Definir el valor del Registro EIP utilizando pattern_create y pattern_offset
El presente escrito se basa en la publicación de nombre “Utilizar Fuzzing para Encontrar Desbordamientos de Buffer”, cuyo enlace se encuentra en la parte final.
El presente escrito se basa en la publicación de nombre “Utilizar Fuzzing para Encontrar Desbordamientos de Buffer”, cuyo enlace se encuentra en la parte final.
El Fuzzing implica enviar datos deformados hacia las entradas de una aplicación, para luego vigilar por comportamientos anómalos como una caída o mal funcionamiento. Esto indicaría el incorrecto filtrado de las entradas hacia la aplicación, lo cual podría conducir a descubrir vulnerabilidades explotables.
Para la siguiente demostración se utilizará la aplicación vulnerable de nombre "vulnserver" en un sistema Windows 7.
VulnServer es una aplicación servidor TCP basada en Windows diseñado para ser explotado. El programa esta hecho para ser utilizado como herramienta de aprendizaje para enseñar sobre los procesos de la explotación del software, como también un buen programa victima para evaluar nuevas técnicas de explotación y shellcode.
Un Shellcode o también denominado como “bytecode” es un conjunto de comandos máquina de bajo nivel, lo mismo encontrado dentro de un archivo ejecutable. Con una shellcode es factible, ejecutar un archivo, reiniciar el sistema, establecer una conexión remota, entre otra diversidad de acciones. Es el código a ser insertado en un exploit para cumplir una tarea requerida.
Immunity Debugger el Depurador Inmmunity es una poderosa nueva manera para escribir exploits, analizar malware, y realizar ingeniería inversa a archivos binarios. Se construye sobre una sólida interfaz de usuario con representación gráfica de funciones, es la primera herramienta de la industria construida específicamente para creación de pila, con una amplia y bien soportada API Python para una fácil expansión.
Entre sus características principales se enumeran.
OpenVAS (Open Vulnerability Assessment System) es un framework de diversos servicios y herramientas los cuales proporcionan una completa y poderosa solución para el escaneo de vulnerabilidades y gestión de vulnerabilidades. El escaner esta acompañado de actualizaciones diarias de NVTs (Network Vulnerability Tests). Todos los productos OpenVAS son Software Libre. Y la mayoría de componentes bajo licencia GNU GPL.
Para la siguiente demostración se realizará un escaneo de vulnerabilidades externo contra un objetivo remoto, sin utilizar credenciales válidas.
XMount-GUI permite la conversión al vuelo entre diversos tipos de imágenes de discos duros de entrada y salida. Xmount crea un sistema de archivos virtual utilizando FUSE (Filesystem in Userspace) el cual contiene una representación virtual de la imagen de entrada. La representación virtual puede estar en DD Bruto, formato de archivo de disco virtual de VirtualBox o en formato de archivo VMDK de VmWare. Las imágenes de entrada pueden estar en DD Bruto, EWF (Expert Witness Compression Formar) o AFF (Advanced Forensic Format).
Forensic Registry EDitor (FRED) o Editor Forense del Registro, es un editor de colmenas para el registro de Microsoft Windows. El proyecto nació por el requerimiento de tener un razonablemente buen visor para las colmenas del registro de Windows, al momento de realizar análisis forense. Incluye algunas funcionalidades no encontradas en editores de registros “libres” normal como un visor hexadecimal con interprete de datos y una función de reporte la cual puede ser fácilmente ampliada con plantillas de reporte personalizadas ECMAScript·
Un función de cifrado hash es una función la cual es considerada como prácticamente imposible de revertir, es decir, recrear el dato de ingreso desde solo el valor hash. El dato de ingreso es frecuentemente nombrado como el “Mensaje”, y el valor hash resultante es frecuentemente nombrado como el “resumen del mensaje” o simplemente “resumen”.
Una suma de verificación es un dato de tamaño pequeño desde un bloque de datos digital para el propósito de detectar errores, los cuales pueden haber sido introducidos durante su transmisión o almacenamiento
Durante un análisis forense es muy útil crear una cronología o línea de tiempo, la cual permite rastrear y seguir las actividades relacionadas al tiempo de los archivos residentes en un dispositivo de almacenamiento. Este es un proceso delicado, pues se deben considerar factores como la zona horaria del país donde se capturó la evidencia digital (GMT / UTC); la cual puede ser diferente a la del analista; de esta manera se contextualiza perfectamente los tiempos.
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero