Demuestra tus habilidades, puedes hackear un servidor sin problemas legales
Hace muchos ayeres lance un reto similar, en ese reto varios personajes que sonaban mucho en el internet decidieron participar y al no poder, inventaron muchas cosas y mas de uno se torno en mi “enemigo” por el ridículo que hizo al decir que hackearia dicho servidor y fallar en el intento
De ellos 2 Sobresalen, Dario Struz _Antrax_ el famoso ejecutable y Megabyte.
Este es un reto similar, supongo que ninguno de los 2 mencionados va a participar porque saben de antemano que van a fallar, si tú decides participar, entiende que es un juego y que podrías no lograr llegar a la meta, si no lo logras, simplemente retírate, no te conviertas en un troll como los mencionados, que por un fracaso similar, convirtieron sus web en santuarios a mí, ya tengo demasiados altares, no necesito ninguno mas
Si se puede llegar a la meta, la vez anterior el reto se llamo linuxcampeche y lo gano XIAM de menteslibres, esta vez puedes ganar tu.
El servidor ha sido expuesto para ese propósito y es tu oportunidad de atacar un servidor sin meterte en problemas legales.
A los participantes se les obsequiara un correo de ciberprotesta.mx que será válido durante todo el reto
Saludos y buena suerte a los que decidan participar.
Ir a CiberProtesta.MX
* Primer ganador: mathesis – Mexicano 2 de Enero del 2011
Arregla el registro de usuarios porque no puedo registrarme con mi nickname, mira lo que me dice “Introduces un caracter invalido, solo texto y numeros diferentes a cero Volver” corrigelo porfavor, no quiero participar con otro nickname, mi nickname es original y no quiero usar otro. Gracias
Orale suena chido ¡¡ pues voy aver si puedo
Alguien
Te aseguro que estas metiendo caracteres no validos para un usuario de sistema de GNU/Linux, por que hay otros que ya se han registrado sin ningun problema, es posible que tu nickname no sea compatible como usuario de sistema, contra eso no puedo hacer nada.
Dale otra revizada last… yo tambien tuve el mismo problema y te aseguro que lo hice bien… si me registro pero desde de 5 intentos con los mismos datos… algo esta pasando por ahi… hechale un ojo mas detenidamente
no funciona ya me registe dos veces y nada no jala y hay un link roto depaso
Lo voy a revisar de nuevo, aunque posiblemente tenga que ver con un DoS, el link no esta roto, marca un error 500, significa que hay un programa interno que se ejecuta mal, es por que hay DoS sobre el servidor algo lamo intenta tirarlo, la configuracion de ese servidor es diferente a la del comun su pagina web es menos importante que sus procesos internos, asi que lo unico que hace es que deja de funcionar su procesos menos prioritarios posiblemente por eso no pueden registrarse algunos, voy a bloquear este DoS
Jose
Te marca marca un error al registrarte o cuando intentas logearte no entras?, debes esperar 5 min despues del registro para acceder
Cree un usuario nuevo y no tuve problemas
Usuario invitado y correo invitado@ciberprotesta.mx creados, se activaran aproximadamente en 5 min
Volver
El usuario es invitado y la clave invitado si no pueden crear sus propios usuarios pueden usar la cuenta invitado ya creada
ya funka ando en el reto xD , creo q no rulo el primero login por que puse root 😀
Yo me pude registrar a la primera y todo funciono muy bien
salu2
Last tengo una cuestion? puedo promover el reto desde mi blog creando un post para que mas gente lo intente?
salu2
Alevsk. adelante
Desde donde me logeo
hullo, pues desde un cliente SSH, para windows esta el putty y casi todos los nix traen uno
Me pregunto si algún día mis nietos podrán entrar a tu blog en internet3 desde dispositivos instalados en su cabeza y puedan participar en tus retos, ver que te auto-hackeas el día 28 y Lastdragon Jr. sigue peleando con Mbyte jr.
primero debes tener hijos y falta ue tus hijos tengan hijos, es posible que para las proximas generaciones el mundo se empiece a bajar poblacion, hoy dia ni hombres ni mujeres quieren tener la responsabilidad de un hijo, hijos que lleguen mucho menos van a querer, asi que tal vez no exista un Last Dragon Jr, annque seria interesante que antes que mi tiempo acabe alguien encontrara la forma transferir la mente a un dispositivo para respaldos que posteriomente pueda ser restaurado en un joven cuerpo sin alma nacido de una probeta o simplemente ya sea por celulas madres u otro medio se lograra la inmortalidad, me gustaria estar aqui para ver el internet “3”
XD oie mandame lo de el user que da ya no me acuerdo del pass que use
Pues no se que clave ponerle, asi que borre el usuario, create tu usuario de nuevo
algo pasa con el reto? hay comentarios?
Pues no hay novedades con el reto, nadie ha podido aun
aun cuenta con elementos basicos parallenar tus discos duros— No es necesario un root…procesos aun ejecutando …
Lo se, anoche me al revisar el correo me llego una alarta de uso excesivo de discos duro, cuando instale el servidor estaba planeando meterle cuota a todos los usuarios, de hecho las cuotas estan activas, pero no las asigne para darles mas libertad, si notaste lo que sucedio cuando terminaste tu sesion el espacio ocupado por tu usuario se recupero de inmediato aunque mientras no cierres la sesion el espacio queda ocupado.
[ximian99@ciberprotesta ~]$ df -h
S.ficheros Tamaño Usado Disp Uso% Montado en
/dev/mapper/cprotestadisk-LogVol00
1,9G 362M 1,5G 20% /
/dev/mapper/cprotestadisk-LogVol04
1,9G 35M 1,8G 2% /opt
/dev/mapper/cprotestadisk-LogVol06
64G 61G 0 100% /home
/dev/mapper/cprotestadisk-LogVol05
6,6G 3,1G 3,3G 48% /usr
/dev/mapper/cprotestadisk-LogVol03
19G 250M 18G 2% /var
/dev/mapper/cprotestadisk-LogVol01
1,9G 1,8G 0 100% /tmp
/dev/sdd1 988M 24M 913M 3% /boot
tmpfs 506M 0 506M 0% /dev/shm
Cuentan las leyendas en los sistemas UNIX que un administrador experimentado no considero el impacto de no ocupar los elementos basicos de seguridad en su servidor, enjaulo el shell, establecio filtrado de comando de usuarios, restringio permisos, asigno shell controlado… y cuando se dio cuenta que como una construcción … el costo de ahorrar en un tornillo puede hacer que un edificio bien planificado se puede venir abajo por algo tan insignificante y de bajo costo.
La seguridad de tu sistema es tan fuerte como su eslabon más debil…. ayer borraste mis datos en mi cuenta…pero aun asi regresaron los archivos /(la idea no es saturar tu servidor en el procesador, pues tienes puesto limite de 15 procesos por usuarios, he podido observar que las personas persiguen el “root” como el gran premio… pero de que sirve tener el “root” explotando una supuesta vulnerabilidad… si el propio administrador al tratar de resolver el problema te puede escalar tu shell.. Morajela: No todo lo que brilla en el horizonte es el final del camino, en un sistema Unix&Linux el root no es el premio…. eso es simplemente un escalon… Saludos ..
No quiero ni imaginar el tiempo que te tomo llevar el disco pues los comandos que hacen uso de disco duro estan todos configurados con una prioridad muy baja, el llenado del disco duro y las bombas fork podrian ser consideradas un DoS sin embargo en ningun momento cae el servidor, es que aunque no asigne quotas si tome una precausion sobre los ataques de saturacion de disco duro….el ultimo tornillo al que te refieres esta aqui, checalo en negritas
[root@ciberprotesta ~]# tune2fs -l /dev/mapper/cprotestadisk-LogVol06
tune2fs 1.39 (29-May-2006)
Filesystem volume name:
Last mounted on:
Filesystem UUID: 41f06710-c6ed-410f-a2a7-186a84f98634
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery sparse_super large_file
Default mount options: user_xattr acl
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 17268736
Block count: 17268736
Reserved block count: 863436
Free blocks: 16681862)
Free inodes: 17268688
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 1019
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 32768
Inode blocks per group: 1024
Filesystem created: Sat Dec 11 08:51:29 2010
Last mount time: Sun Dec 12 02:12:31 2010
Last write time: Sun Dec 12 02:12:31 2010
Mount count: 9
Maximum mount count: -1
Last checked: Sat Dec 11 08:51:29 2010
Check interval: 0 (
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 128
Journal inode: 8
First orphan inode: 9699337
Default directory hash: tea
Directory Hash Seed: d11a3afd-5771-4f9e-a018-35a942a0c980
Journal backup: inode blocks
el disco duro esta lleno para ti y para los demas usuarios, de hecho saboteas a los demas no al servidor, hasta que no consigas root no puedes saturar los 863,436 bloques reservados solo para root, por lo que los logs siguen operando, los sistemas vitales del servidor siguen operando, solo con root podrias saturarlo, son aproxidamente 900MB de reserva, hasta cierto punto muy poco, en un mundo de produccion real serian 2GB reservados para root como minimo
esa parte es entendible, y obvia para administradores, pero no para los usuarios aficionados como en mi caso :), la referencia al tornillo es lo referente a que tu filtrado, y con repecto al tiempo no mucho, de hecho lo extraño es que lance una sola linea de comando… y se quedo en segundo plano a pesar de estar fuera del servidor, espacio como root? cual es la idea de tomar root? solo poner un nombre en una pagina? Creo que la esencia de ser lo que muchos aqui se autonombran o buscan como un titulo de clase “hackear” un termino algo serio en estos tiempos de alcance de la tecnologia…pero aspectos muy respetados en cada caso.. el espacio reservado .. y no es DoS no se podria considerar un DoS cuando lo unico que se logra es ejecutar un comando y sobre todo autorizado por el administrador 🙂
y lo extraño es que no entendi esa parte de tune2fs pues no uso linux… pk no expandir el LVM ….. y supongo que eliminar los archivos es la solución (obvio no es complicado ejecutar rm -rf algo… ) pero no hay respecto a los archivos que se usaran en el reto? o si?
Cuando te respondia lo del espacio reservado, mostre una vulnerabilidad, una que solo esta tomada en cuenta cuando las cuotas estan asignadas, aunque estan las cuotas activas no estan asignadas asi que hay una vulnerabilidad abierta en el servidor, si la encuentras si podrias incluso bloquear a root, aunque yo ya la vi, si la corrijo seria hacer trampa, asi que la dejare asi como esta… no tomaran root con eso, pero eso si podria interferir con el funcionamiento vital del servidor.
si, se ve en los volumenes, pero que tal si en lugar de llenar el disco el “comando” legitimo hace una desreferencia y vuelca la memoria? que tal si el kenel muestra su vulnerabilidad ante el stress del HD? hoy hubo mucho tiempo de ocio y recorde comandos empolvados…nada nuevo aunque a pesar de los años aun funcionan!
El tune2fs, si lo pronuncias en ingles significa “afinar( a el ) sistema de archivos” es una herramienta para modificar los valores de formateo.
Este es un ejemplo de lo que ocurre cuando formateas un disco con EXT3 de 1GB ( Ojo en lo que hay de negritas, es la misma info del anterior comentario )
Etiqueta del sistema de ficheros=
Tipo de SO: Linux
Tamaño del bloque=4096 (bitácora=2)
Tamaño del fragmento=4096 (bitácora=2)
131072 nodos i, 262144 bloques
13107 bloques (5.00%) reservados para el súper usuario
Primer bloque de datos=0
Maximum filesystem blocks=268435456
8 bloque de grupos
32768 bloques por grupo, 32768 fragmentos por grupo
16384 nodos i por grupo
Respaldo del súper bloque guardado en los bloques:
32768, 98304, 163840, 229376
Mientras se escribÃan las tablas de nodos i: terminado
Creando el fichero de transacciones (8192 bloques): hecho
Escribiendo superbloques y la información contable del sistema de ficheros: hecho
Este sistema de ficheros se revisará automáticamente cada 21 meses o
180 dias, lo que suceda primero. Utilice tune2fs -c o -i para cambiarlo.
[root@ciberprotesta borrame]#
Esa informacion solo la ves cuando haces(formateas) tus filesystem en la consola, si lo haces en entornos graficos no te enteras de toda esa informacion vital, que como atacante te puede servir, o al inverso, como administrador te es util para saber por donde te atacaran y que recursos tienes.
Si quieres saturar el disco, te sirve mas rapido usar el comando dd, lo podria bloquear con las cuotas, pero aun no quiero asignarlas aun, si las asigno cerraria toda posibilidad de escalar a root, las cuotas que hice para este sistema las puse en el usuario plantilla
Disk quotas for user plantilla (uid 500):
Filesystem blocks soft hard inodes soft hard
/dev/mapper/cprotestadisk-LogVol06 32 9216 10240 8 50 60
/dev/mapper/cprotestadisk-LogVol03 0 9216 10240 1 5 6
Pues si eres libre de internet hacer que el kernel explote de la forma que quieras, solo cuando termines, libera tu espacio, por que no es justo que bloquees a los otros usuarios, no dejas espacio en “el espacio” de usuario y no pueden almacenar exploit ni subir herramientas.
dd no es un comando ejecutable en el entorno
Al estar logeado en tu server me siento atado de manos…
Buena seguridad man..
Ximian te vas a envejecer, no vas a lograr nada asi, excepto que los otros usuarios sientan un poco mas lento el servidor
???? no entendi el comentario! solo soy un aficionado no un experto como el resto de los participantes, apenas y se usar una computadora y esto de linux es impresionante! me gustaria aprender más! donde podria encontra literatura para alcanzar el nivel que aqui se maneja? lo suficiente para salir de la jaula!
y uno no se hace viejo, simplemente lanzas un comando de consola y dejas que sucedan los eventos. no todos tenemos esa habilidad
¿cuantos años me llevaria aprender linux? y tienes razon admin uno se puede hacer viejo, pero no detras de un monitor!