Copy Link
Add to Bookmark
Report
JJF Hackers Team Journal 8
…----------------------------ª
| ⁄------ø |
| |€€€€€€| |
| ⁄------¥€€⁄---Ÿ |
| ⁄------¥€€€€€€|€€¿-ø |
| |€€€€€€√-ø€€⁄-¥€€€€| |
| ¿-ø€€⁄-¡ø|€€|J|€€⁄-Ÿ |
| ⁄--ø|€€|€€¿Ÿ€€|J|€€| |
| |€€¿Ÿ€€|€€€€€€|F√--Ÿ |
| |€€€€€€√------¡-Ÿ |
| ¿------Ÿ |
| H A C K E R S T E A M |
| J O U R N A L |
Ã----------------------------π
| VOL. #2, N°8, 1999. |
»----------------------------º
Of breaking into a computer:" The first time it's a hack.
The second time it's a crime."
Billsf.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Nota: - J.J.F. / HACKERS TEAM - no se hace responsable del mal uso
de la informacion aqui expuesta y tampoco tiene que estar
de acuerdo con lo que sus colaboradores opinen.
Tampoco esperamos que la gente use la informacion aqui expuesta
para hacer daño ya que tan solo es con fines didacticos.
Recomendado el uso del editor del MS-DOS.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
#CURRENT MEMBERS :
- CONDE VAMPIRO - CODER H/P/V EDITOR
- MAC CRACK - CODER C/P WEBMASTER
- ELEKTRO - H/P ADMIN
- TASSLEHOFF - CODER H CO-WEBMASTER
- Dr BINIX - CODER H/P/V ADMIN
#WEB OFICIAL :
- http://www.jjf.org
#CANAL OFICIAL EN IRC-HISPANO :
- #JJF
#E-MAIL OFICIAL :
- team@jjf.org
#LLAVE PGP OFICIAL :
-----BEGIN PGP PUBLIC KEY BLOCK-----
- J.J.F. / Hackers Team -
http://www.jjf.org
Version: PGPfreeware 5.5.3i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=HQVG
-----END PGP PUBLIC KEY BLOCK-----
#DISTRIBUIDORES OFICIALES DEL E-ZINE :
- http://members.xoom.com/zine_store/
- http://travel.to/silence
- http://hello.to/hacker_novatos
- http://www.geocities.com/Colosseum/Sideline/9497/index2.html
#MIEMBRO OFICIAL (web ring) DE :
- Black Angels
- Spanish Underground Web Ring
#COLABORADORES CON ESTE NUMERO :
- Estado+Porcino (WKT)
- PoSiDoN
- Skorpion (DarkMoon)
- ToMaCHeLi
- Perro Bombardero
- Seth (TRAX)
- Zhodiac
#SALUDOS :
- Metalslug - Rhino9
- ICEHOUSE - L0pth
- Proyecto R - Kriptopolis
- SET - BlackBrains
- oioio - SHG Security
<---------------------------------------------------------------------------->
<---------------------------------------------------------------------------->
<---------------------------------------------------------------------------->
- INDICE.
TITULO AUTOR
------------\_______________________________/------------
* EDITORIAL ................................ J.J.F. / HACKERS TEAM
* COMO CRACKEAR MULTIMEDIA BUILDER 3.0 ..... ESTADO+PORCINO.
* TROYANOS EN WINDOWS: BO, NETBUS
Y DEEPTHROATH ............................ SKORPION.
* CURSO DE HACK VIII ....................... CONDE VAMPIRO.
* EL IN-OFF-BIRRIA PUS ..................... SETH.
* COMO QUITARSE DE ENCIMA EL TROYANO
DEL BACK ORIFICE v1.20 ................... TOMACHELI.
* INSTALANDO BOTS EN EL IRC ................ POSIDON.
* INGENIERIA INVERSA EN PSION SERIE 3 ...... CONDE VAMPIRO.
* ATAQUE INDIRECTO A NTFS .................. PERRO BOMBARDERO.
* ZHODIAC'S SOCKETS LESSON (I) ............. ZHODIAC.
* EL LECTOR OPINA .......................... VARIOS.
* NOTICIAS UNDERGROUND ..................... J.J.F. / HACKERS TEAM
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
-------------
› EDITORIAL ›
-------------
Bueno, aqui estamos otra vez, con el numero 8 y como va siendo
habitual es del gusto de la gente y eso nos complace con agrado. Muchas
cosas han pasado desde nuestro numero pasado, sobre todo el gran exito
que esta tenido nuestro dominio, en el cual manifestamos, incluido aqui
en el ezine, que - J.J.F. / Hackers Team - es el primer grupo de
hackers blancos españoles, guste o no guste. Y aprovechando la ocasion
os recormadamos que es importante que leais la seccion SOPORTE y
contribuyais a ello ;-)
Nuestro trabajo es investigar, documentar, desarrollar y sobretodo
devolver el buen nombre que tenia la palabra Hacker en sus principios,
esto lo conseguimos de la siguiente forma, siendo serios en nuestro trabajo,
dedicarnos a la seguridad y no realizar estupidez como otros, sin animo de
ofender a nadie (Si te lo tomas mal, por algo sera :)
Es realmente asombroso las buenas criticas que estamos tenido que
van desde nuestros queridos lectores a prestigiosos websites o revistas
informaticas que nos señalan como un interesante grupo de hackers, esto
no significa que seamos la bomba ni nada por el estilo, solamente somos
un grupo de amigos con ganas de hacer cosillas, no somos expertos solo
curiosos, emprendedores y en ocasiones (pero pocas :) innovadores.
Hace poco cayo en mis manos un interesante papiro y desde aqui le
enviamos un mensaje a su editor para que se ponga en contacto con
nosotros si le apetece. Verdad ?
----il----
---mili---
--emilio--
Deciros que en este numero hemos aprovechado para hacer limpieza en
nuestro distribuidores oficiales, y todos aquellos websites que no tengan
hasta el numero 7 y el logo oficial de nuestro ezine los hemos retirado
de nuestra seccion de distribuidores. Con esto solo pretendemos que nuestros
lectores sepan donde ir a encontrar nuestro ezine con la maxima calidad y
fiabilidad posible. Para informacion sobre distribuidor oficial del ezine,
os recomedamos el FAQ, disponible en nuestro website, ademas en este FAQ
podreis resolver muchas de vuestras dudas referentes a
- J.J.F. / Hackers Team -. Y un nuevo distribuidor que si cumple con
nuestras exigencias es http://travel.to/silence llevado por Mr. Silence.
Deciros que hemos creado un canal de IRC llamado #JJF (hhuum que
raro ;-) en el IRC Hispano (el autentico y viejo) y esperamos que sea
un punto de encuentro para todos en el cual podamos charlar tranquilamente
y por favor nada de logeos, preguntar por soft pirata y demas tonterias, el
canal de IRC queda bajo el cargo de Mac Crack. Ademas en nuestro website
encontraras las cosillas que hemos estado trabajando durante las navidades
y por supuesto estamos a tope con varios proyectos de software, que
esperamos que en unos meses saldran las primeras versiones :) Ya se que
vamos lentos, pero mala suerte ...
NOTICIA: Para aquellos que la buena suerte o quizas la mala suerte
les llevo a escuchar ese programa de radio el cual se emitia por Internet
el verano pasado podran "seguramente" volver a oirlo y reirse incluso
mas todavia. SSSIIII, estoy hablando de BOSTON RADIO PIRATES que vuelve a
la carga de la mano de - J.J.F. / Hackers Team - y que esperamos que en
breve el programa se emita, logicamente sera anunciado en nuestro
website!!!!!! como siempre nuestros locutores favoritos borrachos hasta la
medula como nuestras fotos del website XDDDD pero con muchas novedades que
haran las delicias de todos.
MAS MUSICA Y HACK QUE NUNCA!!!!!!!
Pues aqui se acaba el rollo de la editorial y disfruta leyendo
tranquilamente el ezine, que trae suculentos articulos. Y como siempre
para cualquier duda, sugerencia, articulo lee el FAQ y si es algo del
ezine escribe a la siguiente direccion:
editor@jjf.org
- J.J.F. / HACKERS TEAM -
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
>>>>> COMO CRACKEAR MULTIMEDIA BUILDER 3.0 <<<<<
------------------------------------------------
-----------------------
Nota para los lectores:
-----------------------
Este Tutorial es el capitulo 5 de la serie "COMO CRACKEAR POR
ESTADO+PORCINO". Los articulos de este curso han sido escritos por alguno
de los miembros de WKT o bien nos han llegado a traves de
estadoporcino@hotmail.com buzon al cual podeis escribirnos para vuestras
dudas y consultas y tambien para enviarnos vuestros articulos.
El Objetivo de nuestros tutoriales, recopilaciones, herramientas....
y en general de todo el contenido de nuestro Web Site consiste en
proporcionar INFORMACION sobre el analisis de protecciones
software/hardware: la Ingenieria Inversa.
En definitiva: AMPLIAR NUESTRO/TU CONOCIMIENTO.
Aunque parezca extraño, WKT está dedicado a formar a los
programadores, mostrandoles sus defectos y el camino para producir software
de calidad. Ya se acabo el rollo. AL ATAKEEEE !!!
--------------------------------------------
COLOR CRACK
Como Crackear Multimedia Builder 3.0.
Por Estado+Porcino
Noviembre del 98
Site:www.mediachance.com
Herramienta: Nuestro amado Sice y Zen crack.
------------
INTRODUCCION
------------
Bueno, ya estamos de vuelta con un nuevo truco bajo el brazo: "Crack
en Color" que lo aplicaremos a nuestro conejillo de indias, el excelente
Multimedia Builder.
Un programa para crear aplicacniones que incluyen sonido, imagen,
video. Se programa al estilovisual de VB. No os perdais el reproductor de
CD que viene con el ejemplo.
UN PRIMER VISTAZO
Realmente este programador se lo ha currado. Ha cerrado la mayoria de
las puertas de entrada a los crackers, por tanto hay que abrir otras como
el "Crack en Color". Veamos alguno de sus ingenios del autor:
- Existe un numero de serie que se introduce desde "Help\About\Register"
Cuando introducimos un numero de serie falso no aparece ninguna
ventana de error. Por lo que queda descartado el clasico "bpx
messageboxexa". Las cadenas de caracteres importantes las tiene encriptadas,
por lo que no podemos buscarlas con el "Search and Replace", lo que impide
un crack en 5 minutos.
PRIMER OSTIAZO
--------------
Desechados los ataques tipicos, vamos a entrar por la puerta clasica
siguiendo la pista del Serial falso. Metemos un numero basura "12121212",
Saltamos al sice y ponemos 's 30:00 l ffffffff "12121212"'. En cada
ocurrecia XX:xx aplicamos 'bpr XX:xx XX:xx+8 rw'. Una vez acabado damos al
boton de OK y BOOM, aparecemos en el sice. Unos F12 llegamos a la rutina
"GetwindowTextA".
Dejamos esta linea de trabajo porque es muy aburrida. Al final
conseguimos aislar una rutina en que devuelve 0 si estamos registrados y 1
en otro caso. Podemos falsearla para registrarnos. Y de hecho lo
"conseguimos". Nuestro nombre aparece en la ventana de registro.
Pero hay una sorpresita. Si ejecutamos Project/Run aparece "unregistered...
". ®Como es posible? Pero SI estamos registrados!. La cosa es aun peor, si
nos peleamos con el registro y generamos un numero de serie valido las
cosas no mejorar. ®Que esta pasando aqui?
ZEN CRACK
---------
Si hemos pasado el algoritmo de registro satisfactoriamente, ®porque
seguimos sin estar registrados?. Razonemos, la unica forma de no estar
registrados es que no pasemos alguna verificacion. Sabemos que hemos pasado
una, luego debe de haber otra verifiacion en otra parte del codigo.
Este programador ha pensado un poco. HA SEPARADO LAS COMPROBACIONES del
serial. Y lo que es todavia mas interesante, en cada comprobacion analiza
cosas diferentes. Asi, si se pasa completamente una comprobacion no se
garantiza que se pase el resto.
Sabemos ya que por lo menos hay dos comprobaciones (una que pasamos y
otra no). Debe existir un nexo de union entre las comprobaciones: Una
variable que guarde el serial que hemos introducido. Pero aqui las variantes
son multiples: la primera comprobacion puede encriptar el serial para la
segunda, modificar un flag para que siempre resulte falsa la segunda
comprobacion...
La pregunta que se plantea es ®Como localizo la segunda comprobacion?.
La unica pista es el horrible letrero amarillo ".. unregistered ..". Se
podrian analizar todas las variables que modifica el primer algoritmo , pero
eso es demasiado costoso. Debemos buscar otra forma. La unica forma de saber
que no hemos pasado las comprobaciones es el letrero amarillo. Es por ahi
por donde debemos atacar.
El mensaje esta encriptado ,luego desechamos esa via. El letrero
parece un Label al estilo de JAVA o Delphi, por lo que no tiene entidad
propia como una ventana. ®Por donde atacamos?
CRACK EN COLORES
----------------
Centremonos, ®que es lo que mas llama la atencion del letrero? , su
color amarillo. Este color debe de asignarse de alguna forma. Ademas el
amarillo parece que es el color de fondo del letreo. Si desensamblamos a
nuestro objetivo vemos que utiliza la funcion setbkcolor. Asi pues debemos
localizar algo parecido a "setbkcolor(Amarillo)". Pero como se expresa
exactamente el color amarillo.
Normalmente los colores se forman a partir de la combinacion de los
llamados "colores basicos". Lo normal es usar como colores basicos
RGB="Rojo Verde y Azul." Nuestro problema es como expresar el amarillo del
letrero en funcion de RGB. Por suerte nuestro amarillo es una simple
combinacion. Podemos utilizar la paleta de colores de cualquier programa
para comprobarlo. En mi caso he usado el Visual Cafe 2.5 (crackeado por
supuesto). Introduciendo Rojo=255, Verde=255, Azul=0 obtenemos el mismo
amarillo que el del letrero.
Si el color hubiera sido mas complejo, capturamos la pantalla con el
letrero y la importamos a un editor grafico como el Photoshop. Seleccionamos
un pixel del color amarillo del letreo y vemos sus componentes en terminos
de Rojo, Verde y Azul. Es posible que exista un programa que realize esta
funcion mas sencilla. Si lo encontrais, por favor notificadmelo.
Asi pues debemos de localizar algo asi como "setbkcolor(255 255 0)".
Necesitamos conocer si existen mas parametros para el setbkcolor. Mirando
el API tenemos:
COLORREF SetBkColor(HDC hdc, // handle of device context
COLORREF crColor // background color value
);
The COLORREF value is a 32-bit value used to specify an RGB color. When
specifying an explicit RGB color, the COLORREF value has the following
hexadecimal form: 0x00bbggrr
Nuestro color es un entero y se pasa como segundo parametro. Dado que
los numero se almacenan al reves debemos buscar SetBkColor(hdc,0000ffff).
Desempolvemos los manuales del Sice, por lo que nos queda
bpx setbkcolor if (*(esp+8)==ffff0000)
Expliquemos un poco el churro que ha aparecido. bpx setbkcolor indica
que se pare cuando se ejecute la rutina setbkcolor. Se para cuando
(*(esp+8)==00ffff), es decir, cuando el contenido del registro EIP+8 sea
00ffff. Recordemos que los parametros a las funciones se pasan a traves de
la pila (ESP=registro stack pointer): Concretamente es ESP+8 porque en se
apilan dos palabra de 4 bytes cada uno.
Antes de la llamada ESP=000
Llamada ESP=Direccion de retorno. (palabra de 4 bytes)
ESP+4=parametro HDC.(palabra de 4 bytes)
ESP+8=segundo parametro
Aplicando nuestro bpx y pulsando "Proyect/Run" BOOM, aparecemos en el
sice, para ver si estamos realmente ante el setbkcolor correcto, cambiemos
el color "d esp+8" Y pasamos de "FFFF00" a "FFFFFF". Obtenemos un bonito
color blanco de fondo. Luego hemos pillado la llamada correcta. Un par de
f12 despues obsevamos
:460a15 cmp [ESI+378],43CA
Si los valores no son iguales vemos el mensaje de error. Por tanto es
este el flag que controla todo. Ya solo basta ver quien lo inicializa. Pero
este es un trabajo conocido por todos que lo dejo como ejercicio.
Fijaos como no se utiliza un clasico flag 1,0 sino un valor dificil
0x43CA. Un nuevo sintoma de que el autor ha leido sobre cracks.
CONCLUSION
----------
Hemos aprendido una nueva tecnica: "Color Crack". Es recomendable que
se aplique cuando el mensaje de "unregistered" no sea una ventana sino una
cadena dentro de una ventana. Debemos averiguar el color que se aplica al
mensaje y colocar en el Sice
bpx nombreRutina if (*(esp+8)==00BBGGRR)
Recordad que los valores de Blue(azul), Green (Verde), Red (rojo)
estan hexa.
Cuando apararezcamos en el Sice cambiar el color para ver si estamos
en la ventana correcta. En tal caso buscar un salto que evite el mensaje.
Este tecnica siempre es aplicable, pero se recomienda que se utilice
cuando existan pocos colores en la ventana y el mensaje esta resaltado del
resto (cosa bastante habitual).
Una posible generalizacion de esta tecnica es aplicable al color del
tipo de letra (foregroundcolor), el tipo de fuente, (setFont), el aspecto
(cursiva ...). Recordad de echar mano de una buena ayuda Api para win32.
No olvidemos el esquema de proteccion tan original de SEPARACION DE
COMPROBACIONES que ha implementado el autor. Relamente interesante, si
señor.
Recordad, Buscad a +ORC en la Red.
GReeTz to:
----------
NIabI ( MEXELITE )
r00ster ( MEXELITE )
Dasavant ( ANTHRAX )
Klimpong ( ANTHRAX )
B_Thorne ( PHROZEN CREW )
Flu[X] ( PHROZEN CREW )
FLebbHuE ( DEMISE )
DrRhui ( CORE )
ALC ( THE NAMELESS ONES )
Iczelion ( ICZELION )
CrackZ ( CRACKZ )
SALUDOS Y AGRADECIMIENTOS A:
----------------------------
nIabI ( MEXELITE )
Gracias por esa traduccion. ;o)
Mac Crack & Conde Vampiro ( - J.J.F. / Hackers Team - )
Gracias por cedernos un hueco en vuestro
estupendo e-zine. JJF FOREVER !!!!
A TI QUE ESTAS LEYENDO ESTO
Gracias por haberte tragado todo este
rooollo jeje ;o)
01010101001010101010101001010101010101001010101010
01 WKT ( WHISKEY KON TEKILA ) 01
01 e-mail: wkt@most-wanted.com 01
01 Web Site: 01
01 http://wkt.home.ml.org http://wkt.mypage.org 01
01 http://www.reversers.com/wkt 01
01 ECD ( ESTUDIO COLECTIVO DE DESPROTECCIONES) 01
01 http://wkt-tutorialz.home.ml.org 01
01010101001010101010101001010101010101001010101010
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/
>>> Troyanos en windows: BO, Netbus y DeepThroath <<<
\/\/\/\/\/\/\\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/
Os mando este articulo, en gran partee extraido de la revista Pc
Actual n° 104 escrito por Antonio Ropero. Creo que no se ha tratado este
tema, quizas por encima y he visto a algun lector preguntando sobre la
eliminacion. Soy Skorpion, quizas Conde Vampiro me haya visto por el
irc-hispano alguna vez.
Estos programas han tenido un gran auge en los ultimos meses dada su
facil utilizacion y no requerir ningun conocimiento (por lo cual,
recomiendo a todos los que estamos en esto por el mero hecho de aprender).
El programa originario fue Back Oriffice (BO) que pronto se hizo famoso
dada la cobertura que se la ha dado en las publicaciones de informatica.
Fue creado por el famoso grupo "Cult of the Dead Cow" al que pronto
siguieron otros dos programas (que conozca) como Netbus (tb muy conocido) y
DeepThroath.
El funcionamiento de estos programas es simple, constan de dos
partes: un servidor y un cliente. El fichero servidor es el encargado de
abrir un puerto del ordenador "infectado" desde el cual se podra tener
accesos a toda la informacion y el control total de dicho ordenador. El
fichero cliente se encarga de realizar las ordenes en el ordenador
"infectado" (NOTA AL EDITOR: pongo infectado al no ocurrirseme una palabra
mas adecuada, si sabeis de alguna mejor, ya sabeis).
Ahora voy a explicar los diferencias entre estos tres programas:
* Back Oriffice:
- Abre el puerto 31337
- El fichero servidor tiene el nombre de boserve.exe (aunque
posiblemente este cambiado por uno como lista.exe o fotos.exe).
Ocupa 124.928 bytes.
- El fichero cliente se llama boclient.exe y tiene dos variantes una
de forma grafica y otra en modo texto. No recuerdo el nombre
exacto de la parte grafica.
- El fichero servidor una vez cargado, cosa que nunca hay que hacer
;-), crea una copia en windows/system como *.exe y un archivo
windll.dll de 8.192 bytes. Para rematar se mete en el registro
para ejecutarse en el inicio de windows.
* NetBus:
- Abre el puerto 12345 y 12346 (facil, eh ;)
- El programa servidor se llama patch.exe (pasa lo mismo que con el
BO, tendra un nombre cambiado).
- El cliente creo que se llama client.exe (aunque no recuerdo).
* DeepThroath:
- Abre el puerto 2140 y 3150.
Supongo que algunos mas avanzados sabran como detectarlo. Para los
que no se les ocurre hay que usar la herramienta netstat (por supuesto
para ejecutar el programa hay que estar conectado a inet). Ahora voy a
especificar para cada programa su deteccion y su eliminacion (lo pongo tal
cual viene en la revista PcActual, ya que al no tener ninguno de estos
programas instalados no he podido ver el porque de las diferentes ordenes
de netstat):
* BO:
- Deteccion: Ejecutar netstat -an /find "UDP" si sale algo parecido a
0.0.0.0:31337*.* esta instalado.
- Eliminaci¢n: borrar el fichero *.exe, recordar que esta en
/windows/system [Supongo que el fichero se copiara con el nombre con el que
fue cargado, asi que buscar los ficheros con extension exe, con nombres
extraños y cuyo tamaño sea de 124.928 bytes y a borrar]. Igualmente se
elimina el fichero windll.dll
Como ultimo editar el registro (comando regedit.exe) y seleccionamos la
clave
HKey_local_machine\software\microsoft\windows\currentversion\runservices y
se elimina la referencia a *.exe Reiniciamos y listo.
* NetBus:
- Deteccion: Ejecutar netstat -an |find "12345". Si netbus esta activo
aparecera una cadena indicando su presencia
- Eliminacion: Editamos el registro y buscamos la clave
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run Una vez
encontrado el nombre del ejecutable (tendremos que deducirlo nosotros, asi
que hacer una copia del registro de windows antes de borrar nada) buscamos
el archivo y lo ejecutamos con el parametro /remove Tb se puede quitar con
el cliente de netbus, pero no lo voy a explicar ya que duda que alguien que
use el netbus se lo hayan colado (y si es asi me alegro, por lamer).
* DeepThroath:
- Deteccion: otra vez lo mismo. ejecutamos netstat -an y si los
puertos 2140 y 3150 estan listados lo tenemos dentro.
- Eliminacion: Igual, regedit, clave
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run con el
nombre SystemDLL32 y el valor [path]systempatch. S¢lo nos queda borrar dicha
clave y borrar el fichero del disco.
Ahora quiero comentar las protecciones para no tener estos invitados
ni otros mas. La principal fuente de transmision de troyanos es el Irc. Tb
hay "virus" para el mirc y esas cosas, asi que hay que tener cuidado. No
aceptar ningun fichero de un desconocido (a veces, al entrar a un canal
automaticamente te intentan mandar el fichero dmsetup.exe o script.ini),
para esto hay que tener la opcion auto-get file desactivada, pudiendo
elegir entre "show get dialog" e "Ignore all". Cada uno que eliga lo que le
convenga. Mucho cuidado con ficheros zip, tanto en canales de fotos y de
cds, siempre evitar cargar ningun fichero .exe ni .com.
Se me olvidaba comentar que los "virus" para el Mirc suelen hacer lo
dicho anteriormente, mandar los ficheros .exe o .ini asi que no le echeis
la bronca al emisor, ya que me he encontado casos en que no sabia ni lo que
era. Estamos para ayudarnos.
Otro punto a recordar es que se rumorea (hay quien afirma) que los
clientes tb abren puertos y mandan informacion del disco duro del usuario a
servidores. Asi que no jugueis a hackers con estos programas hechos para
lamers.
# Skorpion 1999
# Miembro de DarkMoon
# E-mail: Skorpion@mixmail.com
********************************************** Fin del articulo
El articulo no es gran cosa y mucha informacion no es mia pero espero
hacer mejores articulos. Dado que mi nivel de hacking es bajo (aunque en
ello estamos) y es mi primer articulo, espero no recibir muchas criticas. :)
Antes de despedirme, podeis decirme las direcciones de los irc's donde se
reunan gente del hacking.
Un saludo.
.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo.oOo
============================================================
DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMO
============================================================
_____ ____ _ ___ .˙"^"˙. _
/ \ __ / \| | / / *********** |\ | |
| \ / \| O || |/ / ˙ /\ /\˙ ___ ___ | \ | |
| |\ | | | /| < / \/ \/ \/ \| \ | |
| |_| | | \ | | \ / /\ /\ \ o | O ||\ \| |
|________|__|_|_|__\|__|\__\ /_/ \/ \_\___/\___|| \___|
============================================================
ON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DARKMOON-DAR
============================================================
@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
- CURSO DE HACK -
CHAPTER VIII
Parece mentira, pero aqui estamos, con la octava entrega de este
cursillo de hack y espero que este sirviendo para algo, sobre todo en el
caso de los novicios para el cual este curso esta enfocado.
Como sabeis la mejor forma de aprender es hackearse uno mismo o el
ordenador de un amigo, ni que decir del que dispone de una pequeña red
en casa ;-) Pero tambien existe otra forma de aprender la cual nos permite
hackear un servidor y que encima se nos permita. Lo a que me estoy
refiriendo son esos concursos para hackers que van desde romper un
sistema criptografico (hhuumm JJF RC5 Crack Team) hasta romper la seguridad
de un servidor.
Pues en esta octava entrega he visitado el servidor de happy Hacker,
el cual esta permitido hackearlo ;-) Para los que estan algo dormidos
dire que este servidor esta llevado por la conocida para bien o para mal
Carolyn Meinel, la autora de las tambien conocidas Guide to (mostly)
Harmless Hacking.
Este servidor esta activo con el proposito de que la gente aprenda
a mejorar la seguridad. Es en realidad un juego conocido como Wargames,
y puede ser de gran interes para aquellos que quieran hacer sus experimentos
sin peligro alguno y con un autentico servidor en Internet. Logicamente
el sistema operativo es una variante Unix, FreeBSD, por lo que para aquellos
que quieran aprender Unix lo podran hacer y para aquellos que por cualquier
motivo no dispongan en casa de Linux pues usando su Windows podran
participar de todas formas, con un simple telnet a la maquina en cuestion.
El juego consiste en entrar en la maquina, despues hacerse root del
sistema. Los participantes pueden escribir en determinados directorios,
crear cuentas y modificar las paginas webs del servidor. Pero esta prohibido
hacer mal uso del sistema, borrar completamente las webs y sobre todo el
uso de DoS (Denegacion de Servicio). Incluso en las reglas y al entrar
tambien, nos advierten claramente que cualquier mal uso del sistema sera
penalizada, debido a que informaran a nuestro ISP de nuestros actos o
incluso ojo por ojo, diente por diente }:-)
Pues nuestra pequeña incursion nocturna empieza logicamente en el web
o haciendo un telnet al servidor. El url del website es:
http://happyhacker.org
Es interesante leerse las reglas, aunque solo estan disponibles en
ingles :) ya que nos proporciona cierta informacion interesante y mos
advierte de nuestros actos. Tambien nos dice que la finalidad del juego es
ser root, parchear los agujeros que encuentres/usastes y mantener tu
liderazgo el maximo de tiempo posible, incluso podras mantener contacto con
el autentico administrador para contarle tus hallagos y soluciones. En la
web principal del juego nos interesa un parrafo en concreto, que es el
siguiente:
----
Currently, you can break into the only open account, guest on
koan.happyhacker.org... We're just going to give you a quick hint: the
password is very stupid.
----
No veo la necesidad de traducirlo y para aquellos que no lo entiendan
pues diccionario en mano y a leer ;-) Y que empieze nuestra incursion con
un telnet a la maquina!!
$ telnet koan.happyhacker.org
[ Bien, ahora ya hemos conectado con Koan y a partir de ahora
escribire entre [], nos sale lo siquiente: ]
FreeBSD (koan.happyhacker.org) (ttypg)
login: guest
s/key 98 ko112201
Password:
[ Pues ya hemos conectado :) y he metido login 'guest' y el password
es ........, mejor te estudias ese parrafo en ingles ;-) ]
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD 2.2.7-STABLE (KOAN) #2: Wed Dec 30 19:44:00 MST 1998
ok, i (typo) gained root access today(feb 4th). i've made 2 accounts,
one for me and one for the rest of tg0d(the guardians 0f data).
if any of the admins feels it's necessary to contact me:
my email is in ~typo/email. im also in #koan on undernet (as typo/tzpo).
as many people asked for it: i'll post a complete bug description and how
i got root using it on http://koan.happyhacker.org/~typo tomorrow.
right now there is no intended bug installed, but i'd like to put one in
if the other root users agree. so long,
--typo
(tg0d member list can be found in ~guest/public_html/member-list.tg0d)
--schematic
----
Guest ppl: One note, try to make sure a binary is actually setuid (or
setgid) before exploiting a buffer overflow in it in it -- try
something that has at least a remote possibility of working:>
-
The fortune program is supported, in part, by user contributions and by
a major grant from the National Endowment for the Inanities.
-----------------------------------------------------------------------
Guest Account Rules:
You can write anything you want into ~/tmp.
(try not to leave directories full of junk though)
You can write anything you want into ~/public_html (no pr0n)
tag stuff to index.html, but don't delete the entire thing.
But there are disk usage quotas. And the rules on the web page apply
too.
Avoid running denial of service attacks -- cpu quotas protect against them
anyhow.
obey or be lart(8)'ed.
.ds.
-----------------------------------------------------------------------
koan%
[ Pues ya estamos dentro del servidor, y esto en ingles son las
noticias del dia, podemos leer como otro hacker llamado "typo" a conseguido
root y a creado dos cuentas, una para el y otra para su grupo. Y despues nos
sale un resumen de las reglas del juego y por ultimo el prompt, que esta
esperando a que meta algun comando ;-) ]
koan% uname -a
FreeBSD koan.happyhacker.org 2.2.7-STABLE FreeBSD 2.2.7-STABLE #2:
Wed Dec 30 19:44:00 MST 1998
root@koan.happyhacker.org:/usr/src/sys/compile/KOAN i386
koan%
[ Primero pido informacion sobre el servidor en cuestion, vemos que es
FreeBSD, un magnifico s.o. y diversa informacion. ]
koan% who
guest ttyp0 Feb 9 15:40 (195.121.42.244)
guest ttyp2 Feb 9 15:39 (trojan.neta.com)
guest ttyp4 Feb 9 15:25 (62.144.135.172)
guest ttyp6 Feb 9 15:41 (159.134.231.147)
guest ttyp7 Feb 9 15:43 (thurman.clubi.ie)
root ttyp9 Feb 9 15:36 (0.0.0.0)
guest ttypb Feb 9 15:36 (24.104.1.16)
guest ttypc Feb 9 15:32 (152.167.223.180)
guest ttypd Feb 9 15:37 (207.236.51.45)
guest ttype Feb 9 14:48 (152.205.164.95)
guest ttypf Feb 9 14:09 (62.136.24.162)
guest ttypg Feb 9 15:45 (204.166.150.75)
guest ttyph Feb 9 15:47 (142.176.14.228)
guest ttypj Feb 9 15:12 (144.32.100.82)
koan%
[ Ahora veamos quien esta en la maquina en este momento ;-) esto
puede sernos util para ponermos en contacto con otro hackers e intercambiar
experencias pero requiere que sepamos ingles logicamente, al igual que
podemos ponemos en contacto con el admin y si, yo salgo por hay :) ]
koan% id
uid=100(guest) gid=31(guest) groups=31(guest)
koan%
[ Veamos quien soy yo y que ID tengo. Bien, estoy como 'guest'
logicamente. Okis, todo perfecto y sigamos con el juego. ]
koan% pwd
/usr/home/guest
koan%
[ Ahora ya se donde estoy :) y veamos que hay dentro de este
directorio. ]
koan% ls -al
total 22
drwxr-xr-x 9 root wheel 512 Feb 5 19:06 .
drwxr-xr-x 11 root wheel 512 Feb 4 14:28 ..
-rw-r--r-- 1 root wheel 0 Sep 23 16:51 .bash_history
-rw-r--r-- 1 root wheel 540 Sep 22 11:04 .cshrc
-rw-rw--w- 1 root wheel 42 Jan 27 18:57 .history
-rw-r--r-- 1 root wheel 1222 Feb 4 18:24 .login
-rw-r--r-- 1 root wheel 139 Sep 22 10:58 .login_conf
-rw------- 1 root wheel 351 Sep 22 10:58 .mail_aliases
-rw-r--r-- 1 root wheel 313 Sep 22 10:58 .mailrc
-rw-r--r-- 1 root wheel 749 Sep 22 10:58 .profile
-rw------- 1 root wheel 257 Sep 22 10:58 .rhosts
-rw-r--r-- 1 root wheel 832 Sep 22 10:58 .shrc
drwxr-xr-x 2 root wheel 512 Feb 5 19:25 .term
drwxr-xr-x 2 root wheel 512 Dec 23 19:02 CVS
drwxr--r-- 2 guestcvs guestcvs 512 Jan 7 22:54 gcvs
drwxrwxrwt 23 root wheel 2560 Feb 9 14:53 public_html
drwx------ 2 guestcvs wheel 512 Jan 23 09:16 tag
drwxrwxrwt 6 root wheel 2048 Feb 9 15:49 tmp
drwxr-x--x 4 root guestcvs 512 Dec 23 19:12 wwwcvs
koan%
[ Oki doki, tranquilamente miramos ficheros y directorios. Hhhuummm
ahora que lo pienso en las reglas pude leer que podiamos escribir en el
directorio /tmp, o sea que para haya vamos!! ]
koan% cd tmp
koan% ls -al
total 762
-rwx--x--- 2 root users 32768 Sep 17 15:03 -i
drwxrwxrwt 6 root wheel 2048 Feb 9 15:50 .
drwxr-xr-x 9 root wheel 512 Feb 5 19:06 ..
drwxr-xr-x 2 root wheel 512 Dec 25 20:29 CVS
-rw-r--r-- 1 cmeinel wheel 341 Nov 17 13:19 READ_ME
-rw-r--r-- 1 mac_x wheel 1147 Sep 29 19:42 bashh.c
-rwx--x--- 2 root users 32768 Sep 17 15:03 baz
-rwxr-xr-x 1 guest wheel 8858 Feb 9 09:57 buff
-rw-r--r-- 1 guest wheel 1342 Feb 9 09:45 buffer.c
-rw-r--r-- 2 root wheel 5175 Mar 9 1998 compat.c
-rw------- 1 guestcvs wheel 14 Jan 18 15:58 cvsP10631
-rwxr-s--x 1 root guestcvs 8809 Dec 25 20:43 do_update
-rwxr-xr-x 1 root wheel 8808 Feb 7 17:44 fart
-rw-r--r-- 1 root wheel 49 Feb 7 17:43 fart.c
-rw-r--r-- 1 root wheel 7 Dec 28 09:25 foo
-rw------- 1 guestcvs wheel 160 Jan 23 08:54 ind5930
-rwx--x--x 5 root users 147456 Sep 15 16:40 koan
-rwx--x--x 5 root users 147456 Sep 15 16:40 koan2
-rwx--x--x 5 root users 147456 Sep 15 16:40 localhost
-rws--x--x 2 root wheel 8830 Jan 18 12:56 newroot
-rw-r--r-- 1 root wheel 399 Feb 5 23:29 newroot.c
-rwx-wx-wx 1 guest wheel 2048 Feb 7 15:31 root
-rwxrwxrwx 1 nobody wheel 12288 Feb 5 23:38 security.check
---s--s--x 1 root wheel 16384 Dec 27 14:09 shell
drwxr-xr-x 3 guest wheel 512 Feb 4 18:45 strobe
-rwx--x--x 5 root users 147456 Sep 15 16:40 su
drwxr-xr-x 3 guest wheel 1536 Feb 7 18:09 tmp2
-rw------- 1 guest wheel 0 Feb 9 13:09 vi.DpV775
-rw------- 1 guest wheel 0 Feb 9 14:49 vi.FL2743
-rw------- 1 guest wheel 0 Feb 9 13:25 vi.Fn1059
-rw------- 1 guest wheel 0 Feb 9 11:38 vi.O29563
-rw------- 1 guest wheel 0 Feb 9 13:27 vi.eg1115
-rw------- 1 guest wheel 0 Feb 9 13:18 vi.iPT958
-rw------- 1 guest wheel 0 Feb 9 14:45 vi.tI2574
drwxrwx--- 4 root guestcvs 512 Feb 9 15:51 www
koan%
[ Hemos entrado en /tmp y hemos hecho su correspondiente listado.
Examinemos por un momento que tenemos aqui, podemos apreciar que la gente
se mueve por aqui y ahi varios ficheros muy sospechosos ;-) Aqui es donde
por un lado podremos pobrar nuestros experimentos, probrar los exploits
que hayamos escrito o recopilar exploits que no tegamos para poder
estudiarlos y saber que hacen!!! ]
koan% ./shell
#
[ Ahora ejecutemos algun exploit, aunque debe ser mas bien una
copia del shell de root, del directorio para ver que sucede, uuuppsss,
ese '#' me suena mucho ;-) ]
# id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys), 4(tty),
5(operator), 20(staff), 31(guest)
#
[ Efectivamente ya somos root del sistema. En realidad nunca es asi
de facil pero esto es un juego, verdad ? Y continuamos con nuestra pequeña
incursion! ]
# ls
CVS public_html tmp
gcvs tag wwwcvs
# cd ..
ls
# cmeinel guest mysidia spagheti typo
derr mac_x satori tg0d
# cd ..
# ls
X11R6 db libdata ports src
athena games libexec quota.user sup
bin home local s tmp
chroot include mdec sbin
compat lib obj share
#
[ Pues me he dado un paseito por los directorios, para ver si veo
algo interesante. ]
# cd /
# ls -al
total 3669
drwxr-xr-x 17 root wheel 512 Feb 6 13:31 .
drwxr-xr-x 17 root wheel 512 Feb 6 13:31 ..
-rw-r--r-- 2 root wheel 421 Dec 26 07:26 .cshrc
-rw-r--r-- 2 root wheel 244 Mar 24 1998 .profile
-r--r--r-- 1 root wheel 3425 Mar 24 1998 COPYRIGHT
drwxr-xr-x 2 root wheel 512 Jan 17 22:15 a
drwxr-xr-x 2 bin bin 1024 Feb 7 18:03 bin
-rw-r--r-- 1 root wheel 0 Mar 24 1994 boot.config
-rw-r--r-- 1 root wheel 1030 May 11 1998 boot.help
lrwxrwxrwx 1 root wheel 11 Mar 24 1994 compat -> /usr/compat
drwxr-xr-x 3 root wheel 9728 Jan 17 22:25 dev
drwxr-xr-x 10 root wheel 2048 Feb 8 10:17 etc
drwxr-xr-x 10 root wheel 2048 Feb 5 21:56 etcx
lrwxrwxrwx 1 root wheel 9 Mar 25 1994 home -> /usr/home
-r-xr-xr-x 1 root wheel 1082501 Jan 16 18:51 kernel
-rwxr-xr-x 1 root wheel 1510955 Mar 24 1998 kernel.GENERIC
-rw-r--r-- 1 root wheel 0 Mar 24 1994 kernel.config
-r-xr-xr-x 1 root wheel 1082501 Dec 30 19:48 kernel.old
drwxr-xr-x 2 root wheel 512 Dec 27 22:25 krb
drwxr-xr-x 2 bin bin 1024 Sep 17 15:17 lkm
drwxr-xr-x 2 root wheel 512 Mar 24 1998 mnt
dr-xr-xr-x 85 root wheel 512 Feb 9 16:11 proc
drwxr-xr-x 9 root wheel 1024 Feb 8 07:41 root
drwxr-xr-x 2 bin bin 1536 Feb 7 18:10 sbin
drwxr-xr-x 4 root wheel 512 Sep 18 15:48 stand
lrwxrwxrwx 1 root wheel 11 Sep 17 14:15 sys -> usr/src/sys
drwxrwxr-t 2 root users 512 Feb 9 16:10 tmp
drwxr-xr-x 23 root wheel 512 Jan 18 12:58 usr
drwxr-xr-x 19 root wheel 512 Feb 6 02:17 var
#
[ Me he ido directamente a la raiz '/' para examinar que directorios
existen y por si veo algo que me interese. ]
# cd root
# ls -al
total 5626
drwxr-xr-x 9 root wheel 1024 Feb 8 07:41 .
drwxr-xr-x 17 root wheel 512 Feb 6 13:31 ..
-rw-r--r-- 1 root wheel 0 Oct 6 10:49 .addressbook
-rw-r--r-- 1 root wheel 2285 Oct 6 10:49 .addressbook.lu
-rw-r--r-- 1 root wheel 1 Feb 8 21:25 .bash_history
-rw-r--r-- 2 root wheel 421 Dec 26 07:26 .cshrc
-r-------- 1 root wheel 1 Feb 7 14:31 .history
-rw------- 1 root wheel 158 Dec 27 21:59 .klogin
-rw-r--r-- 1 root wheel 502 Dec 25 20:56 .login
-rw-r--r-- 1 root wheel 9 Dec 27 22:06 .logout
-rw------- 1 root wheel 12031 Dec 25 12:46 .lsof_koan
-rw-r--r-- 1 root wheel 0 Jan 2 23:14 .of
-rw-r--r-- 1 root wheel 10326 Feb 5 14:17 .pinerc
-rw-r--r-- 1 root wheel 151 Sep 15 22:36 .plan
-rw-r--r-- 2 root wheel 244 Mar 24 1998 .profile
-rw-r--r-- 1 root wheel 4 Feb 5 18:54 .rhosts
drwx------ 2 root wheel 512 Feb 6 13:12 .ssh
drwxr----- 2 root wheel 512 Feb 6 11:09 .ssx
drwxr-xr-x 2 root wheel 512 Dec 31 19:11 bin
-rw-r--r-- 1 root wheel 76 Jan 13 14:53 bk33
-rw-r----- 1 root wheel 42425 Dec 30 00:12 bw.err
-rw-r----- 1 root wheel 25092 Dec 30 07:01 bw.err.2
-rw-r----- 1 root wheel 5258017 Dec 30 00:12 bw.out
-rw-r--r-- 1 root wheel 2070 Dec 26 07:22 di
-rwxr----- 1 root wheel 17405 Dec 27 14:09 fk
-rw------- 1 root wheel 9578 Dec 28 11:06 fk.c
-rwxr-xr-x 1 root wheel 8826 Feb 5 20:52 g0nz0
-rw------- 1 root wheel 771 Oct 28 20:05 g0nz0.c
-rw-r----- 1 root wheel 25 Dec 23 08:04 hl
-rw-r--r-- 1 root wheel 723 Dec 27 22:39 lynx_bookmarks.html
drwx------ 2 root wheel 512 Feb 5 14:18 mail
-rwxr-xr-x 1 root wheel 8827 Jan 18 12:24 mask
-rw-r----- 1 root wheel 860 Jan 18 12:24 mask.c
-rw------- 1 root wheel 4914 Jan 23 10:50 mbox
-rw------- 1 root wheel 10085 Oct 28 18:20 namedsploit.c
-rw-r--r-- 1 root wheel 399 Feb 7 10:26 newroot.c
-rw-r----- 1 root wheel 277321 Dec 28 17:43 p3
drwxr-x--- 3 root wheel 512 Feb 9 15:05 private
drwx--x--x 2 root wheel 512 Feb 5 20:40 security
-rwx------ 1 root wheel 21486 Dec 27 12:57 shell2
drwxr-xr-x 2 root wheel 512 Feb 9 16:05 tmp
-rwx------ 1 root wheel 529 Dec 27 13:32 x.sh
#
[ hhhuummm, el directorio del root no esta mal, veo varias cosillas
que podrian ser utiles, pero dejare que seas vosotros que penseis un
poquito, y como no volvemos al directorio temporal. ]
# cd /tmp
# ls -al
total 3
drwxrwxr-t 2 root users 512 Feb 9 16:10 .
drwxr-xr-x 17 root wheel 512 Feb 6 13:31 ..
-rw------- 1 guest guest 96 Feb 9 16:10 tkt_100
#
[ Vaya, nada, pues demonos el piro, vampiro ] # cd /etc
# ls -al
total 625
drwxr-xr-x 10 root wheel 2048 Feb 8 10:17 .
drwxr-xr-x 17 root wheel 512 Feb 6 13:31 ..
-rw-r--r-- 1 root wheel 1341 Feb 6 13:31 adduser.conf
-rw-r--r-- 1 root wheel 1335 Feb 6 13:31 adduser.conf.bak
-rw-r--r-- 1 root wheel 1233 Feb 6 22:13 aliases
-rw-r--r-- 1 root wheel 32768 Feb 6 13:31 aliases.db
-rw-r--r-- 1 root wheel 124 Feb 6 13:31 amd.map
-rw-r--r-- 1 root wheel 960 Feb 6 13:31 crontab
-rw-r--r-- 1 root wheel 104 Feb 6 13:31 csh.cshrc
-rw-r--r-- 1 root wheel 585 Feb 6 13:31 csh.login
-rw-r--r-- 1 root wheel 106 Feb 6 13:31 csh.logout
-rw-r--r-- 1 root wheel 211 Feb 6 13:31 cvsupfile
-rwxr-xr-x 1 root wheel 4227 Feb 6 13:31 daily
-rwxr-xr-x 1 root wheel 10 Feb 6 13:31 daily.local
-rw-r--r-- 1 root wheel 6413 Feb 6 13:31 disktab
-rw-r--r-- 1 root wheel 474 Feb 6 13:31 dm.conf
-rw-r--r-- 1 root wheel 0 Feb 6 13:31 dumpdates
-rw-r--r-- 1 root wheel 248 Feb 6 13:31 fstab
-rw-r--r-- 1 root wheel 184 Feb 6 13:31 ftpusers
-rw-r--r-- 1 root wheel 5510 Feb 6 13:31 gettytab
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 gnats
-rw-r--r-- 1 root wheel 489 Feb 6 13:31 group
-rw-r--r-- 1 root wheel 444 Feb 6 13:31 group.bak
-rw-r--r-- 1 root wheel 225 Feb 6 13:31 host.conf
-rw-r--r-- 1 root wheel 137 Feb 6 13:31 hosts
-rw-r--r-- 1 root wheel 102 Feb 6 13:31 hosts.equiv
-rw-r--r-- 1 root wheel 95 Feb 6 13:31 hosts.lpd
-r--r--r-- 1 root wheel 3504 Feb 6 13:31 inetd.conf
-rw-r--r-- 1 root wheel 3040 Feb 6 13:31 inetd.conf.unwrapped
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 kerberosIV
-rw-r--r-- 1 root wheel 21 Feb 6 13:31 krb.conf
-rw-r--r-- 1 root wheel 637 Feb 6 13:31 krb.equiv
-rw-r--r-- 1 root wheel 11 Feb 6 13:31 krb.realms
-r--r--r-- 1 root wheel 860 Feb 6 13:31 localtime
-rw-r--r-- 1 root wheel 594 Feb 6 13:31 locate.rc
-rw-r--r-- 1 root wheel 1846 Feb 6 13:31 login.access
-rw-r--r-- 1 root wheel 5453 Feb 6 13:31 login.conf
-rw-r--r-- 1 root wheel 32768 Feb 6 13:31 login.conf.db
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 mail
-rw-r--r-- 1 root wheel 106 Feb 6 13:31 mail.rc
-rw-r--r-- 1 root wheel 7282 Feb 6 13:31 make.conf
-rw-r--r-- 1 root wheel 838 Feb 6 13:31 manpath.config
-rw-r--r-- 1 root wheel 838 Feb 6 13:31 manpath.config.sample
-rw------- 1 root wheel 1652 Feb 6 13:31 master.passwd
-rw-r--r-- 1 root wheel 1475 Feb 6 13:31 modems
-rwxr-xr-x 1 root wheel 584 Feb 6 13:31 monthly
-rwxr-xr-x 1 root wheel 203 Feb 6 13:31 monthly.local
-rw-r--r-- 1 root wheel 273 Feb 9 16:07 motd
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 mtree
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 namedb
-rwxr-xr-x 1 root wheel 676 Feb 6 13:31 netstart
-rw-r--r-- 1 root wheel 361 Feb 6 13:31 networks
-rw-r--r-- 1 root wheel 757 Feb 6 13:31 newsyslog.conf
-rw-r--r-- 1 root wheel 1393 Feb 6 13:31 passwd
-rw-r--r-- 1 root wheel 10855 Feb 6 13:31 pccard.conf.sample
-rwxr-xr-x 1 root wheel 1053 Feb 6 13:31 pccard_ether
-rw-r--r-- 1 root wheel 283 Feb 6 13:31 phones
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 ppp
-rw-r--r-- 1 root wheel 1790 Feb 6 13:31 printcap
-rw-r--r-- 1 root wheel 818 Feb 6 13:31 profile
-rw-r--r-- 1 root wheel 1663 Feb 6 13:31 protocols
-rw-r--r-- 1 root wheel 40960 Feb 6 13:31 pwd.db
-rw-r--r-- 1 root wheel 8113 Feb 8 06:41 rc
-rw-r--r-- 1 root wheel 8189 Feb 6 13:31 rc.conf
-rw-r--r-- 1 root wheel 8120 Feb 6 13:31 rc.conf.previous
-rw-r--r-- 1 root wheel 6053 Feb 6 13:31 rc.firewall
-rw-r--r-- 1 root wheel 2668 Feb 6 13:31 rc.i386
-rw-r--r-- 1 root wheel 804 Feb 6 13:36 rc.local
-rw-r--r-- 1 root wheel 7795 Feb 6 13:31 rc.network
-rw-r--r-- 1 root wheel 378 Feb 6 13:31 rc.pccard
-rw-r--r-- 1 root wheel 3373 Feb 6 13:31 rc.serial
-rw-r--r-- 1 root wheel 1531 Feb 6 13:31 remote
-rw-r--r-- 1 root wheel 71 Feb 6 13:31 resolv.conf
-r-xr-xr-x 1 root wheel 12288 Feb 6 13:31 rmt
-rw-r--r-- 1 root wheel 847 Feb 6 13:31 rpc
-rw-r--r-- 1 root wheel 2351 Feb 6 13:31 security
-rw-r--r-- 1 root wheel 25 Feb 6 13:31 sendmail.cR
-rw-r--r-- 1 root wheel 30721 Feb 6 13:31 sendmail.cf
-rw-r--r-- 1 root wheel 37 Feb 6 13:31 sendmail.cw
-rw-r--r-- 1 root wheel 62030 Feb 6 13:31 services
-rw-r--r-- 1 root wheel 181 Feb 6 13:31 shells
-rw-r--r-- 1 root wheel 161 Feb 6 13:31 shells.bak
drwxr-xr-x 2 root wheel 512 Feb 6 13:31 skel
-rw-r--r-- 1 root wheel 886 Feb 6 13:31 skey.access
-rw------- 1 root wheel 133 Feb 8 06:19 skeykeys
-rw------- 1 root wheel 40960 Feb 6 13:31 spwd.db
-rwxr-xr-x 1 root wheel 661 Feb 6 13:31 sshdchk
-rw-r--r-- 1 root wheel 723 Feb 6 13:31 syslog.conf
-r--r--r-- 1 root wheel 188104 Feb 6 13:31 termcap
-rw-r--r-- 1 root wheel 6241 Feb 6 13:31 ttys
drwxrwx--- 2 root wheel 512 Feb 6 13:31 uucp
-rw-r--r-- 1 root wheel 0 Feb 6 13:31 wall_cmos_clock
-rwxr-xr-x 1 root wheel 2106 Feb 6 13:31 weekly
#
[ Je je je, ahora estoy en el conocido /etc y veamos que hay por
aqui. ]
# exit
koan%
koan% exit
logout
Aqui acaba este pequeña incursion, bueno en realidad no acaba aqui,
pero queda entre el server y yo ;-) Esto en realidad es un hack de andar
por casa ya que ha sido facil, por lo que no tiene merito alguno, lo bonito
es currarse tu propio exploit, cosa que yo no he hecho ya que estoy ocupado
con otros trabajos :), y mantener el dominio por el tiempo posible.
Este articulo es simplemente para daros una idea de como moverse por
el sistema, aunque yo en este caso no he modificado nada de nada, ni
siquiera los logs porque para el caso aqui el hack es legal ;-)
Disculparme si esta entrega del curso os parece lamer, y puede que lo
sea, pero seguro que alquien le sera util, ademas esto es solo para
introduciros en esos juegos para los hackers y que mucha gente no sabe que
existen.
Byes all y hasta la vista !!
CONDE VAMPIRO
- J.J.F. / HACKERS TEAM -
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
EL IN-OFF-BIRRIA PUS
Sospechas habituales.
por el archikonocido: Seth "The Shamen".
------------------------------------------------------------------------------
1. Que putes es aixo?
2. Sospechas (hipotesis)
3. Analisis
3.1 Cambios.
3.2 La primera conexion.
3.3 El acceso telefonico.
3.4 Funcionamiento
4. El punto final
1. Ke es aixo Ja t'ho he dit!!!
Bueno, este documento, texto, parida, etc, es una investigacion con
sus hipotesis de lo nuevo?? de infovia... si, si, eso llamado infovia plus
(pus).
Este texto va dedicado a akellos ke siguen trabajando en sistemas y
hackers o acegeceadores que no saben como se lo van a montar, y para ello
se van a rete, ono o uni2 ese. La verdad es ke necesitabamos un documento
como este, pues a los hacers nos lo han puesto mas dificil y a los admin
mucho mas facil. Por eso es conveniente realizar algunas pruebas y series
de investigaciones.
2. Hipotesis:
Kien ha dicho ke no se puede acegecear???. La verdad es ke internet
va a seguir igual, telnet seguira igual, las paginas: seguramente se veran
igual, las pajas nos las haremos igual, pero hay algo en el interior de la
red ke no sera igual. Si, ellos son los ojos, los ojos del gran hermano ke
nos estaran vigilando.
Ahora es mucho mas chungo utilizar el metodo de seguridad, vale. Lo
mas dificil de acegecear es nuestra seguridad, tal vez entrar o probar de
entrar sea algo dificil, pero lo mas dificil es hacerrlo sin ke te pillen.
Pues esto ahora se multiplica X5. No pretendo asustar, antes borrabamos
huellas, haciamos callbacks, nos amagabamos con proxies, etc. Ahora solo
podemos borrar nuestras huellas. Y es preciso ke lo hagamos, pues con el
nuevo infovia y los nuevos nodos es mucho mas facil ke nos localicen
nuestras lllamadas :( Explico: El nuevo infovia persiste en los nuevos
nodos, antes con el 055 era llamada internacional y podria haber muchos
puntos de partida de akella llamada amenazadora, ahora los nodos o nuevos
cambios telefonicos son locales y basta saber el primer prefijo para saber
desde donde coño estamos haciendo la llamada. Esto no mola tanto. Sigo. El
nuevo 055 ya no rula y debemos llamar desde la provincia ke nos indica,
pues si tenemos una cuenta acegeceada por ejemplo de arrakis de un cliente
de Madrid y nosotros somos de Bilbao los admin se darian cuenta enseguida
ke esa cuenta ha sido pillada por otro ke no es de Madrid, entonces el
admin llama a ese cliente y le explica la situacion.
Nuestra desesperacion es tal, como si un galapago fueramos atrapados
por cazadores furtivos. Entonces, aplicamos el cuento, sabemos que el
cliente de esa cuenta es de Madrid, y como sabemos ke kualkier nodo cuesta
lo mismo a esa cuenta de Madrid llamamos al nodo de Madrid, y huala!!! Pos
no, ke te crees? que eso iba a funcionar? te ekivokas, para ke sirve
entonces las centralitas de timofonica? Ellos son muy listos y se daran
cuenta de seguida que tu, de Bilbao estas llamando al acceso infovia del
nodo de Madrid estando en otro lugar ke no te corresponde, entonces infovia
te cuelga la llamada y si sigues haciendo esto te van a llamar la atencion.
Entonces, kual es la solucion?.:
a) Aplicarte el cuento, hacerte la idea ke tienes ke llamar a ese
nodo ke te corresponde.
b) Utiliza Linux, es la solucion.
c) Cuando entres en un sistema utiliza un borrador de huellas.
d) Hackear cuentas de tu localidad.
Es lo unico que se me ocurre, aunke seguiremos estudiando y buscando
los bugs de infovia. Ahora vamos a estudiar mas a fondo como es el nuevo
plus.
3. Analisis.
Ya hemos planteado algunas premisas y estamos tan habrientos de
acegecear como el hambre de un leon a la hora de su caza a la liebre. ;)
Vamos a explicar detenidamente como funciona todo esto.
Infovia plus funciona como antes, pero con unos cambios ke realmente
son muy significantes para nuestra seguridad.
El primer cambio ke observamos es el cambio de telefonos:
Antes, con el famoso 055 lo teniamos bien a mano, ahora con sus nuevos 140
nodos nos la jodieron, y entonces ke, nos tenemos ke empollar esos 140
nodos? No hombre, solo la de tu provincia. Bueno, cada localidad tiene un
nodo diferente con un numero de telefono diferente, creo ke esto ya lo
sabes, si no, ahora lo sabes. Timofonica te dice que va a seguir
manteniendo la tarifa metropolitana, pero cuidado, en este aspecto de
precios puede haber cambios. Vale, tb hay ke destacar ke akellas
lokalidades ke no dispongan de nodo, la TTD ofrecera un numero de este
formato: 901 5XX XXX. Me sigues? ;)
LA PRIMERA CONEXION.
Cuando conectamos por primera vez nos sorprende el programita (kit de
acceso a infovia plus) con un mensajito muy simpatico el numero de un
centro servidor. Ahora alerta. Si trabajamos con una cuenta ke no es
nuestra empieza a empollarte todos los numeros que los servidores ofrecen.
Si tu cuenta es de CTV, por ejemplo, y trabajas una de Arrakis, coño,
cuidado. No te ekivoken ke pillan. Ahora el n# del servidor es un
900 353 209 (uy! un numero 900, te suena?). Esto es necesario introducirlo
en el nuevo kit de acceso al pus ese, en las opciones, si. Estas tan
despistado como un buho ke ve el horizonte el amanecer de primavera.
Bueeeno, y ahora ke? Introduces akello del nuevo tlf del servidor, y luego
se descarga de forma automatica la lista de nodos, y se selecciona akel ke
mas nos pueda interesar. ;)
EL ACCESO TELEFONICO.
Bueno, aki me voy a centrar en akel programa tan famoso del
ventanukos, si, si, akel llamado "Acceso Telefenico a Redes". Piensa en
poner a la hora de llamar ese maldito nodo ke nos ofrecen. Ahora debes
joderte un poco. Estas mas liado que un caracol comiendo una lechuga fresca
con el rocio de la mañana.
Es necesario activar el parametro para ke se usen contraseñas
cifradas. Esto no lo digo yo, lo dicen akellos de la timo. Sera ke todavia
no es muy seguro el nuevo plus y por eso nos meten lo de las contraseñas
cifradas? Ke pillines, hemos encontrado el primer bug. XDDD
Debe ser ke sera mas facil de meter sniffers por eso del control
exhaustivo de la red en pekeños agrupamientos. jeje.
FUNCIONAMIENTO.
El proveedor de acceso debe contratar con telefonica el pakete de
Emulacion Infovia + Acceso a internet (eso me suena a estafa, normal en la
timofo). Bueno, entonces me pregunto:
Y si pillamos la emulacion de infovia del servidor nuestro por
ejemplo??. Eso es un paso enorme, pues tendremos mas ventajas para trucar
nuestras llamadas. Otro bug. XDD (esto es una hipotesis, tal vez muy
acertada).
El acceso a internet da un acceso conmutado, esto es, indica con ke
direccion IP registrada debe establecer la conexion. El usuario conmutado
conecta con su nodo de acceso oidentificondose como siempre:
usuario@proveedor y la clave de acceso.
Este nodo de acceso envia esta info al CVCA que comprueba en su base
de datos UE, si el proveedor tiene contratado el servicio Infovia plus
Directo. El CVCA determina la direccion IP del servidor de tuneles del
proveedor y ordena al servidor de comunicaciones (SC) del nodo de acceso
que establezca un tunel con el servidor de tuneles del proveedor.
El SC enruta el protocolo de entunelado correspondiente y establece
el tunel. Me estais pillando por donde voy? Ahora explico como funciona,
pero a base de esto estableced vuestras propias hipotesis ;)
Sigo: El SC vuelve a enviar los datos de identificacion del usuarios,
pero esta vez sera el proveedor donde esta el servidor RADIUS quien
realizara la ident del usuario.
Y yo me pregunto: Donde pongo el sniffer? En el server RADIUS o en el
SC? Por supuesto en el SC , pero no pinteis fantasmas donde no hay, hay
pocas posibilidades de ke esto lo consigais. No creeis que este
procedimiento da mas vueltas ke un herizo de montaña cuando se siente
amenazado? Esta es la oportunidad de pillar datos ke "circulan por al red".
Solo hay ke saber el camino correcto. Bueno, hablemos ke es lo ke pasa con
las IP's.
Los paketes IP, una vez en el proveedor, enrutan la conexion
permanente que provee el servicio UNO_IP Basico con la Red IP, se podran
dirigir a otros ISPs con presencia en esa misma red. Pillais por donde voy?
4. EL PUNTO FINAL.
Bueno, aki akabo con mis cuentos para no dormir.
Doy agradicimientos a:
National Geographic, por haberme emparanoiado con sus historias y parecerme
a Aznan en la serie de " La casa de los lios".
A Pepe, kien es Pepe?, ah! Me he eskivoscao de nombre.
A mi novia (Anubis), por hacerme disfrutar cuando mas lo necesito.
A mis papas, ke no se diga.
A la organizacion Trax, ke kon ellos estoy y seguire estando para aprender
y experimentar, etc.
A la buena vida: Vino y mujeres.
Y por supuesto, a vosotros, akellos ke kreen ke pueden ser el futuro del
underground y ke se da por supuesto ke entre nosotros formamos una gran
hermandad.
Si kieren escribirme para comentar algo razonable, podeis hacerlo en:
chuky666@hotmail.com
Seth "The Shamen". 1998 Dic.
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
****************************
* COMO QUITARSE DE ENCIMA *
* EL TROYANO DEL *
* BACK ORIFICE v1.20 *
****************************
Bien, en este articulo voy a explicar algunas cosas interesantes
experimentadas por mi mismo con el programa BO (Back Orifice).
Este programa ofrece unas grandiosas posibilidades, pero tambien es
vulnerable (como todo, je).
Consta de una parte que es el SERVER (servidor) ;), y otra que es el
CLIENT (cliente), asi que cuando alguien tiene instalado el SERVER en su
maquina, esta puede ser vista por cualquier otra maquina que haya en inet
sabiendo su IP. (y si tiene la contraseña por defecto).
Una vez que se tiene contacto con la maquina que tiene el SERVER
instalado, el CLIENT puede hacer mazo de cosas, lo mejor es que leas el
documento que suele venir con el programa y veras sus posibilidades. (Esta
en ingles pero circulan por hay algunos en español).
******************************************************************************
Bueno todo esto ha sido una pequeña explicacion a grandes rasgos de lo
que es este programa. Ahora viene la jodienda:
Muchas personas estan propagando por inet el programa SERVER de
diversas maneras (lo mas extendido es por el IRC). Y aqui entra en papel el
ignorante internauta que se dedica a ejecutarlo en su maquina creyendo que
que es un autoextractor de fotos X :). Una vez ejecutado ≠SORPRESA!, el
archivo desaparece ®?®?®? otia ®?®?®?, y la pobre victima piensa, (bah, me
habra llegado defectuoso el archivo), y no le da importancia.
Si, pues chaval FELICIDADES acabas de meter un troyano en tu sistema :),
cualquiera que sepa tu IP podra hacer en tu PCera casi lo que le de la
gana. Tas cubierto de gloria :)) (mas bien de mierda que OTROS te han tirao
encima).
Pos ahora te voy a decir los pasos que hace el troyano al ejecutarse:
Pa que lo pilles rapido, el archivo se mueve del directorio donde esta y va
a parar al directorio :\windows\system convertido en (espacio).exe y ademas
en el editor registros (REGEDIT), carpeta RunServices (puede ser que este
en otra carpeta) se incorpora la siguiente linea en DATOS: "(espacio).exe",
para que nada mas arrancar el ventanucos el troyano quede en memoria. Y
diras bah, pos entonces borro el archivo (espacio).exe y yasta.
Si hijo si, prueba y veras, ni flowers, al tenerlo en memoria no deja
borrarlo. Y entonces??, a jodese jejeje.
NO, TRANQUILO HAY UNA SOLUCION (por lo menos a mi me va).
Pero eso te lo dire mas adelante, ahora sigue leyendo....
®Como puedo saber si tengo el troyano en el sistema?
----------------------------------------------------
La manera mas facil que hay es utilizar el programa CLIENT (cliente)
apuntando a la direccion IP 127.0.0.1 que es tu propia maquina, no se
precisa que estes conectado a inet. Cuando ya hallas apuntado a esta IP,
desde el cliente de BO manda un PING, si no te responde nada, vale estas
limpio y no tienes el troyano, pero si te pone algo como esto:
------- Packet received from 127.0.0.1 port 31337 -------
!PONG!1.20!DEFAULT!
------- End of data -------
Opssss, estas jodio, tan colao el troyano...
******************************************************************************
Nota: Si no lo tienes en el sistema puedes metertelo y probar las
maravillas y putadas que te pueden hacer los demas (haciendotelas a ti
mismo) ;) y sin ningun peligro al no estar conectado a inet.
******************************************************************************
Vale lo tengo y estoy muy asustao ®como coño me lo quito?
---------------------------------------------------------
Puede que algunos ya lo hallais descubierto, para mi fue facil, la
verdad. Ya sabemos que al ejecutar el archivo del SERVER, este se convierte
en (espacio).exe y va a parar al directorio :\windows\system. (OJO, hay una
manera de configurar este nombre y es posible que no siempre el troyano sea
el (espacio).exe) Vale, como he dicho antes si intentas borrarlo, nanai, por
que ya esta en memoria, asi que lo mas normal es pensar que puede haber una
linea donde hace que se ejecute el troyano en el archivo SYSTEM.INI o
WIN.INI al iniciar el ventanucos. Pos fui a buscarlo por alli y NOP nada de
nada, lo siguiente que pense es buscarlo en el editor de registros
(REGEDIT), pos palli voy, en el menu pincho: EDICION/BUSCAR/ pongo
(espacio).exe y activo CLAVES, VALORES y DATOS y ≠TACHAN! en una carpeta
llamada RunServices (sigo diciendo que puede estar en otra carpeta) aparece
en DATOS el nombre del archivito ≠YA LO TENEMOS! solo queda eliminar la
linea de DATOS para ello pincha donde pone el NOMBRE (suele ser
(predeterminado)) y eliminalo, (la carpeta no la borres) una vez eliminado
ya puedes cerrar la ventana del editor de registros (Nota: es posible que en
la busqueda aparezcan mas (espacio).exe pero solo debes borrar el de la
carpeta RunServices o otras en las que pueda estar y sepas que es la que
carga el troyano).
Con todo esto hemos conseguido que la proxima vez que iniciemos el
ventanucos no se cargue en memoria el troyano, con lo que ya podras ir al
directorio :windows\system y borrar el archivo (espacio).exe (no lo vuelvas
a ejecutar o se te metera otra vez en el registro). Y por fin te has librado
del troyano.
Creo que hay algunas formas de detectarlo o borrarlo mediante
programas que circulan por inet pero con lo que os he explicado aqui creo
que vale NO?
Pues espero que os halla servido de ayuda este documento y cuidado
con lo que metis en vuestras maquinas ;)
(Si alguien quiere hacer alguna correcion o añadir algo que me lo
comunique por mail, THX)
Un saludo. --- ToMaCHeLi ---
http://members.tripod.com/~tomacheli
tomacheli@geocities.com
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
******************************************************************
** **
** Instalando Bots en el IRC **
** **
******************************************************************
Lo primero feliz año nuevo a todos/as ;). En este texto voy a intentar
explicar como instalar y configurar un bot permanente en el irc, es decir,
que este las 24 horas del dia, 365 dias al año. Para eso me voy a basar en
el eggdrop 1.2.0, que es un bot de unix muy bueno. El codigo fuente lo
podeis bajar de la pagina del canal #hacker_novatos:
http://hello.to/hacker_novatos, seccion Archivos.
Pues bien, como iba diciendo, el eggdrop es un bot programado en C
pero que emplea el lenguaje TCL. Es un bot muy usado, por ejemplo en
undernet. En el irc-hispano segun me han dicho Scytale es un eggdrop
modificado y traducido por Goku. Pues bien, pasemos ya a los requisitos que
necesita un sistema para tener un eggdrop.
1.- Requisitos:
. Necesitas tener una cuenta en algun sistema Unix, que permita hacer
ftps, y que no te anden matando el proceso cada poco. Para esto ultimo
puedes usar tu imaginacion o usar alguna shell gratuita, etc.
. Que el sistema permita compilar con el GCC.
. Que este el TCL, version 7.4 o superior, instalado en la makina.
Pues bien, una vez que ya tengas todo lo necesario tendras que subir
el codigo fuente del eggdrop (eggdrop1.2.0.tgz) al servidor, por ftp por
ejemplo. Si la makina tiene el puerto 21 cerrado haces un ftp a tu ordenata
y lo bajas, si el comando ftp esta desactivado mejor buscate otra cuenta :).
Una vez que tengas el fichero en el servidor, haces un telnet y lo
descomprimes poniendo lo siguiente: "gzip -dr eggdrop1.2.0.tgz;tar -xf
eggdrop1.2.0.tar". Se te creara un directorio con el nombre eggdrop1.2.0 (Ya
se que lo estoy explicando todo, perdonenme los que controlan un poco de
unix ;). Bueno, pues entras a ese directorio y pones "./configure" para que
cree los archivos necesarios para la compilacion. Despues de que acabe pones
"make" para compilarlo (todo esto sin las comillas claro). Bueno, si todo
ha ido bien se te creara un ejecutable llamado eggdrop. Tb habra un archivo
de configuracion llamado eggdrop.conf, renombralo a otro nombre mas comodo,
como por ejemplo conf a secas (mv eggdrop.conf conf), y le das permiso de
ejecucion con chmod +x conf. En la version 1.2.0 hay un bug en la
instalacion, y es que los modulos tendrian que estar en el directorio
modules, para corregirlo creas un link con "ln -s . modules", estando en el
directorio donde esta el binario eggdrop. Pues bien, ahora vamos a ver el
fichero de configuracion.
2.- Fichero de configuracion.
Si hiciste lo que dije antes el fichero se llamara conf, lo editas
con tu editor favorito (vi por ejemplo). La primera linea sera algo parecido
a: #!/path/to/eggdrop, ahi tendras que poner la ruta completa al ejecutable
eggdrop, por ejemplo #!/home/pepe/eggdrop1.2.0/eggdrop. Luego viene el
apartado General Stuff.
2.1.- General Stuff.
Vayamos linea por linea (Las que no sean importantes las saltare de
comentar).
set nick "Lamestbot" --> Aqui esta el nick que tendra el bot en el irc
set altnick "Llamabot" --> Nick que tendra si el primero esta ocupado
set username "lamest" --> Informacion que saldra al hacerle un whois
set realname "/msg LamestBot hello" --> Informacion que saldra al hacerle un
whois
set admin "Lamer <email: lamer@lamest.lame.org>" --> Nombre y email del ad-
ministrador del bot
set learn-users 1 --> Lo comentare mas adelante, dejarlo en 1.
set servers { --> Aqui hay que poner la lista de servidores a la que
se conectara el bot, si uno falla salta al
siguiente, y asi.
irc.arrakis.es:6667
irc.jet.es:6667
}
Al final de este apartado viene lo de los versions, userinfos,etc.
Aqui podeis poner algo de este tipo, para que pase desapercibido.
# several variables exist to better blend your egg in. they are
# ctcp-version, ctcp-finger, and ctcp-userinfo. you can use set
# to set them to values you like.
set ctcp-version "Mirc 5.41"
set ctcp-finger "Mirc 5.41"
set ctcp-userinfo "Mirc 5.41"
2.2.- Channel Protection.
Aqui es donde se le indican los canales a los que entrar, las opciones
,etc. Al principio por defecto estaran los canales #botcentral y #lamest.
Para borrarlos borra estas lineas:
channel add #lamest {
chanmode "+nt-likm"
idle-kick 0 --
need-op { putserv "PRIVMSG #lamest :op me please!" } l
need-invite { putserv "PRIVMSG #lamest :let me in!" } l Todo esto es lo
need-key { putserv "PRIVMSG #lamest :let me in!" } l que dira en el
need-unban { putserv "PRIVMSG #lamest :let me in!" } l irc si necesita
need-limit { putserv "PRIVMSG #lamest :let me in!" } l op, una key, etc.
} --
channel add #botcentral {
chanmode "+mntisl 1"
idle-kick 1
}
channel set #botcentral +bitch +clearbans +enforcebans -greet +revenge
Y tendras que comentar con un "#", todas estas:
channel set #lamest -clearbans
channel set #lamest +enforcebans
channel set #lamest +dynamicbans
channel set #lamest +userbans
channel set #lamest +autoop
channel set #lamest -bitch
channel set #lamest +greet
channel set #lamest +protectops
channel set #lamest +statuslog
channel set #lamest +stopnethack
channel set #lamest +revenge
channel set #lamest -secret
channel set #lamest -shared
Pues bien, ahora que ya esto todo limpio vamos a crear nuestro canal.
Imaginemos que nuestro canal se llama #micanal, y que queremos que el bot
este todo el dia en ese canal. Lo primero sera añadir al fichero algo como
esto:
channel add #micanal {
chanmode "+nt-likm"
idle-kick 0
}
No importa donde lo añadamos, siempre que es en la seccion de Channel
Protection. Lo del chanmode es los modos que queremos que tenga el canal.
Una vez que este creado el canal habra que añadirle las opciones que son
todas estas:
.clearbans: Quita todos los bans cuando el bot entra al canal
.enforcebans: Si por ejemplo alguien banea a una persona, el bot le kickea
automaticamente.
.dynamicbans: Guardar que la lista de bans no sea demasiado larga, por
ejemplo, quita bans de gente que no estan en el canal y si
vuelven a enles pone el ban otra vez.
.userbans: Permite poner bans directamente (sin ser a traves del bot).
.autoop: Les da op a los que tienen el flag +o automaticamente al entrar al
canal.
.bitch: Solo los usuarios registrados en el bot con el flag +o pueden tener
op.
.greet: Dice el user's info de un usuario cuando entra al canal.
.protectops: Si alguien con el flag +o pierde el op, se lo vuelve a dar.
.statuslog: Logea el status del canal cada 5 minutos.
.stopnethack: Si alguien entra con op al canal, por ejemplo de un netsplit,
el bot se lo quita.
.revenge: Si alguien le quita el op al bot, y luego lo recupera, le baneara
del canal.
.secret: El canal sera secreto.
.shared: Esto no se lo que es XD.
Una vez que tengas elegidas las opciones las declaras con una linea de
este tipo: channel set #micanal +bitch +clearbans +enforcebans -greet
+revenge, poniendo tu las opciones que quieras claro.
Luego ya viene las opciones de Logs, que lo configuras a tu gusto, y
de directorios y de File system, que sirve para hacer una especie de ftp
con el bot, que si quieres usarlo pues investigas :) (este texto solo
explica lo basico).
2.3.- Startup, Modules y BotNet.
En el apartado Startup tendras que comentar(#) la linea que pone:
dice "Please edit your config file." , por razones obvias :).
En el apartado de los Modulos pues lo dejas como esta. Y en el de
botnet hay una opcion que pone listen 3333 all, asi si por ejemplo el bot
esta instalado en makina.com, y haces un telnet a makina.com al puerto 3333
pues podras manejar el bot igual que si estuvieras en el irc.
3.- Arrancando el bot por primera vez.
Por fin! :D, una vez que ya esta todo configurado arrancaras el bot
con el comando ./conf -m. Si todo va bien se conectara al irc y entrara al
canal #micanal. La primera vez que arranca es especial, ya que el que le
haga un query y le ponga la palabra "hello" pasara a ser el dueño del bot,
asi que ya sabes.. a poner hello :). Una vez que lo hayas puesto el bot te
dira que elijas un password, lo eliges. Una vez que ya esta todo matas el
proceso del bot, la pid la guarda en un fichero llamado pid.conf o algo asi.
Despues editas de nuevo el fichero conf y buscas la linea set learn-users 1,
y lo cambias por 0. Esta linea lo que hace es habilitar lo del hello, y
ahora que ya eres el dueño pues la desactivas :). Para arrancar el bot otra
vez pones ./conf simplemente, lo del -m solo hace falta la primera vez.
4.- Manejando el bot desde el IRC.
Pues hala, ahora que ya ta todo toca manejarlo, añadir usuarios, etc.
Hay varios tipos de usuarios por defecto, el +n sera el owner del bot (el
jefe), y podra ejecutar todos los comandos, asi como cambiar la
configuracion. El siguiente sera el master +m, que podra ejecutar casi todos
los comandos, añadir usuarios,etc., el op +o, es el que puede pedir op al
bot, y este se lo dara, pero no puede ni añadir usuarios, ni nada.
Para manejar el bot hay varios caminos, esta el query para usuarios
normales (+o), ya que tiene muy pocos comandos, y el dcc, que trae muuchos
mas comandos y que es para el +m y el +n. (Tb esta el telnet, pero es igual
que el dcc). Para el dcc le haces un dcc chat normal al bot, lo que pasa
que una vez dentro es una especie de partyline con los otros usuarios
conectados al bot, por lo que los comandos siempre iran precedidos de un
punto,ej: .help,.kick,etc. Con .help comando aparace una ayuda mas
detallada del comando en cuestion. Aqui pongo una lista de comandos sacados
de un articulo muy bueno de Axl.
Comandos de uso Comun:
op |nick| : Da op al Nick indicado.
deop |nick| : Quita op.
+ban |nick| : Banea a Nick.
bans : Nos muestra la lista de Bans en el
canal.
-ban |ban_num| : Unbanea el numero de ban
indicado.
who : Muestra la gente conectada al Bot.
bottree : Muestra el árbol de Bots.
note |nick| #comentario# : Le escribe a Nick
una nota.
notes read : Lee las notas que te han escrito.
notes erase : Borra todas tus notas.
newpass : Cambia tu password.
kick |nick| : Echa del canal a Nick.
kickban |nick| : Echa y Banea a Nick.
info #comentario# : Guarda tu comentario y lo
dice cada vez que entras en el canal.
Comandos para el Mantenimiento (solo para +m)
chattr |nick| +/-flags : Cambia el status del
usuario en el Bot, Ej: ".chattr tDyK +n" hace
que el user tDyK pase a ser owner del Bot.
adduser |nick| Hace que Nick sea usuario del
Bot, por defecto sin privilegios. El Usuario ha
de estar en el Canal.
set |setting| flag : Cambia alguno de los sets
internos del Bot. Si no ponemos el flag nos
muestra el que tenga. Ej: ".set log-time 0"
save : Guarda los cambios (de settings, de
usuarios...) que hayamos hecho en el Bot. Por
defecto guarda estos cambios cada hora.
boot |user| : Echa a User del party line del
Bot.
status : Muestra el estado actual del Bot.
dccstat : Muestra las conexiones via DCC que
tiene el Bot actualmente.
rehash : Vuelve a cargar el fichero de
configuraci=n
die : "Mata" al Bot. Solo +n
jump : Hace que el Bot salte al siguiente
Server en la lista de servers.
Si tanto comando te lia, para añadir un usuario al bot, haz
simplemente esto: hazle un dcc chat al bot, una vez dentro pones .match *
para ver todos los usuarios que hay registrados en el bot, si por ejemplo
quieres añadir a uno con el nick JUAN, pones .adduser JUAN, y luego .chattr
+o JUAN. Ya esta, ahora JUAN debe hacer esto otro: hacerle un query al bot
y poner: pass miclave, la clave pone la que quiera claro. Luego para que el
bot le de op le hace un query y pone op miclave. Como al principio el bot
solo guarda una mask de JUAN, si este entra un dia con una mask distinta el
bot no le reconocera, para añadir la nueva mask debe poner ident miclave, y
luego ya op miclave. Nota: Para añadir a alguien el usuario debe estar en
ese momento en el canal.
Nota: Todos los passwords estaran encriptados, de forma que ni el
administrador sabra que clave eligen los usuarios.
5.- Formas de caskar un eggdrop.
Hay varias formas de colgar un eggdrop, la mayoria son
sobreescribiendo un buffer, armando un lio impresionante que el sistema no
es capaz de arreglar.
5.1.- Note command: el comando .note sirve para mandar una especie de
mails entre los usuarios del egg. Pues bien, si alguien hace un .note
aaaaaaa(bastantes a's)@dummy, el bot se cuelga.
5.2.- Ban command: lo mismo pero con el comando +ban; .+ban aaaaaaa...
5.3.- Jump command: .jump irc.arrakis.es 6667 aaaaaaaaaaaaaa...
5.4.- Mkdir command: .mkdir aaaaaaaaaaaaa... funciona aunque no tengas
permiso para crear directorios.
6.- Despedida.
Pues venga, ya me voy. El articulo es un poco basico, pero es que el
eggdrop es muy amplio, tendras que investigar lo que keda por tu cuenta ;).
Hala, un saludo a toda la peña del #hacker_novatos, en especial a Sp4rk,
ulan, kr0n0, RiSeHack, ^NewBie^, Freedom, Asturcon y a Conde Vampiro ;). Ah,
y un saludo a mi novia. Byes.
Nota: Ya se que el articulo se sale un poco de lo que es el hack en
si, pero crei que podria ser util a alguien.
PoSiDoN
hacker_novatos@hello.to
http://hello.to/hacker_novatos
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
|\/|-----------------------------|\/|
<Ingenieria Inversa en PSION Serie 3>
|\/|-----------------------------|\/|
Me he dedicido a escribir este articulo por 2 motivos principalmente,
que son los siguientes:
1- Para que aprendais ingenieria inversa.
2- Para hablar sobre esta maquina, la Psion Serie 3 (en mi caso, aquellos
que me conozcan saben que adoro mi modelo 3c) y ademas tambien un vistazo
a su lenguage parecido al Basic llamado OPL.
Todavia no he visto en ningun medio tanto electronico como en papel,
que haya tocado este tema de esta forma ;-) Ademas la ingenieria inversa es
una parte muy importante para todo hacker que se precie, si realmente quiere
aprender algo. ADVIERTO QUE ESTE ARTICULO ES SOLO PARA FINES EDUCACIONALES,
EN NIGUN MOMENTO SE PRETENDE ENSEñAR A LA PIRATERIA INFORMATICA.
Como ya he dicho yo tengo el modelo 3c, la serie 3 tiene el s.o.
conocido EPOC16 (logicamente 16 bit), aunque la marca Psion hace ya tiempo
saco su serie 5 con EPOC32, la cual tambien es una fantastica maquina (si
alquien no sabe de que estoy hablando, los Psion Serie 3 y 5 son PDA, eson
pequeños ordenadores de mano con los que se pueden hacer maravillas, desde
guardar nuestros datos, procesador de textos, hoja de calculos, enviar
mails y muchas mas cosas ... Date una vuelta por http://www.psion.com
Empezamos por lo mas basico, como ya he dicho la Serie 3 tiene un
lenguage conocido como OPL, es realmente util, potente y como ventaja es
el unico lenguage en el cual podemos desarrollar directamente en el Psion
sin la ayuda de un PC. El Psion Serie 3 cuenta con varios lenguages como
C (conocido como SIBO) o incluso podemos conseguir en Internet un
compilador ASM de la familia 8086. La Serie 5 es compatible con C++ y se
esta trabajando para que tambien sea compatible con Java.
Bien, imaginemos que estamos escribiendo un programa en OPL, yo para
este articulo he escrito una pequeña calculadora con las tipicas operaciones
ademas os sera muy util para familiarizaros con la programacion en OPL. Aqui
esta la pequeña calcu :)
------------ Codigo Fuente ---------------------------------------------------
REM Calcu.opl
REM
REM Conde Vampiro
REM - J.J.F. / Hackers Team -
REM 17/1/99
REM Todos los derechos reservados por - J.J.F. / Hackers Team -. 1999.
REM
REM Calculadora basica para Psion Serie 3.
PROC calcu: REM Como el Main en C.
GLOBAL num1%,num2%,total% REM Declarando variables.
LOCAL opto$(1) REM " "
PRINT "Introduce 1 numero:" REM Imprime en pantalla.
INPUT num1% REM Para introducir datos.
PRINT "Introduce 2 numero:"
INPUT num2%
PRINT "Introduce un signo +,-,*,/:"
INPUT opto$
IF opto$="+" REM Condicional IF.
sum: REM Llama al procedimiento sum
ELSEIF opto$="-"
res: REM " " res
ELSEIF opto$="*"
mul: REM " " mul
ELSEIF opto$="/"
div: REM " " div
ELSE
GET REM Espera a que se pulse una
ENDIF REM tecla para finalizar.
ENDP
PROC sum: REM Procedimiento suma.
total%=num1%+num2% REM Realiza una suma.
PRINT total% REM Imprime el resultado.
GET REM Finaliza programa.
ENDP
PROC res:
total%=num1%-num2%
PRINT total%
GET
ENDP
PROC mul:
total%=num1%*num2%
PRINT total%
GET
ENDP
PROC div:
total%=num1%/num2%
PRINT total%
GET
ENDP
------------ FIN -------------------------------------------------------------
No os podeis quejar, os he dejado bastante comentado el programa para
que no tengais ningun problema con el lenguage OPL, que quede constancia
que este articulo es para daros base en la ingenieria inversa sin importar
la plataforma.
Ahora que ya tenemos escrito nuestro programa lo compilamos, aunque
realmente lo estamos "traduciendo" para que la maquina lo pueda entender.
Cuando escribimos un programa la extension del fichero en codigo fuente es
.opl y cuando es traducido que lo podemos hacer de 2 formas, quedara como
.opo (para programas) y .opa (para aplicaciones). Cuando digo que lo
podemos traducir de 2 formas, es que podemos traducir en exclusiva para el
modelo 3c o para cualquier modelo 3.
Para los que estan algo despistados, aqui pongo una lista de lo que
necesitamos:
- Un Psion (modelo 3 preferiblemente)
- Un Pc
- El cable y software de conexion entre PC y Psion.
- Programa REVTRAN 4.2/4.2a (Para descompilar)
- HEXVIEW v.1.00 (Hexaeditor)
- Y muchas ganas de aprender ;-)
Hasta aqui todo claro. Ahora debemos pasar el programa RevTran (que
tambien esta escrito en OPL) al Psion usando el software de conexion.
Llegados a este punto, creamos un directorio en el Psion llamado \APP y
alli metemos los programas que queremos descompilar, este es el directorio
por defecto del RevTran, alli tambien debemos meter el fichero RevTran.tbl
que acompaña al Rvtrn3.opa (ejecutable)
En mi caso he metido mi programa calculadora en el directorio donde
vamos a trabajar \APP. Ahora ejecutamos el Rvtrn3.opa y nos saldra una
ventana en nuestra pantalla del Psion el la cual pone el nombre del
programa, version, autor, etc ... le damos a Enter, y nos encontramos con
otra ventana con un menu que pone: Open File, About, Exit. A nosotros nos
interesa la primera opcion, la escogemos. Nos saldra otra ventana para
escoger el fichero que queremos abir, aqui escogo Program.opo (mi
calculadora, que esta compilada) y saldra otra ventana con el menu que nos
interesa, con las siguientes opciones:
#Write OPL: Para descompliar el programa a codigo fuente OPL.
#Show File Details: Muestra diversa informacion del ejecutable.
#Open Another File: Por si queremos cambiar de ejecutable.
#About: Informacion sobre el programa RevTran.
#Exit: Para salir del programa RevTran.
Escojo la opcion Show File Details para que me muestra la informacion
de mi calculadora y sale lo siguiente:
============
Input File Details:
File type: S3 OPO <- Ejecutable para Serie 3
Pathname: LOC::M:\APP\PROGRAM.OPO <- Programa ejecutable
Main PROC: Calcu: (1 of 5) <- Numero de procedimientos
Original OPL: LOC::M:\OPL\PROGRAM.OPL <- Nombre original
Translator version: 1.10F
Required RTI version: 1.10F
============
Podemos ver que funciona de maravilla, basta que repasemos el
codigo fuente y comparemos con el resultado. Ya conocemos la informacion
que nos sera necesaria, ahora le damos a Write OPL, para comenzar a
descompliar. Nos saldra otra ventana con lo siguiente:
============
File: Rtprogram.opl <- Como queremos llamar al fichero descompliado
Disk: Internal <- Donde se haya el ejecutable, aqui en el HD M:
Module type: OPO <- Tipo de ejecutable OPO u OPA
Text features
First PROC 1
Last PROC 5
============
Le damos a Enter y veremos una ventana en la cual se comienza a
descompilar el programa, para mi calculadora ha tardado 2 segundos +o-,
logicamente los programas en Psion son muy pequeños, pero no por ellos
malos, todo lo contrario ;-) Ahora ya esta descompilado y nos saldra el menu
de Write OPL, Show File Details, Open Another File, About y Exit, como
ya no quiero descompliar ningun progama mas elijo Exit. Y ya tenemos el
fichero descompilido en el directorip \OPL (Aqui es donde se guardan el
codigo fuente de los programas.)
Podemos ver gran parte del codigo fuente si ejecutamos, por ejemplo
el hexaeditor, el cual nos sera muy util para aplicar ingenieria inversa.
Conviene que jugemos un ratito con el hexaeditor para cojerle el truco y
luego nos sera de gran utilidad.
Como hemos visto es realmente facil romper la seguridad de un programa
escrito en OPL, pero tranquilos que existe otro programa llamado
ReverseMeNot 1.0, para impedir que se pueda aplicar la ingenieria inversa
tambien es gratis y disponible por Internet :) Si queremos escribir
aplicaciones para Psion en OPL, debemos tener cuidado de no meter password,
numeros de visas o informacion privada sin proteger correctamente nuestro
programa, lo mas aconsajable es utilizar algun software que proteja nuestro
codigo mediante encriptacion y ademas usar tecnicas anti-debuging.
Bueno ya solo me queda decir unas cuantas cosillas, primero que
existen varios emuladores Psion 3a para el PC, que yo sepa solo para
Windows aunque existen varios programas en Linux para trabajar con el
Psion. Incluso se esta desarrollando el proyecto PsiStack, para montar
TCP/IP encima de la Serie 3. Todo esto lo podemos buscar por Internet
mediante los buscadores. Por otro lado esto a sido una pequeña introduccion
a la ingenieria inversa, aunque para este articulo he utilizado una
plataforma poca conocida, es simplemente para daros base y poder aplicarselo
al Linux o NT, utilizando herramientas especiales, hexaeditores, etc...
Mi consejo, es que busques un emulador de Psion para el PC y aprendas
algo nuevo y despues OPL, etc ... Y ahora me diras y para que ??? Pues
simplemente por aprender, quien sabe si algun dia las maquinas Psion seran
un estandar :)
Byes all y hasta la vista !!
CONDE VAMPIRO
- J.J.F. / HACKERS TEAM -
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
/=====================\
<>ATAQUE INDIRECTO A NTFS<>
\=====================/
Bueno compañeros, he decidido despues de algun tiempo escribir algo,
quizas no sea muy grande, pero seguro que es mejor que nada, seguir asi...
Un calambre para J.J.F. HACKERS TEAM
ATAQUE INDIRECTO A NTFS
Por Perro Bombardero. /H/P
Bueno chavales "como diria Torrente", primero me presentare en
sociedad, soy Perro Bombardero, un "Hack" o algo asi, la verdad es que me
obsesiona la seguridad de los sistemas, los sistemas, los ordenadores, los
servidores y toda puta maquina que tenga algo electronico dentro... Ya decia
mi madre cuando era pequeño, este chaval no deja un juguete entero, siempre
quiere ver que tiene dentro...
Aclaracion:
Ni soy escritor, ni redactor y ademas escribo con faltas de
ortografia, lo siento. Este articulo es de nivel basico o sea que quizas no
aprendas nada nuevo o quizas si, de todas formas seguro que hay a quien si
le sirva de algo. Ni que decir tiene, que este articulo es de sumo interes
educativo y que no debe usarse con fines maleficos o delictivos y todas
esas cosas...
Aqui esta la historia de un desengaño: Cuando consegui el ventanukos NT 4.0. Dije, ≠esto es la leche!, claro
comparandolo con ventanukos 95/98 es la leche. Estaba en la biblioteca de la
Uni. conversando con un amigo sobre mis sensaciones usando NT.
Puesta en escena:
Dos amigos en la biblioteca con libros de seguridad en redes abiertos
y deborandolos a bocados.
- Perro Bomb. He formateado el disco con NTFS, ahora mis archivos no
pueden ser vistos por nadie desde el DOS, es mas, DOS
ni siquiera ve la particion del NT.
- Trancos. Pues aqui pone que hay un programa que se llama Ntfsdos
que cargandolo sobre MS-DOS te permite ver las particiones
y copiar archivos.
- Perro Bomb. Se estudiara.
Aqui estan los resultados:
Cierto, el programa se llama Ntfsdos, y permite realizar lo comentado.
En la red he encontrado dos versiones una un poco caca, solo permite ver
algunos directorios, no precisamente los interesantes :-(.
El otro si que permite ver todo, todo, todo... Se llama igual Ntfsdos y le
acompaña Ntfshlp.vxd.
Bueno y la pregunta del millon, para que me sirve todo esto, pues
chaval "o chavalita" esta claro para espiar. Puedo robar todos los archivos
que quiera. Quizas el mas interesante sea sam. tiene todas las password del
sistema.
Como realizar el ataque a un sistema NT, con acceso fisico.
1° Realizar un disco PATA-NEGRA de arranque DOS "cualquier soporte",
no debe faltar:
- Archivos basicos de arranque command.com, Msdos.sys...
- Editor del dos
- Attrib
- Ntfsdos, Ntfshlp.vxd
- Delpart
- Cualquier aplicacion que nos facilite la labor... :-)
Pregunta, ®Porque necesitamos un disco de arranque?
Porque, alguien sabe decir el porque, no!, bueno os lo dire,
ventanukos NT tiene algunas cosas buenas o malas segun se mire. Una de ellas
es que no deja acceder a las aplicaciones de forma directa al hardware. Esto
impide que muchos programas puedan actuar, a pesar de poseer una consola de
MS-DOS chula, bastante chula "a mi entender", no podran hacer nada. Hay que
evitar la carga de NT.
2° El sistema que queremos burlar debe tener una disquetera de 1,44'',
un Zip un CD-ROM, lo que sea pero que te permita arrancar el sistema antes
de comenzar la carga del sistema operativo "osea, que este activa en la
BIOS una opcion de arranque distinta a C ONLY".
Si el sistema no nos permite el auto arranque con ninguna unidad salvo un
H.D. estamos levemente jodidos. Si esta opcion esta activa lo mas seguro es
que el acceso a la BIOS tenga password, si es asi estamos bastante jodidos.
En este punto entra en juego nuestra mente.
Opcion 1 "No tenemos cuenta alguna para acceder al sistema":
Nuestro objetivo es borrar el password del BIOS para ello debemos
abrir la carcasa, quitar la pila que mantiene la BIOS, en su defecto,
cortocircuitarla a lo bestia o utilizar los terminales apropiados que tiene
la placa para esto. Si la placa tiene memoria FLASH "no pierde la
informacion a pesar de no tener alimentacion, debe poseer unos terminales
cerca de la pila para poder borrarla". El inconveniente de este sistema es
claro, quien puede abrir el ordenador y ponerse de maniobras eh!!! Ademas
el administrador o propietario del equipo se dara cuenta de que su sistema a
sido abierto, su password a desaparecido del BIOS y la configuracion
original a cambiado. La solucion seria poner otro password y el tio cuando
intente entrar que se joda, jijijiji seguro que se pone }:-o> en fin, que
dura es la vida. Pero que no se os olvide poner C ONLY, igual asi piensa
que se le ha ido la olla al BIOS.
Otro problema que podria presentar el sistema que violamos levantando
la carcasa del ordenador, es que posea una SMART BOARD. ®El que? Si hombre
si, una placa inteligente, no os preocupeis os hartareis de comer el
palabro SMART "SMART CARD, SMART ENGINE..." Estas placas posen algun
fototransistor o fotodiodo que detecta variaciones de luz, y cuando quitas
la carcasa del ordenador estando encendido "logicamente" este avisa al
administrador de red, siempre y cuando posea el software adecuado. Joder,
pero quien abre el ordenador estando encendido, eso digo yo, ®quien? Teneis
que tener en cuenta que ademas de avisar de esto el ordenador, avisa que
esta encendido, si se apaga el administrador puede presentarse alli y
preguntar por que esta apagado el ordenador. Bueno esto es un poco rayante,
pero hay empresas en que controlan todo, todo, todo. Osea cuando entras a
mear, tomas el cafe etc... Un sistema de SMART CARD que controla todo el
edificio, como os decia hasta la puerta del retrete... Perez este año ha
pasado 69h en el retrete, esta despedido por escaqueo...
Opcion 2 "Tenemos cuenta en NT o el sistema tiene mas de un S.O.":
Si el ordenador esta conectado en red "LAN o Internet, o tenemos
correo electronico." podremos llevar algun programa hasta la maquina que nos
permita saber la password del BIOS, el mayor problema es que estos programas
no suelen funcionar sobre NT, al acceder de forma directa al hardware. Bueno
que tendremos que buscar uno de los buenos, para NT. Pero quien coño hace
programas para NT. Si tenemos arranque multiple y podemos cargar win95/98 u
DOS, pues mejor, pero sera muy dificil que suceda esto.
Si conseguimos la password pues nada, arrancamos el sistema, permitimos el
arranque con disco, activamos la disquetera, la opcion de poder escribir en
disco de 1,44 etc...
Opcion 3 "Joder, pero si yo trabajo en un terminal sin disquetera, ni CD
ni Na de Na":
En este caso, estas muy fastidiao, pero que muy fastidiao, tendras que
usar la red para llevar hasta ti los programas, pero si no tienes DOS o
ventanukos 95/98 en tu H.D. puffffffff!!!!! Esto ya es una operacion de
espionaje militar o industrial. Ademas luego tienes que llevarte la
informacion, y como no sea el fichero de password o algo muy pequeño, chungo
"lo largas por mail". Montale una disquetera al ordenador o ponle un ZIP
portatil, pero esto te va a ser imposible, porque si tienes cuenta de
administrador todo esto no lo haces verdad, es por que no tienes cuenta o
tienes cuenta de usuario. No puedes instalar el soft de control para los
cacharritos. Ohh!!!!!! :'(. Bueno no siempre es posible, quien dijo eso de
que no siempre es posible, quien, pues si piensas asi quizas no llegues a
Hacker.
Hay una solucion, rula por ahi, por donde, si por ahi "Internet", un
programa que con la cuenta de usuario normal, una vez dentro, lo ejecutas,
reinicias y cuando regreses, you see the paradise, eres administrador,
Ohhhhhh 8-D. Esta claro que en los registros de seguridad de ventanukos
aparecera tu nuevo rango de administrador, osea, que tendras problemas.
Tienes que borrar los registros y antes de cerrar la sesion cambiarte a
usuario normal "borrar el registro despues de actualizarte a usuario normal,
hasta que no cierres la sesion no pierdes los derechos de administrador".
Si trabajas sobre un NT server la cosa ya es mas chunga, a demas si NT
tiene el ultimo service pack, no creo que funcione. En fin, todo esto es
hablar por hablar por que no lo he experimentado. Utiliza la opcion 1 o la 2
si no controlas mucho. No manipulas registros ni tienes que enfrentarte al
sistema, asi le robas la cartera sin que se entere ;-)
Bien si ya tienes acceso al H.D. puedes robar todos los fichero que
quieras, el mas importante es sam.
Algunos datos sobre los ficheros de password de NT y Unix
- NT 4.0 algoritmo hash MD4 0-128 caracteres Unicode como maximo.
- NT 4.0 Lan Manager algoritmo DES 0-14 caracteres estandar OEM.
- Rutas de los ficheros, winnt\system32\config\sam, winnt\repair\sam
- Unix algoritmo crypt(3) sobre el estandar DES 0-64 caracteres.
Rutas de los ficheros, etc/passwd
Los ficheros de password no pueden ser copiados desde dentro del
sistema, por eso hemos preparado toda la movida anterior, quizas pueda
haber programas que lo hagan pero con los ultimos service pack y los
futuros esto se complica. Si no tienes cuenta que te permita instalar
programas es dificil y seguro que dejas huellas.
Una vez que tenemos el fichero, le someteremos a un ataque por fuerza
bruta o diccionario. Hay muchos programas en la red, quizas escriba una
comparativa algun dia y explique el manejo. Pero ya sabes que tu tambien
puedes hacer algo...
Aqui teneis algunas direcciones guapas sobre NT, de donde habran
salido :-)
http://l0pht.com/
http://207.98.195.250/ (Rhino9)
http://www.ntshop.net
http://ciac.llnl.gov/ciac/ToolsUnixSig.html#Md4 Codigo del MD4
Si quereis contactar con migo
perrobomb@mixmail.com
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>
mQGiBDavomURBADVOcCWBm7LMogohrL6GfPj7OAo+nOuMP5U35HgPfI5N2g/4GsR
IbwACzWYKPnbWTyHbu1bmY76evfvNy4XVYkqf8z0/X2l5wKqBL2+hwzndMpju3Ne
/bpTVwddb7U//BoPXoJa+gn3vfEsfPgqWTRuHQOLUgZnwZl1UfjLj5TASQCg/4a4
0BZb2JHSB4+H0w+IU8J5ZAsEAM7ZbUeYwbDtFxYqCPn1K758QIN459ILD1XD0CCv
IzVk0Uze5rJZdqeEZeR/ptdaDZ5KIIzRQMuYU5Nw713BDnm+EYnX0e/w4uvmsDPl
N/a0AMZ2xlHhG3TMzcuRiwFqsPgYr4yvnezDs0VDq+XOphlV3zfcjBBBBdIqRZRs
rUY+BACcar8Pha4x96P0PnJ/gyRiix6gAoNkYwz69Qu+qKRinCzQlwErhjC3tnRi
W6vKV0f8984823EeeZsKcT8EVug6yLdgStAzvYz3JkieD2fNYzZoPS7jYICMi7oB
I6B0TphDn2GEo6266EOW7OUi1W6FwoVaYO8uoT3f6bgqNvfY47QoUGVycm8gQm9t
YmFyZGVybyA8cGVycm9ib21iQG1peG1haWwuY29tPokASwQQEQIACwUCNq+iZQQL
AwIBAAoJELV3jtXOpHIvgaYAn3FymRGA7tdSN0oCIRxA8L5VorSEAJ9SN2YRjXbr
nX8cgSQgsWV6ZMuGrbkCDQQ2r6JlEAgA9kJXtwh/CBdyorrWqULzBej5UxE5T7bx
brlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/cdlJP
PT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaClcjrU
GvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD8KVb
GI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZyAcp
esqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAggAoOzJ
0uxcSJIdvT+k0SyH13A3kvXtwyC7BV1QDm1gLGcxUCbEzujWtjW64gQnVxeE73CO
MgsCV4b0X94WZQhSG6WW5SYfcBk300LyxMCFN9pLlSJuKTKBsgbVtm8yuKNkKEk6
iT8SywgllC6Np3+nmqm7G/ahI+a8FGKn6Udstb0z8sThwhq9vTI57ly+O2rHkbBj
lmyd/OSwk6weHoCfdLMP2UVkS3sHYrrrnxj76hMOvAm3kN7DccZ4NtXaUIuCfOn6
2ikH6y/XuDkC3t9n3YaD1csQ+KcXP8K6y6w/Lxow/wvcgKIv1ji0bwv4NZxQL60C
omZD2D0+b5jhO4D5g4kARgQYEQIABgUCNq+iZQAKCRC1d47VzqRyL+T9AKCxrzBm
2dcXkezTaQ5ZFKklhukpUgCaAvtn4UBzsG1pjCgDnSreR/EOF+0=
=DCFX
-----END PGP PUBLIC KEY BLOCK-----
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
----------------------------
|Zhodiac's Sockets Lesson (I)|
----------------------------
Aqui empiezan una serie de articulos que espero que os sean de
utilidad para adentraros y comprender el apasionante mundo de los sockets.
Cada numero vendra acompañado de uno o varios programas en el cual pondremos
en practica todo lo visto anteriormente. Supondre que teneis unos
conocimientos de C y un *nix con el que podais probar todo lo aqui
explicado.
Empezaremos desde un nivel basico (clientes tcp) pero, espero que en
pocos articulos, nos pondremos a estudiar las cabeceras de los paquetes.
Una breve introduccion acerca de los sockets no vendra mal. Existen
dos tipos de sockets:
- Servidores: Escuchan en un puerto peticiones de conexion por parte de los
clientes.
- Clientes: Son los que se conectan a los servidores al establecer la
conexion.
Para que una conexion tcp se de, deben existir un socket cliente y uno
servidor. El cliente hara una peticion de conexion a un determinado puerto,
y si un servidor esta escuchando en dicho puerto este aceptara la conexion.
En caso contrario la conexion sera rechazada.
El programa que acompaÒa este numero sera un sencillo, y facilmente
logueable, escaneador de puertos tcp. El protocolo tcp esta orientado a
conexion y nos asegura que todo lo enviado a traves del socket llegara a su
destino, en contraposicion con el protocolo udp que no esta orientado a
conexion y hay que idear algun metodo para verificar que toda lo mandado a
traves del socket llega (vease el protocolo TFTP).
Creo que explicando el codigo sera la mejor y mas facil manera de
comprender los clientes tcp.
La parte que nos interesa sera la que esta dentro del bucle for:
struct sockaddr_in direccion;
/*
* sockaddr_in tien una estructura tal que asi:
*
* struct sockaddr_in {
* short sin_family;
* u_short sin_port;
* struct in_addr sin_addr;
* char sin_zero[8];
* };
*
* El primer campo es la familia de direcciones. Como vamos a utilizar
* sockets orientados a conexiones en internet o red local, utilizaremos la
* familia de direcciones AF_INET (protocolos de ARPA Internet). Tambien
* existen otro tipo de familias de direcciones como AF_UNIX (protocolos
* internos de Unix), AF_ISO (protocolos ISO), AF_NS(protocolos de Xerox
* Network Systems) y AF_IMPLINK (capa de enlace IMP "anfitrin en IMP").
*
* El segundo campo (sin_port) es el numero de puerto, en fomato network.
* Para pasar del formato que use un SO al network (big-endinan) se
* utilizan 2 funciones htonl() y htons(), para unsigned long y unsigned
* short respectivamente. Del mismo modo se puede pasar de formato network
* al que utilice tu SO con las funciones ntol() y ntos().
*
* El tercer campo es una estructura entre la que estara la direccion IP a
* la que queremos conectar el socket (concretamente en sin_addr.s_addr
* como unsigned long).
*
* Al cuarto y ultimo campo no le hagais caso ya que es de relleno.
*
*/
bzero( (char*)&direccion,sizeof(direccion));
/*
* Rellenamos de ceros la estructura direccion.
*
*/
direccion.sin_family=AF_INET;
/*
* Como anteriormente dijimos, la familia de direcciones utilizada va a ser
* AF_INET.
*
*/
direccion.sin_port=htons(puerto);
/*
* Como tambien dijimos en sin_port el numero de puerto en formato network,
* por eso el uso de la funcion htons().
*
*/
if ((direccion.sin_addr.s_addr=inet_addr(argv[1]))==-1)
{
printf("La IP tiene que estar en formato de puntos aaa.bbb.ccc.ddd\n");
exit(1);
}
/*
* En sin_addr.s_addr pondremos la direccion IP en formato unsigned long. En
* este caso suponemos que la persona que ejecuta el programa tiene dos
* dedos de frente, y a puesto una IP del tipo aaa.bbb.ccc.ddd (formato de
* puntos) en el primer argumento. La funcion inet_addr nos devuelve los 32
* bits (formato network, big-endian) correspondientes a la direccion IP
* pasada como argumento. Esta funcion devolvera -1 si el argumento no es
* una IP en formatro de puntos.
*
*/
s=socket(AF_INET,SOCK_STREAM,0);
/*
* Con esta funcion lo que hacemos es crear el socket. Dependiendo de los
* parametros que le pasemos nos creara un tipo de socket u otro. Elprimer
* parametro es el dominio de la comunicacion. Como vamos a crear un
* socket orientado internet (o red local) le asignaremos AF_INET. Tambien
* mencionar los otros tipos de dominios como AF_UNIX. Tambien los
* encontrareis escritos como PF_INET y PF_UNIX pero a fin de cuentas la
* definicion de todos ellos es la misma.
*
* El segundo parametro es el tipo de socket que vamos a crear. Existen
* distintos tipos: como SOCK_STREAM (tcp), SOCK_DGRAM (udp), SOCK_RAW
* (interfaz directa con ip), SOCK_PACKET (interfaz directa con ethernet) y
* alguno mas que por ahora no nos interesan. Como nuestro cliente va a ser
* tcp pues pondremos SOCK_STREAM.
*
* El tercer argumente es el protocolo, que normalmente se usa en la
* creacion de sockets del tipo SOCK_RAW y SOCK_PAQUET. En este caso
* ponemos 0 para que use el protocolo por defecto.
*
* El valor devuelto por la funcion socket es el descriptor de fichero (int)
* asociado al socket. De esta forma es trivial leer y escribir en el
* socket, ya que lo podeis tratar como un fichero.
*
* write(s,buffer,strlen(buffer));
* read(s,buffer,sizeof(buffer));
*
* Dicho esto no resultara complicado hacer un cutre-agente de correo, no?
* Estudiad el protocolo POP3 o IMAP que no son ni mucho menos dificlies.
*
* Ojo los read() son bloqueantes, sino llega nada al socket y haceis un
* read(), el programa se quedara esperando indefinidamente a que llegue
* algo al socket. Ya veremos en futuros articulos como hacer un socket
* no-bloqueante.
*
*/
if (connect(s,(struct sockaddr *)&direccion,sizeof(direccion))==0)
{
printf("[%i] Encontrada una novia en este puerto\n",puerto);
}
/*
* Esta funcion nos sirve para conectar nuestro socket al socket servidor
* que estara escuchando en la direccion Ip y puerto definidos en la
* estructura "direccion".
*
* Esta funcion devuelve 0 si el socket ha sido conectado, en cambio, si
* la conexiÛn ha sido rechazada devuelve -1. Este sera nuestro
* rudimentario y obsoleto metodo de escaneo.
*
*/
close(s);
/*
* Cerramos el socket como si se tratase de un archivo.
*
*/
Espero que en el siguiente articulo os pueda presentar de una vez el
servidor tcp, el cliente udp y el servidor udp (ya que tendre mas tiempo,
no las 24 horas justas que tuve para hacer este articulo). De este modo
para el tercer o el cuarto articulo esto se habra puesto mas que
interesante.
Cualquier: comentario/rectificacion a <zhodiac@usa.net>
flames a <conde@jjf.org> :b
Greets goes to all people how I know and appreciate,
and to all the "White Hat Hackers" widespread all over
the world. You know how you are, don't you?
Saludos :)
Zhodiac <zhodiac@usa.net>
---------
|Programas|
---------
Nota: Este programa ya va por la version 3.0 pero no es plan de
meteros en el primer articulo forks, RAWsockets y tecnicas syn de escaneo.
Credits: Zhodiac & Galactus
Date: Hace mucho, mucho pero que mucho tiempo.
------------ Codigo Fuente ---------------------------------------------------
/* Marinero v.1.0
*
* Compiles with gcc -o marinero marinero.c
*
*/
# include <strings.h>
# include <netinet/in.h>
# define PROGRAMA "Marinero"
# define VERSION " v1.0 (c) zhodiac@usa.net & galactus@bigfoot.com"
void main(int argc, char *argv[])
{
struct sockaddr_in direccion;
int s;
int puerto, pinicial, pfinal;
printf("\n%s %s\n",PROGRAMA, VERSION);
if (argc <2) {
printf("\nUso: %s <ip> [<puerto_inicial> [<puerto_final>]]\n\n", argv[0]);
exit(-1);
}
pinicial=0;
pfinal=65535;
if (argc >=3) pinicial=atoi(argv[2]);
if (argc >=4) pfinal=atoi(argv[3]);
printf("Una novia en cada puerto...\n");
printf("\nBuscando las novias de %s en los puertos[%i..%i]\n",
argv[1],pinicial,pfinal);
for (puerto=pinicial;puerto<=pfinal;puerto++)
{
bzero( (char*)&direccion,sizeof(direccion));
direccion.sin_family=AF_INET;
direccion.sin_port=htons(puerto);
if ((direccion.sin_addr.s_addr=inet_addr(argv[1]))==-1)
{
printf("La IP tiene que estar en formato de puntos (aaa.bbb.ccc.ddd)\n"); exit(1);
}
s=socket(AF_INET,SOCK_STREAM,0);
if (connect(s,(struct sockaddr*)&direccion,sizeof(direccion))==0)
{
printf("[%i] Encontrada una novia en este puerto\n",puerto);
}
close(s);
}
}
------------ FIN -------------------------------------------------------------
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
⁄-----------------ø
< EL LECTOR OPINA >
¿-----------------Ÿ
Como siempre decimos no envieis cosas que no hayas escrito vosotros
diciendo que son vuestras, ya que tarde o temprano la gente se da cuenta
de lo que falso que eres si lo haces!!! Por otro lado - J.J.F. / Hackers
Team - no puede responsabilizarse de la mala fe de esta gente, lo unico
que podemos decir es que son unos indeseables. Si no sabes que escribir,
pues no escribas nada, mejor no decir nada que hacer el ridiculo.
<---------------------------------------------------------------------------->
HOlas!!
Pues veamos. Hace ya algunas semanas que termine la traduccion de los
archivos de ayuda de John the Ripper, pero la unica condicion que me
puso Solar Designer (el autor) fue que fuera un texto libre y que
intentara distribuirla en el maximo numero de sitios posibles.
Por ahora, y de los sistios importantes, SET ya ha aceptado a ponerla,
aparte de algunas paginas personales que he encontrado.
Pues eso ®Os interesa?
un saludo
cafo
<------>
[ Claro, envianoslo y lo ponemos en la seccion de FTP. Leete el FAQ. ]
<---------------------------------------------------------------------------->
Holas!
Pues nada, comentar que el programilla ese que comentais para windous, tiene
una especie de an†logos suyos en linux:
En linux tienes dos opciones (que yo sepa) para poder encriptar directorios:
a) Usar CFS (Criptographif File System o algo as°n) que b†sicamente lo que
hace es encriptar un directorio y si quieres montarlo, has de desencriptarlo
y montarlo por NFS, o algo as°n. Era un chow parecido.
b) Parchear el kernel y el mount para soportar filesystems encriptados.
Esta es la opci¢n que me parece m†s mejor, puesto que aqu° lo que hacemos es
que al hacer un fs, podemos decirle que este use encriptaci¢n de varios
tipos (si no recuerdo mal creo que eran : la cutre XOR, DES, IDEA ) de forma
que al montarlo tengas que decirle al mount que est† encriptado, y pasarle
la llave para que desencripte ......
Este £ltimo tiene la ventaja de que puedes encriptar una partici¢n, un
floppy, amos, lo que quieras, mientras sea un FS entero ..
Y por supuesto, todo ello totalmente open source, con el c¢digo fuente
disponible.
Bueno, que eso es lo que quer°a comentar.
No he probado (aun) ninguno de los dos , m†s que nada por falta de tiempo, y
todo lo que pongo lo hago de memoria, por lo que puede que me deje cosas, o
ponga mal otras.
Dicho de otra forma: es tu responsabilidad si te lo crees todo sin
comprobarlo :)
See you ... Dr Slump
OiOiO!
<------>
[ Pues ya sabeis gente ;-) ]
<---------------------------------------------------------------------------->
me gusta mucho su pagina, quiero pedirles un favor, necesito saber como
violo las claves de seguridad de los archivos de microsoft office (word y
excel ) , tengo un archivo con clave y necesitamos abrirlo, me pueden e
scribir a : mialca@xxxxxxxxxxxxxx, si hay que bajar algun software, me
podrian indicar donde esta.
muchas gracias, amigos Miguel
<------>
[ Existen programas para ello, buscalos por Inet.
http://www.kriptopolis.com ]
<---------------------------------------------------------------------------->
Hola
mi nombre es alfredo, soy nuevo en todo esto de hackers pero quiero aprender
a ser un buen hacker solo queria preguntar si me por favor me podrian enviar
un mail diciendome lo basico de como hackear paginas web o algunas otras
cosas mi e-mail es pikin@xxxxxxxxxxxxxx
Chau
ATTE. ALfredo
<------>
[ Leete este ezine con atencion!! ]
<---------------------------------------------------------------------------->
Hola amigos del JJF team, soy Roberto, y les escribo desde MÇxico.
Estoy estudiando Ingenier°a en Sistemas Electr¢nicos, en el Tec de
Monterrey. (la mejor del pa°s, a lo que ingenier°a concierne).
Siempre me ha llamado la atenc°¢n todo lo referente a la electr¢nica,
software, hardware. etc.; pero ahora estoy m†s interesado en el hacking.
Saben hace poco en una cuenta de starmedia en un chat algun hacker se
pirateo mi login y mi pssword y entro a mi cuenta, yo me di cuenta porque
vi dos veces mi nombre en un chat, le reclame y se molesto y dejo trabada mi
m†kina, y es por eso que quiero aprender hacking, no me vayan a
malinterpretar, lo que pasa es que: es conociendo como trabajan ustedes ( y
ojala que yo tambiÇn),sabre cual es la mejor opci¢n para protegerme.
Apenas estoy entrando de lleno a mi carrera, pero algo en que se trabajar
es en C++. Es un gran compilador. Quisiera aprender unix, ya que dispongo
de una cuenta de telnet, por parte del campus.
Bueno esto es todo y sigan trabajando, su p†gina est† ahora m†s chingona.!!
Y gracias a p†ginas tan buenas como las de ustedes es que uno puede aprender
Una pregunta ®quÇ es el irc?
<------>
[ Ya hemos dicho varias veces que no necesitar ser Hacker para protegerte de
los indeseables, solamente ahi que tomar ciertas medidas de seguridad.
IRC es Internet Relay Chat, el metodo preferido para chatear (hablar) por
Internet. Un servicio de dialogo simplemente. ]
<---------------------------------------------------------------------------->
amigos del jjf, les vuelvo a molestar.
Quisiera saber si alguno de vosotros me pudiera pasar el C, es que tuve que
volver a instalar el windows y no tengo discos de instalaci¢n. De antemano
gracias.
rc.
<------>
[ Leete el FAQ. Existe compiladores C gratis pillatelos. Nuestro consejo
es que busques el DJGPP. ]
<---------------------------------------------------------------------------->
Que tal desde los saludo desde MeÇxico.
Quiero felicitarlos por que tienen un e-zine chidisimo y aparte espero que
me contestÇn este mail a mi direcci¢n. Yo soy un wannabe que se dedica a
pasear por todos los sitios relacionados con el hacking en Icq y
pr†cticamente con todos los tipos de hacking menos el IRC menos yo soy de
los que opinan como la mayor°a de la gente a la que le gusta el hacking
debe de haber acceso libre a TODA la informaci¢n en internet. Yo tengo un
pequeño problemilla la computadora donde tengo internernet es de mi pap† y
entonces no puedo usar mucho internet por que me regaña bien cabr¢n y por
eso no aprendo sobre el hacking tan r†pido como algunos de mis "amigos".
Adem†s mi jefe solo tiene windoze i eso me caga por que no me deja (mi jefe)
ponerle otros sisitemas operativos y programas tengo que ponerles a los
programas passwords y ocultarlos. Ah por poco se me olvida ay un guey en mi
escuela que solo se dedica a nukear a lo pendejo no creeen que corre mucho
riesgo si no conoce a quiÇn va a nukear por ejemplo: Si nukea a un hacker
experimentado (lo que el no es ya que solo es un wanabe como yo) lo podr°a
practicamente aniquilar y borrarle toda su pc o cualquier chingadera no????
Bueno una £ltima pregunta ®Creen que un tipo como de 13 años pueda borrar a
alguien del registro civil? Ya que eso dice un guey que conozco adem†s dice
que aprendi¢ a programar por si solo.
Espero que me conteste n pronto
Les escribire muy pronto
un wannabe mexicano emilla la computadora donde tengo internernet es de mi pap† y entonces no puedo usar mucho internet por que me regaña bien cabr¢n y por eso no aprendo sobre el hacking tan r†pido como algunos de mis "amigos". Adem†s mi jefe solo tiene windoze i eso me caga por que no me deja (mi jefe) ponerle otros sisitemas operativos y programas tengo que ponerles a los programas passwords y ocultarlos.
P.D. No conocen a alg£n hacker por aqu° por mÇxico.
Sergio Me Cagas
<------>
[ El IRC este lleno de pardillos y ahi que ir con cierto cuidado. Con un
nuke no te borran nada de nada. Y sobre el chaval de 13, pues si tiene
acceso al ordenador pues se puede hacer pero es poco probable.
Claro que se puede aprender a programar por si solo, incluso en muchas
ocasiones es lo recomendado. ]
<---------------------------------------------------------------------------->
como estas quisiera que me mandes algun archivo ensenandome a hacer hacker
te admiro
Toto
<------>
[ Leete el FAQ y este ezine a fondo!! ]
<---------------------------------------------------------------------------->
Primero que nada, un saludo desde URUGUAY para todo el stafff de JJF,
una de las mejores publicaciones under en español, y a todos los
hermanos españoles en gral.
Les escribo para contarles que hace un largo tiempo que decidi meterme
m†s en serio en esto del hacking, y cuando lo hice, me encontrÇ con que
el hacking en uruguay est† increiblemnte adelantado (para lo que yo
esperaba), y todos los dias conozco a gente con conocimientos muy
avanzados en el tema, pero falta mucha organizaci¢n...
Los hackers estudian todos por separado, o en muy pequeños grupos que no
se inter-relacionan entre s°, por eso, me propuse empezar a hacer
reuniones, y cosas por el estilo, empezando por una p†gina web, que
sirva como punto de encuentro.
Pero claro, para eso, necesito algo de ayuda para difundir la noticia,
por eso les pido si pueden publicar este mail en su ezine =)
Se que es una epoca complicada, por los examenes que muchos tenemos,
pero, por lo menos, manden un mail para saber que podemos contar con
ustedes, aunque sean newbies, por lo menos para saber si est†n
interesados!
En cuanto a la p†gina, necesitariamos ayuda con material y tutoriales de
C,Assambler,Linux,y passwords de tarifas planas de netgate(mejor 56k!),
mutired, compuserve, montevideo, o cualquiera que sirva!(jeje), etc...
Y dem†s est† decir, que esto no se ve limitado a limites geogr†ficos,
cualquiera que le interese, ya sea en lo de las reuniones, o simplemente
para darnos una mano con la p†gina(que ser°a MUY bienvenida), manden un
mail a: jajanarf@hotmail.com
≠A ver si nos empezamos a mover un poquito!
PD: Y a ver si se dejan de JODER todos esos LAMERS de MIERDA que se auto
etiquetan como hackers por todas partes, y despuÇs, en la intimidad,
mandan e-mails a ezines dicendo "®me enseñas a ser hacker?"... POR
FAVOR!!!! ya es hora de crecer, y valerse por sus medios, no puede ser
que quieran ser hackers, y le tengan FOBIA a leer los manuales de Linux
(o directamente, a instalarlo!), y ni hablar de aprender a programar,
eso es pecado!...
Yo a estas alturas ya puedo decir que soy hacker, pero no me ando
autoetiquetando como uno, lo unico que quer°a era aprender, busque
textos, lei, y en una tarde, instale el linux y lo configurÇ, sin
pedirle ayuda a nadie... pero no me mal entiendan, yo no digo que pedir
ayuda est† mal, solo digo que se deben valer por sus medios, los e-zines
son para aprender, para afilar sus tenedores, no para que les den de
comer con cuachara en la boca!!! (ellos saben de que hablo!)
Arriba los que llegaron a ser hackers despuÇs de querer aprender, y a
los imbeciles que quieren ser hackers porque la pelicula hackers les
pareci¢ fashion, que se queden jugando a joder a gente inocente con su
Netbus.
<------>
[ Pues ya sabeis lectores enviad todo lo que podais al mail y ayudad al
hacking Uruguayo!!
Suerte ;-) ]
<---------------------------------------------------------------------------->
hola los saludo amigos
la verdad es que encuentro su pagina increible es sencilla e
impresionante y eso me gusto mucho yo soy de chile y ustedes son una
inspiracionpara mi la verdad es que me impresionan y me gustaria a
llegar a ser un gran hacker como ustedes por favor respondanme eso me
alentaria mucho ya que el hacking en chile es muy pobre pero somos pocos
los que sabemos algo..
el mail me lo mandan a xardon@xxxxxxxxxxxxxx
chao gracias...
<------>
[ Cualquiera puede ser como nosotros simplemente debe ser curioso y con
muchas ganas de trabajar duro!! ]
<---------------------------------------------------------------------------->
Hola:
Su nueva Web esta genial..... realmente, me gustaria que ya este
funcionanado al 100% pero para ser el primer mes esta super bien, una
pregunta.... como se usa una llave publica, en que casos...espero que me
respondan pronto....
gracais
Nestor
<------>
[ Thx y nosotros tb queremos ver el website mas completo ;-) pero poco a
poco lo iremos haciendo, despacio pero bien es nuestra filosofia.
Una llave Publica es lo que debes distribuir a tus amigos para que te
puedan enviar mail o ficheros encriptados, es muy sencillo. ]
<---------------------------------------------------------------------------->
Hola soy pachin de peru me interesa todo lo que he visto en su web, voy a
participar y espero algun dia me consideren parte de tan selecto grupo.
suerte
<------>
[ Participar ???? a que te refieres ?? Pues lo de unirte a nosotros lo
tienes muy dificil, leete el FAQ. ]
<---------------------------------------------------------------------------->
hola
mi nombre es DaveMust.
quiero que por favor me den nombre de libros para poder hacerme hacker
me gustaria que me den una lista de crackeadores.
yo poseo algunos pero no los se usar :portscan, awcrack, passman, ami.
desde ya muchas gracias
espero su respuesta.
<------>
[ Para libros, mejor busca informacion en Inet y para crackeadores pasate
por nuestro FTP. ]
<---------------------------------------------------------------------------->
Primero los saludo mi nombre es felipe chang soy un principiante en esto
quisiera saber si de alguna forma me podr°an enseñar
soy de guayaquil-ecuador
saludos
Felipe Chang Mendoza
<------>
[ Pues claro, lee este ezine y todo lo que puedas, investiga, descubre,
etc... Depende de ti ]
<---------------------------------------------------------------------------->
Podrian ayudarme quisiera aprender a ser Hacker
saludos
Felipe Chang
guayaquil-ecuador
<------>
[ Hhhhummmm ya te hemos dicho la "formula secreta". ]
<---------------------------------------------------------------------------->
Me gustaria ser mimbro que tengo que hacer para eso
Respondame al gioarg@xxxxxxxxxxxxxx
<------>
[ Lo primero seria leer nuestro FAQ con MUCHA ATENCION ]
<---------------------------------------------------------------------------->
I have de-encrypted the RC5
Questions to Dynamo78@xxxxxxxxxxxxxx:-)-:
Saaay Hello to Cauchy (math...)
U konw...
<------>
[ What ? ]
<---------------------------------------------------------------------------->
Can u put some info about Daemons and port surfing in your E-<sin>?
See ya!
Nice to meet ya!
Cyber-PAL.
I just want to share info.
<------>
[ Read the ezine again. ]
<---------------------------------------------------------------------------->
HOLA SALUDOS A TODOS MANTENGAN EL BUEN TRABAJO SI NECESITAN AYUDA
COLABORACION O PREGUNTAS DE LOS HAKERS DE PUERTO RICO ME PUEDEN CONTACTAR
SALUDOS A TODOS Y MANTENGAN AL BUEN TRABAJO
QUE EL MUNDO Y TODO LO QUE HAY EN EL SEA LIBRE
SALUDOS DESDE PUERTO RICO
SINSE
<------>
[ Oki :) ]
<---------------------------------------------------------------------------->
Che locos soy de argentina
envienme ayuda
o todo lo posible
sobre el netbus
gracias
mi email
es
martinzalazar@xxxxxxxxxxxxxx
cualquier cosa
pidanla
<------>
[ Paseate por nuestra seccion de FTP. ]
<---------------------------------------------------------------------------->
Hola:
He encontrado tu p†gina sobre detecci¢n de intrusos. Me parece
estupenda.
Te escribo el mail para decirte que tengo una traducci¢n del "COMO"
Seguridad en Linux, por si te puede interesar. Evidentemente est†
enfocado a Linux, pero tambiÇn es v†lido para otro sistema Unix.
DespuÇs de ofrecerte algo, ahora te pido. ®Sabes donde conseguir
informaci¢n en castellano sobre los est†ndares de seguridad? B1, c2, ...
Un saludo
--
n° registro: 75339
http://www.arrakis.es/~pfabrega
basura > /dev/null
<------>
[ Pues ahi mucha informacion sobre eso, tienes varios libros y web's en
español.
A. Ribagorda Garnacho \
A. Calvo Orra Seguridad en Unix, Sistemas abiertos e Internet.
M. Angel Gallardo Ortiz / Editorial Parainfo, 1996.
Aunque existen muchos mas, es cuestion de buscar ;-) ]
<---------------------------------------------------------------------------->
Gracias por adelantado...
Me guataria haceros unas preguntas:
- He pirateado una cuenta y me gustaria saber si mi victima puede darse
cuenta, y si timofonica puede rastrear esa llamada, ®como?
- Corregidme si me equivoco pero alguna vez habeis hablado de los archivos
de registro de los servidores ".log". ®Podriais informarme?, ®Como se
puede acceder a esos archivos?, o en su defecto ser°a un estupendo
articulo...
- ®Tb podrias informarme o hacer un arcticulo sobre el carding?
<------>
[ Claro que puede darse cuenta. Telefonica logicamente puede rastear
llamadas. Sobre log hemos tocado algo si, te sugerimos que vuelvas a
mirar los numeros anteriores. Por ahora ningun miembro de
- J.J.F. / Hackers Team - escribira algo sobre Carding, pero si algun
lector esta interesado pues ya sabe. ]
<---------------------------------------------------------------------------->
que onda:
Tengo el so ventanukos, pero gracias al telnet puedo ejecutar el aix de ibm.
Necesito su ayuda, ya tengo un login y un password, pero cuando trato de
hacer algun telnet no puedo, tampoco un ftp, sale un pequeño di†logo ke me
dice :
acces denied. o algo parecido. necesito buscar otra cuenta?
<------>
[ Tu que crees ? ]
<---------------------------------------------------------------------------->
Saludos,
A travÇs de una lista de correo sobre seguridad me enterÇ de la existencia
de vuestra p†gina, fui a visitarla y me baje el Journal y algunos .zip del
ftp .../Novell, y...:
Panda Antivirus
Virus: Getit.754
dentro de: C:\Windows\Temporary Internet Files\cache4\thiefnov.zip en
GETIT.COM
Informaci¢n:
Infecta = COM
Caracteristicas = Residente
Tamaño = 754
Fecha = Oct. 1997
Desinfecci¢n posible = NO
Parece pues que el virus viene de getit.zip o de thiefnov.zip, o de ambos.
Los bajÇ pero no se copiaron al directorio en que estaba guardando todo.
®Se combinaron para formar un virus?. No lo abr°. Se que vosotros solo
habeis puesto enlaces a
http://members.xoom.com/jjf_ftp/hack/novell/thiefnov.zip y .../getit.zip y
que lo desconoceis.
El Panda Antivirus no lo desinfecta. ®Alguna idea?, ®alguna ayuda?,
®conoceis el virus?, ®que hace?, ®como desinfectarlo?. Os agradecer°a mucho
vuestra ayuda.
TrÇveris
Linux SuSE 5.1
Kernel 2.0.33
[Cuando termine de configurarlo todo; ;-)]
<------>
[ Vaya, pues lo sentimos y ya corregiremos el error. ]
<---------------------------------------------------------------------------->
Sinceramente les pido ayuda en este momento por que acaba de entrar
un hacker a mi sistema, primero dijo hacker jode a pequeño lammer,
despues dijo hahahaha y despues dijo vamos di algo y se abrio una
ventana de chat, yo dije como hiciste eso , y el me dijo todavia no he
hecho nada y me borro todos los documentos menos mal que yo los habia
guardado en un diskette por que si no hubiera perdido todo un mes de
trabajo duro ya que estoy haciendo mi tesis.
mI pregunta es como puedo evitar que vuelvban a entrar, como puedo
detectar de donde se conecto y como hago yo para conectarme a una
maquina con windows 98 como lo hizo el sin ser detectado.
expliquenmelo por favor por que ya estoy harto de ser siempre la
victima.
mi e-mail es wakof@xxxxxxxxxxxxxx
Amigo de la noche.
<------>
[ Seguramente tienes instalado el BO o el Netbus en tu maquina, asi es
como ha entrado el pirata en NINGUN CASO HACKER, debes usar alguna
herramienta que te permita borralo, como esta:
http://www.genocide2600.com/~tattooman/new-uploads/boe.exe ]
<---------------------------------------------------------------------------->
Ok, estoy dispuesto a ayudarlos a lo del JJF crack RC5 pero
necesito saber en lenguaje mas natural que es en realidad, osea de que
se trata ya que yo trabajo en un centro de mantenimiento de computadoras
y recibimos diariamente por lo menos 12 computadoras conectadas a
internet nuestro servicio es muy barato por eso es que tenemos muchos
clientes pero de todas formas no me atrevo a instalar en una computadora
ajena algo que no se que daños pueda causar.
En si mi pregunta es de que se trata todo eso de crack RC5.
les agradesco una pronta respuesta.
se despide just a friend.
Antonio Guevara.
<------>
[ El RC5 no causa ningun tipo de daño al sistema, en nuestra pagina sobre
el tema y en el numero anterior encontraras la informacion que quieres
saber sobre el RC5. Byes y suerte :) ]
<---------------------------------------------------------------------------->
hi how r u?
Jose Julian Buda
<------>
[ Fine thx. Why ? ]
<----------------------------------------------------------------------------> hola, en mando este mail para felicitaros por la estupenda revista q estais
llevando adelante, q yo pienso q es 100 veces mejor q SET, ya q lo q no he
aprendido SET en los 12 primeros numeros (mucha tela para no poder sacar
nada en claro) lo he aprendido en vuestro primer numero, por eso me
gustaria q continuarais asi... les paso la revista a todos los amigos q
conoces del tema y les ha parecido genial :)) espero q esta carta no kede
entre otras tantas de felicitacion por el gran trabajo q haceis... tb tengo
un amigo hacker q espero q a ver si me da algunas clases particulares del
tema y asi poder escribir algun articulillo en la revista.
Por ultimo preguntar cual es la diferencia exactamente entre un gusano y un
virus q mas o menos lo entiendo, pero no lo tengo del todo claro.
Saludos de divo_crash y ragnar_blackmane.
<------>
[ Thx pero nosotros no decimos que nosotros seamos peor o mejor,
simplemente somos otro ezine, y el ezine es solo una pequeña parte de
- J.J.F. / Hackers Team -. La diferencia entre un virus es que infecta
ficheros para viajar de ordenador a ordenador, un gusano es un programa
diseñado para infectar ordenadores usando las redes de telecomunicaciones.
Aunque hoy en dia estan surgiendo nuevos engendros que estan cambiando
el panaroma virico. ]
<---------------------------------------------------------------------------->
®proteccion? y como soltarse el bo
1° Buscarlo en el registro del windows y eliminarlo (busca
C:/windows/system/.exe y elimina todo donde salga). Despues borra el server
de win/system/.exe.
2° Monta lal particion en la que tengas el windows en el linux y eliminalo
desde alli (no se puede ni desde msdos ni desde windows)
3° Pillate tu cliente de bo y ponte una clave (como por ejemplo me "me cago
en
tu puta madre, si la tuya, hijo de puta, si tu el ke me lo metio (ke fui yo
mismo el gilipollas ke ejecuto el server pero por echar la culpa a alguien))
4° Pilla un programa de proteccion contra el bo (ahora no me akuerdo de
ninguno pero si buscais en el altavista mismo encontrareis un gÅebazo).
5° No ejecutes ningun programa "sin icono" ( bo server no lo tiene pero si
no
te fias de lo ke te mandan esta es una buena opcion)
6° Sigue el consejo de tu mama y no te ajuten con desconocidos (mas de un
"amigo" me lo ha intentado colar")
7° Inventate tu este ke no tengo ni zorra de mas.
Podria currarme esto mucho mas pero no tengo ganas, asi ke si alguien kiere
hacerlo y ponerlo paso a paso ke lo haga y se apunte to el merito de este
doc
Por favor, no digais nada de mi (ni nick ni direccion de email ni na)
Por supuesto no son todas las ideas mias (pero si 5 de ellas)
<------>
[ Pues aqui teneis el remedio contra el BO :) ]
<---------------------------------------------------------------------------->
Hola amigos,espero se encuentren bien, mi razon por la cual les envio este
e-mail es por que tengo problemas con la seguridad de computadora, ya que en
varias ocaciones se han metido y manipulan la informacion de mi computadora,
soy tecnico en informatica y quisiera saber como proteger mis sistemas, si
me pueden ayudar se los agradeceria muchisimo.
Por mi parte es todo GRacias
Jesus Chavez
CD. Juarez Chih. Mexico
<------>
[ Pues primero no sabemos que s.o. usas, no nos proporcionas ningun tipo
de informacion para hacernos una idea. Lo unico que podemos decirte es
que leas este ezine y pases por el website a ver si ves algo que te pueda
servir. ]
<---------------------------------------------------------------------------->
Hola, me gusta mucho la investigaciïn en software, pero se muy poco de
programaciïn me gustarça que alguien me enseñase aunque sea algunos trucos
o al menos donde encontrarlos, mi e-mail es........ xalez20@xxxxxxxxxxxxxx
<------>
[ Para programar existe una cantidad de informacion brutal, tiene miles de
libros y ademas por Internet millones de web dedicados a la programacion,
es cuestion de buscar lo que te interese. ]
<---------------------------------------------------------------------------->
<------>
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
------------------------
- NOTICIAS UNDERGROUND -
------------------------
- J.J.F. / HACKERS TEAM -
<---------------------------------------------------------------------------->
SE APROXIMA UNA VACUNA CONTRA LOS HACKERS.
Feb. 05, 1999 (InternetWeek) --
Mediante Buffer Overflow es como muchos hackers ganan acceso en
los servidores de las empresas. Encuentran una fallo en un sistema y despues
insertan el codigo que les permite engañar al sistema para que les de
privilegios de root.
La compañia Memco Software Ltd. quieren parar esto. Recientemente esta
compañia de software saco al mercado una linea de productos de deteccion
de intrusos que soportan una nueva tecnologia llamada Stack Overflow
Protection (STOP), que provee a las compañias de una capa extra de defensa
contra ataques externos. Esta gama de productos, Secured, protegen desde
servidores web, de correo y firewalls.
Actualmente, los encargados de TI tiene que estar constantemente
revisando los avisos del CERT y otras organizaciones, aplicando los
parches en sus sistemas para prevenir ataques buffer overflow. Pero en
estos dias los usuarios dicen que quieren ser mas proactivos.
"No queremos estar revisando los avisos del CERT" dice Presley Acuna,
director de tecnologia de Sakura Global Capital, un banco.
Su compañia esta usando Secured para el correo para proteger el
servidor de mail. Esta seguridad evitara incidentes como el que hace
recientemente que una compañia rival envio una cantidad brutal de mail
contra el servidor de Sakura (spamm), que bloquo el servidor de Sakura
y los usuarios no pudieron recibir su correo.
La tecnologia STOP previene contra importantes fallos porque puede
colocar la pila del sistema en una area donde el hacker no puede
conseguir root, dice Acuna.
STOP basicamente situa la direccion de memoria en un area
inpredecible, dice Eli Singer, Presidente de Memco. STOP funciona en
conjuncion con Memco Dynamic Security Extension, que intercepta sospechosas
actividades o accesos indevidos a los servidores.
Estas dos tecnologias dan a los encargados de TI "una vacuna contra
el tipico resfriado", dice Singer.
Seguridad Rapida
Con el crecimiento de los ataques en servidores web, como el
recientemente ataque que dejo KO al servidor de la CIA, los encargados
de TI estan buscando herramientas de seguridad que puedan ser instaladas
facilmente, dice Chris O'Hara, un encargado de la seguridad en
PriceWaterHouseCoopers.
La nueva linea Secured para Internet consiste en un Secured servidor
web, un Secured servidor mail y Secured para Firewalls.
Este producto corre en las plataformas HP-UX, Sun Solaris y
Windows NT. Cada licencia por servidor cuesta $1995.
--
Prevencion de Intrusos
La linea de productos Secured de Memco consta de:
Secured para servidores web.
-Para servidores Netscape y Apache.
-Previene que se pueda apagar el servidor web.
-Protege el contenido de las paginas locales.
Secured para servidores de mail.
-Para Sendmail.
-Previene de ataques al sendmail.
Secured para Firewalls
-Para comprobar el Point Firewall-1
-Previene de que se puega apagar el firewall.
-Protege la configuracion y los logs.
Plataforma que soporta
-Sun Solaris, HP-UX, Windows NT
Precio
-$1995 para cada licencia por servidor.
<---------------------------------------------------------------------------->
UN CHICO ISRAELI DE 14 AñOS TUMBA UN SERVIDOR DE SADDAM.
Un colegial israelita se ha convertido en heroe nacional despues de
dejar fuera de combate un servidor del gobierno Iraqui.
Nir Zigdon, 14, natural de Tel Aviv, dice: "Contenia mentiras sobre
los EE.UU., Gran Bretaña e Israel, y muchos comentarios contra los
judios." El descrubrio el servidor en una revista israelita, PC-Media,
despues creo un virus informatico y lo envio por mail al servidor. "Me
supuse de que si Israel tiene miedo de asesinar a Saddam Hussein, por lo
menos podria intentar destrozar este servidor." dice Nir.
"Con la ayuda de un software especial localize la situacion geografica
del servidor, en uno de los estados del Golfo."
"En el mensaje del mail, me declaraba como un Palestino admirador de
Saddam quien havia creado un virus capaz de atacar servidores Israelitas.
Esto les persuadio de abrir el mensaje y ejecutar el fichero."
"Unas horas mas tarde de que el servidor ya estuviera destrozado.
Recibi un mail de respuesta del administrador del servidor, Fayiz, que me
decia: 'vete al infierno'."
Este servidor no se ha vuelto a poner on-line y se ha puesto otro
en su defecto www.arabia.com, un periodico Arabe escrito en Ingles con
un punto de vista mas moderado.
Desde entonces, y varias apariciones en la television Israelita, Nir
ha recibido cientos de llamadas telefonicas de Israelitas felicitando por
su trabajo.
Israel tiene una de las industrias informaticas mas modernas del
mundo, la segunda en sofistificacion detras de Silicon Valley en California.
Muchos tienen empresas a lo largo de la region costera entre Haifa y
Herzliya, conocido como "Silicon Wadi".
Nir ya trabaja en una de estas compañias, Cellcom, despues del colegio
controla a 30 empleados, todos mayores que el, desarrollando software de
Internet que no tenga fallos y virus.
Nir, que maneja ordenadores desde los cuatro años y escribio su primer
virus a los diez, es parte de una nueva generacion de informaticos
protegidos Israelitas. Este "Internet Underground" ya ha identificado y
destruido varios servidores, neo-Nazis, de pornografia infantil y
anti-Israel. Pero Nir esta lejos de sentirse un "hacktivista" que le esta
conviertiendo esta experiencia. El ultimo año, el FBI organizo una busqueda
a nivel mundial para encontar al culpable del hackeo del sistema informatico
del Pentagono. El cual fue realizado por Ehud Tenenbaum, de 18 años,
operando desde casa de sus padres en Israel.
Usando el sobrenombre de "The Analyser", Tenenbaum tambien hackeo
el parlamento Israeli, el centro de submarinos de la marina amricana y la
Nasa.
Pero al contrario que Tenenbaum, Zir dice que el nunca atacaria
instituciones de paises aliados. Pero dice que esta preparando una operacion
contra el correo de grupos neo-Nazis.
SUNDAY TELEGRAPH 07/02/1999 P26
<---------------------------------------------------------------------------->
JAPON - EL PARAISO DE LOS HACKERS.
06/02/99 By CHESTER DAWSON
TOKYO (AP) -- En algun lugar screto en Tokyo, docenas de especialistas
en criptologia y medios electronicos en breve trabajaran duramente
patrullando el cyberespacio.
Se apertura se estima en Julio, el nuevo cuartel general de la Agencia
Nacional de Policia encargada de delitos informaticos "cyber-cop" analizando
señales sobre seguridad informatica debido al creciente uso en Japon de
la revolucion online.
Por el momento el delito informatico en Japon es muy bajo al
contrario que en EE.UU., se han dado algunos casos de delitos relacionados
con el uso de ordenadores y las autoridades se han concenciado de ello.
La crecida no es ninguna sorpresa -- legalmente, Japon es el paraiso
de los Hackers.
Romper la seguridad de un ordenador no esta considerado un crimen
en Japon, lo cual les separa de otros paises industrializados. Los Hackers
son libres de pillar los datos sensitivos almacenados en mainframes siempre
y cuando no los destruyan o vendan.
"Nosotros nos hemos despistado en esta area al contrario que otros
paises," dice Kei Hata, un miembro del Parlamento el cual sirve de abogado
en el comite de la policia de Internet. "Es un problema que tiene que ser
manejado rapidamente."
Preocupados por el caos potencial generado en Tokyo por los
ordenadores, y el borrador de la nueva legislacion contra el acceso
sin autorizacion. Hay una cuenta pendiente mandada al parlamento, la cual
termina en Junio.
El movimiento viene de Washington para parar internacionalmente el
crimen en el ciberespacio e impedir que Japon abuse de este privilegio,
la transmision de pornografia infantil, e incluso veneno que se vende en
web sites relacionadas con el suicidio.
El problema todavia es relativamente nuevo en Japon
En 1997, el numero de crimenes relacionados con tecnologia, conocidos
por la policia japonesa, paso de 178 el año pasado hasta 263, y solo 32 en
1993.
Todavia, una reciente encuesta, mostro que solo 4% de las compañias
y universidades denunciaron casos de acceso no autorizado en sus sistemas
bastante serios, incluso haber podido causar daños en sus sistemas.
En comparacion el Instituto de Seguridad Informatica de San Francisco
y el FBI encontraron que el 64% de 520 corporaciones americanas, agencias
de gobierno, instituciones financieras y universidades respondieron a una
encuesta en 1998, en la cul, por lo menos habian tenido una violacion en
su seguridad en los previos 12 meses. Mas de un 70% sufrieron perdidas
financieras.
La policia japonesa sospecha que un gran numero de crimenes
informaticos es mucho mas alto que los conocidos oficialmente, y que muchas
empresas se guardan sus fallos de seguridad para no ser desprestigiadas.
Muchas compañias evitan su asociacion a sindicatos del crimen, como
por ejemplo los "Yakuza".
"Los Yakuza se han adentrado de este campo," dijo Shunichi Kawabe,
un oficial the la NPA. "Muchos estan muy interesados en hacer dinero en
este tipo de negocios."
Agentes de ventas que trafican con armas, web sites pornograficos,
y distribucion de fraude financiero estan entre areas bajo vigilancia.
Un hacker entro dentro de una red propiedad de la Univerisdad de
Hokkaido, en el norte del Japon y ganando acceso y consiguiendo unas 1000
cuentas entre estudiantes y empleados. La universidad desconecto su red
el mes pasado, y silencio el caso.
Japon esta planeando impatir cursos de informatica entre sus agentes
de policia, pero las autoridades creen que todavia estan muy lejos de
adquirir el nivel tecnico que los de EEUU.
Las buenas notocias para la policia japonesa es que los hackers
japoneses todavia estan muy detras de sus homologos americanos.
"Los cibercriminales domesticos todavia todavia no tienen el
suficiente nivel tecnico ni conocimiento," dijo Kawabe.
<---------------------------------------------------------------------------->
€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
<---------------------------------------------------------------------------->
Bueno, pues aqui acaba otro de vuestro/nuestro ezine y que esperamos
que os haya gustado. Logicamente no sabemos cuando saldra el siguiente
numero, si es que sale ;-) pero seguro que lo hara.
Como ya os hemos dicho millones de veces, a ver si os animais y nos
enviais articulos!!! vale de todo siempre y cuando no sea gore, terrorismo
o anarkia. SSSIII, aceptamos articulos de programacion y temas relacionados
con la tecnologia, por una simple razon, a un hacker se interesa la
tecnologia y su uso pero NUNCA por como explotar los fallos de un servidor
para robar el correo o vete a saber que otra maldad!!!
Pues lo dicho, no te olvides te pasar a menudo por el website para
que veas las cosillas que vamos sacando y nuestras fotos XDDD Bueno, pues
para cualquier comentario, duda, critica, escribe a la siguiente dirrecion:
team@jjf.org
ADIOS Y HASTA EL SIGUIENTE NUMERO!!!
- J.J.F. / HACKERS TEAM -
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
