miércoles, agosto 08, 2012

Buscando passwords en servidores (2 de 2)

Continuando con la búsqueda de contraseñas en ficheros de configuración probé con los ficheros de extensión TXT, pero salió más bien nada, así que proseguí con los archivos de parámetros .INI, que suelen ser jugosos. Situado en C:\ lancé el comando findstr /si password *.ini, y en la primera página de resultados rápidamente aparecieron rutas a ficheros con passwords almacenadas en ellos, tal y como se puede ver en la figura siguiente.

Figura 6: Ficheros .INI en el sistema con passwords

Como se puede ver, hacen referencia a un software llamado Kaseya y a su agente en el sistema. Tras revisar en la web descubrí que el una aplicación para llevar el inventario de software de los equipos de una empresa, por lo que era probable que el agente corriera con bastantes privilegios dentro del servidor. Así que, nada a revisar el servicio para comprobar que funciona como local system en el equipo.

Figura 7: Servicio Kaseya Agent corriendo como Local System

Una vez esto, se puede revisar el contenido de los ficheros, para ver todo lo que está guardado en el archivo de configuración. Como se puede ver, la contraseña es utilizada para que el agente se autentique en el servidor, que aparece configurado también en el fichero, junto con el servidor de backup y los puertos de conexión. Algo que se me pasó en la exploración inicial de la DMZ.

Figura 8: Configuración de Kaseya Agent

Yendo a echar un ojo al segundo de los ficheros, lo primero de todo descubrí que dentro de la estructura completa de Kaseya también hay un servicio de VNC, llamado Kaseya TightVNC Server, y que permite que se conecten al equipo remotamente, lo que abre muchas posibilidades si conocemos la contraseña.

Figura 9: Kaseya TightVNC Server

Pero como os podéis imaginar, esto no iba a ser demasiado complicado, ya que el servicio es muy sencillo y la configuración es un simple archivo .INI, justo el otro que salió en la búsqueda, y en él se puede ver la contraseña que da acceso al servicio VNC.

Figura 10: Password de conexión a servicio Kaseya TightVNC Server

Por supuesto, en caso de no haber tenido éxito en las primeras búsquedas, hubieran quedado todavía las consultas a ficheros .bak, .dsn, y casi cualquiera que se te ocurra, en pro de conseguir alguna password que llevarte a la boca e intentar hacer una elevación de privilegios.

On the other hand, si tienes servidores bajo tu administración, deberías hacer este proceso a ver qué eres capaz de conseguir con un usuario "luser" del equipo, ya que es más que probable que algún servicio, aplicación o una mala práctica tuya te la jueguen, así que... busca las passwords que tienes almacenadas en tus servidores.

Saludos Malignos!

**************************************************************************************************
**************************************************************************************************

4 comentarios:

silverhack dijo...

Muy buena Chema! Y fácil de implementar con nuestros "juguetes"!!
Excel its working... Excel its working.

ramandi dijo...

Muy chulo!!

Está muy bien recordar que el DEP y el ASLR no nos van a librar de todo ;-).

Saludos!

tux dijo...

Otra vez escribiendo de cosas que no son tuyas?

Chema Alonso dijo...

@tux, que no son mías?? tú eres tonto tux?

Saludos!

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares