logotipo

Una de las cosas que más me llama la atención de este mundo nuestro del hacking es la dualidad entre ataque y defensa, víctima y verdugo, vulnerabilidades y contramedidas. Es imposible estar a un lado si no conoces el otro. Una buen ataque empieza por una buena defensa que diríamos en términos futbolísticos.
Estos días le he dado una vuelta de tuerca más al asunto y he probado una nueva experiencia aún sin saberlo en el momento inicial: hackear al hackeado.

Todo comenzó cuando completé con éxito la intrusión a un sistema Windows NT Server 5.1. Queda fuera del propósito de este texto comentar dicha intrusión y las técnicas utilizadas para superar las defensas del sistema. La maquina en cuestión realizaba( y aún realiza ) funciones de servidor web y estaba menos bastionado de lo que debiera ;)
El caso es que al verme dentro me encontré con que dicho sistema ya había sido comprometido con anterioridad. La prueba, una phpshell conocida para mí, la c99shell, que se encontraba camuflada entre los ficheros del servidor web.

Desde ese momento la intrusión dejó de tener para mí el interés que hasta ese momento había tenido. Nuevos objetivos surgieron. Me centré en averiguar cómo había penetrado el anterior intruso, qué había hecho en el sistema, saber qué puerta utilizó.
No tardé demasiado tiempo en encontrar un fichero php sospechoso en el servidor, probablemente el exploit usado:




Con el orgullo por las nubes fijé mi atención en la c99shell, más que nada para ver si era una versión más moderna de las que yo tengo y así tomarla prestada, vamos una apropiación (in)debida. No hubo sorpresa, o al menos no inicialmente, se trataba de la c99shell v1.0 pre-release build #16, las casualidades existen, hace unas pocas semanas comentaba dicha phpshell en una entrada reciente del blog:



Un vistazo algo más detallado me hizo ver que aquello iba a ser más provechoso de lo que parecía. La phpshell tenía algunas modificaciones respecto a la conocida por mí, incluía algunas opciones interesantes e incluso al final estaba firmada por los sujetos en cuestión, Shadow & Preddy:



Empezaré a comentar las de esté ultimo, que permiten leer y listar directorios usando un bypass php en modo seguro, Shadow aporta información sobre el Kernel y una pestaña con comandos predefinidos para ejecutar en el servidor. Veamos una vista general de las mejoras:



La parte más jugosa es la de los comandos, es por ello que he preparado un pantallazo con todos y cada uno de ellos, a cual más interesante:
usuarios conectados, ultimo en conectarse, usuarios sin contraseña, puertos abiertos del sistema e incluso una pequeña lista de ataques al Kernel, presumiblemente sobre el Kernel de Linux. Esto ultimo podemós comprobarlo mirando el código de la phpshell, pero eso es otra historia.
En el siguiente pantallazo veremos la lista completa:



Sin embargo la gran opción de esta shell es otra, la de poder bajarnos la SAM del sistema. ¿No sabés que es la SAM? Pues si no lo sabes andas un poco verde, pero cito a la Wikipedia que lo explica mejor que yo:

"El administrador de cuentas de seguridad o SAM (del inglés Security Account Manager) es una base de datos almacenada como un fichero del registro en Windows NT, Windows 2000, y versiones posteriores de Microsoft Windows. Almacena las contraseñas de los usuarios en un formato con hash (seguro, cifrado)."



Este fichero es dificil de obtener de un sistema en funcionamiento, ya que suele estar protegido por el Kernel de Windows pero la phpshell es capaz de extraerlo( otra de las cosas que hace el estudio del código de la misma muy interesante ). Estas características me hacen pensar que tal vez esta shell está especialmente diseñada para sistemas Windows y que los exploits para el Kernel que comenté antes pudieran ser para Windows.
Lo primero que pensé al extraer la SAM fue que no funcionaría bien, era una funcionalidad demasiado jugosa como para ser real. No se puede saber si el fichero es valido o no sin intentar crackearlo, ya que es un fichero binario. Es por ello que utilizé el programa LCP para crackear contraseñas de Windows y comprobé con mis propios ojos que el fichero SAM era válido:



Visto lo visto podríamos pensar que ya no había más carne que cortar. Como siempre estaba equivocado. Aún me quedaba un escollo que salvar. Al intentar bajarme esta modificación de la c99shell me topé con que el fichero php está codificado. El algoritmo utilizado es base64, conocido y de muy facil descifrado, pero la función que va delante( gzinflate ) era completamente desconocida para mí y hace que no funcione simplemente la descodificación del texto cifrado:



No voy a dejaros todo hecho, solo diré que felizmente disfruto del código de la c99shell modificada. Lo estudiaré con detenimiento en su momento pero ahora mismo estamos a mediados de Agosto, y aunque como habéis comprobado no todos los hackers están en la playa( EDITADO: Evidentemente no hablo de un servidor, sino de Shadow & Preddy ), es el momento de tomar un creo que merecido descanso.

Nada nuevo... aunque no tengo esa variante del c99 ¿hay alguna posibilidad de que me envies ese archivo para estudiarlo? ¿un cambio acaso?

Salu2

Muy bonito pero queremos novedades... :P

Mientras esa intrusión no haya sido ejecutada en el servidor que aloja mi ftp todo bien.

no hay nada mas inseguro que ese maldito servidor de calex78_...

saludos

Muy bueno, tío. Eres un puto crack!