Da FTP a SSH

4

Attualmente sto facendo un laboratorio di test di penetrazione con un server con i seguenti servizi:

Nmap scan report for 10.0.11.125
Host is up (1.3s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.0.8 or later
22/tcp open  ssh     OpenSSH 5.8p1 Debian 7ubuntu1 (Ubuntu Linux; protocol 2.0)
Service Info: Host: Foo; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Attualmente, ho accesso a un account FTP (diciamo username e password sono le credenziali per il server in scope).

Nell'account FTP ho i seguenti:

ftp> ls -al\
227 Entering Passive Mode (10,185,11,125,254,161).
150 Here comes the directory listing.
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 .
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 ..
-rw-r--r--    1 1003     1003          220 May 18  2011 .bash_logout
-rw-r--r--    1 1003     1003         3367 Aug 05 02:02 .bashrc
-rw-r--r--    1 1003     1003          690 Aug 05 02:13 .profile
drwxrwxrwx    2 1003     1003         4096 Aug 05 01:45 .ssh
226 Directory send OK.
ftp> 

Come puoi notare, ho caricato una cartella .ssh con i seguenti contenuti.

ftp> cd .ssh
250 Directory successfully changed.
ftp> ls -la
227 Entering Passive Mode (10,185,11,125,112,156).
150 Here comes the directory listing.
drwxr-----    2 1003     1003         4096 Aug 05 01:45 .
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 ..
-rw-------    1 1003     1003          408 Aug 05 01:34 authorized_keys
226 Directory send OK.

Dopodiché, ho cercato di ottenere l'accesso utilizzando i authorized_keys caricati sul protocollo SSH come tali:

proxychains ssh [email protected]
[email protected]'s password: 

Sto facendo qualcosa di sbagliato? Come posso trovare il nome utente di UID 1003?

    
posta Lucian Nitescu 09.08.2018 - 13:34
fonte

2 risposte

3

La tua idea generale è molto buona.

Alcuni problemi con questo approccio

Nel migliore dei casi (o nel peggiore dei casi, a seconda dei casi in cui ti trovi) scenario:

Autenticazione

  1. SSHD ha l'autenticazione della chiave abilitata avendo il PubkeyAuthentication impostato su yes in sshd_config
  2. Il AuthorizedKeyFile è impostato su .ssh/authorized_keys (che è il valore predefinito se ricordo correttamente).
  3. L'utente FTP ha una shell valida in /etc/passwd come /bin/bash o /bin/sh

Tuttavia:

  1. Potresti non avere il nome utente giusto. Ottenere la versione del server FTP potrebbe essere un buon punto di partenza per controllare i valori predefiniti. (come proftpd aggiunge l'utente e il gruppo proftpd).
  2. L'autenticazione della chiave pubblica potrebbe non essere abilitata affatto, il che significa che .ssh/authorized_keys è completamente ignorato.
  3. Il AuthorizedKeyFile si trova in una posizione personalizzata, anche se non ho visto molti sshd dove si trova.
  4. (una parentesi tra parentesi nota: alcuni SSHD richiedono il file authorized_keys per avere una maschera di autorizzazione 600. Potrebbe anche esserci un problema nel tuo caso, anche se assumerei output diversi).

Il tuo problema specifico

La mia ipotesi migliore è che il tuo problema sia Tuttavia 1 o Tuttavia 2 , con uguale probabilità. Sembra che SSH Key Auth non stia eseguendo affatto (SSHD non sembra prova per controllare la chiave pubblica), che per me è un'indicazione che non esiste una chiave pubblica per l'utente FTP, o che l'autenticazione della chiave pubblica è completamente disabilitata.

E la tua domanda

How can I find the username of UID 1003?

  • Come suggerito da mootmoot nei commenti, potresti provare ad aprire file come /etc/passwd , se gli ACL sono configurati in modo errato.

  • Puoi anche provare a potenziare la tua fortuna aggiungendo le chiavi per i nomi comuni, proftpd , come notato sopra, vsftpd , ftpd o solo ftp sono alcuni popolari.

  • Se hai eseguito correttamente la ricognizione e sei stato fortunato, potresti aver ottenuto il nome e la versione del servizio ftp che potrebbero darti un'idea degli utenti predefiniti.

  • Questo potrebbe essere ottenuto con nmap -sV flag, o afferrando il banner (se la configurazione lo consente).

Come puoi vedere, c'è molto che dipende dalla configurazione e dalla configurazione del server. Sono sicuro che ci sono alcune buone risorse disponibili attraverso Google che possono darti più idee come queste (prima che questo diventi un saggio completo: -))

    
risposta data 09.08.2018 - 16:25
fonte
0

La tua scheda mostra:

drwxrwxrwx    2 1003     1003         4096 Aug 05 01:45 .ssh

ssh è molto schizzinoso sulle autorizzazioni; se riesci a ridurre il numero da 777 a 700, potresti avere più fortuna.

Questo non significa che nessuna delle altre risposte anche non si applica, ma per me, che 777 viene fuori e mi colpisce negli occhi.

    
risposta data 13.08.2018 - 15:11
fonte

Leggi altre domande sui tag