Consegui acceso a un servidor hosting de una empresa cuyo nombre no lo mencionare, gracias a ese acceso me pude percatar, que el servidor donde estaba alojado el sitio contaba con una vaga, por no decir nula, seguridad en cuanto a proteccion de datos de sus clientes y proteccion del servidor en si. Con unos cuantos scripts en php logre ejecutar codigos arbitrarios que, de alguna forma, me entregaban el poder del sistema. Logre obtener varios datos importante sobre el servidor, distribucion, kernel, version de los paquetes, estructura de directorios, configuracion de servicios y lista de usuarios.

Intente ingresar al home de cada usuarios a ver si podia encontrar informacion confidencial que me sirviera para poder tomar el control total del servidor, me di cuenta que podia listar el directorio /home recurvisamente sin ninguna restriccion, usuario por usuario, directorio por directorio … En ese momento los usuarios eran poco y muy vulnerables. Todo esto lo hacia tras un script php, ejecutado desde la cuenta con la que pude acceder al servidor. Luego de eso, liste el directorio /etc y me percate que el archivo shadow y passwd estaban con permisos de lectura para cualquier usuario y entonces, descarge el shadow con las claves encriptadas de cada usuario (clientes de la empresa). Estaba programando una utilidad en C para crackear esas password encriptadas en md5 por fuerza bruta, pero me di cuenta que ya existia una utilidad asi, entonces abandone esa idea y use esa utilidad que lo que hacia, no era exactamente decifrar el password, sino que encriptaba digitos para luego comprobarlo con la encriptacion original, si coinciden ¡bingo!. Fuerza bruta quiere decir que va probando digito por digito (ej: a, aa, aaa, aaaa, b, ab, aab, etc…). Para apurar un poco este proceso, que podia tardar dias, escribi una lista de posibles palabras o numeros para que vaya probando, dentro de esa lista estaba la numeracion consecutiva desde el uno hasta el 6 y ¡sorpresa! TODOS los clientes tenian una cuenta en el sistema con acceso ssh con la esa clave. Cuando supe esto pense “que porqueria de seguridad …” y me di cuenta de inmediato que no me iva a costar nada tomar el control del servidor. Decidi dar a conocer este fallo de seguridad a los administradores del servidor, dejandoles un mensaje en el directorio donde se alojaba la pagina principal de la empresa y enviandole un email con el link para que lean ese mensaje, poco tiempo despues el mensaje desaparece, pero el agujero de seguridad aun existia pero cuando intente seguir intruseando los directorios de los clientes me di cuenta que habian sido restringidos, al intentar listar el directorio /home me decia “Acceso negado”, asi tambien al intentar listar el home de cada usuario, con esto me di cuenta que, quizas, leyeron el mensaje e intentaron solucionar el problema entonces, deje de molestar y entrar al sistema. Pasaron tres meses y volvi a verificar si existian fallos de seguridad y me di cuenta que si, aun habian entonces nuevamente, me aproveche. Con un script un poco mas evolucionado que el de antes (php) ejecute un script en perl que escuchaba un puerto a mi eleccion y emulaba una terminal en bash, como el servidor no tenia proteccion no me costo nada abrir el puerto, en este caso el puerto 31337, para conectarme via telnet. Deje corriendo el script perl (backdor) en 3 puertos distintos (1337, 31337, 8888) y estuvo corriendo minimo tres dias, sin que los administradores se dieron cuenta. Rapidamente pense … El script lo ejecute desde php entonces, el que ejecuta el script perl es el usuario nobody, verifique mi teoria ingresando via telnet y escribiendo el comando para saber quien era yo (whoami) y efectivamente, me devolvio nobody y volvi a pensar, rapidamente, si Apache puede leer las paginas de los usuarios, eso quiere decir que como nobody puedo ver el contenido de los public_html perteneciente a cada usuario. Esribi un script en bash que me recorra todos los public_html de los usuarios y me vaya guardando la salida en un arhivo, asi poder saber que cosas hay dentro de cada usuario, el archivo parecia eterno, pues los clientes habian aumentado mucho. La mayoria de estos nuevos clientes tambien tenian la clave.

Seguir leyendo