Twilight world

El otro dia encontré una manera rapida y facil de tener un total control de un sistema w2k mal configurado (o con un bug como una casa). El error de este w2k (perteneciente a una empresa relacionada con las telecomunicaciones ;)) consiste en que el ordenador parece estar totalmente capado.

1. No tienes acceso a las unidades de disco locales
2. No tienes permisos para ejecutar cmd

En realidad no está realmente capado y es que aunque no puedas acceder al disco mediante el explorer (que en realidad si que se puede…) tienes permisos para ejecutar todo lo que esta en el disco C:\ (no sé si se trata de un problema de administración o un error en el propio sistema operativo que está mal diseñado, me inclino a pensar que se trata de la opcion a).

Forma de explotarlo.

1. Abrir el block de notas y crear un archivo .bat con el comando command (recordemos que el cmd esta desactivado por el habil administrador) posiblemente la carpeta C:\windows\system32\ esté en el path, sino ya sabes, a incluir toda la ruta en el comando.
2. Ejecutar nuestro .bat y voilé ya tenemos una shell desde la que podemos explorar, copiar, pegar, tener acceso al telnet, etc etc etc…

Hasta aqui NO tenemos un control total del sistema como prometía, pero sigue leyendo…

Uno de los archivos mas interesantes en un sistema w2k es el sam. En el se guardan los usuarios y contraseñas del sistema, por desgracia el archivo sam esta cargado en memoria durante la ejecución de windows por lo que solo hay dos maneras de obtenerlo.

1. Con privilegios de administrador haciendo un volcado desde la memoria a un archivo (hay programas como LC que se encargan de esto)
2. Ejecutando otro sistema operativo (por ejemplo una live) en el mismo ordenador y obteniendolo asi

Existe una tercera opción, que en muchos casos no sirve para nada, pero que en otro muchos permite el acceso total al sistema y es el archivo sam guardado en la carpeta repair. Este archivo se crea cuando se instala el sistema y se introduce por primera vez el password del administrador y uno de invitado. En el caso de que desde la instalación se haya hecho un backup del sistema el archivo /repair/sam tendra todos los passwords de todos los usuarios que existian en el sistema en el momento del backup.

Solo hay dos ocasiones en las que el archivo /repair/sam nos va a ser util.

1. Si el administrador ha hecho un backup del sistema.
2. Si el administrador no ha cambiado nunca su password.

El archivo sam de la carpeta repair no puede ser copiado a no ser que tengas privilegios de administración, pero si puede ser empaquetado en un backup… en mi opinion el hecho de que el comando ntbackup se ejecute con privilegios de administración (el simple hecho de que un usuario cualquiera tenga acceso a su ejecucion) es un ERROR. Cuando ejecutas el comando ntbackup puedes crear una copia de seguridad del sistema, seleccionas la carpeta de la que quieres hacer el backup (en este caso repair) y creas un archivo .bkp que te llevas comdomamente a tu casa en un pendrive/disquete/email…

Para los curiosos que quieran saber que paso con el w2k de esta empresa…

Pues no lo se. El archivo sam sólo tenia dos usuarios (nunca habia sido hecho un backup) y mi paciencia pudo con mi curiosidad asi que tras 10horas de cálculo en un P4@3GHz me aburrí y lo dejé.