SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Curso de Novell Netware -I-

      4659

Autor: Madfran
-[ 0x0D ]--------------------------------------------------------------------
-[ CURSO DE NOVELL NETWARE -I- ]---------------------------------------------
-[ by MadFran ]-------------------------------------------------------SET-14-

Bien,... ante todo deciros que no soy ningun experto en Novell.
Simplemente soy un usuario de una red Novell Netware 3.1 y que
debido a los continuos fallos de mi administrador me he tenido
que espabilar para encontrar soluciones a problemas sin resolver
y de esto a la curiosidad desaforada solo hay un paso.

Este articulo solo es una mala traduccion de
FAQ About Hacking Novell Netware
Nomad Mobile Research Centre
Beta version 6
Compiled by Simple Nomad
May 1, 1997

El tal FAQ tiene 13 capitulos,..... si la redaccion de SET
le da el visto bueno, en un a€o tendreis la traduccion de todos.

Entre medio pongo mis comentarios y experiencias


Capitulo - 01 ACCESO A CUENTAS


01-1. Cuales son las cuentas y paswwords mas comunes en Novell Netware.

Durante el proceso de instalacion de Netware 3.1, se crean las
cuentas SUPERVISOR y GUEST. En Netware 4.x se crean ADMIN y
USER_TEMPLATE. Todas ellas sin password. Cualquier administrador que
se precie, da a estas cuentas una password. Sin embargo, en muchos
sitios se crean cuentas con propositos especiales que tienen nombres
faciles de encontrar, algunos sin password.

Aqui hay algunas y sus tipicos empleos.


CUENTA           EMPLEO
---------------- ---------------------------------------------
PRINT            Conectarse a un segundo server para imprimir.
LASER            Conectarse a un segundo server para imprimir.
HPLASER          Conectarse a un segundo server para imprimir.
PRINTER          Conectarse a un segundo server para imprimir.
LASERWRITER      Conectarse a un segundo server para imprimir.
POST             Conectarse a un segundo server para enviar mail.
MAIL             Conectarse a un segundo server para enviar mail.
GATEWAY          Conectar un gateway a un servidor.
GATE             Conectar un gateway a un servidor.
ROUTER           Conectar un router a un servidor.
BACKUP           Puede tener password, se usa para hacer copias de seguridad.
                 Para hacer backups completos, hacen falta atributos de
                 SUPERVISOR.
WANGTEK          Ver backup.
FAX              Conectar un modem fax a la red.
FAXUSER          Conectar un modem fax a la red.
FAXWORKS         Conectar un modem fax a la red.
TEST             Usuario temporal para hacer pruebas.
ARCHIVIST        Cuenta por defecto para backup.
CHEY_ARCHSVR     Una cuenta para que ARCSERVE se conecte al servidor desde
                 la consola para hacer Backup. El password para la version
                 5.01g era WONDERLAND.
                 Borra las 'Station Restrictions' y utiliza el programa
                 SUPER.EXE y tendras una buena backdoor.
WINDOWS_PASSTHRU No es necesaria, pero segun el Kit de Recursos de Windows 95
                 se necesita para compartir recursos sin necesidad de una
                 password.
ROOT             Se encuentra en Shiva LanRovers. Por defecto sin password.
                 Muchos administradores utilizan AdminGUI y despues nunca le
                 ponen password.


VARs (Value Added Resellers) reedita Netware con su propio hardware
o software del cliente. He aqui una breve lista de passwords
clasicos.

Siguiendo esta logica yo he encontrado muchas cuentas sin password
en la red. Todas ellas se refieren a cuentas de impresoras.

VAR         CUENTA      PASSSWORD   PROPOSITO
----------- ----------- ----------- ---------------------------------
STIN        SUPERVISOR  SYSTEM      Agencias de viaje que utilizan SABRE
STIN        SABRE       -niguna-    Una cuenta de invitado
STIN        WINSABRE    WINSABRE    Cuenta de invitado en Windows (N.2.15)
STIN        WINSABRE    SABRE       Cuenta de invitado en Windows (N.3.x)
HARRIS      SUPERVISOR  HARRIS      Revendedor Tricord
NETFRAME    SUPERISOR   NF          Tambien NETFRAME y NFI

Esto deberia darte una idea de las cuentas a probar si tienes acceso
a una maquina conectada a un server de este tipo. Un metodo para
ocultarse es dar a GUEST o USER_TEMPLATE una password.

Ocasionalmente el administrador chequeara GUEST pero a menudo se
olvidan de USER_TEMPLATE. De hecho, yo me olvide de USER_TEMPLATE
hasta que 'itsme' me lo recordo.

Esta lista tambien es un buen punto de partida para nombres de
cuentas tipo backdoor. En algunos entornos estas cuentas se dejan
abandonadas, particularmente en grandes compa€ias especialmente
sitios Netware 4.0 con arboles complejos. Y no olvidarse de cuentas
tipo Alt-255 o NOT-LOGGED-IN.


01-2. Como descubrir cuentas validas.

Cualquier cuenta de acceso limitado te permite correr SYSCON, que
se encuentra en SYS:PUBLIC. Si lo consigues, teclea SYSCON. Desde el
User Information puedes ver una lista de todas las cuentas
definidas. No podras obtener mucha informacion, pero como minimo
veras el nombre de la cuenta y el nombre completo del usuario.

Si entras con cualquier cuenta valida, puedes ejecutar USERLST.EXE y
condeguir una lista de todas las cuentas validas en el servidor.

Es asombroso lo que puedes ver con este inocente comando
desde cuentas de impresoras ya fuera de uso y sin password
hasta gente que ya esta jubilada y no va a protestar por una
manipulacion de su password

Si no tienes acceso, no puedes probar que cualquier nombre sea o no
valido, el sistema te pedira la password y si el Intruder Detection
esta activado, dejaras ver al mundo lo que intentas hacer. Pero hay
un sistema para ver si una cuenta es valida.

A partir del DOS utiliza una copia local de MAP.EXE. Despues de
cargar el Netware TSR a traves de NETX o VLM, intenta mapear un
drive utilizando el nombre del servidor y el volumen SYS:.

Por ejemplo :

        MAP G:=TARGET_SERVE/SYS:APPPS

Te pedira la cuenta. Si es valida, te pedira el password, si no te
dara inmediatamente un error. DEsde luego, si no hay una password para
esa cuenta, te conectaras inmediatamente al servidor. Se puede hacer
lo mismo con ATTACH.EXE.

        ATTACH TARGET_SERVER/cuenta-a-probar

El resultado sera exactamente el mismo.

Otro programa que chequea cuentas validas y la presencia de password
es CHKNULL.EXE de 'itsme'.

En 4.1 CHKNULL muestra toda cuenta sin password, sin necesidad de
estar conectado. Para que funcione debe haber emulacion de bindery.
Pero hay otro sistema para hacerlo en 4.1

Desde el momento que has cargado el VLM, puedes ver todo el arbol, o
al menos una parte de el. Intenta esto :

        CX /T /A /R

Durante la instalacion de 4.1, [Public] tiene acceso a la totalidad
del arbol debido a que [Public] se a€ade al [Root] como Trustee. Los
derechos inherentes se trasmiten hasta que se encuentre un bloqueo
explicito. Si tienen el VLM cargado y acceso a CX, no es necesario
hacer login, y puedes tener acceso a virtualmente todas las cuentas
del servidor.


01-3. Cual es el metodo secreto para acceder al Supervisor?

Antes de empezar esta seccion, dejadme recomendar otra solucion,
CUALQUIER otra solucion es mejor que esta !!. Si estas en un
servidor 3.x, salta al final de esta seccion.

El 'metodo secreto' es usar un editor basico DOS para el disco duro
y editar la entrada en el FAT y resetear el bindery para obligar a
bootear el servidor. Esto te crea de nuevo SUPERVISOR y GUEST sin
password. El metodo se creo para el caso en que se perdiera
SUPERVISOR en un Netware 2.15 y no se hubiera creado una cuenta
equivalente.

Novell siempre dice que el metodo es imposible, pero
pruebalo,...funciona. Aqui estan los pasos tomados directamente de
COMP.OS.NETWARE.SECURITY.

Primero algunas explicaciones.
Un servidor Netware se supone que es un sitio muy seguro. Solo la
gente con la correcta password tendra acceso a los datos. El
password del SUPERVISOR (o ADMIN) es normalmente el secreto mejor
guardado en la compa€ia ya que quien lo tenga, tienen acceso a
cualquier dato de la compa€ia.

Pero que pasa si esta password se pierde? (hay un metodo
alternativo... SETPWD.NLM), segun el manual, simplemente no hay
solucion. Hay que reinstalar el servidor.

Afortunadamente, hay un metodo para alcanzar un acceso completo al
servidor sin conocer la password del ADMINISTRADOR. El truco es tan
sencillo que sirve para Netware 2.x, 3.x, 4.x

La idea es hacer creer a Netware que acaba de ser instalado y que el
sistema de seguridad todavia no ha sido establecido. Justo despues
de la instalacion de Netware el password del SUPERVISOR es nulo y se
puede entrar sin restricciones.

Para hacerlo bastan las direcciones de los archivos que contienen el
sistema de seguridad.
Archivos de seguridad segun la version.

Netware 2.x NET$BIND.SYS, NET$BVAL.SYS
Netware 3.x NET$OBJ.SYS, NET$UAL.SYS y NET$PROP.SYS
Netware 4.x PARTITIO.NDS, BLOCK.NDS, ENTRY.NDS, VALUE.NDS y UNINSTALL.NDS

Condiciones previas :

- Tener acceso fisico al terminal del servidor.
- Un disquete DOS bootable.
- Un programa editor hexadecimal de discos (NORTON'S DiskEdit ?)

Instrucciones

- Arranca el servidor y vas al DOS (comando DOWN y despues EXIT).
- Con el NORTON'S DiskEdit, busca directamente la ubicacion de
  NET$BIND.SYS (por ejemplo para Net 2.x) y cambialo por NET$BIND.OLD.
  Como minimo en dos sitios distintos, porque Netware guarda las cosas
  por duplicado.
  En el caso de Net 3.x se trata del fichero NET$PROP.SYS, y para Net 4.x
  se usara el archivo PARTITIO.NDS
- Sal del Norton y arranca el servidor de nuevo.
- Si estas en Net 2.x o en 3.x, tendras acceso a todo. Si estas en Net 4.x
  te falta el siguiente paso.
- Carga Netware 4 Install Utility y selecciona la opcion para
  instalar el Servicio de directorio.

Para usuarios de 3.x utiliza LASTHOPE.NLM, que renombra el bindery y
para el servidor. Vuelve a arrancar y tendras SUPERVISOR y GUEST sin
password.


01-4. Cual es el metodo mas elegante para tener acceso SUPERVISOR?

Utiliza el programa NW-HACK.EXE (o bien HACK.EXE).
Es necesario que el supervisor este conectado.

- Lanza NW-HACK.EXE
- El password del SUPERVISOR se cambia a SUPER_HACKER.
- Todas las cuentas adquieren privilegios de SUPERVISOR.
- El administrador conoce inmediatamente lo que pasa. Cambia los
  privilegios y restablece su password. Antes (tenemos que ser
  rapidos) tenemos que crearnos un backdoor.

Nunca me ha salido bien. No se lo que hago mal pero

- Compruebo que SUPERVISOR este conectado mediante USERLIST
  (es muy descuidado y lo deja conectado durante dias)
- Lanzo NW-HACK.
- Me dice que el SUPERVISOR no esta conectado ( ???? )
  Fin comentario >


01-5. Como crearnos una backdoor

Utilizando un programa llamado SUPER.EXE, escrito para el expreso
proposito de permitir al usuario sin privilegios equivalentes al
supervisor quitar y poner la equivalencia de supervisor.

Si has empleado el NW-HACK, antes de que el SUPERVISOR vuelva a las
condiciones anteriores, lanza SUPER.EXE (lee las instrucciones que
vienen con el programa) que quitara temporalmente nuestros
privilegios, de forma que al no verlos, el SUPERVISOR no tocar 
nuestra cuenta. Cuando haya pasado el temporal volvemos a pasar
SUPER.EXE y volvemos a tener los privilegios.

SUPER.EXE no es totalmente limpio. Si el SUPERVISOR pasa la utilidad
de seguridad, vera que una cuenta ha sido alterada a nivel de
bindery, pero el unico sistema que tendra para corregir el problema
es borrar y volver a crear la cuenta.


01-6. Otro metodo sin SETPWD.NLM o editor de disco.

Las condiciones previas son :

- Tener acceso fisico al terminal
- Dos unidades o espacio unallocated.

Instrucciones :

- Desmontar todos los volumenes.
- Cambiar el nombre SYS: a SYSOLD:
- Cambiar el nombre VOL1: a SYS:
- Rearrancar el servidor
- Montar SYS: y SYSOLD:
- Conectarse al server como SUPERVISOR (no es posible LOGIN)
- Cambiar de nombre SYSOLD:SYSTEM\NET$***.SYS a NET$***.OLD
- Desmontar los volumenes.
- Volver a poner los nombres antiguos.
- Rearrancar el server.
- Login como SUPERVISOR
- Run BINDREST

Ya esta !