Avisar de contenido inadecuado

preparacion para un ataque informatico

{
}


|¿Como Xplotar el Bug de NetBIOS y no morir en el intento? 1.01 BETA|

Lo que voy a explicar es como configurar un Windows para poder Xplotar este famoso bug.

Ante todo, llega la parte aburrida:

¿Que es el NetBIOS?
'''''''''''''''''''
NetBIOS (Network Basic Input/Output System) fue originalemtente originado por IBM y Sytek como aplicacion API en
software de clientes para acceder a recursos LAN. NetBIOS es una especificacion de interfase para acceder a servicios de networking.
Mas informacion sobre esto, lean el Excelente texto de Understanding NetBIOS
 por NeoSurge (Si me estas leyendo NeoSurge, aunque lo dudo porque hablas ingles, Lindo texto te hiciste)
 www.x-treme.abyss.com/techvoodoo/rhino9

Lo que explique yo, fue una "Sintezis de Sintezis de Resumen" de lo que el NetBIOS es mucho
mas complejo.

¿Como configuro el NetBIOS en mi Windows 95?

Bueno, es facil, esta configuracion funciona, quizas haya algunas cosillas de mas, pero es la
configuracion que me explico mi amigo DarkFang (gracias Dark por kedarte 1 hora explicandome!)

Primero vayan a "PANEL DE CONTROL"
Una vez alli elijan Redes.
Aqui seguramente tengan instalado:
- Adaptador de acceso Telefonico a redes y TCP/IP
Bueno, nosotros tenemos que instalar los siguientes protocolos, servicios, etc..
(Vayan buscando en las listitas que los vana a encontrar, siempre estan en la parte que dice:
MICROSOFT, menos el Netware)
Instalar esto:

* Cliente para redes MIcrosoft
* Cliente para redes NetWare
* NetNEUI
* Protocolo compatible con IPX/SPX
* Compartir impresoras y archivos para redes Microsoft
Una vez que eligieron todo, fijense que hay una Solapa que dice:
IDENTIFICACION
Fijense en las opciones "Nombres de PC" y "Grupo de Trabajo"
Ahi pongan los que ustedes quieran, cualquier cosa...

Bueno, ya falta poco...
Ahora vayan a MI PC y luego a ACCESO TELEFONICO A REDES
Alli van a encontrar 2 iconos, uno es "Realizar Nueva coneccion" y el otro es el que vamos a
utilizar y que puede tener varios nombres, el mas comun es "Mi conexion"
Aqui clikeamos el boton de la derecha del Mouse y ponemos PROPIEDADES
Luego, vamos a la solapa "Tipo de Servidor" ahi tenemos que tildar (poner un tick)
a las siguientes opciones:

                                             mn

* Conectarse a la Red
* NetBEUI
* TCP/IP
* Compatible con IPS/SPX
Falta algo mas, esto es importante. Fijense si tienen en su HD el archivo vnbt.386
Quizas lo puedan tener asi: vnbt.bak
Si recuerdan algo sobre Nukes, el Nuke Explotaba un bug en el archivo vnbt.386 Por eso para
protegerse de los Nukes, la mayoria de los "Anti-Nukes" lo que hacen es renombrar ese archivo
a vnbt.bak Sin este archivo es imposible utilizar el bug, por lo tanto tienen que tenerlo.
(¿Recuerdan que puerto atacaba el nuke? Si!! el 139, el del NETBIOS!)

Ahora ya podemos iniciar la maquina y VOILA! el Netbios ya funciona.

Como Detectar si una maquina tiene el Netbios Instalado

Hay varias formas de hacerlo, ante todo cuando le hacemos un port scan al server si el Puerto
139 esta abierto, eso es una buena señal ya que ese el puerto que utiliza el Netbios.

Hay Scanner del Bug NetBIOS muy interesantes como el que nos trae la gente de l0pth, el
"LEGION" (Funciona en Windows 98/NT, para que funque en Win95 tienes que tener instalado un par
de cosas). En este programa vos colocas un rango de IPS que queres que sean Scaneadas y a gran
velocidad escanea todas las IPS hasta que encuentra algo. (Gracias DarkmanX por la
recomendacion).

Vamos a los Bifes
Bueno, una vez que ya reinciamos la maquina y estamos en Internet listo para atacar nuestra
maquina empezamos probando con esto:
Vamos a el icono dentro de Programas llamado MS-DOS
Aqui ponemos:
nbtstat -A 200.42.120.11
o tambien podemos colocar un host:
nbtstat -a host021179.arnet.com.ar

Si seguimos los pasos correctamente y colocamos todo bien, nos tiene que poner
algo como esto:

       NetBIOS Remote Machine Name Table

   Name               Type         Status
---------------------------------------------
DATARAT        <00>  UNIQUE      Registered
R9LABS         <00>  GROUP       Registered
DATARAT        <20>  UNIQUE      Registered
DATARAT        <03>  UNIQUE      Registered
GHOST          <03>  UNIQUE      Registered
DATARAT        <01>  UNIQUE      Registered

Si les aparece esto:
>Failed to access NBT driver 1
Se mandaron una macana al configurarlo
>Host not Found
Hay dos razones, una puede ser que la direccion IP no tenga el Netbios instalado o la otra
que me ocurrio a mi, que su proovedor este bajo un Firewall, por lo tanto dejen de lado el
NetBIOS o cambien de proovedor.

Del resultado del nbtstat se pueden aprender cosas muy interesante utilizando esta
tabla:

Name   Number  Type  Usage
=========================================================================
<computername> 00  U  Workstation Service
<computername> 01  U  Messenger Service
<\\_MSBROWSE_> 01  G  Master Browser
<computername> 03  U  Messenger Service
<computername> 06  U  RAS Server Service
<computername> 1F  U  NetDDE Service
<computername> 20  U  File Server Service
<computername> 21  U  RAS Client Service
<computername> 22  U  Exchange Interchange
<computername> 23  U  Exchange Store
<computername> 24  U  Exchange Directory
<computername> 30  U  Modem Sharing Server Service
<computername> 31  U  Modem Sharing Client Service
<computername> 43  U  SMS Client Remote Control
<computername> 44  U  SMS Admin Remote Control Tool
<computername> 45  U  SMS Client Remote Chat
<computername> 46  U  SMS Client Remote Transfer
<computername> 4C  U  DEC Pathworks TCPIP Service
<computername> 52  U  DEC Pathworks TCPIP Service
<computername> 87  U  Exchange MTA
<computername> 6A  U  Exchange IMC
<computername> BE  U  Network Monitor Agent
<computername> BF  U  Network Monitor Apps
<username>  03  U  Messenger Service
<domain>  00  G  Domain Name
<domain>  1B  U  Domain Master Browser
<domain>  1C  G  Domain Controllers
<domain>  1D  U   Master Browser
<domain>  1E  G  Browser Service Elections
<INet~Services> 1C  G  Internet Information Server
<IS~Computer_name> 00  U  Internet Information Server
<computername> [2B]  U  Lotus Notes Server
IRISMULTICAST [2F]  G  Lotus Notes
IRISNAMESERVER [33]  G  Lotus Notes
Forte_$ND800ZA [20]  U  DCA Irmalan Gateway Service


Unique (U): El nombre tiene solo una IP asignada a el. (Comunmente una persona
se intenta conectar al UNIQUE, por lo menos eso es lo que me dice DarkFang)

Group (G): Un grupo normal; el nombre puede tener asignadas muchas IPs.

Multihomed (M): El nombre es unico, pero no se que mierda dice, es dificil de traducir esto...
dice algo como: muchas interfaces de red en la misma computadora.

Internet Group (I): Configuracion especial para el nombre del grupo que usan nombres de
dominio WinNT.

Domain Name (D): Nuevo en NT 4.0.

(Nuevamente, la tabla es cedida por nuestro compañeros Yankees y master del NT NeonSurge deRinho9)
Con esta tabla pueden ver que cosas tienen instalada la maquina, que servicios utilizan y otras
cosas mas. "Comparen y aprendan"

Ahora les voy a explicar una forma segun lo hacian nuestros amigos de Rinho9
Una vez que tenian la direccion, pones:

C:\>net view \\0.0.0.0
Shared resources at \\0.0.0.0


Share name   Type         Used as  Comment

-------------------------------------------------------------------------------
Accelerator  Disk                  Agent Accelerator share for Seagate backup
Inetpub      Disk
mirc         Disk
NETLOGON     Disk                  Logon server share
www_pages    Disk
The command completed successfully.

Esto nos va a dar una lista de los archivos y recursos compartidos
Una vez que tenemos esto, una ejemplo de un ataque podria ser:

c:\>net use x: \\0.0.0.0\inetpub
(Nota: Este ataque solo funciona si el recurso esta sin password o compartido para todo
el grupo.

Bueno, luego voy a averiguar mas sobre el tema y les explico.

Estoy adentro, y ahora... ¿Que archivos son interesantes?
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Estos archivos sirven para bajar utilizando el Bug en el Netbios o simplemente con
algun troyano!

(Esta info esta sacada de Rinho9 nuevamente! no se crean que TODO mi texto una traduccion de
Rinho, lo unico que hice es leer de aqui y de alla, y con un poco de experiencia personal
hice este texto, el problema es que los de rinho escriben cosas espectaculares sobre NT).


Eudora.ini: Este archivo es usado para buscar informacion sobre el programa de email Eudora.
El programa eudpass.com extrae los usuarios y los password  individuales tambien informacion
interesante para que el atacante, puede aprovechar para por ejemplo leer los emails de la
maquina victima.

Tree.dat: Este archivo es usado por el popular software de FTP "CuteFTP" para almacenar
sitio/nombre de usuario/contraseña (Toda la info interesante :)
Para crackear este archivo pueden utilizar un programa llamado "FireFTP"

PWL: No necesitan mucha presentacion estos archivos. Los pwl se encargan de almacenar los
password de usuarios de Windows95, este es uno de los mas importantes! Para desencryptarlos
podemos utilizar el Glide, pero en mi opinion es una mierda (por lo menos la version que tengo
yo). Creo que hay algunos nuevos que son buenos, busquen por Internet.


PWD: Los archivos PWD existen en una maquina que usa "FrontPage o el "Personal Webserver".
Estos archivos almacenan en texto limpio (plain text) nombre de usuario y passwords encryptados.
Los passwords estan encryptados en formato DES (los mismos que el famoso etc/passwd), por
lo tanto pueden el excelente programa de Solar Designer "john, the ripper" (Ya esta
la version 1.6!!)

WS_FTP.ini: Este archivo existe en una maquina utilizando el Ws_FTP. Es muy facil de
desencryptarlo segun dicen, porque el mecanismo de encryptacion no es muy fuerte.
No tengo ganas de traducir la explicacion para hacerlo, se las dejo en Ingles, si les molesta
JODANSE!!!

"The password is converted to hex numbers (2 digits). If a digit is at the N position, then N is added to the digit. Reverse the process
and you have cracked this encryption scheme. (This is also known to sometimes work for cracking
PMail.ini - Pegasus Mail and Prefs.js - Netscape.)"

waruser.dat: Este es uno de los archivos de configuracion del WarFTP. Este archivo contiene
los password administrativos del server de FTP.

ExchVerify.log: Este archivo es creado por el Cheyenne/Innoculan/ArcServe. Este archivo
reside en el directorio raiz y contiene informacion extremadamente sensible :)
Un ejemplo:

<EXCH-VERIFY>: ExchAuthenticate() called with
NTServerName:[SAMPLESERVER]
NTDomainName[SAMPLESERVER] adminMailbox:[administrator]
adminLoginName:[administrator]
password:[PASSWORD]

Bueno, esto es solo una BETA de mi texto, en la proxima edicion de este texto, voy a explicar a
fondo el NetBIOS y como utilizarlo con ejemplos practicos.
Tambien voy a explicarles a utilizar aplicaciones y scanners como el NAT (Net Auditoring Tool)

Eso fue TODO!

{
}
{
}

Comentarios preparacion para un ataque informatico

¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿¿??????????????????????????????????????

????????????????? 13/08/2008 a las 17:04

ESTE TEMA ME ES MUY INTERESANTE ..... ESTOY ESTUDIANDO INFORMATICA  YA CASI TERMINO LA PREPA SEGUIRE CON LA UNIVERSIDAD EN LA ESPECIALIDAD DE SISTEMA DE COMUNICACION.... BUENOS TEMAS PRESENTAS ....ESTE TEMA QUE PRESENTASTE TEDIGO QUE ME ES MUY INTERESANTE  POR QUE UNA VEZ LO HISE ... Y CREO QUE LOGRE TRONAR ...JAJAJA... CUANDO TERMINE ,,,, SALI DESPAVORIDA... DEL LABORATORIO DE REDES....

marypily pily 16/10/2008 a las 02:23

ola muy buen tema pero un poco antiguo ya casi nadie tiene activado el netbios lo suyo ya son otras tipos de penetracion nc la scaners navaja suiza i el metaexploit etc jeje salud2 bye!!!

hackul hackul 19/02/2010 a las 15:13

Deja tu comentario preparacion para un ataque informatico

Identifícate en OboLog, o crea tu blog gratis si aún no estás registrado.

Avatar de usuario Tu nombre