LabBlog de Centre d'Estudis Santa Eulàlia

Introducción

El siguiente exploit aprovecha una vulnerabilidad que afecta a la totalidad de sistemas operativos Windows de 32 bits y proporciona un intérprete de comandos con privilegios de SYSTEM al usuario que lo ejecuta.

La vulnerabilidad se encuentra en la gestión al ejecutar aplicaciones de 16 bits. A día de hoy no existe parche para los sistemas afectados. La solución consiste en deshabilitar el soporte a las aplicaciones de 16 bits pero esto provoca que las mismas dejen de funcionar y sea necesario actualizarlas para que puedan ejecutarse en 32 bits.

La explotación

1. Buscamos en Google 'kitrap0D packetstorm' y enlazamos:

2. Volvemos a enlazar en 'mswinnt-pwn.txt':

3. Buscamos en el txt el siguiente url y descargamos el zip:

4. Abrimos el zip y arrastramos sobre el escritorio los siguientes ficheros:

5. Ejecutamos 'vdmallowed' y obtenemos un intérprete de comandos conprivilegios de SYSTEM. Ahora, por ejemplo, ejecutando 'compmgmt.msc' es posible modificar las cuentas de usuario:

La 'solución'

Impedir el acceso a aplicaciones de 16 bits:

• Windows XP
• Windows 2003
• Windows 2008

Más información

• mswinnt-pwn.txt

En ésta práctica veremos dos tipos de recuperación:

• Recuperación de la contraseña Enable.
• Recuperación de una imagen borrada.

Recuperación de la contraseña Enable

Si por algún motivo olvidamos la contraseña Enable, todavía tenemos la posibilidad de reescribirla siguiendo el proceso que explicamos a continuación.

La serie 5500 de dispositivos ASA de Cisco utilizan un registro de configuración para definir la configuración de arranque del dispositivo.

Por defecto, el arranque normal utiliza un registro de configuración con valor 0x1. Si queremos arrancar el dispositivo y que no cargue en RAM el fichero de configuración almacenado en la NVRAM y que contiene la contraseña olvidada, debemos modificar el registro de configuración al valor 0x41.

El primer problema lo encontramos cuando intentamos modificar este registro de configuración. Para poder modificarlo tenemos que entrar en modo privilegiado y es imposible entrar sin introducir la contraseña Enable.

Por lo tanto, tenemos que modificar el registro de configuración de otra forma, por ejemplo desde el modo ROMMON.

Para entrar en modo ROMMON, reiniciamos el ASA y presionamos la tecla ESC. Una vez dentro:

rommon #0> confreg 0x41
rommon #1> boot

Cuando aparece el prompt, entramos en modo privilegiado, después en modo configuración, copiamos el fichero de configuración de la NVRAM a la RAM, cambiamos la contraseña de Enable, reestablecemos el registro de configuración a 0x1, copiamos la configuración activa a la NVRAM y reiniciamos el dispositivo.

ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# copy startup-config running-config
ciscoasa(config)# enable password nueva_contraseña
ciscoasa(config)# config-register 0x1
ciscoasa(config)# copy running-config startup-config
ciscoasa# reload

Recuperación de imagen borrada.

Si por algún motivo borramos la imagen de la flash o la misma se corrompe, el ASA no puede arrancar.

Una forma de copiar una nueva imagen consiste en entrar en modo ROMMON y obtenerla desde un servidor TFTP.

Para ello seguiremos los siguientes pasos:

• Utilizamos un PC para conectarnos por consola al ASA.
• En nuestro caso, conectaremos el ASA y el servidor TFTP a un router.
• Configuramos la información de red del router y del servidor TFTP
• Verificamos que el servidor TFTP contiene la imagen que necesita el ASA.
• Arrancamos el servicio TFTP.
• Arrancamos el ASA y entramos en modo ROMMON presionando la tecla ESC.
• Configuramos las variables de red necesarias para transferir la imagen, que se cargará en la RAM del ASA, del servidor TFTP.

  rommon #0> ADDRESS=192.168.1.1
  rommon #1> SERVER=192.168.2.1
  rommon #2> GATEWAY=192.168.1.2
  rommon #3> IMAGE=asa.bin
  rommon #4> PORT=Ethernet0/0
  rommon #5> tftp
  

• Cuando aparece el prompt, iniciamos una sesión de forma habitual.
• Tenemos que tener en cuenta que todavía no hemos copiado la imagen del TFTP a la memoria FLASH, sólo hemos arrancando el ASA desde la red.
• Finalmente, configuramos la información de red y copiamos la imagen a la memoria FLASH del ASA.

  ciscoasa# configure terminal
  ciscoasa(config)# interface Ethernet0/0
  ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
  ciscoasa(config-if)# no shutdown
  ciscoasa(config-if)# nameif inside
  ciscoasa(config-if)# security-level 100
  ciscoasa# copy tftp:asa.bin flash:asa.bin
  

Facebook es un sitio web de redes sociales que permite localizar amigos con quienes se perdió el contacto o agregar otros nuevos con quienes intercambiar fotografías o mensajes.

Hay gente que permite que todo el mundo visualice su perfil y sus fotografías. También los hay que sólo comparten esta información privada con sus amigos y no con todo el mundo.

Ahora detallaremos los pasos para poder visualizar las fotografías de la gente que no comparte su información privada con todo el mundo:

• Creamos una cuenta en Facebook. Si tenemos una, no es necesario crear una nueva.



• Una vez dentro, buscamos la persona objetivo. Podemos observar que el perfil no es público.



• Situamos el puntero del ratón sobre "Ver amigos".



• De esta forma, visualizamos en la parte inferior izquierda del navegador una dirección. Tenemos que copiar el número identificador.



• Ahora hacemos click en el enlace "Desarrolladores" situado en la parte inferior derecha del navegador.



• Luego en "Tools".



• Ahora en "Formato de respuesta" seleccionamos "Facebook PHP Cliente", en "Método" seleccionamos "photos.getAlbums" y en "uid" el identificador que copiamos anteriormente, "1234684030". Pulsamos "Método de llamada".



• A la derecha recibiremos el resultado de nuestra consulta. Podemos observar los enlaces de unos álbumes. Copiamos los enlaces en la barra del navegador y ya podemos visualizar las fotos privadas del usuario.