: :.:..:...:....:.....:......:.......:........:.........:..........: : : ::::
: : : :
RGZ_0C Red Cientifica Peruana y YO Cracking ReYDeS
: :.:..:...:....:.....:......:.......:........:.........:..........: : : ::::
-> Pulgar.
1. Unas palabras.
2. El objetivo.
3. Como ingresar?.
4. Estamos dentro!.
5. Descubriendo.
6. Saliendo.
7. Final.
-> Los datos del texto pueden haber sido MANIPULADOS maliciosamente <-
1. Unas palabras:
El presente texto, narra el ingreso a un servidor de la Red Cientifica
Peruana; cabe acotar que este servidor NO existe ahora en su forma expuesta en
el presente texto.
NO pretendo insitar a nadie a hacer algo parecido a lo que muestro. El
ingreso a un servidor sin autorizacion es 'ilegal' y ni que decir a lo que
conlleva la manipulacion, substraccion y un largo etc. de datos.
Cada uno es libre de hacer y pensar lo que desee.
Esto ocurrio hace casi TRES a~os atras...
2. El Objetivo:
En aquellas epocas ya habia 'estudiado' a la mayoria de servidores de la
Universidad en la cual estudiaba; era el momento de ir por un objetivo
'grande'; la curiosidad por utilizar un sistema UNIX, me tenia intranquilo. Lo
unico que sabia de este servidor, era eso mismo, que era algun 'Unix' y que su
seguridad 'tenia' que ser Maxima, por la importancia de este servidor. Poco
tiempo tuvo que pasar para demostrarme lo contrario.
3. Como ingresar?
Como dije; teoricamente era un servidor seguro; y de hecho, externamente
parecia serlo. Empeze por seguir los 'clasicos' pasos para una 'auditoria' de
un servidor; buscar versiones, demonios, servicios, usuarios, cgis, etc; en el
transito de esa investigacion; olvide lo simple. Y que era lo simple?. Buscar
algun archivo 'sensible' en la intranet en que se encontraba ese servidor.
Sorprendido quede un dia al 'rebuscar' entre cientos de archivos,
compartidos por maquinas win* y su estupenda caracteristica de 'Recursos
Compartidos' sin contrase~a. Casi me caigo de mi asiento. :O)
Nota 1: Tener buenas politicas de backup y no confiar archivos sensibles a
maquinas win protegidas sin contrase~as o facilmente crackeables.
Hablamos de hace 3 A~os, Aun NO existia el w2000, el NTFS no era muy
extendido, y el Linux empezaba con furor.
4. Estamos dentro!:
Es el momento de ingresar. Al que madruga, Dios le ayuda!, asi es que
madrugue y me dirigi a un cybercafe o cabina de acceso a internet. Que mejor
seguridad que dejar la IP de ellos?.
Claro que necesitaba algun linux, y en aquella epoca, no era dificil
encontrar algun sistema que me permitiera 'utilizarlo' para mi proposito.
Trying 161.132.232.10...
Connected to chanchan.unitru.edu.pe.
Escape character is '^]'.
Red Cientifica Peruana (Sistema Unix)
login:
Esto siempre es un dolor de cabeza!. Han notado que casi nunca o 'nunca',
los textos que narran 'ingresos', NO os dicen el login y password?. Pues es
momento de cambiar esto.
login: eelitsa
Password:
Login incorrect
login: kit
Password:
Login incorrect
Tuve derecho a equivocarme, NO???.
login: kits
Password: kits ( NO recuerdo bien, pero estoy CASI seguro)
Last login: Thu Mar 2 19:38:37 from 161.132.232.245
Sun Microsystems Inc. SunOS 5.6 Generic August 1997
Nota 2: El eterno ID = PASS; esto debe de ser desterrado; pero aun hoy, por
increible que pueda resultar, existe; y aun lo constato.
NULA existencia de algun mecanismo de proteccion externa, ningun
tipo de control para conecciones foraneas o restringir el acceso.
Manipulacion de algunos files en su /etc, podrian haber cambiado un
poco el trancurrir de esta historia. NADA.
5. Descubriendo.
Se que se estaran preguntado como es que consegui las claves para ingresar a
este servidor. Es simple, si continuan leyendo y son habiles, se daran cuenta
de ello, pues en una NOTA posterior lo comento.
Fue la primera vez que estaba en un Sistema de este tipo y no fue nada
dificil. Aqui voy a fusionar mis 2 ingresos a este servidor.
kits >> finger
Login Name TTY Idle When Where
pquevedo Patricia Quevedo Mor pts/0 1:24 Fri 07:13 shorey.unitru.edu.pe
rprada Robert Prada Marchen console 1:32 Mon 10:03 :0
eguarniz Elmer Guarniz Guarni pts/2 53 Fri 07:20 simbal.unitru.edu.pe
wcg Wilder Castanheda Ga pts/3 Fri 08:56 161.132.232.22
jsanchez Jose A. Sanchez Llaj pts/10 9 Fri 08:47 sarin.unitru.edu.pe
kits Kits RCP pts/11 Fri 08:56 127.0.0.1
No tengo porque 'censurar' la imformacion ni colocar asteriscos ni nada por
el estilo. El primer ingreso lo realize con la cuenta 'kits'; que segun
recuerdo era el encargado de dar soporte a 'kits' de conecciones para que las
personas o entidades puediesen tener acceso a internet. Y vale el comentario,
que sus tarifas NO eran muy bajas.
Nota 3: Deshabilitar 'finger' era algo impensado en aquellas epocas. Ahora
es una LEY, ningun servidor debe permitirse brindar este tipo de
informacion.
kits >> uname -a
SunOS chanchan 5.6 Generic sun4m sparc SUNW,SPARCstation-4
kits >> w
8:57am up 6 day(s), 3 min(s), 6 users, load average: 0.28, 0.22, 0.18
User tty login@ idle JCPU PCPU what
pquevedo pts/0 7:13am 1:26 10 -csh
rprada console Mon10am 4days 2 /usr/dt/bin/sdt_shell -c unseten
eguarniz pts/2 7:20am 55 5 3 /usr/local/bin/elm.pico
wcg pts/3 8:56am 1 /usr/local/bin/elm.pico
jsanchez pts/10 8:47am 10 /usr/local/bin/elm.pico
rprada pts/7 Mon10am 25:53 4 2 /bin/csh
rprada pts/9 Mon10am 1:33 18 /bin/csh
rprada pts/8 Mon10am 4days 18 6 /bin/csh
kits pts/11 8:56am w
Aqui expongo un punto que 'ellos' consideraban de seguridad; pero poco
sirvio y que pudo burlarse con un poco de astucia. Os dareis cuenta de la
utilizacion de 'pico' y la minoria utilizando 'csh'. En este sistema solo
algunas 'cuentas' tenian acceso a un shell; los demas se redirigian a un shell
restringido; que no era mas que un script y un binario, con un simple menu de
3 opciones.
Nota 4: La utilizacion de un shell 'restringido' es un metodo que aun se
utiliza. Pero esto debe conllevar tambien a un buen seteo en los
permisos de archivos y la no escalabilidad de directorios. Tener en
consideracion ademas en los posibles 'problemas' a los que pueden
conllevar los programas utilizados en ese shell 'restringido'.
Es bien sabido que algunos programas permiten escapar a un shell o
la ejecucion de comandos.
Os pido disculpas si los listados resultan muy engorrosos, tratare de
recortarlos a lo minimo.
kits >> ls /
drwxrwxrwt 7 sys sys 1705 Mar 31 08:59 tmp
-rw------- 1 root root 255136 Mar 30 14:12 core
drwxr-xr-x 24 root sys 3072 Mar 29 02:12 etc
dr-xr-xr-x 6 root root 512 Mar 25 08:57 vol
dr-xr-xr-x 1 root root 1 Mar 25 08:57 home
dr-xr-xr-x 1 root root 1 Mar 25 08:57 net
dr-xr-xr-x 1 root root 1 Mar 25 08:57 xfn
drwxrwxr-x 17 root sys 3584 Mar 25 08:55 dev
drwx------ 2 root other 512 Mar 12 13:12 Mail
drwxrwxr-x 31 root sys 1024 Feb 3 09:26 usr
drwxrwxr-x 20 root sys 512 Nov 29 10:10 var
drwxr-xr-x 2 root nobody 512 Nov 29 09:04 cdrom
drwxr-xr-x 2 root root 512 Nov 29 08:12 TT_DB
drwxrwxr-x 5 root sys 512 Nov 29 07:59 devices
drwxrwxr-x 4 root sys 512 Nov 29 07:50 opt
drwxrwxr-x 2 root sys 512 Nov 29 07:49 export
drwxrwxr-x 2 root sys 512 Nov 29 07:24 sbin
drwxr-xr-x 3 root sys 512 Nov 29 07:19 platform
drwxr-xr-x 9 root sys 512 Nov 29 07:18 kernel
lrwxrwxrwx 1 root root 9 Nov 29 07:17 lib -> ./usr/lib
drwxrwxr-x 2 root sys 512 Nov 29 07:17 mnt
lrwxrwxrwx 1 root root 9 Nov 29 07:17 bin -> ./usr/bin
drwx------ 2 root root 8192 Nov 29 07:12 lost+found
drwxr-xr-x 12 rlent 15 512 Nov 27 18:49 usr2
Habia algunas cosas diferentes a los que yo estaba acostumbrado a ver en mi
linux de cada dia. Un core?...
Si un core. Provoca hacer un gdb --core=core? :). En aquella epoca era aun
inexperto en estos temas, y tal vez esta 'historia' hubiese resultado mas
interesante si le dedicaba mas tiempo a ello.
Pase por alto examinar ese core. NO le preste mucha antencion. El tiempo
apremia.
Nota 5: Tener cuidado con los 'cores' y los programas que los generan. No se
necesita ser muy docto, y vosotros sabeis a lo que puede conllevar
el analisis y posterior 'explotacion' de esto; mas aun si los
programas que los generaron permitiesen elevar los priviliegios de
un usuario normal.
-> Como dije anteriormente, fusionare mis 2 ingresos. Mi segundo ingreso,
dias despues... Lo cual no significa que esto sea cronologico. <-
login: leba
Password: ( La clave NO la recuerdo )
Sun Microsystems Inc. SunOS 5.6 Generic August 1997
chanchan%
Este tenia mas pinta de privilegiado. ;)
chanchan% ls -atl | more
total 661
dr-xr-xr-x 56 root root 16064 Apr 2 08:58 proc
drwxrwxrwt 7 sys sys 1745 Apr 2 08:58 tmp
drwxr-xr-x 24 root sys 3072 Apr 1 04:05 etc
-rw------- 1 root root 255136 Mar 30 14:12 core
dr-xr-xr-x 6 root root 512 Mar 25 08:57 vol
-rw------- 1 root root 1028 Mar 25 08:57 .cpr_config
dr-xr-xr-x 1 root root 1 Mar 25 08:57 home
dr-xr-xr-x 1 root root 1 Mar 25 08:57 net
dr-xr-xr-x 1 root root 1 Mar 25 08:57 xfn
drwxrwxr-x 17 root sys 3584 Mar 25 08:55 dev
drwxr-xr-x 12 root other 512 Mar 12 15:46 .dt
drwxr-xr-x 26 root root 1024 Mar 12 15:45 .
drwxr-xr-x 26 root root 1024 Mar 12 15:45 ..
-rw------- 1 root other 102 Mar 12 15:45 .Xauthority
-rw------- 1 root other 1036 Mar 12 13:18 .cpr_default
drwx------ 2 root other 512 Mar 12 13:12 Mail
drwxrwxr-x 31 root sys 1024 Feb 3 09:26 usr
-rw-r--r-- 1 root other 123 Jan 7 13:02 .rhosts
drwxrwxr-x 20 root sys 512 Nov 29 10:10 var
drwxr-xr-x 2 root nobody 512 Nov 29 09:04 cdrom
drwxr-xr-x 2 root root 512 Nov 29 08:12 TT_DB
-rwxr-xr-x 1 root other 5111 Nov 29 08:12 .dtprofile
drwxrwxr-x 5 root sys 512 Nov 29 07:59 devices
drwxrwxr-x 4 root sys 512 Nov 29 07:50 opt
drwxrwxr-x 2 root sys 512 Nov 29 07:49 export
drwxrwxr-x 2 root sys 512 Nov 29 07:24 sbin
drwxr-xr-x 3 root sys 512 Nov 29 07:19 platform
drwxr-xr-x 9 root sys 512 Nov 29 07:18 kernel
lrwxrwxrwx 1 root root 9 Nov 29 07:17 lib -> ./usr/lib
drwxrwxr-x 2 root sys 512 Nov 29 07:17 mnt
lrwxrwxrwx 1 root root 9 Nov 29 07:17 bin -> ./usr/bin
drwx------ 2 root root 8192 Nov 29 07:12 lost+found
drwxr-xr-x 12 102 15 512 Nov 27 18:49 usr2
drwxr-xr-x 2 root other 512 Mar 7 1997 .ssh
Aqui llama mi atencion el archivo .rhosts; vosotros ya sabeis la historia y
fama que tiene aunque cada vez menos, este dichoso archivo. No olvidar tambien
los archivos de configuracion que aparecen alli.
Me percato tambien que al 'core' podemos denominarlo un core 'fresco'; pues
mi primer ingreso fue el 31; y segun se puede apreciar, la fecha en que se
genero ese core, fue el 30.
Ahora me dirijo hacia un directorio clasico; el /etc.
chanchan% ls -atl | more
total 748
prw------- 1 root root 0 Apr 2 08:56 utmppipe
prw------- 1 root root 0 Apr 2 08:55 initpipe
drwxr-xr-x 24 root sys 3072 Apr 1 04:05 .
-rw-r--r-- 1 root root 5 Apr 1 04:05 syslog.pid
-r-------- 1 root sys 17839 Mar 31 15:08 shadow
-rw------- 1 root sys 0 Mar 31 15:08 .pwd.lock
-r-------- 1 root sys 17839 Mar 31 15:08 oshadow
-r--r--r-- 1 root other 56135 Mar 31 15:06 passwd
Como ustedes Se~ores visitantes, pueden apreciar; los permisos de los
archivos objetivo de cualquier 'cracker'; estan correctamente seteados para
la epoca en cuestion. Pero... Como mencione antes... solo algunos 'usuarios'
tenian un 'verdadero' shell, y la lectura del archivo passwd, me permite
concentrarme en aquellos que lo tienen.
drwxrwxr-x 2 root sys 512 Mar 31 13:37 rc3.d
drwxrwxr-x 2 root sys 1024 Mar 31 13:35 init.d
drwxr-xr-x 3 bin bin 512 Mar 25 08:57 saf
-rw-r--r-- 1 root root 588 Mar 25 08:57 mnttab
drwxr-xr-x 2 root sys 512 Mar 25 08:57 cron.d
-rw-r--r-- 1 root root 0 Mar 25 08:57 .mnttab.lock
-rw-r--r-- 1 root root 690 Mar 25 08:57 nsswitch.conf
drwxr-xr-x 26 root root 1024 Mar 12 15:45 ..
drwxrwxr-x 2 root sys 1024 Feb 28 21:13 rc2.d
drwxrwxr-x 2 root sys 512 Jan 7 13:39 default
-rwx------ 1 root other 7 Nov 29 12:19 sudoers
-rw-r--r-- 1 root other 18510 Nov 29 11:41 shadow.o
-rw-r--r-- 1 root other 58049 Nov 29 11:41 passwd.o
Pero aqui SI que la C*G*RON! (reemplacese los '*' por 'a') :)
Haber si entiendo SU logica; los archivos 'originales' y sensibles tienen
los permisos correctamente seteados, pero los 'backups' de los mismos NO?.
-rw-r--r-- Dios!... Porque!?... Why?
Nota 6: Repito!. Tener cuidado con los permisos de los archivos. Debo decir
algo mas?.
Voy recortar este extenso listado...
drwxr-xr-x 2 root sys 512 Nov 29 09:41 inet
drwxrwxr-x 2 bin mail 512 Nov 29 09:41 mail
-rw-rw-r-- 1 root sys 417 Nov 29 09:40 vfstab
-rw-r--r-- 1 root root 10750 Nov 29 09:36 .obp_devices
-r--r--r-- 1 root sys 2133 Nov 29 09:36 path_to_inst
-r--r--r-- 1 root sys 2133 Nov 29 09:36 path_to_inst.old
drwxr-xr-x 6 root sys 512 Nov 29 09:27 security
-r--r--r-- 1 root sys 351 Nov 29 08:08 dgroup.tab
-rw-r--r-- 1 root sys 931 Nov 29 08:08 power.conf
-r--r--r-- 1 root root 1411 Nov 29 08:08 device.tab
drwxrwxr-x 9 lp lp 512 Nov 29 08:08 lp
Dr--r--r-- 1 root root 0 Nov 29 08:08 .name_service_door
Drw-r--r-- 1 root root 0 Nov 29 08:08 .syslog_door
-rw-r--r-- 1 root other 213 Nov 29 08:08 .sysIDtool.state
-rw-r--r-- 1 root sys 8670 Nov 29 07:59 format.dat
-rw-r--r-- 1 root root 9 Nov 29 07:59 nodename
drwxrwxr-x 2 root sys 512 Nov 29 07:52 rc0.d
-rw-r--r-- 1 root sys 997 Nov 29 07:50 driver_aliases
-rw-r--r-- 1 root sys 2822 Nov 29 07:50 minor_perm
-rw-r--r-- 1 root sys 1048 Nov 29 07:50 name_to_major
lrwxrwxrwx 1 root root 18 Nov 29 07:49 chroot -> ../usr/sbin/chroot
lrwxrwxrwx 1 root root 17 Nov 29 07:49 fuser -> ../usr/sbin/fuser
lrwxrwxrwx 1 root root 16 Nov 29 07:49 link -> ../usr/sbin/link
<--- cut -->
-rw-r--r-- 1 root sys 686 Jul 15 1997 nsswitch.files
-rw-r--r-- 1 root sys 2303 Jul 15 1997 ttydefs
-r--r--r-- 1 bin bin 12095 Jul 15 1997 magic
-rw-r--r-- 1 root sys 2855 Jul 15 1997 name_to_sysnum
-rw-r--r-- 1 root other 5 May 26 1997 sshd.pid
-rw-r--r-- 1 root other 855 May 26 1997 ssh_config
-rw------- 1 root other 526 May 26 1997 ssh_host_key
-rw-r--r-- 1 root other 330 May 26 1997 ssh_host_key.pub
-rw-r--r-- 1 root other 125 Oct 10 1996 shells
-rw-rw-r-- 1 root sys 1047 Jan 1 1970 inittab
-rw-r--r-- 1 root sys 52 Jan 1 1970 motd
-rw-r--r-- 1 root sys 773 Jan 1 1970 nscd.conf
Con todos los archivos listados; puedo hacerme una idea general sobre este
sistema; que utiliza, el proposito de este, sus 'mecanimos' de
pseudo-seguridad, demonios, versiones, configuraciones, seteos,
administracion, y un largo etc. Todo es cuestion de paciencia y tiempo; lo
cual NO poseia en aquel entonces.
Ahora lo siguiente:
<-- cut -->
-r-xr-xr-x 1 bin bin 71912 Jul 15 1997 talk
-r-xr-xr-x 1 bin bin 37468 Jul 15 1997 daps
-r-sr-xr-x 1 root bin 53308 Jul 15 1997 rdist
-r-xr-sr-x 1 bin sys 52272 Jul 15 1997 netstat
-r-xr-xr-x 1 bin bin 69728 Jul 15 1997 ftp
-r-sr-xr-x 1 root bin 15808 Jul 15 1997 rlogin
-r-sr-xr-x 1 root bin 8772 Jul 15 1997 rsh
-r-sr-xr-x 1 root bin 20292 Jul 15 1997 rcp
-r-xr-xr-x 1 bin bin 6088 Jul 15 1997 rwho
-r-xr-xr-x 1 bin bin 5440 Jul 15 1997 whois
-r-xr-xr-x 1 bin bin 21292 Jul 15 1997 finger
-r-xr-xr-x 1 bin bin 5944 Jul 15 1997 rdate
-r-xr-xr-x 1 bin bin 7228 Jul 15 1997 ruptime
-r-xr-xr-x 1 bin bin 26796 Jul 15 1997 stty
-r-x--s--x 1 bin mail 127540 Jul 15 1997 mailx
Se aprecian muchos binarios con permiso 's', algo muy delicado a tomar en
consideracion.
Nota 7: Tener MUCHO cuidado con aquellos binarios cuya ejecucion se produce
con permisos de otro usuario o grupo. Estos permitieron y aun
permiten; gracias a las fallas de programacion que algunos de estos
binarios poseen; explotarlos para elevar privilegios en el sistema.
Turno de relajarse y ver que hace este sistema.
> netstat | more
TCP
Local Address Remote Address Swind Send-Q Rwind Recv-Q State
-------------------- -------------------- ----- ------ ----- ------ -------
chanchan.unitru.edu.pe.33216 chanchan.unitru.edu.pe.6000 32768 0 32768
0 ESTABLISHED
chanchan.unitru.edu.pe.6000 chanchan.unitru.edu.pe.33216 32768 0 32768
0 ESTABLISHED
localhost.33218 localhost.33211 32768 0 32768 0 ESTABLISHED
localhost.33211 localhost.33218 32768 0 32768 0 ESTABLISHED
localhost.33221 localhost.33220 32768 0 32768 0 ESTABLISHED
localhost.33220 localhost.33221 32768 0 32768 0 ESTABLISHED
chanchan.unitru.edu.pe.telnet shorey.unitru.edu.pe.1031 7756 0 8760
0 ESTABLISHED
chanchan.unitru.edu.pe.telnet simbal.unitru.edu.pe.1060 7987 0 8760
0 ESTABLISHED
chanchan.unitru.edu.pe.telnet sarin.unitru.edu.pe.1033 8710 0 8760 0 ESTABLISHED
Tenemos 3 conecciones al puerto 'telnet' de este server; y si mal no
recuerdo al 'finger' anterior, estan haciendo uso de 'pico' para revisar su
correo. Tiene derecho, NO?
chanchan.unitru.edu.pe.pop asy659.rcp.net.pe.1339 8760 8191 8760 0 ESTABLISHED
Dejadme recordar!. Si la memoria NO me falla; esto debe ser un usuario que
pago sus dolares por un acceso a internet; y que en aquellos momentos esta
haciendo uso de su maravillosa cuenta 'pop'. :)
chanchan.unitru.edu.pe.telnet localhost.24079 33580 0 8760
0 ESTABLISHED
Si, asi es, ese soy yo.
chanchan.unitru.edu.pe.telnet simbal.unitru.edu.pe.1136 7955 0 8760
0 ESTABLISHED
chanchan.unitru.edu.pe.telnet 161.132.232.223.1026 8760 0 8760 0 ESTABLISHED
chanchan.unitru.edu.pe.smtp math.unitru.edu.pe.1653 31744 0 8760 0 TIME_WAIT
Oh!... mi estimado servidor 'math', si revisais RareGaZz 17, podeis
enterarse de la historia de dicho servidor.
chanchan.unitru.edu.pe.35748 relay1.rcp.net.pe.smtp 8760 0 8760 0 TIME_WAIT
chanchan.unitru.edu.pe.35749 relay3.rcp.net.pe.smtp 8760 0 8760 0 TIME_WAIT
chanchan.unitru.edu.pe.smtp relay1.rcp.net.pe.43791 8760 0 8760 0 TIME_WAIT
Ahora el server y sus 'hermanos' se relacionan con sus puertos 'smtp'. Que
viva el correo electronico! =)
chanchan.unitru.edu.pe.smtp firebrick.entel.cl.16955 49152 0 8760 0
TIME_WAIT
entel.cl? Chile?. Aprovechando que menciono a este pais -'Saludos a mi amigo
Ocsic!'. :X
chanchan.unitru.edu.pe.smtp 209.45.91.2.2341 8072 0 8760 0 TIME_WAIT
Active UNIX domain sockets
Address Type Vnode Conn Local Addr Remote Addr
f5cef010 stream-ord f59446a0 0 /tmp/.X11-unix/X0
f5cef310 stream-ord 0 0
Ahora es turno de 'mirar' algunos archivos que resultan de especial interes:
-> .rhosts
opera.rcp.net.pe root
opera.rcp.net.pe informix
amauta.rcp.net.pe root
uurcp1.rcp.net.pe root
motupe.rcp.net.pe root
Si mi memoria no me falla, esto permite una autentificacion mas directa con
este servidor. Cuidado alli!.
-> inetd.conf
#
#ident "@(#)inetd.conf 1.22 95/07/14 SMI" /* SVr4.0 1.5 */
#
#
# Configuration file for inetd(1M). See inetd.conf(4).
#
# To re-configure the running inetd process, edit this file, then
# send the inetd process a SIGHUP.
#
# Syntax for socket-based Internet services:
#
#
# Syntax for TLI-based Internet services:
#
# tli
#
# Ftp and telnet are standard Internet services.
#
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
Era evidente el hecho que esto estuviese habilitado, sino como explicar mi
presencia NO autorizada en este servidor? ;)
#
# Tnamed serves the obsolete IEN-116 name server protocol.
#
# name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
# LA SGTE LINEA NO DESHABILITARLA, GRACIAS. Enrique Vadillo - RCP Lima
shell stream tcp nowait root /usr/sbin/in.rshd in.rshd
Al leer la anterior linea 'incomentada' viene a mi mente la frase "no
password used". Y dan las gracias!.
# login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind
# exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd
# comsat dgram udp wait root /usr/sbin/in.comsat in.comsat
talk dgram udp wait root /usr/sbin/in.talkd in.talkd
Oh que horror!... talk!... que forma de comunicarse.
#
# Must run as root (to read /etc/shadow); "-n" turns off logging in utmp/wtmp.
#
uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd
#
# Tftp service is provided primarily for booting. Most sites run this
# only on machines acting as "boot servers."
#
#tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot
#
# Finger, systat and netstat give out user information which may be
# valuable to potential "system crackers." Many sites choose to disable
# some or all of these services to improve security.
#
finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd
Acaso estos tipos NO saben ingles; como lo dije en unas de mis notas
anteriores. NO finger!. Que ironico comentario: -informacion valiosa para
potenciales 'crackers de sistemas' =) Me siento aludido.
#systat stream tcp nowait root /usr/bin/ps ps -ef
#netstat stream tcp nowait root /usr/bin/netstat netstat -f inet
#
# Time service is used for clock synchronization.
#
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# Echo, discard, daytime, and chargen are used primarily for testing.
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#
#
# RPC services syntax:
# / rpc/ \
#
#
# can be either "tli" or "stream" or "dgram".
# For "stream" and "dgram" assume that the endpoint is a socket descriptor.
# can be either a nettype or a netid or a "*". The value is
# first treated as a nettype. If it is not a valid nettype then it is
# treated as a netid. The "*" is a short-hand way of saying all the
# transports supported by this system, ie. it equates to the "visible"
# nettype. The syntax for is:
# *||{[,]}
# For example:
# dummy/1 tli rpc/circuit_v,udp wait root /tmp/test_svc test_svc
#
# Solstice system and network administration class agent server
#100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
#
# Rquotad supports UFS disk quotas for NFS clients
#
#rquotad/1 tli rpc/datagram_v wait root /usr/lib/nfs/rquotad rquotad
#
# The rusers service gives out user information. Sites concerned
# with security may choose to disable it.
#
#rusersd/2-3 tli rpc/datagram_v,circuit_v wait root /usr/lib/netsvc/rusers/rpc.rusersd
rpc.rusersd
#
# The spray server is used primarily for testing.
#
#sprayd/1 tli rpc/datagram_v wait root /usr/lib/netsvc/spray/rpc.sprayd rpc.sprayd
#
# The rwall server allows others to post messages to users on this machine.
#
#walld/1 tli rpc/datagram_v wait root /usr/lib/netsvc/rwall/rpc.rwalld
rpc.rwalld
#
# Rstatd is used by programs such as perfmeter.
#
#rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
#
# The rexd server provides only minimal authentication and is often not run
#
#rexd/1 tli rpc/tcp wait root /usr/sbin/rpc.rexd rpc.rexd
#
# rpc.cmsd is a data base daemon which manages calendar data backed
# by files in /var/spool/calendar
#
#100068/2-4 dgram rpc/udp wait root /usr/openwin/bin/rpc.cmsd rpc.cmsd
#
# Sun ToolTalk Database Server
#
#100083/1 stream rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
#
# UFS-aware service daemon
#
#ufsd/1 tli rpc/* wait root /usr/lib/fs/ufs/ufsd ufsd -p
#
# Sun KCMS Profile Server
#
#100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server
#
# Sun Font Server
#
#fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
#
pop stream tcp nowait root /usr/local/etc/qpopper qpopper
pop2 stream tcp nowait root /usr/local/etc/qpopper qpopper
# popmaster
#popmd stream tcp nowait root /usr/local/popm/bin/popmd popmd
Nota 8: Tener cuidado al editar el archivo inetd.conf; pensar muy bien que
servicios habilitar o deshabilitar, y darse un tiempo para leer los
sabios 'consejos' que este archivo brinda.
Recuerdo a los files; networks, protocols, services, netconfig, y mas; pero
creo innecesario colocarlos aqui.
Pero vosotros diran: Donde esta el passwd, y el shadow?.
Aqui esta un fragmento, recuparado de uno de mis backups.
majordomo:x:98:20:Majordomo:/usr/smail/majordomo-1.94.4:/bin/true
Postmaster:K.60i2aBnI9wI:113:20:Postmaster Nodo INTERNET-UNT,Ciudad Universitaria -
UNT (Edificio de Matematicas),(51-44) 26 13 43 Anexo 282,:/usr/u/Postmaster:/bin/csh
aalp:3xt6LdMfvx5Ng:1350:11:Abraham A. Luyo Padilla (Prof. Microbiologia y Parasit.
UNT):/usr/c/aalp:/usr/local/rcpshells/cabinash
adm:NP:4:4:Admin:/var/adm:
admision:KABQIXrlcyF62:20:101:UUCP admision:/var/spool/uucppublic:/usr/lib/uucp/uucico
aemt:vNH3E7AeY.b3Q:1349:11:Adriana E. Miranda Troncoso (Prof. Educacion - UNT):
/usr/c/aemt:/usr/local/rcpshells/cabinash
aeta:DZIcpbd2tdtyY:1345:11:Alvaro E. Tresierra Aguilar (Prof. Pesqueria - UNT):
/usr/c/aeta:/usr/local/rcpshells/cabinash
aeta:DZIcpbd2tdtyY:1513:11:Tresierra Aguilar Alvaro :/usr/i/aeta:/usr/local/rcpshells/rcpsh
agbet:v5E3xcQMe9m56:1454:11:Aurora Genevieve Betson (Prof. Centro Idiomas UNT):
/usr/c/agbet:/usr/local/rcpshells/cabinash
agpv:LO7J/PCr3QS1Q:1646:11:Angela Guadalupe Pesantes Valdivia (Prof. Postgrado UNT):
/usr/c/agpv:/usr/local/rcpshells/cabinash
<-- cut -->
robr:aMATMBenz9PxU:1321:11:Rosa O. Baquedano Rubio (Prof. Farmacia UNT):/usr/c/robr:
/usr/local/rcpshells/cabinash
root:bAlbJtVoZrqug:0:1:Super-User:/:/sbin/sh
rorr:SyH3erW4F3KJU:1314:11:Roberto Rodriguez Rodriguez (Prof. Biologicas UNT):
/usr/c/rorr:/usr/local/rcpshells/cabinash
rotac:4AhH7OxNLks9s:1319:11:Robert Tantalean Carrasco (Prof. Quimica UNT):
/usr/c/rotac:/usr/local/rcpshells/cabinash
rprada:CU.ik.6OB9/xo:112:20:Robert Prada Marchena (Postmaster/Operador):/usr/u/rprada:
/bin/csh
rvv:i3uiXcgRSceCM:1358:11:Ronald Villacorta Velasquez (Prof. Farmacia y Bioq. - UNT):
/usr/c/rvv:/usr/local/rcpshells/cabinash
<-- cut -->
Y asi continua un listado de casi 600 usuarios.
Como vosotros pueden ahora confirmar, SOLO algunos usuarios tienen un
/bin/csh; los demas 'mortales' un /usr/local/rcpshells/cabinash.
6. Saliendo:
A modo de ocaso del presente texto, voy a a~adir informacion adicional que
creo relevante.
Existia un comando que me dio informacion de todos los usuarios existentes
en el sistema; con el cual puedo corroborar los datos de los propietarios de
las cuentas utilizadas para el ingreso al servidor.
eelitsa Empresa Editora La Industria de Trujillo S.A
kits Kits RCP,,,
leba Abel del Carpio - RCP Lima,RCP Lima,,
Recuerdo haber utilizado algunas mas, pero sus claves fueron cambiadas
despues de ser utilizadas por mi. :(
Y aprovechando que me estoy 'confesando' y expresando mis pecados. :) Debo
decir tambien que se 'obtuvo' muchas cuentas de acceso a internet Totalmente
GRATIS, gracias al descuido de los administradores. Mientras unos pagaban a la
RCP, por sus cuentas doradas, plateadas, y no se que mas... OTROS, disfrutaban
de acceso Gratuito, para fines educativos. :O)
Colocaria aqui un par de esas 'cuentas', pero el cd-rom en el cual estan, lo
tengo da~ado.
Finalmente fue posible 'obtener' mucha mas informacion relevante de este
server y tambien de los administradores de este; como documentos, imagenes,
bases de datos, codigos, etc, etc. Asuntos que no creo conveniente ventilar
aqui. =)
7. Final:
Si os preguntais: -'Y el root?, te hiciste root?'. Mi respuesta seria la
siguiente: -Despues de haber leido todo lo anterior, crees necesario el que te
lo diga?. Si lo fui o NO; no es el punto.
Repito!. NO estoy insitando a nadie a 'irrumpir' en sistemas informaticos.
YO no me hago responsable de las tonterias que puedas comenter. No hay que
meterse en sistemas ajenos para ser 'hackers', hay muchisimas formas de
aportar al mundo de la informatica y mejorar la integridad y seguridad de los
sistemas.
Siempre que narro uno de mis ingresos a 'servidores', lo hago con el
proposito de mostrar lo relativamente 'facil' que es ingresar y potencialmente
hacer lo que se desee, aprovechando cualquie tipo de falla.
Cada historia es diferente al igual que cada sistema.
Hasta siempre...
ReYDeS - ReYDeS@bigfoot.com
" El mejor hack que hize, fue a una mujer;
y hasta el dia de hoy, NO puedo borrarla
de mis logs. "
Y.O.
<<::RareGaZz::>>
|