martes, 29 de diciembre de 2015

vulnerabilidades en Citrix y Terminal Services 3 "Explotacion"

En los anteriores post se a visto la  forma de buscar los archivos .ica así como su funcionalidad y lo que me permiten su búsqueda a través de Google y Bing por parámetros avanzados y no solo eso también se pudo hablar sobre la búsqueda y la instalación del cliente Citrix, a continuación nos enfocaremos en lo que mas me gusta  y es en como explotar la vulnerabilidad.

Todo lo que hemos visto con anterioridad se debe a que se promueve una disciplina llamada osint "Open-source intelligence" la cual nos dice como sin cometer ningún delito, sin realizar ninguna infracción, simplemente realizando la búsqueda y recolección de información publica, es posible llegar  a acceder a sitios insospechados en Internet.

Una de las formas mas conocidas para la búsqueda de ficheros .ica activos "que estén en funcionamiento" es la utilización del parametro Contains en el buscador Bing, tal y como se puede observar a continuación 


Figura 3. Parámetros de búsqueda Para ficheros .ica activos 

En este caso utilizamos en contains para buscar dentro de la pagina web los archivos .ica en todo el dominio tw  perteneciente a Taiwan, República China en la cual obtuvimos 10 sitios con ficheros .ica, para ser explotados.

Para comenzar con la explotación del fichero e decidido ingresar al primer resultado dado que ha sido, por  obvias razones  no puedo  mostrar el enlace atacado pero si puedo  dar una pista.



Figura 2. Enlace  atacado 


Figura 3. Contenido  del enlace

Dentro de la pagina web, a simple vista no se observa ningún tipo de fichero .ica por lo cual se revisara en código fuente de la pagina web, para  lo cual  si utilizar Chrome bastara con Ctrl+U

Después utilizaremos Ctrl+G con el fin de buscar dentro del código fuente ficheros .ica


Figura 4. Búsqueda  de  ficheros .ica  en el código  fuente de la pagina



Figura 5. Ficheros .ica  encontrados dentro del código  fuente de la pagina

En la figura 5 se puede observar 3 en laces con ficheros .ica , en los cuales los 2 primeros son archivos para lograr una conexión con el servidor en un área local, pero el tercero nos indica que un archivo .ica para lograr la conexión por fuera de la red LAN "red de área local",por esta razón descargare el tercero y no los otros, es necesario tener en cuenta que de ahora en adelante es indispensable, tener instalado el cliente Citrix del cual en post anteriores se a indicado su búsqueda e instalación.

Al realizar la descarga nos a quedado un archivo .ica el cual se puede observar en la parte inferior de el navegador esto si se realiza a través de Chrome


Figura 6. Fichero .ica  encontrados dentro del código  fuente de la pagina

Para lograr la conexión con el servidor solo bastara con dar doble clic sobre el archivo .ica descargado, de inmediato  el cliente Citrix descargado comenzara  a establecer la conexión


Figura 7. Conexión establecida  al servidor 

Para nuestra sorpresa aparentemente es un servidor Windows NT 4.0 el cual solo nos solicita la hora


Figura 8.Solicitud de configuracion de la  hora


Figura 9. Escritorio del servidor  remoto 

En la figura 9 se puede observar que tenemos acceso total al escritorio y a sus respectivas configuraciones tal  y como se muestra a  continuación 


Figura 10. Ingreso al directorio System32


Figura 11. Ejecución del comando IPconfig

Como se puede observar en este punto lo único que nos queda por hacer es pensar como atacantes y ver configuraciones de red básicas con la finalidad de  obtener el acceso al router.

.

Figura 12. Login para El ingreso al router 

como se puede observar al poner en el navegador la puerta de enlace que mostró el comando ipconfig ingresamos a un login el cual pertenece al un dispositivo activo de la red para ingresar en estos casos se puede utilizar diccionarios realizando ataques de fuerza bruta con Jhon de Ripper o Hidra 


Figura 12. Ejecución del comando net view

Sea realizado la ejecución del comando net view con la intención de conocer los dispositivos que pertenecen ala red o comparte carpetas con el equipo. si dejas volar tu imaginación un poco llegaras a pensar incluso en  utilizar estos equipos para infectarlos y crear tu propia botnet,esta claro que:es solo un decir.


Figura 12. Panel de  control del Cliente Citrix

Finalmente para desconectarnos nos dirigimos directamente al panel de control del cliente Citrix y daremos en desconectar, esta claro que antes de realizar esta desconexión es necesario borrar los logs de Windows así como dejar todo tal y como se encuentra no queremos tener problemas con una nación diferente. 

Otra de las recomendaciones que doy  es que hay que tener  mucho cuidado pues muchas veces se cae en Honeypot o Honeynet. pues casi siempre es difícil ingresar a sistemas activos en una red empresarial.



Hasta pronto...










lunes, 28 de diciembre de 2015

Vulnerabilidades en Citrix y Terminal Services 2 "Busqueda"

En el post anterior sea podido observar claramente los parámetros de configuración utilizados por el protocolo ICA, pero surge  algo muy importante y es como encuentro los ficheros .ica y como puedo explotar esta vulnerabilidad. a continuación podrás observar cada uno de los pasos realizados para llegar a explotar dicha vulnerabilidad  en un 100%

¿Como buscar ficheros .ica?

Como anteriormente sea hablado cobre las ventajas de los buscadores como lo son Google y Bing ,que me permiten a través de parámetros de búsqueda avanzada especificar lo que se esta buscando en este caso Utilizariamos en  Google   Ext:ica InitialProgram



Figura 1. Parámetros de búsqueda Para ficheros .ica

En la anterior Figura dia de hoy se observan 216 ficheros .ica que se encuentran publicados en Internet, segun la recopilacion realizada por Google Chrome,ahora procederemos a realizarla con bing 


Figura 2. Parámetros de búsqueda para fichero .ica en Bing 

Para Sorpresa nuestra en Bing al utilizar Filetype:txt InitialProgram los resultados han sido mas alentadores que  en Google Chrome, pues  nos  ha  arrojado 3.760 resultados de ficheros .ica

¿Como  buscar el msi  del cliente  Citrix?

Antes de logra explotar con facilidad esta vulnerabilidad necesitamos el ejecutable del cliente Citrix ,para lo cual utilizaremos los siguientes parámetros de búsqueda especificados para Google Chrome
  • inurl:"NFuse16/login.asp"
  • inurl:"NFuse17/login.asp"
  • inrul:"Citrix/MetaframeXP/default/login.asp"
En esta ocasión trabajare con el segundo



Figura 3. Parámetros de búsqueda para msi del Ciente Citrix

Los resultados de la búsqueda son un par de enlaces los cuales muestran la ubicación exacta del login de Citrix, este se debe a que cuando se realiza la publicación de una aplicación esta debe trabajar en un directorio exclusivo del servidor,estando dentro nos encontraremos con el login de Citrix




Figura 4. Login de Citrix con el Msi descargable 

En la parte del login no tocaremos nada, sin embargo nos fijaremos bien en el enlace de la parte inferior, el cual nos permite descargar el ejecutable del cliente Citrix, al dar doble clic sobre el enlaces automáticamente comenzara la descarga

Figura 5.  ejecutable descargado

Una ves descargado el ejecutable procederemos a realizar la instalación de nuestro cliente Citrix, para lo cual daremos doble clic sobre el ejecutable descargado. al cual le otorgaremos los permisos necesarios para  su instalación, en este punto  es necesario tener cuidado puesto que muchas veces puedes estar dando el acceso total a tu equipo desde el servidor.


Figura 6 .  ejecutable descargado


Figura 7 .  asistente de  instalación Cliente Citrix

La instalación es uno de los pasos mas sencillos e intuitivos, en el punto de la imagen anterior solo debemos esperar a que cargue el instalador  y después de eso aceptar la licencia y listo tendremos en un par de minutos nuestro cliente Citrix descargado.

En el siguiente post se hablara de como utilizar el Cliente Citrix para poder ingresar al servidor a través de la aplicación publicada y  se mostraran como explotar esta vulnerabilidad teniendo en cuenta  los archivos de  extensión .ica.

Hasta Pronto...






domingo, 27 de diciembre de 2015

Vulnerabilidades en Citrix y Terminal Services

En el anterior post sea hablado sobre los parámetros de  búsqueda que utiliza Bing los cuales con un poco de imaginación permite conseguir información suficiente sobre una entidad ya sea gubernamental o no, en esta ocasión trataremos una vulnerabilidad muy conocida que afecta principalmente a los Servidores en Windows que  utilizan Terminal Services o Citrix

A día de hoy es muy común que los trabajadores dispongan de una computadora ya sea en su área de trabajo o en el hogar con el fin de nunca perder el contacto con la oficina, o con el simple hecho de estar en contacto a través de las  redes sociales,actualmente  la mayor parte de los sistemas tienden a estar centralizados con el motivo de tener mayor flexibilidad en la movilidad para los usuarios y mayor control por parte del administrador del sistema, por esta razón nacen los sistemas en la nube, los cuales llevan a multinacionales de todo tipo a adoptar soluciones que van desde la publicación de aplicaciones hasta la virtualización de escritorios.

Todo esto con el  fin de  que  sus  empleados  y usuarios se puedan conectarse desde la comodidad de sus hogares al trabajo o a los  servicios  prestados por la entidad.

Este tipo de soluciones se han desempeñado desde hace años por parte del personal técnico en cargado de la administración de Sistemas Informáticos , utilizando aplicaciones gráficas en sistemas X-Windows System y Linux , que securizan la conexión tunelizando el trafico a través de conexiones Cifradas o Encriptadas,una de las soluciones frecuentes es la utilización de protocolos tales como RDP "Remote Desktop Protocol", que permiten el control de un equipo de forma  remota.

Las dos principales Soluciones empleadas para este tipo de Son las  basadas en Terminal Services de Microsoft  y Citrix XenAPP. cada una  de  Ellas Con protocolos exclusivos de sus propietarios.

A continuación abordaremos los problemas de seguridad que se pueden encontrar en las soluciones expuestas anteriormente

¿Que es  Citrix  y  que es el protocolo ICA?

Independent Computing Architecture (ICA), es un protocolo propietario para un sistema servidor de aplicaciones diseñado por Citrix Systems. El protocolo crea una especificación para pasar datos entre el servidor  y los clientes, pero no esta ligado a ninguna  plataforma en peculiar.

la publicación de dichas aplicaciones se puede realizar de distintas maneras,entre las que se destacan:

  • Publicación de ficheros de conexión  con los  datos de la conexión
  • Publicación a través de  un panel  Web
  • Publicación a través  de Ejecutables msi

Ficheros  de Conexión  a una aplicación remota a través de Citrix 

Para realizar una correcta conexión a una aplicación que es publicada a través de Citrix, Comúnmente se utiliza un fichero de extensión .ica en donde se encuentra toda la información necesaria para establecer la conexión con la  aplicación publicada. estos ficheros se encuentran en formato de texto plano, lo cual facilita información tal como dirección IP, contraseñas,usuarios,puertos de conexión,rutas de aplicaciones ,protocolos utilizados entre muchas otras cosas



Figura 1. Fichero de configuración extensión .ICA

En la anterior figura se puede observar claramente el usuario y el password utiliza Citrix para realizar la conexión con la aplicación que maneja internamente el servidor.

Los ficheros de conexión .ica contienen parámetros  utilizados  los cuales se destacan a simple vista, y de los cuales  hablaremos a continuación.

Version= version del software cliente

TcpBrowserAddress= Es la direccion del servidor Citrix, que se  usa para el descubrimiento de  applicaciones publicadas Via HTTP

Address= Direccion IP del servidor  en donde  se incluye el puerto de conexión

 InitialProgram= muestra la ruta exacta  de la aplicación  a iniciar en la conexión

WinStationDriver=indica  la versión de  Citrix utilizado

Username= Usuario  con el cual se va a realizar la autentificación

Domain= Dominio al cual pertenece

Password= Contraseña de  el usuario

para tener  mas  información sobre los parámetros de  configuración utilizados recomiendo leer  el libro de Configuracion de Citrix Metaframe Para windows Terminal Services 

En los siguientes Post hablare mas sobre  este  tema  en particular  y  mostrare como  te puedes defender  y  como  puedes atacar estos entornos..

Hasta Pronto...