logotipo

Una de las cosas que más me llama la atención de este mundo nuestro del hacking es la dualidad entre ataque y defensa, víctima y verdugo, vulnerabilidades y contramedidas. Es imposible estar a un lado si no conoces el otro. Una buen ataque empieza por una buena defensa que diríamos en términos futbolísticos.
Estos días le he dado una vuelta de tuerca más al asunto y he probado una nueva experiencia aún sin saberlo en el momento inicial: hackear al hackeado.

Todo comenzó cuando completé con éxito la intrusión a un sistema Windows NT Server 5.1. Queda fuera del propósito de este texto comentar dicha intrusión y las técnicas utilizadas para superar las defensas del sistema. La maquina en cuestión realizaba( y aún realiza ) funciones de servidor web y estaba menos bastionado de lo que debiera ;)
El caso es que al verme dentro me encontré con que dicho sistema ya había sido comprometido con anterioridad. La prueba, una phpshell conocida para mí, la c99shell, que se encontraba camuflada entre los ficheros del servidor web.

Desde ese momento la intrusión dejó de tener para mí el interés que hasta ese momento había tenido. Nuevos objetivos surgieron. Me centré en averiguar cómo había penetrado el anterior intruso, qué había hecho en el sistema, saber qué puerta utilizó.
No tardé demasiado tiempo en encontrar un fichero php sospechoso en el servidor, probablemente el exploit usado:




Con el orgullo por las nubes fijé mi atención en la c99shell, más que nada para ver si era una versión más moderna de las que yo tengo y así tomarla prestada, vamos una apropiación (in)debida. No hubo sorpresa, o al menos no inicialmente, se trataba de la c99shell v1.0 pre-release build #16, las casualidades existen, hace unas pocas semanas comentaba dicha phpshell en una entrada reciente del blog:



Un vistazo algo más detallado me hizo ver que aquello iba a ser más provechoso de lo que parecía. La phpshell tenía algunas modificaciones respecto a la conocida por mí, incluía algunas opciones interesantes e incluso al final estaba firmada por los sujetos en cuestión, Shadow & Preddy:



Empezaré a comentar las de esté ultimo, que permiten leer y listar directorios usando un bypass php en modo seguro, Shadow aporta información sobre el Kernel y una pestaña con comandos predefinidos para ejecutar en el servidor. Veamos una vista general de las mejoras:



La parte más jugosa es la de los comandos, es por ello que he preparado un pantallazo con todos y cada uno de ellos, a cual más interesante:
usuarios conectados, ultimo en conectarse, usuarios sin contraseña, puertos abiertos del sistema e incluso una pequeña lista de ataques al Kernel, presumiblemente sobre el Kernel de Linux. Esto ultimo podemós comprobarlo mirando el código de la phpshell, pero eso es otra historia.
En el siguiente pantallazo veremos la lista completa:



Sin embargo la gran opción de esta shell es otra, la de poder bajarnos la SAM del sistema. ¿No sabés que es la SAM? Pues si no lo sabes andas un poco verde, pero cito a la Wikipedia que lo explica mejor que yo:

"El administrador de cuentas de seguridad o SAM (del inglés Security Account Manager) es una base de datos almacenada como un fichero del registro en Windows NT, Windows 2000, y versiones posteriores de Microsoft Windows. Almacena las contraseñas de los usuarios en un formato con hash (seguro, cifrado)."



Este fichero es dificil de obtener de un sistema en funcionamiento, ya que suele estar protegido por el Kernel de Windows pero la phpshell es capaz de extraerlo( otra de las cosas que hace el estudio del código de la misma muy interesante ). Estas características me hacen pensar que tal vez esta shell está especialmente diseñada para sistemas Windows y que los exploits para el Kernel que comenté antes pudieran ser para Windows.
Lo primero que pensé al extraer la SAM fue que no funcionaría bien, era una funcionalidad demasiado jugosa como para ser real. No se puede saber si el fichero es valido o no sin intentar crackearlo, ya que es un fichero binario. Es por ello que utilizé el programa LCP para crackear contraseñas de Windows y comprobé con mis propios ojos que el fichero SAM era válido:



Visto lo visto podríamos pensar que ya no había más carne que cortar. Como siempre estaba equivocado. Aún me quedaba un escollo que salvar. Al intentar bajarme esta modificación de la c99shell me topé con que el fichero php está codificado. El algoritmo utilizado es base64, conocido y de muy facil descifrado, pero la función que va delante( gzinflate ) era completamente desconocida para mí y hace que no funcione simplemente la descodificación del texto cifrado:



No voy a dejaros todo hecho, solo diré que felizmente disfruto del código de la c99shell modificada. Lo estudiaré con detenimiento en su momento pero ahora mismo estamos a mediados de Agosto, y aunque como habéis comprobado no todos los hackers están en la playa( EDITADO: Evidentemente no hablo de un servidor, sino de Shadow & Preddy ), es el momento de tomar un creo que merecido descanso.

Tenía muchas ganas de publicar este post. Desde hace mucho tiempo que tenía la inquietud de ver el interior de una Botnet y al fin lo he conseguido.
Para los que no sepan qué es una botnet cito a la wikipedia:

"colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos."

El caso es que he tenido acceso al controlador de una red de zombies y he podido apreciar algunos datos interesantes.
Lo primero que llamó mi atención fue ver que España está en segunda posición tanto en el top 10 de naciones infectadas como en el top 10 de reportes recibidos, esto indica que no cuidamos tanto nuestros pc's como creemos:



En la siguiente imagen podemos ver que la red en la cual me he introducido está compuesta de algo más de 95.500 ordenadores zombie, una cantidad bastante considerable, ya que por lo que se cuenta "por ahi" las redes suelen ser importantes a partir de los 20.000. Evidentemente está lejos de la red Storm Worm( se le calculan 1,7 millones de computadoras ) pero es una cifra importante:



Dejo una captura de pantalla de la pestaña de envio de comandos, viendo las opciones es facil darse cuenta de la gravedad del asunto de las redes zombie, y del poder que puede llegar a tener una persona ratón en mano.



Menos mal que llevamos el sombrero blanco puesto...

Recientemente y a través de un fraude bancario he conseguido acceso a una phpshell de lo más peculiar. Una phpshell es un fichero( o varios ) php que permite ejecutar comandos y realizar varias acciones interesantes sobre un servidor web, no siempre( casi nunca ) con buenas intenciones.

La shell con la que he tenido contacto en esta ocasión( ya hablaremos de alguna otra ) es la c99shell v1.0 pre-released build #16 y ha sido desarrollada por el Captain Crunch Security Team. Puedo decir que es una maravilla, me quito el sombrero ante los desarrolladores.
Es simple, consta de un solo fichero y funciona casi a la perfección.





Permite no solo navegar sencillamente por los ficheros del servidor web, subir, eliminar archivos de manera cómoda, ejecutar comandos, editar ficheros, etc sino que además incorpora ataques por fuerza bruta contra servidores FTP, permite establecer una puerta trasera( ver segunda imagen ), ejecutar sentencias SQL, incluso tiene ciertas búsquedas predefinidas para encontrar ficheros sensibles.





Una opción muy curiosa es la de autodestrucción, de manera que una vez subidos los ficheros deseados eliminamos la shell, para que nadie pueda hacerse con ella( alguien como yo ;) ).
Interesante es que con esta shell podemos bajarnos ficheros php del servidor, y no la respuesta interpretada que llega a nuestros navegadores.
Otra cosa que me llamó la atención es que tiene un apartado para ver los procesos del sistema con un enlace en cada uno de ellos para hacer un kill, accesos directos a ficheros /etc/passwd , /etc/syslog y /etc/hosts.

Cuenta también con elementos adicionales que pueden resultar muy utiles, como un encoder/decoder de base64, URL y hases, ejecución de código php, e incluso un apartado para mandar un correo a los desarrolladores( no lo recomiendo ).

En definitiva una gran herramienta, ya que con ella y un servidor web que tenga algún tipo de vulnerabilidad de inclusión de ficheros tenemos más peligro que McGiver en una ferretería.

Menos mal que llevamos puesto el sombrero blanco....