[HACK] Cracking sobre un Win98

Pedro Pablo pfabrega at arrakis.es
Thu Jan 24 22:37:06 CET 2002


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Jue 24 Ene 2002 14:26, escribiste:
> El 23 Jan 2002 a las 20:55, Pedro Pablo escribió:
> > Seguro que alguien m puede dar una pista sobre esto:
> >
> > Una amigo me llama diciendo que nota algo raro en su ordenador, un W98,
> > desde que entró en una página y que se ha encontrado un fichero de word
> > con 96Mb con la historia de sus conexiones.
> >
> > Le digo que se conecte y que me dé su IP y obtengo:
>
> [deletia]
>
> > $ ftp 195.x.x.x
> > Connected to 195.x.x.x.
> > 220 net.telepolis.com FTP server (Version 6.5/OpenBSD, linux port 0.3.2)
> > ready.
> Cuesta creer que esto (y lo demás) está en un Windows 98. Los datos son
> ciertos, y net.telepolis.com se resuelve a 195.77.207.185, donde el primer
> octeto coincide con la supuesta IP de tu amigo que quieres ocultar (pero te
> faltó borrar esa parte sensible del banner del servidor FTP). Se me ocurre
> que no has investigado en la verdadera IP: tu amigo no te dió la correcta o
> tú no apuntaste la correcta, o tu amigo está detrás de un fw/proxy/nat
> (net.telepolis.com).
>
> Saludos.

Puede que esté detrás de algún cortafuegos que reenvíe los puertos altos.

La verdad es que es una estupidez ocultar una IP dinámica.

Esto fue lo que ejecuté

$ ftp 195.77.207.125
Connected to 195.77.207.125.
220 net.telepolis.com FTP server (Version 6.5/OpenBSD, linux port 0.3.2) 
ready.
Name (195.77.207.125

Al hacer un nslookup de net.telepolis.com me dió otra dirección. 

y el nmap continuaba

No OS matches for host (If you know what OS is running on it, see 
http://www.insecure.org/cgi-bin/nmap-submit.cgi).
Pero esto lo suelen hacer a partir del puerto 80 ¿no? por lo que no me 
sorprendió que no dijera que SO era.

En fin, tiene que ser eso. A mi también me costaba trabajo creerlo. Por lo 
menos el servidor ssh.

Acabo de confirmar que a esa dirección sigue respondiento el mismo servidor 
ftp. Tiene que ser un cortafuegos.

Lo siento, disculpadme, debía haberlo confirmado antes. 

Saludos

- -- 
 10:05pm  up 22 days,  5:20, 21 users,  load average: 0.24, 0.19, 0.09
http://www.arrakis.es/~pfabrega
PGP 0x1CA8F1C9   GnuPG 0x05411C52
nº registro: 75339
basura > /dev/null
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.2 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8UH6GklcfvgVBHFIRAhINAKCSpssIm/waDrNBJyB7/0xhLlIQaQCfdGuk
j0omVVBBWpv7Yc3X3Q39r5E=
=n8ZP
-----END PGP SIGNATURE-----



More information about the hacking mailing list