Search for in Google by Dino

Google Custom Search

jueves, 26 de mayo de 2011

Command Shell session 1 opened!!! That it follows, that I can do??? :(

Cordial saludo,

Hol@, esto es una pregunta muy frecuente que me hacen o que encuentro en muchas comunidades

"Command Shell session 1 opened!!! That it follows, that I can do??? :("

Realizando un Análisis de seguridad y logrando mi primera intrusión en este proyecto.  Se me vino a la cabeza esta sonada frase, y decidí que al recoger las evidencias necesarias para presentar en nuestro informe, en el primer Equipo de Computo que había logrado penetrar ejecutaría varias tareas posibles que un atacante aprovecharía en su objetivo militar para cumplir sus propósitos por los cuales fue contratado o que le conducen a extasiarse de su nuevo éxito.

Esto comienza así:

Se logra explotar la vulnerabilidad "Microsoft Bulletin MS10-061

"Microsoft Print Spooler Service Impersonation Vulnerability


This module exploits the RPC service impersonation vulnerability detailed in Microsoft Bulletin MS10-061. By making a specific DCE RPC request to the StartDocPrinter procedure, an attacker can impersonate the Printer Spooler service to create a file. The working directory at the time is %SystemRoot%\system32. An attacker can specify any file name, including directory traversal or full paths. By sending WritePrinter requests, an attacker can fully control the content of the created file. In order to gain code execution, this module writes to a directory used by Windows Management Instrumentation (WMI) to deploy applications. This directory (Wbem\Mof) is periodically scanned and any new .mof files are processed automatically. This is the same technique employed by the Stuxnet code found in the wild."


Intrusión en el equipo de computo explotando la Vulnerabilidad "Microsoft Bulletin MS10-061"




















Se inicia una sesión interactiva de meterpreter, se comprueba que no se trate de una maquina virtual y se enumeran los escritorios disponibles e información del computador.
Iniciando Sesión, viendo información y escritorios
Aunque ya podemos iniciar shell en el sistema comprometido o realizar acciones como las que veremos en este articulo para lograr información sensible o asegurar nuestra entrada, considero que siempre es mas impactante y comprensibles mostrar las imagenes desde una interfaz grafica, para tal fin activamos el servicio de escritorio remoto en la maquina comprometida para lograr posteriormente un acceso con rdesktop (activamos RDP con el script aportado por Darkoperator).

Activando servicio RDP
 Como les decia, podemos ejecutar comandos del sistema, para esta imagen visualizacion de la configuracion de Red.


Visualizando configuracion de la Red.
Ahora accedemos haciendo uso de Rdesktop desde nuestro linux con el servicio RDP activado en la maquina atacante.
Accediendo con Rdesktop
Ah bien!!!
pero necesitamos de un usuario para entrar al sistema. El atacante resolveria esta situacion simplemente creando un usuario fake que le de la sensacion al Administrador a simple vista que se trata de un usuario con el rol de administrador, por ello se crea el usuario bakup (el backup ya existe) y se adiciona al grupo de administradores, en imagenes posteriores  mostraremos su creacion.
Entrando en sesion con usuario fake bakup
Continuando con la sesion de meterpreter, se consultan los privilegios habilitados disponibles.
Consultando privilegios disponibles
Asi como habilitamos el servicio de escritorio remoto (RDP), tenemos la opcion de habilitar un servidor telnet y validarnos con nuestra cuenta ya creada. A su vez verifiquemos cual es nuestro usuario comprometido con el que estamos trabajando.
Habilitando servicio telnet y consultando el usuario actual
Procedemos a iniciar sesion con el servicio telnet.
Accediendo con el servicio telnet y usuario fake bakup
Otra accion que puede tomar el atacante es realizar un volcado de la SAM, permitiendole descifrar sus hash con alternativas como Cain&Abel, Jhon the Ripper, Ophcrack, etc.

O realizar procesos de impersonation de las cuentas de usuario, listando sus tokens y suplantando su identidad haciendo uso del modulo Incognito.
Volcando la SAM de la maquina comprometida
El atacante puede iniciar un servicio Web con codigo malicioso, phising haciendo uso de SET o un ataque como la conocida "AURORA" en su maquina atacante y envenenar el archivo de consulta Host de la maquina victima para redireccionar consultas determinadas, que para nuestro caso lo hicimos con www.google.com. Es decir al modificar el archivo Host, que es uno de los archivos de consulta de direccionamiento antes de consultar el servicio de nombres de Dominio (todo depende como tengas definida la consulta de cache de DNS), y sera redirigido a la Web con la vulnerabilidad a ser explotada.
Web preparada con codigo malicioso en espera de la consulta por la victima redirigida por el archivo HOSTS

Modificando el archivo HOSTS maquina victima
Determinar el tiempo ocioso del usuario en el sistema.
Deshabilitar el servicio del antivirus en la maquina victima.
Deshabilitando servicio de antivirus
Intentar escalar privilegios de local System. Y visualizar las camaras disponibles (Webcam) en la maquina victima
Listando Webcam y escalando privilegios de Local SYSTEM.
Cambiar entre los escritorios disponibles.
Cambiando escritorio.
Listar los procesos que se estan ejecutando en la maquina victima.
Listando procesos.
Para asegurar que nuestra sesion no sea cancelada rapidamente al terminar el proceso o este sea identificado, lo vamos a migrar a un proceso mas conocido en este caso el explorer, aprovechamos para iniciar un sniffer y capturar lo que se este entrando por el teclado y un screenshot del actual despliegue de pantalla. El atacante podria generar situaciones desconcertantes como cerrar aplicaciones obligando al usuario a que tenga que autenticarse nuevamente, de esta forma se haria a las credenciales de aplicaciones que no ha podido comprometer.

Migrando proceso, activandeo keylloger y tomando screenshot.
Screenshot maquina victima.
El atacante puede realizar busqueda de informacion sensible para realizar fuga de informacion, utilizando meterpreter o creando una unidad de red compartida.

Realizando busqueda de informacion por tipo de archivo (para este caso XLS)
Al tener control de la maquina victima se pueden habilitar / deshabilitar los dispositivos de entrada / Salida (Mouse / Teclado).


Habilitando / Deshabilitando Mouse y  Teclado.
El atacante tiene la posibilidad de subir o descargar archivos en la maquina victima. Para esta prueba de concepto, se sube un netcat (nc navaja suiza) en formato comprimido para evitar aumentar las brechas de seguridad y evitando ser mas invasivos en la estacion comprometida. De hecho el atacante subiria un malware, rootkit, hacking tool, backdoor, etc para asegurar su entrada y cumplir con su cometido.



Enumerando windows, recogiendo una gran cantidad de informacion de windows haciendo uso de winenum y el usuario fake bakup.
Haciendo uso de winenum para enumerar windows.
De igual forma podemos hacer uso del script scraper para recoger una gran cantidad de informacion del sistema de la maquina victima (registro, hash, etc).
Usando script scraper para recopilar informacion.

O mejor aun ejecutando WINENUM.
Ejecutando WINENUM.
Visualizando Directorio y archivos de informacion generados por WINENUM.



Visualizando la tabla de enrutamiento de la maquina victima.
Visualizando tabla de enrutamiento.
Adicionar enrutamiento a otras redes dentro de la plataforma informatica, o realizar un autoroute. Permitiendole al atacante realizar un Pivot a otras redes o aplicar las vulnerabilidades sobre otras redes.


Por ultimo les dejo la imagen de la creacion del usuario y como este puede ejecutar comandos del sistem en un shell del sistema comprometido. Las deje de ultima para que tuvieran la oportunidad de ver la continuidad de comandos en el meterpreter.



Asi, que ya sabes que hacer cuando logres tu AUTOPWN o tu PAYLOAD haga su trabajo y tengas una sesion de trabajo disponible. Esto solo es una muestra de la potencia del Framework de Metasploit ya que su poder va mucho mas halla que te invito a explorar y que en otros articulos seguiremos presentando. 

Nuevamente gracias al proyecto Metasploit, a Jduck, Hdmoore y Darkoperator por que muchos de los scripts que utilice son de su autoria.

Gracias a los lectores por hacer inmersion en este espacio de conocimiento y espero que les sea de utilidad estas lineas de conocimiento compartido.

Bytes


Dino.


PD: Como siempre me disculpo por las tildes, me da mamera :P

8 comentarios:

@BdCde dijo...

Hombre Don D7n0 muy bueno el post. Espero volver a tener la oportunidad de seguir estudiando para las certificaciones con ud. ;)

epsilon dijo...

A mi me suena la idea, otra vez de las estudiadas:P

http://hackinganddefense.blogspot.com/ dijo...

Hola BdCde,

Q bueno verte por aqui, esperemos a ver si puedo retotmar esa vaina del nunca acabar por mis compromisos :'(
:\

Y gracias por pasarte por aqui

Dino

R0gu3r dijo...

Viejo D7N0
como siempre publicando cosas buenas...
...cada vez ke publicas aprendo algo mas

http://hackinganddefense.blogspot.com/ dijo...

Thank Roguer y Epsilon,

Lo de la estudiada para las certificaciones vamos a ver como sacarle el tiempo pero esta vez pegandole de a una en una no ese intensivo de la vez pasada, que terminaron dejandome solo :\

Y roguer la idea es publicar las experiencas vividas que le puedan servir a otros cuando enfrenten estas situaciones, tengan un camino que seguir o una guia practica.

Ahi seguiremos publicando y compartiendo informacion....


bytes


Dino

Charles dijo...

"Command Shell session 1 opened!!! That it follows, that I can do??? :("

Parce, pues yo les respondería que un cursito de inglés sería el siguiente paso.

http://hackinganddefense.blogspot.com/ dijo...

Definitivamente Chucha te opaca mi explendor....


Q bueno q se pase por aca

Bytes

PD: Digale a su patron q me lo pague xD

Anónimo dijo...

Genial!!! Una web estupenda, la he conocido mediante dragonjar. Quedas en mis favoritos.
Tienes ejemplos muy limpios y bien explicados. Estupendo para quien comienza en el mundo de las auditorias.

Saludos desde España!!