Сегодня мы должны чествовать победителя.
Но чествовать некого 🙁 Все ответы были
слишком далеки от действительности. Все по
порядку.
UK, UtepovK@hsbk.kz
ОС – Windows 98 Сервисы: Сервер WWW- Apache/1.3.22 Сеть
класса С что самое интересное: расположение:
http://www.microsoft.com/rus файруоллом защитились а
дальше хрен его знает как что узнать
Эххх, жертва xspider'а, один из многих...
Biohit, biohit7@yahoo.com
Машинка под Win32 системой. Апач говорит
правда, что маздайка 98, но скорее всего НТ.
Заодно редиректит на мелкософт. Сервисы (не зарубленные
файрволом) из мира видны: на 80 порту как уже
было сказано - Апач под Win32, LDAP на 389 порту,
loc-srv на 135 порту, srvloc на 427 порту и на 445 висит
microsoft-ds. Короче самая обычная Windows система.
Нетбиос либо не поднят, либо зарублен
файрволом из мира. Чтобы получить контроль
над машиной надо либо вам ребята Апач
нормально поднять (а то он в 302 Moved Temporarily) или
еще добавить каких-нибудь дырявых сервисов.
LDAPа у меня отродясь не было, как ты его мог
"увидеть"?! Если подконнектится к
портам 135, 427 и 445, то видно, что это никакие не
loc-srv, srvloc и microsoft-ds 🙂 Кстати, апач никогда не
говорит Apache (Win98). Виндовый Апач говорит Win32.
Ufo_Log, ufo_log@xakep.ru
А это настоящие данные, или подстава?: <ADDRESS>Apache/1.3.22
Server at mandraka8 Port 80</ADDRESS> ??
Эту строку Апач берет из httpd.conf. Она вполне
"настоящая", хотя если бы и нет, какое
это отношение имеет к поставленной задаче?
ReGul, Rgul_lux@newmail.ru
Win NT FTP - none HTTP Server Melkosoft IIS/5.0 HTTP Servise HTTP/1.1
Закусывать надо (с).
и опять Biohit, biohit7@yahoo.com
Организатору : Хватит детишкам-хацкерам
мозги пудрить. По TTL ICMP-пакетов видно, что
это околовиндовая машина....Более того, по
всей видимости эта машина ВООБЩЕ для понту
там стоит или там весь входящий траффик
зарублен файрволом.
TTL ICMP-пакетов у меня изменялся при каждой
перезагрузке, поэтому это не есть хороший
метод. Как видишь, мозги запудрились не
только у детишек-хацкеров, но и у такого
большого и умного дяди как ты. А машины,
забегая вперед, вообще не было, строго
говоря. После твоего замечания алгоритм
генерации TTL был еще раз изменен - теперь TTL
зависит от микросекундного таймера.
SoX, мыло не оставил
taks... 195.209.178.41/scripts/cmd.exe?/c+dir ...mda... umnik odnako 🙂 4isto
teoreti4eski: tam NT`ea i iz pod nei zapushen Apache 4erez vmware... am moj` i
net...
Этим cmd.exe я особенно горжусь 🙂 Еще у меня был
unicode bug, его несколько человек нашли, но во
мнения ничего не написали. Наверное, так и
не потеряли надежды утянуть SAM'ы с моего
линуха 🙂
Надеюсь, те, чьи ответы тут не прозвучали,
не очень обидятся 🙂 А вот самые лучшие
ответы:
dev0id, dev0id@mail.ru
Ну начнем с малого и глупого - поставим SSS.
Зашел по WWW, переслали на сайт майкрософта=>
стоит редирект. Просканили порты, открыты
какие-то, а на доступ разрешен только 80й.
Сканер сказал, что это Апач для виндовс98,
хотя зайдя в диру /scripts/ & /cgi-bin/ мне
сказали, что это Мандрэйк версии 8 (могли и
обмануть=) , в папке /scripts/ лежит cmd.exe-фэйк (будто
бы показывает содержание вин диры, хотя
я думаю, что это перловый скрипт). Вообще
сканер заявил, что стоит Апач и даже нашел
несколько "дырок"=))) может
действительно он стоит
На самом деле перловый скрипт! Информации
не особо много, но не одной ошибки!
Алексей, error@pochtamt.ru, он же Error из Domain Hell
Имя машины - mandraka8
Система - точно не win32 %))), так как
реализовать постоянно изменяющийся
рандомный TTL весьма и весьма геморройно на
этой платформе ;-))). Насчёт версии не уверен,
может быть мандрейк и есть ;-), ну или редхат.
Также есть ftp server, отрулен ый правилами ipchains.
Веб сервер Apache 1.3.22 с весёлой припиской Win98
%))). Тот кто всё это придумал, не лишён
некоторого чувства юмора - при запросе http://195.209.178.41/scripts/cmd.exe?/c+dir
выдаётся липовое содержимое директории c:\windows,
явно выдранное из текстового файла %) (кстати,
автору - отработка команды dir выглядит на
самом деле немного по другому ;-)))). Прочие
"явно" открытые порты скорее всего
липа, служащая для отвода глаз, скорее всего
реализованы на blockd или его аналоге ;-). Вот
так то вот ... P.S. Fingerprints если честно влом
было смотреть %)))), а насчёт TTL всё же весело
придумано ;-).
"Мандрака" прописано в httpd.conf. ОС -
действительно redhat, хотя это и было чистой
догадкой. Никакого ftp нет, файрвол у прова,
зачем он его поставил - хз. Веб-сервер -
действительно Апач 1.3.22. Прочие порты
действительно открыты для отвода глаз, и то,
что использовался аналог blockd - тоже
совершенно верно. На самом деле был
использован tcpd /bin/false, а blockd в свое время был
написан мной как расширение возможностей
tcpd 🙂 Идею рандомного TTL, каюсь,
позаимствовал у фирмы blacksun, вот сделайте ping www.blacksun.ru
😉
Ну и наконец - описание системы и способа
решения головоломки.
Система - Redhat 6, ядро linux 2.2.15, реализация TCP/IP
исковеркана до полной неузнаваемости "автоломалками"
- изменен алгоритм выбора окна, ISS, убран UDP
port unreach, случайный TTL ICMP reply. Впрочем, было
явно видно, какая часть TCP fingerprint'а
исковеркана, а какая - оставлена, так что OS
можно было определить как linux2.2 - 2.4. Впрочем,
это не лучший способ, о чем ниже. Веб-сервер -
на самом деле Апач, определить это можно
было по характерному сообщению forbidden.
Отличить настоящие сервисы от поддельных
тоже несложно - при коннекте к поддельным
соединение сразу рвется, так себя не ведет
никакой сервис, кроме разве что blockd 😉
Вся система была запущена из-под VMWare с
другого хоста из той же сети, в котором
заботливо был оставлен доступ через
нетбиос и несколько экаунтов с админскими
правами без пароля, и стоял RAdmin. Для
получения полного контроля над машиной, в
том числе и виртуальной (linux из-под VMWare)
этого более чем достаточно.
Задача решалась очень просто, но
требовала нестандартного подхода.
Головоломки нужно решать не с помощью
автоломалок, а с помощью головы. А для
господ, которые по какой-либо причине не
могут ей воспользоваться, существует
специальный раздел сайта, способствующий
развитию воображения и кистей рук. Добро
пожаловать!