Bienvenidos una vez más a este espacio!!!
En esta ocasión les presento para los que no conocen la 2da versión de este divertido entorno de entrenamiento, el cual es publicado por los mismos desarrolladores de metasploit.
La idea de esta publicación es simplemente invitarlos a realizar sus pruebas sobre este entorno, y como dicen por ahí dejarlos picados con el tema…
...no siendo mas como dijo el constructor manos a la obra
En este caso se tiene la dirección del objetivo y alguna información pero como siempre iniciaremos realizando el correspondiente barrido de ping.
root@bt: ~/metasploitable2#nmap -sP 192.168.56.1-255
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:25 COT
Nmap scan report for 192.168.56.1
Host is up (0.00013s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.100
Host is up (0.00021s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.101
Host is up.
Nmap scan report for 192.168.56.102
Host is up (0.00033s latency).
MAC Address: 00:00:00:00:00:00
Nmap done: 255 IP addresses (4 hosts up) scanned in 45.14 seconds
También podemos hacer uso de autoscan Network,
sin embargo como es visible en la imagen este puede ser mucho más invasivo aun (así que traten de usarlo solo en entornos seguros o autorizados)
Con nuestro objetivo identificado y siguiendo a la etapa de escaneo realizamos el escaneo de puertos
nmap -sV 192.168.56.102
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:26 COT
Nmap scan report for 192.168.56.102
Host is up (0.00063s latency).
Not shown: 977 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
512/tcp open exec netkit-rsh rexecd
513/tcp open login
514/tcp open shell?
1099/tcp open rmiregistry GNU Classpath grmiregistry
1524/tcp open ingreslock?
2049/tcp open nfs (nfs V2-4) 2-4 (rpc #100003)
2121/tcp open ftp ProFTPD 1.3.1
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open vnc VNC (protocol 3.3)
6000/tcp open X11 (access denied)
6667/tcp open irc Unreal ircd
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi
Con nuestro objetivo identificado y siguiendo a la etapa de escaneo realizamos el escaneo de puertos
nmap -sV 192.168.56.102
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:26 COT
Nmap scan report for 192.168.56.102
Host is up (0.00063s latency).
Not shown: 977 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
512/tcp open exec netkit-rsh rexecd
513/tcp open login
514/tcp open shell?
1099/tcp open rmiregistry GNU Classpath grmiregistry
1524/tcp open ingreslock?
2049/tcp open nfs (nfs V2-4) 2-4 (rpc #100003)
2121/tcp open ftp ProFTPD 1.3.1
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open vnc VNC (protocol 3.3)
6000/tcp open X11 (access denied)
6667/tcp open irc Unreal ircd
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi
El cual una vez ha finalizado nos muestra los diversos servicios que este entorno trae para nuestra diversión!!!
Para los que no le han puesto cuidado al texto al final del listado de puertos y servicios en el que hace referencia a 2 servicios de los cuales los fingerprints son impresos después del escaneo. Estos son muy importantes ya que muchas veces nos pueden dar más información de la que se cree, si no es así que me diga mentiroso @eljeffto o miren ustedes mismos
Para los que no le han puesto cuidado al texto al final del listado de puertos y servicios en el que hace referencia a 2 servicios de los cuales los fingerprints son impresos después del escaneo. Estos son muy importantes ya que muchas veces nos pueden dar más información de la que se cree, si no es así que me diga mentiroso @eljeffto o miren ustedes mismos
Con base en esta información nos hacemos nuestro intento de conexión a este puerto y …
he aquí el primer acceso, miremos como ingresamos y también algo de información
En este entorno hay muchos ítems por abordar pero también con la intensión de que ustedes jueguen con estos me oriente por el tomcat, así que nos fuimos a la herramienta de juaking mas distribuida “el navegador web” e intentamos el acceso web al tomcat donde tenemos…
Ahora buscamos la pagina de administración
intentando un acceso por defecto y…
…aunque no lo crean pasa en la vida real y en empresas importantes o ke me dice mi amigo @d7n0 con el que en uno de sus tantos casos nos encontramos este en particular xD
Con esta información nos vamos al administrador de aplicaciones del tomcat
Donde subimos la una webshell en este caso mi webshell que ya es famosa ya que se ve en los pantallazos de El mundo de dinosaurio
Uich le falto un salto de línea después de la detección del sistema!!! :|
Algo más de información de la conexión y el sistema…
Pero bueno si es metasploitable, pues por ultimo me paso pa la herramienta del caso o sea metasploit
Ahí sí como dicen agáchense que van a volar cabezas!!!
pero no, en este caso y haciendo referencia a lo reciente del backdoor recientemente descubierto de phpmyadmin voy a hacer uso del buscador del mismo escogiendo un servicio al “azar” ;P
en esta caso consultamos e ingresamos la información que es necesario configurar para la ejecución y lo lanzamos…
…con la sesión creada comenzamos a interactuar con nuestro objetivo con el fin de verificar y recolectar algo de información.
Y como la idea es que cada uno de ustedes le saque algo de time y le cacharree un rato, hasta ahí los dejo, solo puedo decirles que hay muchas cosas para la diversión, entre estas algunos entornos web de los cuales les muestro el listado que presenta el servicio web del entorno.
Saludos y hasta una próxima entrada!!
Carlos Andrés Rodallega Obando
@crodallega
Carlos Andrés Rodallega Obando
@crodallega
En un pentest que estuve haciendo, solo tenía un Backtrack sin más scripts ni shells.
ResponderEliminarMe encontré un tomcat por defecto, el cual en su ayuda incluía un WAR de ejemplo. Ese WAR se puede editar y en el sample.jsp se puede incluir un código de shell para luego subirlo al sitio.
Gracias por tu aporte, veo que te tomaste la molestia de leer toda la entrada, Saludos!!!
EliminarAquí unos temas interesantes para lo que inician su auditoria de seguridad.
ResponderEliminarhttp://comunidad.dragonjar.org/f151/practicos-para-comenzar-9150/
Rodallega
ResponderEliminarQue buen aporte, muchas gracias por compartir tu conocimiento.
Saludos,