miércoles, 31 de enero de 2018

Una vuelta de tuerca

En un lugar de España de cuyo nombre no quiero acordarme, se encontraron hace tiempo varias de máquinas con sistema operativo Windows XP que no tenían ningún puerto abierto, salvo el puerto 445/TCP (protocolo SMB), y que era vulnerables a MS17-010 (EternalBlue/DoblePulsar).

De estas máquinas se quisieron obtener los hashes de los usuarios dados de alta ... pero como es obvio, las imágenes no se corresponde con el entorno donde realmente se llevó a cabo las acciones, sino del entorno de pruebas donde se gestaron las pruebas antes del asalto final.

ENTORNO DE PRUEBAS

Las pruebas se llevaron a cabo entre dos máquinas virtuales:

1.- Máquina Kali Linux, con direccionamiento IP: 172.21.5.246. 
                Máquina que lanzaría el exploit.

2.- Máquina Windows XP de 32 bits, con direccionamiento IP: 172.21.5.230
                Máquina virtual que simula una de las máquinas encontradas en la red de no sé sabe                                      dónde.

DESCUBRIMIENTO DE LA VULNERABILIDAD

Se confirmo mediante dos maneras:

1.- Mediante el archivo .nse:  smb-vuln-ms17-010.nse, utilizado por la herramienta: Nmap.


Confirmación de la presencia de la vulnerabilidad MS17-010 mediante la herramienta: Nmap
  
2.- Mediante el módulo de escaneo de la vulnerabilidad residente en la herramienta: metasploit.

Confirmación de la presencia de la vulnerabilidad MS17-010 mediante la herramienta: metasploit

EXPLOTACIÓN DE LA VULNERABILIDAD

Para la explotación, no se utilizo el módulo de metasploit ya que sólo está probado en sistemas Windows 7 y Windows Server 2008 R2.

Información sobre el módulo de metasploit que permite aprovecharnos del MS17-010

Se utilizo uno de los desarrollos en python ubicado en Github, que ha sido testeado en múltiples entornos, entre ellos, el Windows XP.

Sistemas en lo que el script en python, descargado de Github,  ha sido testeado

Si nos fijamos en el código del script: zzz_exploit.py, veremos que dicho exploit deja en la unidad C$ un archivo de 0 bytes, llamado: pwned.txt, como muestra de que la explotación ha sido realizada.

Función que crea remotamente el archivo: pwned.txt en la unidad C$

Pero qué ocurriría si se modifica el código para subir un archivo que NO fuera una shell reversa (no se quiere hacer mucho ruido en el sistema objetivo, ni tener que lidiar contra un AV), si no, un archivo con extensión: scf, conveniente modificado para que nos envíe los hashes de los usuarios del sistema.

Función modificada que sube el archivo: PoC.scf, a la unidad C$


Archivo con extensión: .scf. En dicho archivo se indica que vaya a buscar el icono del fichero a la ubicación dada y que coincide con la máquina que controlamos.

Tras la ejecución de dicho archivo: scf, que se realizará de manera transparente para el usuario de la máquina objetivo, además de que su ejecución se llevará a cabo de manera automática
-según sea grabado en el disco duro, el sistema operativo ejecutará el contenido del archivo-, provocará el envío de los hashes de los usuarios dados de alta en el sistema, tal y como ya se había comentado en la siguiente entrada de este blog.


Ejecución del exploit

Archivo obtenido en la máquina objetivo en la raíz de la unidad C

Hashes que se envían a la máquina que controlamos.

¿A partir de aquí? ... Imaginación.


CONTRAMEDIDAS

Obviamente, y como ya  dijeron multitud de personas, dejar de utilizar el protocolo SMB v1 y pasarse a SMB v2, en cualquiera de los sistemas que se utilicen. Y si el sistema no tiene una actualización para ello, cambia el sistema operativo o no trabajes con el protocolo SMB.


Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.
Publicado por en No hay comentarios:

martes, 23 de enero de 2018

La idea se hizo software.

Siguiendo lo comentado en la entrada: ¡Gracias por compartir RIPE! , hoy paso aguardar en esta mi memoria, el desarrollo en bash de una herramienta (versión 1) que permite:

1.- Buscar en RIPE por ciertas cadenas seleccionadas.

NOTA: Aquí debo exponer el hecho de que cuando alguien contrata un dominio a través de un hosting, la IP asignada aparecerá en RIPE vinculada al hosting, nunca a ese alguien. Por lo que, sería necesario encontrar otras vías para descubrir el direccionamiento IP de aquello que se quiere investigar.

2.- Escanear todos los puertos para los distintos rangos obtenidos.
3.- Parsear los resultados obtenidos (los puertos abiertos para los rangos dados) y almacenarlos en formato: .csv.

Aunque es útil como herramienta para encontrar los dominios dados de alta para un determinado objetivo, actualmente lo tengo desplegado en un servidor conectado a Internet que semanalmente lleva a cabo tareas de descubrimiento para alguno de mis clientes.

¡Nunca se sabe lo que se publica sin que lo sepa uno!

Sin más dilación, se pasa a mostrar los distintos códigos, que por cierto, no son bonitos pero son funcionales:

1.- RIPE.sh

OBJETIVO: Realiza la consulta a RIPE y con los datos obtenidos solicita el escaneado de los puertos para cada uno de los rangos encontrados.

 
Código del script: RIPE.sh

2.- Escanper.sh

OBJETIVO: Para cada rango solicitado se pasa a escanear todos sus puertos. Cuando termina solicita un "parseo" de la información obtenida.

NOTA: Se trabaja con procesos "nmap" en paralelo, por defecto se lanzan 15.

 

3.- Parseo-Escanper.sh

OBJETIVO: Generar un documento que permite visualizar de un vistazo los puertos abiertos de cada una de las IPs de los rangos sugeridos.


4.- ControlParametros.sh

OBJETIVO: Controlar que los rangos pasados al script: Escanper.sh, sean correctos.

Ver código


Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)