Artículos publicados por Segu-Info

55 - Crackeando Passwords en AS/400 - 28/10/2006


Autor: Noe Espinoza

http://www.segu-info.com.ar

Todos los que leyeron el artículo Ataques a nuestro AS/400 se preguntaran: si se trata de que alguien entre sin permiso a un AS/400, como es posible que las tareas sean realizadas con un usuario válido?

En esta entrega se verá la forma de tener un usuario "válido", es decir, de tener un usuario y una clave, más allá de utilizar un sniffer.

Para comenzar finalizaremos la sección de enumeración de usuarios de los que ya habíamos estudiado algunos. En esta ocasión veremos la herramienta ldapsearch [1] la cual se puede utilizar sin problemas desde un Live CD como Backtrack [2] o cualquier otro.


Utilización de Ldapsearch

Ldapsearch dispone de las siguientes opciones de uso:

  • - h nombre del servidor o IP
  • - p puerto del servidor LDAP
  • - b Directorio base a buscar (cn=accounts, os400-sys=NombreAS400)
  • - w AS400 Password
  • - x autenticación simple
  • - otras opciones

Por ejemplo:
ldapsearch -h 10.63.3.200 -p 1389

Si tenemos denegado el acceso de lectura a algunos atributos/entradas tendremos que realizar la consulta como usuario autorizado, lo que a nuestros fines no es demasiado útil.

Esta herramienta nos puede dar de igual manera la enumeración de los usuarios como lo vimos en el documento pasado, pero debido a que es poco probable encontrarlo instalado en un AS/400 muchas veces no funciona a la perfección y por ello es que solo lo mencionaré.

Como nota cabe mencionar que para hacer esto no solo se puede hacer con el cliente ldapsearch si no con cualquier otro cliente como ldp.exe que provee Windows 2000 (incluído en CD de instalación de instalación).

Pasando a algo mas interesante veremos como tratar de "adivinar" los passwords de algún usuario, ya que en lo que hemos visto hasta ahora siempre se supone que ya teníamos un usuario válido (que con poco de suerte podíamos haberlo obtenido de un sniffing) y con el cual podíamos enumerar las diferentes cuentas.

Y creo que todos se preguntaran ¿cómo? (también me lo he preguntado alguna vez), y la verdad no es tan fácil como muchos lo creen pero tampoco imposible.

Para ello veremos un Script en Perl de Marco Ivaldi llamado brutus.pl el cual se puede encontrar en su sitio web [2].

Nota: Los servicios a los cuales se trata de atacar por lo general es el POP3/SMTP, FTP y Telnet.

Como ya se mencionó en el artículo Consejos para tu AS/400, AS/400 dispone de QMAXSIGN el cual define el valor máximo de intentos fallidos de acceso y QMAXSGNACN el cual define que se hará si el número máximo de intentos llega a su límite.

Los posibles valores son:

  1. Disable the display device
  2. Disable the user
  3. Disable both device an user profile

Con esto, nos damos cuenta que se puede realizar una denegación de servicios (DoS) fácilmente a cualquier cuenta ya que si llegamos al limite de numero máximo de intentos la cuenta puede ser deshabilitada. Es por ello que muchos administradores no hacen uso de esta función y eso para un atacante es una ventaja.

Como contramedida a esto muchos administradores mandan el valor de QMAXSGNACN a 1 el cual no deshabilita las cuentas de usuario, o bien, usan algún producto comercial con los cuales pueden realizar diferentes de mantenimiento.

Para el mismo efecto podemos usar la herramienta MEDUSA la cual en verdad recomiendo ya que tiene una opción especifica para tratar de crackear por fuerza bruta o por diccionario este tipo de usuarios de AS/400.

Con poco de suerte y un buen diccionario (aunado a la falta de cultura en seguridad informática que existe en cualquier parte del mundo) lograremos al menos un usuario y password con el cual podemos escalar privilegios.

Por ahora me despido y esperen el siguiente que se tratara sobre como ganar accesos los cuales nos permitan realizar cosas mas interesantes dentro del servidor, troyanos, puertas traseras y un poco sobre Shells y Scripts.

Más Información:

Libro Hacking Iseries
http://www.venera.com/


[1]
http://www.rediris.es/ldap/doc/gb/gb-ldap-01.txt
http://docs.sun.com/source/816-6400-10/lsearch.html

[2]
http://www.0xdeadbeef.info/
http://www.0xdeadbeef.info/code/brutus.pl
raptor(arroba)0xdeadbeef.info

Buenos Aires, 28 de octubre de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto