martes, 29 de diciembre de 2015

vulnerabilidades en Citrix y Terminal Services 3 "Explotacion"

En los anteriores post se a visto la  forma de buscar los archivos .ica así como su funcionalidad y lo que me permiten su búsqueda a través de Google y Bing por parámetros avanzados y no solo eso también se pudo hablar sobre la búsqueda y la instalación del cliente Citrix, a continuación nos enfocaremos en lo que mas me gusta  y es en como explotar la vulnerabilidad.

Todo lo que hemos visto con anterioridad se debe a que se promueve una disciplina llamada osint "Open-source intelligence" la cual nos dice como sin cometer ningún delito, sin realizar ninguna infracción, simplemente realizando la búsqueda y recolección de información publica, es posible llegar  a acceder a sitios insospechados en Internet.

Una de las formas mas conocidas para la búsqueda de ficheros .ica activos "que estén en funcionamiento" es la utilización del parametro Contains en el buscador Bing, tal y como se puede observar a continuación 


Figura 3. Parámetros de búsqueda Para ficheros .ica activos 

En este caso utilizamos en contains para buscar dentro de la pagina web los archivos .ica en todo el dominio tw  perteneciente a Taiwan, República China en la cual obtuvimos 10 sitios con ficheros .ica, para ser explotados.

Para comenzar con la explotación del fichero e decidido ingresar al primer resultado dado que ha sido, por  obvias razones  no puedo  mostrar el enlace atacado pero si puedo  dar una pista.



Figura 2. Enlace  atacado 


Figura 3. Contenido  del enlace

Dentro de la pagina web, a simple vista no se observa ningún tipo de fichero .ica por lo cual se revisara en código fuente de la pagina web, para  lo cual  si utilizar Chrome bastara con Ctrl+U

Después utilizaremos Ctrl+G con el fin de buscar dentro del código fuente ficheros .ica


Figura 4. Búsqueda  de  ficheros .ica  en el código  fuente de la pagina



Figura 5. Ficheros .ica  encontrados dentro del código  fuente de la pagina

En la figura 5 se puede observar 3 en laces con ficheros .ica , en los cuales los 2 primeros son archivos para lograr una conexión con el servidor en un área local, pero el tercero nos indica que un archivo .ica para lograr la conexión por fuera de la red LAN "red de área local",por esta razón descargare el tercero y no los otros, es necesario tener en cuenta que de ahora en adelante es indispensable, tener instalado el cliente Citrix del cual en post anteriores se a indicado su búsqueda e instalación.

Al realizar la descarga nos a quedado un archivo .ica el cual se puede observar en la parte inferior de el navegador esto si se realiza a través de Chrome


Figura 6. Fichero .ica  encontrados dentro del código  fuente de la pagina

Para lograr la conexión con el servidor solo bastara con dar doble clic sobre el archivo .ica descargado, de inmediato  el cliente Citrix descargado comenzara  a establecer la conexión


Figura 7. Conexión establecida  al servidor 

Para nuestra sorpresa aparentemente es un servidor Windows NT 4.0 el cual solo nos solicita la hora


Figura 8.Solicitud de configuracion de la  hora


Figura 9. Escritorio del servidor  remoto 

En la figura 9 se puede observar que tenemos acceso total al escritorio y a sus respectivas configuraciones tal  y como se muestra a  continuación 


Figura 10. Ingreso al directorio System32


Figura 11. Ejecución del comando IPconfig

Como se puede observar en este punto lo único que nos queda por hacer es pensar como atacantes y ver configuraciones de red básicas con la finalidad de  obtener el acceso al router.

.

Figura 12. Login para El ingreso al router 

como se puede observar al poner en el navegador la puerta de enlace que mostró el comando ipconfig ingresamos a un login el cual pertenece al un dispositivo activo de la red para ingresar en estos casos se puede utilizar diccionarios realizando ataques de fuerza bruta con Jhon de Ripper o Hidra 


Figura 12. Ejecución del comando net view

Sea realizado la ejecución del comando net view con la intención de conocer los dispositivos que pertenecen ala red o comparte carpetas con el equipo. si dejas volar tu imaginación un poco llegaras a pensar incluso en  utilizar estos equipos para infectarlos y crear tu propia botnet,esta claro que:es solo un decir.


Figura 12. Panel de  control del Cliente Citrix

Finalmente para desconectarnos nos dirigimos directamente al panel de control del cliente Citrix y daremos en desconectar, esta claro que antes de realizar esta desconexión es necesario borrar los logs de Windows así como dejar todo tal y como se encuentra no queremos tener problemas con una nación diferente. 

Otra de las recomendaciones que doy  es que hay que tener  mucho cuidado pues muchas veces se cae en Honeypot o Honeynet. pues casi siempre es difícil ingresar a sistemas activos en una red empresarial.



Hasta pronto...










No hay comentarios:

Tu Comentario Es Importante