Unc1e
Unc1e
Rsync认证方式分析(附爆破脚本)

文章链接在此

Rsync认证方式分析(附爆破脚本)

某次渗透中遇到了rsync,是带密码的,虽然已经有爆破脚本了(例如cdxy前辈在POC-T框架中写的这一个),但前辈的脚本是py2的, 于是想着改写成py3,没想到还顺便分析了一下rsync的认证方式。下面就简单记录一下

流量分析

使用上面的命令抓包,分析一下连接rsync时的流量信息, 发现在正常返回rsync版本信息后, 无非这么几种可能性: 数据为空、限制访问IP、未授权下载、需要密码访问,下面逐个进行分析

1. 数据为空.

建立TCP连接后, 服务器首先响应版本信息, 后续无路径或其它信息.
命令行如下

对应的流量信息如下图

https://cdn.nlark.com/yuque/0/2020/png/166008/1604568723228-d3f4a207-305b-4712-abfd-a13616854a65.png#align=left&display=inline&height=395&margin=%5Bobject%20Object%5D&originHeight=395&originWidth=638&status=done&style=none&width=638

2. 限制访问IP

服务器对连接rsync服务的IP做了限制,提示@ERROR: access denied
命令行如下

对应的数据包如图

https://cdn.nlark.com/yuque/0/2020/png/166008/1604568723274-47426d98-60d7-49de-b571-5be4d49bcb62.png#align=left&display=inline&height=569&margin=%5Bobject%20Object%5D&originHeight=569&originWidth=1901&status=done&style=none&width=1901

3. 未授权(查看/下载)文件

无需密码即可查看或下载文件
命令行如下:

服务器返回版本信息后, 后续有文件的路径信息. 还有一些rsync服务器本身的信息

https://cdn.nlark.com/yuque/0/2020/png/166008/1604568723320-0bda5e11-61e0-4bbf-9b2b-d45db246f89e.png#align=left&display=inline&height=1044&margin=%5Bobject%20Object%5D&originHeight=1044&originWidth=3286&status=done&style=none&width=3286

这里补充一下cross_framing_protection.js的内容

4. 需要密码才能访问文件

访问文件需要密码. 此处以某个需要密码rsync的服务器为例, 登录需要密码, 为了分析它密码的传输方式, 我们输入123123456

对应的数据包信息如下图

https://cdn.nlark.com/yuque/0/2020/png/166008/1604568723387-21a32cd7-ecbf-429e-b34e-25208bb04bff.png#align=left&display=inline&height=985&margin=%5Bobject%20Object%5D&originHeight=985&originWidth=981&status=done&style=none&width=981

为了方便各位分析它的加密方式,我这里也是将其拷贝到下面。

那么我们来分析一下rsync密码的加密方式。

加密方式分析

通过相关资料我们了解到, rsync采用的是md5加密,
最终通过抓包分析, 确定rsync 31.0版本也是采用的md5 challenge加密, 跟30.0一样

https://cdn.nlark.com/yuque/0/2020/png/166008/1604568723531-e5e5ca47-5f2c-4d99-a98d-611bf0a879f2.png#align=left&display=inline&height=491&margin=%5Bobject%20Object%5D&originHeight=491&originWidth=673&status=done&style=none&width=673

拿到了原文和发送过程中的密文,就可以着手分析加密方式了, 经过分析, 其实加密方式不难

爆破脚本

核心代码如下:代码已经上传至github, 地址: https://github.com/hi-unc1e/some_scripts/blob/master/EXPs/rsync_weakpass.py

没有标签
首页      WEB安全      Rsync认证方式分析(附爆破脚本)

发表评论

textsms
account_circle
email

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

Unc1e

Rsync认证方式分析(附爆破脚本)
文章链接在此 Rsync认证方式分析(附爆破脚本) 某次渗透中遇到了rsync,是带密码的,虽然已经有爆破脚本了(例如cdxy前辈在POC-T框架中写的这一个),但前辈的脚本是py2的, 于是想着…
扫描二维码继续阅读
2020-10-30
%d 博主赞过: