www.blackhat.kz

BSQL (Blind SQL) Hacker is an automated SQL Injection Framework / Tool designed to exploit SQL injection vulnerabilities virtually in any database.
BSQL Hacker aims for experienced users as well as beginners who want to automate SQL Injections (especially Blind SQL Injections).

It allows metasploit alike exploit repository to share and update exploits.

Пример использования | Скачать | Сайт

p.s. совсем нет времени писать в блог, новостей много, есть пару статей..не хватает времени. Если среди вас есть кто нибудь кто хочет взять на себя ленту новостей, добро пожаловать в icq 984541.

Immunity Security выложили в public руткит под IA-32 Linux.
Руткит не использует банальные технологии на подобии модификации таблицу системных вызовов,либо прямой перехват функций.

An IA32 Debug Register based rootkit (last updated: 9/4/2008 SHA1: 2048f537ab3459b21150c2d0b09a042737758d39)

Отличная вещь для тестирование ваших анти-руткитов ;)

Нашлось время прочесть README:
О рутките
=====

DR rootkit использует регистры предназначенные для отладки, т.е. отладочные регистры.
Руткит не модифицирует IDT или syscall_table на прямую, но все равно позволяет перехватывать системные вызовы на архитектуре IA32.

Возможности
========
Перехват системных вызовов без модификации IDT или syscall_table.
Руткит устанавливает аппаратные прерывания на описатель системного вызова, и в момент прерывания подменивает адрес обработчика. Т.е. когда ядро пытается считать адрес обработчика того или иного вызова, срабатывает исключение, в котором руткит заменяет адрес функции.
И не важно как вызывается обработчик, через INT 0×80 или sysenter.

Execute global breakpoint on syscall handler in dr0, syscall is called,
breakpoint kicks in. Modified do_debug handler places global read watch
on syscall_table[__NR_syscall]. When syscall is called, memory access
breakpoint kicks in. Modified do_debug handler places function pointer
to hooked syscall in task regs eip. Execution is redirected to hooked
syscall. Repeat.

В недавно обнаруженной уязвимости в Microsoft Windows версии nslookup.exe, инструмент для поиска IP-адреса с помощью системы DNS, затрагивает :

- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 98
- Microsoft Windows 98SE
- Microsoft Windows ME
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Workstation 4.0 SP6
- Microsoft Windows NT Workstation 4.0 SP5
- Microsoft Windows NT Workstation 4.0 SP4
- Microsoft Windows NT Workstation 4.0 SP3
- Microsoft Windows NT Workstation 4.0 SP2
- Microsoft Windows NT Workstation 4.0 SP1
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional 

Как считают специлаисты уязвимость во всю используется «in the wild» ( в природе ).
Согласно SecurityFocus, неустановленное уязвимость позволяет злоумышленникам удаленно выполнять код.

В настоящее время не существует патч для проблемы. Microsoft заявила, что они знают о проблеме и идет расследование, однако не известно, когда Microsoft будет предоставлять патч.

Video of Poc (Ivan Sanchez)

Есть идея написать скромный анализатор пакетов на основе сигнатур ( об этом позже ) для Windows, на основе WinPcap. У меня есть привычка, может быть плохая, не могу использовать что-то, не зная как оно работает. Поэтому я начинаю цикл «мини» статей в которых постараюсь хоть не много раскрыть архитектуру драйвера перехватчика WinPcap. Пожалуй начнем.

Что такое WinPcap.
WinPcap происходит от двух слов, Windows и Pcap. Что такое Windows думаю понятно, а вот про Pcap я все таки «копипастну» из вики для ленивых :

Библиотека Pcap (Packet Capture) позволяет создавать программы анализа сетевых данных, поступающих на сетевую карту компьютера. Примером программного обеспечения использующего библиотеку Pcap служит программа Wireshark. Разнообразные программы мониторинга и тестирования сети, снифферы используют эту библиотеку. Она написана для использования языка С/С++ так что другие языки, такие как Java, .NET и скриптовые языки использовать не рационально. Для Unix-подобных систем используют libpcap библиотеку, а для Microsoft Windows NT используют WinPcap библиотеку. Программное обеспечение сетевого мониторинга может использовать libpcap или WinPcap, чтобы захватить пакеты, путешествующие по сети и в более новых версиях для передачи пакетов в сети. Libpcap и WinPcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов содержащих сохранённые пакеты. Программы написанные на основе libpcap или WinPcap могут захватить сетевой траффик, анализировать его. Файл захваченного траффика сохраняется в формате, понятном для приложений, использующих Pcap.

Архитектура драйвера. Начало

Начнем сразу с исходного кода драйвера. Функция DriverEntry, которую вызывает ядро при загрузки драйвера в адресное пространство ядра, находится в файле Packet.c ( WpcapSrc_4_0_2\winpcap\packetNtx\driver\Packet.c ). Сразу говорю, не пугайтесь.Ничего сверх естественного в коде нет, кто когда нибудь писал код для ядра windows поймет сразу что и как происходит в этой функции.

Прочтите эту запись до конца »

Bypassing Browser Memory Protections – Setting back browser security by 10 years с таким заявлением выступили на BlackHat.com USA 2008, Alexander Sotirov и Mark Dowd.
Цитирую :

За последние несколько лет, Microsoft осуществила ряд механизмов защиты памяти с целью предотвращения надежной эксплуатации общих уязвимостей программного обеспечения на платформу Windows. Защита механизмов, таких как GS, SafeSEH, (Data Execution Prevention) DEP и ( Address Space Layout Randomization ) ASLR осложнить эксплуатации многих уязвимостей.

Мы хотим поговорить об использовании уязвимостей для более сложных задач.Мы продемонстрируем, каким образом присущие недостатки проектирования механизмов защиты в Windows Vista сделать их неэффективными для предотвращения использования уязвимостей в браузерах и других клиентских приложений.

Более подробную информацию о докладе можно прочитать тут.

Для тех кто не в курсе что это, советую погуглить. Название софтины говорит само за себя, это Анти-руткит. Программа для обнаружения руткитов в системе Windows. Я сам часто использую эту программу, действительно грамотно написана.
RkU умеет искать и снимать перехваты:

• Скрытые процессы;
• Перехваты ( как inline так и замена адреса функций ) в SSDT & Shadow SSDT;
• Скрытые драйвера;
• Скрытый код;
• Файлы
• Перехватчики ( хуки ) в АП процессов;

Скачать:
http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html
df4536abcf25ec8f77c91f2b058e4c02 *RkU3.8.341.552.exe
Locals
http://rapidshare.com/files/134702156/2local.rar.html

Обзор p0f – Анализ сетевого трафика.
Определение версии операционной системы,железа путем пассивного анализа сетевого трафика.

1. Вступление.
2. Термины.
3. Описание p0f.
4. Зачем это нужно ?
5. Как это работает ?
6. Анализ.
7. Ссылки.

1. Вступление.

В данной статье, я хочу показать как можно путем анализа сетевого трафика определить версию ОС генерирующий трафик. Я буду использовать утилиту p0f v2 ( http://lcamtuf.coredump.cx/p0f.shtml ) – универсальный инструмент для пассивного анализа сетевого трафика. Более подробное описание и методы работы утилиты вы можете посмотреть на сайте. Расскажу коротко, программа может пассивно анализировать активный сетевой трафик в среде компьютерной сети, либо анализировать уже перехваченный снифером трафик, предварительно сохраненный в файле. Я буду использовать p0f на виртуальной машине с ОС FreeBSD 7.0. Программу легко можно поставить с портов «cd /usr/ports/net-mgmt/p0f & make install clean». В качестве устройств генерирующих трафик я буду использовать свою машину с установленной на ней Windows XP Sp2, эмулятор Cisco 3725 с IOS’ом версии 12.3(14)T7, и конечно же Allied.

+ Windows XP SP2 RUS – 10.1.10.31
+ Dynamips 0.2.7-RC1 + GNS3. ISO : 12.3(14)T7 – 10.1.10.32
+ Allied Telesyn AT-8724XL version 2.7.4-02 22-Aug-2005 – 10.0.103.2

Прочтите эту запись до конца »