Hola Gente...
Hace banda que no paso por estos lados!!!
Desde que me inicié con el tema de la ingeniería inversa que no aportaba nada a la comunidad, estuve un largo rato trabajando en cosas que me demandaban mucho tiempo.
En fín... Hoy les quiero pasar esta buena info acerca de un fallo en la seguridad de Windows que afecta desde el SO Win XP SP3 hasta el Server 2008...
La vulnerabilidad realiza una ejecución remota de código, al mostrarse un ícono de acceso directo en el SO (vulnerable) de la víctima.
Common Vulnerabilities and Exposures: CVE-2010-2568...
Todavía no tube la posibilidad de investigarlo por mi propia cuenta.
Solo quería aportar esta info, si ya no lo hicieron antes.
Les mando un saludo a todos ustedes y en especial, a mi amigo de este foro Sancho.Mazorka, que hace un buen tiempo no hablamos.
PD: Me olvidé pasar la fuente...
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-046.mspx
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-aug.mspx
parcheada!!!
PD: win xp sp2 no recibirá soporte para esta vuln muahaha xD
:http://www.kungfoosion.com/2010/07/explotando-lnk-con-metasploit.html :P
Saludos
Me olvide de aclarar que estaba de mas decir que fue parcheada...
http://www.lanacion.com.ar/nota.asp?nota_id=1286434
La noticia del troyano esta vinculada con esta vulnerabilidad...
Ahí nos vemos...
Mmmmm cuanta gente se salta los parches o los desactiva por tener el windows pirata? Hmmm
Para todo lo demás Linux!
Saludos
pero si con el XP pirata se puede seguir actualiznado por el win update :S
además kien lo tiene sin validar es pq no kiere... será por parches...
Por cierto mi metasploit no lo carga :S
Y esta actualizado :SS
Saludos
probablemente ya lo tengas, haber revisa la carpeta de exploits y si te aparece con un candado y entraste al msfconsole sin ser root no te lo muestra en la lista (no lo carga) dale sudo su msfconsole y después show exploits
http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms10_046_shortcut_icon_dllloader.rb
Cita de: GhostLT en 6 Agosto 2010, 18:57 PM
probablemente ya lo tengas, haber revisa la carpeta de exploits y si te aparece con un candado y entraste al msfconsole sin ser root no te lo muestra en la lista (no lo carga) dale sudo su msfconsole y después show exploits
corro en root...
PD: Sorry no tipeaba bien xD
Ademas, cuando acedo a la url me lleva a mi IP interna, por lo que solo podria infectar gente de mi LAN!
Saludos
Cita de: Debci en 9 Agosto 2010, 10:56 AM
Ademas, cuando acedo a la url me lleva a mi IP interna, por lo que solo podria infectar gente de mi LAN!
Hola se podría también para WAN, modificando el valor del parámetro UNCHOST, y poner ahi la IP pública.
Citar
para especificar una dirección diferente para el recurso compartido agregamos este parámetro en la configuración:
Código:
msf exploit(ms10_xxx_windows_shell_lnk_execute) > set UNCHOST 192.168.0.254
UNCHOST => 192.168.0.254
Esto puede ser necesario para explotar la vulnerabilidad en WAN. En este parámetro iría nuestra IP publica.
http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/
Saludos
Entiendo, muchisimas gracias :)
Saludos
Cita de: byte256 en 9 Agosto 2010, 15:42 PM
Cita de: Debci en 9 Agosto 2010, 10:56 AM
Ademas, cuando acedo a la url me lleva a mi IP interna, por lo que solo podria infectar gente de mi LAN!
Hola se podría también para WAN, modificando el valor del parámetro UNCHOST, y poner ahi la IP pública.
Citar
para especificar una dirección diferente para el recurso compartido agregamos este parámetro en la configuración:
Código:
msf exploit(ms10_xxx_windows_shell_lnk_execute) > set UNCHOST 192.168.0.254
UNCHOST => 192.168.0.254
Esto puede ser necesario para explotar la vulnerabilidad en WAN. En este parámetro iría nuestra IP publica.
http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/
Saludos
sep ya me iba a preguntar esto, tambn hay que abrir los puertos en el router? osea
set srvport 443---> este puerto lo abro en el router
solo para salir de dudas ;D
no funciona en WAN que pasara?? una manita porfa
(http://img823.imageshack.us/img823/5485/86485061.jpg)
<br>
(http://img203.imageshack.us/img203/9189/77418792.jpg)
al parecer ya tienes algo copado :rolleyes: pero de todos modos no cambia la direcion interna.. hmmm
Saludos
Cita de: Debci en 10 Agosto 2010, 10:10 AM
al parecer ya tienes algo copado :rolleyes: pero de todos modos no cambia la direcion interna.. hmmm
Saludos
Me dejastes en las mismas
Debci esto no funca en WAN ya lo probe. :D
Ya mismo voy a probarlo yo haber que tal y te digo.
Dame un rato que cambio de SO (estoy jugando al starcraft) jeje
Un saludo
Siento doble post, pero a mi me va perfectamente :S
Saludos
Cita de: Debci en 13 Agosto 2010, 13:00 PM
Siento doble post, pero a mi me va perfectamente :S
Saludos
en WAN debci? a mi en Lan me corre normal pero en WAN bota el erorr que te habia mostrado
Cita de: alexkof158 en 16 Agosto 2010, 22:27 PM
Cita de: Debci en 13 Agosto 2010, 13:00 PM
Siento doble post, pero a mi me va perfectamente :S
Saludos
en WAN debci? a mi en Lan me corre normal pero en WAN bota el erorr que te habia mostrado
tienes que darle la ruta de recurso compartido al pc remoto.
Saludos
Cita de: Debci en 16 Agosto 2010, 23:40 PM
Cita de: alexkof158 en 16 Agosto 2010, 22:27 PM
Cita de: Debci en 13 Agosto 2010, 13:00 PM
Siento doble post, pero a mi me va perfectamente :S
Saludos
en WAN debci? a mi en Lan me corre normal pero en WAN bota el erorr que te habia mostrado
tienes que darle la ruta de recurso compartido al pc remoto.
Saludos
Eing???
Esto vale introduciendo la ip en el explorador de la victima si el explorador es ie o en ff chrome... también vale...
porque he leido por ahi que a gente solo le iba en ie...Aunque la vul no es de explorador sino del lnk entonces esto no lo entiendo bien...
un saludo
Listo hay que natear los siguientes puertos en el router hacia tu ip local
445 ----> para pasar los archivos hacia la pc
4444 ---> LPORT
80 ----> WEB
Cita de: illera88 en 20 Agosto 2010, 01:54 AM
Cita de: Debci en 16 Agosto 2010, 23:40 PM
Cita de: alexkof158 en 16 Agosto 2010, 22:27 PM
Cita de: Debci en 13 Agosto 2010, 13:00 PM
Siento doble post, pero a mi me va perfectamente :S
Saludos
en WAN debci? a mi en Lan me corre normal pero en WAN bota el erorr que te habia mostrado
tienes que darle la ruta de recurso compartido al pc remoto.
Saludos
Eing???
Esto vale introduciendo la ip en el explorador de la victima si el explorador es ie o en ff chrome... también vale...
porque he leido por ahi que a gente solo le iba en ie...Aunque la vul no es de explorador sino del lnk entonces esto no lo entiendo bien...
un saludo
El navegador no hace mas que de puente para lanzarle la vuln, si el navegador no es vulnerable a redireción a un recurso compartido (por llamarlo vulnerabilidad), tendrás que pasarle a tu victima la ruta del recurso compartido :P
Saludos