Openssh boobytrap

Ik ben een security auditor in opleiding dus neem mijn mening niet aan als die van een professional. Persoonlijk wil ik eerst weten hoe de exploit werkt. Klakkeloos scripts van andere draaien dat kan iedereen nog wel, maar weten waarom een exploit werkt is naar mijn mening belangrijker. Verder test ik exploits ook niet op een productie machine, maar altijd in een VM onder dezelfde omstandigheden.

Verwijderd schreef op woensdag 15 juli 2009 @ 17:20:
Meestal is het vrij duidelijk hoe een exploit werkt. Ergens gaat het niet goed met de buffer, stack, heap (of in sql met de webparameters, cookie input oid) kortom de invoer wordt niet (goed) gecontroleerd).

Daar heb je ook debuggers voor om te zien wat er aan overrun of overflow wordt gegenereerd.

Verwijderd schreef op woensdag 15 juli 2009 @ 17:20:
Meestal is het vrij duidelijk hoe een exploit werkt. Ergens gaat het niet goed met de buffer, stack, heap (of in sql met de webparameters, cookie input oid) kortom de invoer wordt niet (goed) gecontroleerd). Het probleem met die C-exploits is dat die shellcode totaal onleesbaar is. Terug conferteren naar ASM is een optie maar erg tijdrovend.

Ik snap hoe een exploit werkt. Ik bedoel dat voordat ik een exploit uitprobeer ik eerst uitzoek hoe deze werkt. Dus idd omzetten naar assembly of in een debugger gooien. En vervolgens in de bron code van het pakket waarvoor de exploit geschreven is gaan kijken waarom en hoe de exploit werkt. Zo leer je een hoop bij. Domweg een aantal exploits van milw0rm downloaden en kijken welke er wel of niet werkt kan iedereen namelijk.

Er zit natuurlijk wat verschil in hoe ver je een exploit kunt vertrouwen. Van een exploit in metasploit ga ik er vanuit dat het met m'n eigen systeem in ieder geval niks verkeerds doet. Van een binary-only Linux executable ga ik er vanuit dat het juist alleen m'n eigen systeem stuk maakt

Bij een 'exploit' als de aangehaalde openssh 'boobytrap' lees ik gewoon de code. Vaak zie je dan snel zat dat het nergens op slaat. Alleen al de tekst 'need root for raw socket, etc...' is een dead give-away dat dit geen echte exploit is.

Verder inderdaad enigszins een idee hebben wat een exploit doet. Tegenwoordig zijn ze wel dermate ingewikkeld dat het teveel tijd kost om het tot in detail te snappen, maar ik probeer in ieder geval het basisidee van de bug en de exploit wel te begrijpen.