==============================================================================
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
--------------------[ previous ]---[ index ]---[ next ]---------------------

浜様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様様
藩HACKiNG様様様様様様幼陳陳陳陳 TiPS 'N' TRiCKS 陳陳陳陳陳様様様様様様様様様様

1 Premessa
2 Macchine SUN
3 File LOG
4 Truchhetti permessi directory /root.


Salve.
Premessa: Io non sono un grande hacker, anzi, credo proprio di non essere
nemmeno un hacker. Ho scritto questo articoletto perche' pensavo che potesse
tornare utile, alle persone che hackano, visto che in giro e sui manuali che si
reperiscono comunemente nella rete, queste cose non si trovano scritte.
Quindi, se pensate che questo testo sia utile, vi ringrazio, altrimenti se
pensate che non sia interessante, vi prego non me ne fate una colpa! :((


Macchine SUN:
Ho constatato di persona che alcuni trucchetti usati di solito come
backdoor, (SUID SHELL, utente con UID e GID a 0) non funzionano su
macchine SUN 5.5.1
Per cui se vi ritrovate li' sopra, o avete un compilatore, oppure sono cazzi
amari.
Quindi se vi ritrovate in questa situazione, non state neppure a perdere tempo
per cercare di usare una delle tecniche descritte sopra. Tanto non fungono.
(poi se fungono me lo dite ;-PPP

File di LOG:
Allora, spesso e volentieri su tutti i manualetti di UNIX Hacking si legge
che i file di log da togliere per non essere beccati sono di solito 3:

utmp
wtmp
lastlog

Secondo me, oltre a questi file ne andrebbe tolto un terzo: il file "messages".
Il file messages non e' altro che un file dove vengono salvati tutti i messaggi
che i programmi che stanno girando in locale mandano al kernel, quindi
programmi come (ftp, telnet, sendmail, pop3, su, etc..) scriveranno nel file
messages tutto quello che basta per essere beccati. Esempio:

HaCk:~# telnet ppp.cazzone.it
"stronzatine varie..."

Linux 2.0.30 (ppp.cazzone.it) ttsy0

Login:

Ecco a questo punto io mi sono connesso con "ppp.cazzone.it".
Nel file messages del server cazzone apparira la scritta seguente, oltre
ovviamente alle altre:

Feb  2 12:12:00 ppp in.telnetd[97]: connect from 

Quindi questo significa che anche se io entro tolgo i 3 file detti
precedentemente, ma non provvedo anche a nascondermi nel file messages,
succedera' che il mio IP e la data della connessione che ho effettuato saranno
ben visibili all'amministratore, con conseguente inculamento a saltelli senza
vasellina.


Trucchetti dei permessi di /root:

Allora, adesso sveliamo qualche trucchetto che potra' essere utile quando state
facendo hacking. Questo piccolo trucco che permette di vedere il file
.bash_history del root sfruttando una piccola anomalia dei permessi della
directory root. Infatti il contentuo della suddetta directory la maggior parte
delle volte non e' visibile dall'esterno, poiche' i suoi permessi sono settati 
di solito come lettura, scrittura ed esecuzione solo da parte del root.
Pero' se voi una volta loggati nel sistema fate un "cd /root" vi ritroverete
all'interno della directory root.
A questo punto fate un "cat < /etc/passwd" e guardate la shell di lavoro del 
root. Se la shell e' "/bin/bash" allora siamo a cavallo, altrimenti lasciate
perdere tutto. Infatti, come dovreste sapere, la bash crea un file chiamato
.bash_history che registra tutti i comandi che vengono impartiti alla shell
da parte di qualsiasi utente. Ogni utente avra' questo file nella propria home 
dir.
Quindi se vi posizionate nella dir dell'utente root e fate un 
"cat .bash_history | more", come per magia vi apparira' il file .bash_history 
dove voi potrete vedere tutti i comandi che il root ha digitato.
In alternativa potete anche scaricarvelo dall'ftp facendo "cd root" e 
"get .bash_history" e guardarvelo comodamente a casa.
Questo trucchetto e' bellissimo se volete sapere cosa fa il root quando si 
collega, per vedere quali programmi installa, quali file copia nella sua 
home dir, quali utenti aggiunge, se fa copie di file importanti i altri posti
su disco, insomma puo' davvero essere utile, anche perche' non solo possiamo
vedere  e prendere il file .bash_history, ma tutti i file che sono
all'interno della directory /root. Ovviamente devono essere "-------r-"
altrimenti non gli si va in tasca.

Ok, anche oggi ho concluso. Ci vediamo la prossima volta che avro' qualche
trucchettino fresco fresco!!
                                                           DrumFire


--------------------[ previous ]---[ index ]---[ next ]---------------------
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
==============================================================================