home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / miscpub1 / cmsb.tj2 < prev    next >
Text File  |  1992-09-26  |  27KB  |  717 lines

  1. The LOD/H Technical Journal: File #9 of 10
  2.  
  3.  
  4.                      Hacking IBM's VM/CMS Operating System
  5.                                      PART B
  6.  
  7. Command Interpretation Chart: The following chart will compare the commands
  8. used on VAX/VMS, UNIX, and VM/CMS to allow those who are familiar with the
  9. other Operating Systems to quickly reference its CMS counterpart.
  10.  
  11.  
  12. +-----------------+---------------+----------------------+--------------------+
  13. ! VAX/VMS         ! UNIX          ! VM/CMS               ! SHORT EXPLANATION  
  14. !
  15.  
  16. +-----------------+---------------+----------------------+--------------------+
  17. ! /NOCOMMAND      ! *****NONE**** ! NOIPL                ! aborts login pgm   
  18. !
  19.  
  20. +-----------------+---------------+----------------------+--------------------+
  21. ! SHOW USERS      ! WHO           ! QUERY NAMES          ! online userlisting 
  22. !
  23.  
  24. +-----------------+---------------+----------------------+--------------------+
  25. ! DIRECTORY       ! LS            ! LISTFILE or FILELIST ! show current dir.  
  26. !
  27.  
  28. +-----------------+---------------+----------------------+--------------------+
  29. ! TYPE filename   ! CAT filename  ! TYPE fname ftype fm  ! list or view files 
  30. !
  31.  
  32. +-----------------+---------------+----------------------+--------------------+
  33. ! EDIT            ! ED or VI or EX! XEDIT                ! system editor      
  34. !
  35.  
  36. +-----------------+---------------+----------------------+--------------------+
  37. ! DELETE filename ! REMOVE filenme! ERASE fname ftype fm ! deletes files      
  38. !
  39.  
  40. +-----------------+---------------+----------------------+--------------------+
  41. ! PHONE username  ! WRITE user    ! TELL userid          ! user communication 
  42. !
  43.  
  44. +-----------------+---------------+----------------------+--------------------+
  45. ! Control-Y       ! Ctrl-Backslash! Hard-break then HX   ! aborts process     
  46. !
  47.  
  48. +-----------------+---------------+----------------------+--------------------+
  49.  
  50. Corresponding files:
  51.  
  52.  
  53. +-----------------+---------------+--------------+----------------------------+
  54. ! SYSUAF.DAT      ! /ETC/PASSWD   ! USER DIRECT  ! Userlist & user 
  55. information!
  56. ! MAIL.TXT        ! USR/MAIL/user ! USERID NOTE  ! Electronic mail files      
  57. !
  58. ! LOGIN.COM       ! .PROFILE      ! PROFILE EXEC ! User login command files   
  59. !
  60.  
  61. +---------------------------------+--------------+----------------------------+
  62.  
  63.  
  64. Local Commands:
  65. ---------------
  66.  
  67. Local commands are commands written for an individual system. They are
  68. customized commands that suit a facilities' needs. These commands are execs
  69. which are either not available from IBM or are cheaper to write on their
  70. own. I will mention a few which may be found on other systems, as these are
  71. rather common.
  72.  
  73. WHOIS
  74.  
  75. This command gives a little information about the users that you specify 
  76. which
  77. are on the system.
  78.  
  79. .WHOIS MAINT BACKUP MAILER BUBBA RELAY VMUTIL
  80.  
  81. Userid    Name
  82. --------- ---------
  83. MAINT     System Maintenance Account
  84. BACKUP    VM System Backup and Recovery Machine
  85. MAILER    BITNET Inter-Node Mail Processing Machine
  86. BUBBA     Bubba B. Bonehead - Programmer/Analyst Extroadinaire
  87. RELAY     BITNET Internet Chat Facility
  88. VMUTIL    VM Utilization Statistics
  89.  
  90.  
  91.  
  92. SYSPASS
  93. READPW
  94. WRITEPW
  95.  
  96. In most cases, the only way to change a users' password is by having the 
  97. system
  98. operator or someone with high privileges do it. This is one reason why many
  99. passwords remain the same for long periods of time. These programs allow 
  100. users
  101. to change their logon password, read access minidisk password and write 
  102. access
  103. minidisk password respectively. Perhaps you will find these or similar 
  104. programs
  105. on some systems.
  106.  
  107.  
  108. Privileged Commands:
  109. --------------------
  110.  
  111. As far as I know, there is no command to determine which privilege class the
  112. userid you are abusing is. The only way is to check in the CP Directory for 
  113. it.
  114. The following are some privileged commands and what privilege class is needed
  115. to run them. Again, as far as I know, the system keeps no records of failed
  116. attempts at running privileged commands. Use of these commands are most 
  117. likely
  118. recorded, has a msg sent to the system console or both, especially when using
  119. FORCE.
  120.  
  121.  
  122. FORCE userid (Class A)
  123.  
  124. This command will forcibly log off the userid you specify. I really can see
  125. no reason other than to be a total asshole for abusing this command.
  126.  
  127. DISABLE raddr (or) all  (Class A or B)
  128.  
  129. This is used to prevent specific terminals or all terminals from logging onto
  130. the system. Again, there is no real reason to use this or most other 
  131. privileged
  132. commands for that matter unless you want to be kicked off of the machine. If
  133. you do DISABLE a terminal, simply use ENABLE to repair the damage.
  134.  
  135. DETACH realaddr (FROM) whatever (Class B)
  136.  
  137. This is used to detach real devices from the system. These can be terminals,
  138. printers, disk packs, tape drives, etc. You must know the real address of the
  139. device, and 'whatever' can be the system, or a userid.
  140.  
  141. WARNING userid (or) operator or all (Class A or B)
  142.  
  143. Warning will send a priority message to a user, operator or all users on the
  144. system. It will interrupt anything they happen to be doing. Obviously sending
  145. a msg to all users stating they are BONEHEADS is not recommended.
  146.  
  147.  
  148. MINIDISKS:
  149. ----------
  150.  
  151. A minidisk is a subdivision of consecutive cylinders on a real DASD volume. 
  152. The
  153. real DASD device, is the actual disk the information is stored on. This can 
  154. be
  155. compared to a hard drive for an IBM PC. Before the drive can be used, it must
  156. be formatted. Once formatted, it is divided up into directories which are
  157. minidisks. Each minidisk is a number of cylinders which is the standard 
  158. memory
  159. storage unit. There can be many minidisks on a DASD.  Associated with each 
  160. CMS
  161. disk, is a file directory, which contains an entry for every CMS file on the
  162. disk.  A minidisk can be defined for R/W or R/O access. It can also be used 
  163. for
  164. temporary or permanant storage of files. Each minidisk has a virtual address.
  165. Virtual addresses can be from 001-5FF (hexidecimal) in basic control mode, 
  166. and
  167. 001-FFF in ECMODE (Extended Control Mode).
  168.  
  169. CMS minidisks can be accessed according to a letter of the alphabet (A-Z).  
  170. In
  171. order to better explain this, lets assume we are logged onto a VM/CMS system
  172. under the userid of JOE and we want to see what minidisks we have access to.
  173. We use the QUERY SEARCH command to determine which disks we are ATTACHed to.
  174.  
  175. .Q SEARCH
  176.  
  177. JOE001  191  A    R/W
  178. JOE002  192  D    R/O
  179. CMS190  190  S    R/O
  180. CMS19E  19E  Y/S  R/O
  181.  
  182.  
  183. As can be seen each minidisk has a volume name, virtual address, filemode,
  184. and access mode. The A disk is the default. Most accounts you gain access 
  185. with
  186. will have an A disk with a virtual address of 191. The S disk is the System
  187. disk. This contains the files and programs for running the system. The same
  188. goes for the Y disk. The D disk is another disk used by JOE.
  189.  
  190. You can view what each of these directories contains by issueing the LISTFILE
  191. command.
  192.  
  193. .LISTF
  194.  
  195. BUBBA    NOTE     A1
  196. MISC     WHATEVER A1
  197. PROFILE  EXEC     A0
  198.  
  199.  
  200. This is a list of files on the A disk. The first column is the Filename the
  201. second is the Filetype and the third is the filemode. Filenames can be 
  202. anything
  203. you specify. Filetypes can also be anything you specify, but commonly follow 
  204. a
  205. pattern which tells what type of file it is. Filemodes are comprised of a
  206. filemode letter (A-Z) and a filemode number (0-6).
  207.  
  208. Filenames can contain the following characters: A-Z  0-9  $  #  +  -  :  `  U
  209.  
  210. Here is an explanation of common filetypes:
  211.  
  212. Filetype ! Description
  213. ---------+-------------
  214. DATA     ! Data for programs or simply TYPE-able text.
  215. EXEC     ! User written programs or IBM procedures written in REXX.
  216. HELP     ! System HELP files.
  217. HELPCMS  ! System HELP files.
  218. LANGUAGE ! One of the langauges that the system supports, such as ASSEMBLE,
  219.          ! COBOL, FORTRAN, JCL, REXX, PL1, SNOBALL, BINARY, ETC.
  220. LISTING  ! Program source code listings
  221. LOADLIB  ! Loading Library
  222. MACLIB   ! Macro Library
  223. MODULE   ! System commands
  224. NETLOG   ! Contains a list of all files which have been SENT to other users.
  225. NOTE     ! Similar to E-MAIL on other systems, a note sent from another user.
  226. SOURCE   ! SOURCE code for various programs.
  227. TEXT     ! Text file. Probably used for programs and when TYPEd yields 
  228. little.
  229. TXTLIB   ! Text Library
  230. WHATEVER ! A nonstandard filetype which will probably be somewhat descriptive
  231.          ! of its contents.
  232. XEDIT    ! A file which was created using the XEDIT utility.
  233.  
  234.  
  235. Both filenames and filetypes must not exceed 8 characters in length.
  236.  
  237.  
  238. Filemodes:
  239.  
  240. Filemode numbers are classified as follows:
  241.  
  242. Filemode 0   There is little file security on VM/CMS.  This may be due to the
  243.              fact that directory security is very good.  A file with a mode 
  244. of
  245.              zero makes that file invisible to other users unless they have
  246.              Read/Write access to that disk.  When you LINK to someones' disk
  247.              in Read/Only mode and get a directory listing, files with a mode
  248.              of 0 will not be listed.
  249.  
  250. Filemode 1   This is the default filemode.  When reading or writing files, 
  251. you
  252.              do not have to specify a filemode letter of 1 (unless you want
  253.              to) since it will default to it.
  254.  
  255. Filemode 2   This is basically the same as a filemode of 1.  It is mainly
  256.              assigned to files which are shared by users who link to a common
  257.              disk, like the system disk.
  258.  
  259. Filemode 3   Be careful when you see these!  These are erased after they have
  260.              been read.  If a file with a mode of 3 is printed or read it 
  261. will
  262.              be erased.  Blindly reading files without paying attention to
  263.              the filemode numbers can shorten your stay on the system.  The
  264.              main reason for this filemode is for the files or programs which
  265.              are unimportant or have one time use can be automatically 
  266. deleted
  267.              to keep disk space and maintenance to a minimum.
  268.  
  269. Filemode 4   This is used for files that are to simulate OS data sets. They 
  270. are
  271.              created by OS macros in programs running in CMS.  I have not 
  272. found
  273.              any files with this filemode, so for the time being, you should
  274.              not be concerned about it.
  275.  
  276. Filemode 5   This is basically the same as filemode 1.  It is different in 
  277. that
  278.              its used for groups of files or programs.  It makes it easier 
  279. for
  280.              deleting files a user wants to keep for a certain period of 
  281. time.
  282.              You could just enter:
  283.  
  284.              ERASE * * A5
  285.  
  286.              Now all files on the A disk with a filemode of 5 will be 
  287. deleted.
  288.  
  289. Filemode 6   Files with this mode are re-written back to disk in the same 
  290. place
  291.              which is called "update-in-place".  I have no idea why this 
  292. would
  293.              be specified, and have not found any files with a filemode of 6.
  294.  
  295.  
  296. Filemode 7-9 These are reserved for IBM use.
  297.  
  298.  
  299.  
  300. Look back to our Q Search listing. If you want to see what is on the D disk:
  301.  
  302. .LISTF * * D
  303.  
  304. NOTMUCH ONHERE D1
  305.  
  306. In this case, the D disk only contains 1 file called NOTMUCH with a filetype 
  307. of
  308. ONHERE. But do not forget the fact that you only have Read/Only access to the
  309. D minidisk! So there may or maynot be merely 1 file on the D disk. Remember 
  310. all
  311. filemodes of 0 (which in this case would be D0) are invisible to anyone who
  312. does not posses Read/Write access.
  313.  
  314. You can access any disk that you are ATTACHed to by replacing the D in the
  315. above example with the filemode letter (A-Z) you want to access. As was shown
  316. previously, the QUERY SEARCH command will give you a list of minidisks that
  317. your userid is attached to upon logging in. These command statements are
  318. usually found in your PROFILE EXEC.
  319.  
  320.  
  321. So you can access a few minidisks. There may be hundreds on the system. 
  322. Unlike
  323. UNIX and VMS, and most other Operating Systems for that matter you cannot 
  324. issue
  325. a command and some wildcard characters to view the contents of every users'
  326. directory. In order to access another users' directory (minidisk) you must 
  327. have
  328. the following:
  329.  
  330. 1) The USERID of the person whose disk you wish to access.
  331.  
  332. 2) The virtual address(es) (CUU) that the USERID owns.
  333.  
  334. 3) The Read, Write, or Multi disk access password, depending on which
  335.    access mode you wish to use.
  336.  
  337. This would be accomplished by the following:
  338.  
  339.  
  340. .LINK TO BUBBA 191 AS 555 RR
  341.  
  342. Enter READ link password:
  343.  *************************
  344.  HHHHHHHHHHHHHHHHHHHHHHHHH
  345.  SSSSSSSSSSSSSSSSSSSSSSSSS
  346. .RBUBBA
  347.  
  348. R; T=0.01/0.01 21:58:48
  349. .ACCESS 555 B
  350.  
  351. R; T=0.01/0.01 21:59:03
  352. .Q SEARCH
  353.  
  354. JOE001  191  A    R/W
  355. BUB001  555  B    R/O
  356. JOE002  192  D    R/O
  357. CMS190  190  S    R/O
  358. CMS19E  19E  Y/S  R/O
  359.  
  360. .LISTF * * B
  361.  
  362. MISCFILE DATA     B1
  363. PROFILE  EXEC     B1
  364.  
  365. .REL 555
  366.  
  367. R; T=0.01/0.01 22:02:01
  368.  
  369. Now an explanation for the events which have just occured.
  370.  
  371. The LINK command is used to access other users' minidisks. The format is:
  372.  
  373. .LINK (TO) USERID VADDR1 (AS) VADDR2 (MODE) ((PASS=)PASSWORD)
  374.  
  375. BUBBA is the USERID whose disk we wish to access.
  376.  
  377. VADDR1 is a virtual address which belongs to the BUBBA userid. If BUBBA was 
  378. to
  379. access our minidisk whose userid is JOE, he could access either our 191 
  380. address
  381. or our 192 address. The 190 and 19E addresses are usually automatically
  382. accessed by nearly all the users of the system since it contains system
  383. commands. We are assuming that BUBBA indeed has a minidisk with the virtual
  384. address of 191. Some userid's may not have any or they may have addresses 
  385. which
  386. are somewhat obscure, say of 13A or 503. The only way we would be able to
  387. access those assuming BUBBA did not give them to us would be to guess them.
  388. This would be rather difficult, timeconsuming, and dangerous as we will soon
  389. see.
  390.  
  391. VADDR2 is any address which is not currently in our control, (ie. in our Q
  392. Search which would be 190, 191, 192, 19E) and is in the range of 001 to 5FF 
  393. in
  394. Basic Control or FFF in Extended Control. In this example, we chose to use 
  395. 555.
  396. We could have easily used 104, 33F, 5FA, etc.
  397.  
  398. MODE is the access mode which consists of up to 2 letters. The first letter
  399. specifies the Primary access mode. The second letter is optional and 
  400. designates
  401. the alternate access mode. If the primary mode is not available, the 
  402. alternate
  403. is used.
  404.  
  405. The access mode we used was RR. Valid access modes are:
  406.  
  407. R   Primary Read/Only access. This is the default. You can opt to not specify
  408.     an access mode when linking to a users' disk, and this is the mode which 
  409. is
  410.     used. It will only work if no other links are in effect.
  411.  
  412. RR  This allows read access no matter what links are in effect to that users'
  413.     disk.
  414.  
  415. W   Primary Write access. This is only good if no other links are in effect.
  416.  
  417. WR  If Write is available then the link will be made, if not it will goto 
  418. Read.
  419.  
  420. M   Primary Multiple access.
  421.  
  422. MR  Resorts to Read if Multi is unavailabe.
  423.  
  424. MW  This garauntees write access no matter what.
  425.  
  426.  
  427. If another user has write access to one of your disks when you log on, your
  428. access will be forced to Read/Only. For this reason, you should have read
  429. access to others disks instead of write. If you wish to see what files have a
  430. filemode of zero, then link with write access, view or access those files, 
  431. then
  432. RELEASE the disk and re-access it via read to avoid suspicion by that user of
  433. unauthorized individuals gaining write access to his files.
  434.  
  435. If a user has write access to a disk, you cannot gain write access unless you
  436. use a mode of MW. It is not recommended to have write access to anothers' 
  437. disk
  438. if they themselves have write access. CMS cannot guarantee the integrity of
  439. the data on a disk which has more than one person linked to it with write
  440. access. Now if you see that the user is in a disconneced (DSC) state through
  441. the Q NAMES command, then it shouldn't be a problem if you have write access
  442. also since the person is not active. If that person re-connects however, then
  443. it is advisable to RELEASE that disk as soon as possible to avoid any chance 
  444. of
  445. data being destoyed.
  446.  
  447. PASS=PASSWORD  like the logon password, it can be a 1-8 character string that
  448. MUST match the access mode password for the VADDR1 of the userid which you 
  449. are
  450. attempting to gain access to. Up to three access mode passwords can exist for
  451. each minidisk, R, W, and M.
  452.  
  453. If the installation uses the Password Suppression Facility, an INVALID FORMAT
  454. message will be issued when you attempt to enter the password for a disk on 
  455. the
  456. same line as the LINK command was entered on. Obviously this is to prevent
  457. people from 'spoofing' the password off the screen or from printouts found in
  458. the trash. If this occurs, just hit return after entering the access mode, 
  459. and
  460. wait for the enter password response.
  461.  
  462. Every disk password along with every users password and other information is
  463. contained in the CP Directory. If the password is "ALL" then a password is 
  464. not
  465. required for any user so you will not be asked for one. You will then recieve
  466. a ready message indicating that the transaction has just been completed.
  467.  
  468. If you receive the message: "BUBBA 191 NOT LINKED; NO READ PASSWORD" then
  469. within the CP Directory, there is no read password at all. This means that 
  470. the
  471. only way you can gain access to BUBBA's directory would be by getting his 
  472. logon
  473. password. One note, I believe that a users logon password cannot be any of 
  474. his
  475. access mode passwords. The reasons for this are obvious. If BUBBA wants JOE 
  476. to
  477. access a disk, then he can give JOE the corresponding disk password. If this
  478. was identical to his logon password then JOE could logon as BUBBA and access
  479. all BUBBA's disks with no problem, and at the same time posses all the privs
  480. that BUBBA has. Within the CP directory, if there is no password entry for 
  481. read
  482. access then there are no entries for write nor multi. If there is no entry 
  483. for
  484. write then there may or may not be an entry for read, but definitly not one 
  485. for
  486. multi. And finally if there is no entry for multi then there may or may not 
  487. be
  488. entries for read and write.
  489.  
  490. The methods for obtaining disk access passwords are the same as anything 
  491. else.
  492. Common sense and "Password Psychology" come into account along with the 
  493. element
  494. of luck.
  495.  
  496. Assume the userid is VMTEST and you are hacking the READ password. Passwords
  497. may be: RVMTEST, RVM, RTEST, RTESTVM. Others may be READ, READVM, VMREAD,
  498. READTEST, TESTREAD and even VMTEST. Of course it could be something like: 
  499. J2*Z5
  500. Many times the same password will be used for R, W, and M access instead of
  501. three separate passwords.
  502.  
  503. CP keeps track of unsuccessful LINK attempts due to invalid passwords. When 
  504. you
  505. exceed the maximum number of incorrect password attempts, which usually
  506. defaults to 10, the link command will be disabled for the remainder of your
  507. stay on the system. All you have to do is re-logon and you will have full use
  508. of LINK again.
  509.  
  510. If the LOGON/AUTOLOG/LINK journaling facility is activated, unsuccessful link
  511. attempts due to the above are recorded. When the threshold is reached the
  512. userid whose password you are trying to hack is sent a message. Therefore, 
  513. keep
  514. track of the number of attempts you make and keep just short of the system
  515. threshold.
  516.  
  517. After successfully linking to a users' disk, you must issue the ACCESS 
  518. command
  519. in order to get a directory listing or access any files on that disk. This is
  520. accomplished by:
  521.  
  522. .ACCESS VADDR2 B
  523.  
  524. VADDR2 is the address after 'AS' in your link command line, and 'B' is the
  525. filemode letter which you wish to access the disk as. This can be anything 
  526. but
  527. the letters which you have already assigned up to a total of 26 (A-Z).
  528.  
  529. After accessing the disk to your hearts content, you can then RELEASE it. 
  530. When
  531. you logoff the disk is automatically released. Releasing the disk is not
  532. necessary unless you already are attached to 26 minidisks, and you want to
  533. access more. You would then release whatever disks you wish and link then
  534. access others. After releasing disks, and you want to re-access that disk, 
  535. you
  536. do not have to issue another link command but merely the ACCess command and
  537. what filemode you wish it to be.
  538.  
  539. The QUERY DASD command will list the minidisks that most everyone on the 
  540. system
  541. has access to. All of these may or maynot be automatically accessed upon 
  542. logon.
  543. For this reason, you should issue it, then all you have to do is ACCess the
  544. virtual address and define the filemode.
  545.  
  546. .Q DASD
  547.  
  548. DASD  190  3380  SYSRES  R/O   32 CYL
  549. DASD  191  3380  SYSRES  R/W    1 CYL
  550. DASD  192  3380  SYSRES  R/O    2 CYL
  551. DASD  193  3380  SYSRES  R/O   19 CYL
  552. DASD  194  3380  SYSRES  R/O   21 CYL
  553. DASD  19E  3380  SYSRES  R/O   27 CYL
  554.  
  555. In our Q SEARCH list, we have access to 190 as the system disk, 191 as our A
  556. disk, 192 as our D disk, 19E as the systems' Y disk. Both 193 and 194 are
  557. accessable but have not been accessed by us. Thus:
  558.  
  559. .ACC 193 B
  560. B (193) R/O
  561. .
  562.  
  563. Now the 193 disk is our B disk and accessable by us. You can perform the same
  564. procedure for the 194 disk.
  565.  
  566.  
  567. DIRMAINT:
  568. ---------
  569.  
  570. The Directory Maintenance utility can be found on some systems. If it is
  571. running, DIRMAINT should be a valid userid. The DIRMAINT userid is
  572. automatically initialized when the system is started up. It remains in
  573. Disconnected mode awaiting transactions which contain directory maintenance
  574. commands.
  575.  
  576.  
  577. If you come across a system with DIRMAINT, it will provide you with all the
  578. information you need to know about it. A few commands are important, at least
  579. to the hacker:
  580.  
  581. MDPW  This displays access passwords for one or all of that userid's 
  582. minidisks.
  583.  
  584. .DIRM MDPW
  585. DVHDIR005R ENTER CURRENT CP PASSWORD TO VALIDATE COMMAND OR A NULL TO EXIT:
  586. R; T=0.12/0.15 19:33:34
  587.  DVHMDF301I MINIDISK 191: RBUBBA     WBUBBA    MBUBBA
  588.  DVHMDF301I MINIDISK 192: RBUBPW     BONEHEAD  MULTIBUB
  589.  
  590. The reason you must enter the users logon password is obvious. If someone 
  591. walks
  592. up to a users terminal and wants to know what the guys disk passwords are all
  593. he would have to do is enter this command and would get them, except for the
  594. fact that it does ask for the users logon password, thus, protecting the disk
  595. passwords.
  596.  
  597. Help   Get more info on DIRM commands.
  598. PW     This changes a users logon password
  599. PW?    Find out how long it was since the user changed his logon password.
  600. MDISK  Change access mode, change, add, or delete passwords.
  601. LINK   Cause an automatic link, at logon, to another users minidisk.
  602. FOR    Enter a DIRMaint command for another user if authorized.
  603.  
  604.  
  605. THINGS YOU WANT:
  606. ----------------
  607.  
  608. Things you want are: More valid userid's to try passwords on, actual logon
  609. passwords, and disk access passwords. Obtaining userid's can be accomplished 
  610. by
  611. using the Q NAMES command every time you logon. Obtaining logon passwords 
  612. isn't
  613. as simple. There are a couple of places which you will want to explore.
  614.  
  615. The AUTOLOG1 or AUTOOP virtual machines (userid's) usually auto-logon other
  616. userid's. Now, in order to do this they must have those users' passwords. 
  617. These
  618. are contained within various EXECs within their user directory. If you can
  619. obtain a valid disk access password for whichever one of these is running on
  620. your particular system, you can get more passwords and possibly some disk
  621. access passwords for about 10 other userid's. This should allow you to get 
  622. more
  623. disk access passwords and hopefully more logon passwords. Nevertheless, 
  624. having
  625. obtained a few more passwords, and not using them until the original one you
  626. hacked dies, will greatly extend your stay on the system.
  627.  
  628. EXEC files from any user may contain more disk access passwords for other 
  629. users
  630. and those users directories may contain EXECs which have more passwords, and
  631. so on. Of course many other types of files may contain this type of
  632. information.
  633.  
  634. The CP directory, this is similar to a big bullseye on a target. This
  635. directory, as previously explained contains users' passwords, various system
  636. information and minidisk passwords. The directory usually goes under the
  637. filename/filetype of USER DIRECT. It can be anywhere on the system, and can
  638. have a different name which in my view would add to system security. It is
  639. usually found in either or both of two users' directorys which I leave to you
  640. to find (sorry). This is a very big weakness in CMS due to the fact that if 
  641. you
  642. can find what userid the directory is in, and it's disk access password, 
  643. you've
  644. got the system by the balls. The file may also have a filetype of INDEX which
  645. is a compilation or sorting of pertinent information used for speeding up
  646. various procedures the system carries out constantly. A typical entry in the
  647. USER DIRECT file would look like:
  648.  
  649. USER BUBBA BUBAPASS 1M 3M BG
  650.  
  651. VMU01000
  652.  ACCOUNT 101 SYSPROG
  653.  
  654. VMU01010
  655.  IPL CMS
  656.  
  657. VMU01020
  658.  CONSOLE 00D 3215
  659.  
  660. VMU01030
  661.  SPOOL 00C 2540 READER *
  662.  
  663. VMU01040
  664.  SPOOL 00D 2540 PUNCH *
  665.  
  666. VMU01050
  667.  SPOOL 00E 1403 A
  668.  
  669. VMU01060
  670.  LINK MAINT 190 190 RR
  671.  
  672. VMU01070
  673.  LINK MAINT 19D 19D RR
  674.  
  675. VMU01080
  676.  LINK MAINT 19E 19E RR
  677.  
  678. VMU01090
  679.  MDISK 191 3350 152 003 VMPK01 MR RBUBBA WBUBBA   MBUBBA
  680.  MDISK 192 3350 152 003 VMPK01 MR RBUBPW BONEHEAD MULTIBUB
  681.  
  682. VMU01100
  683. *
  684.  
  685.  
  686. The first line gives the userid of BUBBA, password BUBAPASS, 1 and 3 Megs of
  687. virtual memory, and Privilege Classes B and G. The next line gives the 
  688. account
  689. number and department or owner of the account. The next few lines define
  690. miscellaneous system information. Next, three lines of what disks should be
  691. automatically linked to upon logon. And finally the minidisk (MDISK) virtual
  692. addresses and corresponding passwords.
  693.  
  694.  
  695. CONCLUSION:
  696. -----------
  697.  
  698. As usual, there is always more I could add to an article like this one. I did
  699. not want to keep writing part after part so I wrote a 'complete' article on
  700. Hacking VM/CMS. I apologize for its length of over 50K but I wanted to 
  701. mention
  702. everything you needed to become familiar with the Operating System and its
  703. Security/Insecurity. I intentionally 'forgot' to mention various information
  704. which would put sensitive and destructive information in the hands of anyone
  705. who reads this article. The information within this article can and will be
  706. different from system to system so don't take anything too literally. This
  707. article is comprised: 80% information from actual system use, 10% CMS help
  708. files, and 10% from various CMS documentation. I may write a followup article
  709. of shorter length as more people become familiar with CMS.
  710.  
  711. Lex Luthor
  712. 
  713.  
  714.  
  715.  
  716. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  717.