Año 3 - N°9 | Septiembre 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Toolbox

 
 
 
 
PS Tool Box
Por Oscar Walther
ITPros Argentina


Sysinternals, compañía que fue adquirida por Microsoft a mediados de 2006, contaba con una serie de herramientas gratuitas que facilitaban las tareas diarias que realizaban los Administradores MS Windows. Entre las herramientas que se encontraban en el sitio de Sysinternal se destacaban las PS TOOLS, desarrolladas por Mark Russinovich.

Como mencionamos anteriormente el objetivo de estas herramientas estaba orientado a facilitar las tareas de los administradores (pero a mí me han sido muy útiles en algunos Penetración Test en los que participé).

Algunos exploits que se utilizan normalmente nos dan acceso remoto al intérprete de comandos de Windows de una manera muy “estable”. No obstante, una vez que finalizamos la ejecución del mismo, no siempre podemos volver a acceder al servidor utilizando la misma vulnerabilidad, razón por la cual es recomendable que nos aseguremos el acceso al servidor de una manera segura y continuar escalando privilegios o recolectando evidencias para el trabajo que nos encontramos realizando. Una de las maneras más confiables de asegurarnos el acceso al servidor es creando un usuario con privilegios de administrador y, posteriormente, utilizar PSEXEC para acceder remotamente al CMD del servidor (c:\Psexec \\Nombre_host –u Usuario –p Contraseña).

De esta modo podemos acceder al servidor en cualquier momento y no es necesario instalar ningún agente o detener el servicio del antivirus en el servidor para poder utilizar el NetCat.

Si bien la aplicación PSEXEC nos permite acceder al CMD, la PSTOOL BOX cuenta con una serie de herramientas muy útiles que nos pueden obtener información del servidor.

A continuación se encuentran algunas capturas de pantallas y una descripción de las herramientas que forman parte del PS Tool Box son:

- PsExec: ejecuta procesos de forma remota

- PsFile: muestra archivos abiertos de forma remota

- PsGetSid: muestra el SID de un equipo o un usuario

- PsInfo: muestra información acerca de un sistema

- PsList: muestra información acerca de procesos

- PsLoggedOn: averigua quién ha iniciado sesión de forma local y a través de recursos compartidos (origen completo incluido)

- PsLogList: vuelca los registros de eventos

- PsPasswd: cambia las contraseñas de cuenta

- PsService: muestra y controla los servicios

- PsShutdown: apaga y reinicia opcionalmente un equipo

- PsSuspend: suspende los procesos



Acceso Remoto al Servidor utilizando PSEXEC:

 
 



Listado de Procesos ejecutados en el Servidor Remoto:

 
 



Archivos que se encuentran abiertos por el usuario administrador:

 
 



Para obtener más información sobre estas herramientas pueden acceder a:
http://www.microsoft.com/technet/sysinternals/Utilities/PsTools.mspx


  
Oscar Walther
ITPros Argentina
oscar@itprosargentina.com.ar


Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales