• XSS.stack #1 – первый литературный журнал от юзеров форума

нужна помощь в пентестинге внутри хостинга

Отслеживать

ilqar200

RAID-массив
Пользователь
Регистрация
19.02.2022
Сообщения
70
Реакции
5
Здравствуйте.Делаю пентест одного сервера внутри хостинг-провайдера. Эксплуатировав уязвимость в одном из сервисов я получил root доступ на одном из серверов этого хостинг-провайдера. Мне надо получить доступ к машине в другой сети этого хостинг-провайдера.traceroute показывает мне вот такой маршрут от уязвимый машины до нужной мне машины. (Вместо цифр внешних ip адресов буквы а внутренние ip адреса как есть.) :

traceroute to a.b.c.d (a.b.c.d), 30 hops max, 60 byte packets
1 gateway (192.168.1.1) 0.728 ms 1.184 ms 1.157 ms
2 a.b.e.f (a.b.e.f) 2.191 ms 2.175 ms 2.144 ms
3 172.16.2.51 (172.16.2.51) 3.755 ms 3.694 ms 3.713 ms
4 w.x.y.z (w.x.y.z) 4.859 ms 4.974 ms 4.758 ms
5 a.b.g.h 10.583 ms 6.517 ms 6.509 ms
6 a.b.с.d (a.b.c.d) 8.565 ms 7.662 ms 7.481 ms

Во внутренней сети вместе с уязвимой машиной находиться узлы с ip адресами из диапазона 192.168.1.0/24,172.16.0.0/12,10.0.0.0/8. Примерное количество узлов в этой внутренней сети 200. Это и серверы и роутеры и т.д девайсы. Но не в этом суть. Мне нужно попасть на машину с ip адресом a.b.c.d . Узнал с помощью скана nmap что ip адрес 192.168.1.1 это устройство Palo Alto (файрволл) и версия Pan-Os там уязвимая.Веб интерфейс этого файрволла извне доступен но не доступен во внутренней сети где находиться уязвимая машина. Скан этого устройство во внутренней сети показывает : All 1000 scanned ports on 192.168.1.1 are in ignored states.Взломанная машина это виртуальная машина Vmware .Версия Vmware 11.0.5.17716. Некоторые другие машины во внутренной сети тоже виртуальные машины Vmware. Есть машины в этой сети в которым есть сервера Vmware.

Так вот вопросы:

1)Как можно вообще дойти в данном ситуации из взломанной машины до нужной машины уже в другой сети ?
2)Кажется мне что нужно взломать этот файрволл . Или можно без взлома этого файрволла как то дойти до промежуточных сетей и из этих промежуточных сетей дойти уже до нужной машины ?
3) Что нужно дальше сделать после успешного взлома файрволла ?
4)Если попытаться взломать Vmware в уязвимой машине поможет ли это в достижении цели ? Ест ли разница из какой машины атакавать : из хостовой или из гостевой ?

Спасибо за ответы.
 
habr.com

ÐÑодвинÑÑое ÑÑннелиÑование: аÑакÑем внÑÑÑенние ÑÐ·Ð»Ñ ÐºÐ¾ÑпоÑаÑивной ÑеÑи

 РÑÑой ÑÑаÑÑе бÑдÑÑ ÑаÑÑмоÑÑÐµÐ½Ñ ÑÑенаÑии аÑаки заÑиÑеннÑÑ ÑегменÑов коÑпоÑаÑивной ÑеÑи Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ pivoting-ÑеÑник, metasploit framework и proxychains. ÐногоÑÐ»Ð¾Ð¹Ð½Ð°Ñ ÑеÑÐµÐ²Ð°Ñ Ð°ÑÑиÑекÑÑÑа ÑоздаеÑÑÑ Ð´Ð»Ñ...
habr.com habr.com
 
n1s сказал(а):
habr.com

ÐÑодвинÑÑое ÑÑннелиÑование: аÑакÑем внÑÑÑенние ÑÐ·Ð»Ñ ÐºÐ¾ÑпоÑаÑивной ÑеÑи

 РÑÑой ÑÑаÑÑе бÑдÑÑ ÑаÑÑмоÑÑÐµÐ½Ñ ÑÑенаÑии аÑаки заÑиÑеннÑÑ ÑегменÑов коÑпоÑаÑивной ÑеÑи Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ pivoting-ÑеÑник, metasploit framework и proxychains. ÐногоÑÐ»Ð¾Ð¹Ð½Ð°Ñ ÑеÑÐµÐ²Ð°Ñ Ð°ÑÑиÑекÑÑÑа ÑоздаеÑÑÑ Ð´Ð»Ñ...
habr.com habr.com
Спасибо за статью. Прочту и буду думать как дальше двигаться .
 
n1s сказал(а):
habr.com

ÐÑодвинÑÑое ÑÑннелиÑование: аÑакÑем внÑÑÑенние ÑÐ·Ð»Ñ ÐºÐ¾ÑпоÑаÑивной ÑеÑи

 РÑÑой ÑÑаÑÑе бÑдÑÑ ÑаÑÑмоÑÑÐµÐ½Ñ ÑÑенаÑии аÑаки заÑиÑеннÑÑ ÑегменÑов коÑпоÑаÑивной ÑеÑи Ñ Ð¿Ð¾Ð¼Ð¾ÑÑÑ pivoting-ÑеÑник, metasploit framework и proxychains. ÐногоÑÐ»Ð¾Ð¹Ð½Ð°Ñ ÑеÑÐµÐ²Ð°Ñ Ð°ÑÑиÑекÑÑÑа ÑоздаеÑÑÑ Ð´Ð»Ñ...
habr.com habr.com
Прочел статью . То что там написано я уже сделал до прочтения. Я же написал что я нашел примерно 200 узлов во внутренней сети. Я все эти узлы уже сканировал с nmap. Я даже взломал некоторые из них в котором стоит ОС Windows . Но все эти узлы это по видимому принадлежат одной компании . Назовем эту Компания-1. Эта Компания-1 клиент хостинг-провайдера. Мне нужно взломать сервер ДРУГОЙ Компании который НЕ имеет отношение к Компании-1 и который тоже является клиентом этого хостинг-провайдера . Censys показывает что координаты сервера который мне нужно взломать и координат сервера который я уже взломал один и тот же. Censys также показывает что в хостинг-провайдере есть примерно 4800 подключенных узлов и примерно половина из-них имеет общие координаты с сервером которую я хочу взломать . Возможно ли дойти до нужного мне сервера ДРУГОЙ Компании из сети компании которую я назвал Компания-1 ?
 
ilqar200 сказал(а):
Прочел статью . То что там написано я уже сделал до прочтения. Я же написал что я нашел примерно 200 узлов во внутренней сети. Я все эти узлы уже сканировал с nmap. Я даже взломал некоторые из них в котором стоит ОС Windows . Но все эти узлы это по видимому принадлежат одной компании . Назовем эту Компания-1. Эта Компания-1 клиент хостинг-провайдера. Мне нужно взломать сервер ДРУГОЙ Компании который НЕ имеет отношение к Компании-1 и который тоже является клиентом этого хостинг-провайдера . Censys показывает что координаты сервера который мне нужно взломать и координат сервера который я уже взломал один и тот же. Censys также показывает что в хостинг-провайдере есть примерно 4800 подключенных узлов и примерно половина из-них имеет общие координаты с сервером которую я хочу взломать . Возможно ли дойти до нужного мне сервера ДРУГОЙ Компании из сети компании которую я назвал Компания-1 ?
Как ты заметил, вы находитесь в разных вланах, доступы в другие вланы, я так понял перекрыты.
Немного не понял в пальто у тебя откуда доступ есть? что значит из вне? если ты его можешь взломать, смотри там правила межсетевого экранирования. Но там еще цепочка ведь по маршруту, и на каждом возможно нужно править правила
 
В Palo alto у меня есть доступ к web-интерфейсу из интернета из домашнего пк. А в внутренней сети доступ закрыт к palo alto но пингуеться. В внутренней сети это 192.168.1.1 . А извне то есть через инет ip palo alto : a.b.e.k. То есть 2-ой узел из маршрута и palo alto видеться censys-ом как узлы сети a.b.e.0/24.При скане 192.168.1.1 nmap показывает что все от 1000 портов нету ответа. Но извне 25 порт открыть . Я не понимаю как извне порты 25 и 443 открыты а внутри нет . Как это может быть ? в узле a.b.e.f как показывает nmap из 1000 портов никакого ответа тоже нет а из udp портов открыты только 123 и 161. Дальше идет внутренний ip адрес 172.16.2.51. А у этого узла открыть порть из tcp 22.udp не сканировал. По-моему это последний узел из которого покидает пакет сети Компании-1. Дальше идет w.x.y.z. Этот узел я не сканировал Nmap-ом а Censys показывает нет публичных сервисов у этого узла. Дальше идет a.b.g.h . Этот узел тоже Censys показывает как нету публичных сервисов и nmap-ом я не сканировал. Единственное что об этом узле: в имени узла написано имя хостинг-провайдера-gateway-internet.xx-xx.net. xx-xx.net при перехода с браузера требует авторизации.И дальше по маршруту идет уже нужный мне сервер a.b.c.d.
Можно ли вообще попасть из сети Компании-1 на нужный мне сервер ? Если можно то как это сделать (примерное направление действий ) ?
Спасибо.
 
grupenfurer сказал(а):
Как ты заметил, вы находитесь в разных вланах, доступы в другие вланы, я так понял перекрыты.
Немного не понял в пальто у тебя откуда доступ есть? что значит из вне? если ты его можешь взломать, смотри там правила межсетевого экранирования. Но там еще цепочка ведь по маршруту, и на каждом возможно нужно править правила
https://xss.pro/threads/81528/post-565883
 
ilqar200 сказал(а):
В Palo alto у меня есть доступ к web-интерфейсу из интернета из домашнего пк. А в внутренней сети доступ закрыт к palo alto но пингуеться. В внутренней сети это 192.168.1.1 . А извне то есть через инет ip palo alto : a.b.e.k. То есть 2-ой узел из маршрута и palo alto видеться censys-ом как узлы сети a.b.e.0/24.При скане 192.168.1.1 nmap показывает что все от 1000 портов нету ответа. Но извне 25 порт открыть . Я не понимаю как извне порты 25 и 443 открыты а внутри нет . Как это может быть ? в узле a.b.e.f как показывает nmap из 1000 портов никакого ответа тоже нет а из udp портов открыты только 123 и 161. Дальше идет внутренний ip адрес 172.16.2.51. А у этого узла открыть порть из tcp 22.udp не сканировал. По-моему это последний узел из которого покидает пакет сети Компании-1. Дальше идет w.x.y.z. Этот узел я не сканировал Nmap-ом а Censys показывает нет публичных сервисов у этого узла. Дальше идет a.b.g.h . Этот узел тоже Censys показывает как нету публичных сервисов и nmap-ом я не сканировал. Единственное что об этом узле: в имени узла написано имя хостинг-провайдера-gateway-internet.xx-xx.net. xx-xx.net при перехода с браузера требует авторизации.И дальше по маршруту идет уже нужный мне сервер a.b.c.d.
Можно ли вообще попасть из сети Компании-1 на нужный мне сервер ? Если можно то как это сделать (примерное направление действий ) ?
Спасибо.
у маршрутизатора много сетевых интерфейсов, в инет смотрит 1, в локалку другой, соответственно и открытые порты ты разные видишь, если вообще это одно и то же устройство. Сканирование нмапом почему только по 1000 портам?
Я так понял ты сам находишься в том же сегменте сети, где и ломать что то пытаешься? выйти из этого сегмента не получится, если не будет доступа к межсетевому экрану
 
grupenfurer сказал(а):
с буквами твоими не очень понятно частные или публичные адреса там, но я так понял ты пытаешься, через Censys искать адреса из локалки? )
Что не понятно ? Вроде объяснил правильно . Нет я не ищу локальные адреса из Censys. Я знаю что такое публичный и локальный адрес. Я исползую Censys тоже. Информация лишней не бывает. С помощью Censys нашел веб-интерфейс Palo Alto.
 
grupenfurer сказал(а):
у маршрутизатора много сетевых интерфейсов, в инет смотрит 1, в локалку другой, соответственно и открытые порты ты разные видишь, если вообще это одно и то же устройство. Сканирование нмапом почему только по 1000 портам?
Я так понял ты сам находишься в том же сегменте сети, где и ломать что то пытаешься? выйти из этого сегмента не получится, если не будет доступа к межсетевому экрану
Ну ладно просканирую все порты. Хотя не знаю что из этого выйдет . Я нахожусь в сегменте сети Компании-1.Взломать пытаюсь сервер из сети Компании-2 . Оба эти компании клиенты Хостинг-Провайдера .Внешний ip взломанной мною машины a.b.e.l а внутренний ip 192.168.1.19 . Я обозначаю как я сказал цифры внешних ip адресов буквами . Одно буква равно одному цифре в ip. То есть вот так :
a.b.e.l - это я
a.b.e.k - это Palo Alto
a.b.e.f - Это 2-ой узел в маршруте
w.x..y.z - это уже другой узел не из сегмента a.b.0.0/16
a.b.g.h - это узел из сегмента a.b.0.0/16
a.b.c.d -это нужная мне машина тоже из сегмента a.b.0.0/16

Значить этот Palo Alto дорога в Компанию-2 ?
 
grupenfurer сказал(а):
у маршрутизатора много сетевых интерфейсов, в инет смотрит 1, в локалку другой, соответственно и открытые порты ты разные видишь, если вообще это одно и то же устройство. Сканирование нмапом почему только по 1000 портам?
Я так понял ты сам находишься в том же сегменте сети, где и ломать что то пытаешься? выйти из этого сегмента не получится, если не будет доступа к межсетевому экрану
устройство 192.168.1.1 и a.b.e.k это должно быть одним и тем же устройством. Потому что при скане nmap-ом 192.168.1.1 он показал mac адрес (Palo Alto Networks ) а Censys показывает в ip адресе a.b.e.k открыть web интерфейс palo-alto и мой внешний ip a.b.e.l. то есть это ip взломанной мною машину.

Надеюсь что хорошо объяснил.
 
подскажи еще, как ты определил, что 192.168.1.1 этот тот же полоальто, что ты нашел снаружи?

п.с. пока писал, ответ уже появился

хотя вообще не факт, маки разные будут у разных интерфейсов, там возможно вся сеть на поло альто построена.

у тебя нужная машина имеет внешний ip адрес(как я понял), ты с внешки трасероут делал? есть пересечения?
 
grupenfurer сказал(а):
подскажи еще, как ты определил, что 192.168.1.1 этот тот же полоальто, что ты нашел снаружи?

п.с. пока писал, ответ уже появился

хотя вообще не факт, маки разные будут у разных интерфейсов, там возможно вся сеть на поло альто построена.

у тебя нужная машина имеет внешний ip адрес(как я понял), ты с внешки трасероут делал? есть пересечения?
я сделал traceroute с взломанной мною машины то есть из a.b.e.l . внутренней ip адрес которого 192.168.1.19.

Вообщем дорога в компанию-2 это palo alto ?
 
Сделал traceroute до нужной мне машины Компании-2 с 2-ой взломанной машины внутри сети Компании-1 . Эта машина с Windows 2008 Server :
1 <1 ms <1 ms <1 ms [172.30.0.1]
2 1 ms 1 ms 1 ms a.b.e.f
3 2 ms 2 ms 2 ms 172.16.2.51
4 3 ms 2 ms 2 ms w.x.y.z
5 3 ms 2 ms 2 ms имя хостинг-провайдера-gateway-internet.xx-xx.net. [a.b.g.h]
6 3 ms 2 ms 2 ms a.b.с.d
То есть тот же маршрут но уже файрвол Palo Alto отсутствует. Вместо него узел 172.30.0.1 . Просканил nmap-ом этот ip . Nmap показал открытые порты 22,443,4443 .
 
Сделав пивот на эту машину увидел в веб-интерфейсе что это опять устройство Palo Alto передо мной ) Но уже с доступом через внутренний сеть . Вообщим 172.30.0.1 это тоже Palo Alto и та же версия . Посмотрю как можно взломать этот Palo Alto )
 
Нашел вот интересный материал :
https://troopers.de/media/filer_pub...-4f83-b4ac-8c620666a60a/paloalto_troopers.pdf

Здесь описывается методы атаки на устройство PA-500 в котором установлено Pan-OS старый версии 8.1 . Эта версия как раз таки подходить мне . Может и девайс то же тот. Прочту и попробую эксплуатировать.
 
Не получилось эксплуатировать с помощью мануала. Попробовал атаку-запрос на api с помощью burp но ответ не пришел . Dos не нужен мне. А вот атаку на GlobalProtect не понял. Может кто прочел мануал и понял пишите как эксплуатировать.
Смотрю CVE лист . В этом Palo Alto много багов а работающих эксплоитов нет. Один эксплоит нашел вот ссылка :
https://github.com/securifera/CVE-2019-1579
Попробовал опять промах . Эксплоит требует что в таргете была SCEP профиль . Видно у моего таргета нету . Обидно (

Попробую что-нибудь еще сделать.
 
Нашел другой маршрут атаки . Та же количество узлов от взломанный машины до нужного сервера. На этот раз в роли фаервола выступает Fortinet . Скажите зачем нужно взломать фаервол чтобы добраться до нужного мне сервера ?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх