Metasploit. Sostituisce sempre i nomi di dominio con ips risolti su RHOST / RHOSTS?

Naviga le tue risposte
3

C'è un sito web che voglio controllare. Quel sito deve avere una configurazione Virtualhost concreta perché se si accede ad esso utilizzando il nome di dominio viene mostrato il sito Web, ma se si utilizza l'indirizzo IP il sito Web non viene mostrato.

Se lancio un exploit usando Metasploit contro un sito con questo tipo di configurazione, non funziona. Penso che Metasploit stia sostituendo il nome del dominio con l'indirizzo IP risolto e in questo modo il sito Web non risponde come previsto.

Esempio:

Prendi un apache che serve un sito Wordpress (htttp: //example.com) con quel tipo di configurazione spiegata da Virtualhost. Questo sito ha l'API abilitata per XMLRPC. Se ad esempio utilizzo uno strumento come wpscan , puoi inserire l'url del sito (usando --url htttp: //example.com) e funziona. Ma se provo a usare il modulo auxiliary/scanner/http/wordpress_xmlrpc_login Metasploit, dopo aver impostato RHOSTS var con il nome di dominio ( set RHOSTS example.com ) e lanciato l'exploit, il modulo sta rispondendo: 

[*] x.x.x.x:80     :/xmlrpc.php - Sending Hello...
[-] XMLRPC is not enabled! Aborting

Nella risposta c'è l'indirizzo IP e non il nome del dominio. Quindi suppongo sia perché, come ho spiegato, Metasploit sta risolvendo e modificando RHOSTS var con il valore dell'indirizzo ip e quindi il modulo non funziona a causa della configurazione del Virtualhost del server web.

Quindi la domanda è:

  • C'è un modo (forse un plugin che non conosco) in Metasploit per evitare questa trasformazione / sostituzione?
posta OscarAkaElvis 14.05.2017 - 21:59
fonte

1 risposta

3

Stai cercando l'opzione VHOST . Come forse saprai, quando noleggi alcuni servizi di web hosting, puoi scegliere tra un server dedicato e uno condiviso (che è molto più economico)

  • Su server condivisi, condividi la stessa macchina con persone a caso. Significa che i siti web ospitati su un server condiviso condivideranno lo stesso indirizzo IP. Ecco perché è necessario scrivere l'opzione dell'host virtuale, specificherà quale nome di dominio si desidera interrogare su questo indirizzo IP.

  • Su server dedicati, puoi configurare la macchina nel modo desiderato. Con o senza host virtuali.

È possibile determinare la presenza dell'host virtuale con il comando host sulla propria distribuzione Linux: 

┌──[13:33:43]─[root@attack3r]
└──> ~ $ >> host target-website.com
   target-website.com has address 49.49.49.49
┌─[13:34:21]─[root@attack3r]
└──> ~ $ >> host 49.49.49.49
   49.49.49.49.in-addr.arpa domain name pointer www.host-service-provider.com

Nell'esempio sopra, risolvendo sia l'IP che target-website.com puoi determinare:

  • Il sito web di destinazione punta a 49.49.49.49

  • 49.49.49.49 puntare al nome di dominio del provider di servizi host

In questo esempio, target-website.com è un host virtuale su 49.49.49.49. In caso contrario, la ricerca IP dovrebbe restituire target-website.com, non il nome di dominio del provider di servizi.

Ricorda che ci sono alcune eccezioni, ad esempio, prova a fare la stessa operazione con security.stackexchange.com

Test senza VHOST

  • use auxiliary/scanner/http/wordpress_xmlrpc_login
  • set RHOSTS 49.49.49.49
  • set TARGETURI /wp/
  • set USERNAME root
  • set PASSWORD toor
  • run

Output 

[*] 49.49.49.49:80    :/wp/xmlrpc.php - Sending Hello...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[-] XMLRPC is not enabled! Aborting
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

Aggiunta di VHOST

  • set VHOST target-website.com
  • run

uscita 

[*] 49.49.49.49:80    :/wp/xmlrpc.php - Sending Hello...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[+] 49.49.49.49:80   - XMLRPC enabled, Hello message received!
[*] Starting XML-RPC login sweep...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[-] 49.49.49.49:80   - Failed: 'root:toor'
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

modifica: risposta ai commenti

sì sì:

    
risposta data 14.03.2018 - 07:25
fonte

Leggi altre domande sui tag

La connessione protetta su un proxy non crittografato è sicura? Perché SSH utilizza il riempimento casuale?