[HACK] Re: [HackIndex] W2k y la linea de commandos

[g4nd4lf]

A ver ...

Mi probre experiencia en seguridad y auditorias me ha convencido que atacar
un NT/W2K en linea de
comandos es practicamente lo mismo que atacar una shell de unix (el nucleo
de NT no tiene nada que envidiar
al del Linux/Unixes)

El posible inconveniente de disponer de menos comandos potentes en linea de
comandos se arregla
programando un poquillo (cuatro lineas de na..)

En definitiva hay que ver a NT/W2K como lo que es, un SO con muchas pijadas
por encima.

Por ejemplo ...

Los ficheros de configuracion tipicos unix del /etc los encontramos en el
registro de Windows, es tan simple
como bajarse una utilidad que acceda a ellos por linea de comandos (yo tengo
uno programado por mi
que permite modificar, insertar, borrar etc), simplemente hay que buscar los
que han sido mal configurados
ha nivel de privilegios y explotarlos, tambien podemos sacar passwords de
servicios (en NT 4.0
los pass del SQLServer estaban en el registro) y configuraciones utiles como
pueden ser la del IIS,
etc.

Los servcios que estan corriendo en el NT/W2K tambien son importantes, con
el comando net start, veremos
la lista de lo que esta corriendo en esa maquina, los servicios corren con
los privilegios de algun usuario especial
o del mismo System, son una entrada que no hay que despreciar.

W2K dispone de un servicio llamado RunAs, no deja de ser un su para W2K, si
lo detectamos con el net start
ya disponemos de un comando llamado runas que nos permitira ejecutar cosas
como otro usuario (siempre
que dispongamos del pass claro).

La impersonacion de cuentas esta protejida en W2K por privilegios, para
poder usar el api de impersonacion
se necesitan usuarios con esos privilegios, si la cuenta usada es por
ejemplo la de algun soft de mantenimiento
remoto es posible que tenga esos privilegios y se pueda impersonar sin usar
el runas (claro ..programando)

Existen miles de utilidades que permiten sacar la lista de usuarios de esa
maquina, (aunque repito que programar
es muy sano), si estamos en un cmd se supone que ya estamos logeados con lo
que evitamos
la posibilidad de que el admin haya capado el acceso a la lista de usuarios
para conexiones anonimas.

Si tenemos la lista podemos atacar con fuerza bruta, lo equivalente a un
simple
'net use \\server\ipc$ /user:user pass' usando el api de win32 nos informara
de si el pass es correcto,
eso si, rezando para que no exista un maximo de logins erroneos. (que nadie
piense que es lento,
bajo ciertas circustancias se puede acelerar, yo mismo he auditado una
cuenta de esta forma remotamente
pasandole un diccionario entero español en 30 minutos aprox.)

etc etc...