______ ______ ______ ______ ______ ______ ______ ______
| ____| | ____| | ____| | ____| | ____| | ____| | ____| | ____|
__| |______| |______| |______| |______| |______| |______| |______| |________
----------------------------------------------------------------------------
Codigo Titulo Autor
SWP04-10 PUERTA Digital ReYDeS
----------------------------------------------------------------------------
-----------
ADVERTENCIA
-----------
LO NARRADO EN EL PRESENTE TEXTO NARRA DE FORMA CRONOLOGICA Y FIDEDIGNA LO
ACONTECIDO. NADA HA SIDO MANIPULADO, LLAMESE BORRAR O MODIFICAR DE ALGUNA
FORMA CUALQUIERA DE LOS DATOS DEL 'OBJETIVO'.
El presente texto fue totalmente inesperado; ya que no estaba en mis planes
publicar un "crack" en este numero de SWP. Cual es el proposito del presente
escrito?. Es el mas simple y el que tal vez nunca se deje de reiterar. Pero
que puede resumirse de la mejor manera con la variacion de la siguiente
frase: 'Una cadena es tan fuerte, como el mas debil de sus eslabones'.
Aqui estoy otra vez narrando cosas como las siguientes:
Una fria ma~ana del mes de Octubre del a~o en curso; era bien sabido que
habria una congregacion de gente; por cierta efigie, que arribaria a mi
ciudad. Bueno, me trasncribieron la URL en donde se podria ver la transmision
en vivo de dicho evento; y claro; como se tenian problemas para accesar a
dicha trasmision de video, me encomendaron investigar cual era el problema.
Asi es que manos a la obra; a utilizar algunos de mis basicos conocimientos
para ver que esta pasando. Aqui vamos:
Utilizando un proxy para "anonimizar" mi ingreso al servidor. Hago una
peticion a su servidor web; y porsupuesto su pagina; usando mi maltratado
browser:
http://www.********peruanos.com
Ok, bonita web :D
-|-|-
Hasta aqui todo bien, no hay nada de raro o inusual en una peticion a su
servidor web, ni tampoco a simple vista, ninguna falla de seguridad en
ello. Aunque horas despues me sorprendiria ver como un site *.gob.pe tenia, o
tiene algo que no deberia tener. Pero mejor no me desvio del tema. :)
-|-|-
Al intentar accesar al enlace en cuestion, sobre el cual me habian
reportado el NO acceso, y el sobre el cual debia investigar; al tratar de
accesar a dicha url, me exponia un simpatico mensaje:
ACCESS TO THE PORT NUMBER GIVEN HAS BEEN DISABLED FOR SECURITY REASONS.
:-O Pero porque? Si aun no he hecho nada? :P.
Bueno, al menos ya sabemos cual es el enlace; es turno de que haga nuestra
aparicion nuestro conocido amigo NMAP.
[root@ReYDeS root]# nmap 3.45 scan initiated Fri Oct 31 11:23:39 2003 as:
nmap -sT -O -P0 -vv -oN 200.106.***.** 200.106.***.**
Interesting ports on client-200.106.***.**.speedy.net.pe (200.106.***.**):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
79/tcp open finger
520/tcp filtered efs
1433/tcp open ms-sql-s
8000/tcp open http-alt
Device type: webcam
Running: D-Link embedded
OS details: D-Link DCS-1000 webcam with firmware 1.06
OS Fingerprint:
TSeq(Class=TD%gcd=37%SI=1%TS=U)
T1(Resp=Y%DF=N%W=16D0%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=Y%DF=N%W=16D0%ACK=S++%Flags=ASF%Ops=M)
T4(Resp=N)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)
TCP Sequence Prediction: Class=trivial time dependency
Difficulty=1 (Trivial joke)
TCP ISN Seq. Numbers: 11AF3 11C3D 11D87 11F76 120C0 12241
IPID Sequence Generation: Busy server or unknown class
# Nmap run completed at Fri Oct 31 11:24:16 2003 -- 1 IP address (1 host up)
scanned in 37.630 seconds
Ahora bien; como mencione en la primera parte del presente escrito; tiene
que existir una camara; la cual capturaria las imagenes para la transmision
en vivo. La camara parace interesante y hacia alli se dirigen mis tenazas ;)
tal vez se pueda controlar la camara remotamente? :o) No estaria nada
mal ;). Una vez de GOOGLEar un rato, y de ir directamente a la pagina
del fabricante. Pues la info resumida que pude obtener es que es una camara
ideal para seguridad; ustedes saben a que seguridad se refiere. :D Camara
inalambrica para internet, con calidad VGA :) Excelente. Ademas en la web
podemos econtrar mucha documentacion de esta camara. Una rapida lectura, me
hace comprobar que esta camara no "podria" funcionar 'sola'; bueno;
literalmente hablando.
-|-|-
Bien, el exponer esta info, no es muy recomendable, como supondran. La
regla de oro es NO tener servicios instalados en puertos accesibles desde el
exterior sin MOTIVO alguno, y de tenerlos, pues filtrados con unas buenas
reglas en el FireWall. Error y Horror Inicial: Se revela demasiada info para
mi gusto.
-|-|-
Ahora bien, aqui aparece mi primera confusion y duda, la cual diluia en
sinapsis neuronales; mientras hacia mis labores normales de administrador de
uns sistema. :S La pregunta es: 'Que tenia que ver este servidor, con el
servidor primogenito que me habian dado para investigar, sobre la transmision
en vivo?. :-O
Llamemos a DIG!.
[root@ReYDeS root]# dig www.********peruanos.com
; <<>> DiG 9.2.1 <<>> www.********peruanos.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;www.********peruanos.com. IN A
;; ANSWER SECTION:
www.********peruanos.com. 178 IN A 65.83.***.**
;; AUTHORITY SECTION:
********peruanos.com. 2508 IN NS ns1.wsgamerica.net.
********peruanos.com. 2508 IN NS ns2.wsgamerica.net.
;; Query time: 49 msec
;; SERVER: 200.48.225.130#53(200.48.225.130)
;; WHEN: Sat Nov 1 10:33:18 2003
;; MSG SIZE rcvd: 108
Bueno, siempre es bueno dejar algo de info para que los demas puedan
investigar. ;) Haciendole un GET /
[root@ReYDeS root]# telnet www.********peruanos.com 80
Trying 65.83.***.**...
Connected to www.********peruanos.com.
Escape character is '^]'.
GET /
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 31 Oct 2003 15:55:02 GMT
Connection: Keep-Alive
Content-Length: 0
Content-Type: text/html
Set-Cookie: ASPSESSIONIDSASSQTBQ=POIDCOFAHHANKDHBKLKBHIFK; path=/
Cache-control: private
Connection closed by foreign host.
Ok OK... dejemoslo alli. El reporte que me bota el NMAP respecto a este
server no me llama la atencion; esto tiene 'pinta' o apariencia de solo ser
un proveedor de hosting. :S Ahora bien lo que si esta interesante es el IP de
Speedy que anteriormente habia escaneado.
-|-|-
Buena politica de seguridad, si puede decirse, ya que se tiene al servidor
web en un proveedor seguro; minimizando el riesgo de ser 'DEFACEADO'; aunque
muchos de estos servers caen y luego tenemos conocimiento de 'defacing's en
masa. :D Paradojas de la seguridad.
-|-|-
Ok, entonces me concentro en el IP Speedy; ya que es donde esta instalada
la camara y que tiene esos 4 simpaticos puertos; muy llamativos e
interasantes para cureosear. 'Testeemos' puertos ;)
[root@ReYDeS root]# telnet 200.106.***.** 79
Trying 200.106.***.**...
Connected to 200.106.***.**.
Escape character is '^]'.
HTTP/1.0 405 Method Not Allowed
Allow: GET, HEAD
405 Method Not Allowed
Jeje, claro que no permitido, :S Un poco raro. Ustedes diran FINGER?..
Nono!... pues bueno, aqui entra en escena lo que pude leer en los manuales de
dicha camara de video. Hmm, pues obviamente se neceista un IP, y un
puerto. Tal parece que al encargado de poner en funcionamiento no se le
ocurrio mejor idea que asignar ese IP, y un puerto. Pero primero veamos que
hay en el puerto 79, ahora en serio ;)
-|-|-
En esta epocas hay que ser marciano para dejar un FINGER abierto, no tengo
conocimiento que un admin que se respeta lo tenga corriendo. :D Ahora que si
alguien me corrige sobre esto, estoy apto a aceptar todo tipo de sugerencias
y correciones.
-|-|-
[root@ReYDeS root]# telnet 200.106.***.** 79
Trying 200.106.***.**...
Connected to 200.106.***.**.
Escape character is '^]'.
GET /
HTTP/1.0 401 Authorization Required
WWW-Authenticate: BASIC realm="Administrator or User"
Password Error.
Excelente, como siempre pide claves. :) Asi como en las peliculas. Pues
para variar tambien tenia en mi poder una clave para poder accesar. Ahora que
solo como user normal ;) miren el parametro realm="Administrator or User".
Bueno, con las claves poseidas, podriamos ingresar de modo normal. Pero? ;)
Ahora vamos con el siguiente puerto, el 8000
[root@ReYDeS root]# telnet 200.106.***.** 8000
Trying 200.106.***.**...
Connected to 200.106.***.**.
Escape character is '^]'.
GET /
ICY 200 OK
icy-notice1:
This stream requires Winamp
icy-notice2:SHOUTcast Distributed Network Audio Server/posix v1.6.0rc2
icy-name:Radio ******** Mundo
icy-genre:experimental
icy-url:http://star.arm.ac.uk/~spm/software/liveice.html
icy-pub:0
icy-br:16
w©00÷òÀ`tl
{Ö}s*3?ü´_þ ;óL'U¾CR@°K·Ôê>a"Ħ Û>ð×@Nß©åI&E5«þ§ÆÇB_
øàp=ïS¸ý*
ÉìÛºêÿã"Ä:âä¢+KÐÆ°ñBNt²ù@P( ¸à@ÁÁB~VKF&oÏ®\ꪦO¾§U¹Apôê1
ÁË,ÆBõiMö¼LùOíÎÎ%¿¢$?õý
...
...
...
:) Aun no puedo entender los streams en vivo, o mejor dicho mis ojos aun no
puede interpretar eso. Asi es que como ustedes pueden apreciar, aqui hay un
flujo de informacion. Mejor la corto antes de que me llene el buffer. :P
Bueno, pero mas alla de eso, de la camara digital de video inalambrica para
internet, y toda esta vaina tecnologica tan fascinante. El punto es que se
uso un servicio de redireccion para 'redireccionar' el IP de la camara desde
la web principal. He alli la relacion, es decir; en el servidor donde se
almacena la web; solo hay un enlace al IP donde esta conectada la camara,
ahora bien; porque ademas del 79 abierto que es asignada a la camara de video
hay ademas el 8000 y el 1433? Buena pregunta.
Bueno, nuevamente al DIG.
[root@ReYDeS root]# dig ******.redirectme.net
; <<>> DiG 9.2.1 <<>> ******.redirectme.net
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37541
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;******.redirectme.net. IN A
;; ANSWER SECTION:
******.redirectme.net. 55 IN A 200.106.***.**
;; AUTHORITY SECTION:
redirectme.net. 55 IN NS nf1.no-ip.com.
redirectme.net. 55 IN NS nf2.no-ip.com.
;; Query time: 50 msec
;; SERVER: 200.48.225.130#53(200.48.225.130)
;; WHEN: Fri Oct 31 11:20:27 2003
;; MSG SIZE rcvd: 100
Bene, Estamos bien en este aspecto; no hay relacion 'fisica' por decirlo de
alguna manera. ;), Pero aqui viene el error IMPERDONABLE.
Me interesa el 1433. Sera posible acaso que 'alguien' pueda haber conectado
su servidor de Base de Datos A internet, y ademas, conectar la bendita camara
de video al servidor de Base De Datos? :S Es como una pelicula de terror! :-|
-|-|-
JAMAS!. Pero jamas!. LO hagan. Recuerdan la frase de la cadena? y es el
eslabon que he dicho anteriormete, pues bien. Parece que los encargados de
hacer la transmision en vivo no encontraron otra solucion que la de conectar
la camara de video en el SERVIDOR DE BASE DE DATOS DE LA EMPRESA. :-|
-|-|-
Ahora bien es tiempo de consultar a mis queridos amigos que estan inmersos
en el maravilloso mundo de Micro$.
Asi es que con su ayuda, y con mis conocimientos, me voy por la BD :)
Momento de usar a una PC con windows que tengo por alli.
telnet? :o) no pues.. de momento algo asi...
La pregunta; en mi desconocimiento; a mi amigo fue: Y no se rian de mi
ignorancia en soft M$, pero hasta ese momento no sabia nada. ;)
-|-|-
Consejos para todos los admin, de cualquier SO, aplicar los parches
correspondientes, mantenerse actualizado en herramientas de auditoria, asi
tambien de la nuevas tecnicas y sobre todo nunca dejar de aprender.
-|-|-
Que necesito para conectarme a un IP con el 1433 Abierto?
Necesito el MSDE o la utilidad osql o el analizador de consultar o el
administrador corporativo.
:S eso me sono a chino. Ahora; obvio que mi amigo; necesitaba una clave
para ingresar remotamente. ;) Pero gracias a que nuestros amigos de M$, y los
administradores, uno con sus fallos y los otros con su NO parches o
actualizaciones, saltar la fase de autentificacion es cosa de ni~os.
Conectado!. Estamos dentro, nunca el 'estamos' sono a tanta gente :-)
'Como los grandes'!
Quiero la BD.
Opcion 1: Exportar la BD a Access
Opcion 2: Hacer Backup
Se presentaban problemas ya que solo copiaba la estructura de las tablas :(
Ahora que hablaba de un usuario en particular, la cual necesito 'crearse'
para que el proceso siguiera.
Opcion 3: Hacer un DTS :S Data Transformation Service
Esto para transferir la BD a la computadora local :)
Pero nuevamente error mensaje; un mensaje relacinado a la no copia de los
objetos. :(
Lo que se obtuvo hasta el momento solo eran algunas estructaras y lo que
me interesaban eran los datos ;). ASi es que con la ayuda de otro amigo, y la
ayuda de un SQL server de mi poder, voy a hacerlo 'yo mismo'. :-)
Ahora esto lo hare un poco mas visual, nunca en ninguno de mis textos he
utilizado ayudas visuales, pero siempre hay una primera vez para todo. o no?
:D
Empieza lo bueno.
Me dirijo al Enterprise Manager. Inicio -> SQL Server -> Enterprise
Mananger. :) Todos los dias se aprende algo nuevo.
Despues de tener que especificar la BD, el metodo de autentificacion y
demas configuraciones del WIZARD :).
Revisar [sql01.jpg]
:o Que emocion, jamas habia administrado esto :) Malogrando de aprende ;)
Me llamo la atencion la bdmain, asi es que hacia alli me dirigo.
Revisar [sql02.jpg]
Propiedades de la tabla :D
Revisar [sql03.jpg]
Quiero copiar la BD :) Right click en databases.... all task --> Copy
database.
Ahora los datos no los podi ver remotamente a menos que la ponga como
linked server. La imagen siguiente expresa esta opcion. Se nota que me
interesan los datos que se manejan? :) Si, no?
Revisar [sql05.jpg]
Como lo pueden ver en la siguiente imagen el File 'Data Files' 'pesaba'
194.81 Megas. uff! un poquito grande.
Revisar [sql04.jpg]
Ademas siempre es bueno tener una copia de seguridad de las cosas.
Pensamiento CRACK. ME borro la BD y elimino todo, para que aprendan.
Pensamiento HACK?. Solo copio la BD por precuacion para luego reportarlo a
los administadores.
Obvio que se hizo lo segundo. Hay personas detras de ese servidor, esos
datos pueden resultar beneficiosos economicamente, pero mi objetivo no fue
mas el de 'cureosear', y aprender un poco mas. Y asi lo hice, no tengo
ninguna razon para realizar un acto poco etico contra ese server.
Una vez ganados los maximos privilegios, se puede seguir escalando y hacer
muchas mas cosas evidentemente, el tiempo como siempre es el mayor tirano. Y
el decir demasiado sobre algo tambien puede ser perjudicial. Asi es que la
narrativa la dejo hasta aqui.
Me despido, deseando que hayan disfrtutado la presente lectura.
Agrdecimientos a mis amigos de M$, que siempre estan muy dispuesto a
solventar las dudas que tenga al respecto.
Hasta la Proxima!...
" La belleza esta en los
ojos del observador "
" No me mires asi...
que no respondo... "
A.P.
______ ______ ______ ______ ______ ______ ______ ______
| ____| | ____| | ____| | ____| | ____| | ____| | ____| | ____|
__| |______| |______| |______| |______| |______| |______| |______| |______
--------------------------------------------------------------------------
-- --
Security Wari Projects / SWP |
(c) Todos los Derechos Reservados
| PERU / 2002 - 2003
-- --
|