Stegosploit Was Never An Exploit - My Paper, Toolkit And Thoughts

本博客通常保留用于The Exploit Laboratory的更新，但我想借此发表一篇关于我最新漏洞交付技术——Stegosploit的“客座文章”。

过去五年，我一直在研究使用隐写术进行浏览器漏洞交付。我在全球多个会议上介绍过这些技术。去年，我在将隐写术与文件格式多态性结合方面取得了一些突破。Stegosploit的目标是展示我的座右铭：“好的漏洞利用应以风格交付”。我于2015年5月28日在Hack In The Box 2015阿姆斯特丹会议上演示了这项技术。我“绘制”了一个漏洞在我好友Kevin McPeake的脸上，作为通过图像进行浏览器漏洞交付的演示。在我的幻灯片中，我明确表示Stegosploit不是一个漏洞利用（尽管它有一个可爱的标志）。见幻灯片7。

我向iDigitalTimes和Vice Motherboard的记者进行了私下演示，他们在媒体文章中非常彻底地进行了事实核查，并尽可能准确地呈现了这项研究。

然后，发生了一些事情。Reddit和Twitter上出现了许多对我工作的尖锐评论。这些反弹是由那些没有参加我的演示、没有看过任何演示甚至没有费心研究我提供的技术细节的评论者引起的。相反，这些只是基于我在SyScan 2015和HITB 2013上的旧演示的推测和推断——这些技术最多只能被描述为Stegosploit的前身。

与其推测这项技术的优缺点以及我的工作和研究能力，我建议你阅读PoC||GTFO第0x08期关于Stegosploit的详细论文，这是发表此类研究的唯一合适期刊！

随论文一起，我还发布了Stegosploit v0.2工具包，它被打包成该期杂志中的一个PNG图像。提取工具是一个有趣的练习，对于那些这样做的人来说，它能让你更好地欣赏这类研究。提示：“unzip pocorgtfo08.pdf”。

Oliver Söhlke在Vulnerability Magazine上发表了一篇写得非常好的采访，澄清了我的立场和Stegosploit的目的，同时记录了Stegosploit在规避检测方面的效果。

最后，我确实想公开感谢The Medium文章的作者诚实 enough 地修正了他的错误。

我期待他关于这个话题的新文章。

我对那些有兴趣分析或剖析信息安全研究主题的人的最后建议是——当有疑问时，请询问研究人员，而不是发起一场 troll 盛宴。我们很乐意帮助你进行事实核查并纠正任何错误的假设。我们很友好。

Posted 27th June 2015 by The Exploit Laboratory

Labels: evasion exploit hitb2015ams POCorGTFO poc||gtfo steganography stegosploit technique

ARM-X and a brand new IoT CTF challenge

几天前，我发布了ARM-X固件仿真框架。我的目标是尽可能接近拥有一个IoT虚拟机。ARM-X有几个应用。我编写它是为了仿真和渗透测试IoT设备，并用于在我的ARM IoT Exploit Laboratory培训中教授漏洞开发。ARM-X还可用于模糊测试IoT目标和托管IoT CTF挑战！

ARM-X Preview VM

我于2019年10月23日发布了ARM-X的预览VM以及代码。该镜像是使用Alpine Linux作为主机操作系统的VMWare虚拟机，仅仅因为我无法容忍systemd。ARM-X的预览版本预加载了两个仿真的IoT设备：

• DVAR - Damn Vulnerable ARM Router，最初作为TinysploitARM发布
• Trivision 227WF IP Camera

ARM-X CTF Challenge #1

正如预期的那样，Trivision IP Camera存在一些严重漏洞。目前我们知道有三个漏洞。可能还有更多潜伏在阴影中。第一个有效的漏洞利用和write-up将赢得我提供的特殊Ringzer0“0-day盒子”！

在接下来的几天里，我将提供关于如何使用gdb和gdbserver与ARM-X进行调试的提示，使用动态分析工具如strace和ltrace等。关注@therealsaumil获取更新。

Posted 26th October 2019 by therealsaumil

Labels: ARM ARMX CTF DVAR emulation exploit development exploit laboratory exploitlab firmware framework fuzzing iot QEMU ringzer0 Ringzero therealsaumil tinysploit

DVAR ROP Challenge - Bonus Round Unlocked!

THE ARM IoT EXPLOIT LABORATORY

当我第一次发布Damn Vulnerable ARM Router时，我承诺会宣布DVAR Bonus Challenge。

我在等待第一个栈溢出练习成功完成后再宣布奖励挑战。

@JatanKRaval提供了第一个有效的解决方案，所以——奖励回合解锁！

DVAR挑战的第二部分是利用“/usr/bin/lightsrv”交通信号灯服务器中的栈溢出。lightsrv在启动时自动启动，并监听端口8080。

你的任务是：

• 找到lightsrv的缓冲区溢出向量
• 使程序崩溃并获取pc=0x41414140
• 构建一个适当的ROP链（XN已启用！）
• 获得一个可用的shell！

提示：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

exploitlab-DVAR:~# ps
  PID USER  VSZ STAT COMMAND
    :    :    : :    :
  245 root  656 S    /usr/bin/miniweb
  246 root  640 S    /usr/bin/lightsrv <------- [TARGET]
  292 root 1016 S    -ash
  321 root 1012 R    ps

exploitlab-DVAR:~# cat /proc/$(pidof lightsrv)/maps
00010000-00012000 r-xp 00000000 08:00 512   /usr/bin/lightsrv
00022000-00023000 rw-p 00002000 08:00 512   /usr/bin/lightsrv
40000000-40064000 r-xp 00000000 08:00 185   /lib/libc.so
40064000-40065000 r-xp 00000000 00:00 0     [sigpage]
40073000-40074000 r--p 00063000 08:00 185   /lib/libc.so
40074000-40075000 rw-p 00064000 08:00 185   /lib/libc.so
40075000-40077000 rw-p 00000000 00:00 0
40078000-40089000 r-xp 00000000 08:00 2791  /lib/libgcc_s.so.1
40089000-4008a000 rw-p 00009000 08:00 2791  /lib/libgcc_s.so.1
befdf000-bf000000 rw-p 00000000 00:00 0     [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0     [vectors]

如果你还没有玩过DVAR，从这里下载： http://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html

UPCOMING ARM IoT EXPLOIT LABORATORY TRAINING

• Cansecwest Vancouver 2019 (4天) 3月16-19 https://cansecwest.com/dojos/2019/exploitlab.html

• Hack In The Box Amsterdam HITB2019AMS (3天) 5月6,7,8 https://conference.hitb.org/hitbsecconf2019ams/sessions/3-day-training-1-the-arm-exploit-laboratory/

玩得开心 with DVAR-ROP!

Posted 1st March 2018 by therealsaumil

Labels: ARM DVAR exploit development exploitlab HITB2018AMS recon.cx reconmtl ROP therealsaumil tinysploitARM training tutorial

DVAR - Damn Vulnerable ARM Router

Damn Vulnerable ARM Router (DVAR)

THE ARM IoT EXPLOIT LABORATORY

DVAR是一个仿真的基于Linux的ARM路由器，运行一个易受攻击的Web服务器，你可以用它来磨练你的ARM栈溢出技能。

DVAR在tinysploitARM VMWare VM下运行，作为一个完全仿真的QEMU ARM路由器镜像。

只需解压ZIP文件并通过tinysploitARM.vmx启动VM。启动后，VM的IP地址和默认URL将显示在控制台上。使用你的主机浏览器，导航到该URL并按照说明和线索操作。虚拟网络适配器设置为NAT模式。

你的目标是为运行在DVAR tinysploitARM目标上的Web服务器编写一个有效的栈溢出漏洞利用。DVAR还包括一个奖励挑战，关注@therealsaumil on Twitter获取奖励挑战公告。

下载URL: exploitlab_DVAR_tinysploitARM.zip - 47.4MB VMWare Image SHA256: bc6eb66b7f5c0c71ca418c809213eb452e3fbf90654856ebb0591e164d634e2b

DVAR最初是作为ARM IoT Exploit Lab的可选预备练习。

UPCOMING ARM IoT EXPLOIT LABORATORY TRAINING

• Cansecwest Vancouver 2019 (4天) 3月16-19 https://cansecwest.com/dojos/2019/exploitlab.html

• Hack In The Box Amsterdam HITB2019AMS (3天) 5月6,7,8 https://conference.hitb.org/hitbsecconf2019ams/sessions/3-day-training-1-the-arm-exploit-laboratory/

Saumil Shah @therealsaumil

Posted 13th January 2018 by therealsaumil

Labels: ARM cansecwest DVAR exploit development exploit laboratory exploitation HITB2019AMS reconmtl ROP therealsaumil tinysploit tinysploitARM training

What is common between…

..the ARM IoT Exploit Laboratory and the Christmas Markets in Vienna?

ARM IoT Exploit Lab首次来到维也纳！3天的ARM汇编、shellcode、ROP链、固件分析、ASLR绕过以及拥有ARM路由器和ARM IP摄像机！

查看@deepsec的博客文章获取更多详情和注册信息。

http://blog.deepsec.net/deepsec-2017-training-arm-iot-exploit-laboratory/

记住，这是一个3天的培训——并且今年在DEEPSEC2017的所有其他培训之前开始。

Posted 27th September 2017 by therealsaumil

Labels: 2017 ARM conference deepsec exploit development exploit laboratory exploitlab iot saumilshah therealsaumil training vienna

pc=0x44444444 - The ARM Exploit Lab returns to 44CON

ARM Exploit Lab第二年重返44CON，这次专注于利用ARM/Linux IoT设备。

今年，我将教授一个3天的课程，从ARM汇编基础开始，编写ARM shellcode、远程漏洞利用、ARM ROP链，并以一个宏大的“从固件到shell”的ARM WiFi路由器和ARM IP摄像机黑客攻击结束。在真实硬件上！

作为奖励，我将与合讲者@Fox0x01一起，他准备了一个非常需要的ARM汇编基础教程！

如果你9月在伦敦，没有理由不去44CON！那里见。

课程链接: https://44con.com/44con-training/saumil-shah-the-arm-iot-exploit-laboratory/

Posted 28th June 2017 by therealsaumil

Labels: 2017 44con ARM exploit laboratory exploitlab london therealsaumil

ARM IoT Exploit Lab debuts at Blackhat USA 2017

在Blackhat教授x86二进制漏洞利用十年后，我们很高兴在Blackhat USA 2017首次推出ARM IoT Exploit Laboratory！我们背靠背教授两个课程。

周末课程“ARM IoT Exploit Lab: Intro”是ARM漏洞开发入门，涵盖ARM汇编、从零开始编写ARM shellcode以及针对运行在ARM系统上的Linux镜像构建远程漏洞利用。

随后是“ARM IoT Exploit Lab: Advanced”课程，专注于克服ARM上的漏洞缓解技术，如XN (DEP)和ASLR，提取和分析IoT固件以及利用IoT二进制文件。我们将构建ARM ROP链并组装一个完全有效的远程漏洞利用，针对一个基于ARM的IP摄像机以及一个基于ARM的WiFi路由器——“从固件到shell”。哦是的，我们将尝试对真实硬件进行攻击，而不仅仅是模拟器！

课程链接: https://www.blackhat.com/us-17/training/arm-iot-exploit-laboratory-intro.html https://www.blackhat.com/us-17/training/arm-iot-exploit-laboratory-advanced.html

还有一件事，我的朋友@Fox0x01准备了一个关于ARM汇编基础的精彩系列教程。我强烈推荐给已经注册或考虑报名ARM IoT Exploit Laboratory的学生。

在拉斯维加斯见，连续第18年！

Posted 28th June 2017 by therealsaumil

Labels: 2017 advanced BHUSA blackhat BlackHatEvents exploit laboratory exploitlab saumil saumil shah therealsaumil

The ARM ExploitLab goes to 44CON London 2016

随着互联网的重心转向基于ARM的设备（移动和IoT），ARM漏洞开发正成为进攻性信息安全从业者越来越重要的必要技能。

我们在CanSecWest 2016首次推出了ARM Exploit Laboratory，随后在SyScan和HITB2016AMS。和以前一样，我们也把所有这些很棒的培训带到44CON！今年，我们将在44CON London 2016提供特殊的3天ARM漏洞开发培训。

我们将从基础开始涵盖核心ARM漏洞开发概念，包括：

• ARM汇编语言
• ARM上的函数工作原理
• ARM上的栈溢出
• ARM Shellcode
• 在ARM上击败XN
• ARM返回导向编程
• 在ARM上击败ASLR
• 案例研究——从固件到所有权——利用ARM路由器

44CON还有不到一个月的时间，所以对于那些有兴趣报名参加课程的人，请前往44CON的培训注册页面。

下个月伦敦见！ – Saumil

Posted 16th August 2016 by therealsaumil

Labels: 2016 44con ARM exploit exploit development exploit laboratory exploitlab london ROP saumil saumilshah therealsaumil training

Blackhat 2016 Exploit Lab - Pre-Class Tutorials + Crackme’s

我们的Blackhat USA 2016 Exploit Lab黑带和大师课程正在快速填满。如果你正在参加我们的课程（或考虑参加），这里有一些介绍材料——教程以刷新你的核心概念，以及一些crackme’s来尝试你的漏洞编写技能。

Tutorials+Challenge VM for Black Belt

• 操作系统 - 入门
• 函数工作原理
• 调试器介绍
• TinySPLOIT - 栈溢出热身 (30MB 下载)

Tutorials+Challenge VM for Lab Master

• 深入ROP
• TinySPLOIT2 - ROP技术热身 (78MB 下载)

解决挑战不是强制性的，但如果你真的渴望动手进行漏洞开发，那就去吧！

如果你还没有注册课程，这里是注册页面：

• 7月30, 31 - Exploit Lab Black Belt - 浏览器漏洞利用、Use-after-free、DEP、ASLR、ROP
• 8月1, 2 - Exploit Lab Master - 高级ROP、Infoleak、64位漏洞利用

– Saumil Shah @therealsaumil

Posted 5th June 2016 by therealsaumil

Labels: 2016 BHUSA blackhat BlackHatEvents exploit development exploit laboratory exploitlab therealsaumil tinysploit tinysploit2 training tutorial vegas x64 x86

There’s an Intel on every desktop, but an ARM in every pocket

The Exploit Lab在2016年进入第11年！今年，我们在CanSecWest、SyScan和最近的HITB2016AMS首次推出了ARM Exploit Lab培训。反响非常热烈，HITB2016AMS和即将在RECON 2016 Montreal举行的课程全部售罄。

July/August 2016 - BLACKHAT USA

今年，我们仍在Blackhat USA 2016教授我们高级的x86/x64 Exploit Lab课程，包括黑带和大师课程。早鸟价格已结束，课程正在稳步填满。

• 7月30, 31 - Exploit Lab Black Belt - 浏览器漏洞利用、Use-after-free、DEP、ASLR、ROP
• 8月1, 2 - Exploit Lab Master - 高级ROP、Infoleak、64位漏洞利用

September 2016 - 44CON UK

我们在44CON有一个3天版本的ARM Exploit Lab，包括ARM汇编语言入门、编写ARM Shellcode以及以使用ARM ROP绕过XN结束。在44CON的培训页面注册。

Posted 2nd June 2016 by therealsaumil

Labels: 2016 44con ARM aslr black belt blackhat class exploit exploitlab ROP therealsaumil training use-after-free

TinySPLOIT2 - Exploit development exercises for ROP

The Exploit Laboratory在Blackhat USA 2015提升了一个级别。我们将在8月1,2日的周末教授我们的“黑带”课程，涵盖高级主题，如使用返回导向编程绕过DEP以及深入探讨Use-After-Free漏洞利用。随后是我们8月3,4日的最新 offering——“The Exploit Lab: Master”课程。大师课程是一个超级高级的课程。直接参加大师课程的学生应精通ROP、Use-After-Free漏洞利用、堆喷射和调试技术。

为了测试你的ROP技能，我们呈现TinySPLOIT2——一个紧凑的Linux虚拟机，具有三个漏洞编写挑战，每个逐渐更难。现在获得一个shell需要使用返回导向编程、一些GDB调试熟练度、ELF二进制分析以及一些聪明的创新。

TinySPLOIT2是一个350MB的VMware镜像（78MB压缩），可以在这里下载。SHA256校验和: 57f6faa605426addcdb46cde976941e89e7317cc05165e93cc8cda42d697dca8

你可以在几分钟内启动并运行TinySPLOIT2。启动VM，按照其网页上的说明，编写一个漏洞利用并获得一个shell。然后你需要捕获标志以进入第2和第3轮。祝你好运，玩得开心ROP链！

旧的TinySPLOIT虚拟机仍然可以在这里找到。

Blackhat培训价格在7月24日上涨，所以如果你正在考虑注册课程，现在是时候了。几周后拉斯维加斯见！