Supongamos que hay tres máquinas siguientes en la red:
Máquina A:
Microsoft Server 2003 Service Pack 2
FileZilla 0.9.29 servidor ftp beta (TCP 21)
Servidor Mcafee ePolicy (81), escritorio remoto (3389), otro servidor McAfee (8081), DNS (UDP 53), Kerberos-sec (abierto o filtrado UDP 88), ntp (UDP 123), snmp (abierto o filtrado UDP 161), ldap (UDP abierto o filtrado 389), mssql-m (UDP 1434), similar a HTTP desconocido (UDP 1035)
Los puertos restantes van así:
464/udp open|filtered kpasswd5
500/udp open|filtered isakmp
1030/udp open|filtered iad1
1033/udp open|filtered netinfo-local
1040/udp open|filtered netarx
1041/udp open|filtered danf-ak2
1046/udp open|filtered wfremotertm
1048/udp open|filtered neod2
1051/udp open|filtered optima-vnet
1434/udp open ms-sql-m
4500/udp open|filtered nat-t-ike
La recursión de DNS está habilitada, ntp también presenta información de tiempo. SNMP muestra la respuesta de tiempo de espera a las consultas de fuerza bruta. (Se desconoce si está abierto o no. MSSQL está activo.
Máquina B: FreeBSD 7.0 (probablemente 7.0-RELEASE) FreeBSD ftpd 6.00LS (el acceso de escritura anónimo a un directorio / entrante está habilitado) servidor (TCP 21), SSH (22), dedo (79), HTTP (80) con seguimiento habilitado, CVS pserver (2401), MySQL (3306) , tftp (UDP 69), syslog (UDP 514)
El servidor HTTP tiene Apache 2.2.XX con drupal cms habilitado en / cms. Obtuve un shell de usuario "www" utilizando la vulnerabilidad de drupal. El shell tiene acceso de escritura a / tmp y acceso de lectura a todos los directorios (aunque no a todos los archivos).
Máquina C: Servidor FTP (21) con rebote FTP disponible.
Supongamos que tengo acceso de administrador o raíz a la Máquina C y a la Máquina A. (en el caso de la Máquina A, la descifré utilizando la vulnerabilidad de Epolicy)
¿Cómo podría usar estas máquinas + el shell "www" de la máquina B para obtener el acceso de raíz a la Máquina B? (Tenga en cuenta que hubo límites de tiempo, por lo que aunque obtuve el shell raíz de la máquina A y la máquina C, no pude verificar todos los puertos de la máquina A).
Las preguntas serían las siguientes:
-
Hice un escaneo de nmap usando
--sC, ¿y esto significa que el escáner de nmap usa el rebote de FTP para escanear puertos en otras máquinas? -
Si no, ¿cómo se utilizaría el rebote de FTP para atacar a otras máquinas?
-
Reduciendo los ámbitos, ¿cómo se usaría la recursión de DNS para atacar a la Máquina B? ¿No es esto ayuda?
-
Parece que nmap puede recuperar cierta información de mssql usando su nse. ¿Cómo podré acceder al servidor mssql usando Backtrack? Los recursos de Internet son un poco desordenados.
-
Si ldap en la máquina A está abierto, ¿cómo ayudaría esto a atacar a la Máquina B?
-
¿Ntp y finger serían de alguna ayuda? (Sé lo que puede hacer el dedo; pero ¿se puede usar para obtener acceso a la raíz en la máquina B directamente?)
-
En este caso, ¿SSH puede ayudar al ataque?
-
¿Cómo podré acceder al servidor mysql en la máquina B, freeBSD?
-
Según exploit-db, aunque no estoy seguro del número de versión de CVS pserver (Máquina B), hay un exploit que ataca cvs pserver y parece que necesito una contraseña para el usuario "www". ¿Habría alguna forma de averiguarlo sin forzar y recurrir a la cuenta de root?
-
¿Habría alguna forma de cargar programas setuid para que yo lo use para obtener acceso de root en la máquina B?