[HACK] Cracking sobre un Win98
Pedro Pablo
pfabrega at arrakis.es
Thu Jan 24 22:37:06 CET 2002
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El Jue 24 Ene 2002 14:26, escribiste:
> El 23 Jan 2002 a las 20:55, Pedro Pablo escribió:
> > Seguro que alguien m puede dar una pista sobre esto:
> >
> > Una amigo me llama diciendo que nota algo raro en su ordenador, un W98,
> > desde que entró en una página y que se ha encontrado un fichero de word
> > con 96Mb con la historia de sus conexiones.
> >
> > Le digo que se conecte y que me dé su IP y obtengo:
>
> [deletia]
>
> > $ ftp 195.x.x.x
> > Connected to 195.x.x.x.
> > 220 net.telepolis.com FTP server (Version 6.5/OpenBSD, linux port 0.3.2)
> > ready.
> Cuesta creer que esto (y lo demás) está en un Windows 98. Los datos son
> ciertos, y net.telepolis.com se resuelve a 195.77.207.185, donde el primer
> octeto coincide con la supuesta IP de tu amigo que quieres ocultar (pero te
> faltó borrar esa parte sensible del banner del servidor FTP). Se me ocurre
> que no has investigado en la verdadera IP: tu amigo no te dió la correcta o
> tú no apuntaste la correcta, o tu amigo está detrás de un fw/proxy/nat
> (net.telepolis.com).
>
> Saludos.
Puede que esté detrás de algún cortafuegos que reenvíe los puertos altos.
La verdad es que es una estupidez ocultar una IP dinámica.
Esto fue lo que ejecuté
$ ftp 195.77.207.125
Connected to 195.77.207.125.
220 net.telepolis.com FTP server (Version 6.5/OpenBSD, linux port 0.3.2)
ready.
Name (195.77.207.125
Al hacer un nslookup de net.telepolis.com me dió otra dirección.
y el nmap continuaba
No OS matches for host (If you know what OS is running on it, see
http://www.insecure.org/cgi-bin/nmap-submit.cgi).
Pero esto lo suelen hacer a partir del puerto 80 ¿no? por lo que no me
sorprendió que no dijera que SO era.
En fin, tiene que ser eso. A mi también me costaba trabajo creerlo. Por lo
menos el servidor ssh.
Acabo de confirmar que a esa dirección sigue respondiento el mismo servidor
ftp. Tiene que ser un cortafuegos.
Lo siento, disculpadme, debía haberlo confirmado antes.
Saludos
- --
10:05pm up 22 days, 5:20, 21 users, load average: 0.24, 0.19, 0.09
http://www.arrakis.es/~pfabrega
PGP 0x1CA8F1C9 GnuPG 0x05411C52
nº registro: 75339
basura > /dev/null
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.2 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8UH6GklcfvgVBHFIRAhINAKCSpssIm/waDrNBJyB7/0xhLlIQaQCfdGuk
j0omVVBBWpv7Yc3X3Q39r5E=
=n8ZP
-----END PGP SIGNATURE-----
More information about the hacking
mailing list