sábado, septiembre 24, 2011

Hacking Remote Apps: Jailbreaking (2 de 3)

**************************************************************************************************
Hacking Remote Apps: Jailbreaking (1 de 3)
Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
Autores: Chema Alonso y Juan Garrido "Silverhack"
**************************************************************************************************

Dame mi perfil

En el caso de Terminal Services, cuando un usuario se conecta remotamente a una aplicación, es común que se  solicite la contraseña antes de acceder al sistema, aunque también es posible que sea un usuario genérico con pocos permisos al que luego se autentica en la aplicación. En el caso de Citrix, por el contrario, es mucho más habitual que sea Citrix quién autentique al usuario, y este, cuando está viendo la autenticación de la aplicación, ya esté dentro del sistema. Esto lo vimos en la primera parte de la serie cuando analizábamos la información del os archivos de configuración ica y rdp, donde se encuentra la contraseña del usuario que incia sesión.

Es por tanto muy común que el objetivo del atacante sea conseguir el escritorio o el explorador de archivos o el cmd.exe que se encuentran por debajo. Están accesibles, solo hay que romper el jailbreak que ha creado el administrador e intentar llegar a ellos.

La melodía del desktop

La primera idea es intentar ejecutar Ctrl+ALT+Supr para conseguir acceso al administrador de tareas y obtener la posibilidad de ejecutar explorer.exe para conseguir el escritorio completo del usuario sobre el que se ejecuta la aplicación Citrix o RDP. Las melodías del piano son fáciles:

Figura 4: Ctrl+F3 y ejecutar explorer.

Ctrl+Alt+Supr se puede sustituir por AltGR+Supr, pero también por Ctrl+F1 e incluso llamar directamente al Administrador de tareas con Ctrl+F3. Si alguna de estas combinaciones no está controlada de forma correcta. Se consigue fácilmente llegar al desktop completo del sistema... ¡Y sin haber roto la media de seguridad de usuario y contraseña!, lo que haría que no fuera un delito, ¿no?

La melodía de la consola

Si el escritorio está difícil, y nos han cerrado el camino del administrador de tareas, no desesperes. Siempre queda la posibilidad de conseguir un explorador de archivos o una consola del sistema. Para ello, el objetivo es buscar cuadros de diálogo de Abrir/Guardar para intentar utilizar la opción de Abrir del botón derecho sobre una consola (cmd.exe, explorer.exe, ps.exe, etc...). La partitura en esta ocasión consiste en buscar los menús de las aplicaciones y usar los atajos de teclados habituales para guardar o abrir con Ctl+O, Ctl+S, etc...

Figura 5: Un cuadro de diálogo de guardar

Si consigues uno de esos cuadros de diálogo, puedes probar a usar el botón derecho para crear un nuevo fichero acceso directo y la opción de abrir. Para moverte por el sistema se puede hacer uso de las variables de entorno ya comentadas, %userprofile%, %systemdrive%, etc... lo que permitiría cotillear los ficheros del sistema y descubrir siempre cosas interesantes.

Pide ayuda

Por supuesto, si faltan cuadros de diálogo, recurrir a la ayuda suele ser siempre interesante, ya que desde allí se van a poder buscar enlaces que apunten a aplicaciones internas o a URLs de Internet, que abrirán el navegador por defecto del sistema permitiendo tener una consola del sistema.

Figura 6: Enlaces a URLs en la ayuda que abren navegadores

Si se consigue abrir el navegador, siempre se puede tener una consola en local del sistema que funcione como un explorador de archivos. En este caso, una con Netscape

Figura 7: Listado local de archivos a través del navegador

**************************************************************************************************
Hacking Remote Apps: Jailbreaking (1 de 3)
Hacking Remote Apps: Jailbreaking (2 de 3)
- Hacking Remote Apps: Jailbreaking (3 de 3)
**************************************************************************************************

6 comentarios:

  1. También se puede abrir el administrador de tareas con CTRL+SHIFT+ESC

    ResponderEliminar
  2. mm, y las "Directivas de restricción de software" de windows donde entran en ese juego..
    No parecen tener buen disenio, pero son algo..
    Si un sysamin se tomara el trabajo de cargar todo lo "necesario" para el user usando firmas de archivos (cosa muy trabajosa)
    como seria el Jailbreak? porque planeado como dices, me cuesta ver que privilegios se puede logar el "curioso"...

    ResponderEliminar
  3. el chiste de todo esto es que en una búsqueda en google encontraras de 2 a 3 archivos ica que funcionen realmente

    ResponderEliminar
  4. @Anónimo, si hubieras leído el artículo de buscar por BING en el de fingerprinting de hacking remote apps, o el de cosas que hace mejor BING que Google sabrías que todos los archivos que usamos nosotros no salen de Google.

    Saludos hax0r!

    ResponderEliminar
  5. Maligno, para cuando el Hacking Remote Apps (3 de 3) !!!!!

    Saludos.

    Fernando

    ResponderEliminar
  6. Waiting jailbreaking 3 / 3....
    Plz.

    ResponderEliminar