Personal information:

A Coruña, Galicia, Spain

sábado, 23 de octubre de 2010

HP Data Protector Media Operations 6.11 HTTP Server Remote Integer Overflow DoS

Hola de nuevo!,

hace un par de post (aquí) hablamos sobre una denegación de servicio en esta aplicación de HP.
De nuevo, otra denegación de servicio ha sido encontrada pero esta vez en el servidor HTTP que el módulo DBServer.exe implementa en el socket TCP/80.

Esta es disparada cuando el cliente envía al server una petición POST con un contenido suficientemente largo, como mínimo 0x8000 bytes.

Cuando el servidor se para a manejar la longitud de esta petición lo hará de forma incorrecta, manipulándola sin comprobaciones y como si se tratase de un signed int:



Esto conlleva a un comportamiento inesperado del flujo de ejecución, que por el camino inicia un puntero a 0x00 y es desreferenciado más adelante:



Bajo estas circunstancias este bug no puede ser explotado.

El PoC:



-H4ppyH4ck1n9-
Publicado por en No hay comentarios:

sábado, 16 de octubre de 2010

Novell eDirectory DHost Console 8.8 SP3 Local SEH Overwrite

Buenas a tod@s!,

acabo de encontrarme con un stack overflow en la consola (DHOSTCON.exe) para el servicio DHOST.exe de Novell eDirectory, en el cúal suministrando en la entrada un string suficientemente largo (1074 bytes) podremos sobreescribir el SEH, y alcanzar la ejecución de código de forma local.

Esto se debe a la ausencia de comprobaciones que deberían aplicarse a los parámetros suministrados por el usuario; así, los argumentos son copiados a pelo a un búfer de tamaño fijo,y claro está que menor que nuestro string :) .

En el screenshot inferior se puede apreciar el SEH sobreescrito, la dirección que contiene el PPR al que salta, y nuestro shellcode (INT3 - 0xCC):



Aquí el PoC:



-H4ppyH4ck1n9-
Publicado por en 3 comentarios:

miércoles, 6 de octubre de 2010

HP Data Protector Media Operations 6.11 “DBServer.exe” NULL Pointer dereference Remote Denial of Service

Buenas a tod@s!,

otro bug (pre-auth) en esta aplicación de HP, causado por un puntero inicializado a 0, que gracias a nosotros permanecerá en ese valor y será desreferenciado :).

Si estáis interesados, aquí podréis encontrar más información.

[+] PoC:



Sed buenos :)

-H4ppyH4ck1n9-
Publicado por en No hay comentarios:

domingo, 3 de octubre de 2010

Bypassing SEHOP

Pues si, un nuevo método anda circulando por la red.
Se trata de un nuevo bypass de esta protección, que podréis encontrar bien explicadito
aquí.

Es interesante y está bien saberlo ;)

-H4ppyH4ck1n9-
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)