home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / misc / ntremote.txt < prev    next >
Encoding:
Text File  |  2001-07-11  |  7.8 KB  |  104 lines
  1. Johnny Hacker has a Windows NT Server at home. Why? Because he knows if he's going to hack 
  2. NT he's best using the same type of computer...it gives him all the necessary tools. 
  3. He has installed RAS and has a dial-up connection to the Internet. One morn ing, around 
  4. 2:00am he dials into the Internet...his IP address is dynamically assigned to him. He 
  5. opens up a Command Prompt window and gets down to work. He knows www.company.com's web 
  6. server is running IIS. How? Because he once did a search on "batch fil es as CGI" using 
  7. Excites search engine. That phrase is in Chapter 8 of Internet Information Server's 
  8. on-line help....and unfortunately it's been indexed by Excite's spider...now Johnny has 
  9. a list of around 600 web servers running IIS. 
  10. He ftps to www.company.com. He isn't even sure yet if the server is running the ftp 
  11. service. He knows if he gets a connection refused message it wont be...he's in luck 
  12. though...the following appears on the screen : 
  13. C:\ftp www.company.com 
  14. Connected to www.company.com. 
  15. 220 saturn Microsoft FTP Service (Version 3.0). 
  16. User (www.comapny.com:(none)):
  17. This connection message tells him something extremely important : The NetBIOS name 
  18. of the server : SATURN. From this he can deduce the name of the anonymous internet 
  19. account that is used by NT to allow people to anonymously u se the WWW, FTP and Gopher 
  20. services on the machine. If the default account hasn't been changed, and he knows that 
  21. it is very rare if it has been changed, the anonymous internet account will be called 
  22. IUSR_SATURN. This information will be needed later if h e's to gain Administrator access 
  23. to the machine. He enters "anonymous" as the user and the following appears : 
  24. 331 Anonymous access allowed, send identity (e-mail name) as password. 
  25. Password:
  26. Johnny often tries the "guest" account before using "anonymous" as the user. A fresh 
  27. install of NT has the "guest" account disabled but some admins enable this account....
  28. and the funny thing is they usually put a weak password on it such as 'guest' or no 
  29. password at all. If he manages to gain access to the ftp service with this account he 
  30. has a valid NT user account....everything that the "guest" account has access to...so 
  31. does Johnny, and sometimes that can be almost everything. He knows he can acces s their 
  32. site now...but there is still a long way to go yet....even at this point he still might 
  33. not get access. At this point he doesn't even supply a password...he just presses enter 
  34. and gets a message stating that the Anonymous user is logged in. First off he types 
  35. "cd /c" because some admins will make the the root of the drive a virtual ftp directory 
  36. and leave the default alias name : "/c". Next he sees whether he can actually "put" any 
  37. files onto the site ie. is the write permission enabled for this f tp site. He's in luck. 
  38. Next he types "dir" to see what he has access to. He chuckles to himself when he sees a 
  39. directory called "CGI-BIN". Obviously the Webmaster of the NT machine has put this here 
  40. with the rest of the WWW site so he can remotely make ch anges to it. Johnny knows that 
  41. the CGI-BIN has the "Execute" permission so if he can manage to put any program in here 
  42. he can run it from his web browser. He hopes that the Webmaster hasn't, using NTFS 
  43. file-level security, cut off write access to the anon ymous internet account to this 
  44. directory...even though he knows there are sometimes ways round this. He changes to the 
  45. CGI-BIN directory and then changes the type to I by using the command "binary". Then he 
  46. types "put cmd.exe". He's in luck..he gets the f ollowing response : 
  47. 200 PORT command successful. 
  48. 150 Opening BINARY mode data connection for CMD.EXE. 
  49. 226 Transfer complete. 
  50. 208144 bytes sent in 0.06 seconds (3469.07 Kbytes/sec)
  51. Next he puts getadmin.exe and gasys.dll into the same directory. With these three files 
  52. in place he doesn't even gracefully "close" the ftp session; he just closes the Command 
  53. Prompt window. With a smile on his face he leans back and lights a smoke, savouring the 
  54. moment...he knows he has them.... After crunching the cigarette out in an overflowing 
  55. ashtray he connects to AOL. He does this because if logging is enabled on the NT machine 
  56. the IP addres s of AOL's proxy server will be left and not his own...not that it really 
  57. matters because soon he'll edit the logfile and wipe all traces of his presence. Opening 
  58. up the web browser he enters the following URL : 
  59. http://www.company.com/cgi-bin/getadmin.exe?IUSR_SATURN
  60. After about a fifteen second wait the following appears on his web browser: 
  61. CGI Error 
  62. The specified CGI application misbehaved by not returning a complete set of HTTP headers. 
  63. The headers it did return are: 
  64. Congratulations , now account IUSR_SATURN have administrator rights! 
  65. He has just made the anonymous internet account a local administrator and consequently 
  66. using this account he can do pretty much what he wants to. Firstly though, he has to 
  67. create an account for himself that he can use to connect to the NT server using NT 
  68. Explorer and most of the Administrative tools. He can't use the IUSR_SATURN account 
  69. because he doesn't know the randomly generated password. To create an account he enters 
  70. the following URL: 
  71. http://www.company.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20cnn%20news%20/add 
  72. He has just created an account called "cnn" with the password "news". To make the account 
  73. a local administrator he enters the following URL: 
  74. http://www.company.com/cgi-bin/getadmin.exe?cnn 
  75. It has taken him less than ten minutes to do all of this. He disconnects from AOL and 
  76. clicks on start, goes upto find and does a search for the computer www.company.com. After 
  77. about a minute the computer is found : 
  78. Next he right clicks on the "computer" and then clicks on Explore. NT Explorer opens and 
  79. after a little wait Johnny is prompted for a user-name and password. He enters "cnn" and 
  80. "news". Moments later he is connected. Admin rights for the computer www. company.com are 
  81. appended to his own security access token...now he can do anything. Using User Manager for 
  82. Domains he can retrieve all the account information; he can connect to the Internet 
  83. Service Manager; he can view Server Manager...first though, usin g NT Explorer he maps 
  84. a drive to the hidden system share C$. He changes to the Winnt\system32\logfiles 
  85. directory and opens up the logfile for that day. He deletes all of the log entries 
  86. pertaining to his "visit" and saves it. If he gets any message about sharing violations 
  87. all he has to do is change the date on the computer with the following URL: 
  88. http://www.company.com/cgi-bin/cmd.exe?/c%20date%2002/02/98 
  89. Next, using the Registry Editor he connects to the registry on the remote computer. 
  90. Then using L0phtcrack he dumps the SAM (the Security Accounts Manager - 
  91. holds account info) on the NT server and begins cracking all the passwords on the 
  92. machine. Using the Task Manager he sets the priority to Low because L0phtcrack is 
  93. fairly processor intensive (NB L0phtcrack ver 2.0 sets the priority to Low anyway) 
  94. and there is still a few thing he must do to hide the fact that that some-one has 
  95. gained entry. He deletes cmd.exe, getadmin.exe and gasys.dll from the cgi-bin, then he 
  96. checks the security event log for the remote NT server using Event Viewer to see if he's 
  97. left any traces there. Finally using User Manager for Domains he removes admin rights 
  98. from the IUSR_SATURN account and deletes the cnn account he created a few moments 
  99. earlier. He doesn't need this account anymore....L0phtcrack will be able to brute 
  100. force all the accounts. Next time he connects to this machine it will be using the 
  101. Administrator account. He breaks his connection to the Internet and sets 10phtcrack's
  102. priority to High, leaves it running and heads to bed...Looking at his alarm clock : it's 
  103. just passed 2:30am....Sighing to himself, he mumbles, "Sheesh, I'm getting slow!" and 
  104. falls asleep with a grin on his face.