viernes, 1 de junio de 2007

Escalando Privilegios en Windows XP y 2000

Primero que nada me gustaria dejar claro que este tutorial esta echo con fines educativos y para que algun curioso practique en su sistema, no me hago responsable del mal uso que podais hacer del mismo, recordad que urgar en sistemas ajenos es ilegal.

Antes de nada explicare un poco el pq de esta vulnerabilidad.

Este problema se debe a los programas Stickykeys y Togglekeys que Windows instala por defecto para configurar los atajos de teclado a la gente que este incapacitada para pulsar dos o mas teclas a la vez, utilizando esta aplicación (stickykeys) un usuario podra hacer ctrl+b pulsando primero una tecla y luego la otra o que (utilizando togglekeys) windows emita un sonido fuerte al activar las teclas(bloq mayus, bloq number o block despl) y una suave al desactivarlas. El fallo de esto es que Windows configura por defecto un atajo para acceder a estas aplicaciones, asi cuando un usuario da 5 veces a la tecla shift (mayusculas) o presiona la tecla bloq num durante 5 segundos, se le activaran los programas que hemos mencionado; el fichero que activan estas aplicaciones se llama sethc.exe (el mismo para los dos) y se encuentra en C:\Windows\system32, lo que vamos a hacer es sustituir este fichero por cmd.exe(que se encuentra en la misma ruta que sethc.exe) para que cuando demos 5 veces a la tecla shift o presionemos durante 5 segundos la tecla bloq num, se nos abra una consola con permisos de Administrador desde la cual podremos crearnos una cuenta con permisos de Admin o hacer lo que nos venga en gana(pero recordad que solo estamos investigando).

Escalando privilegios......

Despues de tanto rollo por fin vamos a ver como hacer todo lo que hemos comentado, para llevar acabo esto necesitaremos acceso fisico al equipo y el E.R.D Commander, este un programa con el que podremos acceder desde cd-rom a nuestro sistema y modificar el fichero que hemos mencionado con anterioridad(al final de este texto extendere un poco la informacion sobre esta aplicacion); seguro que si alguno conoce el ERD salta diciendo y pq si usas este programa no cambias el pass del Admin directamente y te dejas de tantas tonterias?, es cierto podriamos cambiar el password del Admin con este software, pero la idea es aprender un metodo con el cual no te canteas(te haces notar).

1. Configuramos la BIOS para que arranque desde CD-Rom.
2. Metemos nuestro cd del E.R.D Commander(yo he utilizado el 2002 sin problemas).
3. Accedemos a nuestro sistema con el Commander y nos vamos a Mycomputer C:\Windows\system32 aqui buscamos el archivo sethc.exe y lo renombramos, luego en la misma ruta marcamos cmd.exe, le damos a boton derecho y le damos a copy to, le decimos que nos lo copie en c: (por ejemplo), despues vamos a C: , buscamos el archivo cmd.exe y lo renombramos a sethc.exe, marcamos el fichero, le damos a la opcion move to y le indicamos la ruta c:\Windows\system32; por ultimo comprueba que el archivo sethc este en dicha ruta.
4. Sal del E.R.D dando a start, logoff y luego reinicia el PC dandole a la opcion Reboot.
5. Enciende tu PC como harias siempre y en la pantalla de bienvenida(o en la clasica de windows) le damos 5 veces a Shift(o mantenemos pulsado bloq num 5 segundos) y se nos abrira una consola(como habiamos dicho antes) .
6. Ahora crearemos un usuario Admin, para ello introducimos el siguiente comando:
Net user Elusuarioquequieras /add /expires:never /passwordreq:no
Esto nos creara un usuario que en este caso se llamara Elusuarioquequieras, el cual nunca caduca y no requiere de password.
7. Para darle permisos de Admin al usuario que hemos creado (aunque es muy provable que no lo veas en la pantalla de bienvenida), ejecutamos el siguiente comando:
Net localgroup Administradores /add Elusuarioquequieras
8. Reiniciamos el PC y ahora si que veremos a nuestro nuevo usuario con permisos de Admin :OO!!

Protegerse de este fallo......

Para protegerse de este fallo de seguridad basta con ir a panel de control, darle a vista clasica y entrar en opciones de accesibilidad, en la pestaña teclado nos fijamos en el cuadro que pone StickyKeys y le damos a configuracion, dentro de esta ventana desmarcamos la opcion utilizar metodo abreviado, aceptamos y listo, luego nos toca repetir los mismos pasos con Togglekeys y con Filterkeys(aunque esta ultima no termina lanzando la consola desde la pantalla de bienvenida si lo hace desde una cuenta limitada por lo que es mejor desactivar la funcion abreviada para mayor seguridad).
Con esto evitariamos que un usuario ejecute el punto numero 5 de este texto desde una cuenta limitada, pero no evitaremos la ejecucion del mismo punto desde la pantalla de bienvenida, algo que tendria que haber sido corregido hace bastante tiempo.
====================================================
ERD Commander es una aplicacion destinada a la reparacion y recuperacion de sistemas windows NT,2000 y XP el cual nos permite el acceso a dichos sistemas con permiso de administrador desde donde podremos solucionar cualquier problema de arranque del sistema, conflictos de controladores, eliminar programas o archivos maliciosos, etc y todo esto arrancando desde cd-rom(tb puede ser instalado en el disco duro pero es conveniente tenerlo en CD) lo que nos permitira un mejor analisis de nuestro sistema y posterior solucion.
Estos datos son referentes al ERD Commander 2002, hoy en dia existe la version 2005 que tb soporta sistemas 2003 server.