home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / phrk4 / phrack40.4

< prev

next >

Wrap

Text File  |  1992-10-03  |  33KB  |  599 lines

---

1.                                 ==Phrack Inc.==
2.  
3.                      Volume Four, Issue Forty, File 4 of 14
4.  
5.                                Network Miscellany
6.             *******************************************************
7.            <    How to Acquire Information on Internet Computers   >
8.             *******************************************************
9.                          Compiled from Internet Sources
10.  
11.                                 by The Racketeer
12.                               of The Hellfire Club
13.  
14.                     Network Miscellany created by Taran King
15.  
16.  
17. Generally speaking, information is everything.  A lot of hacking any computer
18. on a network is being able to gather information about the machine and its
19. vulnerabilities.  This file is about using the available resources on the
20. Internet network in order to gain important information about any perspective
21. sites.
22.  
23. A large amount of information has been printed in Phrack recently about the
24. Internet, most of it copied straight from manuals and in my opinion lacking
25. hacking flair.  Therefore, I'm going to take you straight into the heart of the
26. heart of the matter with this file on acquiring information!
27.  
28. Now, the Internet is notorious for not having an instruction manual.  Most
29. people who find out what the Internet is learn from their friends.  It used to
30. be that there was only one real landmark on the Internet, and that was the
31. SIMTEL-20 FTP archive.  Now, the Internet is probably the largest free network
32. in existence.  In fact, it's a hacker's paradise!
33.  
34. Unfortunately, you have to know about "public" sites on the network before you
35. can use them.  Likewise, how are you going to hack an organization if you don't
36. know any machines on it?  Sort of like trying to complain to Packard-Bell about
37. your computer equipment not working when the bastards don't supply their name,
38. address, or phone number. You are going to have to find another way to get that
39. information if you want to get anything done.
40.  
41. There is not any one particular way to learn about a site.  In fact, you'll
42. have to combine several unusual methods of gathering information in order to
43. obtain anything resembling a "complete picture."  However, using the
44. combinations of techniques described in this file, you can maneuver through any
45. network on the Internet and learn about the machines within.
46.  
47. The first stop on this journey is the ARPANet Network Information Center
48. (frequently called "NIC" by experienced network users).  NIC's purpose is
49. simply to keep track of all the network connections, fields, domains, and hosts
50. that people wish to be told about.
51.  
52. To connect to NIC, you would issue a command from your Internet connected
53. machine similar to this:
54.  
55.                .----------------------- command
56.               \/
57. [lycaeum][1]> telnet nic.ddn.mil
58.  
59. This will (within a short period of time) route you to the Network Information
60. Center and grant you access.  There isn't a straight forward login/logout
61. system on NIC like other Unix computers; it will just connect you to the
62. Information System upon connection.  The message you will get will be similar
63. to this:
64.  
65. *  -- DDN Network Information Center --
66. *
67. *  For TAC news, type:                    TACNEWS <return>
68. *  For user and host information, type:   WHOIS <return>
69. *  For NIC information, type:             NIC <return>
70. *
71. *  For user assistance call (800) 235-3155 or (415) 859-3695
72. *  Report system problems to ACTION@NIC.DDN.MIL or call (415) 859-5921
73.  
74.  SRI-NIC, TOPS-20 Monitor 7(21245)-4
75. @ <prompt>
76.  
77. Great, now we are in.  Essentially, since NIC is just a great big telephone
78. book, we need to let our fingers to the walking.  Let's demonstrate a few
79. simple commands as I go after one of the government contract giants, the
80. corporation known as UNISYS.  Let's start by entering WHOIS.
81.  
82. @WHOIS
83. SRI-NIC WHOIS 3.5(1090)-1 on Tue, 22 Aug 91 15:49:35 PDT, load 9.64
84.   Enter a handle, name, mailbox, or other field, optionally preceded
85.   by a keyword, like "host sri-nic".  Type "?" for short, 2-page
86.   details, "HELP" for full documentation, or hit RETURN to exit.
87. ---> Do ^E to show search progress, ^G to abort a search or output <---
88. Whois:
89.  
90. Okay, now we are in the database.  Since Unisys is our target, let's go ahead
91. and ask it about "Unisys."
92.  
93. Whois: unisys
94.  
95. Cartee, Melissa (MC142)         unisys@email.ncsc.navy.mil     (904) 234-0451
96. Ebersberger, Eugen (EE35)       UNISYS@HICKAM-EMH.AF.MIL       (808) 836-2810
97. Lichtscheidl, Mark J. (MJL28)   UNISYS@BUCKNER-EMH1.ARMY.MIL   (DSN) 634-4390
98. Naval Warfare Assessment Center (UNISYS) UNISYS.NWAC.SEA06.NAVY.MIL
99.                                                                   137.67.0.11
100. Navratil, Rich (RN74)           UNISYS@COMISO-PIV.AF.MIL       (ETS) 628-2250
101.  
102. There are 28 more matches.  Show them?  y      -->  of course
103.  
104. Peterson, Randy A. (RP168)      UNISYS@AVIANO-SBLC.AF.MIL      (ETS) 632-7721
105. Przybylski, Joseph F. (JP280)   UNISYS@AVIANO-SBLC.AF.MIL      (ETS) 632-7721
106. UNISYS Corporation (BIGBURD)    BIGBURD.PRC.UNISYS.COM          128.126.10.34
107. UNISYS Corporation (GVLV2)      GVL.UNISYS.COM                128.126.220.102
108. UNISYS Corporation (MONTGOMERY-PIV-1) MONTGOMERY-PIV-1.AF.MIL      26.5.0.204
109. Unisys Corporation (NET-MRC-NET)MRC-NET                           192.31.44.0
110. Unisys Corporation (NET-SDC-PRC-CR) UNISYS-ISF-11                 192.26.24.0
111. Unisys Corporation (NET-SDC-PRC-LBS) UNISYS-ISF-9                 192.26.22.0
112. UNISYS Corporation (NET-SDC-PRC-NET) UNISYS-ISF-7                192.12.195.0
113. Unisys Corporation (NET-SDC-PRC-SA) UNISYS-ISF-10                 192.26.23.0
114. Unisys Corporation (NET-SDC-PRC-SW) UNISYS-ISF-8                  192.26.21.0
115. Unisys Corporation (NET-UNISYS-CULV) UNISYS-CULV                  192.67.92.0
116. Unisys Corporation (NET-UNISYS-PRC) UNISYS-PRC                    128.126.0.0
117. Unisys Corporation (NET-UNISYS-RES1) UNISYS-RES1                  192.39.11.0
118. Unisys Corporation (NET-UNISYS-RES2) UNISYS-RES2                  192.39.12.0
119. Unisys Corporation (NET-UNISYS2)UNISYS-B2                         129.221.0.0
120. Unisys Corporation (STARS)      STARS.RESTON.UNISYS.COM         128.126.160.3
121. Unisys Corporation (UNISYS-DOM)                                    UNISYS.COM
122. Unisys Linc Development Centre (NET-LINC) LINC                     143.96.0.0
123. UNISYS (ATC-SP)                 ATC.SP.UNISYS.COM             129.218.100.161
124. Unisys (FORMAL)                 FORMAL.CULV.UNISYS.COM           192.67.92.30
125. UNISYS (KAUAI-MCL)              KAUAI.MCL.UNISYS.COM            128.126.180.2
126. UNISYS (MCLEAN-UNISYS)          MCLEAN-UNISYS.ARMY.MIL             26.13.0.17
127. UNISYS (NET-UNISYS-RES3)        UNISYS-RES3                      192.67.128.0
128. Unisys (NET-UNISYS-SP)          UNISYS-SP                         129.218.0.0
129. UNISYS (SALTLCY-UNISYS)         SALTLCY-UNISYS.ARMY.MIL           26.12.0.120
130. UNISYS (SYS-3)                  SYS3.SLC.UNISYS.COM             129.221.15.85
131. Wood, Roy (RW356)               UNISYS@LAKENHEATH-SBLC.AF.MIL
132.                                               0044-0638-522609 (DSN) 226-2609
133.  
134. As you can see, the details on these computers get fairly elaborate.  The first
135. "column" is the matching information, second column is the network name or
136. title, then it is followed by a phone number or IP port address.  If the phone
137. number has an area code, then it is of a standard phone nature; however, if it
138. is (DSN) then it's on the "Data Security Network," aka Autovon (the military
139. phone system).
140.  
141. Now, as you can tell from the above list, there are several UNISYS accounts at
142. military machines -- including a military machine NAMED after Unisys (mclean-
143. unisys.army.mil).  This stands to reason since Unisys deals mostly in military
144. computer equipment.  Since it is a secretive military group, you'd figure an
145. outsider shouldn't be able to gain much information about them.
146.  
147. Here is what happens if you center on a specific person:
148.  
149. Whois: cartee
150. Cartee, Melissa (MC142)            unisys@email.ncsc.navy.mil
151.    7500 McElvey Road
152.    Panama City, FL 32408
153.    (904) 234-0451
154.    MILNET TAC user
155.  
156.    Record last updated on 18-Apr-91.
157.  
158. Hmm..  Very interesting.  This user obviously has access to military computers
159. since she has a TAC card, and goes under the assumed identity as "Unisys" in
160. general.  Could this person be a vital link to the Unisys/U.S.  Defense
161. connection?  Quite possibly.  More likely she is a maintenance contact, since
162. she can use her TAC card to contact multiple (confined) military networks.
163.  
164. I've gone ahead and requested specific information about kauai.mcl.unisys.com,
165. which as far as I know is a focal point for the Unisys Networks.  Of course,
166. the information on this machine is non-classified (or if it IS classified,
167. Unisys will probably be chewed out by Uncle Sam).  Notice all the great
168. information it gives:
169.  
170. Whois: kauai.mcl.unisys.com
171. UNISYS (KAUAI-MCL)
172.    Building 8201, 10th Floor Computer Room
173.    8201 Greensboro Drive
174.    McLean, VA 22102
175.  
176.    Hostname: KAUAI.MCL.UNISYS.COM
177.    Nicknames: MCL.UNISYS.COM
178.    Address: 128.126.180.2
179.    System: SUN-3/180 running SUNOS
180.  
181.    Coordinator:
182.       Meidinger, James W.  (JWM3)  jim@BURDVAX.PRC.UNISYS.COM
183.       (215) 648-2573
184.  
185.    domain server
186.  
187.    Record last updated on 05-Aug-91.
188.  
189.    No registered users.
190.  
191. Aha!  The Coordinator on this machine doesn't use it!  There are no registered
192. users!  Namely, if you wanted to hack it, you aren't screwing with the higher
193. ups (this is good).  Since when does Unisys buy computers from other companies?
194. Can't they just grab a few off the assembly line or something?  The computer is
195. stationed in McLean, Virginia!  That's where the CIA is!  Could Unisys be
196. developing computers for the international espionage scene?  Obviously, there
197. is a great deal of information to be sucked out of this machine.
198.  
199. How?  The answer was listed there.  The machine is a DOMAIN SERVER.  That means
200. this computer holds the network information used to identify all the computer
201. systems on its network and all we need to do right now is figure out a way to
202. squeeze that information out!  But first, let's see if our hunch was correct in
203. assuming the bigwigs are far away by checking out the head honcho, "Mr.
204. Meidinger."
205.  
206. Whois: jim@burdvax.prc.unisys.com
207. Meidinger, James W. (JWM3)             jim@BURDVAX.PRC.UNISYS.COM
208.    Unisys Corporation
209.    Computer Resources
210.    Room g311
211.    P.O. Box 517
212.    Paoli, PA 19301-0517
213.    (215) 648-2573
214.  
215.    Record Last Updated on 04-Jul-90.
216.  
217. Yup, Mr. Meidinger is far away -- Pennsylvania, to be exact.  Not exactly
218. keyboard's length away, is he?  Besides, being in the "Computer Resources"
219. department, I'd suspect he is just an accountant.  Accountants are to computing
220. as beavers are to trees (unless, of course, they actually like computers, which
221. isn't a foregone conclusion in the business world).
222.  
223. I'm going to skip the rest of the information on NIC, since it has been
224. overkilled in this particular magazine anyway.  The only hint I have is to read
225. CERT's and DDN's news blurbs, since they give out some interesting information
226. which would be useful and educational.  Besides, messing around with the CIA's
227. hired goons sounds much more fun.
228.  
229. Now is the time for a little bit of a lesson in critical reasoning: the
230. Internet isn't exactly a "free to the public" network, meaning you just can't
231. attach your computer to a machine on the Internet and expect it to work all of
232. a sudden.  You need to configure your machine around the computers in the
233. network domain you are linking into, and if you have their permission, then
234. everything is cool.  But once you're configured, and your router and/or server
235. has been notified of your existence, does that mean anyone else has that
236. information?  The answer is yes, although that info won't be forwarded to a
237. place like NIC -- it will have to be obtained another way.
238.  
239. All packets of data on the Internet need to be routed to and from valid
240. computer hosts.  Therefore, all of this information is stored on the network's
241. gateway.  But the routing information stored is simply in numeric format, such
242. as 128.126.160.3.  At least, that is as understandable as it gets, since
243. Ethernet addresses are even more elaborate and in binary.
244.  
245. However, as Internet users know, there is more than a single way of describing
246. a computer.  "telnet 128.126.160.3" would be one way of connecting to a
247. computer, or "telnet aviary.stars.reston.unisys.com" would be another way of
248. connecting to the same computer.  These names are chosen by the owner of the
249. network, and are described through the use of "domain servers."
250.  
251. As you recall, kauai.mcl.unisys.com was listed by NIC as a domain server.  This
252. means that the names of the computer systems on that network are stored on that
253. particular host.  Of course, that's not the only thing.  The domain server
254. presents the computer name and IP number to the connecting machine allowing you
255. to connect to the computer by using a "domain style name."  Ultimately,
256. everything is converted to IP numbers.
257.  
258. Most network software allows compatibility with domain servers, meaning if you
259. want to connect to nic.ddn.mil, and you specify a command "telnet nic.ddn.mil"
260. then you will connect to nic.ddn.mil.  Sadly, this isn't true of all computers
261. (which require IP numbers only), but at least it is true enough that the
262. general user is likely to have such computer resources.
263.  
264. Reaching back to the Dark Ages, there is a computer program that allows
265. machines that don't directly interpret domain style addresses to IP addresses
266. to still find out what the name of a machine is.  This program is called
267. "nslookup" and is usually found in the Unix operating system (at least, I
268. haven't used it anywhere else -- it might only work on Unix).
269.  
270. "nslookup" stands for Name Server Lookup (there has been some debate, it seems,
271. if a domain server is really a name server, or visa versa; in fact, both
272. describe what they do well enough to have conflict).  Regardless, let's go
273. ahead and work on learning how to use nslookup.
274.  
275. [lycaeum][2]> nslookup
276. Default Name Server:  lycaeum.hfc.com
277. Address:  66.6.66.6
278.  
279.  
280. Now, going back to that NIC information we got earlier, let's continue to hack
281. on poor old Unisys, which is giving up its info every step we make.  We
282. determined that the kauai.mcl.unisys.com was a domain server, so let's jump
283. ahead to that by changing our server to their server (after all, the computers
284. we are after aren't on our machine).
285.  
286. > server kauai.mcl.unisys.com
287. Default Server:  kauai.mcl.unisys.com
288. Address:  128.126.180.2
289.  
290. Okay, now we have connected to the server.  This isn't a constant connection,
291. by the way.  It will only establish a connection for the brief instant that it
292. takes for it to execute commands.  It doesn't require a password or an account
293. to get this information off of a nameserver.
294.  
295. Let's start off by having it give us a list of everything about Unisys that
296. this server knows.  "Everything" is pretty much a good place to start, since we
297. can't go wrong.  If we come up with nothing, then that's what's available.  The
298. basic command to list machines is "ls" like the Unix directory command.
299.  
300. > ls unisys.com
301. [kauai.mcl.unisys.com]
302. Host of domain name            Internet address
303.  unisys.com                     server = burdvax.prc.unisys.com         3600
304.  burdvax.prc.unisys.com         128.126.10.33                   3600
305.  unisys.com                     server = kronos.nisd.cam.unisys.com     3600
306.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
307.  unisys.com                     server = kauai.mcl.unisys.com           3600
308.  kauai.mcl.unisys.com           128.126.180.2                   43200
309.  unisys.com                     server = io.isf.unisys.com              3600
310.  io.isf.unisys.com              128.126.195.20                  3600
311.  reston.unisys.com              server = aviary.stars.reston.unisys.com 3600
312.  aviary.star.reston.unisys.com  128.126.160.3                   3600
313.  aviary.star.reston.unisys.com  128.126.162.1                   3600
314.  reston.unisys.com              server = kauai.mcl.unisys.com           3600
315.  kauai.mcl.unisys.com           128.126.180.2                   43200
316.  rosslyn.unisys.com             server = aviary.stars.reston.unisys.com 3600
317.  aviary.stars.reston.unisys.com 128.126.160.3                   3600
318.  aviary.stars.reston.unisys.com 128.126.162.1                   3600
319.  rosslyn.unisys.com             server = kauai.mcl.unisys.com           3600
320.  kauai.mcl.unisys.com           128.126.180.2                   43200
321.  rmtc.unisys.com                server = rmtcf1.rmtc.unisys.com         3600
322.  rmtcf1.rmtc.unisys.com         192.60.8.3                      3600
323.  rmtc.unisys.com                server = gvlv2.gvl.unisys.com           3600
324.  gvlv2.gvl.unisys.com           128.126.220.102                 3600
325.  sp.unisys.com                  server = dsslan.sp.unisys.com           3600
326.  dsslan.sp.unisys.com           129.218.32.11                   3600
327.  sp.unisys.com                  server = sys3.slc.unisys.com            3600
328.  sys3.slc.unisys.com            129.221.15.85                   3600
329.  cam.unisys.com                 server = kronos.nisd.cam.unisys.com     3600
330.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
331.  cam.unisys.com                 server = burdvax.prc.unisys.com         3600
332.  burdvax.prc.unisys.com         128.126.10.33                   3600
333.  prc.unisys.com                 server = burdvax.prc.unisys.com         3600
334.  burdvax.prc.unisys.com         128.126.10.33                   3600
335.  prc.unisys.com                 server = kronos.prc.unisys.com          3600
336.  kronos.prc.unisys.com          128.170.2.8                     3600
337.  prc.unisys.com                 server = walt.prc.unisys.com            3600
338.  walt.prc.unisys.com            128.126.2.10                    3600
339.  walt.prc.unisys.com            128.126.10.44                   3600
340.  culv.unisys.com                server = formal.culv.unisys.com         3600
341.  formal.culv.unisys.com         192.67.92.30                    3600
342.  culv.unisys.com                server = kronos.nisd.cam.unisys.com     3600
343.  kronos.nisd.cam.unisys.com     128.170.2.8                     3600
344.  slc.unisys.com                 server = sys3.slc.unisys.com            3600
345.  sys3.slc.unisys.com            129.221.15.85                   3600
346.  slc.unisys.com                 server = dsslan.sp.unisys.com           3600
347.  dsslan.sp.unisys.com           129.218.32.11                   3600
348.  slc.unisys.com                 server = nemesis.slc.unisys.com         3600
349.  nemesis.slc.unisys.com         128.221.8.2                     3600
350.  bb.unisys.com                  server = sunnc.wwt.bb.unisys.com        3600
351.  sunnc.wwt.bbs.unisys.com       192.39.41.2                     3600
352.  bb.unisys.com                  server = burdvax.prc.unisys.com         3600
353.  burdvax.prc.unisys.com         128.126.10.33                   3600
354.  isf.unisys.com                 server = orion.ISF.unisys.com           3600
355.  orion.ISF.unisys.com           128.126.195.7                   3600
356.  isf.unisys.com                 128.126.195.1                   3600
357.  isf.unisys.com                 server = burdvax.prc.unisys.com         3600
358.  burdvax.prc.unisys.com         128.126.10.33                   3600
359.  isf.unisys.com                 server = io.isf.unisys.com              3600
360.  io.isf.unisys.com              128.126.195.20                  3600
361.  gvl.unisys.com                 128.126.220.102                 172800
362.  gvl.unisys.com                 server = gvlv2.gvl.unisys.com           3600
363.  gvlv2.gvl.unisys.com           128.126.220.102                 3600
364.  gvl.unisys.com                 server = burdvax.prc.unisys.com         3600
365.  burdvax.prc.unisys.com         128.126.10.33                   3600
366.  mcl.unisys.com                 128.126.180.2                   43200
367.  mcl.unisys.com                 server = kauai.mcl.unisys.com           43200
368.  kauai.mcl.unisys.com           128.126.180.2                   43200
369.  mcl.unisys.com                 server = burdvax.prc.unisys.com         43200
370.  burdvax.prc.unisys.com         128.126.10.33                   3600
371.  mcl.unisys.com                 server = kronos.nisd.cam.unisys.com     43200
372.  kronos.nisd.cam.unisys.com     (dlen = 1152?)                  4096
373. ListHosts: error receiving zone transfer:
374.   result: NOERROR, answers = 256, authority = 0, additional = 3.
375.  
376. Bummer, an error.  Funny, it claims there isn't an error, yet it screwed up the
377. kronos address and knocked me out.  Apparently, this domain server is screwed.
378. Oh well, I guess that's really their problem because in the information it gave
379. us, it was able to provide all the answers we needed to figure out the next
380. step!
381.  
382. Quick analysis of the above information shows that most of the servers were
383. connected to at LEAST two other servers.  Quite impressive:  A fault-tolerant
384. TCP/IP network.  Since it is fault tolerant, we can go ahead and use a
385. different machine to poke into the "mcl.unisys.com" domain.  Since "mcl" stands
386. for McLean, that's where we want to go.
387.  
388. Remember that NIC told us that kauai.mcl.unisys.com had an alias?  It was also
389. called "mcl.unisys.com".  Looking at the above list, we see toward the bottom
390. that mcl.unisys.com is also domain served by the computers
391. burdvax.prc.unisys.com and kronos.nisd.cam.unisys.com.  Let's connect to one of
392. them and see what we can gather!
393.  
394. Whenever a server starts acting screwy like kauai was doing, I make it a habit
395. of using IP numbers when they are available.  I'm going to connect to
396. burdvax.prc.unisys.com through its IP address of 128.126.10.33.
397.  
398. > server 128.126.10.33
399. Default server: [128.126.10.33]
400. Address:  128.126.10.33
401.  
402. Now that we are connected, let's see the network information again, but this
403. time let's try something different and possibly more useful.  This time we will
404. use the -h command, which happens to describe the computer type (CPU) and the
405. operating system it runs on (OS) which will give us a better idea of what we
406. are dealing with.
407.  
408. > ls -h mcl.unisys.com
409. Host or domain name           CPU          OS
410.  maui.mcl.Unisys.COM           SUN-2/120    UNIX        43200
411.  cisco.mcl.Unisys.COM          CISCO GATEWAY CISCO              43200
412.  kauai.mcl.Unisys.COM          SUN-3/180    UNIX        43200
413.  voyager.mcl.Unisys.COM        SUN-4/330    UNIX        43200
414.  dial.mcl.Unisys.COM           SUN-3/260    UNIX        43200
415.  astro.mcl.Unisys.COM          SUN-3/60     UNIX        43200
416.  hotrod.mcl.Unisys.COM         Unisys 386   SCO/UNIX            43200
417.  oahu.mcl.Unisys.COM           VAX-11/785   UNIX        43200
418.  lanai.mcl.Unisys.COM          SUN-3/160    UNIX        43200
419.  mclean_is.mcl.Unisys.COM      386          NOVELL              43200
420.  
421. WOW!  Look at all those Suns!  I guess Unisys has no faith in their own
422. computers or something!  If only President Bush could see this display of a
423. company backing their product!  In fact, the only Unisys computer in this whole
424. lot is a cheesy 386 clone which probably is some guy's desktop machine.
425.  
426. Once again, there is some fascinating information here.  Let's run through it
427. really quick:
428.  
429. Maui is a Sun 2, which is a really old RISC computer.  You don't see many of
430. these around but they still can be useful for storing stuff on.  But then
431. again, it probably is faster than a PC!
432.  
433. Oahu is a Vax-11 which is apparently running Ultrix.  This may be where Unisys
434. hoards all their programmers since it isn't being used for serious networking
435. (at least, as far as we can tell).
436.  
437. Mclean_is happens to be the file server for a PC network.  We can't really tell
438. from this point how many computers are on this network, but it could be
439. possible it is used for public information trade, where secretaries or
440. receptionists use it to confirm trade and scheduling.
441.  
442. Hotrod is also a 386, made by Unisys even!  Oddly, it is running a copy of SCO
443. Unix, which means it is, no doubt, a personal computer someone uses for Unix
444. programming.  If Unisys were itself a part of the government, I'd think this
445. computer would have been a kludged bidding contract which they got stuck with
446. because they were aiming for lowest bid and were unfortunately not very picky.
447.  
448. Voyager is an interesting machine, which is apparently the most modern on this
449. network.  Since it is a Sun-4 computer (probably IPX) it would be a high-speed
450. graphics workstation.  This could be the machine where many CAD applications
451. are stored and worked on.  Another possibility is that Sun 4 computers were
452. extremely expensive when they purchased this network of Suns, and they
453. purchased this one machine to be the file server to the other Sun 3s and the
454. Sun 2.  If you were to gain access to one of the other machines, it's possible
455. you would have access to all of them.
456.  
457. Cisco is just a standard Cisco Router/Gateway box, linking that particular
458. network to the Internet.
459.  
460. Kauai is a messed up domain server, big deal.  It might work on the same
461. network as Astro and Lanai.
462.  
463. Dial is a Sun-3.  Is there something in a name?  This could be the
464. telecommunications dial-in for the network.  Maybe the same computer system has
465. a dialout attached to it.  It might even be possible that "dial" has a guest
466. account for people logging in so that they can easily connect to other
467. computers on the same network (probably not).
468.  
469. Astro and Lanai are also Sun 3 computers.  It isn't quite obvious what their
470. purpose is.  Essentially, we have the impression that they were all purchased
471. about the same time (explaining the large number of Sun-3 computers in this
472. network) and it is quite possible they are just linked up to the Sun 4 in a
473. file sharing network.  It is also possible they are older and fundamental to
474. the operation of Unisys's communication platform at this particular site.
475.  
476. There is one flaw that makes using the -h switch somewhat unreliable:
477. Sometimes people realize you can do this and take the time to remove or never
478. include the information about the individual machines on the network.
479. Therefore, it is always best for you to do a "ls <domain>" and check everything
480. out in case a computer has been removed.  Using "telnet" to connect to the
481. computer is usually a foolproof method of finding out what computer it is they
482. are talking about.
483.  
484. > ls mcl.unisys.com
485. [[128.126.10.33]]
486. Host or domain name             Internet address
487.  mcl.Unisys.COM                  server = kauai.mcl.unisys.com         3600
488.  kauai.mcl.unisys.com            128.126.180.2                 3600
489.  mcl.Unisys.COM                  server = burdvax.prc.unisys.com       3600
490.  burdvax.prc.unisys.com          128.126.10.33                 3600
491.  mcl.Unisys.COM                  server = kronos.nisd.cam.unisys.com   3600
492.  kronos.nisd.cam.unisys.com      128.170.2.8                   3600
493.  mcl.Unisys.COM                  128.126.180.2                 43200
494.  maui.mcl.Unisys.COM             128.126.180.3                 43200
495.  cisco.mcl.Unisys.COM            128.126.180.10                43200
496.  kauai.mcl.Unisys.COM            128.126.180.2                 3600
497.  voyager.mcl.Unisys.COM          128.126.180.37                43200
498.  dial.mcl.Unisys.COM             128.126.180.36                43200
499.  LOCALHOST.mcl.Unisys.COM        127.0.0.1                     43200
500.  astro.mcl.Unisys.COM            128.126.180.7                 43200
501.  hotrod.mcl.Unisys.COM           128.126.180.125               43200
502.  oahu.mcl.Unisys.COM             128.126.180.1                 43200
503.  lanai.mcl.Unisys.COM            128.126.180.6                 43200
504.  mclean_is.mcl.Unisys.COM        128.126.180.9                 43200
505.  
506. Well, running down the list, it appears that there aren't any more computers
507. important to this domain that we don't know already.  LOCALHOST is just another
508. way of saying connect to where you are, so that isn't a big deal.  Hotrod being
509. separate from the rest of the machines seems apparent since its IP address is
510. x.x.x.125, which is quite separate from the others.  Even though this doesn't
511. have to be, it seems it is a wiring kludge -- probably for an office like I
512. surmised.
513.  
514. The next step?  Go ahead and hack away!  This is where all those system hacks
515. people trade on the net and all those CERT Advisories become useful.  If you
516. become good hacking a single machine (Suns, for example), using nslookup will
517. help you identify those machines and make it easier for you to hack.
518.  
519. Looking for annex computers, libraries, guest machines, and other such
520. computers also becomes easy when you use nslookup, because the names and
521. computer types are there for your convenience.  Checking on sites by selecting
522. interesting "special purpose" machines with nslookup first can yield good
523. results.  People have called this "netrunning," and it sounds like as good a
524. name as any.
525.  
526. Of course, the other big problem when dealing with domain servers is trying to
527. identify them.  The largest list of domain servers can be found off of the
528. Department of Defense Network Listing (usually called hosts.txt) which is
529. available almost everywhere on the Internet through anonymous FTP.  Here is a
530. rundown on how to get the file:
531.  
532. [lycaeum][3]> ftp wuarchive.wustl.edu
533.  
534. 220 wuarchive.wustl.edu FTP server (Version 6.24 Fri May 8 07:26:32 CDT 1992)
535. ready.
536. Remote host connected.
537. Username (wuarchive.wustl.edu:rack): anonymous
538. 331 Guest login ok, send your complete e-mail address as password.
539. Password (wuarchive.wustl.edu:anonymous):
540. 230-  This is an experimental FTP server.  If your FTP client crashes or
541. 230-  hangs shortly after login please try using a dash (-) as the first
542. 230-  character of your password.  This will turn off the informational
543. 230-  messages that may be confusing your FTP client.
544. 230-
545. 230-  This system may be used 24 hours a day, 7 days a week.  The local
546. 230-  time is Wed Jun  3 20:43:23 1992.
547. 230-
548. 230-Please read the file README
549. 230-  it was last modified on Mon Mar  2 08:29:25 1992 - 93 days ago
550. 230-Please read the file README.NFS
551. 230-  it was last modified on Thu Feb 20 13:15:32 1992 - 104 days ago
552. 230 Guest login ok, access restrictions apply.
553.  
554. ftp> get /network_info/hosts.txt
555. 200 PORT command successful.
556. 150 Opening ASCII mode data connection for /network_info/hosts.txt (1088429 bytes).
557. 226 Transfer complete.
558. Transferred 1109255 bytes in 182.95 seconds (6063.29 bytes/sec, 5.92 KB/s).
559.  
560. ftp> quit
561. 221 Goodbye.
562.  
563. Now let's convert it to a file we can use effectively:  let's take out of that
564. huge list of only the machines that are domain servers:
565.  
566. [lycaeum][4]> grep -i domain hosts.txt > domains
567.  
568. Okay, now that we have done that, let's prove that this is a way of finding a
569. domain server without connecting to anyplace.  Let's just use the grep command
570. to search the file for a server in the mcl.unisys.com domain:
571.  
572. [lycaeum][5]> grep -i mcl.unisys.com domains
573. HOST : 128.126.180.2 : KAUAI.MCL.UNISYS.COM,MCL.UNISYS.COM : SUN-3/180 :
574. SUNOS : TCP/TELNET,TCP/FTP,TCP/SMTP,UDP/DOMAIN :
575. [lycaeum][6]>
576.  
577. And there you have another way.  Everything we looked at is here: IP number,
578. the name, the "alias," the computer type, the operating system, and a brief
579. list of network protocols it supports, including the domain server attribute.
580. However, none of the other machines on the mcl.unisys.com network were
581. displayed.  The DoD isn't a complete list of network machines, only the network
582. machines that are vital to the functioning of the Internet (in the last year,
583. this list has grown from about 350K to 1.1 megabytes -- and this only reflects
584. the "new" networks, not including the addition of new machines onto old
585. networks; the Internet is definitely "in;"  I believe it was estimated 25%
586. growth per month!).
587.  
588. Obviously, this is very effective when going after university sites.  It seems
589. they have too many machines to take good care of security on.  Essentially, the
590. DoD list contains much the same information as NIC does, and is about a million
591. times more discreet.  I'm not sure if NIC is fully logged, but it does have a
592. staff Head of Security (*snicker*).
593.  
594. Well, that will pretty much wrap it up for this file.  Hope some of it was
595. useful for you.
596. _______________________________________________________________________________
597.  
598. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
599.