Govannom - Seguridad informatica

Como ejecutar archivos en una maquina sólo con descomprimir un .zip

El funcionamiento de este.. podemos llamarle fallo de seguridad, se debe a la salida del directorio donde se descomprimen los archivos... Es una cosa muy sencillita que ahora demostrare como se lleva a cabo un .zip malicioso.

Bien, solo necesitaremos 2 herramientas:
- Winzip (o cualquier otro compresor)
- Un editor hexagesimal (En el ejemplo se usara el hackman)

Bien, en el ejemplo os relataré como lleve a cabo mis investigaciones...
En primer lugar me pase por hispasec, y vi el titulo de "Sobreescritura de ficheros arbitrarios con unzip".
Directamente se me paso por la cabeza esto: Uh.. en windows NO es posible crear un archivo que se llame
../../../../../../ARCHIVO.txt y sacarlo de su path al descomprimirse pero.. si es posible crear un archivo que
se llame abcdefghijklmnñopqrstuvwxyzARCHIVO.txt, comprimirlo.. y cambiarle el nombre del [a-z]ARCHIVO.txt, hexagesimalmente en el archivo ya comprimido como .zip y llamarle ../../../../ARCHIVO.txt (vais comprendiendo? seguro que si).

Ok, veamos unas imagenes sobre como hacer esto:

Primero creamos el archivo que queramos ejecutar... cuando mas largo sea el nombre mejor , porque podras usar rutas mas largas :·P
luego comprimimos el archivo... Dificil? :)

Ok, ahora llega lo divertido, abrimos el editor hexagesimal (hackman en el ejemplo) y nos disponemos a editar el archivo que hemos comprimido. En la 'ventana' de la izq. veremos el codigo en hexagesimal, y en la derecha en ascii, bien.
Situate en las ultimas lineas de la ventana 'ascii', y podremos observas que VEMOS el nombre de nuestro archivo comprimido (lo he marcado de rojo).

Estupendo, procedamos a modificarlo, para sacarlo de la ruta (hasta llegar a c: o la unidad que use) debemos ponerle de nombre:
../../../../../../../../archivo.txt
pero.. ¿como lo ejecutamos?
Ok, pues aqui el titulo puede que tenga algo de engaño porque no se ejecuta al 100%... Debemos prepararlo, por ejemplo, en un windows xp en español, deberiamos de ponerle de nombre al archivo:
../../../../../../../../../Documents and settings/all users/menú inicio/programas/inicio/archivo.txt
(Tambien cabe destacar que el conocido descompresor winrar no es vulnerable) :(
Espero no haberme quedado solo al decir que no funciona al 100%... :·/, para los que sigan interesados, tengo que destacar que para representar la ú (de "all users/menú inicio") hay que poner A3 en la 'ventana' hexagesimal en el 'hueco' de la ú, como en el ejemplo.
una vez hecho, vas a archivo -> guardar.

Ya lo tenemos, ahora solo hay que descomprimirlo con un descompresor vulnerable y... bingo, se meterá el archivo comprimido en la ruta que le hayamos indicado (la ruta usada en el ejemplo ejecutara todo archivo que este allí... cualquiera, no doi ideas, pero tampogo engaño :P)... Espero que te haya gustado este documento, y si no lo siento por no haber podido complacerte :·(

* Documento escrito por SourViVor@phreaker.net *
* Pgpkey: http://www.putoamo.com/~sourvivor/public_keys/sourvivor.asc *

Publicado en http://cyruxnet.org