metasploit tiene una gran cantidad de módulos que permiten comprobar la seguridad y fortaleza de un gran número de servicios y aplicaciones. En este caso vamos a ver cómo poder comprobar la fortaleza de tomcat y para ello emplearemos el módulo tomcat_mgr_login. Recordar que sólo nos interesa saber si hay una brecha de seguridad en combinaciones de usuario + contraseña, no aprovecharla, así que nos ponemos a trabajar.
Aquí hay que decir que es importante tener unos ficheros de usuarios y contraseñas buenos, ya que los que trae por defecto, no suelen funcionar.
msf> use auxiliary/scanner/http/tomcat_mgr_login
msf auxiliary(tomcat_mgr_login)> info
Name: Tomcat Application Manager Login Utility
Module: auxiliary/scanner/http/tomcat_mgr_login
Version: 14871
License: Metasploit Framework License (BSD)
Rank: Normal
Provided by:
MC <mc@metasploit.com>
Matteo Cantoni <goony@nothink.org>
jduck <jduck@metasploit.com>
Basic options:
Name Current Setting
---- ---------------
BLANK_PASSWORDS true
BRUTEFORCE_SPEED 5
PASSWORD
PASS_FILE data/wordlists/tomcat_mgr_default_pass.txt
Proxies
RHOSTS
RPORT 8080
STOP_ON_SUCCESS false
THREADS 1
URI /manager/html
USERNAME
USERPASS_FILE data/wordlists/tomcat_mgr_default_userpass.txt
USER_AS_PASS true
USER_FILE data/wordlists/tomcat_mgr_default_users.txt
VERBOSE true
VHOST
Description:
This module simply attempts to login to a Tomcat Application Manager
instance using a specific user/pass.
References:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-3843
http://www.osvdb.org/60317
http://www.securityfocus.com/bid/37086
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-4189
http://www.osvdb.org/60670
http://www.zerodayinitiative.com/advisories/ZDI-09-085/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-4188
http://www.securityfocus.com/bid/38084
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-0557
http://www-01.ibm.com/support/docview.wss?uid=swg21419179
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-4094
http://www.zerodayinitiative.com/advisories/ZDI-10-214/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-3548
http://www.osvdb.org/60176
http://www.securityfocus.com/bid/36954
http://tomcat.apache.org/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0502
Ahora lo configuramos correctamente,
msf auxiliary(tomcat_mgr_login)> set STOP_ON_SUCCESS false msf auxiliary(tomcat_mgr_login)> set RHOSTS 192.168.1.21 msf auxiliary(tomcat_mgr_login)> set RPORT 80 msf auxiliary(tomcat_mgr_login)> USER_AS_PASS true msf auxiliary(tomcat_mgr_login)> USERPASS_FILE /tmp/user-pass.txt
Una vez que ya está configurado, simplemente es cuestión de dejarlo ejecutando. Puesto que nos interesa una auditoría completa del tomcat, aunque encuentre un usuario con credenciales válidas no nos interesa que pare. La ejecución puede llevar un tiempo, en función de vuestras combinaciones.
msf auxiliary(tomcat_mgr_login)> run [*] 192.168.1.21:80 TOMCAT_MGR - Trying username:'admin' with password:'' [-] 192.168.1.21:80 TOMCAT_MGR - /manager/html [Apache-Coyote/1.1] [Tomcat Application Manager] failed to login as 'admin' [*] 192.168.1.21:80 TOMCAT_MGR - Trying username:'manager' with password:'' [-] 192.168.1.21:80 TOMCAT_MGR - /manager/html [Apache-Coyote/1.1] [Tomcat Application Manager] failed to login as 'manager' [*] 192.168.1.21:80 TOMCAT_MGR - Trying username:'role1' with password:'' [-] 192.168.1.21:80 TOMCAT_MGR - /manager/html [Apache-Coyote/1.1] [Tomcat Application Manager] failed to login as 'role1' [*] 192.168.1.21:80 TOMCAT_MGR - Trying username:'root' with password:'' [-] 192.168.1.21:80 TOMCAT_MGR - /manager/html [Apache-Coyote/1.1] [Tomcat Application Manager] failed to login as 'root' [*] 192.168.1.21:80 TOMCAT_MGR - Trying username:'tomcat' with password:'' ...
Una vez finalizadas todas las iteraciones tendremos un listado de todos los usuarios válidos para hacer login, en caso de que los hubiese. Lo idea, que no los haya, así que si os sale alguno, corregirlo rápidamente.
No hay comentarios :
Publicar un comentario