Underc0de

Buenas a todos.
Recientemente he tomado mis primeros contactos con el pentesting y los temas de seguridad y he empezado un curso en el cual se me pide que haga un escaneo y luego una explotación de lo que encuentre en un determinado SO. El problema es que aun soy un novato en el tema de exploits así que estoy teniendo problemas a la hora de utilizarlos. Mi problema es el siguiente:

He encontrado una vulnerabilidad con el CVE 2015-5600. Metasploit no tiene ningún exploit de esta vulnerabilidad y buscando por la red he encontrado esto: " http://seclists.org/fulldisclosure/2015/Jul/92 ".
Lo que ocurre es que no tengo ni idea de que hacer con ese código he tratado de compilarlo en C, despues crear un archivo .sh ... pero no funciona.
¿Alguien podría guiarme un poco en como debo utilizar este código?

Antes de todo esto... Usaste NMAP para scannear puertos y servicios?
De ser así.. Tenes el output?

Saludos,
ANTRAX

Hola ANTRAX un placer hablar contigo.
Si, realice el escaneo y guardé el output.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Hola ANTRAX un placer hablar contigo.
Si, realice el escaneo y guardé el output.

Puedes pasarnos el output?

Por supuesto:

# Nmap 7.50 scan initiated Tue Jul 25 15:21:34 2017 as: nmap -O -sV -oA CHEE2_nmap 192.168.8.0/24
Nmap scan report for 192.168.8.1
Host is up (0.00066s latency).
All 1000 scanned ports on 192.168.8.1 are filtered
MAC Address: 00:50:56:C0:00:01 (VMware)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Nmap scan report for 192.168.8.130
Host is up (0.0010s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE      VERSION
22/tcp   open  ssh          OpenSSH 5.6 (protocol 2.0)
80/tcp   open  http         Apache httpd 2.2.21 ((Unix) DAV/2)
88/tcp   open  kerberos-sec Heimdal Kerberos (server time: 2017-07-24 21:38:36Z)
548/tcp  open  afp?
631/tcp  open  ipp?
3031/tcp open  appleevents  Apple Remote Events
5900/tcp open  vnc          Apple remote desktop vnc
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port548-TCP:V=7.50%I=7%D=7/25%Time=59779B62%P=x86_64-pc-linux-gnu%r(TLS
SF:SessionReq,1D6,"\x01\x03\0\0Q\xec\xff\xff\0\0\x01\xc6\0\0\0\0\0\x20\0\*
SF:\0N\0\0\x9f\xfb\nLion\xd5s\x20Mac\0\0\x87\0\x97\0\xc3\x014\x01B\tVMware
SF:7,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x06AFP3\.1\x06AFPX03\x06\tDHCA
SF:ST128\x04DHX2\x06Recon1\rClient\x20Krb\x20v2\x03GSS\x0fNo\x20User\x20Au
SF:thent\0\0\0\0\0\0\x10\0\x80\0\0\x0c\)\xb5\x88\x91\x03\x08\x02\xc0\xa8\x
SF:08\x82\x02\$\x14\x07\xfe\x80\0\0\0\0\0\0\x02\x0c\)\xff\xfe\xd7\xe4U\x02
SF:\$\x0f\x04192\.168\.8\.130\x01oafpserver/LKDC:SHA1\.4ADA72EC2F8B25FF580
SF:52A5B8B9E6188C4B8C8B8@LKDC:SHA1\.4ADA72EC2F8B25FF58052A5B8B9E6188C4B8C8
SF:B8\0\x0cLion\xe2\x80\x99s\x20Mac\0\0\0\x80`~\x06\x06\+\x06\x01\x05\x05\
SF:x02\xa0t0r\xa0D0B\x06\t\*\x86H\x82\xf7\x12\x01\x02\x02\x06\t\*\x86H\x86
SF:\xf7\x12\x01\x02\x02\x06\x06\*\x85p\+\x0e\x03\x06\x06\+\x06\x01\x05\x05
SF:\x0e\x06\n\+\x06\x01\x04\x01\x827\x02\x02\n\x06\x06\+\x05\x01\x05\x02\x
SF:07\x06\x06\+\x06\x01\x05\x02\x05\xa3\*0\(\xa0&\x1b\$not_defined_in_RFC4
SF:178@please_ignore")%r(WMSRequest,1D6,"\x01\x03\0NQ\xec\xff\xff\0\0\x01\
SF:xc6\0\0\0\0\0\x20\0\*\0N\0\0\x9f\xfb\nLion\xd5s\x20Mac\0\0\x87\0\x97\0\
SF:xc3\x014\x01B\tVMware7,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x06AFP3\.
SF:1\x06AFPX03\x06\tDHCAST128\x04DHX2\x06Recon1\rClient\x20Krb\x20v2\x03GS
SF:S\x0fNo\x20User\x20Authent\0\0\0\0\0\0\x10\0\x80\0\0\x0c\)\xb5\x88\x91\
SF:x03\x08\x02\xc0\xa8\x08\x82\x02\$\x14\x07\xfe\x80\0\0\0\0\0\0\x02\x0c\)
SF:\xff\xfe\xd7\xe4U\x02\$\x0f\x04192\.168\.8\.130\x01oafpserver/LKDC:SHA1
SF:\.4ADA72EC2F8B25FF58052A5B8B9E6188C4B8C8B8@LKDC:SHA1\.4ADA72EC2F8B25FF5
SF:8052A5B8B9E6188C4B8C8B8\0\x0cLion\xe2\x80\x99s\x20Mac\0\0\0\x80`~\x06\x
SF:06\+\x06\x01\x05\x05\x02\xa0t0r\xa0D0B\x06\t\*\x86H\x82\xf7\x12\x01\x02
SF:\x02\x06\t\*\x86H\x86\xf7\x12\x01\x02\x02\x06\x06\*\x85p\+\x0e\x03\x06\
SF:x06\+\x06\x01\x05\x05\x0e\x06\n\+\x06\x01\x04\x01\x827\x02\x02\n\x06\x0
SF:6\+\x05\x01\x05\x02\x07\x06\x06\+\x06\x01\x05\x02\x05\xa3\*0\(\xa0&\x1b
SF:\$not_defined_in_RFC4178@please_ignore");
MAC Address: 00:0C:29:D7:E4:55 (VMware)
Device type: general purpose
Running: Apple Mac OS X 10.7.X
OS CPE: cpe:/o:apple:mac_os_x:10.7
OS details: Apple Mac OS X 10.7.0 - 10.7.5 (Lion) (Darwin 11.0.0 - 11.4.2)
Network Distance: 1 hop
Service Info: OS: Mac OS X; CPE: cpe:/o:apple:mac_os_x

Nmap scan report for 192.168.8.131
Host is up (0.00052s latency).
Not shown: 977 closed ports
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4
22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
23/tcp   open  telnet      Linux telnetd
25/tcp   open  smtp        Postfix smtpd
53/tcp   open  domain      ISC BIND 9.4.2
80/tcp   open  http        Apache httpd 2.2.8 ((Ubuntu) DAV/2)
111/tcp  open  rpcbind     2 (RPC #100000)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
512/tcp  open  exec        netkit-rsh rexecd
513/tcp  open  login?
514/tcp  open  shell       Netkit rshd
1099/tcp open  rmiregistry GNU Classpath grmiregistry
1524/tcp open  shell       Metasploitable root shell
2049/tcp open  nfs         2-4 (RPC #100003)
2121/tcp open  ftp         ProFTPD 1.3.1
3306/tcp open  mysql       MySQL 5.0.51a-3ubuntu5
5432/tcp open  postgresql  PostgreSQL DB 8.3.0 - 8.3.7
5900/tcp open  vnc         VNC (protocol 3.3)
6000/tcp open  X11         (access denied)
6667/tcp open  irc         UnrealIRCd
8009/tcp open  ajp13       Apache Jserv (Protocol v1.3)
8180/tcp open  http        Apache Tomcat/Coyote JSP engine 1.1
MAC Address: 00:0C:29:6A:F1:22 (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.33
Network Distance: 1 hop
Service Info: Hosts:  metasploitable.localdomain, localhost, irc.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Nmap scan report for 192.168.8.254
Host is up (-0.11s latency).
All 1000 scanned ports on 192.168.8.254 are filtered
MAC Address: 00:50:56:F9:1A:F5 (VMware)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Nmap scan report for 192.168.8.129
Host is up (0.000041s latency).
All 1000 scanned ports on 192.168.8.129 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Jul 25 15:28:06 2017 -- 256 IP addresses (5 hosts up) scanned in 393.02 seconds

----------------------------

El objetivo para este exploit seria el 192.168.8.130 es un Mac Os.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
El objetivo para este exploit seria el 192.168.8.130 es un Mac Os.

Dudo que la solución sea un exploit para SSH, me inclino más por el puerto 80 :P

Además, hay equipos con servicios bastante... digamoslo suculentos ;), además, en este tipo de laboratorios hay servicios fake, ósea, que aunque lo parezcan no son vulnerables, quizás consigas acceso después de vulnerar otra máquina :D

Si, de hecho ya he explotado otros servicios en este host pero he encontrado este exploit para ssh y como en el curso solo me enseñan a utilizar MSF para lanzar exploits y no a como utilizar otro tipo de metodos he sentido curiosidad... me gustaría saber como usar el exploit del enlace.. por probar.

Esta es la vulnerabilidad según Nessus:

OpenSSH MaxAuthTries Bypass

The remote SSH server is affected by a security bypass vulnerability due to a flaw in the keyboard-interactive authentication mechanisms.
The kbdint_next_device() function in auth2-chall.c improperly restricts the processing of keyboard-interactive devices within a single connection. A remote attacker can exploit this, via a crafted keyboard-interactive 'devices' string, to bypass the normal restriction of 6 login attempts (MaxAuthTries), resulting in the ability to conduct a brute-force attack or cause a denial of service condition.

Me bastaria con que alguien me guiase de por donde tengo que empezar a buscar.. tengo interés en aprender.
Gracias de antemano

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Me bastaria con que alguien me guiase de por donde tengo que empezar a buscar.. tengo interés en aprender.
Gracias de antemano

Eres consciente de que ese exploit solo produce DoS y no te dará acceso no?

Un saludo.

Si, el hecho que me interesa no es el efecto sino adquirir conocimiento sobre el método en cuestión.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Si, el hecho que me interesa no es el efecto sino adquirir conocimiento sobre el método en cuestión.

Bastaría con compilar el exploit y ejecutarlo.

Aquí están todos los datos para explotarlo: https://github.com/BuddhaLabs/PacketStorm-Exploits/blob/master/1507-exploits/openssh-crack.txt, bastará con replicar el sistema y ejecutar el bash.

Te recomiendo que leas todas las referencias linkeadas al CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5600

Gracias blackdrake. Hasta esos enlaces ya he llegado y entiendo el tipo de vulnerabilidad y como lanzarlo por bash. Lo que no entiendo es el parche. Copie el texto en un archivo y le di extensión .c luego compile con gcc pero me dio un error. Por eso pedía como se utilizaba porque no lo tengo claro.
¿esta escrito en C verdad? :'(