RareGaZz nº19:(rgz_0C):27/03/2002 << Back To RareGaZz nº 19
: :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: : : : : RGZ_0C Red Cientifica Peruana y YO Cracking ReYDeS : :.:..:...:....:.....:......:.......:........:.........:..........: : : :::: -> Pulgar. 1. Unas palabras. 2. El objetivo. 3. Como ingresar?. 4. Estamos dentro!. 5. Descubriendo. 6. Saliendo. 7. Final. -> Los datos del texto pueden haber sido MANIPULADOS maliciosamente <- 1. Unas palabras: El presente texto, narra el ingreso a un servidor de la Red Cientifica Peruana; cabe acotar que este servidor NO existe ahora en su forma expuesta en el presente texto. NO pretendo insitar a nadie a hacer algo parecido a lo que muestro. El ingreso a un servidor sin autorizacion es 'ilegal' y ni que decir a lo que conlleva la manipulacion, substraccion y un largo etc. de datos. Cada uno es libre de hacer y pensar lo que desee. Esto ocurrio hace casi TRES a~os atras... 2. El Objetivo: En aquellas epocas ya habia 'estudiado' a la mayoria de servidores de la Universidad en la cual estudiaba; era el momento de ir por un objetivo 'grande'; la curiosidad por utilizar un sistema UNIX, me tenia intranquilo. Lo unico que sabia de este servidor, era eso mismo, que era algun 'Unix' y que su seguridad 'tenia' que ser Maxima, por la importancia de este servidor. Poco tiempo tuvo que pasar para demostrarme lo contrario. 3. Como ingresar? Como dije; teoricamente era un servidor seguro; y de hecho, externamente parecia serlo. Empeze por seguir los 'clasicos' pasos para una 'auditoria' de un servidor; buscar versiones, demonios, servicios, usuarios, cgis, etc; en el transito de esa investigacion; olvide lo simple. Y que era lo simple?. Buscar algun archivo 'sensible' en la intranet en que se encontraba ese servidor. Sorprendido quede un dia al 'rebuscar' entre cientos de archivos, compartidos por maquinas win* y su estupenda caracteristica de 'Recursos Compartidos' sin contrase~a. Casi me caigo de mi asiento. :O) Nota 1: Tener buenas politicas de backup y no confiar archivos sensibles a maquinas win protegidas sin contrase~as o facilmente crackeables. Hablamos de hace 3 A~os, Aun NO existia el w2000, el NTFS no era muy extendido, y el Linux empezaba con furor. 4. Estamos dentro!: Es el momento de ingresar. Al que madruga, Dios le ayuda!, asi es que madrugue y me dirigi a un cybercafe o cabina de acceso a internet. Que mejor seguridad que dejar la IP de ellos?. Claro que necesitaba algun linux, y en aquella epoca, no era dificil encontrar algun sistema que me permitiera 'utilizarlo' para mi proposito. Trying 161.132.232.10... Connected to chanchan.unitru.edu.pe. Escape character is '^]'. Red Cientifica Peruana (Sistema Unix) login: Esto siempre es un dolor de cabeza!. Han notado que casi nunca o 'nunca', los textos que narran 'ingresos', NO os dicen el login y password?. Pues es momento de cambiar esto. login: eelitsa Password: Login incorrect login: kit Password: Login incorrect Tuve derecho a equivocarme, NO???. login: kits Password: kits ( NO recuerdo bien, pero estoy CASI seguro) Last login: Thu Mar 2 19:38:37 from 161.132.232.245 Sun Microsystems Inc. SunOS 5.6 Generic August 1997 Nota 2: El eterno ID = PASS; esto debe de ser desterrado; pero aun hoy, por increible que pueda resultar, existe; y aun lo constato. NULA existencia de algun mecanismo de proteccion externa, ningun tipo de control para conecciones foraneas o restringir el acceso. Manipulacion de algunos files en su /etc, podrian haber cambiado un poco el trancurrir de esta historia. NADA. 5. Descubriendo. Se que se estaran preguntado como es que consegui las claves para ingresar a este servidor. Es simple, si continuan leyendo y son habiles, se daran cuenta de ello, pues en una NOTA posterior lo comento. Fue la primera vez que estaba en un Sistema de este tipo y no fue nada dificil. Aqui voy a fusionar mis 2 ingresos a este servidor. kits >> finger Login Name TTY Idle When Where pquevedo Patricia Quevedo Mor pts/0 1:24 Fri 07:13 shorey.unitru.edu.pe rprada Robert Prada Marchen console 1:32 Mon 10:03 :0 eguarniz Elmer Guarniz Guarni pts/2 53 Fri 07:20 simbal.unitru.edu.pe wcg Wilder Castanheda Ga pts/3 Fri 08:56 161.132.232.22 jsanchez Jose A. Sanchez Llaj pts/10 9 Fri 08:47 sarin.unitru.edu.pe kits Kits RCP pts/11 Fri 08:56 127.0.0.1 No tengo porque 'censurar' la imformacion ni colocar asteriscos ni nada por el estilo. El primer ingreso lo realize con la cuenta 'kits'; que segun recuerdo era el encargado de dar soporte a 'kits' de conecciones para que las personas o entidades puediesen tener acceso a internet. Y vale el comentario, que sus tarifas NO eran muy bajas. Nota 3: Deshabilitar 'finger' era algo impensado en aquellas epocas. Ahora es una LEY, ningun servidor debe permitirse brindar este tipo de informacion. kits >> uname -a SunOS chanchan 5.6 Generic sun4m sparc SUNW,SPARCstation-4 kits >> w 8:57am up 6 day(s), 3 min(s), 6 users, load average: 0.28, 0.22, 0.18 User tty login@ idle JCPU PCPU what pquevedo pts/0 7:13am 1:26 10 -csh rprada console Mon10am 4days 2 /usr/dt/bin/sdt_shell -c unseten eguarniz pts/2 7:20am 55 5 3 /usr/local/bin/elm.pico wcg pts/3 8:56am 1 /usr/local/bin/elm.pico jsanchez pts/10 8:47am 10 /usr/local/bin/elm.pico rprada pts/7 Mon10am 25:53 4 2 /bin/csh rprada pts/9 Mon10am 1:33 18 /bin/csh rprada pts/8 Mon10am 4days 18 6 /bin/csh kits pts/11 8:56am w Aqui expongo un punto que 'ellos' consideraban de seguridad; pero poco sirvio y que pudo burlarse con un poco de astucia. Os dareis cuenta de la utilizacion de 'pico' y la minoria utilizando 'csh'. En este sistema solo algunas 'cuentas' tenian acceso a un shell; los demas se redirigian a un shell restringido; que no era mas que un script y un binario, con un simple menu de 3 opciones. Nota 4: La utilizacion de un shell 'restringido' es un metodo que aun se utiliza. Pero esto debe conllevar tambien a un buen seteo en los permisos de archivos y la no escalabilidad de directorios. Tener en consideracion ademas en los posibles 'problemas' a los que pueden conllevar los programas utilizados en ese shell 'restringido'. Es bien sabido que algunos programas permiten escapar a un shell o la ejecucion de comandos. Os pido disculpas si los listados resultan muy engorrosos, tratare de recortarlos a lo minimo. kits >> ls / drwxrwxrwt 7 sys sys 1705 Mar 31 08:59 tmp -rw------- 1 root root 255136 Mar 30 14:12 core drwxr-xr-x 24 root sys 3072 Mar 29 02:12 etc dr-xr-xr-x 6 root root 512 Mar 25 08:57 vol dr-xr-xr-x 1 root root 1 Mar 25 08:57 home dr-xr-xr-x 1 root root 1 Mar 25 08:57 net dr-xr-xr-x 1 root root 1 Mar 25 08:57 xfn drwxrwxr-x 17 root sys 3584 Mar 25 08:55 dev drwx------ 2 root other 512 Mar 12 13:12 Mail drwxrwxr-x 31 root sys 1024 Feb 3 09:26 usr drwxrwxr-x 20 root sys 512 Nov 29 10:10 var drwxr-xr-x 2 root nobody 512 Nov 29 09:04 cdrom drwxr-xr-x 2 root root 512 Nov 29 08:12 TT_DB drwxrwxr-x 5 root sys 512 Nov 29 07:59 devices drwxrwxr-x 4 root sys 512 Nov 29 07:50 opt drwxrwxr-x 2 root sys 512 Nov 29 07:49 export drwxrwxr-x 2 root sys 512 Nov 29 07:24 sbin drwxr-xr-x 3 root sys 512 Nov 29 07:19 platform drwxr-xr-x 9 root sys 512 Nov 29 07:18 kernel lrwxrwxrwx 1 root root 9 Nov 29 07:17 lib -> ./usr/lib drwxrwxr-x 2 root sys 512 Nov 29 07:17 mnt lrwxrwxrwx 1 root root 9 Nov 29 07:17 bin -> ./usr/bin drwx------ 2 root root 8192 Nov 29 07:12 lost+found drwxr-xr-x 12 rlent 15 512 Nov 27 18:49 usr2 Habia algunas cosas diferentes a los que yo estaba acostumbrado a ver en mi linux de cada dia. Un core?... Si un core. Provoca hacer un gdb --core=core? :). En aquella epoca era aun inexperto en estos temas, y tal vez esta 'historia' hubiese resultado mas interesante si le dedicaba mas tiempo a ello. Pase por alto examinar ese core. NO le preste mucha antencion. El tiempo apremia. Nota 5: Tener cuidado con los 'cores' y los programas que los generan. No se necesita ser muy docto, y vosotros sabeis a lo que puede conllevar el analisis y posterior 'explotacion' de esto; mas aun si los programas que los generaron permitiesen elevar los priviliegios de un usuario normal. -> Como dije anteriormente, fusionare mis 2 ingresos. Mi segundo ingreso, dias despues... Lo cual no significa que esto sea cronologico. <- login: leba Password: ( La clave NO la recuerdo ) Sun Microsystems Inc. SunOS 5.6 Generic August 1997 chanchan% Este tenia mas pinta de privilegiado. ;) chanchan% ls -atl | more total 661 dr-xr-xr-x 56 root root 16064 Apr 2 08:58 proc drwxrwxrwt 7 sys sys 1745 Apr 2 08:58 tmp drwxr-xr-x 24 root sys 3072 Apr 1 04:05 etc -rw------- 1 root root 255136 Mar 30 14:12 core dr-xr-xr-x 6 root root 512 Mar 25 08:57 vol -rw------- 1 root root 1028 Mar 25 08:57 .cpr_config dr-xr-xr-x 1 root root 1 Mar 25 08:57 home dr-xr-xr-x 1 root root 1 Mar 25 08:57 net dr-xr-xr-x 1 root root 1 Mar 25 08:57 xfn drwxrwxr-x 17 root sys 3584 Mar 25 08:55 dev drwxr-xr-x 12 root other 512 Mar 12 15:46 .dt drwxr-xr-x 26 root root 1024 Mar 12 15:45 . drwxr-xr-x 26 root root 1024 Mar 12 15:45 .. -rw------- 1 root other 102 Mar 12 15:45 .Xauthority -rw------- 1 root other 1036 Mar 12 13:18 .cpr_default drwx------ 2 root other 512 Mar 12 13:12 Mail drwxrwxr-x 31 root sys 1024 Feb 3 09:26 usr -rw-r--r-- 1 root other 123 Jan 7 13:02 .rhosts drwxrwxr-x 20 root sys 512 Nov 29 10:10 var drwxr-xr-x 2 root nobody 512 Nov 29 09:04 cdrom drwxr-xr-x 2 root root 512 Nov 29 08:12 TT_DB -rwxr-xr-x 1 root other 5111 Nov 29 08:12 .dtprofile drwxrwxr-x 5 root sys 512 Nov 29 07:59 devices drwxrwxr-x 4 root sys 512 Nov 29 07:50 opt drwxrwxr-x 2 root sys 512 Nov 29 07:49 export drwxrwxr-x 2 root sys 512 Nov 29 07:24 sbin drwxr-xr-x 3 root sys 512 Nov 29 07:19 platform drwxr-xr-x 9 root sys 512 Nov 29 07:18 kernel lrwxrwxrwx 1 root root 9 Nov 29 07:17 lib -> ./usr/lib drwxrwxr-x 2 root sys 512 Nov 29 07:17 mnt lrwxrwxrwx 1 root root 9 Nov 29 07:17 bin -> ./usr/bin drwx------ 2 root root 8192 Nov 29 07:12 lost+found drwxr-xr-x 12 102 15 512 Nov 27 18:49 usr2 drwxr-xr-x 2 root other 512 Mar 7 1997 .ssh Aqui llama mi atencion el archivo .rhosts; vosotros ya sabeis la historia y fama que tiene aunque cada vez menos, este dichoso archivo. No olvidar tambien los archivos de configuracion que aparecen alli. Me percato tambien que al 'core' podemos denominarlo un core 'fresco'; pues mi primer ingreso fue el 31; y segun se puede apreciar, la fecha en que se genero ese core, fue el 30. Ahora me dirijo hacia un directorio clasico; el /etc. chanchan% ls -atl | more total 748 prw------- 1 root root 0 Apr 2 08:56 utmppipe prw------- 1 root root 0 Apr 2 08:55 initpipe drwxr-xr-x 24 root sys 3072 Apr 1 04:05 . -rw-r--r-- 1 root root 5 Apr 1 04:05 syslog.pid -r-------- 1 root sys 17839 Mar 31 15:08 shadow -rw------- 1 root sys 0 Mar 31 15:08 .pwd.lock -r-------- 1 root sys 17839 Mar 31 15:08 oshadow -r--r--r-- 1 root other 56135 Mar 31 15:06 passwd Como ustedes Se~ores visitantes, pueden apreciar; los permisos de los archivos objetivo de cualquier 'cracker'; estan correctamente seteados para la epoca en cuestion. Pero... Como mencione antes... solo algunos 'usuarios' tenian un 'verdadero' shell, y la lectura del archivo passwd, me permite concentrarme en aquellos que lo tienen. drwxrwxr-x 2 root sys 512 Mar 31 13:37 rc3.d drwxrwxr-x 2 root sys 1024 Mar 31 13:35 init.d drwxr-xr-x 3 bin bin 512 Mar 25 08:57 saf -rw-r--r-- 1 root root 588 Mar 25 08:57 mnttab drwxr-xr-x 2 root sys 512 Mar 25 08:57 cron.d -rw-r--r-- 1 root root 0 Mar 25 08:57 .mnttab.lock -rw-r--r-- 1 root root 690 Mar 25 08:57 nsswitch.conf drwxr-xr-x 26 root root 1024 Mar 12 15:45 .. drwxrwxr-x 2 root sys 1024 Feb 28 21:13 rc2.d drwxrwxr-x 2 root sys 512 Jan 7 13:39 default -rwx------ 1 root other 7 Nov 29 12:19 sudoers -rw-r--r-- 1 root other 18510 Nov 29 11:41 shadow.o -rw-r--r-- 1 root other 58049 Nov 29 11:41 passwd.o Pero aqui SI que la C*G*RON! (reemplacese los '*' por 'a') :) Haber si entiendo SU logica; los archivos 'originales' y sensibles tienen los permisos correctamente seteados, pero los 'backups' de los mismos NO?. -rw-r--r-- Dios!... Porque!?... Why? Nota 6: Repito!. Tener cuidado con los permisos de los archivos. Debo decir algo mas?. Voy recortar este extenso listado... drwxr-xr-x 2 root sys 512 Nov 29 09:41 inet drwxrwxr-x 2 bin mail 512 Nov 29 09:41 mail -rw-rw-r-- 1 root sys 417 Nov 29 09:40 vfstab -rw-r--r-- 1 root root 10750 Nov 29 09:36 .obp_devices -r--r--r-- 1 root sys 2133 Nov 29 09:36 path_to_inst -r--r--r-- 1 root sys 2133 Nov 29 09:36 path_to_inst.old drwxr-xr-x 6 root sys 512 Nov 29 09:27 security -r--r--r-- 1 root sys 351 Nov 29 08:08 dgroup.tab -rw-r--r-- 1 root sys 931 Nov 29 08:08 power.conf -r--r--r-- 1 root root 1411 Nov 29 08:08 device.tab drwxrwxr-x 9 lp lp 512 Nov 29 08:08 lp Dr--r--r-- 1 root root 0 Nov 29 08:08 .name_service_door Drw-r--r-- 1 root root 0 Nov 29 08:08 .syslog_door -rw-r--r-- 1 root other 213 Nov 29 08:08 .sysIDtool.state -rw-r--r-- 1 root sys 8670 Nov 29 07:59 format.dat -rw-r--r-- 1 root root 9 Nov 29 07:59 nodename drwxrwxr-x 2 root sys 512 Nov 29 07:52 rc0.d -rw-r--r-- 1 root sys 997 Nov 29 07:50 driver_aliases -rw-r--r-- 1 root sys 2822 Nov 29 07:50 minor_perm -rw-r--r-- 1 root sys 1048 Nov 29 07:50 name_to_major lrwxrwxrwx 1 root root 18 Nov 29 07:49 chroot -> ../usr/sbin/chroot lrwxrwxrwx 1 root root 17 Nov 29 07:49 fuser -> ../usr/sbin/fuser lrwxrwxrwx 1 root root 16 Nov 29 07:49 link -> ../usr/sbin/link <--- cut --> -rw-r--r-- 1 root sys 686 Jul 15 1997 nsswitch.files -rw-r--r-- 1 root sys 2303 Jul 15 1997 ttydefs -r--r--r-- 1 bin bin 12095 Jul 15 1997 magic -rw-r--r-- 1 root sys 2855 Jul 15 1997 name_to_sysnum -rw-r--r-- 1 root other 5 May 26 1997 sshd.pid -rw-r--r-- 1 root other 855 May 26 1997 ssh_config -rw------- 1 root other 526 May 26 1997 ssh_host_key -rw-r--r-- 1 root other 330 May 26 1997 ssh_host_key.pub -rw-r--r-- 1 root other 125 Oct 10 1996 shells -rw-rw-r-- 1 root sys 1047 Jan 1 1970 inittab -rw-r--r-- 1 root sys 52 Jan 1 1970 motd -rw-r--r-- 1 root sys 773 Jan 1 1970 nscd.conf Con todos los archivos listados; puedo hacerme una idea general sobre este sistema; que utiliza, el proposito de este, sus 'mecanimos' de pseudo-seguridad, demonios, versiones, configuraciones, seteos, administracion, y un largo etc. Todo es cuestion de paciencia y tiempo; lo cual NO poseia en aquel entonces. Ahora lo siguiente: <-- cut --> -r-xr-xr-x 1 bin bin 71912 Jul 15 1997 talk -r-xr-xr-x 1 bin bin 37468 Jul 15 1997 daps -r-sr-xr-x 1 root bin 53308 Jul 15 1997 rdist -r-xr-sr-x 1 bin sys 52272 Jul 15 1997 netstat -r-xr-xr-x 1 bin bin 69728 Jul 15 1997 ftp -r-sr-xr-x 1 root bin 15808 Jul 15 1997 rlogin -r-sr-xr-x 1 root bin 8772 Jul 15 1997 rsh -r-sr-xr-x 1 root bin 20292 Jul 15 1997 rcp -r-xr-xr-x 1 bin bin 6088 Jul 15 1997 rwho -r-xr-xr-x 1 bin bin 5440 Jul 15 1997 whois -r-xr-xr-x 1 bin bin 21292 Jul 15 1997 finger -r-xr-xr-x 1 bin bin 5944 Jul 15 1997 rdate -r-xr-xr-x 1 bin bin 7228 Jul 15 1997 ruptime -r-xr-xr-x 1 bin bin 26796 Jul 15 1997 stty -r-x--s--x 1 bin mail 127540 Jul 15 1997 mailx Se aprecian muchos binarios con permiso 's', algo muy delicado a tomar en consideracion. Nota 7: Tener MUCHO cuidado con aquellos binarios cuya ejecucion se produce con permisos de otro usuario o grupo. Estos permitieron y aun permiten; gracias a las fallas de programacion que algunos de estos binarios poseen; explotarlos para elevar privilegios en el sistema. Turno de relajarse y ver que hace este sistema. > netstat | more TCP Local Address Remote Address Swind Send-Q Rwind Recv-Q State -------------------- -------------------- ----- ------ ----- ------ ------- chanchan.unitru.edu.pe.33216 chanchan.unitru.edu.pe.6000 32768 0 32768 0 ESTABLISHED chanchan.unitru.edu.pe.6000 chanchan.unitru.edu.pe.33216 32768 0 32768 0 ESTABLISHED localhost.33218 localhost.33211 32768 0 32768 0 ESTABLISHED localhost.33211 localhost.33218 32768 0 32768 0 ESTABLISHED localhost.33221 localhost.33220 32768 0 32768 0 ESTABLISHED localhost.33220 localhost.33221 32768 0 32768 0 ESTABLISHED chanchan.unitru.edu.pe.telnet shorey.unitru.edu.pe.1031 7756 0 8760 0 ESTABLISHED chanchan.unitru.edu.pe.telnet simbal.unitru.edu.pe.1060 7987 0 8760 0 ESTABLISHED chanchan.unitru.edu.pe.telnet sarin.unitru.edu.pe.1033 8710 0 8760 0 ESTABLISHED Tenemos 3 conecciones al puerto 'telnet' de este server; y si mal no recuerdo al 'finger' anterior, estan haciendo uso de 'pico' para revisar su correo. Tiene derecho, NO? chanchan.unitru.edu.pe.pop asy659.rcp.net.pe.1339 8760 8191 8760 0 ESTABLISHED Dejadme recordar!. Si la memoria NO me falla; esto debe ser un usuario que pago sus dolares por un acceso a internet; y que en aquellos momentos esta haciendo uso de su maravillosa cuenta 'pop'. :) chanchan.unitru.edu.pe.telnet localhost.24079 33580 0 8760 0 ESTABLISHED Si, asi es, ese soy yo. chanchan.unitru.edu.pe.telnet simbal.unitru.edu.pe.1136 7955 0 8760 0 ESTABLISHED chanchan.unitru.edu.pe.telnet 161.132.232.223.1026 8760 0 8760 0 ESTABLISHED chanchan.unitru.edu.pe.smtp math.unitru.edu.pe.1653 31744 0 8760 0 TIME_WAIT Oh!... mi estimado servidor 'math', si revisais RareGaZz 17, podeis enterarse de la historia de dicho servidor. chanchan.unitru.edu.pe.35748 relay1.rcp.net.pe.smtp 8760 0 8760 0 TIME_WAIT chanchan.unitru.edu.pe.35749 relay3.rcp.net.pe.smtp 8760 0 8760 0 TIME_WAIT chanchan.unitru.edu.pe.smtp relay1.rcp.net.pe.43791 8760 0 8760 0 TIME_WAIT Ahora el server y sus 'hermanos' se relacionan con sus puertos 'smtp'. Que viva el correo electronico! =) chanchan.unitru.edu.pe.smtp firebrick.entel.cl.16955 49152 0 8760 0 TIME_WAIT entel.cl? Chile?. Aprovechando que menciono a este pais -'Saludos a mi amigo Ocsic!'. :X chanchan.unitru.edu.pe.smtp 209.45.91.2.2341 8072 0 8760 0 TIME_WAIT Active UNIX domain sockets Address Type Vnode Conn Local Addr Remote Addr f5cef010 stream-ord f59446a0 0 /tmp/.X11-unix/X0 f5cef310 stream-ord 0 0 Ahora es turno de 'mirar' algunos archivos que resultan de especial interes: -> .rhosts opera.rcp.net.pe root opera.rcp.net.pe informix amauta.rcp.net.pe root uurcp1.rcp.net.pe root motupe.rcp.net.pe root Si mi memoria no me falla, esto permite una autentificacion mas directa con este servidor. Cuidado alli!. -> inetd.conf # #ident "@(#)inetd.conf 1.22 95/07/14 SMI" /* SVr4.0 1.5 */ # # # Configuration file for inetd(1M). See inetd.conf(4). # # To re-configure the running inetd process, edit this file, then # send the inetd process a SIGHUP. # # Syntax for socket-based Internet services: # <service_name> <socket_type> <proto> <flags> <user> <server_pathname> <args> # # Syntax for TLI-based Internet services: # # <service_name> tli <proto> <flags> <user> <server_pathname> <args> # # Ftp and telnet are standard Internet services. # ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd Era evidente el hecho que esto estuviese habilitado, sino como explicar mi presencia NO autorizada en este servidor? ;) # # Tnamed serves the obsolete IEN-116 name server protocol. # # name dgram udp wait root /usr/sbin/in.tnamed in.tnamed # # Shell, login, exec, comsat and talk are BSD protocols. # # LA SGTE LINEA NO DESHABILITARLA, GRACIAS. Enrique Vadillo - RCP Lima shell stream tcp nowait root /usr/sbin/in.rshd in.rshd Al leer la anterior linea 'incomentada' viene a mi mente la frase "no password used". Y dan las gracias!. # login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind # exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd # comsat dgram udp wait root /usr/sbin/in.comsat in.comsat talk dgram udp wait root /usr/sbin/in.talkd in.talkd Oh que horror!... talk!... que forma de comunicarse. # # Must run as root (to read /etc/shadow); "-n" turns off logging in utmp/wtmp. # uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd # # Tftp service is provided primarily for booting. Most sites run this # only on machines acting as "boot servers." # #tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot # # Finger, systat and netstat give out user information which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd Acaso estos tipos NO saben ingles; como lo dije en unas de mis notas anteriores. NO finger!. Que ironico comentario: -informacion valiosa para potenciales 'crackers de sistemas' =) Me siento aludido. #systat stream tcp nowait root /usr/bin/ps ps -ef #netstat stream tcp nowait root /usr/bin/netstat netstat -f inet # # Time service is used for clock synchronization. # #time stream tcp nowait root internal #time dgram udp wait root internal # # Echo, discard, daytime, and chargen are used primarily for testing. # #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal # # # RPC services syntax: # <rpc_prog>/<vers> <endpoint-type> rpc/<proto> <flags> <user> \ # <pathname> <args> # # <endpoint-type> can be either "tli" or "stream" or "dgram". # For "stream" and "dgram" assume that the endpoint is a socket descriptor. # <proto> can be either a nettype or a netid or a "*". The value is # first treated as a nettype. If it is not a valid nettype then it is # treated as a netid. The "*" is a short-hand way of saying all the # transports supported by this system, ie. it equates to the "visible" # nettype. The syntax for <proto> is: # *|<nettype|netid>|<nettype|netid>{[,<nettype|netid>]} # For example: # dummy/1 tli rpc/circuit_v,udp wait root /tmp/test_svc test_svc # # Solstice system and network administration class agent server #100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind # # Rquotad supports UFS disk quotas for NFS clients # #rquotad/1 tli rpc/datagram_v wait root /usr/lib/nfs/rquotad rquotad # # The rusers service gives out user information. Sites concerned # with security may choose to disable it. # #rusersd/2-3 tli rpc/datagram_v,circuit_v wait root /usr/lib/netsvc/rusers/rpc.rusersd rpc.rusersd # # The spray server is used primarily for testing. # #sprayd/1 tli rpc/datagram_v wait root /usr/lib/netsvc/spray/rpc.sprayd rpc.sprayd # # The rwall server allows others to post messages to users on this machine. # #walld/1 tli rpc/datagram_v wait root /usr/lib/netsvc/rwall/rpc.rwalld rpc.rwalld # # Rstatd is used by programs such as perfmeter. # #rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd # # The rexd server provides only minimal authentication and is often not run # #rexd/1 tli rpc/tcp wait root /usr/sbin/rpc.rexd rpc.rexd # # rpc.cmsd is a data base daemon which manages calendar data backed # by files in /var/spool/calendar # #100068/2-4 dgram rpc/udp wait root /usr/openwin/bin/rpc.cmsd rpc.cmsd # # Sun ToolTalk Database Server # #100083/1 stream rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd # # UFS-aware service daemon # #ufsd/1 tli rpc/* wait root /usr/lib/fs/ufs/ufsd ufsd -p # # Sun KCMS Profile Server # #100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server # # Sun Font Server # #fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs # pop stream tcp nowait root /usr/local/etc/qpopper qpopper pop2 stream tcp nowait root /usr/local/etc/qpopper qpopper # popmaster #popmd stream tcp nowait root /usr/local/popm/bin/popmd popmd Nota 8: Tener cuidado al editar el archivo inetd.conf; pensar muy bien que servicios habilitar o deshabilitar, y darse un tiempo para leer los sabios 'consejos' que este archivo brinda. Recuerdo a los files; networks, protocols, services, netconfig, y mas; pero creo innecesario colocarlos aqui. Pero vosotros diran: Donde esta el passwd, y el shadow?. Aqui esta un fragmento, recuparado de uno de mis backups. majordomo:x:98:20:Majordomo:/usr/smail/majordomo-1.94.4:/bin/true Postmaster:K.60i2aBnI9wI:113:20:Postmaster Nodo INTERNET-UNT,Ciudad Universitaria - UNT (Edificio de Matematicas),(51-44) 26 13 43 Anexo 282,:/usr/u/Postmaster:/bin/csh aalp:3xt6LdMfvx5Ng:1350:11:Abraham A. Luyo Padilla (Prof. Microbiologia y Parasit. UNT):/usr/c/aalp:/usr/local/rcpshells/cabinash adm:NP:4:4:Admin:/var/adm: admision:KABQIXrlcyF62:20:101:UUCP admision:/var/spool/uucppublic:/usr/lib/uucp/uucico aemt:vNH3E7AeY.b3Q:1349:11:Adriana E. Miranda Troncoso (Prof. Educacion - UNT):/usr/c/aemt:/usr/local/rcpshells/cabinash aeta:DZIcpbd2tdtyY:1345:11:Alvaro E. Tresierra Aguilar (Prof. Pesqueria - UNT):/usr/c/aeta:/usr/local/rcpshells/cabinash aeta:DZIcpbd2tdtyY:1513:11:Tresierra Aguilar Alvaro :/usr/i/aeta:/usr/local/rcpshells/rcpsh agbet:v5E3xcQMe9m56:1454:11:Aurora Genevieve Betson (Prof. Centro Idiomas UNT):/usr/c/agbet:/usr/local/rcpshells/cabinash agpv:LO7J/PCr3QS1Q:1646:11:Angela Guadalupe Pesantes Valdivia (Prof. Postgrado UNT):/usr/c/agpv:/usr/local/rcpshells/cabinash <-- cut --> robr:aMATMBenz9PxU:1321:11:Rosa O. Baquedano Rubio (Prof. Farmacia UNT):/usr/c/robr:/usr/local/rcpshells/cabinash root:bAlbJtVoZrqug:0:1:Super-User:/:/sbin/sh rorr:SyH3erW4F3KJU:1314:11:Roberto Rodriguez Rodriguez (Prof. Biologicas UNT):/usr/c/rorr:/usr/local/rcpshells/cabinash rotac:4AhH7OxNLks9s:1319:11:Robert Tantalean Carrasco (Prof. Quimica UNT):/usr/c/rotac:/usr/local/rcpshells/cabinash rprada:CU.ik.6OB9/xo:112:20:Robert Prada Marchena (Postmaster/Operador):/usr/u/rprada:/bin/csh rvv:i3uiXcgRSceCM:1358:11:Ronald Villacorta Velasquez (Prof. Farmacia y Bioq. - UNT):/usr/c/rvv:/usr/local/rcpshells/cabinash <-- cut --> Y asi continua un listado de casi 600 usuarios. Como vosotros pueden ahora confirmar, SOLO algunos usuarios tienen un /bin/csh; los demas 'mortales' un /usr/local/rcpshells/cabinash. 6. Saliendo: A modo de ocaso del presente texto, voy a a~adir informacion adicional que creo relevante. Existia un comando que me dio informacion de todos los usuarios existentes en el sistema; con el cual puedo corroborar los datos de los propietarios de las cuentas utilizadas para el ingreso al servidor. eelitsa Empresa Editora La Industria de Trujillo S.A kits Kits RCP,,, leba Abel del Carpio - RCP Lima,RCP Lima,, Recuerdo haber utilizado algunas mas, pero sus claves fueron cambiadas despues de ser utilizadas por mi. :( Y aprovechando que me estoy 'confesando' y expresando mis pecados. :) Debo decir tambien que se 'obtuvo' muchas cuentas de acceso a internet Totalmente GRATIS, gracias al descuido de los administradores. Mientras unos pagaban a la RCP, por sus cuentas doradas, plateadas, y no se que mas... OTROS, disfrutaban de acceso Gratuito, para fines educativos. :O) Colocaria aqui un par de esas 'cuentas', pero el cd-rom en el cual estan, lo tengo da~ado. Finalmente fue posible 'obtener' mucha mas informacion relevante de este server y tambien de los administradores de este; como documentos, imagenes, bases de datos, codigos, etc, etc. Asuntos que no creo conveniente ventilar aqui. =) 7. Final: Si os preguntais: -'Y el root?, te hiciste root?'. Mi respuesta seria la siguiente: -Despues de haber leido todo lo anterior, crees necesario el que te lo diga?. Si lo fui o NO; no es el punto. Repito!. NO estoy insitando a nadie a 'irrumpir' en sistemas informaticos. YO no me hago responsable de las tonterias que puedas comenter. No hay que meterse en sistemas ajenos para ser 'hackers', hay muchisimas formas de aportar al mundo de la informatica y mejorar la integridad y seguridad de los sistemas. Siempre que narro uno de mis ingresos a 'servidores', lo hago con el proposito de mostrar lo relativamente 'facil' que es ingresar y potencialmente hacer lo que se desee, aprovechando cualquie tipo de falla. Cada historia es diferente al igual que cada sistema. Hasta siempre... ReYDeS - ReYDeS@bigfoot.com " El mejor hack que hize, fue a una mujer; y hasta el dia de hoy, NO puedo borrarla de mis logs. " Y.O. <<::RareGaZz::>>