[HACK] Re: W2k y la linea de commandos

Roman Medina roman at rs-labs.com
Wed Apr 23 23:52:06 CEST 2003 

(nota: no borro los quotes pq he hecho cc la lista de hacking de Argo)

On Wed, 23 Apr 2003 18:52:40 +0000, you wrote:

>Interesante el hilo :)
>
>Pues a ver, a mi parecer, lo primero seria subir un wget, y asi ya tenemos 
>menos problemas para bajar cosas. Un netcat tambien es de ayuda.
>Tenemos pslist de www.sysinternals.com para saber que procesos corren,
>y pskill para matarlos... puestos asi, ya tenemos matado el anti-virus :P.
>Si el a-virus corre como servicio es mas facil, pues generalmente, basta con 
>net stop ...

 Alto, no te emociones :-) Recuerda que en este momento tenemos un
cmd.exe *no privilegiado*, lo que significa entre otras cosas:
- pslist no funcionará:
C:\>pslist

PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com

Failed to take process snapshot on VICTIM

:-/

- tampoco podrás arrancar / parar servicios por la cara
- pskill no lo he llegado a probar sin privilegios, pero probablemente
tampoco funcionará
- los comandos "net" más interesantes tampoco funcionarán sin
privilegios
- RESULTADO: el antivirus sigue corriendo (no iba a ser tan facil).

 Falta la consabida etapa de elevación de privilegios (queremos
"SYSTEM" ), la cual se debe llevar a cabo -en principio- en modo
texto. Me gustaría que la gente se entendiese en este punto ;-)

 Yo he conseguido probar con éxito el siguiente exploit de IIS5 (es
antiguo) quer permite elevar privilegios y es muy sencillo de usar:
http://www.digitaloffense.net/iiscrack/iiscrack.zip
(Más info: http://www.entercept.com/news/uspr/08-15-01.asp)

 Hay otro exploit bastante conocido (debploit.zip), correspondiente a
la vulnerabilidad siguiente:
http://www.securityfocus.com/bid/4287

 Éste lo he probado desde la linea de comandos, sin éxito. Según el
doc, un ejemplo de cómo lanzarlo sería:
ERunAsX.exe "CMD.exe /K ShowPriv.exe > Now.txt"
(esto imprimiría la salida del comando showpriv -que imprime los
privilegios que tenemos- en el fichero now.txt).
Sin embargo, si lo ejecuto desde mi cmd.exe no privilegiado, se queda
ahi colgada la "shell" y aparentemente no hace nada (el fichero
now.txt no es escrito, a pesar de haber permisos de escritura para
hacerlo). Tampoco funciona algo como:
ERunAsX.exe "C:\nc.exe -d -L -p 10001 -e c:\winnt\system32\cmd.exe"
(donde nc.exe y showpriv.exe fueron subidos con anterioridad al
servidor victima).

 No se, lo mismo está saliendo alguna ventanita en pantalla, para
pulsar "aceptar" o algo, y no lo puedo ver, por lo que se queda ahí
(es una hipótesis). ¿Alguien puede arrojar luz sobre este exploit?

 Otro fallo que puede ser aprovechado para elevar privilegios es el
hecho de que C:\ (o el directorio raiz que designemos) permite borrar
y posteriormente crear ficheros, sin necesidad de privilegio alguno
(es un bug que se descubrió el año pasado, no recuerdo ahora mismo la
URL exacta, sorry), con lo cual podríamos tratar de construir ficheros
de inicio (boot.ini, autoexec.bat, ntldr, ...) que nos beneficien de
alguna forma. He leido por ahí que puede ser particularmente util
troyanizar el archivo "ntldr", pero no tengo ni idea de cómo hacerlo,
y aparte tocar estos ficheros puede tener consecuencias drásticas
(puedes dejar el windows inutilizado y como que no me atrevo mucho a
experimentar). ¿Alguien ha jugado con esta vulnerabilidad?

>Que mas que mas....
>Habria que preparar una posible vuelta, por lo que el ntrootkit tira 
>bastante bien, aunque esta un poco abandonado.
>
>Con rpcinfo sacaremmos informacion del RPC, lo usado por el NFS para 
>exportar discos por ejemplo.
>
>Y con nbtdump, mostraremos los discos exportados por netbios.
>
>Para un listado de usuarios hay una herramienta llamada DumpUsers :P
>
>Con esto tendremos una informacion basica del equipo, y quien lo usa.
>
>Para administracion remota, siempre existira el vnc que se puede instalar 
>por linea de comandos. Y se que hay uno que no se instala en el systray, 

 Precisamente hoy he estado haciendo pruebas con el vnc v.3.3.6
(win32). Lo tengo con un instalador, asi que éste se debe ejecutar en
modo gráfico. No obstante, finalmente te acaba creando lo que parecen
ser los ficheros útiles: winvnc.exe, othread2.dll y vnchooks.dll.
Había pensado que simplemente subiendo esos 3 ficheros al servidor
víctima, y luego usando winvnc desde linea de comandos sería
suficiente. Pero hay un problema: al hacer esto, el servidor de vnc no
se ejecuta porque dice que "el password no está definido" (o está
vacío, hablo de memoria) y se abre la ventanita gráfica para
configurar esta y otras opciones. Evidentemente, y teniendo en cuenta
que sólo estamos en linea de comandos (era la hipótesis de partida),
¿cómo solventas este problema? No veo por ningun lado parámetro alguno
para pasarle a winvnc y que permita decirle el password que queremos
sin utilizar modo gráfico. Quizás versiones más antiguas no tengan
este problema, pero esta que digo, que es "relativamente" nueva, sí
que lo tiene. ¿Ideas?

(y todo esto suponiendo que el antivirus no detecte a winvnc como
programa "malévolo").

>pero no me acuerdo el nombre :P  (esa memoria)
>
>Es bueno conocer herramientas como fpipe de foundstone, para  redireccionar 
>puertos

 fpipe está bien para saltarse algunas reglas simples de firewall...

>Mas o menos es lo que yo haria, a parte de que yo de windows, se poco.

 Tampoco es mi fuerte, pero trato de aprender y aportar lo que esté en
mi mano :-) Estoy seguro de que hay gente mucho más puesta que yo en
este tema: os animo a que participeis =)

>Ya habra gente que lo amplie :P y si hay fallos, corregidlos, que pa eso 
>estamos :)
>
>Buen trabajo a todos :P
>
>[1: RPC rfc] ftp://ftp.rfc-editor.org/in-notes/rfc1831.txt
>[2] http://www.ntsecurity.nu/papers/port445/
>
>[ Tools ]
>http://www.atstake.com/research/tools/nbtdump.exe
>http://www.atstake.com/research/tools/rpcdump.exe
>http://www.atstake.com/research/tools/nc11nt.zip
>http://www.foundstone.com/resources/proddesc/fpipe.htm

 Saludos,
 --Roman

--
PGP Fingerprint:
09BB EFCD 21ED 4E79 25FB  29E1 E47F 8A7D EAD5 6742
[Key ID: 0xEAD56742. Available at KeyServ]

More information about the hacking mailing list