Hoy a primera hora ha faltado la profesora de lengua, y como tenemos que hacer un trabajo de sociales por parejas en los ordenadores, la de sociales nos dijo que nos iba a dar los ordenadores para que siguiéramos haciendo el trabajo, algunos de la clase cuando se enteraron de que la de lengua no vino se fueron, con intención de entrar a segunda hora, yo opté por quedarme para analizar la red del instituto, como mi pareja se fue tenía el ordenador para hacer lo que yo quisiera.
Por supuesto tenía mi pendrive encima para copiar lo que fuera necesario, lo primero que copié fue el archivo de configuración de grub, para luego intentar crackear la contraseña y confiar en que esa password coincida con la de root y a su vez dicha password de root sea común para todos los PCs de la red, así como con la de los servidores, porque esto lo manejan desde Sevilla, y no creo que tengan una contraseña para cada PC de todos los que han distribuido por Andalucía.
También apunté las direcciones ip internas de los 2 servidores que hay en la red, f0 y c0, servidor de seguridad y servidor de contenidos respectivamente es como los llama la Junta de Andalucía, gracias a esto también descubro que el servidor f0 es el DNS de la red, también me llamo la atención el curioso nombre que reciben dentro de la red, tenían toda la pinta de ser accesible desde internet, no os quiero poner la dirección entera porque si lo hago podéis averiguar a que instituto voy y después es fácil averiguar quien soy, y prefiero mantener mi anonimato y un mínimo de privacidad. Bueno esos dos nombres también los apunté, uno de los motivos que me llevo a pensar que sería accesible desde el exterior es que el final de nombre de ambos servidores era junta-andalucia.es. Posteriormente he comprobado que esa hipótesis es falsa, no son accesibles desde internet, o al menos no usando esos nombres.
Mas cosas, yo también sabía que desde un navegador se pueden ver las estadísticas de ambos servidores, por lo que las mire, las URLs son simples, f0/munin y c0/munin, miro las estadísticas de ambos servidores y solo veo que se usan poco, el centro TIC no tiene mucha actividad, también mirando con mas detenimiento quizás hubiera sacado algo de información sobre el hardware, pero eso no lo mire, eran demasiadas estadísticas y no iba a estar mucho tiempo con eso. Sin embargo ahora que lo pienso debí haber guardado las paginas html de las estadísticas de ambos servidores para analizarlo con detenimiento aquí en mi casa.
También probé a conectarme por ssh a ambos sistemas usando el usuario por defecto de guadalinex, 'usuario' con su fuerte contraseña 'usuario'. No sirvió para nada. También apunte la ip externa del instituto, para hacerle un scaneo de puerto desde mi casa a ver si tiene algún servicio accesible desde el exterior. Acabo de hacerle un scaneo ahora mismo y dice que tiene abiertos el 23 y el 80, telnet y http, que según acabo de ver, para la conexión http hay que autenticarse y por telnet... tampoco funciona, pide user y pass y no sirve nada de lo que he probado.
También tras una intensa búsqueda de documentación oficial sobre los centros tic (esto lo hice el domingo en mi casa), averigüé que la url para acceder al filtro de contenido era f0/app/filtrodecontenido, lo pongo en el firefox y me pide user y pass, tampoco logré entrar, y a primera vista no era vulnerable a los ataques mas sencillos de sql injection, luego habría que probar también haciéndolo con los códigos ascii de cada carácter, pero eso no lo probé.
También entré a la interfaz web de administración de los usuarios en el servidor de contenidos, porque aparte de los usuario locales del ordenador (realmente el único útil es usuario), han montado en el servidor un sistema de ficheros remoto, de forma que cada uno tiene un user y un password propio (cada alumno y cada profesor) y en la pantalla de login de Guadalinex cada uno se logea con su user/pass propio, esto se envía al server, se verifica, y luego se envía los datos de cada usuario, es un sistema de archivos remoto, cada user tiene un /home remoto en el servidor, excepto usuario, ese es un usuario local en cada ordenador y no hace falta network para loguearse, yo por supuesto todas mis investigaciones las hago desde el user usuario, no voy a entrar desde mi propio usuario. Bueno lo que os decía, estos usuarios remotos son lo que se administran desde esa web en el servidor c0/gesuser, pero, por supuesto, hacía falta user/pass y no pude entrar tampoco, y si también probe sql injection no me sirvió, ahora pensándolo en frío y con detenimiento me he dado cuenta de que podría haber probado xss y rfi, para el próximo día dejaré preparadas un par de shells php, por si acaso funcionara el rfi.
Por último el domingo en mi casa me pase por la sección de descargas del CGA (Centro de Gestión Avanzada) , que es quien lleva todo el tema, y me descargue la iso de guadalinex remote install. Que es para instalación en red, y es la imagen que usan en los centros tic para instalar vía red el sistema, se arranca el sistema con esa imagen y con el portátil conectado al server y luego desde el server se envía todo lo necesario para la instalación del sistema completo. Me pareció útil para obtener algún dato del server y sobre como se obtenían los datos, también me resulto atractivo porque si consigo los datos que se usan para dejar los portátiles listos para ser usados con su guadalinex completo, podría obtener el /etc/shadow o algo sobre el sistema que me diera información sobre root. Bueno monte la imagen en /mnt, con mout -o loop -t iso9660 instalacion_remota.iso /mnt y listo, me voy a /mnt y miro por allí a ver que hay, leo el syslinux.cfg y veo que se conecta via ftp al server f0 y obtiene el fichero install.cfg, bien ya sabemos algo más, el server f0 tiene un servidor ftp, ya hoy, en el instituto, me conecto por por ftp a f0, pongo en firefox ftp://f0 y me por lo que veo parece un servidor apt, miro y efectivamente era un servidor de paquetes, ademas miro también el /etc/apt/sources.list para confirmar que es el servidor que utilizan los PCs del centro, y efectivamente, este es el único repositorio que tienen: deb ftp://f0/guadalinex-cga breezy main restricted, miro también que paquetes hay a ver si hay alguno que me pueda ser útil, por ejemplo, nmap, no, no estaba, bueno vuelvo a atrás y miro los archivos que había por allí, el que mas importante me pareció fue el install.cfg, que por supuesto lo copié, todavía no lo he analizado, es un poco largo, pero creo que describe perfectamente el proceso de instalación, ya lo miraré despacio.
Eso es todo lo que hecho. Voy a ver si crackeo el pass de grub a ver que pasa. Otra cosa, tengo que comprobar si tengo permisos de escritura sobre /boot/grub/menu.lst, de ser así borro la línea del password, reinicio, edito, entro como root copio el archivo /etc/shadow y crackeo directamente el pass de root, pero bueno de todas formas creo que la cosa va bien, si alguien tiene una buena rainbow table que haga el favor de mirarme este hash: $1$RTEFc1$TtQvImnmXq/wDQaQyN7Ec1
De todas formas creo que grub usa salted hash así que no se como va a salir la cosa, luego seguiré pensando, ahora tengo que empezar a estudiar que ya me he pasado la hora que tenía prevista, que aunque parezca mentira en preparar un post se tarda bastante mas de lo que parece.
Saludos ;-)
PD: Todavía no he montado lo del disco duro, ahora voy a estudiar, a ver si luego hago algo.
Por supuesto tenía mi pendrive encima para copiar lo que fuera necesario, lo primero que copié fue el archivo de configuración de grub, para luego intentar crackear la contraseña y confiar en que esa password coincida con la de root y a su vez dicha password de root sea común para todos los PCs de la red, así como con la de los servidores, porque esto lo manejan desde Sevilla, y no creo que tengan una contraseña para cada PC de todos los que han distribuido por Andalucía.
También apunté las direcciones ip internas de los 2 servidores que hay en la red, f0 y c0, servidor de seguridad y servidor de contenidos respectivamente es como los llama la Junta de Andalucía, gracias a esto también descubro que el servidor f0 es el DNS de la red, también me llamo la atención el curioso nombre que reciben dentro de la red, tenían toda la pinta de ser accesible desde internet, no os quiero poner la dirección entera porque si lo hago podéis averiguar a que instituto voy y después es fácil averiguar quien soy, y prefiero mantener mi anonimato y un mínimo de privacidad. Bueno esos dos nombres también los apunté, uno de los motivos que me llevo a pensar que sería accesible desde el exterior es que el final de nombre de ambos servidores era junta-andalucia.es. Posteriormente he comprobado que esa hipótesis es falsa, no son accesibles desde internet, o al menos no usando esos nombres.
Mas cosas, yo también sabía que desde un navegador se pueden ver las estadísticas de ambos servidores, por lo que las mire, las URLs son simples, f0/munin y c0/munin, miro las estadísticas de ambos servidores y solo veo que se usan poco, el centro TIC no tiene mucha actividad, también mirando con mas detenimiento quizás hubiera sacado algo de información sobre el hardware, pero eso no lo mire, eran demasiadas estadísticas y no iba a estar mucho tiempo con eso. Sin embargo ahora que lo pienso debí haber guardado las paginas html de las estadísticas de ambos servidores para analizarlo con detenimiento aquí en mi casa.
También probé a conectarme por ssh a ambos sistemas usando el usuario por defecto de guadalinex, 'usuario' con su fuerte contraseña 'usuario'. No sirvió para nada. También apunte la ip externa del instituto, para hacerle un scaneo de puerto desde mi casa a ver si tiene algún servicio accesible desde el exterior. Acabo de hacerle un scaneo ahora mismo y dice que tiene abiertos el 23 y el 80, telnet y http, que según acabo de ver, para la conexión http hay que autenticarse y por telnet... tampoco funciona, pide user y pass y no sirve nada de lo que he probado.
También tras una intensa búsqueda de documentación oficial sobre los centros tic (esto lo hice el domingo en mi casa), averigüé que la url para acceder al filtro de contenido era f0/app/filtrodecontenido, lo pongo en el firefox y me pide user y pass, tampoco logré entrar, y a primera vista no era vulnerable a los ataques mas sencillos de sql injection, luego habría que probar también haciéndolo con los códigos ascii de cada carácter, pero eso no lo probé.
También entré a la interfaz web de administración de los usuarios en el servidor de contenidos, porque aparte de los usuario locales del ordenador (realmente el único útil es usuario), han montado en el servidor un sistema de ficheros remoto, de forma que cada uno tiene un user y un password propio (cada alumno y cada profesor) y en la pantalla de login de Guadalinex cada uno se logea con su user/pass propio, esto se envía al server, se verifica, y luego se envía los datos de cada usuario, es un sistema de archivos remoto, cada user tiene un /home remoto en el servidor, excepto usuario, ese es un usuario local en cada ordenador y no hace falta network para loguearse, yo por supuesto todas mis investigaciones las hago desde el user usuario, no voy a entrar desde mi propio usuario. Bueno lo que os decía, estos usuarios remotos son lo que se administran desde esa web en el servidor c0/gesuser, pero, por supuesto, hacía falta user/pass y no pude entrar tampoco, y si también probe sql injection no me sirvió, ahora pensándolo en frío y con detenimiento me he dado cuenta de que podría haber probado xss y rfi, para el próximo día dejaré preparadas un par de shells php, por si acaso funcionara el rfi.
Por último el domingo en mi casa me pase por la sección de descargas del CGA (Centro de Gestión Avanzada) , que es quien lleva todo el tema, y me descargue la iso de guadalinex remote install. Que es para instalación en red, y es la imagen que usan en los centros tic para instalar vía red el sistema, se arranca el sistema con esa imagen y con el portátil conectado al server y luego desde el server se envía todo lo necesario para la instalación del sistema completo. Me pareció útil para obtener algún dato del server y sobre como se obtenían los datos, también me resulto atractivo porque si consigo los datos que se usan para dejar los portátiles listos para ser usados con su guadalinex completo, podría obtener el /etc/shadow o algo sobre el sistema que me diera información sobre root. Bueno monte la imagen en /mnt, con mout -o loop -t iso9660 instalacion_remota.iso /mnt y listo, me voy a /mnt y miro por allí a ver que hay, leo el syslinux.cfg y veo que se conecta via ftp al server f0 y obtiene el fichero install.cfg, bien ya sabemos algo más, el server f0 tiene un servidor ftp, ya hoy, en el instituto, me conecto por por ftp a f0, pongo en firefox ftp://f0 y me por lo que veo parece un servidor apt, miro y efectivamente era un servidor de paquetes, ademas miro también el /etc/apt/sources.list para confirmar que es el servidor que utilizan los PCs del centro, y efectivamente, este es el único repositorio que tienen: deb ftp://f0/guadalinex-cga breezy main restricted, miro también que paquetes hay a ver si hay alguno que me pueda ser útil, por ejemplo, nmap, no, no estaba, bueno vuelvo a atrás y miro los archivos que había por allí, el que mas importante me pareció fue el install.cfg, que por supuesto lo copié, todavía no lo he analizado, es un poco largo, pero creo que describe perfectamente el proceso de instalación, ya lo miraré despacio.
Eso es todo lo que hecho. Voy a ver si crackeo el pass de grub a ver que pasa. Otra cosa, tengo que comprobar si tengo permisos de escritura sobre /boot/grub/menu.lst, de ser así borro la línea del password, reinicio, edito, entro como root copio el archivo /etc/shadow y crackeo directamente el pass de root, pero bueno de todas formas creo que la cosa va bien, si alguien tiene una buena rainbow table que haga el favor de mirarme este hash: $1$RTEFc1$TtQvImnmXq/wDQaQyN7Ec1
De todas formas creo que grub usa salted hash así que no se como va a salir la cosa, luego seguiré pensando, ahora tengo que empezar a estudiar que ya me he pasado la hora que tenía prevista, que aunque parezca mentira en preparar un post se tarda bastante mas de lo que parece.
Saludos ;-)
PD: Todavía no he montado lo del disco duro, ahora voy a estudiar, a ver si luego hago algo.
12 comentarios:
vaya fichaje que estas hecho neobius ... que usan en la red nis / + o ldap o ...?
esto esta mas interesante que con lo de la controladora casi me quedo dormido ;-)
y no te enfades colega...
Hombre hola freebie, si al final vas a ser mas bueno de lo que parecías :D
Sobre lo de la red pues la verdad es que no lo se con seguridad, pero me parece que es ldap, tendré que comprobarlo el próximo día.
Lo de la controladora, pues siento que te aburra, tampoco a mi me divierte mucho ese tema, yo preferiría que el disco duro hubiera funcionado bien desde el principio, pero si no puede ser tendré que buscarle una solución, y ya que me pasa pues lo cuento en mi blog no? de todas formas todavía no me funciona, ahora mismo estoy escribiendo un post sobre los problemas que me ha dado. Haber si mañana consigo ya hacer funcionar bien el disco duro y me olvido de ese tema.
Otra cosa, haber que mas puedo hacer en el instituto, porque ya solo me queda una semana y 2 días y no se cuantas veces vamos a coger los ordenadores, espero poder avanzar algo, si no a esperar hasta septiembre, bueno ya veremos como acabo el curso (me refiero en cuanto avances sobre el sistema informático).
Saludos ;-)
qué mas sabes de la red...pasas por switches, hubs o routers antes de llegar a los servidores? y sabes quién los administra..si es de tu instituto o lo hacen remotamente?
Freebie, de la red en si no se mucho mas, mira, la red en mi centro es básicamente wifi, hay un accespoint en cada clase y cuando se usan los portátiles nos conectamos vía wifi. No se si cada AP tiene un rango de ips distinto o no, el que esta en mi clase así de memoria creo que es 192.168.3.1-255, y las ips de los servers son 192.168.0.1 y 192.168.0.2, sobre lo de switches o mas routers por el camino no me acuerdo, la semana pasada ejecute un traceroute www.google.es y traceroute f0, de memoria no me acuerdo bien, pero me parece que no había saltos entre mi pc y el server (hablo del server interno). No se eso también tengo que mirarlo, ademas me interesa ser root, para poder instalar paquetes, scanners, sniffers, ese tipo de cosas útiles en estos casos. Ademas puede ser que la contraseña de root sea la misma que en el server, asi que podría conectar por ssh a f0 y a c0.
Luego la administración en compartida, mira, cada centro tic tiene un coordinador tic, en mi instituto es el profesor de tecnología, que se encarga de cosas a nivel "local", montar cosas, solucionar algunos problemas, no se cosas sencillas. Luego de cosas mas "complejas" como administración de servers, control del router, de actualizaciones... lo hacen desde Sevilla, los del CGA, Centro de Gestion Avanzada: http://www.juntadeandalucia.es/averroes/cga/
Los del cga coordinan, administran, solucionan problemas... de todos los centros tic de andalucia.
Tambien tengo constancia de los coordinadores tic no saben la contraseña de root, esas cosas las hacen los de sevilla (los del cga), y hubo quejas por ese motivo, pero por motivos de seguridad, el cga no la ha dado, ellos se encargan de cualquier cosa que pase. Mas cosas, la contraseña será dificil de crackear, porque antes, en las primeras versiones de estas cosas, la contraseña era del estilo MakAlUs4q10, era parecida a esto, yo esto lo se porque me "infiltre" en el foro del cga y leí toda la información que había, todos los problemas que daban los centros tic, las soluciones, las peticiones de los profesores... ya no puedo entrar porque he olvidado mi user/pass y ya el registro en el foro no es abierto, solo pueden hacerlo los coordinadores tic y quizas tambien los profesores, pero me parece que solo es para coordinadores tic.
Luego aparte de eso me he leído toda la documentación publica sobre centros tic que he encontrado, y en parte gracias a eso se que esto se maneja desde sevilla por el cga. Los documentos que he leido ninguno habla sobre cosas técnicas de configuraciones de redes ni nada de eso. Aunque si que habla del hardware que se entrega al centro tic, aparte de servidores, router, ap wifi, portatiles, hay una cosa llamada "switch principal", asi que supongo que es una "clave" en la investigación, volveré a ejecutar el traceroute a ver que me dice.
Ya te comentare mas cuando haya avanzado algo.
Saludos ;-)
PD: No seras un agente encubierto de la junta de andalucia que quiere obtener pruebas en mi contra por intento de hacking no?
ola neobius! ahora mismo estoy en el instituto... me sorprendio encontrar a alguien que está en lo mismo que yo... ahora cuando llegue a mi casa voy a leer esto con mas atencion... por ahora lo que se es que root esta deshabilitada y que el recovery tiene una md5... espero hablar pronto contigo
Hola anónimo, hoy he estado mirando algunas cosas mas, luego si tengo tiempo postearé lo que he hecho, además tengo nuevas ideas. De todas formas hoy creo que no podré postear, seguramente tendre que dejarlo para mañana.
Yo también espero poder hablar contigo y que me cuentes las cosas que tu has hecho.
Saludos ;-)
Bueno, aqui estamos de nuevo. Hoy hemos rastreado un poco la red que tenemos... f0 c0 y todo lo demas. Por ahora lo que he conseguido ha sido entrar en el filtro de contenidos con una cuenta "p" que encontre en /home xD desde alli me concedí el lujo de quitarme mis restricciones... ademas capturé unos titulares haciendo telnet al puerto 21 del f0. Por lo visto tienen un servidor Debian ProFTPD 1.2.10 y ahora mismo me voy a poner a buscar vulnerabilidades... he llegado a unas cuantas conclusiones que no es plan de exponerlas aqui. La verdad esque no queda mucho tiempo. Te propondía trabajar juntos, y si no nos da tiempo este año, lo aplazamos para el siguiente que entro en bachiller :) te dejo mi msn provisional, (ya te daré el verdadero ;) ezkm_34@hotmail.com
Salu2
Jo2neS
Hola, perdona pero hoy no tengo tiempo para contactar contigo, tengo que estudiar mucho, hoy creo que me espera una noche larga. Mañana me pondré en contacto contigo y también escribiré una entrada con mis avances, que creo que son importantes.
Hasta mañana ;-)
Anónimo yo no uso msn, pero he creado una cuenta especial para la ocasion, neobius.network arroba hotmail punto com. Haber si puedo contactar pronto contigo porque también que hacer muchas cosas este fin de semana. En cuanto leas esto conectate, si estoy bien, si no intentaré conectarme yo. De todas formas si hoy no hemos podido contactar te pido que me envies un mail a neobiusnet arroba gmail punto com contandome todos tus avances y que has hecho para irnos coordinando :D
Saludos ;-)
Casi seguro que se usa ldap... eso os lo confirmo casi segurisimo.
Oterodigital, llevas razón es LDAP, creo que lo he comentado ya en otro post mas adelante.
Saludos ;-)
ola hoy por primera vez nos han dado los portatiles en el inti y no me convence eso del guadalinex. mi profesor me ha dicho de que la junta de andalucia los tiene bloqueados para no poder meter otro sistema operativo sobre todo para no meter el windows xp. si eso es verdad alguien me podria decir como quitar guadalinex y poner el xp.
gracias
Publicar un comentario