Tunkeutumistestaus läksyt viikko 5 – Caius Juvonen

Tällä viikolla teemme taas pentest kurssin läksyjä. Linkki läksyihin tässä: http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/ ja myös postauksen lopussa.

a) Murtaudu Metasploitable 2 harjoitusmaaliin useilla tavoilla käyttäen Metasploit-hyökkäysohjelmaa. Voit käyttää apuna Exploitability Guidea.

Tein tätä tunnilla ja löysin kaksi eri tapaa murtautua metasploitable machineen. Molemmat hyödynsivät jo olemassa olevia backdooreja vanhoissa versioissa ohjelmia mitä metasploitable 2 käyttää.

Teen nyt saman uudelleen tässä. Ihan ensinnäkin, haluan käynnistää metasploitin. Luulisi että tämä on helppoa ja msfconsole kelpaa, mutta meidän pitää itseasiassa käynnistää monta eri serviceä samaan aikaan. Olen tehnyt pienen skriptin käynnistystä varten:

Tässä skriptissä sii ensin käynnistetään postgresql joka on pakollista metasploitin käyttöä varten sillä metasploit käyttää tätä kyseistä ohjelmaa. ss -ant ei ole pakollinen, se listaa meille vain avoimia portteja, mutta lisäsin sen silti tuohon skriptiin. msfdb init käynnistää metasploit tietokannan, tämäkin on pakollinen osa skriptiä. Ja lopulta msfconsole on se komento millä itse metasploit ohjelman saa päälle, eli tämäkin tietysti pakollinen.

Nyt kun meillä on metasploit päällä, on varmaan aika tarkistaa että saammekö edes yhteyden kohteeseemme eli metasploitable 2 laitteeseen. Näiden molempien laitteiden pitäisi olla samassa lähiverkossa, mutta kummallakaan ei pitäisi olla esimerkiksi pääsyä internettiin (metasploitable 2 näkyvissä nettiin on huono idea, koska se on todella vulnerable laite).

Yllä olevissa kuvissa on tarkistettu että laitteet ovat samassa verkossa. Eli ifconfig molemmilla ja sitten kokeilin pingata toista laitetta, sillä mikäli se vastaa tarkoittaa se että olemme samassa verkossa. Nyt kun olemme varmistuneet kohteestamme, voimme siirtyä seuraavaan kohtaan.

Tässä kohtaa teemme port skannin kohdekonetta vastaan. On erittäin tärkeä varmistaa, että kohdistamme portskannin oikeaan koneeseen emmekä vahingossa johonkin muuhun tietokoneeseen joka on internetissä. Tällä hetkellä meillä ei kuitenkaan ole internet yhteyttä, ja olemme varmistaneet että nämä kaksi konetta saavat yhteyden vain toisiinsa. Kirjoitetaankin siis komento:

nmap -Pn -A -oA metasploitable_skan 192.168.56.101

Tämä komento versioskannaa (-A valinta) kohteen portit ja tallentaa tulokset metasploitable_skan nimisiin tiedostoihin (-oA <tiedosto_nimi> valinta). -Pn vain tarkoittaa että nmap kohtelee tätä hostia niin että se olettaa että se on päällä, eli skippaa target discoveryn.

Kun skanni on valmis, tutkitaanpa hieman tuloksia. En laita koko skannin tulosta tähän sillä se on liian iso tuloste, mutta laitan tähän muutaman mielenkiintoisen portin:

Satun jo etukäteen ennen tätä tehtävää tietämään, että nämä kaksi serviceä mitä näillä porteilla on ovat erittäin haavoittuvaisia, ja voimme niitä käyttämällä päästä helposti metasploitable 2 laitteeseen kiinni. Aloitetaan vsftpd 2.3.4. Tässä vsftpd:n versiossa on olemassa backdoor jolla saa suoran root accessin tietokoneeseen, ja metasploitissa on moduuli mitä voimme käyttää tämän backdoorin hyödyntämiseen.

Ensinnäkin, metasploitissa on tuhansia moduuleja, mutta niiden löytäminen ei ole erityisen vaikeaa. Kaikki, mitä meidän tarvitsee tehdä, on kirjoittaa:

search vsftpd

Tämä etsii meille kaikki vsftpd liittyvät moduulit. Löydämme vain yhden:

Tämä kyseinen moduuli on siis se mitä haimme. Kuten näemme, se toimii vsftpd:n versiossa 2.3.4, eli sama versio mitä tuossa metasploitable 2 laitteessa on. Voimme ottaa tämän exploitin käyttöön metasploitissa joko kirjoittamalla “use 0” tai “use exploit/unix/ftp/vsftpd/234_backdoor“. Use 0 toimii koska olimme aiemmin etsineet moduleita ja tuossa kuvassakin näkee että tälle moduulille on annettu numeroksi 0. Tämä on siis vain nopeampi tapa ottaa moduuli käyttöön.

Nyt kun meillä on oikea moduuli käytössä, meidän pitää vielä konfiguroida se oikein. “show options” (tai lyhyesti, pelkkä “options“)komento näyttää meille mitä meidän pitää konffata että saamme exploitin toimimaan kunnolla. Kokeillaan:

Meillä on 2 asetusta mitkä vaaditaan tämän exploitin toimimiseksi. RHOSTS ja RPORT. Kohdassa RHOSTS ei ole by default mitään, ja tämä on siis kohdekoneen IP. Kohdassa RPORT on valmiiksi port 21, sillä port 21 on se perusportti millä tämä vsftpd palvelu juoksee. Portti 21 on oikein, joten meidän pitää vain laittaa kohtaan RHOSTS kohteemme ip, eli 192.168.56.101. Voimme tehdä sen tällä komennolla:

set RHOSTS 192.168.56.101

Tämä siis asettaa oikean IP:n. Katsotaan asetukset uudestaan:

Kuten nyt näemme, kohtaan RHOSTS on ilmestynyt kohteemme ip. Nyt kaikki on valmista, ja meidän tarvitsee vain käynnistää hyökkäys. Tämän voi tehdä joko komennolla “run” tai “exploit“.

Hyökkäys onnistui. Saimme kohteeseen shell-yhteyden, ja meillä on käytössä root-oikeudet. Tämä on erittäin helppo tapa päästä metasploitable 2 laitteeseen sisälle.

Seuraavaksi toinen tapa joka on hyvin samnlainen tähän verrattuna. Voimme ensinnäkin terminoida nykyisen shell-yhteyden kohteeseen painamalla ctrl+c, ja valita uuden moduulin kirjoittamalla ensin “back” (ei pakollinen) ja sitten tekemällä saman kuin aiemmin, eli etsitään ensin onko metasploitissa moduulia kyseiseen versioon. Kohteemme oli siis portti 6667 jossa palvelu UnrealIRCd juoksi. Tehdään “search unrealircd”.

Kuten aiemmin, löysimme backdoorin tähän laitteeseen. Käytämme nyt hyvin samanlaista tapaa kuin aiemmassa kohdassa, eli ensin “use 0“, sitten “show options” ja säädetään asetukset oikein.

Täysin samanlaiset asetukset kuin aiemmalla exploitilla, eli meidän tarvitsee vain kertoa kohteen IP ja portti. Porttikin on jo valmiiksi oikein. Asetetaan IP komennolla “set RHOSTS 192.168.56.101″. Nyt meidän pitää vain laukaista hyökkäys. Shellin löytämiseen menee hieman pidempään kuin aiemman exploitin kanssa, mutta löydämme sen silti:

Olemme siis taas saaneet root-accessin, ja emme oikeastaan tehneet mitään muuta kun näppäilleet kohteen IP:n kummassakin kohtaa. Käytimme molemmissa kohdissa backdooria, joten ajattelin keksiä vielä jotain erilaista. Exploitability guidessa sanottiin (Lähde 1) että sinne voi myös mennä helpompaa reittiä. Pelkästään komento

telnet 192.168.56.101 1524

riittää. Ja tämän avulla saamme vielä kaiken lisäksi terminal root accessin. Tämä sen takia että portilla 1524 on vanha backdoor nimeltä “ingreslock”, ja saamme rootin välittömästi sen avulla. En oikeastaan keksinyt mitään muuta tapaa päästä boxiin sisälle suoranaisesti, tiedän että metasploitable 2 pyörittää myös vulnerable web-serveriä, mutta en ole varma miten pääsisin niillä eteenpäin koska en ole niin kokenut web applikaatio hackingissä.

b) Kokeile eri asioita, mitä pystyt tekemään koneella, jonne olet päässyt Metasploitilla.

Jos mietitään mitä pystyn tekemään tuolla terminal root yhteydellä, niin oikeastaan mitä vaan. Mutta jos mietitään mihin tuota shell roottia voi käyttää, niin tutkitaan. Pystymme:

Navigoimaan järjestelmässä
Listaamaan tiedostoja (ls komento)
Tekemään uusia kansioita minne haluamme (mkdir)
Tekemään uusia käyttäjiä rootin oikeuksilla (adduser, uid=0)
Poistamaan tiedostoja tai kansioita
Lukemaan tärkeitä tiedostoja, kuten vaikka /etc/shadow

Kysymys alkaakin olemaan, mitä me emme pysty tekemään? Pelkällä shell accessilla on vaikea tehdä uusi tiedosto catin avulla tyyliin “cat > testi.txt“. Tämä siksi, että sen jälkeen tiedostoon pitää kirjoittaa myös jotain, ja kun on kirjoittanut mitä haluaa, catin voi exittaa painamalla ctrl+d. Ikävä kyllä, tämä funktionaalisuus ei toimi shell-yhteyden avulla, ja tähän jää itseasiassa jumiin. Tai, ehkä on olemassa tapa tehdä tämä, mutta itse en tiedä miten. Mutta kaikki nämä shell yhteyden ongelmat voi korjata niin että teemme vain uuden käyttäjän root oikeuksilla ja sitten otamme yhteyttä sillä käyttäjällä 😉 .

c) Lue O’Reilly Learning:sta Metasploittia käsittelevä artikkeli tai katso video. Kokeile kolmea kurssilla ja tässä tehtävässä aiemmin esittelemätöntä ominaisuutta tai tekniikkaa Metasploitista käytännössä. Pääset O’Reilly Learningiin HH tunnuksilla maksutta.

Käytin tässä tehtävässä kirjaa “Metasploit Penetration Testing Cookbook – Third Edition” (Lähde 2). Löysin sieltä kohdan jossa puhuttiin metasploitin TCP-port skannerista: En edes tiennyt, että metasploitilla on omakin port skannerinsa! Halusin tietysti heti kokeilla tätä. Kirjan mukaan metasploitissa on auxiliary/scanner/portscan moduuli, mutta tieto on hieman jälkeen jäänyttä, sillä tämä ei ole koko moduulin path, vaan loppuun pitää vielä kirjoittaa tcp. Eli “use auxiliary/scanner/portscan/tcp“. Katsotaan mitä asetuksia tälle moduulille on:

Itseäni ainakin kiinnostaa lähinnä tuo PORTS ja RHOSTS kohta. Laitetaan kohtaan PORTS 1-100 ja kohtaan RHOSTS kohdekoneen ip, eli 192.168.56.101. Voimme muuttaa näitä asetuksia samalla tavalla kuin aiemmin, eli “set <asetus> <value>“.

Vastauksen saimme nopeasti ja se näyttää meille avoimia portteja metasploitable 2 laitteella (vain tcp portteja). Se ei kuitenkaan kerro meille mitä palveluja portilla on eikä myöskään niiden versioita, eli ehkä nmappia heikompi työkalu ainakin näin nopeasti katsottuna, mutta silti mielenkiintoista että tässäkin on oma porttiskanneri mukana.

Luin myös kyseisestä kirjasta että metasploitissa on semmoinen ominaisuus jolla voi skannata http sivuja. Koska metasploitable 2 pyörittää myös web-serveriä, ajattelin että tämä on hyvä tilaisuus kokeilla kyseistä ominaisuutta. Kokeilen nyt sellaista ominaisuutta joka tutkii robots.txt tiedostoa.

Voimme käyttää tätä robots.txt tutkimisominaisuutta komennolla “use auxiliary/scanner/http/robots_txt“. jos kirjoitamme “options“, saamme seuraavat asetukset:

Tässä haluamme vaihtaa ainakin tuon RHOSTS oikeaksi eli 192.168.56.101 (kohteen IP). Sen lisäksi meidän pitää spesifioida PATH, eli mistä päin sivua etsimme sitä robots.txt tiedostoa. Koska kyseessä on metasploitable 2, laitamme pathiksi /mutillidae joka on yksi siellä oleva sivu. Se miten tuo tehdään on selitetty aiemmin jo tässä useasti, eli käytämme set komentoa. Katsotaan toimiiko/mitä tapahtuu:

Aijaa, haluamme että google ei löydä ./passwords/. Sehän olisi tietysti kovin ikävää 🙂 . Nopea selitys siitä, mitä robots.txt tekee: se kertoo hakukoneille mitä polkuja hakukone ei tule näyttämään sivua etsittäessä. Mennään nopeasti tutkimaan:

Tadaa, clear tekstinä käyttäjätunnukset ja salasanat, ei tarvitse edes hasheja alkaa murtamaan. Tietystihän kyseessä on erittäin vulnerable applikaatio ja oikeasti tälläisen löytäminen olisi jo onnekasta ja erittäin huolimatonta ylläpitäjältä, eihän kukaan järkipäinen laittaisi salasanatietoja internettiin clear tekstinä! Right?

Kokeilin vielä lopuksi sellaista ominaisuutta kuin SSH skanneri, joka tutkii mikä ssh versio palvelimella juoksee. Samantyyppinen kuin port scan, mutta antaa enemmän informaatiota. Voimme ottaa sen käyttöön komennolla “use auxiliary/scanner/ssh/ssh_version“. Options näyttää seuraavalta:

Tässä on hyvä huomata että olen jo valmiiksi asettanut RHOSTS IP:n oikein ja laittanut THREADS kohtaan 256. Sen jälkeen meidän tarvitsee pelkästään tehdä run ja nähdä mitä tapahtuu:

Tuosta saimme siis läjän informaatiota palvelimen ssh palvelusta. Voimme käyttää tätä jatkossa palvelimelle murtautumiseen mikäli jokin näistä tiedoista vaikuttaa siltä, että se auttaisi meitä murtautumaan palvelimelle tätä kautta.

Tässä on nyt esitelty 3 uutta metasploit ominaisuutta: port skan, robots.txt skan ja ssh skan.

c) Asenna jokin muu virtuaalikone harjoitusmaaliksi kuin Metasploitable 2. Murtaudu siihen Metasploitilla.

Ajattelin asentaa jonkin virtualboxin vulnhubista ja murtautua siihen. Kuulin paljon hyvää sellaisesta kuin mr.robot, ja päätin kokeilla kyseistä boxia (Lähde 3). Asentaminen oli harvinaisen simppeliä. Lataamme sivulta .ova tiedoston, ja sitten menemme virtualboxiin. File -> import appliance -> valitse .ova tiedosto -> import. Tämän jälkeen säädin vain connection asetukset niin että saimme tämän uuden VM samaan verkkoon.

Nyt sain tämän uuden vulnerable VM:n käynnistettyä, joten ensimmäinen asia jonka teen on suorittaa ping-scan lähiverkkoon jotta voin tietää missä IP-osoitteessa tämä uusi kohde on. nmap -sn 192.168.56.0-255. -sn tarkoittaa että tehdään pelkkä host discovery, eli ping scan. Katsotaan mitä tapahtuu:

Kolme hostia up. Näistä 101 ja 103 on metasploitable 2 ja kali linux, eli uusi kohde VM on ip-osoitteessa 192.168.56.104. Tallensin tämän IP:n nyt tekstitiedostoonkin ihan varmuuden vuoksi. Seuraavaksi meidän kannattaa tehdä nmap port skanni tälle uudelle laitteelle, ja katsoa mitä portteja siellä on auki. Käytän seuraavaa nmap skan komentoa:

nmap -Pn -A -oA portskan -p- 192.168.56.104

Tässä -Pn eli skip host discovery, vain port skan, -A tutki kaikki versiot ja järjestelmän OS, -oA kirjoita tiedot tiedostoihin nimeltä portskan ja -p- skannaa kaikki portit. Laitetaan skan pyörimään ja katsotaan mitä tapahtuu:

Eli meillä on oikeastaan vain webserveri auki. Kävin kyseisellä sivustolla ja se oli hieman kryptinen. Sitten muistin että /robots.txt tiedostossa voi olla monta mielenkiintoista eri asiaa, joten päätin katsoa sen seuraavaksi. Robots.txt sisälsi seuraavaa:

Tuossa siis ainakin ensimmäinen flagi mikä meidän piti löytää. Otin sen talteen ja tallensin sen nimellä first_key.txt. En ole varma mikä tuo fsocity.dic on. Menin katsomaan sitä, ja sain

No, päätin tallentaa tuon vaikka en ollut ihan varma mitä se on. Tiedoston avatessani huomasin että se vaikuttaisi olevan pekkä wordlist. En ollu täysin varma mitä tekisin seuraavaksi, joten päätin kokeilla ohjelmaa nimeltä nikto, sillä olen ennenkin käyttänyt sitä nettisivuja vastaan. Kokeillaan:

nikto -h 192.168.56.104

-h käytetään vain hostin tai siis kohteen spesifiointiin. Tässä kohtaa se on siis tuo uusi masiina jonka asensimme. Löysin nikto skannilla muutamat mielenkiintoiset sivut:

/readme
/admin
/wp-login

/readme ei ollut mielenkiintoinen, ja /admin jumitti koko selaimen. /wp-login kuitenkin antoi meille wordpress login pagen, jota voisimme varmaan käyttää. Ikävä kyllä tässä kohtaa omat taitoni loppuivat, luovutin ja katsoin walkthroughta tätä boxia varten (en ollut edes varma käytetäänkö tässä metasploit). Käytin erään toisen henkilön blogia tässä, linkki lähteissä (Lähde 4).

En olisi halunnut käyttää ulkopuolisia lähteitä, mutta ihan rehellisesti sanottuna minulla ei ole vielä oikeastaan mitään ideaa mitä tekisin tälläistä webbi sivua vastaan, osaan lähinnä tähän mennessä vain porttiskannailla ja etsiä sieltä jotain vanhentuneita versioita mitä pystyn hyväksikäyttämään. Tässä ei ollut sellaisia, joten omat temput loppuivat aika pian pussista, mutta tämä on silti mielestäni hyvää harjoittelua koska nyt tässä samalla opin esimerkkejä siitä, miten tässä tilanteessa kannattaisi edetä.

Näköjään olin ihan oikealla reitillä ainakin sen mukaan, että /robots.txt oli oikeasti tärkeä. Siellä oli siis ensimmäinen flagi kuten tiesimme, ja näköjään myös tuota toista tiedostoa oli tarkoitus käyttää (juurikin wordlistana). Siellä on yli 800k sanaa, mutta kuten blogissa todetaan, suurin osa on duplicateja. Voimme poistaa duplicatet komennolla

sort fsocity.dic | uniq | cat > fsocity.dic.uniq

Blogissa seuraavaksi käytetään tätä siistittyä tiedostoa wordlistana bruteforce hyökkäyksissä wordpress login pagea vastaan. Käytän samaa komentoa kuin kyseisessä blogissa, eli

hydra -vV -L fsocity.dic.uniq -p wedontcare -o usernames.txt 192.168.56.104 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=Invalid username'

Siellä on selitetty paremmin koko komento. Muun ymmärrän tuosta komennosta paitsi oikeastaan tuon http-post requestin. Kokeillaan koko komentoa nyt silti ja katsotaan mitä tapahtuu. Tässä siis on kyseessä pelkkä username skanni, ei password.

Skannissa meni ehkä noin viidestä kymmeneen minuuttia, en ole ihan varma, en ollut paikalla seuraamassa. Katsotaan tulokset output filestä eli usernames.txt:

Hydra löysi 3 toimivaa usernamea, joista jokainen on elliot mutta eri capitalisaatioilla. Eli username on elliot. Seuraavaksi tarvitsemme vielä salasanan, ja voimme käyttää siihen hyvin samanlaista komentoa:

hydra -vV -l elliot -P fsocity.dic.uniq -o passwords.txt 192.168.56.104 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect'

Muokkasimme hieman tuota post formia ja muutimme -p -> -P (-p kokeilee yksittäistä salasanaa, -P kokeilee salasanalistaa). Sama -L -> -l mutta toisinpäin, sama idea. Tallennan nämä myös nämä tulokset erinimiseen tekstitiedostoon, ihan vain selvyyden vuoksi. Komento juoksee taas jonkun aikaa, kunnes saamme tämän:

Eli nyt tiedämme että wordpressin käyttäjätunnus on elliot ja salasana ER28-0652. Kokeillaan sitä wordpress login pagella:

Pääsimme sisään. Vielä pitää päästä sisään järjestelmään, mutta blogipostauksessa on annettu meille seuraava työkalu metasploitissa sitä varten: wp_admin_shell_upload. Etsitään tätä moduulia metasploitista.

Tuosta löysimme kyseisen moduulin. Otin sen myös käyttöön komennolla “use 0“. Katsotaan mitä asetuksia tällä kyseisellä moduulilla on:

Tarpeellisia puuttuvia asetuksia ovat PASSWORD RHOSTS ja USERNAME. Onneksi tiedämme jokaisen arvon, eli ER28-0652, 192.168.56.104 ja elliot. Laitetaan asetukset paikalleen ja kokeillaan:

Outoa. Googlasin tämän virheen ja löysin siihen ratkaisun git-hub kommenteista (Lähde 5). Meidän pitää kirjoittaa “set WPCHECK false“. Itseasiassa aikaisempi kysyjä teki samaa boxia kuin mitä itse nyt teen. Kokeillaan uudestaan.

Saimme tällä kertaa luotua meterpreter sessionin. Jos kirjoitan nyt “shell” meidän pitäisi saada shell-sessio aikaiseksi.

Nyt olemme siis päässeet boksiin sisälle. Meillä ei ole vielä root-accessia, mutta en usko että se olisi erittäin relevanttia tehtävänantoon liittyen, sillä olemme nyt saaneet tehtyä alkuperäisen tavoitteen: murtaudu boksiin metasploitin avulla. Vaikka käytimmehän tässä paljon muutakin, mutta aina pelkkä metasploit ei riitä 🙂

Tämä oli vaikea tehtävä, mutta se saattaa johtua siitä boksista jonka valitsin. En pystynyt ratkaisemaan sitä kokonaan yksin, mutta mielestäni opin tästä paljon, ja minulla on nyt ainakin idea miten voisin edetä tulevaisuudessa samanlaisessa tilanteessa.

d) Skanna HackTheBoxin verkko niin, että tallennat tulokset Metasploitin tietokantoihin.

Unohdin miten tämä tunnilla tehtiin, mutta googlailin hieman ja löysin artikkelin joka selittää miten se toimii (Lähde 6). Eli tuon pitäisi toimia, jos vain teemme db_nmap metasploitin kanssa, ja sen pitäisi tallentaa tulos tietokantaan. Kokeillaan ja katsotaan mitä tapahtuu.

db_nmap -sV 10.10.10.0-255

Teen tämän aika lyhyellä nmap komennolla, tai ainakaan en usko että tarvitsen mitään muuta. Tässä siis ainut flagi on -sV joka tarkoittaa sitä että se tekee myös versioskannin porteille. Olisin voinut käyttää ip-osoitteita koneista mitä minulla oli jo etukäteen aiemmista skanneista, mutta ajattelin että silloin se ei välttämättä tallennu databaseen kunnolla. En myöskään halunnut käyttää -oA koska tämän on tarkoitus tallentaa tulokset muutenkin. Kokeillaan.

Skannissa menee jonkun aikaa ihan oletetusti. Nyt meidän pitää tarkistaa onko se tallentunut tietokantaan. Tehdään komento “hosts” ja katsotaan onko mitään tallentunut.

Okei, näyttää siltä että tulokset ovat tallentuneet. Voimme tutkiskella niitä vielä tarkemmin komennolla “services -c name,info <ip_osoite>“. Pari esimerkkiä:

Tuolla tavalla voimme nähdä myös servicet. Portinkin saa näkyviin lisäämällä aiempaan komentoon port osuuden, esimerkiksi “services -c name,port,info <ip_osoite>“.