en la universidad donde practico tenemos una intranet
es desde donde puedo acceder a internet, el problema es que los
administradores solo permiten a algunas maquinas o vale decir a unas cuantas
privilegiadas ips (por su puesto de sus amigos), aveces es que estos ips ya estan asignadas. ¿como puedo tener una ip que me permita salir a internet?

Estas seguro q' ellos limitan las IP's q' quieren? Por q' a mi me paso algo similar en mi trabajo, se supone q' no teniamos acceso a internet, y en realidad si lo teniamos..... Lo unico era q' los encargados de la red, pusieron un proxy falso al IE, y ps por logica no podiamos salir....

Asi q' intenta algo parecido o si no.. explica q' SO tienes, es LAN o Wireless? o algo mas detallado... xD

Suerte....

normalmente en la universidad si dices que solo es a unas cuantas ips, mas bien sera a un segmento de la red, o a un rango de ips estaticas, aunque por supuesto se puede autorizar a un usuario de active directory a que entre a internet y a otro no, esto si utilizan servidores windows, si son linux lo llevas mas jodio, aun asi poco puedes hacer tio, o escalas privilegios, o como mucho, si fuera un segmento o una red la que puede salir a internet,cuando veas que esos amigos no estan, si sabes su ip mascara y puerta de enlace, ponertela y aunque te dira que estan duplicadas, como la otra no esta funcionando, si no la tienen asociada a la mac seguramente saldras a internet, mejor habla con los administradores y diles que o todos o ninguno, tambien podrias probar por el entorno de red a ver si llegas a sus sistemas, para saber si estais en el mismo segmento de red o por el contrario existe un subneting o incluso redes diferentes que mediante una tabla de enrutamiento se comunican y en las cuales una si esta autorizada o tienen la puerta de enlace para salir a internet. Necesitas hacer pruebas para ir acotando. Saludos

se puede autorizar a un usuario de active directory a que entre a internet y a otro no


¿Cómo va esto? ¿No se basa en confuguración de red?

Puede estar algo más jodido, cómo se evita esto? cómo se consigue el enrrutamiento a través de la puerta de enlace?

Salu2

Salu2

esto va de la siguiente manera, si el perfil del usuario que inicia sesion en modo remoto,(desde cualquier maquina de la red del servidor) en el servidor es fijo, tu puedes mediante el active directory, especificar que programas podra o no podra utilizar y que servicios podra o no utilizar, suponiendo que la puerta de enlace sea o el propio servidor, o algun otro que este haciendo de gateway o incluso un mismo router, puesto qeu lo que estamos haciendo es loguear en un servidor,en el cual existe un perfil que es el nuestro, creado por el administrador para nuestro inicio de sesion y que el administrador puede modificar, incluso entrando en la carpeta del perfil y quitando los accesos directos.

sino es cosa de red .

Pero como se trata de una universidad y seguro que lo llevan to mas que controlao han hecho esto seguro y por eso unos si salen y otros no, la otra posibilidad esta claro que es a nivel de red, es decir que como decia antes unas redes a traves de subneting o de redes diferentes, si salgan y otras no salgan,
en este caso se estaria jugando con las tablas de enrutamiento para conseguir esto. Por otro lado puede ser acls o listas de control de acceso, pero trantandose de una universidad lo mas logico es que quieran llevar el control total sobre los usuarios de la red y esto seria a traves de active directory seguramente.
El salto a la puerta de enlace, se conseguiria si todas las redes o subredes fueran accesible, en cuyo caso creando las tablas de enrutamiento correspondientes con los saltos a los gateway o enrutadores de la red siguiente, conseguiriamos llegar a todas ellas y por consiguiente si alguna de ellas fuera el salto a internet, tendriamos internet.
No se si te he respuesto a lo que querias saber porque no se si te he entendido bien, por favor aclarame un poco las preguntas.
Saludos.

Sí, me has aclarado mi duda, entiendo que se trata (la conexión a internet) de un servicio ofrecido a través de "active directory". Supongo que el "workaround" sería comprometer al servidor añadiendo un perfil para nuestro usuario/máquina. ¿no? ¿O existe alguna forma de suplantación posible? Del tipo MAC o IP spoofing.

Salu2

si los administradores son buenos, tienen el control total sobre lo que hace y no hace el usuario, la unica manera seria escalando privilegios, y siempre se puede intentar explotar algun servicio, en esto no hay nada imposible siempre es probar y probar, con lo cual en eso consistiria mas bien, en probar cosas a ver lo primero, si algun recurso o servicio o usuario esta mal configurado, y lo segundo, a ver si con un exploit o algo asi, conseguimos explotar algun recurso de un usuario con los privilegios que buscamos, el problema real para poder hacer aqui, es que estamos logueando en un perfil fijo que se aloja en el servidor y que esta controlado totalmente por el administrador. Habria que ver si se puede extraer la sam y cosas asi. O por lo menos a mi en una intranet no se me ocurre mas, porque a nivel de red, tendriamos las mismas si esta controlada la conexion por el server ,siendo el mismo el router mediante la creacion de tablas de enrutamiento (gateway),aunqeu esto da igual porque si detras del router solo esta el server, no se trataria solo de spoofear una ip o mac sino de utilizar tambien un nombre de usuario y contraseña validos para loguear en ese servidor, y qeu dicho usuario tenga los permisos que buscamos,de todas siempre depende de como este configurado,. Saludos.

En cuanto al workaround como bien dices seria comprometer al servidor y no se ni si te dejaria hacerlo, son entornos muy controlados, yo hice un proyecto bajo linux para un colegio y estaba todo controlado al milimetro, que fue lo que pedian.
Se me ha ocurrido algo que podria rebentar jajajaja y si te llevas un cd live de linux tipo ubuntu? entonces si que es posible puesto qeu el mayor problema es que al loguear en un sistema remoto (servidor) con un perfil fijo alojado en el server, lo mas seguro es que las maquinas en si no tengan sistema, reciban pantallazo tipo tpv, y aunque lo tengan realmente si todo esta a traves del servidor con los usuarios especificados al dedillo y logueando dentro de el, seria ver si algun usuario standard de algun servicio...........pero con un cd live lo mismo si que se podria por lo menos indagar a ver que se puede y no hacer. Esto hay que indagarlo, ademas estamos hablando de cosas muy especificas en un caso que deberiamos de saber mas sobre la red y sobre los administradores, pero en especifico en lo qeu preguntas creo que esto que digo seria correcto.
A partir de aqui ingenieria social o estudiar y engañar a la victima jejeje. Hay que mirarlo todo, yo no atacaria una red sin tener un perfil de los administradores. Saludos, y a ver si entre tos vemos como hacerla en entornos controlados y como evitarla que es lo suyo. :0=

gracias j8k6f4v9j
en verdad eres un genio y a todos ustudes que tratan de ayudarme.

la restriccion a que me refiero es que somos alumnos, y esta red de compotadoras solo estan destinados para realizar algunos trabajos y defender proyectos.

la verdad es que la red con que me conecto estan bajo windows aunque tambien tienen instalados linux Ubuntu
pero solamente se ingresa con una cuenta restringida
y mucho peor el cambiar, su ip para poder navegar

pues parece que esta red intranet esta detras de un proxi directamente conectado a internet y los servidores estan en linux.

gracias j8k6f4v9j
en verdad eres un genio y a todos ustudes que tratan de ayudarme.

De nada, cs_yz, no lo es tanto :p


la verdad es que la red con que me conecto estan bajo windows aunque tambien tienen instalados linux Ubuntu
pero solamente se ingresa con una cuenta restringida
y mucho peor el cambiar, su ip para poder navegar


Siempre puedes usar un livecd, sobre el que tendrás todos los permisos necesarios. Aunque quizá no sea la única condición para el proxy (me estoy refiriendo a la dirección IP), sino que puede que éste se dije en otras cosas a la hora de determinar si la estación tiene acceso o no a él mismo como gateway.

Salu2

puedes indicarme que opciones tengo con un liveCD Ubuntu
version 6.06
para con los servidores y no si puedes indicarme algunos comandos

Las de cualquier GNU/linux, puedes configurar tu tarjeta de red mediante el comando 'ifconfig'. Si quieres ver la ayuda para un comando debes escribir en una terminal la palabra 'man' seguida del comando que quieres ver. Por ejemplo, para ifconfig:
man ifconfig

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

y como? me habilito un acceso a internet con cualquier IP
o no sé, si es posible esto.

Salu2 igualmente j8k6f4v9j

ha una consulta como crearia un tipo liveCD en un pendrive (unas pequeñas memorias extraibles) ya que en la red de computadoras que menciono hay muy pocos lectores de cd.

Existen distribuciones especialmente pequeñas diseñadas para ser instaladas en ese tipo de medios. Por otro lado la BIOS del PC en cuestión debe no sólo soportar el arranque desde este medio sino que además debe estar configurada para que tenga prioridad en caso de encontrar en él un sistema arrancable.

En cuanto a lo de la IP, puedes configurarla mediante ipconfig si lo vas a hacer manualmente, o bien mediante el uso de clientes DHCP (como dhclient, dhcpcd o pump), con lo que te proporcionará casi con total seguridad una de esas IP de uso restringido de servicios.

Si lo que quieres hacer es suplantar a un equipo con privilegios debes usar su misma configuración lógicamente.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Si la frontera es un firewall linux es posible que por nat solo se autorice a X ips.
Si es por proxy tambien . La tienes si es con linux.
Si hay un servidor dhcp trata de verificar uno de los ips que tienes acceso y lo tomas fijo.

TRV....

muy bueno, puedes indicarme algunas distribuciones que se ejecutan en estos dispositivos (flash drive)?
o donde lo averiguo mas sobre esto.

salu2 TRV..

http://barrapunto.com/article.pl?sid=05/05/18/070224

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

gracias por el soplo j8k6f4v9j

ya con el linux como super usuario por supuesto
teclee
ifconfig eth0 192.168.2.61 netmask 255.255.255.0 broadcast
192.168.2.255
logre ingresar al servidor web local y no asi a
internet por que tecleo www.hackhispano.com no ingresa

falta configurar algo mas...
por que en windows si funciona tanto al servidor web local y cualquier pagina de internet

Claro, además de tu dirección IP debes decirle a tu máquina quién es su puerta de enlace:
route add default gw IPdonde IP es la dirección IP del gateway.

Y además de esto, para que te resuelva los nombres, debes decirle quién es su servidor DNS:

echo "nameserver 80.58.0.33 > /etc/resolv.confcon esto le dices que use uno de timofónica

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

pozi porque si le pones el broadcast en vez de el gw no sales, y aun asi como te dice j8k6f4v9j, si no tienes el dns es posible que no salgas, por lo pronto la tabla de enrutamiento que has metido no es correcta, donde pones broadcast deberia ir el gw, aunque luego siempre puedes aplicarselo, como dice j8k6f4v9j y hacerla permanente, aun asi y basandonos en que los amigos de los administradores conectan a internet, es de suponer que sabiendo el gw saldras, aunque ya te digo que puede que aun asi no salgas si no sabes el dns, si supieras el dns de la universidad tal vez si estan relacionados podrias salir. Saludos

ya se cual es el gw, pero como lo configuro el dns si es que logro conocerlo?

decirle quién es su servidor DNS:

echo "nameserver 80.58.0.33 > /etc/resolv.confcon esto le dices que use uno de timofónica

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Bueno, y la comilla de cierre, no? :P

juas, pozí


echo "nameserver 80.58.0.33" > /etc/resolv.conf

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

bueno ya esta, ahora si me conecto despues de configurar todo, havia faltado halgo
configurar el proxi, que havia sido otra maquina con su puerto respectivo, todo esto ya en el navegador mozilla firefox edit/preferences/connectio setting/manual proxi configuration

de todas maneras les agradesco
que sin su ayuda tal ves no lo havia logrado, estare en contacto

saludos.

me di cuenta que solo puedo conectarme desde las ip que tenian acceso a internet desde windows y no asi con cualquier ip.

y como lo hago esto?

no entiendo muy bien tu pregunta, ¿podrías formularla de otro modo?

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

averiguando un poco supe que los permisos para salir a la www.*
se hacen por medio de un proxi osea a algunas cuantas ips o rangos, me parece que son rangos
seria posible vulnerar el proxi y avilitar otro rango?

Mejor que habilitar otro tango, si te es posible, te pones tú una IP de dentro de un rango al que le esté permitido el acceso.

Vulnerar el proxy te va a costar más que esto. Nadie dice que sea imposible, pero, sin ánimos de ofender, creo que hay que estar algo más ducho.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

algun truco que me puedes ensenarme ahora que tengo acceso desde linux y ademas super usuario y una reded donde se encuentran muchos estudiantes haciendo sus trabajos en windows y otros en linux pero en cuentas limitadas,
alguna broma puedo hecerles?

Ahora trata de asignarte una ip para ti .

salu2