Mostrar Temas
Soy novato en esto, llevo como un mes intentando conseguir root en un sistema, pero es un debian y esta parcheado hasta el techo (te odio debian). Entre mediante una inyeccion sql, y como era un postgresql, tuve que crear una funcion python para lanzar comandos de sistema, pero tenia la problematica de que los netcats se me morian al instante, puesto que al parecer, al termino de la consulta sql, el postgresql mataba la funcion python que a su vez mataba al comando de sistema, y ni nohup ni lanzarlo como trabajo ni chufas funcionaba, asi que tuve que buscarme una reverse shell, subirla mediante wget y lanzarla ya como demonio y resolvi mi problema. Ya tuve una shell como usuario postgres, luego no me costo mucho averiguar una clave de un usuario del sistema buscando en la misma base de datos del psql, pero aparte de estar en los tipicos grupos de usuario normales (video, sonido, udevd, etc), ya no ha habido manera de encontrar ningun sitio por el que obtener root.
Todos los exploits que he probado en mis ubuntus han fallado en ese debian, y eso que la ultima actualizacion no es muy reciente...
Aparte de eso solo he encontrado un proceso vulnerable ejecutado como root para intentar provocarle un desbordamiento (que sea util, por eso lo de root), que es el perl y esta ejecutando un webmin. Ocurre que el webmin en si filtra muy bien todo y no tengo acceso mas que a la pagina de login... y no pilla ni inyecciones ni nada... De hecho, si consiguiera acceso al webmin, ya no necesitaria hacerle el buffer overflow al perl, puesto q el webmin tiene algunas vulnerabilidades que me permitirian escribir y leer archivos y realmente no necesito mucho mas para obtener root.
La cuestion es que la red local del sistema tiene un windows (parece un server) con bastantes puertos abiertos, y entre otras cosas tiene IIS6 y MDaemon. Se me ha ocurrido que si pudiera entrar ahi, podria ejecutarle un programita de estos que sacan los hashes de las claves de usuarios, y ya despues tranquilamente procesarlas mediante las famosas webs que usan rainbow tables... y con suerte, esperar que la contraseña del admin sea la misma que la del root del debian.
He probado uno de esos programas y funciona, saca los hashes mientras el win esta encendido, genial, pero los he buscado en las famosas webs y no han encontrado nada. Realmente no se como funcionan esas webs o el rainbow tables, pero claro, tampoco esperaba milagros. Tengo la sensacion de que finalmente esos hashes los terminan procesando y quedan disponibles mas tarde para encontrarlos.
Mi pregunta es si esto es asi o como funciona exactamente, porque no quiero perder mas tiempo atacando el win si finalmente no conseguire la clave.
Y mi segunda pregunta es si me podeis ayudar a entrar al win, porque yo en eso si que me pierdo del todo. El IIS lo tienen configurado de modo que un GET a / siempre devuelve que "host incorrecto" o algo por el estilo, asi que sin saber el nombre del dominio que utilizan, no tengo acceso a mas informacion...
Os doy la lista del nmap -sV al win, a ver si me podeis echar un cable. Muchas gracias a todos:
PORT STATE SERVICE VERSION
25/tcp open smtp Alt-N MDaemon mail server 9.6.1
42/tcp open wins Microsoft Windows Wins
53/tcp open domain Microsoft DNS
80/tcp open http Microsoft IIS webserver 6.0
88/tcp open kerberos-sec Microsoft Windows kerberos-sec
110/tcp open pop3 MDaemon pop3d 9.6.1
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
143/tcp open imap Alt-N MDaemon imapd 9.6.1
366/tcp open smtp Alt-N MDaemon mail server 9.6.1
389/tcp open ldap
443/tcp open ssl/http Alt-N MDaemon World Client webmail 9.6.2
445/tcp open microsoft-ds Microsoft Windows 2003 microsoft-ds
464/tcp open kpasswd5?
465/tcp open ssl/smtp Alt-N MDaemon mail server 9.6.1
587/tcp open smtp MDaemon smtpd 9.6.1 (MSA support)
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
993/tcp open ssl/imap Alt-N MDaemon imapd 9.6.1
995/tcp open ssl/pop3 MDaemon pop3d 9.6.1
1000/tcp open http World Client WDaemon httpd 3.0
1026/tcp open LSA-or-nterm?
1027/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
1049/tcp open msrpc Microsoft Windows RPC
1091/tcp open unknown
1092/tcp open unknown
1098/tcp open msrpc Microsoft Windows RPC
1116/tcp open unknown
1443/tcp open ies-lm?
1723/tcp open pptp Microsoft (Firmware: 3790)
3000/tcp open http World Client WDaemon httpd 9.6.2
3268/tcp open ldap
3269/tcp open tcpwrapped
3389/tcp open microsoft-rdp Microsoft Terminal Service
5405/tcp open netsupport NetSupport PC remote control (Name URANO)
47001/tcp open http Microsoft IIS httpd
Service Info: Host: