Para realizar una elevación de privilegios, si el servidor es un Windows 2000 Server o Windows Server 2003, la búsqueda de un servicio desprotegido siempre fue uno de mis trucos favoritos. La idea es sencilla, listar los servicios que corren como system, buscar que los permisos sobre el fichero no estén fortificados - con lo que se puede hacer un cambio de nombre al ficheros - y crear un nuevo binario que será cargado en el próximo reinicio con nuestra shell. Para hacer esto, en Informática 64 tenemos hasta un programa de fabricación casera que automatiza la búsqueda de este servicio y su suplantación.
Éste, todos los trucos que conocía, y alguno más que no conocía, desde el del uso del comando at, pasando por la suplantación de sethc.exe, los trucos de pass the hass, módulos de post-explotación de Metasploit, el uso de mimikatz, los permisos autoelevate de Windows y UAC, y hasta el del exploit Churrasco de César Cérrudo, están en la presentación de Insomnia que he visto gracias a hackplayers. La lista de trucos explicados está recogida en este artículo y en este cheatsheet que se ha creado referente al tema de Windows Privilege Escalation.
De todos ellos, los que más me llamaron la atención por su simpleza son los que se aprovechan de buscar aquellos servidores utilizados como clientes, es decir, aquellos que tienen archivos de configuración de conexiones VNC, SSH - como el caso de iSSH - o RDP, credenciales que pueden ser localizadas con una sencilla búsqueda en el sistema ficheros o en el registro de Windows. Esto, como en el caso de aplicaciones como Filezilla que almacena las passwords en texto claro, puede ser un auténtico éxito en una auditoría de seguridad.
Cuando consigues hacer el jailbreak de la aplicación en un servidor Citrix, el siguiente paso es conseguir realizar la elevación de privilegios, para lo que se pueden utilizar muchos de estos trucos. La búsqueda de ficheros con credenciales es especialmente útil en servidores Citrix, donde las cuentas suelen ser muy poco privilegiadas. Con un servidor público que utilicé para explorar una DMZ, lancé algunas de las búsquedas que recomiendan en el cheatsheet, como por ejemplo en registry, donde simplemente buscando por password aparecieron un par de aplicaciones.
Figura 1: Pasword de PassportParnert en Binario |
Figura 2: Aplicación PeachTree |
Una de ellas, PeachTree, parece ser una utilidad de backup que podría ayudar a conseguir muchos datos, ya que los ficheros empaquetados pierden sus ACL y quedan mucho más expuestos.
Figura 3: Aplicación PeachTree para hacer y recuperar backups |
Lanzando las búsquedas sobre ficheros .xml que pudieran ser de configuración, como recomiendan en la hoja de trucos, también aparecieron algunas credenciales interesantes, como la de la actualización de software y firmas del software de McAffe, que parece que están cifradas.
Figura 4: Credenciales de conexión de McAffe |
O las de configuración por defecto de algún módulo Citrix, que parece que tiene que ver con Citrix WorkLoad Balancing.
Figura 5: Credenciales por defecto de Citrix WLB |
Sólo con un par de búsquedas apareció bastante información sensible que no debería aparecer en un servidor expuesto a Internet al que se conectan usuarios, pero aún había más cosas, que ya os contaré mañana que el post de hoy ya está quedando muy largo.
Saludos Malignos!
**************************************************************************************************
**************************************************************************************************
Perdona que te diga Chema pero los servicios desprotegidos no tienen nada que ver con windows 2k o 2k3, puede ocurrir en cualquiera de ellos, o no lo sabias? bueno no esta de mal aprender de vez en cuando con los comentarios
ResponderEliminar@Spirit, dónde pone que dependan de Windows 2Ko 2k3? Pone que fue uno de mis trucos preferidos, que he usado mucho. Lo pone claro, no? Suficientemente claro, no?
ResponderEliminarSaludos!
@Spirit, tu si que tendrías que aprender.....a leer un poco mejor, majo, o no lo sabías?
ResponderEliminarHola Chema, llevo mucho tiempo siguiéndote y hay que ver la cantidad de "lusers" que están deseando que te equivoques en algo para hacer sangre.
ResponderEliminarCuanto mediocre por el mundo¡¡