RV: [HACK] Mas: inseguridad accesos externos a Intranets

[David A. Pérez]

>invitado para trabajar localmente. En ese caso empezaría por mirar los
>archivos .sam que creo son las contraseñas "encriptadas" de güindous (las
>PWL de toda la vida). Si nustros admin son un poco torpes deberían estar en
>la carpeta etc del system32\drivers (esto no lo digo con absoluta certeza).

Hombre, la SAM no es como los .PWL, que Windows NT esta medianamente bien 
hecho.

Primero, el .SAM del que tu hablas no es lo mismo que la SAM. El .SAM que 
mencionas en C:\WINNT\SYSTEM32\DRIVERS\ETC es el archivo lmhosts.sam que se 
llama asi por ser un archivo de ejemplo (del ingles "SAMple"). Ese archivo 
es una guia para hacer un archivo lmhosts en condiciones, similar al archivo 
hosts pero con funcionas avandazadas como especificar servidores de dominio.

El archivo SAM del que hablas esta C:\WINNT\SYSTEM32\CONFIG y se llama SAM, 
a secas, sin el "."

Segundo, si el Windows NT esta medianamente bien configurado, lo cual 
incluye que el disco duro de sistema este particionado como NTFS y que no 
tengas permisos de administrador, NO tienes acceso a la SAM. La 
autentificacion se produce a traves de "winlogon.exe" que esta corriendo 
bajo la cuenta "SYSTEM" que SI tiene acceso a la SAM. Asi que habra que 
buscar alguna vulneravilidad en el "winlogon.exe" (hasta el momento 
desconocida).

Asi que en estos casos no puede llevarte la SAM a casa tan facilmente para 
pasarle el l0pth. Ademas, si el administrador fue un poco listo y uso un 
pasword de 7 o 14 caracteres mezclando minusculas, mayusculas y simbolos, el 
l0pth tardaria su tiempo. Debido a la encriptacion que usa NT, son mas 
dificiles de romper los passwords de 7 caracteres que los de 8. Y si estas 
en Windows 2000, pues mas dificil lo llevas, por que ahi se puede evitar el 
l0pth por completo.

Pero siempre te queda hacer una escalada de privilegios. Actualmente, los NT 
4.0 pre-SP3 son todos vulnerables (la-moncloa.es era SP2 no? ;) y las 
versiones posteriores de NT 4.0 son facilmente vulnerables a traves de IIS 
si no estan parcheadas. Si eres un desarrollador ASP y tienes el IIS en tu 
maquina, pues ya lo tienes mas facil.

En Windows 2000 pre-SP1 puedes hacer una escalada de privilegios explotando 
un buffer overflow en el modulo de "Imaging", que si no lo tienes instalado, 
se instala al enchufar cualquier dispositivo de adquisicion de imagenes al 
puerto USB (un scanner, una camara digital...) Hace unos dias que Microsoft 
anuncio una nueva vulneravilidad en el servicio DDE que tambien permite una 
escalada de privilegios en ordenadores SP1.

Y si estas en Windows 2000 con IIS, pues aun lo tienes mucho mas facil, por 
que puedes acceder al cmd.exe a traves de una URL "maliciosamente" 
construida (administrador/es de alsalirdeclase.com, cuentenos sus 
experiencias ;)

Asi un NT/2000 no es lo mismo que un 9x/ME. Y si el administrador aplico 
todos los parches en tu Windows 2000, y aun asi eres capaz de ganar permisos 
de administrador, pues lo mejor seria que te ascendieran y le echaras una 
mano a tu/s administrador/es que ya bastante trabajo tendran los pobres ;)

kamborio
_________________________________________________________________________
Get Your Private, Free E-mail from MSN Hotmail at http://www.hotmail.com.