home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / misc / lecture1.txt < prev    next >
Encoding:
Text File  |  2001-07-11  |  29.2 KB  |  679 lines
  1. How servers are cracked, by R a v e N.
  2.  
  3. Session Start: Sat Jan 22 18:04:06 2000
  4. [18:04] *** Now talking in #bsrf
  5. [18:04] *** Topic is 'Welcome to #bsrf | Our Website: http://blacksun.box.sk | Next IRC lecture: 'How Servers are Cracked' | See http://blacksun.box.sk/irc.html | Alright, I know the bot is down most of the time now, and that the channel is ultra insecure, so please don't abuse this... heh, yeah right'
  6. [18:04] *** Set by Raven on Wed Jan 19 07:22:58
  7. [18:04] * #bsrf is being logged
  8. [18:04] <INTJ> okie
  9. [18:05] <INTJ> ready?
  10. [18:05] <Raven> alright
  11. [18:05] <Raven> is everyone ready?
  12. [18:05] <c0c0> yep
  13. [18:05] <Chaotic_Thought> Yes sir...
  14. [18:05] <Seeker> yup
  15. [18:05] <squiler> yup
  16. [18:05] <INTJ> 9 ppl overall
  17. [18:05] <SnIpEr_WoLf_> yeah
  18. [18:05] <Seeker> that good?
  19. [18:05] <Raven> including me
  20. [18:05] <Raven> :-)
  21. [18:05] <Raven> alright
  22. [18:05] <Raven> On your marks.
  23. [18:05] <Raven> Get set.
  24. [18:05] <Raven> Go!
  25. [18:05] <Raven> okay, so today's topic is...
  26. [18:06] <Raven> how servers are hacked
  27. [18:06] <Raven> basically, of course
  28. [18:06] <INTJ> cracked
  29. [18:06] <Raven> yeah, cracked
  30. [18:06] <Raven> terminology...
  31. [18:06] <Raven> hehe
  32. [18:06] <Raven> :-)
  33. [18:06] <INTJ> that's what you wrote on your website ;p
  34. [18:06] <squiler> :)
  35. [18:06] <Raven> anyway, most of those website defacements...
  36. [18:06] <Raven> dns cracks
  37. [18:06] <Raven> email cracks
  38. [18:06] <Raven> ftp cracks
  39. [18:06] <Raven> etc' etc'
  40. [18:06] <Raven> they're usually done in fairly easy and simple ways
  41. [18:06] <Raven> that do not require much knowledge
  42. [18:07] <Raven> they're usually done by little kids
  43. [18:07] <Raven> mostly little kids in "hacking" groups
  44. [18:07] <Raven> who want to show the world how smart they are
  45. [18:07] <Raven> Phase I
  46. [18:07] <Raven> --------
  47. [18:07] <Raven> oops...
  48. [18:07] <Raven> -------
  49. [18:07] <Raven> DAMN!
  50. [18:07] <Raven> lol
  51. [18:07] <Raven> okay, all over again
  52. [18:07] <Raven> Phase I
  53. [18:07] <Raven> -------
  54. [18:07] <Raven> ahh...
  55. [18:07] <Raven> that's better
  56. [18:07] <Raven> any questions so far?
  57. [18:07] <Raven> okay, so phase one is...
  58. [18:07] <Raven> intelligence gathering
  59. [18:07] <TheJoker> why is it so easy?
  60. [18:08] <Raven> we'll get to that
  61. [18:08] <INTJ> because of ./i-0wn3d-u <server> <port> ;p
  62. [18:08] <Raven> exactly
  63. [18:08] <Raven> if some of u don't understand, don't worry
  64. [18:08] <Raven> we'll get to that
  65. [18:08] <Raven> so anyway, stage one is intelligence gathering
  66. [18:08] <Raven> this is the most important stage
  67. [18:08] <Raven> why?
  68. [18:08] <squiler> ...
  69. [18:09] <Raven> because otherwise you'll find yourself trying thousands of sunos 3.4 exploits
  70. [18:09] <Seeker> need to know what os
  71. [18:09] <TheJoker> you have to know what exploits apply
  72. [18:09] <Raven> while you're actually attacking an nt4.0 server
  73. [18:09] <Raven> what os...
  74. [18:09] <Raven> and what is the host running
  75. [18:09] *** c0c0_ has joined #bsrf
  76. [18:09] <Raven> those are the two most important phases in intelligence gathering
  77. [18:09] <c0c0_> damn i've disconnected
  78. [18:09] <Raven> getting them is fairly easy
  79. [18:09] *** c0c0 has quit IRC (Ping timeout)
  80. [18:09] <INTJ> welcome c0c0_, we're in the middle of the lecture
  81. [18:09] *** c0c0_ is now known as c0c0
  82. [18:09] <Raven> poor soul
  83. [18:09] <TheJoker> nmap?
  84. [18:09] <Raven> :-)
  85. [18:10] <Raven> that's two
  86. [18:10] <Raven> nmap is too "advanced" for most script kiddies
  87. [18:10] <TheJoker> advanced?
  88. [18:10] <Raven> most people use really amateurish methods
  89. [18:10] <Raven> such as reading daemon banners
  90. [18:10] <Raven> (yes, it requires the "cracker" to have unix... ooh)
  91. [18:10] <TheJoker> hehe
  92. [18:10] <Seeker> whats a daemon banner? 
  93. [18:10] <Raven> and to know how to install new software
  94. [18:10] <squiler> ha
  95. [18:10] <Raven> alright, i'll show u
  96. [18:10] <squiler> oo me oo me!
  97. [18:10] <Raven> everyone, do telnet mailgw.netvision.net.il
  98. [18:10] <Raven> this is my isp's smtp server
  99. [18:11] <Raven> smtp = simple mail transfer protocol
  100. [18:11] <INTJ> but daemon banner is trivial to be spoofed
  101. [18:11] <Raven> for outgoing mail
  102. [18:11] <Raven> yes, of course
  103. [18:11] <Raven> first, let's explain to those who don't know what daemon banners are
  104. [18:11] <Raven> what do u get when u telnet to mailgw.netvision.net.il?
  105. [18:11] <Seeker> oh, i think i know what you mean
  106. [18:11] <c0c0> Trying 194.90.1.14...
  107. [18:11] <squiler> "could not connect"
  108. [18:11] <squiler> :-)
  109. [18:11] <c0c0> telnet: connect to address 194.90.1.14: Connection refused
  110. [18:11] <c0c0> telnet: Unable to connect to remote host: Connection refused
  111. [18:11] <Raven> oops
  112. [18:11] *** SnIpEr_WoLf_ has left #bsrf
  113. [18:11] <Raven> telnet mailgw.netvision.net.il 25
  114. [18:11] *** SnIpEr_WoLf_ has joined #bsrf
  115. [18:11] <Raven> telnet mailgw.netvision.net.il 25
  116. [18:12] <Raven> port 25, this is important
  117. [18:12] <Raven> smtp runs on port 25
  118. [18:12] <c0c0> yea
  119. [18:12] <Chaotic_Thought> I'm on...
  120. [18:12] <squiler> we get like sendmail version etc...
  121. [18:12] <TheJoker> running sendmail
  122. [18:12] <Chaotic_Thought> 8.9.3 sendmail
  123. [18:12] <Raven> yup
  124. [18:12] <Raven> 220 alpha.netvision.net.il ESMTP Sendmail 8.9.3/8.8.6; Sat, 22 Jan 2000 19:14:41 +0200 (IST)
  125. [18:12] <TheJoker> a linux/unix?
  126. [18:12] <Raven> this is what u get
  127. [18:12] *** Sniper_wolf__ has joined #bsrf
  128. [18:12] <Raven> this is a daemon banner
  129. [18:13] <c0c0> hmmmm, oki
  130. [18:13] <Raven> btw check blacksun.box.sk/ports.txt for a list of standard ports
  131. [18:13] <Raven> now, what does it tell us?
  132. [18:13] <Raven> ooh, sendmail
  133. [18:13] <Raven> the dumbest daemon ever
  134. [18:13] <Raven> it just gave us the version of the daemon that is running
  135. [18:13] <TheJoker> it's a unix type sys
  136. [18:13] <Raven> usually, in sendmail holes, the OS doesn't matter much
  137. [18:13] <Raven> yup
  138. [18:13] <Raven> now, suppose we're some script kiddie
  139. [18:14] <Raven> so we have the version
  140. [18:14] <Raven> of the daemon
  141. [18:14] <Raven> now we go to, say, packetstorm.securify.com
  142. [18:14] <Raven> or neworder.box.sk
  143. [18:14] <Raven> and we search
  144. [18:14] <INTJ> bugtraq
  145. [18:14] <INTJ> technotronic
  146. [18:14] <INTJ> ;p
  147. [18:14] <Raven> we use keywords such as "sendmail 8.9.3"
  148. [18:14] <Raven> yes, bugtraq is good too
  149. [18:14] <Chaotic_Thought> look for a crack/bug
  150. [18:14] <Raven> yup
  151. [18:14] <INTJ> ntbugtraq.com
  152. [18:14] <Raven> now, here is what we'll find
  153. [18:14] <Raven> we could find:
  154. [18:15] <TheJoker> that's pathetic!
  155. [18:15] <Raven> a) advisories
  156. [18:15] <Raven> these hardly mean anything to crackers
  157. [18:15] <Raven> they only explain to u how to fix the hole
  158. [18:15] <Raven> and a little technical backgruond
  159. [18:15] <Raven> and a little technical background
  160. [18:15] <Raven> which the common script kiddie won't be interested in
  161. [18:15] <Raven> b) texts
  162. [18:15] <Raven> texts will detail the hole
  163. [18:15] <Raven> how to exploit it
  164. [18:16] <Raven> and a workaround, if any
  165. [18:16] <Raven> c) an exploit
  166. [18:16] <Raven> BINGO!
  167. [18:16] <Raven> an exploit is a premade program
  168. [18:16] <Raven> that exploits a certain hole
  169. [18:16] <Raven> all the cracker has to do is to compile it
  170. [18:16] <Raven> (unless it's written in perl)
  171. [18:16] <Raven> (or another interpreted programming language)
  172. [18:16] <INTJ> bash
  173. [18:16] <Raven> ('cause they run in the form of source code)
  174. [18:16] <Chaotic_Thought> So crackers are usally lazy punks...
  175. [18:16] <Raven> yes, or a shell script
  176. [18:16] <Raven> although u'll hardly ever found exploits in the form of shell scripts
  177. [18:16] <INTJ> pamslam.sh
  178. [18:16] <INTJ> heheh ;p
  179. [18:17] <Raven> sniperwolf missed everything from phase one 'till "the dumbest daemon ever"
  180. [18:17] <INTJ> redhat and mandrake rooter
  181. [18:17] <Raven> can anyone plz help him?
  182. [18:17] <Raven> i'm kinda busy here with the lecture and everything
  183. [18:17] <Raven> :-)
  184. [18:17] <Raven> other daemons a cracker might want to look at:
  185. [18:17] <Raven> ftp
  186. [18:17] <Raven> by logging into ftp servers
  187. [18:17] <Raven> when logging into ftp servers
  188. [18:17] <Raven> u usually get technical information about the system
  189. [18:18] <Raven> u could also try to issue the syst command
  190. [18:18] <Raven> which will also give away some information
  191. [18:18] <Raven> webservers
  192. [18:18] <Raven> if u issue a bad url request
  193. [18:18] <Raven> it'll give u some info
  194. [18:18] <Raven> for example: try surfing to http://blacksun.box.sk/some-dead-link.html
  195. [18:18] <c0c0> like they are usun apache
  196. [18:18] <Raven> it'll give u an error msg
  197. [18:18] <Raven> and the name and version of the webserver program
  198. [18:18] <Raven> fairly easy
  199. [18:18] <Raven> all u need is a browser
  200. [18:19] <Raven> crackers can also utilize newsgroups daemons
  201. [18:19] <TheJoker> how bout pop mail?
  202. [18:19] <Raven> and others
  203. [18:19] <Raven> pop mail too
  204. [18:19] <Chaotic_Thought> Apache 1.3.6 port 80
  205. [18:19] <Raven> pop3 usually reveals information
  206. [18:19] <Raven> ftp port 21
  207. [18:19] <Raven> news port...
  208. [18:19] <Raven> 119, i think
  209. [18:19] <Raven> pop is...
  210. [18:19] <TheJoker> telnet
  211. [18:19] <Raven> uhh, damn
  212. [18:19] <INTJ> 110 = pop
  213. [18:19] <TheJoker> 110
  214. [18:19] <Raven> yeah
  215. [18:19] <Raven> telnet too
  216. [18:19] <Raven> telnet to port 23
  217. [18:19] <c0c0> yep 119 if it is not a secure connection
  218. [18:19] <Raven> go ahead and telnet to blacksun.box.sk on port 23
  219. [18:19] <Raven> u'll get some info on the system
  220. [18:20] <Raven> but what if we change this information?
  221. [18:20] *** Sniper_wolf__ has quit IRC (IL.Quit: I was using Ghost_Rider Script version 2.0)
  222. [18:20] <Raven> most of today's server programs let u do it
  223. [18:20] <TheJoker> most admins do it.
  224. [18:20] <squiler> redhat linux 5.2 --- you learn the os
  225. [18:20] <c0c0> Kernel 2.0.36 on an i586
  226. [18:20] <squiler> and the system
  227. [18:20] <Raven> so suppose we've changed the daemon banner
  228. [18:20] <TheJoker> Red Hat Linux release 1.2 (Apollo)
  229. [18:20] <Raven> but what if...
  230. [18:20] <squiler> ...
  231. [18:20] <Raven> we're dealing with a smarter script kiddie?
  232. [18:21] <Raven> (ph33r)
  233. [18:21] <squiler> they exist?
  234. [18:21] <Raven> yeah
  235. [18:21] <squiler> :)
  236. [18:21] <Raven> there are some
  237. [18:21] <TheJoker> nmap!
  238. [18:21] <INTJ> yes, unfortunately ;p
  239. [18:21] <Raven> yup
  240. [18:21] <Raven> www.insecure.org
  241. [18:21] <Raven> download nmap
  242. [18:21] <c0c0> queso may be?
  243. [18:21] <Raven> how does nmap work?
  244. [18:21] <INTJ> winfingerptint.exe
  245. [18:21] <Raven> queso too
  246. [18:21] <Raven> winfingerprint too
  247. [18:21] <Raven> winfingerprint is for windows
  248. [18:21] <Raven> the others are for unix
  249. [18:21] <Raven> get them all at packetstorm.securify.com
  250. [18:21] <INTJ> windows nt
  251. [18:21] <Raven> how do they work?
  252. [18:21] <Raven> pretty simple
  253. [18:21] <Raven> each OS has what we call tcp/ip fingerprints
  254. [18:21] <Raven> why?
  255. [18:22] <TheJoker> it trys all these same techniques don't it?
  256. [18:22] <Raven> because each os implements tcp/ip in a different way
  257. [18:22] <Raven> kinda
  258. [18:22] <Raven> yeah
  259. [18:22] <Raven> basically, nmap and the others are just port scanners
  260. [18:22] <TheJoker> ya now I remember
  261. [18:22] <Raven> but they do more
  262. [18:22] <Raven> they can detect these fingerprints
  263. [18:22] <Raven> and give definitive information
  264. [18:22] <INTJ> this irc server gives a lot if advertising msgs..
  265. [18:22] <TheJoker> the win tcp/ip stack is easy to detect 
  266. [18:22] <Raven> yes, it's the easiest
  267. [18:22] <Raven> windows is the easiest to detect
  268. [18:23] <Raven> detecting the difference between two similar unix distributions is harder
  269. [18:23] <Raven> detecting the differences between, say, some unix and windows
  270. [18:23] <Raven> or mac and windows
  271. [18:23] <Raven> is fairly easy
  272. [18:23] <Seeker> could you spoof fingerprints? as an admin i mean
  273. [18:23] <Raven> so our smart and elite script kiddie grabs his copy of nmap
  274. [18:23] <INTJ> how bout between linux distro or *bsd?
  275. [18:23] <TheJoker> but nmap uses a combo of all the techniques.
  276. [18:23] <Raven> technically, u can, but it takes a lot of messing around with code and stuff
  277. [18:24] <Raven> and u probably won't be able to do it well
  278. [18:24] <Raven> nor hide from all techniques
  279. [18:24] <Raven> also, nmap does other things
  280. [18:24] <Raven> it's a portscanner that can also scan through firewalls
  281. [18:24] <TheJoker> but do your really have too hide?
  282. [18:24] <Raven> more on nmap's website and nmap's man pages
  283. [18:24] <Raven> (it installs a manpage)
  284. [18:24] <Raven> (so u type man nmap after u install it)
  285. [18:24] <Raven> (and it explains everything)
  286. [18:24] <Raven> www.insecure.org/nmap
  287. [18:25] <TheJoker> arent your lost in say ftp trafic when ftping?
  288. [18:25] <Raven> well, if u reveal critical information about ur system
  289. [18:25] <Raven> u might be helping a cracker
  290. [18:25] <Raven> TheJoker: say again plz?
  291. [18:25] <TheJoker> does the cracker have to worry about hiding?
  292. [18:26] <Raven> yes
  293. [18:26] <Raven> so the cracker would implement some techniques
  294. [18:26] <TheJoker> wont' he/she be lost in trafic?
  295. [18:26] <Raven> such as the ones described in blacksun.box.sk/anonymity.txt
  296. [18:26] <Raven> generally, yes
  297. [18:26] <Raven> but there are IDSs
  298. [18:26] <Raven> IDS = Intrusion Detection System
  299. [18:26] <TheJoker> dynamic IPs now days
  300. [18:26] <Raven> they go over traffic
  301. [18:26] <Raven> and highlight several parts in the logs
  302. [18:26] <squiler> is a proxy enough to hide?
  303. [18:26] <Raven> which might mean a cracking attempt
  304. [18:26] *** c0c0 has quit IRC (Ping timeout)
  305. [18:26] <Raven> bouncing ur connection would usually suffice
  306. [18:27] <Raven> okay, that's it. if u miss something, just wait for the logs to come out
  307. [18:27] <INTJ> if the proxy party cooperate w/ us ;p
  308. [18:27] <Raven> or...
  309. [18:27] <Raven> suppose we telnet to nether.net
  310. [18:27] <Raven> and get a free shell account
  311. [18:27] <Raven> and then break out
  312. [18:27] <Raven> and manage to get root
  313. [18:27] <Raven> (suppose we do it from a public place so they can't trace us back home)
  314. [18:27] <Raven> now we have a root shell on nether.net
  315. [18:27] <Raven> and we can run exploits and hack from them
  316. [18:27] <TheJoker>  http://freebooks.hypermart.net/proxy/proxiesn.htm
  317. [18:28] <Raven> :-)
  318. [18:28] <TheJoker> free proxies worldwide
  319. [18:28] <squiler> nether.net is the best free shell provider
  320. [18:28] <Raven> okay, so these were phase one and two
  321. [18:28] <Raven> phase one - info gathering
  322. [18:28] <Raven> two - searching online databases
  323. [18:28] <Raven> now, suppose we're in
  324. [18:28] <Raven> now comes phase three
  325. [18:28] <Raven> no, not defacing the website!
  326. [18:28] <Raven> or dns database
  327. [18:28] <Raven> we have some other things to worry about
  328. [18:29] <Raven> first we need to clean out presence from the logs
  329. [18:29] <TheJoker> logs?
  330. [18:29] <Raven> or the admin might realize he got cracked
  331. [18:29] <squiler> thats what i'm doing right now
  332. [18:29] <Raven> and put more effort into security
  333. [18:29] <squiler> :)
  334. [18:29] <Raven> :-)
  335. [18:29] <INTJ> this is where rootkit comes in ;p
  336. [18:29] <Raven> not these logs!
  337. [18:29] <squiler> hahaha
  338. [18:29] <Raven> yeah, rootkits automate such processes
  339. [18:29] <TheJoker> :p)
  340. [18:29] *** INTJ has quit IRC (No route to host)
  341. [18:29] * Chaotic_Thought grins
  342. [18:29] <Raven> fun for the whole family
  343. [18:29] <squiler> how does a rootkit actaully work?
  344. [18:29] <Raven> so now that we've cleaned our presence from the logs
  345. [18:30] <Raven> it's just an automated script
  346. [18:30] <Raven> it automates some tasks for u
  347. [18:30] <Raven> they only work on specific configurations
  348. [18:30] *** INTJ has joined #bsrf
  349. [18:30] <Raven> of course, if we only clean the standard logs like klog (kernel logger) and syslog (system logger)
  350. [18:30] <INTJ> shoot, israel.net closed me
  351. [18:30] <Raven> it might now be enough
  352. [18:30] <Raven> don't worry, just get someone to give u the logs at the end of the lecture
  353. [18:31] <Raven> okay, so if we only cleaned syslog and klog
  354. [18:31] <Raven> we might have still left some trace
  355. [18:31] <Raven> maybe the admin is using an external logging system?
  356. [18:31] <Raven> could be...
  357. [18:31] <TheJoker> in being rooted?
  358. [18:31] <Raven> hey, when ur done with the lecture, plz send the logs to tplec@zipmail.com.br (sniper wolf) and to me (barakirs@netvision.net.il)
  359. [18:31] <Raven> now, suppose we're a cracker
  360. [18:31] <Raven> and we've cleaned syslog and klog
  361. [18:32] <Raven> but the admin was using some external logger
  362. [18:32] <Raven> WHOOPS!
  363. [18:32] <Raven> we've left some presence
  364. [18:32] <TheJoker> dead
  365. [18:32] <Seeker> wed be screwed.. 
  366. [18:32] <Raven> now, phase 4
  367. [18:32] <Chaotic_Thought> Do u want logs edited somewhat?
  368. [18:32] *** SnIpEr_WoLf_ has quit IRC (IL.Quit: 12Delta 3.4 15,1- 14Dark15 Il16lu15mina14tion 15- - [ http://delta.cjb.net ])
  369. [18:32] <squiler> how do you get around that?
  370. [18:32] <Raven> so u need to do some research on the machine
  371. [18:32] <Raven> browse around in it's directories
  372. [18:32] <Raven> see what u can find
  373. [18:32] <Raven> and of course, u must have a lot of experience
  374. [18:32] <Seeker> can one practice that?
  375. [18:32] <Raven> install some log cleaners on urself
  376. [18:33] <Raven> mess around with external logging programs
  377. [18:33] <Raven> etc' etc'
  378. [18:33] <TheJoker> skript kiddies dont though
  379. [18:33] <INTJ> rootkit
  380. [18:33] <Raven> that's right
  381. [18:33] <Raven> u can practice that on ur own box
  382. [18:33] <Raven> script kiddies hardly ever practice
  383. [18:33] <Raven> the average script kiddie would skip phases 3 and 4
  384. [18:33] <Raven> phase 3 - deleting urself from the logs
  385. [18:33] <INTJ> rootkit can make logging exclude our doings
  386. [18:33] <Raven> phase 4 - installing a backdoor
  387. [18:33] <Raven> (we'll get to that)
  388. [18:34] <Raven> btw, DO NOT just delete the logs!
  389. [18:34] <Raven> this will surely get the admin to notice
  390. [18:34] <Raven> DUH!!
  391. [18:34] <Raven> that's the dumbest thing u could possibly do
  392. [18:34] <TheJoker> just your intries!
  393. [18:34] <Raven> exactly
  394. [18:34] <Raven> u can also change ur entries
  395. [18:34] <Raven> and make them look like something more legitimate
  396. [18:34] <Raven> of course, u have to make sure they look authentic
  397. [18:34] <TheJoker> skript kiddies would'nt know thier entries form others would they?
  398. [18:35] <Raven> yup - experience with loggers
  399. [18:35] <Raven> yeah
  400. [18:35] <Raven> okay, let's move on
  401. [18:35] <Raven> suppose this whole process of cracking into the machine and cleaning the logs
  402. [18:35] <Raven> took u...
  403. [18:35] <Raven> 5 minutes...
  404. [18:35] <Raven> 30 minutes...
  405. [18:35] <Raven> maybe a couple of hours
  406. [18:35] <Raven> a day?
  407. [18:35] <Raven> ;-)
  408. [18:35] <Seeker> *g*
  409. [18:35] <Raven> u wouldn't want to repeat that whenever u step in, would u?
  410. [18:36] <Raven> this is what backdoors are for
  411. [18:36] <squiler> hell no
  412. [18:36] <TheJoker> no 
  413. [18:36] <TheJoker> ya!
  414. [18:36] <Raven> the most basic one is:
  415. [18:36] <Raven> useradd my-backdoor
  416. [18:36] <Raven> password my-backdoor my-new-pass
  417. [18:36] <Raven> we've just added a new user
  418. [18:36] <INTJ> passwd
  419. [18:36] <Raven> oops
  420. [18:36] <TheJoker> you would'nt use my-backdoor!
  421. [18:36] <Raven> passwd my-backdoor my-new-pass
  422. [18:36] <Raven> sorry
  423. [18:36] <Raven> yes, of course
  424. [18:37] <INTJ> adduser
  425. [18:37] <Raven> or useradd
  426. [18:37] <TheJoker> haha
  427. [18:37] <Raven> :-)
  428. [18:37] <Raven> depends on the system
  429. [18:37] <Raven> and on...
  430. [18:37] <Raven> nevermind!
  431. [18:37] <Raven> off-topic
  432. [18:37] <TheJoker> hehe
  433. [18:37] <Raven> it really doesn't matter
  434. [18:37] <INTJ> you wanna do clickings in win ;p
  435. [18:37] <Raven> now we edit the passwd file
  436. [18:37] <Raven> and give the new account uid 0 and gid 0
  437. [18:37] <Raven> user id 0 = root access!
  438. [18:37] <Raven> access to ANYTHING
  439. [18:37] <Seeker> not always
  440. [18:37] <Raven> group id 0 = root's group
  441. [18:38] <Raven> yes, of course
  442. [18:38] <Raven> but usually
  443. [18:38] <Raven> u can change anything on unix boxes
  444. [18:38] <Seeker> SuSE has extreme restrictions, then you cant do some stuff
  445. [18:38] <TheJoker> the admin would notice a new god mode user!
  446. [18:38] <Raven> exactly!
  447. [18:38] <Raven> that's why it's the most obvious backdoor
  448. [18:38] <INTJ> there's a program for unix that can restrict uid 0 guid 0 permissions
  449. [18:38] <Raven> a new god user would fire up some alarms, now wouldn't it?
  450. [18:38] <Raven> that's also true
  451. [18:38] <TheJoker> ya!
  452. [18:39] <Raven> so no smart cracker would use this method
  453. [18:39] <Raven> another possible method:
  454. [18:39] <Raven> taking some backdoor noone uses
  455. [18:39] <Raven> and trojan it
  456. [18:39] <Raven> oops, i mean daemon
  457. [18:39] <Raven> taking some daemon
  458. [18:39] <Raven> and trojaning it
  459. [18:39] <TheJoker> what about cracking the passwd file?
  460. [18:39] <Raven> no, we already have root access
  461. [18:39] <INTJ> sshd daemon is a good one
  462. [18:39] <Raven> usually u won't need root's password
  463. [18:40] <Raven> u'll just run an exploit and get a root shell
  464. [18:40] <TheJoker> but after your in
  465. [18:40] <Raven> another possible backdoor:
  466. [18:40] <Raven> trojaning some daemon
  467. [18:40] <TheJoker> crack it and then you'll be able to get back in
  468. [18:40] <Raven> so the daemon would appear to be working just fine
  469. [18:40] <Raven> and will do everything naturally
  470. [18:40] <Raven> but will also allow the cracker to get a root shell
  471. [18:40] <Raven> but...
  472. [18:40] <Raven> what if the admin is running checksum checks?
  473. [18:41] <INTJ> tripwire
  474. [18:41] <Seeker> change them too... only problem left: time stamps
  475. [18:41] <Raven> there are programs out there, such as tripwire, which check the file sizes of files
  476. [18:41] <Raven> and let's the admin know when they're changed
  477. [18:41] <Raven> critical files
  478. [18:41] <Raven> that's true too
  479. [18:41] <Raven> the file's "last changed date" would also change
  480. [18:41] <Raven> sure, u can go around all of this...
  481. [18:41] <Raven> but this only means more variables
  482. [18:41] <Raven> more places where u can fail
  483. [18:41] <Raven> or make a mistake
  484. [18:41] <TheJoker> you could change sys time before you mod the file :p)
  485. [18:42] <Raven> and reveal urself
  486. [18:42] <Raven> of course, but that would be noticed
  487. [18:42] *** [S]hun has joined #bsrf
  488. [18:42] <Raven> this is one of the main reasons that u need to make sure the admin is not present when u crack
  489. [18:42] <Raven> using finger
  490. [18:42] <Raven> if finger is available
  491. [18:42] <Raven> finger @target-host.com
  492. [18:42] <TheJoker> not much anymore.
  493. [18:42] <Raven> yeah
  494. [18:42] <Raven> it's hard to find an admin
  495. [18:42] <Raven> that is dumb enough
  496. [18:42] <Raven> to run finger!
  497. [18:43] <INTJ> who
  498. [18:43] <Raven> suppose netvision.net.il (my isp) was running fingerd (finger daemon)
  499. [18:43] <INTJ> run 'who'
  500. [18:43] <Raven> ppl would just be able to do finger barakirs@netvision.net.il
  501. [18:43] <Raven> and get tons of information about me
  502. [18:43] <Raven> yes, of course, once you're in, u can use commands such as who
  503. [18:43] <squiler> you would have to be on the system to use who
  504. [18:43] <INTJ> ps aux
  505. [18:43] <Raven> exactly
  506. [18:43] <Raven> ps -aux
  507. [18:43] <Raven> this will show ALL running processes
  508. [18:43] <Raven> useful too
  509. [18:43] <Raven> sometimes to find loggers
  510. [18:44] <Raven> but the admin can change the process names of the loggers
  511. [18:44] <INTJ> we can send the admin xxx passwd to distract him ;p
  512. [18:44] <Raven> now, here's another method
  513. [18:44] <Raven> using the r services
  514. [18:44] <Raven> especially rlogin
  515. [18:44] <Raven> go read rlogin's man page
  516. [18:44] <Raven> wait, lemme quote it
  517. [18:44] <Raven> okay, nm, lemme write something of my own
  518. [18:45] <Raven> rlogin is based on trust systems
  519. [18:45] <Raven> for example:
  520. [18:45] <Raven> suppose u require anyone who comes over to ur house to give a password
  521. [18:45] <Raven> three knocks or something
  522. [18:45] <Raven> some password...
  523. [18:45] <Raven> but suddenly, ur best friends comes over
  524. [18:45] <TheJoker> 4 is better
  525. [18:45] <Raven> and he doesn't know the password
  526. [18:45] <Raven> :-)
  527. [18:45] <Raven> will u let him in?
  528. [18:45] <Raven> of course u will!
  529. [18:45] <Seeker> no
  530. [18:45] <Raven> u trust him
  531. [18:45] <Raven> lol
  532. [18:45] <TheJoker> heck no!
  533. [18:45] <Raven> u wouldn't
  534. [18:45] <Raven> trust systems would
  535. [18:46] <TheJoker> they suck!
  536. [18:46] <Raven> they're also good for more user-friendlyness
  537. [18:46] <TheJoker> I don't want my ps to be friendly
  538. [18:46] <squiler> send me the log please i must go
  539. [18:46] <Raven> so dumb clerks won't have to type in passwords all the time
  540. [18:46] <TheJoker> sorry pc
  541. [18:46] <Seeker> micro$oft? *eg*
  542. [18:46] *** squiler has quit IRC (IL.Quit: Leaving)
  543. [18:46] <Raven> now, trust systems are also serious security hazards
  544. [18:47] <Raven> go to blacksun.box.sk/books.html and read 'IP Spoofing Demystified' later
  545. [18:47] <Raven> now, let's take rlogin for example
  546. [18:47] <TheJoker> it was good.
  547. [18:47] <Raven> suppose u put a file:
  548. [18:47] <Raven> called /etc/rhosts
  549. [18:47] <Raven> put a file called rhosts in /etc
  550. [18:47] <Raven> which will look like this:
  551. [18:48] <Raven> somehost.com someuser
  552. [18:48] <Raven> the user someuser from somehost.com will be able to do:
  553. [18:48] <TheJoker> loggers would catch it?
  554. [18:48] <Raven> just a sec
  555. [18:48] <Raven> he'll be able to use rlogin
  556. [18:48] <Raven> to remotely login to this bx
  557. [18:48] <Raven> to remotely login to this box
  558. [18:48] <Raven> as ANY user
  559. [18:48] <Raven> or if u put an .rhosts file in a user's home directory
  560. [18:48] <Raven> he'll be able to log in as that user
  561. [18:48] <Raven> ANOTHER POSSIBLE BACKDOOR!
  562. [18:48] <Raven> but wait...
  563. [18:49] <Raven> that's fairly noticable, isn't it?
  564. [18:49] <TheJoker> ya
  565. [18:49] <Raven> most backdoors are
  566. [18:49] <Raven> so we need to put a lot of thought into it
  567. [18:49] <Raven> and some luck
  568. [18:49] <Raven> and make sure the admin is as dumb as possible
  569. [18:49] <TheJoker> should you make backup back doors?
  570. [18:49] <Raven> yes
  571. [18:49] <Raven> always
  572. [18:49] <Raven> on the other hand
  573. [18:49] <Raven> more backdoors
  574. [18:49] <Raven> would mean more chances
  575. [18:49] <Raven> that the admin will notice something wrong
  576. [18:49] <Raven> suppose u were an admin
  577. [18:50] <TheJoker> like a stupid one to make them think that they got you?
  578. [18:50] <Raven> and u would have suddenly noticed a backdoor
  579. [18:50] <Raven> u would panic, right?
  580. [18:50] <Raven> and put a lot more effort into security
  581. [18:50] <Raven> download every scanner u can find
  582. [18:50] <Raven> roam your system for backdoors and holes
  583. [18:50] <Raven> perhaps
  584. [18:50] <Raven> but they might find the stupid backdoor
  585. [18:50] <Raven> and then go crazy
  586. [18:50] <Raven> search the system
  587. [18:50] <Raven> and find ur other backdoors
  588. [18:50] <TheJoker> ya it's all luck,
  589. [18:50] <INTJ> but a very smart admin had setup a honeypot ;p
  590. [18:50] <Raven> exactly
  591. [18:50] <Raven> yup
  592. [18:50] <Raven> honeypots are kewl
  593. [18:51] <Raven> he would attract a cracker
  594. [18:51] <Raven> and then...
  595. [18:51] <Raven> KABOOM!!
  596. [18:51] <[S]hun> Whats honeypot ?
  597. [18:51] <TheJoker> ;P)
  598. [18:51] <Raven> or something...
  599. [18:51] <TheJoker> boobie trap
  600. [18:51] <Raven> a honeypot is a host or a certain situation that will attract crackers
  601. [18:51] <INTJ> KABOOM? the mail bomber? ;p hahaha
  602. [18:51] <Raven> the admin will monitor his honeypot
  603. [18:51] <Raven> see if there are any bees trapped inside
  604. [18:52] <Raven> and then, once he sees something...
  605. [18:52] <Raven> he would realize that he's being attacked
  606. [18:52] <Raven> and maybe call the police
  607. [18:52] <Raven> or Robert Frost!!
  608. [18:52] <Raven> MWHAHAHAHA!!
  609. [18:52] <Raven> (the poet)
  610. [18:52] <Raven> nevermind, forget it
  611. [18:52] <Chaotic_Thought> :)
  612. [18:52] <Raven> private joke
  613. [18:52] <TheJoker> sounds like a personal problem
  614. [18:52] <Raven> so that was phase 4
  615. [18:53] <Raven> now, we're in
  616. [18:53] <Raven> we've cleaned the logs
  617. [18:53] <Raven> we have a backdoor
  618. [18:53] <Raven> now we only have one thing left to do:
  619. [18:53] <INTJ> inflate ego in irc
  620. [18:53] <Raven> utilize the box
  621. [18:53] <Raven> perhaps for mailbombing someone
  622. [18:53] <Raven> perhaps for installing bots on it
  623. [18:53] <Raven> or flooding
  624. [18:53] <INTJ> vhost
  625. [18:53] <Raven> or defacing the website on the box
  626. [18:53] <INTJ> hack another box
  627. [18:53] *** rekaerf has joined #bsrf
  628. [18:53] <Raven> yup, u can also set a virtual host on this box
  629. [18:53] <rekaerf> hey
  630. [18:54] <Raven> yes, or start other attacks against other hosts from this newly cracked one
  631. [18:54] <TheJoker> or just screw the system and kill a business
  632. [18:54] <Raven> yes, that's also true
  633. [18:54] <Raven> or...
  634. [18:54] <Raven> corporate espionage
  635. [18:54] <TheJoker> yummy!
  636. [18:54] <Raven> if ur a corporate spy
  637. [18:54] <INTJ> credit card numbers ;p
  638. [18:54] <Raven> u could get info and stuff
  639. [18:54] *** blu3h4z3 has joined #bsrf
  640. [18:54] <Raven> or maybe acccess credit card databases
  641. [18:54] <Raven> or other sensitive information
  642. [18:54] <Raven> so that was phase 5
  643. [18:55] <Raven> which is...
  644. [18:55] <Raven> well, the last phase
  645. [18:55] <Seeker> LOL
  646. [18:55] <Raven> thank u all for coming over to the lecture
  647. [18:55] <[S]hun> hmm, I think I missed the first few parts
  648. [18:55] <[S]hun> where can I get the logs ?
  649. [18:55] <blu3h4z3> argh, I missed the whole thing@
  650. [18:55] <Chaotic_Thought> it was cool
  651. [18:55] <Raven> ouch
  652. [18:55] <[S]hun> on blacksun/ ?
  653. [18:55] <TheJoker> na ni na na boo boo!
  654. [18:55] <Seeker> it was good yes
  655. [18:55] <Raven> someone send me his logs plz
  656. [18:55] <INTJ> hahaha
  657. [18:55] <Seeker> interesting
  658. [18:55] <TheJoker> nice job Raven
  659. [18:56] <Chaotic_Thought> RaveN, u want logs sorta edited?
  660. [18:56] <INTJ> edit the personal joke!!! hahaha ;p
  661. [18:56] <Raven> sorta edited?
  662. [18:56] <Raven> whaddya mean?
  663. [18:56] <Chaotic_Thought> Like, I was talking before lecture
  664. [18:56] <Raven> seeker, u didn't miss any parts of the lecture, right?
  665. [18:56] <blu3h4z3> no uncut and unedited
  666. [18:56] <Chaotic_Thought> Want that out?
  667. [18:56] <Raven> nm, seeker is sending me his logs
  668. [18:57] *** rekaerf has quit IRC (IL.Quit: I was using Ghost_Rider Script version 2.0)
  669. [18:57] <Raven> in a whopping 0.6429k per second speed
  670. [18:57] <[S]hun> haha
  671. [18:57] <Raven> #  │ Type  │ Nick      │ Percent Complete        │ K/s   │ File
  672. [18:57] <Raven> ──────────────────────────────────────────────────────────────────────────────
  673. [18:57] <Raven> 1#   GET     seeker      ▒▓█▓▒░ ░▒░ 94.6%      00:02  0.6395  #bsrf_20000122.log
  674. [18:57] <Raven> ∙φ∙ DCC Warning: incoming file is larger than the handshake said
  675. [18:57] <Raven> ∙φ∙ DCC Warning: GET: closing connection
  676. [18:57] * Seeker grins
  677. [18:57] <Raven> send again plz
  678. Session Close: Sat Jan 22 18:57:32 2000
  679.