hallo,
ich habe mir den Quellcode vom Blasterwurm (20 mal) reingezogen.
Hochinterresannt.

ok,
1.Ist der Blasterwurm Nur gefährenlich,wenn man ein Windowsupdate macht?ja/nein

2.Ich kenne 2 Theorien:
a) Der Blasterwurm gibt sich als Windowsupdate-Server aus.
b) Sowie ich es sehe, per Zufallsgenerator wird eine IP erzeugt z.b. 123.123.123.123
diese wird an Port 135 verbunden.Wenn hinter der IP eine Windowskiste xpsp1 sitzt, Bumm.

3.Blaser_dos_thread() ist nur da, um den Windowsupdate.com - Server mit syn zubobadieren?

4.Wenn ich ein Router besitzte, kann der Blasterwurm nichts antun.Warum?
a) Der Router weis bescheit über den Blasterwurm?
b) Der Router läst nur Packet mit einer IP rein, wo einen Anfrage ins Internet gesetellt worden war.

5.letzte Frage:
Der ausführbare Code:z.b. 0x90 0x90 wo kann ich nachgucken, was der bedeutet.Ist der Code gleichgestellt, wie eine exe Datei?

Sprechen wir vom 2003 Blaster Wurm? aka Lovesan?

Der nutzte damals einen Buffer Overrun im DCOM RPC Interface (www.packetwatch.net/documents/papers/windows-dcom-rpc.pdf).

Neben Port 135 sind auch die TCP Ports 139, 135, 445 and 593 betroffen.

Genauere analyse des Blaster Wurms: http://isc.sans.org/diary.html?date=2003-08-11

PDF mit einer etwas anderen analyse: pferrie.tripod.com/papers/blaster.pdf

Genaugenommen ist der Blaster aber kein Wurm, sondern ein Blender Threat, also eine Schadsoftware die die Techniken von Viren, Trojanern, Wuermern und automated Exploits vereint (fehlt eigentlich nur eine schoene Kryptoroutine^^).
Mehr dazu und ein paar Code Beispiele hier: http://www.sans.org/security-resources/malwarefaq/w32_blasterworm.php

Eigentlich sollte die Geschichte aber auf jedem gut geupdatetet System wirkungslos sein.

Ist der Blasterwurm Nur gefährenlich,wenn man ein Windowsupdate macht?ja/nein
Nein, damit hat er von Deinem Punkt 3 abgesehen überhaupt nichts zu tun...

Der Blasterwurm gibt sich als Windowsupdate-Server aus.
Nein.

Sowie ich es sehe, per Zufallsgenerator wird eine IP erzeugt z.b. 123.123.123.123
Weiß ich nicht, kann ich mir aber eher nicht vorstellen. Der Wurm wird bekannte Adressen nutzen, nicht einfach ins Blaue schießen.

diese wird an Port 135 verbunden.
Jein. Spätere Varianten attackieren auch WebDAV.

Blaser_dos_thread() ist nur da, um den Windowsupdate.com - Server mit syn zubobadieren?
Vermutlich mehr als nur Syns, aber ja.

Wenn ich ein Router besitzte, kann der Blasterwurm nichts antun.Warum?
Weil Du von einem DSL-Router sprichst, bei dem Du das Port-Forwarding erst explizit aktivieren müsstest, damit Dein Port 135 überhaupt erreichbar ist.

Der ausführbare Code:z.b. 0x90 0x90 wo kann ich nachgucken, was der bedeutet.Ist der Code gleichgestellt, wie eine exe Datei?
Ja. In einer PE-Referenz oder einem Handbuch zur x86-Plattform.

Achte bitte ein bißchen auf Deine Schrift, Grammatik und Interpunktion.

@Rodnox
*thx*
genau der alte von 2003 :-)
ich check mal deine links.

@Shakademus
*thx*



Weil Du von einem DSL-Router sprichst, bei dem Du das Port-Forwarding erst explizit aktivieren müsstest, damit Dein Port 135 überhaupt erreichbar ist.


Was mich wundert,wie funkt dann Emule? Da habe ich keine Weiterleitung ?!
Trotzdem können User von meinem Euleverzeichnis zugreifen,trotz DSL Router.



Ja. In einer PE-Referenz oder einem Handbuch zur x86-Plattform.

Ich werde auf jeden Fall googlen, nach der Referenz, aber hast du eine Gute Seite oder Buch Tip.

Weil Du von einem DSL-Router sprichst, bei dem Du das Port-Forwarding erst explizit aktivieren müsstest, damit Dein Port 135 überhaupt erreichbar ist.


Was mich wundert,wie funkt dann Emule? Da habe ich keine Weiterleitung ?!
Trotzdem können User von meinem Euleverzeichnis zugreifen,trotz DSL Router.
Dein Client verbindet sich nach draußen. Das tut der RPC-Dienst nicht.




Ja. In einer PE-Referenz oder einem Handbuch zur x86-Plattform.

Ich werde auf jeden Fall googlen, nach der Referenz, aber hast du eine Gute Seite oder Buch Tip.
Z. B.:
http://developer.intel.com/design/pentiumii/manuals/243191.htm

Die Wälzer gab's früher auch mal kostenlos bei Intel zu bestellen.

Wieso sind unsere Aussagen PHP-Code?

thx all
ich habe nicht auf die schnelle die "Zitat von..." gefunden, deswegen php :-)
eure Links sind Goldwert.

Reine Spekulation:
Irgendjamend (DSL Router mit Windows xp mit sp1 ohne Firewall) verbindet sich mit mir,per ftp auf eine Seite(linux server ist neben mir) .In wie fern kann nicht dcom rpc Exploit nutzen.

Reine Spekulation:
Irgendjamend (DSL Router mit Windows xp mit sp1 ohne Firewall) verbindet sich mit mir,per ftp auf eine Seite(linux server ist neben mir) .In wie fern kann nicht dcom rpc Exploit nutzen.
Was willst Du uns mitteilen?


Achte bitte ein bißchen auf Deine Schrift, Grammatik und Interpunktion.

hallo,
ok, jetzt im besseren deutsch.

Reine Spekulation:
Ein Irgendjemend( Böser Mensch ), mit einem Betriebsystem Win xp/sp1 ohne Firewall loggt sich mit test/test auf meinen ftp Server ein. In wie fern kann ich den dcom rpc Exploit nutzen um zurückzuschlagen.

PS: Ich habe es geschaft mich über dcom auf einem Windows 2000 Computer einzuloggen.
:-) :-) :-)

hallo,
nach dem gesendeter Exploit sende ich den Shellcode,
was kann ich mir unter einen Shellcode mir vorstellen?
Wird einfach die Eingabeaufforderung aufgerufen?

Ein Irgendjemend( Böser Mensch ), mit einem Betriebsystem Win xp/sp1 ohne Firewall loggt sich mit test/test auf meinen ftp Server ein. In wie fern kann ich den dcom rpc Exploit nutzen um zurückzuschlagen.
Zurückschlagen? Ja ne, is klar...

Das kannst Du theoretisch dann tun, wenn die Schwachstelle nicht gepatcht und der Dienst aktiv sowie von Deiner Position aus erreichbar ist.

was gepatcht?Welcher Dienst?

was gepatcht?
823980 (http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de)?

Welcher Dienst?
DCOM?

ok thx,
bevor ich was falsch verstehe, nochmal zusammengefast.

Böser Mann:

Winxp Sp1 (friesch installiert)
- keine Update, Firewall und keine SP´s installiert.
- feste ip 192.168.2.201
stinknormaler Arcor Router (Firewall deactiv,keine Weiterleitung)

Ich:
Suse Linux 10.3
- C Compiler
stinknormaler Arcor Router(dyndns + Port 21 Weiterleitung aktiv)
- feste IP 192.168.2.202

Ich habe ein kleines Prog in C geschrieben. Das Prog simuliert ein FTP server, aber nur die Anmeldung wie User/Passwort Eingabe.(war einfach).
Wenn der Böse Mann sich z.b. 5 mal einloggt, dann soll der Dcom Exploit beim Bösen Mann ausgenützt werden.

Was mit Bauchschmerzen macht:
Der Böse Mann schreibt bei User: test.Mein Programm antwortet immer mit "User ok, geben sie jetzt im Passowort ein" (etwas anderes kann mein Prog noch nicht).
Soweit so gut. Ich will zusetzlich noch mein DCOM Buffer overflow senden.Aber der B.O. soll auf Port 135 eingehen und nicht auf ftp antworten.

Muss ich jetzt die Packte als RAW Socket senden?
Wie könnte eine grobe Lösung aussehen?

Nur weil jemand sich bei dir einlogt, willst du ein Straftat begehen?
Das ist so, wie wenn jemand bei dir an der Tür läutet und du ihn erschiesst?

Wie kannst du dir sicher sein, dass er ungeschützt ist. Raw sockets brauchst du nicht, weil du über tcp/ip bzw. UDP kommuniziert. Fehlerhaftes bzw. präpariertes Paket schicken in dem dein shellcode drinnen ist. anschließend kannst du dich auf einem vorher definierten port connecten.

diese exploits funktionieren so, dass du dem prozessor sagst, dass er deinen gerade gesendeten code ausführen soll, der eine art server startet. ich hoffe jetzt ist es klarer wie es abläuft.

stinknormaler Arcor Router (Firewall deactiv,keine Weiterleitung)
Schau Dir nochmal Deine vorherigen Fragen und meine Antworten an. Kurz: Ohne Weiterleitung ist er nicht verwundbar...

Schau Dir nochmal Deine vorherigen Fragen und meine Antworten an. Kurz: Ohne Weiterleitung ist er nicht verwundbar...

ok thx.



Nur weil jemand sich bei dir einlogt, willst du ein Straftat begehen?
Das ist so, wie wenn jemand bei dir an der Tür läutet und du ihn erschiesst?


Zumindest hast du mich verstanden :-)
Ich weis, das ist nicht erlaubt. Wie gesagt, ich lasse den Server nur kurz offen und logge mich selber ein. Es ist nur eine Spielerei.



Wie kannst du dir sicher sein, dass er ungeschützt ist



Ich gebe das Server Prog z.b. meinen Nachbar und logge mich dann von zuhause per ftp selber ein.




Fehlerhaftes bzw. präpariertes Paket schicken in dem dein shellcode drinnen ist. anschließend kannst du dich auf einem vorher definierten port connecten.


hhhhmmmm, meinst du ich soll den ftp Client angreifen?

ok thx.
Ich gebe das Server Prog z.b. meinen Nachbar und logge mich dann von zuhause per ftp selber ein.


gib ihm halt eine schönes programm, das er lange benutzt und du einen trojaner anhängst. gutes altes bo2000. oder setz eine virtuelle maschine auf, dann kannst gefahrlos testen.
über eine router rüber kommen ist schwer, ausser du machst es über den browser deine opfers. da kannst einen back connect machen.

ok,
ähhh ich halte nichts von Trojaner, keine Ahnung, wirgendwie uncool :-)

Zum Thema Router, ich habe vor, einen Router(gebracuht) von allen Seiten zu fotografieren.
Dann löte ich alle Bauteile ab und scanne die Platine ein. Ein Programm(schreibe ich selber) soll mit dann ein Schaltplan ausgeben. Sollte nicht schwer sein.
Das Eprom will ich dann auslesen. Mal gucken wie seit ich komme.

Mein bestelltes Buch Assembler ist heute gekommen. Der Grund war, den ausführbaren Code vom Blaserwurm besser zuverstehen, ich hoffe dass ich Grundlagen vom dem Buch auch für das Eprom verwenden kann.

Nur so nebenbei. Einer probiert sich per ftp sich einzuloggen, nach dem 5ten mal sag ich "Password OK", und dann leite ich den ftp client um auf eine http://blablal Seite, würde das gehen?

du solltest dir erstmal die protokolle ansehen. redirekt von http auf ftp geht. ftp hat sowas nicht installiert.
du kannst die platine auslöten, das wird dir aber nicht viel helfen, weil die meist 4 lagig sind. also 2 versteckte layer haben. manchmal auch mehr. und chips zusammenschustern ist nicht einfach so. besonders wegen laufzeiten und so solltest dir vorher gedanken machen. lieber mit einem atmel mal anfagen und daran was anschließen. einfache pc comm, das ist schwer genug, wenn man keine vorahnung hat.
assembler ist nicht die basis aller dinge, obwohl (fast) jede sprache darauf runtergebrochen wird. c ist da ein besserer anfang.
klein anfangen, aber nicht bei der neuerfindung des rades.

du solltest dir erstmal die protokolle ansehen. redirekt von http auf ftp geht. ftp hat sowas nicht installiert.


schade.War eine Idee.



du kannst die platine auslöten, das wird dir aber nicht viel helfen, weil die meist 4 lagig sind. also 2 versteckte layer haben.


Das haben schon meine Arbeitskollegen gesagt :-)
Ich arbeits gerade an einem neuen Projekt:
Platine -> mein Prog -> Schaltbild.
Ich bin gezwungen die einzelnen Schichten abzuflecksen und dann einscannen.




besonders wegen laufzeiten und so solltest dir vorher gedanken machen. lieber mit einem atmel mal anfagen und daran was anschließen. einfache pc comm, das ist schwer genug, wenn man keine vorahnung hat.
assembler ist nicht die basis aller dinge, obwohl (fast) jede sprache darauf runtergebrochen wird. c ist da ein besserer anfang.
klein anfangen, aber nicht bei der neuerfindung des rades.

Protokolle von http und ftp habe ich von ein paar Monaten überlogen, aber ich bleib dran.