Pequeña auditoría de seguridad
Publicado: 07 Nov 2004 16:42
Hola!
Hace poquito, alguien pidió a otro alguien que mirara un poco a ver qué encontraba en su ordenador, si todo estaba seguro y tal.
Todo se mantuvo por privados, y al final, con el consentimiento del que lo hizo y el que lo recibió, se nos permite leerlo, a lo mejor lo encuentran interesante.
Ni el que lo hizo ni el que lo recibió tampoco es que sepan una barbaridad, más bien nada, comparado con lo que otra gente sabe, así que no se vayan a creer que están leyendo la historia del Kevin Mitnick. Pero puede que lo encuentren interesante.
IPs y demás cosillas comprometedoras eliminadas.
Al final, lo de la PDA era cierto, pero lo del router no... la solución era tan sencilla que el andoba que hacía las pruebas no se la creyó... simplemente un modem!
Después de arreglar los fallos indicados (y por cierto... si que era vulnerable! es decir, a través de su software no parcheado, se hubieran podido ejecutar órdenes de sistema), el sujeto ha consentido en publicarlo para el entretenimiento del respetable.
The human and places shown in the movie are ficticious.
Cualquier parecido con la realidad es pura coincidencia.
No TCP annimals where harmed during the making of this movie.
Hace poquito, alguien pidió a otro alguien que mirara un poco a ver qué encontraba en su ordenador, si todo estaba seguro y tal.
Todo se mantuvo por privados, y al final, con el consentimiento del que lo hizo y el que lo recibió, se nos permite leerlo, a lo mejor lo encuentran interesante.
Ni el que lo hizo ni el que lo recibió tampoco es que sepan una barbaridad, más bien nada, comparado con lo que otra gente sabe, así que no se vayan a creer que están leyendo la historia del Kevin Mitnick. Pero puede que lo encuentren interesante.
IPs y demás cosillas comprometedoras eliminadas.
Bueno, bueno, bueno.
Veamos qué tenemos por acá:
Jojojojo...
xx.xxx.xxx.xxx 6969 open
xx.xxx.xxx.xxx 5679 open
xx.xxx.xxx.xxx 5000 open
xx.xxx.xxx.xxx 1755 open
xx.xxx.xxx.xxx 1720 open
xx.xxx.xxx.xxx 80 http open
madre!
A ve, el puerto 80 no responde, debe estar filtrado.
El 5000... no era esa mierda de las remote procedure call del XP?
el 1720 y el 1755 me suenan al puto windows media player... si, el 1755 es el típico ms-streaming.
Y el 5679 no se qué coño hace.
Veamos un poquitín de banner grabbing...
Accediendo al 6969:
220 Serv-U FTP Server v5.0 for WinSock ready...
Bingo, ese es el FTP.
A ve qué dicen los demás al hacer un telnet modo texto...
el 80 ni responde, no dice nada. Conecta, pero no da banner ni le encuentro ninguna entrada que lo haga reaccionar. Suena a filtrado.
A ve el 5000...
Lo mismo.
el 5679 es un poco más rarito, al meterle unos cuantos carácteres, como no obtiene lo que espera, desconecta. He probado con los inicios de unos cuantos protocolos, y nada. hum...
Vale. Banner grabbing terminado, solo devuelve un saludo el puerto 6969.
Pues ahora a ve qué encuentro por ahí de esos puertos...
hum: puerto 5000: http://www.seifried.org/security/ports/5000/5000.html
Bueno, si, lo del plug & play de windows XP. Ya lo había oído, pero me parece que el WMI entra por allá...
Bueno, si que es vulnerable, pero parece que ya estará parcheado, tal como dice aquí:
http://isc.sans.org/diary.php?date=2004-05-17
También hablan de el aquí:
http://www.securiteam.com/windowsntfocus/6K0010K35G.html
De todos modos, es un buen modo de saber que tienes un XP.
A ver los otros...
http://www.seifried.org/security/ports/5000/5679.html
Ajá... qué será eso del dccm???
A ve...
5679 TCP dccm Direct Cable Connect Manager
Ah.
Vale, en fin... manager de conexion directa por cable? En fin, no aparece en ningún sitio relacionado con ninguna vulnerabilidad conocida... A ve el packetstorm...
Bueno... hemos tenido más suerte! pero no en packetstorm, sino en securiTeam.
http://www.securiteam.com/windowsntfocus/5AP0O0U9FC.html
Hombre, es antiguo, Marzo del 2003, así que no creo que funcionara... pero si quieres probarlo ahí está. O mirar si el sistema para conectar es el denominado vulnerable... ActiveSync version 3.5
Por cierto, esto parece querer decir que tienes una PALM o algo asín conectao.
Vamos a por el windows media player!
hum, el 1755 llevo tiempo oyendo hablar de él. Y si que tenía un fallote, creo... a ve si recuerdo...
http://www.securityspace.com/smysecure/catid.html?viewsrc=1&id=12090
Vale. Lo que pasa es que todo lo que te estoy contando es antiguo, lo más probable es que ya tengas los parches para eso.
Y el 1720 mira que es rarito:
http://www.seifried.org/security/ports/1000/1720.html
A ver qué se dice por ahí de ese...
http://www.securiteam.com/securitynews/5HP0C0UBPK.html
Mira, y este es nuevo! Lo que pasa es que me da que este protocolo es muy usado en más sitios... como por ejemplo este.
http://www.securiteam.com/exploits/6Z00P0A02I.html
Vale, creo que simplemente es que tienes instalado netmeeting, o algún otro sistema abierto para el traspaso de datos de voz (que parecen ser los mensajes H.323.
Quizá el propio messenger, pero no creo, si no a mi también me lo daría. O bien, también podría ser que tuvieras por ahí algun cacharro Cisco que se dedique a abrir un puerto para mensajes de voz. No che.
Bueno, y esto es todo.
Recuerda, en principio todo lo que estamos viendo es viejo, porque es que si no estás metido y bien metido en la Scene, te enteras de los fallos que hubo muy muy tarde. Pero eso no quiere decir que los que si que están metidos en la scene no hayan encontrado nuevos fallos y los estén usando. Lo único que tenemos a favor es que los que realmente pueden, son muy pocos y están muy lejos y se dedican a otras cosas.
En cuanto al FTP:.. je... conectate a tu propio ftp con
telnet localhost 6969
Copia el texto que te devuelve.
Pegalo en el google, y mira la primera página.
http://www.winnetmag.com/Article/ArticleID/43679/43679.html
jejeje, fresquito fresquito. del 15 de Agosto del 2004.
jurjur.
Ala, listo.
Diagnóstico:
Router con filtro configurable por el puerto 80 solo desde lado LAN, configurado en monopuesto, porque si no no se verían los puertos abiertos a través de él.
Puede que el router sea Cisco.
Recomendación: Yo le quitaba el monopuesto.
Va, dime si tengo razón, y déjame ponerlo en público quitando las IP's, que queda chulo.
Al final, lo de la PDA era cierto, pero lo del router no... la solución era tan sencilla que el andoba que hacía las pruebas no se la creyó... simplemente un modem!
Después de arreglar los fallos indicados (y por cierto... si que era vulnerable! es decir, a través de su software no parcheado, se hubieran podido ejecutar órdenes de sistema), el sujeto ha consentido en publicarlo para el entretenimiento del respetable.
The human and places shown in the movie are ficticious.
Cualquier parecido con la realidad es pura coincidencia.
No TCP annimals where harmed during the making of this movie.