banner

[Pivoting] Exploración de una Red remota utilizando un pivote con #Metasploit (II)

RECORDAMOS

En el artículo de ayer, se utilizo #Metasploit para explotar una vulnerabilidad de JAVA a través del navegador WEB, con este tipo de ataque se pudo comprometer un equipo de la red privada (192.168.3.0/24) del escenario propuesto para la demostración.


Además, una vez que se había comprometido al usuario A (USR-A)  se configuro #Metasploit para utilizar al usuario A como "pivote", y de esa forma poder explorar la red interna de la empresa como si el ATACANTE se encontrará directamente conectado en la red privada 192.168.3.0/24.


CONTINUACIÓN

La información de la que se dispone, tras las primeras averiguaciones dentro de la red privada (PRIVATE) donde se encuentra ubicado nuestro equipo comprometido, es que existe un equipo en otra red 192.168.2.0/24, concretamente se trata de la IP:192.168.2.3 y que tiene establecida una conexión con el equipo 192.168.3.3 por el puerto 445, habitualmente utilizado para compartir archivos en la red.

Para cerciorarnos, se va a utilizar nmap para escanear el equipo objetivo a través de nuestro pivote (USR_A), esto nos permitirá iniciar la exploración de la red interna como si el mismísimo equipo USR_A fuera quien ejecutará dichas acciones, es decir, la dirección IP detectada por el equipo 192.168.2.3 como origen de las conexiones (ataques) será la misma que la del usuario A (USR-A).

Pero para conectar el tráfico generado por la aplicación nmap en el equipo del atacante con la sesión de metasploit, se va a utilizar un módulo auxiliar que tiene "metasploit" muy útil para estos casos, se trata de un mini servidor proxy del tipo sock4a. Los proxy sock4 son capaces de redirigir todas las conexiones generadas en cualquier puerto.

A continuación se pueden ver los comandos utilizados para activar el servidor sock4a en metasploit:
Fase 2: Activando un proxy server sock4 para conectar el nmap a metasploit.

Una vez se haya iniciado (comando run) el servidor en metasploit, se configurar proxychains, que es un programa que enviará el tráfico generado por nmap al servidor proxy sock4a, para que a su vez éste, se lo envié a metasploit quien lo transmitirá al pivote (USR-A).



Antes de ejecutar el comando nmap, es necesario configurar el fichero de configuración de proxychains.conf que se puede encontrar en el directorio /etc del equipo Linux BT5.

Una vez configurado el proxychains, se procede a ejecutar en la consola de Linux, el comando de nmap que realizará un escaneado sencillo sobre la red interna, como si el propio atacante (BT-Linux) estuviera conectado a la red interna, esto gracias a la técnica de "pivoting" de #metasploit.

Fase 2: Exploración con NMAP y proxychains.
En el ejemplo, se ha utilizado el conjunto de puerto típicos para evitar realizar un escaneado completo de todos los puertos, ahorrando tiempo de ejecución y ancho de banda utilizado, así como minimizar el ruido generado en la red interna de la empresa.

Para demostrar que efectivamente, se esta realizando el pivoting, se realizo una captura de tráfico en el equipo 192.168.2.3 (objetivo).

Fase 2: Capturando tráfico en el equipo objetivo.
Como se puede observar en la imagen superior, el origen del tráfico capturado por el equipo objetivo procede del equipo comprometido 192.168.3.3 (pivote).

Tras examinar el resultado del scanning del equipo objetivo 192.l68.2.3 se puede sacar la conclusión que casi con toda seguridad ese equipo será un Windows XP con el servicio de carpetas compartidas en red activo.

Ahora solo queda probar suerte, a ver si el equipo detectado no tiene el sistema actualizado. Vamos por tanto a probar suerte con una vulnerabilidad publicada en el 2008 sobre el protocolo SMB. Para ello hacemos una búsqueda en #Metasploit hasta encontrar la ms08_067_netapi, la configuramos y se ejecuta ¿Qué pasará?

Fase 3: Atacando a nuestro Objetivo

A continuación, se deja unas capturas de pantalla, con el resultado de configurar y ejecutar dicha vulnerabilidad:

Fase 3: Explotando un equipo en la red DMZ a través del pivoting.
Una de las curiosidades, que se pueden observar en la imagen superior son:

  • Utilización del puerto 443
  • Utilización de bind_tcp
El utilizar el puerto 443, para conectar la shell remota con el equipo al que se va a intentar atacar, y bind_tcp, significa que la conexión la va a iniciar el atacante, que en este caso, y debido a la técnica del pivoting, será originada por el equipo USR-A comprometido.

Fase 3: Ataque a un equipo de la red interna utilizando el Pivoting.
Se ha tenido exito en el ataque, se ha logrado llegar a la red 192.168.2.0/24, al tener comprometido un equipo de la red, con una shel remota "meterpreter", que se encuentra activa mientras el "pivote" (USR-A) se mantenga conectado y comprometido.

Fase 3: Objetivo conseguido.
Una vez tenemos el control sobre el equipo objetivo se realizará la exploración del disco duro y del sistema en busca de información relevante.

Con meterpreter existe la opción de utilizar un script que automatiza todo el proceso, me estoy refiriendo a "winenum" es un script que vuelca en una carpeta de nuestro disco duro  (./msf4/logs/scripts/winenum/)toda la información que se puede obtener del ordenador comprometido, desde hash de las password, hasta los tokens, pasando por la políticas de dominio, etc. Incluso, detecta si el equipo comprometido es una máquina virtual o no.

Fase 3: Ejecutando script winenum de meterpreter para obtener información del equipo comprometido.

Hasta aquí, con el Taller de Hacking, y con el artículo.

El contenido de este artículo es meramente informativo y/o con fines educativos, no me hago responsable del uso que de él se pueda hacer.

Un Saludo, hasta el próximo evento.


Indice:

1 comentario :

  1. Una pregunta: Si consigo acceso root a una máquina LINUX explotando alguna vulnerabilidad, y quiero atacar hosts adyacentes (pivotar) desde esta máquina, y debido a que no tengo la facilidad de meterpreter para pivotar desde mi kali, ¿Qué puedo hacer para descubrir hosts en la red vulnerada y lanzar exploits desde mi distribución kali? (Me refiero a que no quiero instalar metasploit ni dejar huellas en la maquina linux comprometida) pero si quiero lanzar exploits a los posibles hosts adyacentes en la red de la maquina comprometida, por ejemplo, un controlador de dominio de windows).

    ResponderEliminar