Ok, ya he hecho mis pruebas y estos son los resultados...

Cómo ya venía pensando, el detalle de trabajar con una shell remota con privilegios de usuario o con privilegios de SYSTEM es un detalle a tener en cuenta!!!

A través del exploit DCOM (para MS03-026) o HODLsass (para MS04-011) consigo una shell remota con privilegios de SYSTEM en cierta víctima de mi red local.

Le subo 4 cosas: los 3 archivos del VNC + 1 vncreg.reg q contiene la entrada en regedit de la carpeta HKEY_CURRENT_USER\Software\ORL. No prob en esto...

A continuación, hay q agregar la información de la contraseña a su registro. Esto se hace con la instrucción "reg import vncreg.reg". Pues bien, desde una shell con privilegios de SYSTEM no te agrega la entrada!!!!!!
He comprobado q si es un shell con privilegios de usuario entonces sí te la agrega...

Bien, suponiendo q ya tenemos la información agregada en el registro. Si ejecutamos "start winvnc" desde una shell con privilegios de SYSTEM, te carga el winvnc pero da error Connection Failure al conectarte.
He comprobado q si ejecutas "start winvnc" desde una shell con privilegios de usuario, te carga el winvnc y te puedes conectar con éxito con el vncviewer.

Nota: Ejecutar programas desde una shell con privilegios de SYSTEM es una *****. Si ejecutas calc, se te añade a la lista de procesos en ejecución (como SYSTEM), pero en la pantalla no te aparece la calculadora. (Si lo haces desde una shell con privilegios de usuario, entonces sí que se abre...)

Bueno, me he puesto a pensar y el dilema se encuentra ahora en q, una vez q tengo subidos los archivos a la víctima, ¿cómo ejecuto las operaciones "reg import vncreg.reg" y "start winvnc" con privilegios de usuario (y no de SYSTEM)??

He probado con el comando runas, para ver si podía ejecutar estas dos operaciones como usuario de cierta cuenta, pero me pide contraseña y además, no me deja introducirla. FRACASO...

He probado a agregar una clave al registro q al iniciar Windows ejecute "reg import vncreg.reg" pero me da error de sintaxis. Es decir, no pongo bien el comando a ejecutar... alguna idea??
Sin embargo, creo q es posible agregar entradas al registro desde una shell con privilegios de SYSTEM pq al ejecutar:


SI q me añadió la clave y, de hecho, al iniciar Windows sale la ventana de propiedades de winvnc pidiéndome la contraseña ^_^


Resumiendo, podemos agregar claves de registro con REG ADD, pero no con REG import vncreg.reg!!!

Alguna idea...

Animo gente q esto lo sacamos...  8)

Salu2

Muy bien, muy bien... gracias por la ayuda perooooo.....

Ambos habéis utilizado una shell remota con privilegios de cierto usuario, pero habéis probado con exploits?? Estos devuelven la shell con privilegios de SYSTEM. No sé si es un detalle a tener en cuenta pero es q he atacado 4-5 equipos de mi red con exploits y no he tenido éxito al ejecutarles el winvnc...

Probad con exploits please.

Yo estoy en ello!!!

Salu2

Gracias por contestar tan pronto....

Bueno, estaba equivocado!!! Da bastantes problemas...

Cuando publique el minitutorial, habia obtenido la shell remota de forma manual, es decir, habia dejado en el equipo atacante el nc a la escucha y desde el equipo victima le devolvia la reverse shell. Una vez conseguida la shell remota, seguí los pasos uno a uno y me dieron éxito las dos veces q probé.
En este caso, la shell remota era con privilegios del usuario q me devolvió la reverse shell.

Ahora he cambiado de escenario. Me sitúo en una red local y para acceder a la shell remota de la víctima aprovecho la vulnerabilidad MS04-011 y obtengo una shell remota a través del exploit. El problema es q esta shell remota es con privilegios de SYSTEM.
He seguido los pasos y me da el error:

This server does not have a valid password enabled. Until a password is set, incoming connections cannot be accepted

Es decir, no guarda la contraseña.

También he probado a volcar mi carpeta VNC3 del registro en un vnc.reg. Le subo a la víctima los 3 archivos y también le subo este vnc.reg. Ejecuto "reg import vnc.reg" y despues pongo en marcha el vnc.
Lo siguiente es intentar conectarse con el vncviewer. HE probado con el original, con el de la carpeta de noIcon y con la version q posteo Zhyzura y me salta Error. Connection closed en los 3 casos.

Bueno, unas cuantas cosas:

1) Si sois tan amables, Zhyzura y Man in the Middle, detalladme el escenario con el q estáis trabajando. Como conseguis la shell remota, con q privilegios, cómo ejecutáis el server del vnc, etc

2) Man in the Middle!! Tienes bastante conocimiento respecto a este tema, pero te expresas de culo y no te entiendo nada bien  Si eres tan amable, postea tu experiencia paso a paso, con buena letra y q todos podamos enterarnos pq es muy interesante lo de añadir la clave del registro para poner la contraseña. Te lo digo en serio, eh!!

Hala, a ver si encontramos un método universal y publicamos un bonito tutorial.

Por mi parte, he subido al PAFileDB los archivos del VNC, tanto la version original como la versión modificada para q no muestre el Tray Icon. De esta forma, siempre podremos contar con ellos...

VNC Original: http://ns2.elhacker.net/rojodos/descargas/pafiledb.php?action=download&id=63
VNC Modificado No Tray Icon: http://ns2.elhacker.net/rojodos/descargas/pafiledb.php?action=download&id=64

Salu2

A ver, tienes q realizar las operaciones en secuencia, tal y como está explicado:

1) Instalar el original VNC en el equipo atacante
2) Configurar el Servidor ORIGINAL en el propio equipo del atacante.
Necesitamos configurar el Servidor antes de instalárselo a la víctima o de otro modo, no podremos conectarnos remotamente!!
Así pues, ejecutamos WinVNC.exe y nos saldra una ventana de propiedades. Comprobamos q en Display Number pone 0 y en Contraseña agregamos una q queramos...
3) Sustituir el Servidor ejecutable original por uno modificado para q no muestre el Tray Icon.
4) Subir el Servidor VNC MODIFICADO a la víctima.

Si lo haces así, no debe aparecer ninguna ventana en el equipo víctima...

Salu2

Wow... muchas gracias zhyzura!!! Con tus aportaciones, el "tutorial" ya está completo... Hala, a espiar, a espiar!!

Siento haber estado desaparecido esta ultima semana, pero me fui de vacaciones (de verdad q las necesitaba...). A ver si me pongo al día...

Salu2

Ya está disponible el tutorial!

Gospel.feat.Zhyzura-Troyanizando.VNC.Control.Remoto.Invisible.pdf

http://www.geocities.com/unrayodesoul/gospel/Gospel.feat.Zhyzura-Troyanizando.VNC.Control.Remoto.Invisible.pdf
(Guardar destino como...)

Mirror: http://ns2.elhacker.net/timofonica/manus/Gospel.feat.Zhyzura-Troyanizando.VNC.Control.Remoto.Invisible.zip

Mirror2: http://ns2.elhacker.net/rojodos/descargas/pafiledb.php?action=download&id=65

_________________________________________________________________________________

Jejejeje.... Wolaaa 

He decidido escribir este pequeño manual pq me empezó a picar la curiosidad después de leer el post de Shy @ http://foro.elhacker.net/index.php/topic,41216.msg198996.html#msg198996 (Así q en parte, el mérito tb es de él  )

Para todos aquellos q os preguntáis (yo hasta ahora me lo preguntaba): ¿Cómo puedo obtener el escritorio remoto de la víctima a partir de una shell remota obtenida tras una intrusión?

Vamos a utilizar para ello el programa de control remoto, q no troyano, de distribución libre y gratuita VNC. La página oficial del proyecto es http://www.realvnc.com.

Este simple programa se compone de dos aplicaciones Cliente y Servidor. El Servidor es lo queremos instalar en la víctima, el Cliente es lo q utilizará el atacante para visualizar el escritorio de la víctima.
Problema: Por defecto, el Servidor VNC muestra un Tray Icon durante su ejecución. Ohhh...  se acabó la Fiesta??? Nooooooo, ni hablar! 

He encontrado bastantes manuales por la red de cómo llevar esto acabo, pero ante todo, he preferido no jugar con claves de registro así q me quedo con este procedimiento q os voy a enseñar:

1) Instalar el original VNC en el equipo atacante.
Para ello, no vamos a bajarnos la última version oficial de VNC, si no ésta (ya veréis luego pq esta versión en concreto...)

http://ftp://ftp.uk.research.att.com/pub/vnc/dist/
y buscamos
vnc-3.3.2r6_x86_win32.zip

Despúes de descargarnos el zip, lo descomprimimos y lo instalamos. Se creará una carpeta en Archivos de Programa llamada C:\Archivos de programa\ORL\VNC donde encontraremos, entre otros archivos, el Servidor (WinVNC.exe) y el cliente (vncviewer.exe).

2) Configurar el Servidor en el propio equipo del atacante.
Necesitamos configurar el Servidor antes de instalárselo a la víctima o de otro modo, no podremos conectarnos remotamente!!
Así pues, ejecutamos WinVNC.exe y nos saldra una ventana de propiedades. Comprobamos q en Display Number pone 0 y en Contraseña agregamos una q queramos...
Ya podemos cerrar el Servidor.

3) Sustituir el Servidor ejecutable original por uno modificado para q no muestre el Tray Icon.
Este ejecutable lo encontraremos en http://www.ssimicro.com/~markham/vnc/vnc-3_3_2r6_x86_win32_notray.zip

Lo descargamos, lo descomprimos y sustituímos el archivo WinVNC.exe por el original q se encuentra en la carpeta C:\Archivos de programa\ORL\VNC

4) Subir el Servidor VNC a la víctima.
Después de haber obtenido una shell remota de la víctima, vamos a subir vía TFTP los archivos necesarios para poder ejecutar el Servidor VNC en el sistema de la víctima.
Para ello, colocamos en la carpeta de nuestro Servidor TFTP (si no entiendes esto de Servidor TFTP, busca por el foro...) los siguientes archivos:
WinVNC.exe y VNCHooks.dll localizados en C:\Archivos de programa\ORL\VNC
omnithread_rt.dll localizado en C:\WINDOWS\system32

Subimos estos archivos a la víctima y procedemos a iniciar la ejecución del Servidor son el comando start WinVCN.exe
Por supuesto, no aparece ningún Tray Icon en la barra de la víctima   8)

Creo q la captura q os adjunto con el texto explica bien este último paso.

5)Conectarse desde el Cliente atacante al Servidor de la víctima.
Desde el equipo atacante, ejecutamos vncviewer y antes de nada, para evitar dar el cantazo, en Opciones marcamos la casilla de View Only (inputs ignored). De esta forma no podremos interactuar con el ratón de la víctima.
Introducimos la IP de la victima : Display Number (ej: 192.168.0.2:0), la contraseña y boom!!

Un apunte, aunq no aparezca el Tray Icon, sí q aparece WinVnc.exe en la ventana de procesos de la víctima. Yo he probado a renombrar el archivo WinVNC.exe por SYSTEM.exe y me funciona sin problemas. 


Tengo decir q no me he molestado mucho en buscar por el foro y es posible q esto mismo ya lo haya explicado alguien en otro hilo. Si es así, bueno, yo he aprendido mucho currándomelo por mi cuenta y aquí os dejo mi experiencia. 


Salu2

En este link encontrarás muchas prácticas q ha ido publicando mi profesor de Java. Están todas las del curso y muchas más. Busca en la sección Prácticas, abajo del todo. Ahí encontrarás 4,5 prácticas sobre aplicaciones cliente-servidor.

http://www.geocities.com/jmordax/

Es lo q andabas buscando, suerte!

Salu2

Jajajajja... hasta lo han publicao en Yonkis!!!
http://www.yonkis.com/ - 4 de septiembre



Bueno, pos ya lo tenéis, vuestro "gilipollas" se ha hecho famoso   

Jajajaja.... quien será el jachondo encargado de ponerle los nombres a las operaciones especiales de la Guardia Civil de Delitos Informáticos??

http://www.guardiacivil.org/telematicos/hechos.htm

Operaciones TULIPÁN y PIOLÍN
Operación RONNIE
Operación JULIA
Operación POLICARBONATO
etc.

Llegarán a ser tan míticas como la famosa operación Sun Devil??

Jajajajaja..... esto tb es coña??
http://www.guardiacivil.org/telematicos/consejos5.htm

CONSEJOS PARA LOS "PEQUEÑOS CIBERNAUTAS"



Mu bueno el texto de la Guía para padres!

Salu2

A ver... no se pq abres este post aquí, ya q no mencionas nada del Findjmp... pa la prox, abre un nuevo tema.

Tb podías haber dicho q estás hablando del exploit RPC2 @ http://www.k-otik.com/exploits/10.09.rpc2universal.c.php, q me ha costao encontrarlo...

La mitad del código fuente está comentado, en plan chapuza... asi q yo no me fío nada de este código! No da mucha confianza y paso de tirarme horas buscando offsets pa na. Tío, sé q es una putada pq MS03-039 es una buena vulnerabilidad y no se han publicao exploits q funcionen con éxito, pero creo q es mejor pasar de este exploit RPC2 (o conoces de buena fe q a alguien le ha funcionao??)

De todas formas, el SEH pointier creo q hacía referencia al kernel32.dll, y sí, se desensambla con el olly. La primera linea ni idea...

Bueno, si quieres echar a andar un exploit a ver q te parece mi idea: Ahora casi todo el mundo q tiene Win XP tiene puesto el SP1 así q pq no echamos a andar el MS03-043 de Adik??. Llevo mucho tiempo queriendo probarlo con éxito, pero definitivamente no funciona contra SP0 y no he podido probarlo contra SP1. Contra SP1 tiene q funcionar fijo, pq he visto por internet análisis sobre este exploit, vease:

Exploiting Heap Overflow in Microsoft Messenger Service with msgr07.exe by Patti Lawrence
www.giac.org/practical/GCIH/Patti_Lawrence_GCIH.pdf

An Analysis of the Windows Messenger Service Buffer Overflow Vulnerability by Peter Hewitt
www.giac.org/practical/GCIH/Peter_Hewitt_GCIH.pdf

Pos eso, si quieres seguir trabajando con RPC2, como tu quieras, pero creo q estaría bien intentar sacar el exploit de Adik, q es bastante más fiable q el RPC2. Si tienes oportunidad de trabajar con este exploit sobre Win XP SP1, yo te ayudo en lo q pueda...

Ciao

Salu2