Сегодня мы должны чествовать победителя.
Но чествовать некого 🙁 Все ответы были
слишком далеки от действительности. Все по
порядку.

UK, UtepovK@hsbk.kz
ОС – Windows 98 Сервисы: Сервер WWW- Apache/1.3.22 Сеть
класса С что самое интересное: расположение:
http://www.microsoft.com/rus файруоллом защитились а
дальше хрен его знает как что узнать 

Эххх, жертва xspider’а, один из многих…

Biohit, biohit7@yahoo.com
Машинка под Win32 системой. Апач говорит
правда, что маздайка 98, но скорее всего НТ.
Заодно редиректит на мелкософт. Сервисы (не зарубленные
файрволом) из мира видны: на 80 порту как уже
было сказано — Апач под Win32, LDAP на 389 порту,
loc-srv на 135 порту, srvloc на 427 порту и на 445 висит
microsoft-ds. Короче самая обычная Windows система.
Нетбиос либо не поднят, либо зарублен
файрволом из мира. Чтобы получить контроль
над машиной надо либо вам ребята Апач
нормально поднять (а то он в 302 Moved Temporarily) или
еще добавить каких-нибудь дырявых сервисов. 

LDAPа у меня отродясь не было, как ты его мог
"увидеть"?! Если подконнектится к
портам 135, 427 и 445, то видно, что это никакие не
loc-srv, srvloc и microsoft-ds 🙂 Кстати, апач никогда не
говорит Apache (Win98). Виндовый Апач говорит Win32.

Ufo_Log, ufo_log@xakep.ru 
А это настоящие данные, или подстава?: <ADDRESS>Apache/1.3.22
Server at mandraka8 Port 80</ADDRESS> ?? 

Эту строку Апач берет из httpd.conf. Она вполне
"настоящая", хотя если бы и нет, какое
это отношение имеет к поставленной задаче?

ReGul, Rgul_lux@newmail.ru
Win NT FTP — none HTTP Server Melkosoft IIS/5.0 HTTP Servise HTTP/1.1

Закусывать надо (с).

и опять Biohit, biohit7@yahoo.com
Организатору : Хватит детишкам-хацкерам
мозги пудрить. По TTL ICMP-пакетов видно, что
это околовиндовая машина….Более того, по
всей видимости эта машина ВООБЩЕ для понту
там стоит или там весь входящий траффик
зарублен файрволом. 

TTL ICMP-пакетов у меня изменялся при каждой
перезагрузке, поэтому это не есть хороший
метод. Как видишь, мозги запудрились не
только у детишек-хацкеров, но и у такого
большого и умного дяди как ты. А машины,
забегая вперед, вообще не было, строго
говоря. После твоего замечания алгоритм
генерации TTL был еще раз изменен — теперь TTL
зависит от микросекундного таймера. 

SoX, мыло не оставил
taks… 195.209.178.41/scripts/cmd.exe?/c+dir …mda… umnik odnako 🙂 4isto
teoreti4eski: tam NT`ea i iz pod nei zapushen Apache 4erez vmware… am moj` i
net… 

Этим cmd.exe я особенно горжусь 🙂 Еще у меня был
unicode bug, его несколько человек нашли, но во
мнения ничего не написали. Наверное, так и
не потеряли надежды утянуть SAM’ы с моего
линуха 🙂

Надеюсь, те, чьи ответы тут не прозвучали,
не очень обидятся 🙂 А вот самые лучшие
ответы:

dev0id, dev0id@mail.ru 
Ну начнем с малого и глупого — поставим SSS.
Зашел по WWW, переслали на сайт майкрософта=>
стоит редирект. Просканили порты, открыты
какие-то, а на доступ разрешен только 80й.
Сканер сказал, что это Апач для виндовс98,
хотя зайдя в диру /scripts/  & /cgi-bin/ мне
сказали, что это Мандрэйк версии 8 (могли и
обмануть=) , в папке /scripts/ лежит cmd.exe-фэйк (будто
бы показывает содержание  вин диры, хотя
я думаю, что это перловый скрипт).  Вообще
сканер заявил, что стоит Апач и даже нашел
несколько "дырок"=))) может
действительно он стоит

На самом деле перловый скрипт! Информации
не особо много, но не одной ошибки!

Алексей, error@pochtamt.ru, он же Error из Domain Hell
Имя машины — mandraka8 
Система — точно не win32 %))), так как
реализовать постоянно изменяющийся
рандомный TTL весьма и весьма геморройно на
этой платформе ;-))). Насчёт версии не уверен,
может быть мандрейк и есть ;-), ну или редхат.
Также есть ftp server, отрулен ый правилами ipchains.
Веб сервер Apache 1.3.22 с весёлой припиской Win98
%))). Тот кто всё это придумал, не лишён
некоторого чувства юмора — при запросе http://195.209.178.41/scripts/cmd.exe?/c+dir
выдаётся липовое содержимое директории c:\windows,
явно выдранное из текстового файла %) (кстати,
автору — отработка команды dir выглядит на
самом деле немного по другому ;-)))). Прочие
"явно" открытые порты скорее всего
липа, служащая для отвода глаз, скорее всего
реализованы на blockd или его аналоге ;-). Вот
так то вот …  P.S. Fingerprints если честно влом
было смотреть %)))), а насчёт TTL всё же весело
придумано ;-). 

"Мандрака" прописано в httpd.conf. ОС —
действительно redhat, хотя это и было чистой
догадкой. Никакого ftp нет, файрвол у прова,
зачем он его поставил — хз. Веб-сервер —
действительно Апач 1.3.22. Прочие порты
действительно открыты для отвода глаз, и то,
что использовался аналог blockd — тоже
совершенно верно. На самом деле был
использован tcpd /bin/false, а blockd в свое время был
написан мной как расширение возможностей
tcpd 🙂 Идею рандомного TTL, каюсь,
позаимствовал у фирмы blacksun, вот сделайте ping www.blacksun.ru
😉

Ну и наконец — описание системы и способа
решения головоломки.

Система — Redhat 6, ядро linux 2.2.15, реализация TCP/IP
исковеркана до полной неузнаваемости "автоломалками"
— изменен алгоритм выбора окна, ISS, убран UDP
port unreach, случайный TTL ICMP reply. Впрочем, было
явно видно, какая часть TCP fingerprint’а
исковеркана, а какая — оставлена, так что OS
можно было определить как linux2.2 — 2.4. Впрочем,
это не лучший способ, о чем ниже. Веб-сервер —
на самом деле Апач, определить это можно
было по характерному сообщению forbidden.
Отличить настоящие сервисы от поддельных
тоже несложно — при коннекте к поддельным
соединение сразу рвется, так себя не ведет
никакой сервис, кроме разве что blockd 😉

Вся система была запущена из-под VMWare с
другого хоста из той же сети, в котором
заботливо был оставлен доступ через
нетбиос и несколько экаунтов с админскими
правами без пароля, и стоял RAdmin. Для
получения полного контроля над машиной, в
том числе и виртуальной (linux из-под VMWare)
этого более чем достаточно.

Задача решалась очень просто, но
требовала нестандартного подхода.
Головоломки нужно решать не с помощью
автоломалок, а с помощью головы. А для
господ, которые по какой-либо причине не
могут ей воспользоваться, существует
специальный раздел сайта, способствующий
развитию воображения и кистей рук. Добро
пожаловать!

Оставить мнение

Check Also

ФБР обвинило иранского правительственного хакера во взломе HBO и вымогательстве 6 млн долларов

ФБР и Министерство юстиции США, сообщили, что нашли виновного во взломе HBO и преждевремен…