Supponiamo che ci siano tre macchine seguenti nella rete:
Macchina A:
Microsoft Server 2003 Service Pack 2
FileZilla 0.9.29 beta ftp server (TCP 21)
Server ePolicy di Mcafee (81), desktop remoto (3389), altro roba di server McAfee (8081), DNS (UDP 53), Kerberos-sec (aperto UDP 88 filtrato), ntp (UDP 123), snmp (aperto o filtrato UDP 161), ldap (aperto o filtrato UDP 389), mssql-m (UDP 1434), sconosciuto come HTTP (UDP 1035)
Le porte restanti vanno così:
464/udp open|filtered kpasswd5
500/udp open|filtered isakmp
1030/udp open|filtered iad1
1033/udp open|filtered netinfo-local
1040/udp open|filtered netarx
1041/udp open|filtered danf-ak2
1046/udp open|filtered wfremotertm
1048/udp open|filtered neod2
1051/udp open|filtered optima-vnet
1434/udp open ms-sql-m
4500/udp open|filtered nat-t-ike
La ricorsione DNS è abilitata, ntp presenta anche le informazioni sul tempo. SNMP mostra la risposta di timeout alle query di forza bruta. (sconosciuto se è aperto o no. MSSQL è attivo.
Macchina B: FreeBSD 7.0 (probabilmente 7.0-RELEASE) FreeBSD ftpd 6.00LS (accesso anonimo in scrittura a una / entrata directory abilitata) server (TCP 21), SSH (22), finger (79), HTTP (80) con trace abilitato, pserver CVS (2401), MySQL (3306) , tftp (UDP 69), syslog (UDP 514)
Il server HTTP ha Apache 2.2.XX con drupal cms abilitato in / cms. Ho ottenuto una shell utente "www" usando la vulnerabilità drupal. La shell ha accesso in scrittura a / tmp e accesso in lettura a tutte le directory (sebbene non a tutti i file).
Macchina C: Server FTP (21) con rimbalzo FTP disponibile.
Diciamo che ho un accesso root o amministratore alla macchina C e alla macchina A. (nel caso della macchina A, l'ho violata usando la vulnerabilità epolicy)
Come potrei usare queste macchine + shell "www" della macchina B per ottenere l'accesso di root alla macchina B? (Si noti che c'erano limiti di tempo, quindi anche se ho ottenuto il root shell della macchina A e della macchina C, non ero in grado di controllare ogni porta della macchina A.)
Le domande sarebbero le seguenti:
-
Ho fatto una scansione nmap usando
--sC
, e questo significa che lo scanner nmap usa il rimbalzo FTP per eseguire la scansione di altre macchine? -
In caso contrario, come si userebbe il rimbalzo FTP per attaccare altre macchine?
-
Limitando gli ambiti, come sarebbe utilizzata la ricorsione DNS per attaccare la macchina B? Non è un aiuto?
-
Sembra che nmap sia in grado di recuperare alcune informazioni mssql usando il suo nse. Come potrei accedere al server mssql usando Backtrack? Le risorse di Internet sono poco complicate.
-
Se ldap alla macchina A è aperto, come potrebbe questo aiutare ad attaccare la macchina B?
-
Ntp e finger sarebbero di aiuto? (So cosa può fare il dito, ma può essere usato per ottenere l'accesso root direttamente alla macchina B?)
-
In questo caso, SSH può aiutare l'attacco?
-
Come potrei accedere al server mysql sulla macchina B, freeBSD?
-
Secondo exploit-db, anche se non sono sicuro del numero di versione di pserver (Machine B) di CVS, c'è un exploit che attacca cvs pserver, e sembra che io abbia bisogno di una password per l'utente "www". Ci sarebbe un modo per scoprirlo senza forzare brute e ricorrere all'account root?
-
Ci sarebbe un modo per caricare i programmi setuid in modo che io possa usarlo per ottenere l'accesso root al computer B?