home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack40.004 < prev    next >
Encoding:
Text File  |  2003-06-11  |  32.0 KB  |  600 lines
  1.  
  2.                                 ==Phrack Inc.==
  3.  
  4.                      Volume Four, Issue Forty, File 4 of 14
  5.  
  6.                                Network Miscellany
  7.             *******************************************************
  8.            <    How to Acquire Information on Internet Computers   >
  9.             *******************************************************
  10.                          Compiled from Internet Sources
  11.  
  12.                                 by The Racketeer
  13.                               of The Hellfire Club
  14.  
  15.                     Network Miscellany created by Taran King
  16.  
  17.  
  18. Generally speaking, information is everything.  A lot of hacking any computer
  19. on a network is being able to gather information about the machine and its
  20. vulnerabilities.  This file is about using the available resources on the
  21. Internet network in order to gain important information about any perspective
  22. sites.
  23.  
  24. A large amount of information has been printed in Phrack recently about the
  25. Internet, most of it copied straight from manuals and in my opinion lacking
  26. hacking flair.  Therefore, I'm going to take you straight into the heart of the
  27. heart of the matter with this file on acquiring information!
  28.  
  29. Now, the Internet is notorious for not having an instruction manual.  Most
  30. people who find out what the Internet is learn from their friends.  It used to
  31. be that there was only one real landmark on the Internet, and that was the
  32. SIMTEL-20 FTP archive.  Now, the Internet is probably the largest free network
  33. in existence.  In fact, it's a hacker's paradise!
  34.  
  35. Unfortunately, you have to know about "public" sites on the network before you
  36. can use them.  Likewise, how are you going to hack an organization if you don't
  37. know any machines on it?  Sort of like trying to complain to Packard-Bell about
  38. your computer equipment not working when the bastards don't supply their name,
  39. address, or phone number. You are going to have to find another way to get that
  40. information if you want to get anything done.
  41.  
  42. There is not any one particular way to learn about a site.  In fact, you'll
  43. have to combine several unusual methods of gathering information in order to
  44. obtain anything resembling a "complete picture."  However, using the
  45. combinations of techniques described in this file, you can maneuver through any
  46. network on the Internet and learn about the machines within.
  47.  
  48. The first stop on this journey is the ARPANet Network Information Center
  49. (frequently called "NIC" by experienced network users).  NIC's purpose is
  50. simply to keep track of all the network connections, fields, domains, and hosts
  51. that people wish to be told about.
  52.  
  53. To connect to NIC, you would issue a command from your Internet connected
  54. machine similar to this:
  55.  
  56.                .----------------------- command
  57.               \/
  58. [lycaeum][1]> telnet nic.ddn.mil
  59.  
  60. This will (within a short period of time) route you to the Network Information
  61. Center and grant you access.  There isn't a straight forward login/logout
  62. system on NIC like other Unix computers; it will just connect you to the
  63. Information System upon connection.  The message you will get will be similar
  64. to this:
  65.  
  66. *  -- DDN Network Information Center --
  67. *
  68. *  For TAC news, type:                    TACNEWS <return>
  69. *  For user and host information, type:   WHOIS <return>
  70. *  For NIC information, type:             NIC <return>
  71. *
  72. *  For user assistance call (800) 235-3155 or (415) 859-3695
  73. *  Report system problems to ACTION@NIC.DDN.MIL or call (415) 859-5921
  74.  
  75.  SRI-NIC, TOPS-20 Monitor 7(21245)-4
  76. @ <prompt>
  77.  
  78. Great, now we are in.  Essentially, since NIC is just a great big telephone
  79. book, we need to let our fingers to the walking.  Let's demonstrate a few
  80. simple commands as I go after one of the government contract giants, the
  81. corporation known as UNISYS.  Let's start by entering WHOIS.
  82.  
  83. @WHOIS
  84. SRI-NIC WHOIS 3.5(1090)-1 on Tue, 22 Aug 91 15:49:35 PDT, load 9.64
  85.   Enter a handle, name, mailbox, or other field, optionally preceded
  86.   by a keyword, like "host sri-nic".  Type "?" for short, 2-page
  87.   details, "HELP" for full documentation, or hit RETURN to exit.
  88. ---> Do ^E to show search progress, ^G to abort a search or output <---
  89. Whois:
  90.  
  91. Okay, now we are in the database.  Since Unisys is our target, let's go ahead
  92. and ask it about "Unisys."
  93.  
  94. Whois: unisys
  95.  
  96. Cartee, Melissa (MC142)         unisys@email.ncsc.navy.mil     (904) 234-0451
  97. Ebersberger, Eugen (EE35)       UNISYS@HICKAM-EMH.AF.MIL       (808) 836-2810
  98. Lichtscheidl, Mark J. (MJL28)   UNISYS@BUCKNER-EMH1.ARMY.MIL   (DSN) 634-4390
  99. Naval Warfare Assessment Center (UNISYS) UNISYS.NWAC.SEA06.NAVY.MIL
  100.                                                                   137.67.0.11
  101. Navratil, Rich (RN74)           UNISYS@COMISO-PIV.AF.MIL       (ETS) 628-2250
  102.  
  103. There are 28 more matches.  Show them?  y      -->  of course
  104.  
  105. Peterson, Randy A. (RP168)      UNISYS@AVIANO-SBLC.AF.MIL      (ETS) 632-7721
  106. Przybylski, Joseph F. (JP280)   UNISYS@AVIANO-SBLC.AF.MIL      (ETS) 632-7721
  107. UNISYS Corporation (BIGBURD)    BIGBURD.PRC.UNISYS.COM          128.126.10.34
  108. UNISYS Corporation (GVLV2)      GVL.UNISYS.COM                128.126.220.102
  109. UNISYS Corporation (MONTGOMERY-PIV-1) MONTGOMERY-PIV-1.AF.MIL      26.5.0.204
  110. Unisys Corporation (NET-MRC-NET)MRC-NET                           192.31.44.0
  111. Unisys Corporation (NET-SDC-PRC-CR) UNISYS-ISF-11                 192.26.24.0
  112. Unisys Corporation (NET-SDC-PRC-LBS) UNISYS-ISF-9                 192.26.22.0
  113. UNISYS Corporation (NET-SDC-PRC-NET) UNISYS-ISF-7                192.12.195.0
  114. Unisys Corporation (NET-SDC-PRC-SA) UNISYS-ISF-10                 192.26.23.0
  115. Unisys Corporation (NET-SDC-PRC-SW) UNISYS-ISF-8                  192.26.21.0
  116. Unisys Corporation (NET-UNISYS-CULV) UNISYS-CULV                  192.67.92.0
  117. Unisys Corporation (NET-UNISYS-PRC) UNISYS-PRC                    128.126.0.0
  118. Unisys Corporation (NET-UNISYS-RES1) UNISYS-RES1                  192.39.11.0
  119. Unisys Corporation (NET-UNISYS-RES2) UNISYS-RES2                  192.39.12.0
  120. Unisys Corporation (NET-UNISYS2)UNISYS-B2                         129.221.0.0
  121. Unisys Corporation (STARS)      STARS.RESTON.UNISYS.COM         128.126.160.3
  122. Unisys Corporation (UNISYS-DOM)                                    UNISYS.COM
  123. Unisys Linc Development Centre (NET-LINC) LINC                     143.96.0.0
  124. UNISYS (ATC-SP)                 ATC.SP.UNISYS.COM             129.218.100.161
  125. Unisys (FORMAL)                 FORMAL.CULV.UNISYS.COM           192.67.92.30
  126. UNISYS (KAUAI-MCL)              KAUAI.MCL.UNISYS.COM            128.126.180.2
  127. UNISYS (MCLEAN-UNISYS)          MCLEAN-UNISYS.ARMY.MIL             26.13.0.17
  128. UNISYS (NET-UNISYS-RES3)        UNISYS-RES3                      192.67.128.0
  129. Unisys (NET-UNISYS-SP)          UNISYS-SP                         129.218.0.0
  130. UNISYS (SALTLCY-UNISYS)         SALTLCY-UNISYS.ARMY.MIL           26.12.0.120
  131. UNISYS (SYS-3)                  SYS3.SLC.UNISYS.COM             129.221.15.85
  132. Wood, Roy (RW356)               UNISYS@LAKENHEATH-SBLC.AF.MIL
  133.                                               0044-0638-522609 (DSN) 226-2609
  134.  
  135. As you can see, the details on these computers get fairly elaborate.  The first
  136. "column" is the matching information, second column is the network name or
  137. title, then it is followed by a phone number or IP port address.  If the phone
  138. number has an area code, then it is of a standard phone nature; however, if it
  139. is (DSN) then it's on the "Data Security Network," aka Autovon (the military
  140. phone system).
  141.  
  142. Now, as you can tell from the above list, there are several UNISYS accounts at
  143. military machines -- including a military machine NAMED after Unisys (mclean-
  144. unisys.army.mil).  This stands to reason since Unisys deals mostly in military
  145. computer equipment.  Since it is a secretive military group, you'd figure an
  146. outsider shouldn't be able to gain much information about them.
  147.  
  148. Here is what happens if you center on a specific person:
  149.  
  150. Whois: cartee
  151. Cartee, Melissa (MC142)            unisys@email.ncsc.navy.mil
  152.    7500 McElvey Road
  153.    Panama City, FL 32408
  154.    (904) 234-0451
  155.    MILNET TAC user
  156.  
  157.    Record last updated on 18-Apr-91.
  158.  
  159. Hmm..  Very interesting.  This user obviously has access to military computers
  160. since she has a TAC card, and goes under the assumed identity as "Unisys" in
  161. general.  Could this person be a vital link to the Unisys/U.S.  Defense
  162. connection?  Quite possibly.  More likely she is a maintenance contact, since
  163. she can use her TAC card to contact multiple (confined) military networks.
  164.  
  165. I've gone ahead and requested specific information about kauai.mcl.unisys.com,
  166. which as far as I know is a focal point for the Unisys Networks.  Of course,
  167. the information on this machine is non-classified (or if it IS classified,
  168. Unisys will probably be chewed out by Uncle Sam).  Notice all the great
  169. information it gives:
  170.  
  171. Whois: kauai.mcl.unisys.com
  172. UNISYS (KAUAI-MCL)
  173.    Building 8201, 10th Floor Computer Room
  174.    8201 Greensboro Drive
  175.    McLean, VA 22102
  176.  
  177.    Hostname: KAUAI.MCL.UNISYS.COM
  178.    Nicknames: MCL.UNISYS.COM
  179.    Address: 128.126.180.2
  180.    System: SUN-3/180 running SUNOS
  181.  
  182.    Coordinator:
  183.       Meidinger, James W.  (JWM3)  jim@BURDVAX.PRC.UNISYS.COM
  184.       (215) 648-2573
  185.  
  186.    domain server
  187.  
  188.    Record last updated on 05-Aug-91.
  189.  
  190.    No registered users.
  191.  
  192. Aha!  The Coordinator on this machine doesn't use it!  There are no registered
  193. users!  Namely, if you wanted to hack it, you aren't screwing with the higher
  194. ups (this is good).  Since when does Unisys buy computers from other companies?
  195. Can't they just grab a few off the assembly line or something?  The computer is
  196. stationed in McLean, Virginia!  That's where the CIA is!  Could Unisys be
  197. developing computers for the international espionage scene?  Obviously, there
  198. is a great deal of information to be sucked out of this machine.
  199.  
  200. How?  The answer was listed there.  The machine is a DOMAIN SERVER.  That means
  201. this computer holds the network information used to identify all the computer
  202. systems on its network and all we need to do right now is figure out a way to
  203. squeeze that information out!  But first, let's see if our hunch was correct in
  204. assuming the bigwigs are far away by checking out the head honcho, "Mr.
  205. Meidinger."
  206.  
  207. Whois: jim@burdvax.prc.unisys.com
  208. Meidinger, James W. (JWM3)             jim@BURDVAX.PRC.UNISYS.COM
  209.    Unisys Corporation
  210.    Computer Resources
  211.    Room g311
  212.    P.O. Box 517
  213.    Paoli, PA 19301-0517
  214.    (215) 648-2573
  215.  
  216.    Record Last Updated on 04-Jul-90.
  217.  
  218. Yup, Mr. Meidinger is far away -- Pennsylvania, to be exact.  Not exactly
  219. keyboard's length away, is he?  Besides, being in the "Computer Resources"
  220. department, I'd suspect he is just an accountant.  Accountants are to computing
  221. as beavers are to trees (unless, of course, they actually like computers, which
  222. isn't a foregone conclusion in the business world).
  223.  
  224. I'm going to skip the rest of the information on NIC, since it has been
  225. overkilled in this particular magazine anyway.  The only hint I have is to read
  226. CERT's and DDN's news blurbs, since they give out some interesting information
  227. which would be useful and educational.  Besides, messing around with the CIA's
  228. hired goons sounds much more fun.
  229.  
  230. Now is the time for a little bit of a lesson in critical reasoning: the
  231. Internet isn't exactly a "free to the public" network, meaning you just can't
  232. attach your computer to a machine on the Internet and expect it to work all of
  233. a sudden.  You need to configure your machine around the computers in the
  234. network domain you are linking into, and if you have their permission, then
  235. everything is cool.  But once you're configured, and your router and/or server
  236. has been notified of your existence, does that mean anyone else has that
  237. information?  The answer is yes, although that info won't be forwarded to a
  238. place like NIC -- it will have to be obtained another way.
  239.  
  240. All packets of data on the Internet need to be routed to and from valid
  241. computer hosts.  Therefore, all of this information is stored on the network's
  242. gateway.  But the routing information stored is simply in numeric format, such
  243. as 128.126.160.3.  At least, that is as understandable as it gets, since
  244. Ethernet addresses are even more elaborate and in binary.
  245.  
  246. However, as Internet users know, there is more than a single way of describing
  247. a computer.  "telnet 128.126.160.3" would be one way of connecting to a
  248. computer, or "telnet aviary.stars.reston.unisys.com" would be another way of
  249. connecting to the same computer.  These names are chosen by the owner of the
  250. network, and are described through the use of "domain servers."
  251.  
  252. As you recall, kauai.mcl.unisys.com was listed by NIC as a domain server.  This
  253. means that the names of the computer systems on that network are stored on that
  254. particular host.  Of course, that's not the only thing.  The domain server
  255. presents the computer name and IP number to the connecting machine allowing you
  256. to connect to the computer by using a "domain style name."  Ultimately,
  257. everything is converted to IP numbers.
  258.  
  259. Most network software allows compatibility with domain servers, meaning if you
  260. want to connect to nic.ddn.mil, and you specify a command "telnet nic.ddn.mil"
  261. then you will connect to nic.ddn.mil.  Sadly, this isn't true of all computers
  262. (which require IP numbers only), but at least it is true enough that the
  263. general user is likely to have such computer resources.
  264.  
  265. Reaching back to the Dark Ages, there is a computer program that allows
  266. machines that don't directly interpret domain style addresses to IP addresses
  267. to still find out what the name of a machine is.  This program is called
  268. "nslookup" and is usually found in the Unix operating system (at least, I
  269. haven't used it anywhere else -- it might only work on Unix).
  270.  
  271. "nslookup" stands for Name Server Lookup (there has been some debate, it seems,
  272. if a domain server is really a name server, or visa versa; in fact, both
  273. describe what they do well enough to have conflict).  Regardless, let's go
  274. ahead and work on learning how to use nslookup.
  275.  
  276. [lycaeum][2]> nslookup
  277. Default Name Server:  lycaeum.hfc.com
  278. Address:  66.6.66.6
  279.  
  280.  
  281. Now, going back to that NIC information we got earlier, let's continue to hack
  282. on poor old Unisys, which is giving up its info every step we make.  We
  283. determined that the kauai.mcl.unisys.com was a domain server, so let's jump
  284. ahead to that by changing our server to their server (after all, the computers
  285. we are after aren't on our machine).
  286.  
  287. > server kauai.mcl.unisys.com
  288. Default Server:  kauai.mcl.unisys.com
  289. Address:  128.126.180.2
  290.  
  291. Okay, now we have connected to the server.  This isn't a constant connection,
  292. by the way.  It will only establish a connection for the brief instant that it
  293. takes for it to execute commands.  It doesn't require a password or an account
  294. to get this information off of a nameserver.
  295.  
  296. Let's start off by having it give us a list of everything about Unisys that
  297. this server knows.  "Everything" is pretty much a good place to start, since we
  298. can't go wrong.  If we come up with nothing, then that's what's available.  The
  299. basic command to list machines is "ls" like the Unix directory command.
  300.  
  301. > ls unisys.com
  302. [kauai.mcl.unisys.com]
  303. Host of domain name            Internet address
  304.  unisys.com                     server = burdvax.prc.unisys.com         3600
  305.  burdvax.prc.unisys.com         128.126.10.33                   3600
  306.  unisys.com                     server = kronos.nisd.cam.unisys.com     3600
  307.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
  308.  unisys.com                     server = kauai.mcl.unisys.com           3600
  309.  kauai.mcl.unisys.com           128.126.180.2                   43200
  310.  unisys.com                     server = io.isf.unisys.com              3600
  311.  io.isf.unisys.com              128.126.195.20                  3600
  312.  reston.unisys.com              server = aviary.stars.reston.unisys.com 3600
  313.  aviary.star.reston.unisys.com  128.126.160.3                   3600
  314.  aviary.star.reston.unisys.com  128.126.162.1                   3600
  315.  reston.unisys.com              server = kauai.mcl.unisys.com           3600
  316.  kauai.mcl.unisys.com           128.126.180.2                   43200
  317.  rosslyn.unisys.com             server = aviary.stars.reston.unisys.com 3600
  318.  aviary.stars.reston.unisys.com 128.126.160.3                   3600
  319.  aviary.stars.reston.unisys.com 128.126.162.1                   3600
  320.  rosslyn.unisys.com             server = kauai.mcl.unisys.com           3600
  321.  kauai.mcl.unisys.com           128.126.180.2                   43200
  322.  rmtc.unisys.com                server = rmtcf1.rmtc.unisys.com         3600
  323.  rmtcf1.rmtc.unisys.com         192.60.8.3                      3600
  324.  rmtc.unisys.com                server = gvlv2.gvl.unisys.com           3600
  325.  gvlv2.gvl.unisys.com           128.126.220.102                 3600
  326.  sp.unisys.com                  server = dsslan.sp.unisys.com           3600
  327.  dsslan.sp.unisys.com           129.218.32.11                   3600
  328.  sp.unisys.com                  server = sys3.slc.unisys.com            3600
  329.  sys3.slc.unisys.com            129.221.15.85                   3600
  330.  cam.unisys.com                 server = kronos.nisd.cam.unisys.com     3600
  331.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
  332.  cam.unisys.com                 server = burdvax.prc.unisys.com         3600
  333.  burdvax.prc.unisys.com         128.126.10.33                   3600
  334.  prc.unisys.com                 server = burdvax.prc.unisys.com         3600
  335.  burdvax.prc.unisys.com         128.126.10.33                   3600
  336.  prc.unisys.com                 server = kronos.prc.unisys.com          3600
  337.  kronos.prc.unisys.com          128.170.2.8                     3600
  338.  prc.unisys.com                 server = walt.prc.unisys.com            3600
  339.  walt.prc.unisys.com            128.126.2.10                    3600
  340.  walt.prc.unisys.com            128.126.10.44                   3600
  341.  culv.unisys.com                server = formal.culv.unisys.com         3600
  342.  formal.culv.unisys.com         192.67.92.30                    3600
  343.  culv.unisys.com                server = kronos.nisd.cam.unisys.com     3600
  344.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
  345.  slc.unisys.com                 server = sys3.slc.unisys.com            3600
  346.  sys3.slc.unisys.com            129.221.15.85                   3600
  347.  slc.unisys.com                 server = dsslan.sp.unisys.com           3600
  348.  dsslan.sp.unisys.com           129.218.32.11                   3600
  349.  slc.unisys.com                 server = nemesis.slc.unisys.com         3600
  350.  nemesis.slc.unisys.com         128.221.8.2                     3600
  351.  bb.unisys.com                  server = sunnc.wwt.bb.unisys.com        3600
  352.  sunnc.wwt.bbs.unisys.com       192.39.41.2                     3600
  353.  bb.unisys.com                  server = burdvax.prc.unisys.com         3600
  354.  burdvax.prc.unisys.com         128.126.10.33                   3600
  355.  isf.unisys.com                 server = orion.ISF.unisys.com           3600
  356.  orion.ISF.unisys.com           128.126.195.7                   3600
  357.  isf.unisys.com                 128.126.195.1                   3600
  358.  isf.unisys.com                 server = burdvax.prc.unisys.com         3600
  359.  burdvax.prc.unisys.com         128.126.10.33                   3600
  360.  isf.unisys.com                 server = io.isf.unisys.com              3600
  361.  io.isf.unisys.com              128.126.195.20                  3600
  362.  gvl.unisys.com                 128.126.220.102                 172800
  363.  gvl.unisys.com                 server = gvlv2.gvl.unisys.com           3600
  364.  gvlv2.gvl.unisys.com           128.126.220.102                 3600
  365.  gvl.unisys.com                 server = burdvax.prc.unisys.com         3600
  366.  burdvax.prc.unisys.com         128.126.10.33                   3600
  367.  mcl.unisys.com                 128.126.180.2                   43200
  368.  mcl.unisys.com                 server = kauai.mcl.unisys.com           43200
  369.  kauai.mcl.unisys.com           128.126.180.2                   43200
  370.  mcl.unisys.com                 server = burdvax.prc.unisys.com         43200
  371.  burdvax.prc.unisys.com         128.126.10.33                   3600
  372.  mcl.unisys.com                 server = kronos.nisd.cam.unisys.com     43200
  373.  kronos.nisd.cam.unisys.com     (dlen = 1152?)                  4096
  374. ListHosts: error receiving zone transfer:
  375.   result: NOERROR, answers = 256, authority = 0, additional = 3.
  376.  
  377. Bummer, an error.  Funny, it claims there isn't an error, yet it screwed up the
  378. kronos address and knocked me out.  Apparently, this domain server is screwed.
  379. Oh well, I guess that's really their problem because in the information it gave
  380. us, it was able to provide all the answers we needed to figure out the next
  381. step!
  382.  
  383. Quick analysis of the above information shows that most of the servers were
  384. connected to at LEAST two other servers.  Quite impressive:  A fault-tolerant
  385. TCP/IP network.  Since it is fault tolerant, we can go ahead and use a
  386. different machine to poke into the "mcl.unisys.com" domain.  Since "mcl" stands
  387. for McLean, that's where we want to go.
  388.  
  389. Remember that NIC told us that kauai.mcl.unisys.com had an alias?  It was also
  390. called "mcl.unisys.com".  Looking at the above list, we see toward the bottom
  391. that mcl.unisys.com is also domain served by the computers
  392. burdvax.prc.unisys.com and kronos.nisd.cam.unisys.com.  Let's connect to one of
  393. them and see what we can gather!
  394.  
  395. Whenever a server starts acting screwy like kauai was doing, I make it a habit
  396. of using IP numbers when they are available.  I'm going to connect to
  397. burdvax.prc.unisys.com through its IP address of 128.126.10.33.
  398.  
  399. > server 128.126.10.33
  400. Default server: [128.126.10.33]
  401. Address:  128.126.10.33
  402.  
  403. Now that we are connected, let's see the network information again, but this
  404. time let's try something different and possibly more useful.  This time we will
  405. use the -h command, which happens to describe the computer type (CPU) and the
  406. operating system it runs on (OS) which will give us a better idea of what we
  407. are dealing with.
  408.  
  409. > ls -h mcl.unisys.com
  410. Host or domain name           CPU          OS
  411.  maui.mcl.Unisys.COM           SUN-2/120    UNIX        43200
  412.  cisco.mcl.Unisys.COM          CISCO GATEWAY CISCO              43200
  413.  kauai.mcl.Unisys.COM          SUN-3/180    UNIX        43200
  414.  voyager.mcl.Unisys.COM        SUN-4/330    UNIX        43200
  415.  dial.mcl.Unisys.COM           SUN-3/260    UNIX        43200
  416.  astro.mcl.Unisys.COM          SUN-3/60     UNIX        43200
  417.  hotrod.mcl.Unisys.COM         Unisys 386   SCO/UNIX            43200
  418.  oahu.mcl.Unisys.COM           VAX-11/785   UNIX        43200
  419.  lanai.mcl.Unisys.COM          SUN-3/160    UNIX        43200
  420.  mclean_is.mcl.Unisys.COM      386          NOVELL              43200
  421.  
  422. WOW!  Look at all those Suns!  I guess Unisys has no faith in their own
  423. computers or something!  If only President Bush could see this display of a
  424. company backing their product!  In fact, the only Unisys computer in this whole
  425. lot is a cheesy 386 clone which probably is some guy's desktop machine.
  426.  
  427. Once again, there is some fascinating information here.  Let's run through it
  428. really quick:
  429.  
  430. Maui is a Sun 2, which is a really old RISC computer.  You don't see many of
  431. these around but they still can be useful for storing stuff on.  But then
  432. again, it probably is faster than a PC!
  433.  
  434. Oahu is a Vax-11 which is apparently running Ultrix.  This may be where Unisys
  435. hoards all their programmers since it isn't being used for serious networking
  436. (at least, as far as we can tell).
  437.  
  438. Mclean_is happens to be the file server for a PC network.  We can't really tell
  439. from this point how many computers are on this network, but it could be
  440. possible it is used for public information trade, where secretaries or
  441. receptionists use it to confirm trade and scheduling.
  442.  
  443. Hotrod is also a 386, made by Unisys even!  Oddly, it is running a copy of SCO
  444. Unix, which means it is, no doubt, a personal computer someone uses for Unix
  445. programming.  If Unisys were itself a part of the government, I'd think this
  446. computer would have been a kludged bidding contract which they got stuck with
  447. because they were aiming for lowest bid and were unfortunately not very picky.
  448.  
  449. Voyager is an interesting machine, which is apparently the most modern on this
  450. network.  Since it is a Sun-4 computer (probably IPX) it would be a high-speed
  451. graphics workstation.  This could be the machine where many CAD applications
  452. are stored and worked on.  Another possibility is that Sun 4 computers were
  453. extremely expensive when they purchased this network of Suns, and they
  454. purchased this one machine to be the file server to the other Sun 3s and the
  455. Sun 2.  If you were to gain access to one of the other machines, it's possible
  456. you would have access to all of them.
  457.  
  458. Cisco is just a standard Cisco Router/Gateway box, linking that particular
  459. network to the Internet.
  460.  
  461. Kauai is a messed up domain server, big deal.  It might work on the same
  462. network as Astro and Lanai.
  463.  
  464. Dial is a Sun-3.  Is there something in a name?  This could be the
  465. telecommunications dial-in for the network.  Maybe the same computer system has
  466. a dialout attached to it.  It might even be possible that "dial" has a guest
  467. account for people logging in so that they can easily connect to other
  468. computers on the same network (probably not).
  469.  
  470. Astro and Lanai are also Sun 3 computers.  It isn't quite obvious what their
  471. purpose is.  Essentially, we have the impression that they were all purchased
  472. about the same time (explaining the large number of Sun-3 computers in this
  473. network) and it is quite possible they are just linked up to the Sun 4 in a
  474. file sharing network.  It is also possible they are older and fundamental to
  475. the operation of Unisys's communication platform at this particular site.
  476.  
  477. There is one flaw that makes using the -h switch somewhat unreliable:
  478. Sometimes people realize you can do this and take the time to remove or never
  479. include the information about the individual machines on the network.
  480. Therefore, it is always best for you to do a "ls <domain>" and check everything
  481. out in case a computer has been removed.  Using "telnet" to connect to the
  482. computer is usually a foolproof method of finding out what computer it is they
  483. are talking about.
  484.  
  485. > ls mcl.unisys.com
  486. [[128.126.10.33]]
  487. Host or domain name             Internet address
  488.  mcl.Unisys.COM                  server = kauai.mcl.unisys.com         3600
  489.  kauai.mcl.unisys.com            128.126.180.2                 3600
  490.  mcl.Unisys.COM                  server = burdvax.prc.unisys.com       3600
  491.  burdvax.prc.unisys.com          128.126.10.33                 3600
  492.  mcl.Unisys.COM                  server = kronos.nisd.cam.unisys.com   3600
  493.  kronos.nisd.cam.unisys.com      128.170.2.8                   3600
  494.  mcl.Unisys.COM                  128.126.180.2                 43200
  495.  maui.mcl.Unisys.COM             128.126.180.3                 43200
  496.  cisco.mcl.Unisys.COM            128.126.180.10                43200
  497.  kauai.mcl.Unisys.COM            128.126.180.2                 3600
  498.  voyager.mcl.Unisys.COM          128.126.180.37                43200
  499.  dial.mcl.Unisys.COM             128.126.180.36                43200
  500.  LOCALHOST.mcl.Unisys.COM        127.0.0.1                     43200
  501.  astro.mcl.Unisys.COM            128.126.180.7                 43200
  502.  hotrod.mcl.Unisys.COM           128.126.180.125               43200
  503.  oahu.mcl.Unisys.COM             128.126.180.1                 43200
  504.  lanai.mcl.Unisys.COM            128.126.180.6                 43200
  505.  mclean_is.mcl.Unisys.COM        128.126.180.9                 43200
  506.  
  507. Well, running down the list, it appears that there aren't any more computers
  508. important to this domain that we don't know already.  LOCALHOST is just another
  509. way of saying connect to where you are, so that isn't a big deal.  Hotrod being
  510. separate from the rest of the machines seems apparent since its IP address is
  511. x.x.x.125, which is quite separate from the others.  Even though this doesn't
  512. have to be, it seems it is a wiring kludge -- probably for an office like I
  513. surmised.
  514.  
  515. The next step?  Go ahead and hack away!  This is where all those system hacks
  516. people trade on the net and all those CERT Advisories become useful.  If you
  517. become good hacking a single machine (Suns, for example), using nslookup will
  518. help you identify those machines and make it easier for you to hack.
  519.  
  520. Looking for annex computers, libraries, guest machines, and other such
  521. computers also becomes easy when you use nslookup, because the names and
  522. computer types are there for your convenience.  Checking on sites by selecting
  523. interesting "special purpose" machines with nslookup first can yield good
  524. results.  People have called this "netrunning," and it sounds like as good a
  525. name as any.
  526.  
  527. Of course, the other big problem when dealing with domain servers is trying to
  528. identify them.  The largest list of domain servers can be found off of the
  529. Department of Defense Network Listing (usually called hosts.txt) which is
  530. available almost everywhere on the Internet through anonymous FTP.  Here is a
  531. rundown on how to get the file:
  532.  
  533. [lycaeum][3]> ftp wuarchive.wustl.edu
  534.  
  535. 220 wuarchive.wustl.edu FTP server (Version 6.24 Fri May 8 07:26:32 CDT 1992)
  536. ready.
  537. Remote host connected.
  538. Username (wuarchive.wustl.edu:rack): anonymous
  539. 331 Guest login ok, send your complete e-mail address as password.
  540. Password (wuarchive.wustl.edu:anonymous):
  541. 230-  This is an experimental FTP server.  If your FTP client crashes or
  542. 230-  hangs shortly after login please try using a dash (-) as the first
  543. 230-  character of your password.  This will turn off the informational
  544. 230-  messages that may be confusing your FTP client.
  545. 230-
  546. 230-  This system may be used 24 hours a day, 7 days a week.  The local
  547. 230-  time is Wed Jun  3 20:43:23 1992.
  548. 230-
  549. 230-Please read the file README
  550. 230-  it was last modified on Mon Mar  2 08:29:25 1992 - 93 days ago
  551. 230-Please read the file README.NFS
  552. 230-  it was last modified on Thu Feb 20 13:15:32 1992 - 104 days ago
  553. 230 Guest login ok, access restrictions apply.
  554.  
  555. ftp> get /network_info/hosts.txt
  556. 200 PORT command successful.
  557. 150 Opening ASCII mode data connection for /network_info/hosts.txt (1088429 bytes).
  558. 226 Transfer complete.
  559. Transferred 1109255 bytes in 182.95 seconds (6063.29 bytes/sec, 5.92 KB/s).
  560.  
  561. ftp> quit
  562. 221 Goodbye.
  563.  
  564. Now let's convert it to a file we can use effectively:  let's take out of that
  565. huge list of only the machines that are domain servers:
  566.  
  567. [lycaeum][4]> grep -i domain hosts.txt > domains
  568.  
  569. Okay, now that we have done that, let's prove that this is a way of finding a
  570. domain server without connecting to anyplace.  Let's just use the grep command
  571. to search the file for a server in the mcl.unisys.com domain:
  572.  
  573. [lycaeum][5]> grep -i mcl.unisys.com domains
  574. HOST : 128.126.180.2 : KAUAI.MCL.UNISYS.COM,MCL.UNISYS.COM : SUN-3/180 :
  575. SUNOS : TCP/TELNET,TCP/FTP,TCP/SMTP,UDP/DOMAIN :
  576. [lycaeum][6]>
  577.  
  578. And there you have another way.  Everything we looked at is here: IP number,
  579. the name, the "alias," the computer type, the operating system, and a brief
  580. list of network protocols it supports, including the domain server attribute.
  581. However, none of the other machines on the mcl.unisys.com network were
  582. displayed.  The DoD isn't a complete list of network machines, only the network
  583. machines that are vital to the functioning of the Internet (in the last year,
  584. this list has grown from about 350K to 1.1 megabytes -- and this only reflects
  585. the "new" networks, not including the addition of new machines onto old
  586. networks; the Internet is definitely "in;"  I believe it was estimated 25%
  587. growth per month!).
  588.  
  589. Obviously, this is very effective when going after university sites.  It seems
  590. they have too many machines to take good care of security on.  Essentially, the
  591. DoD list contains much the same information as NIC does, and is about a million
  592. times more discreet.  I'm not sure if NIC is fully logged, but it does have a
  593. staff Head of Security (*snicker*).
  594.  
  595. Well, that will pretty much wrap it up for this file.  Hope some of it was
  596. useful for you.
  597. _______________________________________________________________________________
  598.  
  599.  
  600.