sccm http saqueador

Los puntos de distribución (DP) de SCCM son los servidores utilizados por Microsoft SCCM para alojar todos los archivos utilizados en instalaciones de software, parches, implementaciones de scripts, etc. De forma predeterminada, estos servidores permiten el acceso a través de SMB (TCP/445) y HTTP/S (TCP). /80 y/o TCP/443) y requieren algún tipo de autenticación de Windows (es decir, NTLM).

Las herramientas actuales de saqueo de SCCM DP se basan en la capacidad de explorar recursos compartidos de SMB para recopilar archivos.

• CMloot
• cmloot

Sin embargo, no es raro que una organización limite el acceso entrante de las PYMES a servidores en redes internas, y es una práctica estándar impedir el acceso entrante de las PYMES desde Internet. Por otro lado, el acceso HTTP/S no suele estar restringido en las redes internas y, a menudo, se permite desde Internet. Esto presenta una oportunidad para un atacante si hay una manera de obtener archivos del SCCM DP a través de HTTP/S.

Las herramientas SMB funcionan enumerando la carpeta DataLib del recurso compartido SCCMContentLib$ para buscar archivos .INI que contienen el hash del archivo. Luego pueden ubicar el archivo real en FileLib// . Esto funciona porque con acceso al recurso compartido, puede enumerar todos los archivos en la carpeta DataLib .

Usando HTTP/S, las cosas son diferentes. Al navegar a http:///SMS_DP_SMSPKG$/Datalib se muestra una lista de directorios de archivos numerados e INI.

Por diversas razones (como la velocidad), estos puntos de distribución se pueden configurar para permitir el acceso anónimo.

Sin embargo, navegar a enlaces que no son INI simplemente muestra la misma página, lo que limita la cantidad de archivos directamente accesibles a aquellos en el directorio "raíz" de Datalib, ya que los hashes extraídos de los archivos INI para directorios no se pueden usar para encontrar el directorios en FileLib ya que solo almacena archivos reales.

Sin embargo, al buscar el nombre del directorio directamente desde la raíz http:///SMS_DP_SMSPKG$/ se mostrarán los archivos en ese directorio, que se pueden descargar directamente.

Así es como funciona normalmente sccm-http-looter . Analiza la lista de directorios de Datalib en busca de directorios, luego los solicita y analiza cada uno de ellos en busca de archivos, antes de descargar cualquier archivo con extensiones que estén en la lista permitida especificada por el usuario.

En el caso de que el acceso anónimo esté habilitado pero la lista de directorios fuera de la raíz http:///SMS_DP_SMSPKG$/ esté deshabilitada, existe una segunda técnica para recuperar archivos que se pueden usar ejecutando la herramienta con -use-signature-method . En este modo la herramienta hace lo siguiente:

1. Descarga el listado de Datalib desde http:///SMS_DP_SMSPKG$/Datalib
2. Analiza el Datalib para todos los enlaces
3. Descarga cualquier nombre de archivo de enlace que no sea .INI desde http:///SMS_DP_SMSSIG$/.tar , donde es el elemento final en cualquier href de la página Datalib (es decir, 12300005.1 ).
4. Extrae el nombre del archivo real del archivo de firma .tar
5. Descarga el archivo INI desde http:///SMS_DP_SMSPKG$/Datalib//.INI
6. Extrae el hash del archivo INI
7. Descarga el archivo real desde http:///SMS_DP_SMSPKG$/Filelib// y le cambia el nombre al nombre de archivo correcto como se especifica en el archivo de firma.

Los archivos de firma son archivos .tar pero no son tars reales. Contienen nombres de archivos 512 bytes antes de la cadena de bytes 0x18, 0x00, 0x00, 0x00, 0x01, 0x00, 0x01, 0x00, 0x01, 0x00, 0x01 como se muestra a continuación.

La herramienta busca esta cadena de bytes y extrae todos los nombres de archivos de los archivos de firma.