Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.
En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :
Interesting ports on 77.44.210.6:
Not shown: 979 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
80/tcp open http
81/tcp open hosts2-ns
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
514/tcp open shell
1720/tcp filtered H.323/Q.931
1723/tcp filtered pptp
2000/tcp filtered callbook
3128/tcp open squid-http
4444/tcp filtered krb524
5060/tcp filtered sip
8000/tcp open http-alt
8008/tcp open http
8080/tcp open http-proxy
8081/tcp open blackice-icecap
8088/tcp open unknown
8090/tcp open unknown
9090/tcp open zeus-adminAlors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire « files », il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.
---------------------------------------------------------------------------
+ Target IP: 213.178.225.50
+ Target Hostname: scs-net.org
+ Target Port: 80
+ Start Time: 2012-03-10 17:38:20
---------------------------------------------------------------------------
+ Server: Microsoft-IIS/6.0
- Root page / redirects to: /portal/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
+ Retrieved X-Powered-By header: ASP.NET
+ Retrieved microsoftofficewebserver header: 5.0_Pub
+ Retrieved x-aspnet-version header: 2.0.50727
+ Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
+ Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
+ Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
+ OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
+ OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
+ OSVDB-3092: /guest/: This might be interesting...
+ OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
+ OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
+ OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
+ 3818 items checked: 13 item(s) reported on remote hostVous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.
Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !
sed ‘s/juste pour rigolé/juste pour rigoler/g’
il est coquin le bluetouff le vendredi soir, il s’ennuie alors traine au petit bonheur la chance 😀
Je crois qu’on a des winners là !
Rôôôh, le canaillou 😉
C’est peut-être trop demander mais tu utilises quel scanner pour avoir ça ? Nessus ?
Nikto
« + Start Time: 2012-03-10 17:38:20 »
Ça passe par une faille spatio-temporelle aussi?
9090/tcp open zeus-admin
… Wait ! What ?
http://en.wikipedia.org/wiki/Zeus_Web_Server
🙂
Dans le même style :
– Nikto v2.1.4
—————————————————————————
+ Target IP: 31.193.78.160
+ Target Hostname: http://www.adplus-sy.com
+ Target Port: 80
+ Start Time: 2012-07-02 13:37:06
—————————————————————————
+ Server: Microsoft-IIS/6.0
+ Retrieved x-powered-by header: PleskWin
+ Retrieved x-aspnet-version header: 2.0.50727
+ ETag header found on server, fields: 0x28c079d6fdcdcc1:2cbf
+ Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.5)
+ Retrieved dasl header:
+ Retrieved dav header: 1, 2
+ Retrieved ms-author-via header: DAV
+ Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND,
PROPPATCH, LOCK, UNLOCK, SEARCH
+ OSVDB-5646: HTTP method (‘Allow’ Header): ‘DELETE’ may allow clients to remove files on the web
server.
+ OSVDB-397: HTTP method (‘Allow’ Header): ‘PUT’ method could allow clients to save files on the w
eb server.
+ OSVDB-5647: HTTP method (‘Allow’ Header): ‘MOVE’ may allow clients to change file locations on t
he web server.
+ Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND,
PROPPATCH, LOCK, UNLOCK, SEARCH
+ OSVDB-5646: HTTP method (‘Public’ Header): ‘DELETE’ may allow clients to remove files on the web
server.
+ OSVDB-397: HTTP method (‘Public’ Header): ‘PUT’ method could allow clients to save files on the
web server.
+ OSVDB-5647: HTTP method (‘Public’ Header): ‘MOVE’ may allow clients to change file locations on
the web server.
+ WebDAV enabled (SEARCH UNLOCK LOCK MKCOL COPY PROPPATCH PROPFIND listed as allowed)
+ OSVDB-3233: /info.php: PHP is installed, and a test script which runs phpinfo() was found. This
gives a lot of system information.
+ OSVDB-5292: /info.php?file=http://cirt.net/rfiinc.txt?: RFI from RSnake’s list (http://ha.ckers.
org/weird/rfi-locations.dat) or from http://osvdb.org/
+ OSVDB-3092: /test.php: This might be interesting…
+ 6448 items checked: 0 error(s) and 19 item(s) reported on remote host
+ End Time: 2012-07-02 13:57:33 (1227 seconds)
—————————————————————————
+ 1 host(s) tested
Starting Nmap 5.51 ( http://nmap.org ) at 2012-07-01 14:14 CEST
Nmap scan report for http://www.adplus-sy.com (31.193.78.160)
Host is up (0.16s latency).
Not shown: 978 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp closed pop3pw
110/tcp open pop3
113/tcp closed auth
143/tcp open imap
443/tcp open https
465/tcp closed smtps
587/tcp open submission
990/tcp closed ftps
993/tcp closed imaps
995/tcp closed pop3s
3306/tcp open mysql
3389/tcp open ms-term-serv
5432/tcp closed postgresql
8080/tcp closed http-proxy
8443/tcp open https-alt
9080/tcp closed glrpc
9998/tcp open distinct32
http://www.adplus-sy.com/info.php
http://www.adplus-sy.com/test.php