jueves, 18 de octubre de 2012

Metasploitable2 - un escenario mas por completar

Bienvenidos una vez más a este espacio!!!

En esta ocasión les presento para los que no conocen la 2da versión de este divertido entorno de entrenamiento, el cual es publicado por los mismos desarrolladores de metasploit.

La idea de esta publicación es simplemente invitarlos a realizar sus pruebas sobre este entorno, y como dicen por ahí dejarlos picados con el tema… 

...no siendo mas como dijo el constructor manos a la obra






En este caso se tiene la dirección del objetivo y alguna información pero como siempre iniciaremos realizando el correspondiente barrido de ping.

root@bt: ~/metasploitable2#nmap -sP 192.168.56.1-255
Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:25 COT
Nmap scan report for 192.168.56.1
Host is up (0.00013s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.100
Host is up (0.00021s latency).
MAC Address: 00:00:00:00:00:00
Nmap scan report for 192.168.56.101
Host is up.
Nmap scan report for 192.168.56.102
Host is up (0.00033s latency).
MAC Address: 00:00:00:00:00:00
Nmap done: 255 IP addresses (4 hosts up) scanned in 45.14 seconds

También podemos hacer uso de autoscan Network,

sin embargo como es visible en la imagen este puede ser mucho más invasivo aun (así que traten de usarlo solo en entornos seguros o autorizados)

Con nuestro objetivo identificado y siguiendo a la etapa de escaneo realizamos el escaneo de puertos

nmap -sV 192.168.56.102

Starting Nmap 6.01 ( http://nmap.org ) at 2012-10-09 22:26 COT
Nmap scan report for 192.168.56.102
Host is up (0.00063s latency).
Not shown: 977 closed ports
PORT     STATE SERVICE              VERSION
21/tcp   open  ftp                  vsftpd 2.3.4
22/tcp   open  ssh                  OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp   open  telnet               Linux telnetd
25/tcp   open  smtp                 Postfix smtpd
53/tcp   open  domain               ISC BIND 9.4.2
80/tcp   open  http                 Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp  open  rpcbind (rpcbind V2) 2 (rpc #100000)
139/tcp  open  netbios-ssn          Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn          Samba smbd 3.X (workgroup: WORKGROUP)
512/tcp  open  exec                 netkit-rsh rexecd
513/tcp  open  login
514/tcp  open  shell?
1099/tcp open  rmiregistry          GNU Classpath grmiregistry
1524/tcp open  ingreslock?
2049/tcp open  nfs (nfs V2-4)       2-4 (rpc #100003)
2121/tcp open  ftp                  ProFTPD 1.3.1
3306/tcp open  mysql                MySQL 5.0.51a-3ubuntu5
5432/tcp open  postgresql           PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open  vnc                  VNC (protocol 3.3)
6000/tcp open  X11                  (access denied)
6667/tcp open  irc                  Unreal ircd
8009/tcp open  ajp13                Apache Jserv (Protocol v1.3)
8180/tcp open  http                 Apache Tomcat/Coyote JSP engine 1.1
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi 
El cual una vez ha finalizado nos muestra los diversos servicios que este entorno trae para nuestra diversión!!!

Para los que no le han puesto cuidado al texto al final del listado de puertos y servicios en el que hace referencia a 2 servicios de los cuales los fingerprints son impresos después del escaneo. Estos son muy importantes ya que muchas veces nos pueden dar más información de la que se cree, si no es así que me diga mentiroso @eljeffto o miren ustedes mismos
Con base en esta información nos hacemos nuestro intento de conexión a este puerto y …


he aquí el primer acceso, miremos como ingresamos y también algo de información 




En este entorno hay muchos ítems por abordar pero también con la intensión de que ustedes jueguen con estos me oriente por el tomcat, así que nos fuimos a la herramienta de juaking mas distribuida “el navegador web” e intentamos el acceso web al tomcat donde tenemos…


Ahora buscamos la pagina de administración


intentando un acceso por defecto y…


…aunque no lo crean pasa en la vida real y en empresas importantes o ke me dice mi amigo @d7n0 con el que en uno de sus tantos casos nos encontramos este en particular xD

Con esta información nos vamos al administrador de aplicaciones del tomcat


Donde subimos la una webshell en este caso mi webshell que ya es famosa ya que se ve en los pantallazos de El mundo de dinosaurio


Uich le falto un salto de línea después de la detección del sistema!!! :| 
Algo más de información de la conexión y el sistema…





Pero bueno si es metasploitable, pues por ultimo me paso pa la herramienta del caso o sea metasploit
Ahí sí como dicen agáchense que van a volar cabezas!!!

pero no, en este caso y haciendo referencia a lo reciente del backdoor recientemente descubierto de phpmyadmin voy a hacer uso del buscador del mismo escogiendo un servicio al “azar” ;P

en esta caso consultamos e ingresamos la información que es necesario configurar para la ejecución y lo lanzamos…


…con la sesión creada comenzamos a interactuar con nuestro objetivo con el fin de verificar y recolectar algo de información.

Y  como la idea es que cada uno de ustedes le saque algo de time y le  cacharree un rato, hasta ahí los dejo, solo puedo decirles que hay muchas cosas para la diversión, entre estas algunos entornos web de los cuales les muestro el listado que presenta el servicio web del entorno.


Saludos y hasta una próxima entrada!!


Carlos Andrés Rodallega Obando
@crodallega

4 comentarios:

  1. En un pentest que estuve haciendo, solo tenía un Backtrack sin más scripts ni shells.
    Me encontré un tomcat por defecto, el cual en su ayuda incluía un WAR de ejemplo. Ese WAR se puede editar y en el sample.jsp se puede incluir un código de shell para luego subirlo al sitio.

    ResponderEliminar
    Respuestas
    1. Gracias por tu aporte, veo que te tomaste la molestia de leer toda la entrada, Saludos!!!

      Eliminar
  2. Aquí unos temas interesantes para lo que inician su auditoria de seguridad.

    http://comunidad.dragonjar.org/f151/practicos-para-comenzar-9150/

    ResponderEliminar
  3. Rodallega

    Que buen aporte, muchas gracias por compartir tu conocimiento.

    Saludos,

    ResponderEliminar