PuttyHijack – How to Hijack SSH Sessions

O PuttyHijack e uma ferramenta criada com a finalidade de demonstrar o conceito de SSH Hijacking utilizando sessoes estabelecidas com o comum putty.

A ferramenta injeta uma dll no processo do putty.exe criando alguns hooks que permitem direcionar um novo socket da sessao SSH para um host qualquer na rede que esteja escutando um socket via Netcat por exemplo. Este tipo de tecnica pode ser muito util para elevacao de privilegios na rede a partir de uma maquina workstation comprometida que esteja utilizando o putty para efetuar administracao de servicos Telnet e SSH em servidores durante a rede.

c:\PuttyHijack.exe

 

++++++++++++++++++++++++++++++

+ Putty Terminal Hijack V1.0 +

+     Insomnia Security      +

+    www.insomniasec.com     +

++++++++++++++++++++++++++++++

– Usage: PuttyHijack IP PORT <pid>

 

IP: sera o ip do host que esta esperando a conexao reversa no listener do netcat

PORT: e a porta que o host esta ouvindo (tcp)

<pid>: este e o pid do Putty.exe que esta em execucao no host alvo.

 

Apos efetuar esta execucao simples, no host que esta escutando pela shell reversa, uma shell do sistema com o qual o putty esta se comunicando ira aparecer. Alem do fato do acesso indevido ao sistema operacional alvo (linux, windows, freebsd, solaris, etc etc …) tambem existem outros fatores perigosos envolvidos neste ataque, como por exemplo:

– A shell e um clone do socket original, desta forma toda interacao efetuada na shell original sera interceptada tambem pela shell clone. Se durante o hijack da sessao o administrador efetuar algum tipo de acesso a outros sistemas em que seja possivel visualizar a senha no prompt, o atacante ira conseguir visualizar a sessao como se estivesse olhando para o monitor do administrador,

Abaixo segue um pequeno video demonstrando esta tecnica.

http://www.rootsecurity.com.br/videos/PuttyHijack.avi

 

Good Hacking 4 All.

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s