home *** CD-ROM | disk | FTP | other *** search
/ Reverse Code Engineering RCE CD +sandman 2000 / ReverseCodeEngineeringRceCdsandman2000.iso / RCE / +Sandman / Htocrka1.txt < prev    next >
Encoding:
Text File  |  2000-05-25  |  19.0 KB  |  652 lines
  1.                      HOW TO CRACK, by +ORC, A TUTORIAL
  2.  
  3. ---------------------------------------------------------------------------
  4.  
  5.           Lesson A.1: Advanced Cracking: Internet Cracking (Unix)
  6.  
  7. ---------------------------------------------------------------------------
  8.  
  9. ------------->   INTERNET CRACKING: FIREWALLS
  10.  
  11.      With each new company that connects to the "Information
  12.  
  13. Superhighway" new frontiers are created for crackers to explore.
  14.  
  15. Site administrators (Siteads) have implemented various security
  16.  
  17. measures to protect their internal networks. One of these is
  18.  
  19. xinetd, covered later. A more general solution is to construct
  20.  
  21. a guarded gateway, called a [Firewall], that sits between a
  22.  
  23. site's internal network and the wild and woolly Internet where
  24.  
  25. we roam. In fact only one third of all Internet connected
  26.  
  27. machines are already behind firewalls. Most information services
  28.  
  29. have to deal with the same problem we have: getting OUT through
  30.  
  31. a local firewall or GETTING INTO a service through their
  32.  
  33. Firewall. There lays also the crack_solution.
  34.  
  35. ------------>         What is a Firewall?
  36.  
  37.      The main purpose of a Firewall is to prevent unauthorized
  38.  
  39. access between networks. Generally this means protecting a site's
  40.  
  41. inner network from the Internet. If a site has a firewall,
  42.  
  43. decisions have been made as to what is allowed and disallowed
  44.  
  45. across the firewall. These decisions are always different and
  46.  
  47. always incomplete, given the multiplicity of Internet, there are
  48.  
  49. always loopholes where a cracker can capitalize on.
  50.  
  51.      A firewall basically works by examining the IP packets that
  52.  
  53. travel between the server and the client. This provides a way to
  54.  
  55. control the information flow for each service by IP address, by
  56.  
  57. port and in each direction.
  58.  
  59.      A firewall embodies a "stance". The stance of a firewall
  60.  
  61. describes the trade-off between security and ease-of-use. A
  62.  
  63. stance of the form "that which is not expressly permitted is
  64.  
  65. prohibited" requires that each new service be enabled
  66.  
  67. individually and is seldom used, coz very slow and annoying.
  68.  
  69. Conversely, the stance "that which is not expressly prohibited
  70.  
  71. is permitted" has traded a level of security for convenience. It
  72.  
  73. will be useful to guess the stance of the firewall you are
  74.  
  75. cracking when making probe decisions.
  76.  
  77.      A firewall has some general responsibilities:
  78.  
  79. *    First and foremost if a particular action is not allowed by
  80.  
  81. the policy of the site, the firewall must make sure that all
  82.  
  83. attempts to perform the action will fail.
  84.  
  85. *    The firewall should log suspicious events
  86.  
  87. *    The firewall should alert internal administration of all
  88.  
  89. cracking attempts
  90.  
  91. *    Some firewall provide usage statistics as well.
  92.  
  93. ------------>          Types of Firewall
  94.  
  95.      In order to avoid head-scratching, it's a good idea to know
  96.  
  97. the TOPOLOGY of "your" firewall -and its limitations- before
  98.  
  99. attempting to get through it. Discussed below are two popular
  100.  
  101. firewall topologies. Although other types exist, the two below
  102.  
  103. represent the basic forms; most other firewalls employ the same
  104.  
  105. concepts and thus have -luckily- the same limitations.
  106.  
  107.                    1) THE DUAL-HOMED GATEWAY
  108.  
  109.      A dual-homed Gateway is a firewall composed of a single
  110.  
  111. system with at least two network interfaces. This system is
  112.  
  113. normally configured such that packets are not directly routed
  114.  
  115. from one network (the Internet) to the other (the internal net
  116.  
  117. you want to crack). Machines on the Internet can talk to the
  118.  
  119. gateway, as can machines on the internal network, but direct
  120.  
  121. traffic between nets is blocked.
  122.  
  123.      In discussing firewalls, it's generally accepted that you
  124.  
  125. should think of the inner network as a medieval castle. The
  126.  
  127. "bastions" of a castle are the critical points where defence is
  128.  
  129. concentrated. In a dual-homed gateway topology, the dual-homed
  130.  
  131. host itself is called the [BASTION HOST].
  132.  
  133.      The main disadvantage of a dual-homed gateway, from the
  134.  
  135. viewpoints of the users of the network and us crackers alike, is
  136.  
  137. the fact that it blocks direct IP traffic in both directions. Any
  138.  
  139. programs running on the inner network that require a routed path
  140.  
  141. to external machines will not function in this environment. The
  142.  
  143. services on the internal network don't have a routed path to the
  144.  
  145. clients outside. To resolve these difficulties, dual-homed
  146.  
  147. gateways run programs called [PROXIES] to forward application
  148.  
  149. packets between nets. A proxy controls the conversation between
  150.  
  151. client and server processes in a firewalled environment. Rather
  152.  
  153. than communicating directly, the client and the server both talk
  154.  
  155. to the proxy, which is usually running on the bastion host
  156.  
  157. itself. Normally the proxy is transparent to the users.
  158.  
  159.      A proxy on the bastion host does not just allow free rein
  160.  
  161. for certain services. Most proxy software can be configured to
  162.  
  163. allow or deny forwarding based on source or destination addresses
  164.  
  165. or ports. Proxies may also require authentication of the
  166.  
  167. requester using encryption- or password-based systems.
  168.  
  169.      The use of proxy software on the bastion host means that the
  170.  
  171. firewall administrator has to provide replacements for the
  172.  
  173. standard networking clients, a nightmare in heterogeneous
  174.  
  175. environments (sites with many different operating systems
  176.  
  177. platforms, PC, Sun, IBM, DEC, HP...) and a great burden for
  178.  
  179. administrator and users alike.
  180.  
  181.                  2) THE SCREENED HOST GATEWAY
  182.  
  183.      A screened host gateway is a firewall consisting of at least
  184.  
  185. one router and a bastion host with a single network interface.
  186.  
  187. The router is typically configured to block (screen) all traffic
  188.  
  189. to the internal net such that the bastion host is the only
  190.  
  191. machine that can be reached from the outside. Unlike the dual-
  192.  
  193. homed gateway, a screened host gateway does not necessarily force
  194.  
  195. all traffic through the bastion host; through configuration of
  196.  
  197. the screening router, it's possible to open "holes" in the
  198.  
  199. firewall to the other machines on the internal net you want to
  200.  
  201. get into.
  202.  
  203.      The bastion host in a screened host firewall is protected
  204.  
  205. from the outside net by the screening router. The router is
  206.  
  207. generally configured to only allow traffic FROM SPECIFIC PORTS
  208.  
  209. on the bastion host. Further, it may allow that traffic only FROM
  210.  
  211. SPECIFIC EXTERNAL HOSTS. For example the router may allow Usenet
  212.  
  213. news traffic to reach the bastion host ONLY if the traffic
  214.  
  215. originated from the site's news provider. This filtering can be
  216.  
  217. easily cracked: it is relying on the IP address of a remote
  218.  
  219. machine, which can be forged.
  220.  
  221.      Most sites configure their router such that any connection
  222.  
  223. (or a set of allowed connections) initiated from the inside net
  224.  
  225. is allowed to pass. This is done by examining the SYN and ACK
  226.  
  227. bits of TCP packets. The "start of connection" packet will have
  228.  
  229. both bits set. If this packets source address is internal... or
  230.  
  231. seems to be internal :=) the packet is allowed to pass. This
  232.  
  233. allows users on the internal net to communicate with the internet
  234.  
  235. without a proxy service.
  236.  
  237.      As mentioned, this design also allows "holes" to be opened
  238.  
  239. in the firewall for machines on the internal net. In this case
  240.  
  241. you can crack not only the bastion host, but also the inner
  242.  
  243. machine offering the service. Mostly this or these machine/s will
  244.  
  245. be far less secure than the bastion host.
  246.  
  247.      New services, for instance recent WEB services, contain a
  248.  
  249. lot of back doors and bugs, that you'll find in the appropriate
  250.  
  251. usenet discussion groups, and that you could use at freedom to
  252.  
  253. crack inner machines with firewall holes. Sendmail is a good
  254.  
  255. example of how you could crack in this way, read the whole
  256.  
  257. related history... very instructive. The rule of thumb is "big
  258.  
  259. is good": the bigger the software package, the more chance that
  260.  
  261. we can find some security related bugs... and all packages are
  262.  
  263. huge nowadays, 'coz the lazy bunch of programmers uses
  264.  
  265. overbloated, buggy and fatty languages like Visual Basic or
  266.  
  267. Delphy!
  268.  
  269. Finally, remember that the logs are 'mostly) not on the bastion
  270.  
  271. host! Most administrators collect them on an internal machine not
  272.  
  273. accessible from the Internet. An automated process scan the logs
  274.  
  275. regularly and reports suspicious information.
  276.  
  277.  
  278.  
  279.                  3) OTHER FIREWALL TOPOLOGIES
  280.  
  281. The dual-homed gateway and the screened host are probably the
  282.  
  283. most popular, but by no mean the only firewall topologies. Other
  284.  
  285. configurations include the simple screening router (no bastion
  286.  
  287. host), the screened subnet (two screening routers and a bastion
  288.  
  289. host) as well as many commercial vendor solutions.
  290.  
  291. ------------>   Which software should we study?
  292.  
  293. Three popular unix software solutions allow clients inside a
  294.  
  295. firewall to communicate with server outside: CERN Web server in
  296.  
  297. proxy mode, SOCKS and the TIS Firewall toolkit.
  298.  
  299. 1)   The CERN Web server handles not only HTTP but also the other
  300.  
  301. protocols that Web clients use and makes the remote connections,
  302.  
  303. passing the information back to the client transparently. X-based
  304.  
  305. Mosaic can be configured for proxy mode simply by setting a few
  306.  
  307. environment variables.
  308.  
  309. 2)   The SOCKS package (available free for anonymous ftp from
  310.  
  311. ftp.nec.com in the file
  312.  
  313.         /pub/security/socks.cstc/socks.cstc.4.2.tar.gz
  314.  
  315. includes a proxy server that runs on the bastion host of a
  316.  
  317. firewall. The package includes replacements for standard IP
  318.  
  319. socket calls such as connect(), getsockname(), bind(), accept(),
  320.  
  321. listen() and select(). In the package there is a library which
  322.  
  323. can be used to SOCKSify your crack probes.
  324.  
  325. 3)   The Firewall Toolkit
  326.  
  327. The toolkit contains many useful tools for cracking firewall and
  328.  
  329. proxy server. netacl can be used in inetd.conf to conceal
  330.  
  331. incoming requests against an access table before spawning ftpd,
  332.  
  333. httpd or other inetd-capable daemons. Mail will be stored in a
  334.  
  335. chroot()ed area of the bastion for processing (mostly by
  336.  
  337. sendmail).
  338.  
  339. The Firewall toolkit is available for free, in anonymous ftp from
  340.  
  341. ftp.tis.com in the file
  342.  
  343.                /pub/firewalls/toolkit/fwtk.tar.Z
  344.  
  345. The popular PC firewall solution is the "PC Socks Pack", for MS-
  346.  
  347. Windows, available from ftp.nec.com It includes a winsock.dll
  348.  
  349. file.
  350.  
  351.      The cracking attempts should concentrate on ftpd, normally
  352.  
  353. located on the bastion host. It's a huge application, necessary
  354.  
  355. to allow anonymous ftp on and from the inner net, and full of
  356.  
  357. bugs and back doors. Normally, on the bastion host, ftpd is
  358.  
  359. located in a chroot()ed area and runs as nonprivileged user. If
  360.  
  361. the protection is run from an internal machine (as opposing the
  362.  
  363. bastion host), you could take advantage of the special inner-net
  364.  
  365. privileges in hostp.equiv or .rhosts. If the internal machine
  366.  
  367. "trusts" the server machine, you'll be in pretty easily.
  368.  
  369.      Another good method, that really works, is to locate your
  370.  
  371. PC physically somewhere along the route between network and
  372.  
  373. archie server and "spoof" the firewall into believing that you
  374.  
  375. are the archie server. You'll need the help of a fellow hacker
  376.  
  377. for this, though.
  378.  
  379.      Remember that if you gain supervisor privileges on a machine
  380.  
  381. you can send packets from port 20, and that in a screened host
  382.  
  383. environment, unless FTP is being used in proxy mode, the access
  384.  
  385. filters allow often connections from any external host if the
  386.  
  387. source port is 20 and the destination port is greater than 1023!
  388.  
  389.      remember that NCSA Mosaic uses several protocols, each on
  390.  
  391. a different port, and that -if on the firewall no proxy Web
  392.  
  393. server is operating- each protocol must be dealt with
  394.  
  395. individually, what lazy administrators seldom do.
  396.  
  397.      Be careful for TRAPS: networking clients like telnet and ftp
  398.  
  399. are often viciously replaced with programs that APPEAR to execute
  400.  
  401. like their namesake, but actually email an administrator. A
  402.  
  403. fellow cracker was almost intercepted, once, by a command that
  404.  
  405. simulated network delays and spat out random error messages in
  406.  
  407. order to keep me interested long enough to catch me. Read the
  408.  
  409. (fictions) horror story from Bill Cheswick: "An evening with
  410.  
  411. Berferd in which a cracked is lured, endured and studied",
  412.  
  413. available from ftp.research.att.com in
  414.  
  415.               /dist/internet_security/berferd.ps
  416.  
  417. As usual, all kind of traps can be located and uncovered by
  418.  
  419. correct zen-cracking: you must *FEEL* that some code (or that
  420.  
  421. some software behaviour) is not "genuine". Hope you believe me
  422.  
  423. and learn it before attempting this kind of cracks.
  424.  
  425. ------------>      How do I crack Firewalls?
  426.  
  427.      Some suggestions have been given above, but teaching you how
  428.  
  429. to crack firewalls would take at least six complete tutorial
  430.  
  431. lessons for a relatively unimportant cracking sector, and you
  432.  
  433. would almost surely get snatched immediately, 'coz you would
  434.  
  435. believe you can crack it without knowing nothing at all. So, for
  436.  
  437. your sake, I'll teach you HOW TO LEARN IT, not HOW TO DO IT
  438.  
  439. (quite a fascinating difference): First Text, then the software
  440.  
  441. above. For text, start with Marcus Ranum's paper "Thinking about
  442.  
  443. Firewalls", available from ftp.tis.com in the file/pub/firewalls/firewalls.ps.Z
  444.  
  445. and do an archie search for newer literature.
  446.  
  447. Join the firewall discussion list sending a message to
  448.  
  449. majordomo@greatcircle.com, you'll get a message with
  450.  
  451. instructions, as usual, lurk only... never show yourself to the
  452.  
  453. others.
  454.  
  455.      You can find for free on the web quite a lot of early
  456.  
  457. versions of proxy software. Study it, study it and then study it
  458.  
  459. again. The cracking efforts on your copies, and your machines,
  460.  
  461. before attempting anything serious, are MANDATORY if you do not
  462.  
  463. want to be immediately busted on the Internet. When you feel
  464.  
  465. ready to try serious cracking, you must OBLIGATORY start with a
  466.  
  467. small BBS which uses a firewall version you already studied very
  468.  
  469. well (sysops are not firewall administrators, and many of them
  470.  
  471. do not know nothing about the software they use). As soon as you
  472.  
  473. gain access to the bastion host, remember to subvert entirely the
  474.  
  475. firewall itself before entering the inner net.
  476.  
  477. If you feel ready and everything went well so far, if your zen-
  478.  
  479. cracking abilities are working well... then take a moment for
  480.  
  481. yourself... prepare yourself a good Martini-Wodka (you should
  482.  
  483. only use Moskovskaia), take a deep breath and by all means go
  484.  
  485. ahead! You will then be able to try your luck on the Cyberspace
  486.  
  487. and get quickly busted (if you did not follow my admonitions and
  488.  
  489. if you cannot zen-crack) or, may be, fish quite a lot of
  490.  
  491. jewels... :=)
  492.  
  493. ------------->     INTERNET CRACKING: XINETD
  494.  
  495.      [Xinetd] a freely available enhanced replacement for the
  496.  
  497. internet service daemon inetd, allows just those particular users
  498.  
  499. to have FTP or Telnet access, without opening up access to the
  500.  
  501. world. Xinetd can only protect the system from intrusion by
  502.  
  503. controlling INITIAL access to most system services and by logging
  504.  
  505. activities so that you can detect break-in attempts. However,
  506.  
  507. once a connection has been allowed to a service, xinetd is out
  508.  
  509. of the picture. It cannot protect against a server program that
  510.  
  511. has security problems internally. For example, the finger server
  512.  
  513. had a bug several years ago that allowed a particularly clever
  514.  
  515. person to overwrite part of its memory. This was used to gain
  516.  
  517. access to many systems. Even placing finger under the control of
  518.  
  519. xinetd wouldn't have helped.
  520.  
  521.      Think of the secured firewall system as a fortress wall:
  522.  
  523. each service that is enabled for incoming connections can be
  524.  
  525. viewed as a door or window in the walls. Not all these doors have
  526.  
  527. secure and reliable locks. The more openings are available, the
  528.  
  529. more opportunities are open for us.
  530.  
  531. ------------->         What xinetd does
  532.  
  533. Xinetd listens to all enabled service ports and permits only
  534.  
  535. those incoming connection request that meet authorization
  536.  
  537. criteria.
  538.  
  539. -    Accept connections from only certain IP addresses
  540.  
  541. -    Accept connections only from authorized users
  542.  
  543. -    Reject connections outside of aithorized hours
  544.  
  545. -    Log selected service when connections are accepted or
  546.  
  547.      rejected, capturing following informations:
  548.  
  549.      * Remote Host Address
  550.  
  551.      * User ID of remote user (in some cases)
  552.  
  553.      * Entry and Exit time
  554.  
  555.      * Terminal type
  556.  
  557.      Support login, shell, exec and finger
  558.  
  559. ------------->        SERVICES TO CRACK &
  560.  
  561.                   UNWITTING INSIDE COMPLICES
  562.  
  563. In this order the easy services:
  564.  
  565.      FTP  TELNET    LOGIN (rlogin) SHELL (rcmd)   EXEC
  566.  
  567. In this order the more difficult ones:
  568.  
  569.      MOUNT     TFT  FINGER    NFS(Network File System)
  570.  
  571.      DNS(Domain Name Service)
  572.  
  573. Remember that sendmail (SMTP), by default, accepts a message from
  574.  
  575. any incoming connection. The "sender" of such a message can
  576.  
  577. appear to have originated anywhere, therefore your claim of
  578.  
  579. identity will be accepted! Thus you can forge a message's
  580.  
  581. originator. Most of the recipients inside the protected
  582.  
  583. (firewalled) net will take your claim at face value and send you
  584.  
  585. (to the "return address" you provide) all the sensitive
  586.  
  587. information you need to crack the system. Finding unwitting
  588.  
  589. inside complices is most of the time pretty easy.
  590.  
  591.      By far the best method, for entering xinetd, is to get the
  592.  
  593. real version from panos@cs.colorado.edu, modify the system files
  594.  
  595. in order to have some backdoors, and then distribute them to the
  596.  
  597. mirror servers on the WEB. Each time a new administrator will
  598.  
  599. download "your" version of xinetd, you'll have an easy access to
  600.  
  601. the "protected" system.
  602.  
  603.      On the Nets, it's important to conceal your identity (they
  604.  
  605. will find you out pretty quickly if you do not). The best method
  606.  
  607. is to obtain the IP address of a legitimate workstation during
  608.  
  609. normal hours. Then, late at night, when the workstation is known
  610.  
  611. to be powered-off or disconnected from a dialup PPP link, a
  612.  
  613. different node on the network can be configured to use the
  614.  
  615. counterfeit IP address. To everyone on the network, it will
  616.  
  617. appear that the "legitimate" user is active. If you follow this
  618.  
  619. strategy, you may want to crack somehow more negligently... the
  620.  
  621. search for the cracker will go on -later- in the false confidence
  622.  
  623. that a sloppy novice (the legitimate user) is at work, this will
  624.  
  625. muddle the waters a little more.
  626.  
  627. Well, that's it for this lesson, reader. Not all lessons of my
  628.  
  629. tutorial are on the Web.
  630.  
  631.      You 'll obtain the missing lessons IF AND ONLY IF you mail
  632.  
  633. me back (via anon.penet.fi) with some tricks of the trade I may
  634.  
  635. not know that YOU discovered. Mostly I'll actually know them
  636.  
  637. already, but if they are really new you'll be given full credit,
  638.  
  639. and even if they are not, should I judge that you "rediscovered"
  640.  
  641. them with your work, or that you actually did good work on them,
  642.  
  643. I'll send you the remaining lessons nevertheless. Your
  644.  
  645. suggestions and critics on the whole crap I wrote are also
  646.  
  647. welcomed.
  648.  
  649.                                 E-mail +ORC
  650.  
  651.                         +ORC an526164@anon.penet.fi
  652.