domingo, enero 13, 2013

Too many consoles, too many (power) shells

Han pasado ya un año y medio desde que el gran Silverhack y yo nos diéramos un paseo por la Defcon 19 para dar la charla de Bosses Love Excel, Hackers Too. Esa charla fue una en la que más hemos trabajado para acabar de montarla, y lo cierto es que los días que pasamos encerrados discutiendo y peleándonos con todo, al final merecieron la pena para nosotros, y cuando lo recordamos con una cerve, Juanito y yo estamos satisfechos de aquello.

Desde entonces, sistematicamente he ido notando una reducción constante del número del ficheros .ica disponibles en Internet en los que se pueden probar muchos de los trucos que os he ido dejando publicados por aquí, para hacer mil cosas para hacer jailbreak, jugar con las cadenas de conexión e incluso algún que otro truco de magia.

Ayer, después de "torturar" un poco a mis alumnos del Master de Seguridad de la UEM con el SQL Injection - y tras echarme una más que merecida siesta - me levanté con ganas de echar uno de esos vistazos que le pego a ver cómo va "el mundo de los .ica" en los buscadores.

Por supuesto, sacando un poco de partido a ser uno de los pocos que hace cuando hace hacking con buscadores lo hace con Bing Hacking, disfruto todavía de un amplio vergel de ficheros disponibles en la red, en los que se pueden probar todos los trucos y técnicas que os he ido contando... y alguna cosa nueva.

Recordando la charla que impartimos, hubo una parte en la que hablamos de "Too many consoles", en la que veníamos a decir eso de que si te bloquean el cmd.exe, siempre puedes usar el WMI, la PowerShell o usar el truco de Didier Stevens y calzar la consolar de ReactOS en un Excel - ¡Excel Rulz! -. 

Os cuento todo esto porque ayer mismo, como os decía, me volví a dar cuenta de que a día de hoy todo sigue muy vigente, y los entornos "fortificados" de Citrix, siguen adoleciendo de los mismos problemas, las sticky keys, demasiadas hot keys, y... too many consoles.

En este caso en concreto, como podéis ver, es un Windows Server 2008 R2 en el que se ha fortificado el entorno, y desde un panel de abrir fichero al que se puede acceder mediante un Ctrl+O, cuando se llama a cmd.exe, aparece el mensaje de la fortificación del entorno.

Figura 1: cmd.exe bloqueado por el administrador

Con cambiar y tirar con PowerShell.exe, ya está listo. Además, como estamos en Windows Server 2008 R2 no hay que saberse ni la ruta ni nada, ya que el path está disponible en cualquier cuadro de diálogo. 

Figura 2: PowerShell.exe disponible para los hackers

Por supuesto, la PowerShell no es solo una shell como cmd.exe, como su propio nombre indica es una Power Shell en la que se pueden hacer mil cosas, y a pesar de ser más peligrosa que el cmd.exe, los administradores todavía no la tienen en consideración. Fail.

De hecho, de nuevo en la fortificación del sistema, la consola de Explorer.exe había sido fortificada, ocultando las rutas a las unidades del sistema, lo que impedía verlas desde la estructura de ficheros mostrada en el Explorador de archivos.

Figura 3: Visualización de disco local bloqueado

Pero para la PowerShell esta medida es algo menos que inexistente, con lo que todo el sistema es tuyo. Para más sorpresas, entre Veritas, Tivoli y SQL Server este sistema tiene disponible ya un Wireshark. ¡Viva la fiesta!

Figura 4: Visualización de archivos y directorios con Power Shell

De hecho, en PowerShell se pueden hacer cosas tan chulas como las que necesitaba hace poco un amigo hacker de Las Vegas que en un pentesting había owneado una máquina y solo tenía una consola. Lo que me pidió por chat fue algo así:
- "¿Cómo puedo buscar en ficheros Excel que están en formato OOXML unos que tuvieran unos valores concretos dentro de las celdas desde la consola".
- "Abrete la consola PowerShell y lánzale un script, K. ¡PowerShell Rulz!" 
- "Bosses Love Excel, Hackers too!"
Realmente creo que la PowerShell se creo para los hackers, que muchos admins no son capaces de salir de las MMCs. }:)) 

Saludos Malignos!

4 comentarios:

  1. chema, una pregunta un poco discreta, puedes decir tu edad ??

    yo calculo unos 34 ?? , estoy cerca ??

    ResponderEliminar
  2. Anonymouse no es amigo de grandes discursos, tenemos mucho trabajo por hacer.

    Queremos mostrar nuestro apoyo a la sanidad publica tan atacada ultimamente por el sector privado de la mano de politicos corruptos.

    No nos vamos a quedar mirando; si se continua con la misma politica nosotros continuaremos por el mismo camino y elevaremos el daño de nuestras acciones.

    Podeis buscar vuestros datos y mandadnos un email en caso de que no sean correctos para proceder a su correcion; gracias.

    Next target: hospitales de madrid.

    Somos legion
    No olvidamos
    No perdonamos
    Deberiais habernos esperado

    http://pastebin.com/rNpYu1hY

    ResponderEliminar
  3. Operacion uch.cat

    http://pastebin.com/Ar4EGG9W

    ResponderEliminar
  4. A mi donde me bloquen el cmd.exe uso el command.com y suele funcionar :P

    ResponderEliminar