*白百合めも*

セキュリティ中心に毎日の勉強の記録を書くよ*

年末なのでMetasploitable2で遊んでみたよ!

みなさんこんにちはーっ
もうすぐ2017年が終わろうとしていますね🌞
みなさん今年はどんな一年でしたか?

今回は、せっかく年末なので遊ばなきゃ!!!と思って、
今まであまり触れてこなかった🎀Metasploitable🎀と遊んでみました🌺

Metasploitableというのは、脆弱性たくさん含んだやられサーバーです🍩
Metasploitable - Browse /Metasploitable2 at SourceForge.net
↑から.vmdkファイル入手できます♪
グローバルに晒さないようにだけはぜったい注意⚡️
自分で攻撃対象サーバーを作るのってちょっと面倒だったりするからとてもありがたい❤️

実際の攻撃手順に沿ってやっていきましょう🌷



内部ネットワーク設定で、以下の2つのサーバーを起動しておきます🍦
(両方ともvi /etc/network/interfaces でこっそりIPアドレスを設定しておこう!)

攻撃サーバー          やられサーバー
Kali linux(Debian)    →   Metasploitable(Ubuntu)

〜FIRST STEP〜
まずは、やられサーバーのIPアドレスを特定しましょう!

Kali linux自身のIPアドレスをチェックすると
f:id:white-lily6u6:20171230203313p:plain
192.168.7.1だということが分かりました🌻

この情報を使って、192.168.7.0/24に対してnmapスキャンをしていきますよ!
f:id:white-lily6u6:20171230203454p:plain
出てきましたーっ!
MetasploitableちゃんのIPアドレスは 192.168.7.2 ということが判明しました🚬

〜SECOND STEP〜
あいてるポートとかサービスを調査してみましょう⭐️
同じくnmapを使っていきますー!(-Aとかでも良いよ)
f:id:white-lily6u6:20171230205215p:plain
おおお・・・なんかめちゃめちゃ空いてますね!?いいぞー!
多分プロ各位はこの情報を見ただけで、
「vsftpdのバックドア利用できるぞ...Sambaのusername map scrip設定が...rloginが...てか1524ポートなんやねん!ww」
みたいなツッコミが色々と出てくるのかな?と思うのですが
私は初心者なのでこの情報見ただけじゃよく分かりません!(ググれ)
なのでスキャンツールに頼りたいと思いまーす笑

〜THIRD STEP〜
脆弱性スキャンツールNessusを使って脆弱性を調査しましょう!
事前に、

https://www.tenable.com/products/nessus/select-your-operating-system

↑こちらから、Kali linux用のNessusをダウンロードして、アクティベーションコードをゲットしておきましょう♪
私はこちらを参考にして入れたよ→Kali LinuxにNessusをインストール - ろば電子が詰まっている

今回だと、https://192.168.7.1:8834/でNessusの管理画面へアクセスできます🌹
早速、MetasploitableのIPアドレス192.168.7.2に対して、Basic Network Scanをやってみました!
すると・・・
f:id:white-lily6u6:20171230223721p:plain
おおお・・・!クリティカルが6件もありますね!
真ん中らへんの"Rogue Shell Backdoor Detection"というのは、先ほどのnmapでも怪しいと思っていましたが、
1524ポートに認証なしで接続してコマンド実行できちゃいますよーっていう脆弱性です!
nc 192.168.7.2 1524とうつだけでroot権限取れてしまいます。笑
それだとあまりにもあっけないので、今回は、上の2つ(両方ともCVE-2008-0166)の脆弱性を利用してみたいと思います🍧

〜FOURTH STEP〜
さて!Nessusでわかった脆弱性を突いていきましょうか!
"Debian OpenSSL Package Random Number Generator Weakness"というのは、
OpenSSL のバージョン0.9.8c-1から0.9.8g-9までは、わりと簡単な数値を生成しちゃう乱数ジェネレーターを使っているからブルートフォース攻撃で鍵がわかってしまうよ〜っていう脆弱性です⚡️⚡️

今回は
GitHub - g0tmi1k/debian-ssh: Debian OpenSSL Predictable PRNG (CVE-2008-0166)
↑こちらを利用させていただきました!!

リンクから辿っていって・・・
攻撃コード:OpenSSL 0.9.8c-1 < 0.9.8g-9 (Debian and Derivatives) - Predictable PRNG Brute Force SSH (Python)
鍵の一覧(辞書):debian-ssh/debian_ssh_rsa_2048_x86.tar.bz2 at master · g0tmi1k/debian-ssh · GitHub
を使いました🌹

使い方はなんと簡単!
python <攻撃コードファイル名> <鍵一覧が入っているフォルダ名> <攻撃対象IP> <アカウント名>とするだけ!
私の場合だと、 python 5720.py ./rsa/2048/ 192.168.7.2 root としてみました🍫
よし!ブルートフォースだ!
f:id:white-lily6u6:20171230231959p:plain
すごい数の鍵がどんどん試されていって・・・
f:id:white-lily6u6:20171230232030p:plain
rootのSSHキーが見つかってしまいました⚡️⚡️⚡️
しかも丁寧にうつコマンドまで教えてくれてる...親切...笑

〜LAST STEP〜
SSHキーが見つかったのであとは侵入するだけです!
f:id:white-lily6u6:20171230232507p:plain

はい...こんなあっさりとMetasploitableにrootで侵入できてしまいました🍭
ここから何をするかは人それぞれです!⚡️🌊
(初心者だから攻撃者たちがどういうことするのが一般的なのかよくわかっていない)


今回はこんな感じでMetasploitableに対してエクスプロイトする一つのやり方を紹介致しました!
実際に試してみることで、個人や会社で運用してるサーバー大丈夫かな?という危機感が生まれるので、こういうのほんと大事だなーって思います!

Metasploitable2には、脆弱性たくさん含んだWebサービスも充実しているので(mutillidaeとか)、来年はそこらへんもやっていきたいですねー❤️


このブログって結構検索からきてる方が多くてどういう方が見てるのか分からないので再度言っておきますが、 エクスプロイトするときは自分のローカル環境で、できればインターネットから隔離した状態でやってくださいね!
Nessusとかでもうっかり自分の管轄以外のIPに対して調査してしまったらかなりやばいですからね><


〜ご挨拶〜
今年はたくさんの方にこのブログにお越しいただいてありがとうございました。
なかなか更新できない月もありますが、ゆるふわにやっていきますので来年もよろしくお願いいたします🌷
最後に、サムネ用に、先日お台場で買った雑貨を自慢して終わります笑
f:id:white-lily6u6:20171230235456j:plain
みなさん、良いお年を!!