Metasploit. ¿Siempre se están reemplazando los nombres de dominio con ips resueltos en RHOST / RHOSTS?

Navega tus respuestas
3

Hay un sitio web que quiero auditar. Ese sitio debe tener una configuración de Virtualhost concreta porque si accede al mismo usando el nombre de dominio, se muestra el sitio web, pero si usa la dirección IP, no se muestra el sitio web.

Si lanzo un exploit utilizando Metasploit contra un sitio con este tipo de configuración, no funciona. Creo que es porque Metasploit está reemplazando el nombre de dominio por la dirección IP resuelta y de esa manera el sitio web no responde como se esperaba.

Ejemplo:

Tome un apache que sirva un sitio de Wordpress (htttp: //example.com) con ese tipo de configuración explicada por Virtualhost. Este sitio tiene la api XMLRPC habilitada. Si uso una herramienta como wpscan , por ejemplo, puedes poner la url del sitio (usando --url htttp: //example.com) y funciona. Pero si trato de usar el módulo auxiliary/scanner/http/wordpress_xmlrpc_login Metasploit, después de configurar RHOSTS var con el nombre de dominio ( set RHOSTS example.com ) y lanzar el exploit, el módulo responde: 

[*] x.x.x.x:80     :/xmlrpc.php - Sending Hello...
[-] XMLRPC is not enabled! Aborting

En la respuesta está la dirección IP y no el nombre de dominio. Así que supongo que porque como expliqué, Metasploit está resolviendo y cambiando RHOSTS var con el valor de la dirección IP y luego el módulo falla debido a la configuración del servidor web Virtualhost.

Entonces la pregunta es:

  • ¿Hay alguna forma (tal vez un complemento que no conozca) en Metasploit para evitar esta transformación / reemplazo?
pregunta OscarAkaElvis 14.05.2017 - 21:59
fuente

1 respuesta

3

Está buscando la opción VHOST . Como sabrá, cuando alquila algunos servicios de alojamiento web, puede elegir entre un servidor dedicado y uno compartido (que es mucho más barato)

  • En los servidores compartidos, estás compartiendo la misma máquina con personas aleatorias. Significa que los sitios web alojados en un servidor compartido compartirán la misma dirección IP. Por eso necesita escribir la opción de host virtual, especificará qué nombre de dominio desea consultar en esta dirección IP.

  • En servidores dedicados, puede configurar la máquina de la forma que desee. Con o sin hosts virtuales.

Puede determinar la presencia del host virtual con el comando host en su distribución de Linux: 

┌──[13:33:43]─[root@attack3r]
└──> ~ $ >> host target-website.com
   target-website.com has address 49.49.49.49
┌─[13:34:21]─[root@attack3r]
└──> ~ $ >> host 49.49.49.49
   49.49.49.49.in-addr.arpa domain name pointer www.host-service-provider.com

En el ejemplo anterior, al resolver tanto la IP como target-website.com puede determinar:

  • El sitio web de destino apunta a 49.49.49.49

  • 49.49.49.49 apunta al nombre de dominio del proveedor del servicio de host

En este ejemplo, target-website.com es un host virtual en 49.49.49.49. De lo contrario, la búsqueda de IP debería devolver target-website.com, no el nombre de dominio del proveedor de servicios.

Tenga en cuenta que hay algunas excepciones, por ejemplo, intente hacer la misma operación con security.stackexchange.com

Pruebas sin VHOST

  • use auxiliary/scanner/http/wordpress_xmlrpc_login
  • set RHOSTS 49.49.49.49
  • set TARGETURI /wp/
  • set USERNAME root
  • set PASSWORD toor
  • run

Salida 

[*] 49.49.49.49:80    :/wp/xmlrpc.php - Sending Hello...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[-] XMLRPC is not enabled! Aborting
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

Añadiendo VHOST

  • set VHOST target-website.com
  • run

salida 

[*] 49.49.49.49:80    :/wp/xmlrpc.php - Sending Hello...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[+] 49.49.49.49:80   - XMLRPC enabled, Hello message received!
[*] Starting XML-RPC login sweep...
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
|R-chain|-<>-127.0.0.1:9050-<><>-49.49.49.49:80-<><>-OK
[-] 49.49.49.49:80   - Failed: 'root:toor'
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

editar: respondiendo comentarios

sí lo hace:

    
respondido por el Baptiste 14.03.2018 - 07:25
fuente

Lea otras preguntas en las etiquetas

Está bien en 2017: ¿cuál es la política de contraseñas recomendada más reciente? ¿Los certificados X.509v3 evitan los ataques MITM en SSH?