De FTP a SSH

4

Actualmente, estoy haciendo un laboratorio de pruebas de penetración con un servidor con los siguientes servicios:

Nmap scan report for 10.0.11.125
Host is up (1.3s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.0.8 or later
22/tcp open  ssh     OpenSSH 5.8p1 Debian 7ubuntu1 (Ubuntu Linux; protocol 2.0)
Service Info: Host: Foo; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Actualmente, tengo acceso a una cuenta FTP (digamos que nombre de usuario y contraseña son las credenciales del servidor en alcance).

En la cuenta FTP tengo los siguientes:

ftp> ls -al\
227 Entering Passive Mode (10,185,11,125,254,161).
150 Here comes the directory listing.
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 .
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 ..
-rw-r--r--    1 1003     1003          220 May 18  2011 .bash_logout
-rw-r--r--    1 1003     1003         3367 Aug 05 02:02 .bashrc
-rw-r--r--    1 1003     1003          690 Aug 05 02:13 .profile
drwxrwxrwx    2 1003     1003         4096 Aug 05 01:45 .ssh
226 Directory send OK.
ftp> 

Como puede observar, he subido una carpeta .ssh con el siguiente contenido.

ftp> cd .ssh
250 Directory successfully changed.
ftp> ls -la
227 Entering Passive Mode (10,185,11,125,112,156).
150 Here comes the directory listing.
drwxr-----    2 1003     1003         4096 Aug 05 01:45 .
drwxr-xr-x    3 1003     1003         4096 Aug 05 01:31 ..
-rw-------    1 1003     1003          408 Aug 05 01:34 authorized_keys
226 Directory send OK.

Después de eso, he intentado obtener acceso utilizando las authorized_keys cargadas en el protocolo SSH como tal:

proxychains ssh [email protected]
[email protected]'s password: 

¿Estoy haciendo algo mal? ¿Cómo puedo encontrar el nombre de usuario de UID 1003?

    
pregunta Lucian Nitescu 09.08.2018 - 13:34
fuente

2 respuestas

3

Tu idea general detrás de esto es muy buena.

Algunos problemas con este enfoque

En el mejor de los casos (o en el peor de los casos, dependiendo del lado en el que estés):

Autenticación

  1. SSHD tiene la autenticación de clave habilitada al tener PubkeyAuthentication establecido en yes en sshd_config
  2. El AuthorizedKeyFile se establece en .ssh/authorized_keys (que es el valor predeterminado si recuerdo correctamente).
  3. El usuario de FTP tiene un shell válido en /etc/passwd como /bin/bash o /bin/sh

Sin embargo :

  1. Es posible que no tenga el nombre de usuario correcto. Obtener la versión del servidor FTP puede ser un buen lugar para comenzar a verificar los valores predeterminados. (al igual que proftpd agrega el usuario y grupo proftpd).
  2. Es posible que la autenticación de clave pública no esté habilitada en absoluto, lo que significa que .ssh/authorized_keys se ignora por completo.
  3. El AuthorizedKeyFile está en una ubicación personalizada, aunque no he visto muchos sshd donde está.
  4. (una nota entre paréntesis: algunos SSHD requieren que el archivo authorized_keys tenga una máscara de 600 permisos. Esto también podría ser un problema en su caso, aunque supongo que sería un resultado diferente).

Su problema específicamente

Mi mejor suposición es que tu problema es Sin embargo 1 o Sin embargo 2 , con la misma probabilidad. Parece que SSH Key Auth no se está activando (SSHD no parece intentar para verificar la clave pública), lo que para mí es una indicación de que no hay una clave pública para el usuario de FTP. o que la autenticación de clave pública está completamente deshabilitada.

Y tu pregunta

  

¿Cómo puedo encontrar el nombre de usuario de UID 1003?

  • Como sugiere mootmoot en los comentarios, puedes intentar abrir archivos como /etc/passwd , si las ACL están configuradas incorrectamente.

  • También puedes intentar aumentar tu fuerza bruta agregando claves para los nombres comunes, proftpd , como se señaló anteriormente, vsftpd , ftpd o solo ftp son algunos de los más populares.

  • Si has hecho el reconocimiento adecuado y has tenido suerte, es posible que hayas obtenido el nombre y la versión del servicio ftp que podrían darte una idea de los usuarios predeterminados.

  • Esto podría lograrse con la bandera nmap ' -sV , o agarrando el banner (si la configuración lo permite).

Como puede ver, hay muchas cosas que dependen de la configuración y configuración del servidor. Estoy seguro de que hay algunos buenos recursos disponibles a través de Google que pueden darte más ideas como estas (antes de que esto se convierta en un ensayo completo :-))

    
respondido por el Nomad 09.08.2018 - 16:25
fuente
0

Su listado muestra:

drwxrwxrwx    2 1003     1003         4096 Aug 05 01:45 .ssh

ssh es muy exigente con los permisos; si puede reducir ese 777 a 700, tendrá mejor suerte.

Eso no significa que ninguna de las otras respuestas también no se apliquen, pero para mí, el 777 simplemente aparece y me golpea en el ojo.

    
respondido por el sitaram 13.08.2018 - 15:11
fuente

Lea otras preguntas en las etiquetas