روی فایل SETHC.exe بسازید چون اگه سیسکی پسورد روی سیستم باشه تنها فایل exe که می تونه با اون Run بشه همون SETHC هست

    حالا اگه بیاید کلید SYSkey.exe رو بسازید و debugger اون رو با مقدار Winlogin مقدار دهی کنید چی ؟ تست نکردم ولی دارم میگم که میشه خیلی کارها انجام داد کمی فکر می خواد
    ...

    Comment


    • #3
      l4tr0d3ctism دوستم ؟؟؟؟؟؟؟
      هییییی -- این همه تشکر ؟؟؟؟؟؟؟؟؟؟
      یعنی یکی پیدا نشد بگه که کسی که می تونه توی ان مسیر رجیستری بنویسته باید قبلا UAC رو دور زده باشه
      اگه می تونی توی مسیری که گفتی بنویسی از همون اول برو HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System رو تغییر بده
      ظاهرا کسی حتی این مقاله رو تست هم نکرده - ملت همیشه در صحنه
      موضوع خیلی خیلی سادس جای بحث هم نداره
      Last edited by geek1982; 12-12-2013, 09:15 AM.

      Comment


      • #4
        نوشته اصلی توسط geek1982 نمایش پست ها
        \
        موضوع خیلی خیلی سادس جای بحث هم نداره


        چرا بعضیاتون عادت دارین ارزش یک پست رو پایین بیارید ؟
        با همین بحث ساده کلی روش میشه پیاده سازی کرد. این بحث ساده هم فقط یک سر نخی بود که میشه کلی کار با اون کرد.

        نمیدونم کی میخواین دست بردارین از چرند گفتن

        Comment


        • #5
          نوشته اصلی توسط geek1982 نمایش پست ها
          l4tr0d3ctism دوستم ؟؟؟؟؟؟؟
          هییییی -- این همه تشکر ؟؟؟؟؟؟؟؟؟؟
          یعنی یکی پیدا نشد بگه که کسی که می تونه توی ان مسیر رجیستری بنویسته باید قبلا UAC رو دور زده باشه
          اگه می تونی توی مسیری که گفتی بنویسی از همون اول برو HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System رو تغییر بده
          ظاهرا کسی حتی این مقاله رو تست هم نکرده - ملت همیشه در صحنه
          موضوع خیلی خیلی سادس جای بحث هم نداره

          استفاده عملیش مهم نیست من شخصا تشکر کردم برای اینکه داره زحمت بی مزد می کشه برای اینکه چیزی که فکر می کنه بلده رو به دیگران یاد بده

          اینکه در عمل اجرایی هست یا نه موضوع دیگه ایه ! یه کمی مهربون تر بهش نکته رو می گفتی نه سیخ می سوخت نه کباب

          Comment


          • #6
            با تشکر از Achile و warden دوستان گل شبگردی :*

            کسی نمی تونه بگه این پست جنبه ی تئوری داره و عملی نیست به دلایل زیر

            ==================================
            ارزش پست با این حرف r00tkit یا همون geek1982 عزیز پایین نمیاد نه فقط یک مشکلی وجود داشت که دلیلش این بود که ایشون کمل نخوندن و الان هم در موردش من توضیح میدم که همه و نفراتی که بعدا این مقاله رو می خونن بدونن کامل تست شده هست و چرت ننوشتم


            Geek1982 عزیز و دوست خوب و استاد گرامی تمام دوستان موارد بالا رو عملی تست زدن شما هم یک تست بزن طبق خط به خطی که نوشتم شاید بهتر بود مقاله رو با دقت می خوندید اگه کامل و با دقت می خوندید متوجه چند چیز می شدید


            1 - من اول گفتم تو اون قسمت از رجیستری تغییرات رو اعمال کنید زمانی که UAC فعال نیست و بعد اینکه تغییرات اعمال کردید UAC رو فعال کنید ((( درسته یا نه ؟؟؟ )))

            UAC ویندوز را فعال میکنیم و پسورد روی اون میزاریم

            حالا دوباره logoff میکنیم و OSK.exe را اجرا میکنیم تا CMD.exe اجرا بشه و بعد ان را نمی بندیم و میریم داخل ویندوز و login میکنیم به حساب کاربری
            اینجا قبلا من تغییرات رو اعمال کردم و بعد UAC رو فعال کردم

            2 - به قسمت آخر رجوع کنید یعنی قسمت روش مقابله ببینید دقیقا چی گفتم


            اینجوری کسی اگه بخواد بره داخل رجیستری و اون تغییرات رو اعمال کنه ازش پسورد می خواد پس نمی تونه کاری کنه
            درسته ؟؟؟؟؟

            3 - تاریخ ویرایش پست هم مربوط به" آخرین ویرایش l4tr0d3ctism; دیروز در 08:18 AM." هست و یعنی قبل از پست شما

            پس چیزایی که شما گفتید اشکال نبود خودم از قبل اینا رو گفته بود

            حالا اگه این مقاله اشکالی داره در خدمتم بگید خوش حال میشم

            ====================

            دوستان شبگردی هم پس الکی تشکر نکردن تست کردن دیدن درست بوده و بعد تشکر زدن

            دوباره میگم اگه اشکالی داره بفرمایید خودت که منو میشناسی خوشم میاد از کسی که اشکالات کارمو بگه

            ؟؟؟؟؟؟؟؟؟

            ====================
            Last edited by l4tr0d3ctism; 12-12-2013, 04:01 PM.
            ...

            Comment


            • #7
              سلام
              کار شما مشکلی نداره و اتفاقا درسته،تنها مشکل اینه که یه مدت که به تند خوانی عادت میکنی خیلی از مطالب رو نمیتونی ببینی و مسائل بولد شده و فرمولها بیشتر جلوی چشم میاد(مراجعه شود به مضرات تندخوانی).
              فکر کنم برادر روتکیت هم این مشکل رو داشته باشن،البته یه مقدار هم حق دارن چون شما این قسمتشو بولد کردی " و اصطلاحا Bypass میشه UAC "
              البته بهتره همیشه اول مقاله های مربوط به آسیب پذیری ذکر بشه(به طور بولد شده) که این آسیب پذیری تو کدوم مرحله از هک استفاده میشه تا خواننده برداشت درست کنه واگه خواست مقاله رو بخونه.
              به طور مثال
              مرحله قبل از نفوذ + در حال نفوذ + بعد از نفوذ و نگه داشتن دسترسی (واسه شما این مرحله است)
              البته من به طور کلی نوشتم و خیلی جزئی تره،ولی خب باعث میشه دید طرف بهتر بشه
              مثلا یادمه توی همین سایت یه نفر اومده بود در مورد یه شل لوکال صحبت میکرد،یکی اومده بود بعد از کلی کل کل کردن میگفت ، من فکر کردم اکسپلویت ریموته و لحنش شبیه این بودش که وقتمونو گرفتی.
              بابت روده درازی شرمنده
              فعلا
              دل گفت مرا علم لدني هوس است.......................تعليمم کن اگر ترا دست رس است
              گفتم که: الف،گفت: دگر، گفتم: هيچ...................در خانه اگر کس است، يک حرف بس است

              Comment


              • #8
                من علت خودم رو گفتم سادس و جای بحث نداره کاری با مقاله نداشتم
                ارزش مقاله رو هم پایین نیاوردم - هر کی به جز دوستم l4tr0d3ctism هم بود اصلا پست نمی دادم

                بنیاد کارتون در تغییر در HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options هستش که خودش نیاز به uac داره همممممممین
                خوش باشید

                Comment


                • #9
                  لازم به ذکره که geek1982 با هم یک جور اقوام دور حساب میشیم - خودم ازش خواستم که ایراد علمی بگیره از پستام البته از دوستان دیگم تشکر می کنم ولی منظور ایشون اونی نبود که اسپم بده

                  ============================================

                  و در مورد حرف alieye درسته
                  فقط این فسمت رو قبول ندارم

                  مرحله قبل از نفوذ + در حال نفوذ + بعد از نفوذ و نگه داشتن دسترسی
                  من یک کتاب دارم که دوستانی که منو میشناسم خبر دارن که از 1 سال پیش شروع کردم به نوشتنش تا حالا حدود 850 صفحه شده

                  که برای pentest ویندوز هست و اونجا اومدم فکر کنم حدود 100 تایی آسیب پذیری در ویندوز مثل این و یا حتی روش نوشتن پروتکتور ها و برنامه ای که بتوونه این آسیب پذیری ها رو اتوماتیک تشخیص بده و اون رو رفع کنه رو ساختم ( آموزش نوشتنشم گفتم ) + یک آنتی ویروس که تو همین سایت مشورت هم کردم و ... رو مطرح کردم که برای کسایی که می خوان pentest ویندوز رو انجام بدن ضروری هست ولی از چاپش حتی اگه مجوز هم بدن منصرف شدم

                  قرار نیست مقاله حتما برای هک کردن و نفوذ و اینا باشه

                  از نظر من هک راحته اما امنیت سخت تره

                  الان 1000 نفر هستن که می تونن آنتی ویروس رو بایپس کنن ولی نمی دونن آنتی ویروس چطوری نوشته میشه

                  خیلی هستن می تونن خیلی جاهارو هک کنن ولی نمی تونن یک جایی رو امن کنن که خودشون نتونه هکش کنه

                  ====================

                  متاسفانه علم pentest از نظر ایرانیا همون بحث هک هست و به شیوه ی علوم هکینگ میرن به دنبال تست امنیت یعنی فقط از هک جلوگیری میکنن اونم چطوری هک میکنن و بعد جلوگیری می کنن از اون روش هک و همین جوری تا آخر

                  و روشی مثل بالا رو مد نظر ندارن که اونم یک آسیب پذیری هست و باید اون قسمت از رجیستری رو محدود کنن ولی نمی کنن

                  من واقعا در هر پت تستی که انجام میدم برای ویندوز 100 آسیب پذیری کوچیک و بزرگ رو رفع میکنم و بعد اپدیت و در قالب یک گزارش می نوسیم

                  =====================

                  شما بیاید یک پست رو از من پیدا کنید که در مورد هک باشه من کلا در مورد امنیت دارم می نویسم
                  Last edited by l4tr0d3ctism; 12-13-2013, 11:27 AM.
                  ...

                  Comment


                  • #10
                    من یک کتاب دارم که دوستانی که منو میشناسم خبر دارن که از 1 سال پیش شروع کردم به نوشتنش تا حالا حدود 850 صفحه شده
                    مشتاقانه منتظر ریلیز (چاپ) هستیم....

                    موفق باشید.

                    the quieter you become, the more you are able to hear

                    Comment

                    Working...
                    X