[HACK] Re: RV: [HackIndex] W2k y la linea de commandos

Fri May 2 12:01:02 CEST 2003

----- Original Message ----- 
From: "Roman Medina" <roman at rs-labs.com>
To: <hackindex at eListas.net>

>>Si tienes el password de administrador, lo tienes todo.
>>Como te dije en el mesaje anterior "runas" hace maravillas.
> Hasta ahora nadie me ha sabido responder a la pregunta de usar
>"runas" desde una pseudo-shell (nc -l). Como ya expliqué, no va bien.

Bueno, pues ya tengo la solución... Y es un "simple" scriptillo en VBScript,
mu curraito que he sacao por ahí.... Esto es sólo para fines educativos, no
lo utiliceis para otro tipo de fines ;) (Está al final del mensaje)

Supongo que sabreis algo de como funcionann este tipo de scripts en Windows
y todo eso, sino podeis buscar en el google "WSH scripting" e ir
aprendiendo...

Aparte de este script, quedan bastantes temas en este hilo que propongo:

1º- Tenemos una shell sin privilegios -> ¿Qué usamos para escalar
privilegios? En este punto me gustaría discutir diferentes técnicas basadas
en la dejadez del administrador más que en los típicos xploits locales que
te dan privilegios de SYSTEM... Por ejemplo, añadir algo al win.ini o cosas
similares... Como "supongo" que sabreis, si tienes un disco en FAT32 y le
haces un convert para pasarlo a NTFS, por defecto, los permisos son
"Todos:Full Control", así que no es extraño encontrar miles y miles de
instalaciones con un Full Control para todos los usuarios, así que no es
raro poder escribir en el autoexec.bat o en otros ficheros de arranque...

2º - Teniendo lo mismo en un controlador de dominio (en adelante DC) -> ¿Qué
posibilidades hay de meter scripts en \\server\sysvol\ y que se ejecuten en
todos los usuarios o modificar políticas de grupo?

3º- Ver métodos de auditoría del servidor -> ¿Cómo podemos averiguar si el
servidor está auditando algo en el registro de seguridad o con un syslog o
pasa de todo?

4º- Borrado de huellas -> ¿Cómo limpiamos o modificamos nuestro paseo por la
víctima?

Y creo que con esto, si se contesta, podemos ir cerrando un poco el hilo, ya
que me parece que no quedarían muchas cuestiones más... Otro tema bueno para
comentar sería el tema de obtener la primera shell... Así que si os animáis

Saludos a todos!!!

***

'Start of Script
'VBRUNAS.VBS
'v1.2 March 2001
'Jeffery Hicks
'jhicks at quilogy.com http://www.quilogy.com
'USAGE: cscript|wscript VBRUNAS.VBS Username Password Command
'DESC: A RUNAS replacement to take password at a command prompt.
'NOTES: This is meant to be used for local access. If you want to run a
command
'across the network as another user, you must add the /NETONLY switch to the
RUNAS
'command.

'
****************************************************************************
*****
' * THIS PROGRAM IS OFFERED AS IS AND MAY BE FREELY MODIFIED OR ALTERED AS *
' * NECESSARY TO MEET YOUR NEEDS. THE AUTHOR MAKES NO GUARANTEES OR
WARRANTIES, *
' * EXPRESS, IMPLIED OR OF ANY OTHER KIND TO THIS CODE OR ANY USER
MODIFICATIONS. *
' * DO NOT USE IN A PRODUCTION ENVIRONMENT UNTIL YOU HAVE TESTED IN A
SECURED LAB *
' * ENVIRONMENT. USE AT YOUR OWN RISK. *
'
****************************************************************************
*****

On Error Resume Next
dim WshShell,oArgs,FSO

set oArgs=wscript.Arguments

if InStr(oArgs(0),"?")<>0 then
wscript.echo VBCRLF & "? HELP ?" & VBCRLF
Usage
end if

if oArgs.Count <3 then
wscript.echo VBCRLF & "! Usage Error !" & VBCRLF
Usage
end if

sUser=oArgs(0)
sPass=oArgs(1)&VBCRLF
sCmd=oArgs(2)

set WshShell = CreateObject("WScript.Shell")
set WshEnv = WshShell.Environment("Process")
WinPath = WshEnv("SystemRoot")&"\System32\runas.exe"
set FSO = CreateObject("Scripting.FileSystemObject")

if FSO.FileExists(winpath) then
'wscript.echo winpath & " " & "verified"
else
wscript.echo "!! ERROR !!" & VBCRLF & "Can't find or verify " & winpath &"."
& VBCRLF & "You must be running Windows 2000 for this script to work."
set WshShell=Nothing
set WshEnv=Nothing
set oArgs=Nothing
set FSO=Nothing
wscript.quit
end if

rc=WshShell.Run("runas /user:" & sUser & " " & CHR(34) & sCmd & CHR(34), 2,
FALSE)
Wscript.Sleep 30 'need to give time for window to open.
WshShell.AppActivate(WinPath) 'make sure we grab the right window to send
password to
WshShell.SendKeys sPass 'send the password to the waiting window.

set WshShell=Nothing
set oArgs=Nothing
set WshEnv=Nothing
set FSO=Nothing

wscript.quit

'************************
'* Usage Subroutine *
'************************
Sub Usage()
On Error Resume Next
msg="Usage: cscript|wscript vbrunas.vbs Username Password Command" & VBCRLF
& VBCRLF & "You should use the full path where necessary and put long file
names or commands" & VBCRLF & "with parameters in quotes" & VBCRLF & VBCRLF
&"For example:" & VBCRLF &" cscript vbrunas.vbs quilogy\jhicks luckydog
e:\scripts\admin.vbs" & VBCRLF & VBCRLF &" cscript vbrunas.vbs
quilogy\jhicks luckydog " & CHR(34) &"e:\program files\scripts\admin.vbs
1stParameter 2ndParameter" & CHR(34)& VBCRLF & VBCRLF & VBCLRF & "cscript
vbrunas.vbs /?|-? will display this message."

wscript.echo msg

wscript.quit

end sub
'End of Script