The Hacker's Encyclopedia 1998

home *** CD-ROM | disk | FTP | other *** search

/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / n0way2.txt < prev next >

Wrap

Text File | 2003-06-11 | 164.8 KB | 3,928 lines

-%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.1 27 Juin 1994 \-------------------/ > N0 WAY II < /-------------------\ Nous revoila avec N0 WAY, plus fort que jamais. L'underground francais se cristalise et ca fait bien peur à tous ces empaffés comme FT, la DST, Matra, SAT etc... Beaucoups de choses bougent et pas seulement en France, par exemple aux USA avec une totale méfiance vis a vis du CERT par exemple qui s'est diffusé sur tout le réseau Internet. Les Autorités sont de plus en plus prises à la dérision et ce n'est pas un mal. Je suis donc très heureux de vous présenter le deuxième numéro de N0 WAY. De nouveaux auteurs se sont démenés pour vous présenter des articles de qualité. C'est dans une ambiance bizarre que continuent les scènes Américaines, Anglaises etc... En effet, depuis quelques temps on a appris que de grandes figures de l'underground avaient collaborés avec les Secret Services et avaient fait tomber encore plus de personnes. C'est aussi en sachant très bien qu'ils sont monitorés que des centaines de hackers & phone phreaks continuent leurs balades nocturnes. En fait on se rend compte que c'est devenu impossible de se cacher totalement des agences en trois lettres. Les lignes sont tracées dans tous les pays développés. Sur les factures des cartes france telecom, il y a même le numéro d'appel et le numéro appelé. Les Calling Cards sont toutes monitorées par un tracer et quelques phreaks francais on subit les foudres de Sprint, AT&T et France Telecom. Mais de nouveaux horizons montrent bien que le hacking et le phone phreaking ne mourront jamais: La téléphonie cellulaire du GSM commence à être analysée et disséquée montrant des failles assez grosses pour y faire passer un 33 tonnes; Les hackers de l'Internet dévoilent des failles de conceptions des protocoles TCP/IP avec le Source Routing (aussi appelé IP Spoofing); Les hackers en général ont mis au point des techniques encore plus perfectionnées pour faire du TEMPEST pour un bas prix. Bref, tout le monde avance, et pas seulement les V & les PTT. Pour contacter l'équipe de N0 WAY, veuillez écrire uniquement à la boite aux lettres suivante: NEURALIEN sur RTC ONE au: +33 1 48 70 10 29 (V23) +33 1 48 58 46 17 (V23) +33 1 49 88 76 91 (19200) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Disclaimer: Cette publication électronique peut contenir des informations, données et articles interdits dans certains pays. Si les informations de cette publication sont interdites dans un pays, il est du devoir du lecteur de vérifier qu'il a bien le droit de posséder et de lire (ahahahaha :-) cette publication. Les auteurs et éditeurs ne sont en aucun cas responsables d'une mauvaise utilisation des informations publiées. Pour les attaques en diffamation et autres conneries bonne pour les censeurs, allez voir qui vous croyez être l'éditeur.... Pour la simple et bonne raison que de responsable de la publication et d'éditeur il n'y en a pas!!! Les informations fournies dans cette publication sont à titre informatifs uniquement. Nous ne vous garantissons rien et si ca vous plait pas allez lire autre chose! Hahahahahahahahahaha... Toutefois, la diffusion et la lecture de ce bulletin PRIVE est restreinte à toutes les personnes dans l'underground informatique. Ne font pas partie de l'underground informatique tel que je le concoit les personnes suivantes: Membres d'équipes de sécurité publiques ou privés, personnes affiliées à des agences gouvernementales, informateurs quelconques, responsables sécurités et autres empaffés se croyant supérieur de par leur titre. Lire ce bulletin en n'étant pas dans l'underground informatique constitue donc une violation des lois de Copyright et de Propriété Intellectuelle ainsi qu'un acte de malveillance envers les auteurs et les rédacteurs car il revient à lire des informations propriétaires. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Après ça, c'est pas la DST qui peut nous faire un procès pour N0 WAY... "Quoi? Vous avez lu de la documentation propriétaire et secrète alors que vous faites partie d'une agence de sécurité????" -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.2 Table des matières: ~~~~~~~~~~~~~~~~~~ # Titre Auteur Taille 2.1 : Introduction N0 Way Team 4 Ko 2.2 : Table des matières N0 Way Team 1 Ko 2.3 : Echec aux pions NeurAlien 10 Ko 2.4 : The complete Novell Hackers Guide Arscene 40 Ko 2.5 : Telsat 8x50 de Satelcom * NeurAlien 10 Ko 2.6 : Hack'n' phreaking on PBX EasyHacker 35 Ko 2.7 : Cellular Telephone Managing System * NeurAlien 5 Ko 2.8 : VMB's sur Memory Call CrAzY ToNe 14 Ko 2.9 : Unlock the FTH numerical lock * NeurAlien 7 Ko 2.10: International Toll Free Number * NeurAlien 7 Ko 2.11: Telecom Information NeurAlien 8 Ko 2.12: Carte Bancaire VISA D. O'CONNELL 14 Ko 2.13: NUI * NeurAlien 6 Ko 2.14: Comment s'amuser avec un simple telephone NeurAlien 5 Ko Nota: une étoile (*) après le nom de l'article veut dire que cet article a été fait pour CORE DUMP et ressort pour N0 WAY. -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.3 Echec aux pions Vous, membres de la communauté galactique, vous avez déja entendu parler de la toute puissante DST. Cette institution nationale qui sous le couvert du maintien de l'ordre vous espionne nuit et jour. En lisant cet article, vous connaitrez comment la pluspart des informations arrivent aux "grandes oreilles" de l'état. La population de l'underground informatique est tres concernée par cette institution. Nous, hackers, phone phreaks et cyberpunks, sommes les aventuriers des nouvelles technologie. Il n'y a plus beaucoup de mondes inconnus et non maitrisés. L'informatique est l'un de ceux la. C'est pourquoi la DST cherche a controler la FORCE que nous sommes. De nombreux hackers ont été "maitrisés" par la DST et certains d'entre eux travaillent avec. Leurs méthodes sont efficaces (voir autre article de N0 WAY II) mais une de leur plus effroyable tactique se joue sur le plan humain. I. Un peu d'histoire... Une personne que je connais se fit un jour arreter. A 6 heure du matin, il fut réveillé par une petite équipe d'inspecteurs de la DST pour répondre de certains piratage. Comment l'avaient il trouvé? Il s'était d'abord juré de ne jamais révèler son nom ni adresse ni téléphone à quiconque sur le réseau. Puis ayant fait connaissance avec des personnes qu'il considérait comme ses meilleurs amis, il échangea son numéro de téléphone avec l'une d'entre elles. FINI ! La règle était enfreinte, la magie du réseau était brisée! Le dernier bastion des contacts anonymes venait de voler en éclat. Mais, cela voudrait il dire que la DST écoutait toutes les communications informatiques? Non, pas du tout. Il faut savoir que la DST a PEU DE MOYENS FINANCIERS. Ils n'ont pas de fric! Par contre, ils possèdent des relations en grande quantité. La DST par contre a une grande mémoire. Ils peuvent très bien vous faire avouer votre "méfait" informatique en menacant de reveler quelque chose de comprommettant sur vous. (Hehe, faites comme moi: je suis comme je suis et rien a foutre de mon image! C'est exactement le comportement qui les gene: le "Rien a battre !"). C'est comme ca que certainnes personnes deviennent des espions de la DST. La DST leur dit: On vous couvre si il y a un problème avec la justice (plaintes etc...) Vous nous donnez en échange toutes les données qui nous interresse sur telle personne ou tel ami. Il est tres facile pour eux de transformer n'importe qui en une taupe. Ils disent: ca vous facilitera la vie plus tard, on se debrouillera pour que vous n'ayez jamais d'ennui. Et telle est la pièce maitresse de leur jeu, LES TAUPES ! Ce sont les taupes qui permettent à la DST d'attraper des pirates. Les inspecteurs de la DST sont trop cons et pas assez dans le courant pour se faire passer pour des hackers. Ils _utilisent_ donc d'autres pirates qui se seront fait tauper. Ils gardent toujours la trace de plusieurs taupes et des qu'ils ont besoin de l'une d'elle à cause de ses fréquentations, la DST va rechercher dans sa "grande mémoire" la taupe adéquate. Là on peut se poser la question: Si c'est la taupe qui fait tomber un mec qui devient une taupe etc... C'est toujours la DST qui est perdante car personne ne sera jamais incuple ni mis hors-service? C'est vrai, ça pourrait être le cas mais ce serait oublier quelque chose: Les enquètes se divisent en 2 parties: - enquètes de sécurité (95% des cas) - enquètes judiciaires (5% des cas) Les taupes sont TOUJOURS dénichées lors d'enquètes de sécurité, donc si vous recevez la visite d'une équipe de la DST et qu'ils ne vous font pas faire de Garde à vue ni de déposition ni ne vous présentent un mandat, il est très possible que dans quelques temps (le délai peut être de l'ordre du jour ou de l'année) vous soyez recontacté pour avoir des informations, en vous menacant de vous balancer dans les mains d'un juge. Généralement, le pion est une personne qui a peu de valeur pour la DST mais qui peut connaitre des personnes beaucoup plus interressantes; Et bien sûr on utilise les taupes lors d'enquètes judiciaires car ce sont les seules qui doivent impérativement aboutir. Ainsi la DST dispose dee multiples _pions_ ou taupes dans les différents milieux tels que celui de l'underground informatique. Ces pions sont facilement manipulables et fournissent tout le temps des informations de qualité. Pour entretenir la relation, la DST peut jouer sur deux tableaux: - flatter le pion en lui attribuant un poste, ou meme un grade (c'est purement fictif en fait vu que dans le civil (DST) il n'y a pas de grade). ("flatter le pion" revient à peu pres a lui "lécher le fion"... hahaha :)) désolé, je pouvais pas m'en empècher). - faire peur au pion en lui rappelant des faits ou en menacant de dévoiler des "secrets". Pour cela, ils n'hésitent sur rien: sexe, problemes d'argent, vol, relations incestueuses en esperant que la personne soit assez honteuse sur ce sujet pour avoir peur de ces révélations. (La bonne parade est de dire par exemple quand on vous montre des photos compromettantes avec comme personnage principal un LIT: "j'en veux 2 de celle ci et 5 de celle la, Bravo pour le tirage, c'est du beau travail" hehehe :)) effet garanti !) Au bout d'un certain temps, un pion peut devenir gênant. Il y a des cas comme celui là: Un jour, un pion est venu me voir et m'a dit qu'il était dans la merde. Au bout d'un bon quart d'heure, il m'a enfin dit qu'il avait été un pion pour la DST et qu'il avait permi d'inculper un mec qui se servait des Callings Cards pour appeler des amis de certains Cartels (pas plus la dessus). Ce pion en avait appris trop selon la DST et était devenu gênant. La solution qu'ils on trouvé à été de l'inculper AVEC le trafiquant en le menacant de révéler au trafiquant qu'il avait bossé avec eux. Bref, ca voulait dire des chaussures en béton pour visiter le fond le la Loire pour le pion en question. Pas mal non? Le pion a fermé sa gueule et s'en est pris plein la gueule tout en ayant tout le temps collaboré avec la DST. Vous comprenez maintenant comment une personne peut être arrêtée aussi facilement. II. Et c'est pas fini... C'est la même chose dans l'informatique ou dans toutes les professions sensibles, la DST place des pions un peu partout et s'en sert des qu'elle en a besoin. Par exemple, la DST envoie des émissaires comme Jean Luc Delacour dans beaucoup d'écoles pour faire des conférences sur la sécurité. En fait de conférences, ce sont de véritables séances de recrutement. Les écoles visées sont les grandes écoles, les écoles d'ingénieurs, les instituts etc... Une fois un pion installé dans une entreprise, la DST est sûre de pouvoir tout savoir sur cette société. Rien de plus difficile à detecter qu'une personne qui joue double jeu. En effet, juste un coup de téléphone suffit à une taupe pour informer la DST de telle ou telle chose. Les pions dans ce cas là sont toujours traitées avec respect mais ca leur attire en général de gros ennuis quand la DST leur demande de faire quelque chose contre la société ou ils travaillent. III. Comment se prémunir de ces morpions? Eh bien le meilleur moyen de se prémunir contre les morpions est de ne pas pouvoir en devenir un sois même. C'est plutôt dégradant de faire ce genre de boulot et j'ai jamais rencontré quelqu'un ayant fait ca qui soit fier de lui. Je le comprends totalement car il n'y a pas grand chose de plus désagréable que de trahir ses amis. Il ne faut pas se sentir vulnérable sur quelque chose. Leur but est de vous montrer que vous êtes faibles pour vous transformer en un outil qui leur sera pratique. Protégez vos amis, ne devenez pas un pion... ...retrouvez vos amis, cessez d'être un pion Pour cesser d'être un pion, ca peut être plus facile qu'on ne le pense. Déja, il faut savoir que le seul truc qui peut vous faire réellement tomber pour du piratage informatique ou du phreaking est l'aveu. Si vous avez avoué, RIEN NE SERT D'AIDER LA DST, ils ne renvoient JAMAIS l'ascenseur. ^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^ Si vous n'avez pas avoué et qu'ils ont des cahiers/feuilles/disques/HD montrant des intrusions ou des codes & mots de passes, ils ne peuvent rien en faire si vous savez quoi répondre. Ex: DST: Ces codes sont écrits de votre main, oui? Vous: c'est Vrai. D: Donc vous avez accèdé à ces codes? V: Non, jamais. D: Vous les avez au moins essayé non? V: Non, c'était juste marrant de les avoirs, ce qu'il y a après ne m'interresse pas. D: Vous vous foutez de ma gueule ou quoi? V: Voyons monsieur l'inspecteur, je n'oserai pas! D: Mais vous aviez la possibilité de rentrer sur ces machines? V: Oui. D: Donc vous venez de dire que les codes sont bons, vous êtes donc rentrés sur cette machine!!!?! V: NON. { c'est a ce genre question qu'il faut répondre toujours et invariablement NON } Si vous avouez, ce N'EST PAS GRAVE _TANT_ que vous ne signez pas la déposition, une fois la déposition signée il n'y a plus rien à faire. Une déposition non signée ne vaut rien. Ne vous faites pas duper, NE SIGNEZ JAMAIS RIEN sans bien vérifier que le document ne vous engage pas sur un aveu! - - - - Voila, j'espere que vous saurez tirer les lecons et les conclusions qui s'imposent de cet article. Noous sommes les alliés du 21ème siècle, ne nous laissons pas envahir par les collabos des réseaux ;) ++NeurAlien. Greetings to: Locksmith, Holz, Arscene, Coaxial Brain, Kom Breaker, Easy Hacker, Crazy Tone, Barkipper2, Fortan, O'Connell, Spy Hunter, FCS, Gandalf, Powahh et tous les autres hackers et phones phreakz de France et du monde. -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.4 ───────────────────────────────────────────────────────────────────────────── ╔═══════════════════════════════════╗ ║ The Complete Novell Hackers guide ║ ║ ║ ║ --== By ARSCENE ==-- ║ ║ ║ ║ For No Way ║ ╚═══════════════════════════════════╝ I) Introduction ~~~~~~~~~~~~~~~ Cet article va vous apprendre comment fonctionne la securité dans un reseau Novell Netware (L'info devrait etre valable pour tous les reseaux Novell Netware et meme d'autres reseau (pour les grands principes) mais les details sont ceux du Novell Netware 3.11 ou 386). Le fil directeur sera un 'How to hack' etape par etape avec des divergences quand cela s'impose. Il part du niveau debutant/moyen pour arriver a un niveau ou (j'espere) meme les gurus Novell y trouverons quelque chose de nouveau. Novell est le plus grand vendeur de reseau LAN au monde; il parait qu'il y a plus d'ordinateurs en reseau Novell que sur tout Internet. Vous trouverez ce type de reseau dans beaucoup de moyennes et grandes entreprises, dans des colleges/lycées et meme certaines facs. II) Gaining access ~~~~~~~~~~~~~~~~~~ La premiere chose a faire est de se trouver un compte, n'importe lequel, sur le reseau. Verifiez tout d'abord que les gestionnaires du reseau sont installés. Il y en a deux: IPX (La couche de base) et NETX ( Le API de Novell), mais ils peuvent avoir des noms un peu differents. Ils sont souvent lancés par le autoexec.bat ou se trouvent dans un repertoire du genre 'Netware' ou 'reseau' ou un truc comme ça. Maintenant allez sur le drive reseau (F, G, ...). Vous le reconnaitrez car le seul repertoire accessible s'appelle LOGIN. La tapez SLIST. Voici la liste des serveurs disponibles (capturez cela par un 'SLIST > c:\test.txt'). Le serveur avec [default] à coté est celui le plus proche de vous par les cables du reseau. Commençons par la. Il faut maintenant se logger. Tapez LOGIN. III) Trouvez un premier compte ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Notre but est de trouver un compte qui n'a pas de password. Par default SUPERVISOR et GUEST n'en ont pas (Il est egalement bon de savoir que ces comptes existent toujours car meme l'admin ne peut les effaçer). Normalement GUEST doit fonctionner. Si le reseau est censé etre en libre access (lycée, fac, bibliothéque, ...) il y aura souvent des BAT dans C:\ qui lancent certaines taches sur le reseau. Cherchez y des lignes du type LOGIN <server/user_id>. Essayez aussi des trucs du genre TAPE, BACKUP, SERVER, REMOTE, CONNECT, NOVELL, etc... Si vous voyez qu'un compte lance un BAT (c'est souvent le cas des backups) essayez CTRL-C pour le quitter et vous serez libre. Si vous n'avez toujours pas de compte il est temps d'utiliser vos talents de social engineering, preferablement sur des users, pas l'admin. IV) L'environnement Netware et les scripts ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A) L'environnement Netware: La première partie est traduite directement d'un article de The Butler parut dans Phrack 35 car cette partie de son article etait très bien: Le directory SYS:SYSTEM est utilisé pour l'administration du système et contient les fichiers de l'OS netware et des progs à l'usage exclusif du supervisor. Le directory SYS:PUBLIC est ouvert à tous et contient des outils divers (dont j'en presenterait quelques un plus loin). Le directory SYS:LOGIN contient, comme son nom l'indique, quelques progs pour se logger. Le directory SYS:MAIL est utlisé par des progs de mail ecrits pour Netware. Ce directory a aussi un sous-dir du nom du ID number pour chaque utilisateur qui contient son script de login et des configs pour l'imprimante (Les dirs des users autres que vous ne sont visibles que pour le supervisor). B) Les scripts de login La suite est egalement traduite du meme article de The Butler de Phrack (La traduction n'est pas telle quelle, je resume souvent): Le script de login est executé chaque fois que vous vous loggez et il prepare l'environnement pour vous. Il map des drives/directory du reseau pour que vous pouvez y acceder, il peut vous logger sur d'autres serveurs et executer des progs. Pour editer votre script une fois loggé lancez SYSCON, allez sur 'User Information', sur votre nom, puis sur 'Login Script'. Editez votre script puis quittez par <Esc> et confirmez. Pour que votre script s'execute vous devez faire Logout et a nouveau vous logger. Voici les commandes principales des script, une petite description (en Anglais, j'en ais mare de traduire) et un example: MAP INS16:= Inserts the drive as the next available search drive. MAP INS16:=pd3\sys:jan MAP drive:= Maps the specified drive to the given directory. MAP G:=pd3\sys:home\jan MAP *n:= Maps the next available drive to the given directory. MAP *1:=pd3\sys:home\jan # Runs an executable file (a file with an .EXE or .COM extension). #SYSCON REMARK These three commands allow you to insert explanatory text in * the login script. They will not appear on your screen. ; REMARK Be sure to update the PROJECTS file. * Check for new mail. ; Assign OS-dependent Search mappings. ATTACH Allows you to attach to other file servers while remaining logged in to your current file server. ATTACH pd3\jan SET Allows you to set DOS variables. SET wp="/u-jlw/" SET usr="jwilson" IF...THEN Executes certain commands, if a specified condition exists. IF DAY_OF_WEEK="Monday" THEN WRITE "AARGH..." Si quelque chose n'est pas clair essayez differentes manières et consultez le HELP qui est très explicite sur les scripts. Pour voir ce que vous avez Mappé tapez: MAP. Vous pouvez egalement rajouter des map avec cet outil. Examples: MAP J:= path <Enter> MAP J:= COUNT/SYS:HOME/MARIA <Enter> MAP S3:=COUNT/ACCT:ACCREC <Enter> V) Les utilitaires et tous les autres comptes ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Vous voici donc sur le reseau. Allez dans le root (disons que c'est le drive F). Si vous y voyez un directory SYSTEM et 2 fichiers .ERR alors votre compte a le niveau SUPERVISOR. Congratulez vous d'avoir un admin si stupide. (Normalement votre access ne sera que très limité). Allez dans le repertoire PUBLIC. Je vais vous presenter quelques utilitaires interressants: - USERLIST : Donne la liste des utilisateurs actuels du reseau. Très utile pour voir si le supervisor est connecté. Le compte avec un '*' a coté c'est vous. Capturez la sortie: 'USERLIST > c:\test2.txt'. Voici de nouveaux comptes à essayer. - RIGHTS : Affiche vos droits dans le directory actuel. Si vous avez 'S' votre compte est supervisor. 'A' c'est Access control, aussi assez interressant. 'W' est Write et peut vous permettre de faire transiter des fichiers a vous par le serveur (Par exemple pour y acceder a partir d'un ordinateur ou les floppy drives sont inaccessibles). Utilisez des noms judicieux pour bien dissimuler vos fichiers: MENU.OLD, ~TFG245.TMP, etc. Si vous trouvez une suite de fichiers du genre FIC1.EXT, FIC2.EXT, FIC3.EXT, etc alors appelez les votre FIC4.EXT et ainsi de suite. Le truc est que l'admin ne les remarque pas. Aussi evitez de changer leur ATTRIB car cela ne les rendra que plus visibles. - SEND : Vous permet d'envoyer des messages à un autre connecté. Syntaxe: SEND "Message bla bla" TO <USER_ID>. Notez que _tous_ les gens connectés sous le nom <USER_ID> reçoivent vos messages donc verifiez que votre destinataire est seul. Evitez de trop utiliser cet outil car il est lourd (il y a des CHAT en free/shareware beaucoup mieux) et a une facheuse tendance a reveiller l'admin. Un user peut bloquer/debloquer des messages (empecher qu'on ne lui envoit des messages) avec CASTOFF/CASTON - HELP : Comme son nom l'indique. Utilisez le à fond pour bien connaitre Novell, il est très bien fait. Vous pouvez egalement l'emporter chez vous en copiant les fichiers: 'NFOLIO.*' et '*.NFO'. - SYSCON : Le meilleur outil de tous. Vous allez etre amener a très bien le connaitre. Avant de le lancer executer un prog du type ScrollIt (shareware) qui permet de capturer l'ecran et de la sauvegarder dans un fichier. Après avoir lançé SYSCON allez sur l'option 'User Information' et, abracadabra, voiçi la liste de _tous_ les comptes possibles sur ce serveur. Utilisez maintenant ScrollIt pour sauvez cette liste dans c:\TEST3.TXT (Si la liste est plus longue qu'un ecran il faudra vous y prendre a plusieures fois). Cet outil vous permet de voir le niveau securité du compte que vous utilisez (allez sur son nom et faites Enter) ainsi que toutes les restrictions horaires, de stations, de place disque, etc. C'est egalement cet outil que vous utiliserez une fois loggé en supervisor (cf plus bas). - SESSION : Un genre de super USERLIST. Explorez le mais il n'est pas d'une grande utilité. - SETPASS : Permet de changer le PW du compte dans lequel vous etes loggé. Pour l'utiliser il faut connaitre l'ancien PW. Cet outil sert beaucoup pour tester un hack: Vous changez le PW d'un compte qui n'a pas de PW en 'abc', et vous essayez votre hack dessus pour voire s'il le trouve. Si oui alors il devrait fonctionner sur d'autres comptes, si non votre hack n'est pas bon. Quand vous avez fini (evitez de prendre trop longtemps en cas ou quelqu'un d'autre essaye de se logger) vous remetez le PW a rien (tapez <cr> pour nouveau PW). VI) Supervisor access ~~~~~~~~~~~~~~~~~~~~~ Il nous faut maintenant trouver le PW du supervisor. Il y a 4 façons de faire ceci: A) Par Social Engineering ou en utilisant des competences non liées à l'informatique. Ceci n'est pas du ressort de cet article. B) La meilleure façon: Pour ceci il faut avoir access physique à un poste ou se log le supervisor. Il faut y installer un TSR qui va capturer son PW lorsque il se log. Il y a en gros 2 façons de faire ceci: * Détourner la fonction de Int 21h 'load & execute' et verifier si on essaye d'executer LOGIN. On detourne alors Int 9h (Clavier) et on capture tout jusqu'à la fin de LOGIN (Int 20h, je pense, qui est terminaison de programme). Cette technique est employé par un superbe programme du nom de GETIT ou THIEFNOV que l'on peut trouver sur certains BBS. * Détourner la propre interruption de login de l'API Novell. Pour cela il faut que le TSR soit lançé _après_ NETX. Je pense que avec des techinques employés par des virus on pourrait infecter NETX (NETX.COM ne fait pas de check d'integrité) avec le TSR de sorte que tout se passe de façon transparente, mais cela reste à etudier. Pour plus d'infos sur les Int de l'API Novell je recommande Ralph Browns Interrupt List (freeware). De la on voit que les 2 Int les plus interressants sont: - Int 21h, AH=E3h, subfunction 14h (Login to file server) - Int 21h, AH=F2h, AL=17h, subfunction 18h (Login encrypted) Le premier est très bien decrit, mais malheureusement je pense que ce soit le second le plus utilisé. Pour voir lequel est utilisé ecrivez un petit prog pour generer l'int, ou vous pouvez essayer INT.COM qui vient avec la Interrupt List. Si le serveur vous repond un truc du genre 'Attempt to send unencrypted password over the network' alors il vous faut le second. Le problème ici est que le second Int envoit le PW crypté, ce qui ne nous est pas très utile car le chiffrement du PW depend d'une clé descerné par le serveur. Voyez Appendix C pour une description de comment Novell crypte les PW. Le code en Appendix B devrait aussi etre très utile. De toute façon, cela fait que la première approche (rediriger l'Int du clavier) est nettement meilleure si vos PW sont envoyés cryptés. C) La plus longue façon mais aussi la plus sure: Essayer toutes (ou presque) les combinaisons possibles. Cela se fait en utilisant la technique du demon dialing (comme dans un wardialer). Vous pouvez soit essayer toutes les combinaisons possibles (aaa, aab, ... zzzzzz,etc) ou alors faire un dictionary attack, c'est a dire essayez tous les mots d'un dictionnaire que vous prevoyez. La première methode est sure de trouver le PW eventuellement, mais la seconde est beaucoup plus rapide. Ensuite, il y a 2 façons d'essayer les PW: * En login: Cette manière consiste tout simplement a essayer de se logger avec tous les PW jusqu'a trouver le bon. Il y a un freeware qui fait cela avec LOGIN.EXE, mais il est très lent et je ne suit pas 100% sur qu'il fonctionne, donc je ne le conseille pas. Il vaut mieux ecrire son propre prog. Les Int qui nous interressent (encore du Interrupt List) sont ceux listés en B), et celui à utiliser depands si les PW doivent etre cryptés ou pas. Cela semble bien, mais il y a un hic: Intruder Detection/Lockout. Si l'admin a activé cette option au bout de X echecs au login le compte sera desactivé jusqu'a ce que l'admin le reset. Donc avant d'essayer cette methode il vaut mieux tenter un dixaine de login avec un account, si vous pouvez en essayer beaucoup alors Intruder Detection/Lockout n'est pas actif. Pour essayer choisissez plustot un compte assez faible, celui d'une secretaire pas trop doué ou un compte ou il y a souvent pas mal de personnes loggez en meme temps. * En verify password: Le principe est le meme mais au lieu d'essayer de se logger on utilise un int qui nous permet de verifier si le PW est bon. Cela a un double avantage: Plus rapide que Login et pas d'Intruder Detection/Lockout. Les deux Int sont: - Int 21h AH=E3h sub 3Fh Verify bindery object PW - Int 21h AH=F2h AL=17h sub 4ah Verify bindery object PW encrypted Ici encore, c'est a vous de determiner le quel est le bon pour vous. Si vous pouvez utiliser le premier je vous conseille l'utilitaire NETCRACK qui essaye tous les PW possible sur un compte (avant de l'utiliser editez le pour enlever le texte qu'il affiche). Si vous essayez NETCRACK sur un serveur ou les PW doivent etre cryptés il marchera quand meme mais il envoit un message a tous les supervisor loggés, au serveur et à vous meme et emet un bip. Le message est à peu près: 'Attempt to send unencrypted PW over the network'. D) Le LOGIN trojan. Si un poste se log automatiquement par le AUTOEXEC.BAT vous pouvez ecrire un trojan LOGIN.COM qui fait: - Demande le nom si celui si n'a pas été specifié sur la ligne de commande. - Demande le PW. - Genere un ecran d'erreure _identique_ a celui du vrai LOGIN pour faire croire que le user a mal tapé son PW. - Sauve le serveur, le nom, le PW, l'heure et la date dans un fichier local caché. - Va dans le directory F:\LOGIN (ou selon) ou se trouve le vrai LOGIN et quitte. Le user va réessayer de se logger. La le vrai LOGIN s'executera et il ne va s'apercevoir de rien. Une option ici serait de sauvegarder le AUTOEXEC.BAT a l'installation et quand le trojan a capturé le PW du SUPERVISOR il s'efface lui-meme et restaure le AUTOEXEC.BAT d'origine. Si vous laissez un fichier (LOGIN.COM) sur le disque je vous recommande vivement de l'editer pour enlever tout le texte qui s'y trouve et de le crypter avec TINYPROG (shareware) pour eviter que l'on ne decouvre qui l'a ecrit. VII) L'après SUPERVISOR et les autres comptes ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A) Votre compte a vous: Vous avez le PW du SUPERVISOR. Toutefois evitez de vous servir de ce compte car l'admin le remarquera. Choisissez un compte qui sert peu ou qui n'a pas servi depuis longtemps, un compte dont vous connaissez le PW est le mieux mais un compte sans PW est bon aussi. Vous allez maintenant donner à ce compte le SUPERVISOR equivalence (en faire un autre Supervisor): - Loggez vous sur un compte bidon et verifiez (USERLIST) que personne de trop important n'est present. Faites Logout. - Loggez vous en SUPERVISOR et lancez SYSCON - Ignorez les 'Supervisor utilities' et allez dans 'User Information' - Selectionnez le compte que vous avez choisis et faites Enter - Allez sur 'Security Equivalences' et faites Enter - Faites <Ins> et selectionnez SUPERVISOR dans la liste et Enter. - Confirmez si on vous le demande et quittez par des <Esc> repetitifs. Voila, bravo, vous avez votre compte Supervisor. B) Tous les autres PW: *** Moi, l'auteur, ait verifié que tout ce qui precede est correct *** et marche. Je n'ais pas encore essayé la suite et ne peut donc *** pas garantir son efficacité. Je ne tarderait pas bien sur a *** essayer. Maintenant vous desirez surement prendre les PW de tous les autres user. Vous pouvez proceder comme pour le compte SUPERVISOR, mais il y a des moyens beaucoup plus rapides: * Tous les PW sont cryptés et sauvegardés dans les Bindery file. Procurez vous un utilitaire pour Dump la Bindery et emmenez la chez vous. Vous allez maintenant faire une operation chère aux UNIX-hackers: Un autre brute-force attack. L'appendix B contient un prog C avec l'algo de cryptage qu'utilise Novell. Il vous reste a faire un dictionnary attack en cryptant vos mots et en les comparant à ceux du bindery pour chaque user. Cela ne devrait pas prendre trop longtemps et il n'y a pas de probléme car vous etes chez vous, ou l'admin ne peut vous voire. * La deuxième tactique est le packet-sniffing. Si votre reseau utilise des PW cryptés loggez vous au niveau SUPERVISOR (console) et tapez: Set Allow Unencrypted Passwords=ON Les PW passeront dans le reseau non-cryptés. Il vous suffit de lancer IPX.COM (Vous n'avez meme pas besoin d'etre loggé) et un programme qui capture tous les packets qui passent sur le reseau. De cette manière vous pourrez meme lire le mail, les messages par SEND et tout ce qui transite pas le reseau. Cette partie doit vous sembler très floue. C'est normal car je n'ais put l'essayer pour l'instant. Appendix A: Notes en vrac et obtenir plus d'infos: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour les PW le case n'est pas important: 'X' et 'x' sont pareils. Les PW peuvent aussi contenir des numeros et ils peuvent faire jusqu'à 20 charachters. Dans le root il y a 2 fichiers .ERR (Qui ne nous sont pas d'une grande utilité): - VOL$LOG.ERR : Informations sur quand le volume a été monté et démonté et les erreures qui se sont produites. - TTS$LOG.ERR : Indique quand le Transaction Tracking Service a été initialisé et désinitialisé et les erreures eventuelles. Le forum Novell sur FIDO et le Netwire sur Compuserve sont très bons, mais si vous posez une question evitez de faire comprendre que vous etes un hacker, la tournure de la phrase doit faire comprendre que vous etes un supervisor curieux, ou un nouveau user pas très competent, etc Lisez l'article de The Butler dans Phrack 35. Il est interressant d'un point de vu utilisation du système, mais d'un niveau très faible. Lisez tous se que vous trouvez sur la securité des LAN et le programmation Novell. Frequentez assiduement les board underground et faites des Text Search pour 'Novell'. Gardez votre compte secret (si vous devez le passer, ne le faites qu'a des gens en lequel vous avez une confiance absolue) et surtout restez discret: Ne créés pas de nouveau compte, ne changez pas les PW des autres user, n'effacez rien, enfin generalement soyez un bon Hacker et vous garderez votre compte longtemps. Si vous desirez tenter un projet important sachez que SECURTIY est un prog supervisor qui detecte les comptes sans PW, les comptes au niveau SUPERVISOR, etc. Vous pourriez le remplacer par un prog qui fait semblant que tout va bien (Verifiez que votre prog a bien meme taille et meme date que le SECURITY d'origine). Je connais un 'hole' dans Novell Netware 2.12 que je n'ais jamais personnelement essayé: Si vous avez access a un ordinateur loggé ou l'user est parti et il n'a pas fait grand chose après son login voici une technique pour trouver son PW: Lancez debug et faites: -s 0000 ffff "USER_ID" Notez les addressed et autour d'une de celle-ci doit se trouver le PW, normalement autour de l'offset 8A00 du segment que Debug prend par default. Finalement jouez beaucoup à DOOM 1.2 sur votre LAN car à 4 c'est un jeu superbe. Appendix B: Source code: ~~~~~~~~~~~~~~~~~~~~~~~~ Ce qui suit est un source C qui ne fonctionne pas tel quel mais qui a des fonctions superbes pour log, crypt, verify PW, etc. Regardez le bien car il est assez dense mais très instructif. Il vient des Pays-Bas et je pense qu'il est l'oeuvre de Hack-Tic. Il y a une addresse email si vous voulez contactez l'auteur. #include <stdio.h> #include <stdlib.h> #include <string.h> #include <conio.h> #include <dos.h> /* !!!!!!!!!!!!!! I didn't compile this version, so it might not be ready to run, I just put together parts of different sources to get it all in on file. email itsme@utopia.hacktic.nl func & getnewlogkey are internal server functions used to generate logkeys decode & decodepa are internal server functions used to get new password from a set password call encryptp : create encrypted password from userid, and password getpassk : create login data from encrypted password & logkey encrypt3 : create change pw date from login data for old pw + encrypted new pw decodepa : recreate encrypted pw from change pw data + old login data */ #define MAXPWLEN 64 #define MAXNAMELEN 48 typedef unsigned char u_char; u_char tab0[256]= /* used by encrypt */ {/* 0 1 2 3 4 5 6 7 8 9 a b c d e f */ 0x7,0x8,0x0,0x8,0x6,0x4,0xE,0x4,0x5,0xC,0x1,0x7,0xB,0xF,0xA,0x8, 0xF,0x8,0xC,0xC,0x9,0x4,0x1,0xE,0x4,0x6,0x2,0x4,0x0,0xA,0xB,0x9, 0x2,0xF,0xB,0x1,0xD,0x2,0x1,0x9,0x5,0xE,0x7,0x0,0x0,0x2,0x6,0x6, 0x0,0x7,0x3,0x8,0x2,0x9,0x3,0xF,0x7,0xF,0xC,0xF,0x6,0x4,0xA,0x0, 0x2,0x3,0xA,0xB,0xD,0x8,0x3,0xA,0x1,0x7,0xC,0xF,0x1,0x8,0x9,0xD, 0x9,0x1,0x9,0x4,0xE,0x4,0xC,0x5,0x5,0xC,0x8,0xB,0x2,0x3,0x9,0xE, 0x7,0x7,0x6,0x9,0xE,0xF,0xC,0x8,0xD,0x1,0xA,0x6,0xE,0xD,0x0,0x7, 0x7,0xA,0x0,0x1,0xF,0x5,0x4,0xB,0x7,0xB,0xE,0xC,0x9,0x5,0xD,0x1, 0xB,0xD,0x1,0x3,0x5,0xD,0xE,0x6,0x3,0x0,0xB,0xB,0xF,0x3,0x6,0x4, 0x9,0xD,0xA,0x3,0x1,0x4,0x9,0x4,0x8,0x3,0xB,0xE,0x5,0x0,0x5,0x2, 0xC,0xB,0xD,0x5,0xD,0x5,0xD,0x2,0xD,0x9,0xA,0xC,0xA,0x0,0xB,0x3, 0x5,0x3,0x6,0x9,0x5,0x1,0xE,0xE,0x0,0xE,0x8,0x2,0xD,0x2,0x2,0x0, 0x4,0xF,0x8,0x5,0x9,0x6,0x8,0x6,0xB,0xA,0xB,0xF,0x0,0x7,0x2,0x8, 0xC,0x7,0x3,0xA,0x1,0x4,0x2,0x5,0xF,0x7,0xA,0xC,0xE,0x5,0x9,0x3, 0xE,0x7,0x1,0x2,0xE,0x1,0xF,0x4,0xA,0x6,0xC,0x6,0xF,0x4,0x3,0x0, 0xC,0x0,0x3,0x6,0xF,0x8,0x7,0xB,0x2,0xD,0xC,0x6,0xA,0xA,0x8,0xD }; u_char tab[32]= /* used by encrypt & encryptp */ { 0x48,0x93,0x46,0x67,0x98,0x3D,0xE6,0x8D,0xB7,0x10,0x7A,0x26,0x5A,0xB9,0xB1,0x35, 0x6B,0x0F,0xD5,0x70,0xAE,0xFB,0xAD,0x11,0xF4,0x47,0xDC,0xA7,0xEC,0xCF,0x50,0xC0 }; u_char tab1[8][2][16]= /* used by encrypt3 */ { /* 0 1 2 3 4 5 6 7 8 9 a b c d e f */ {{ 0xF,0x8,0x5,0x7,0xC,0x2,0xE,0x9,0x0,0x1,0x6,0xD,0x3,0x4,0xB,0xA}, { 0x2,0xC,0xE,0x6,0xF,0x0,0x1,0x8,0xD,0x3,0xA,0x4,0x9,0xB,0x5,0x7}}, {{ 0x5,0x2,0x9,0xF,0xC,0x4,0xD,0x0,0xE,0xA,0x6,0x8,0xB,0x1,0x3,0x7}, { 0xF,0xD,0x2,0x6,0x7,0x8,0x5,0x9,0x0,0x4,0xC,0x3,0x1,0xA,0xB,0xE}}, {{ 0x5,0xE,0x2,0xB,0xD,0xA,0x7,0x0,0x8,0x6,0x4,0x1,0xF,0xC,0x3,0x9}, { 0x8,0x2,0xF,0xA,0x5,0x9,0x6,0xC,0x0,0xB,0x1,0xD,0x7,0x3,0x4,0xE}}, {{ 0xE,0x8,0x0,0x9,0x4,0xB,0x2,0x7,0xC,0x3,0xA,0x5,0xD,0x1,0x6,0xF}, { 0x1,0x4,0x8,0xA,0xD,0xB,0x7,0xE,0x5,0xF,0x3,0x9,0x0,0x2,0x6,0xC}}, {{ 0x5,0x3,0xC,0x8,0xB,0x2,0xE,0xA,0x4,0x1,0xD,0x0,0x6,0x7,0xF,0x9}, { 0x6,0x0,0xB,0xE,0xD,0x4,0xC,0xF,0x7,0x2,0x8,0xA,0x1,0x5,0x3,0x9}}, {{ 0xB,0x5,0xA,0xE,0xF,0x1,0xC,0x0,0x6,0x4,0x2,0x9,0x3,0xD,0x7,0x8}, { 0x7,0x2,0xA,0x0,0xE,0x8,0xF,0x4,0xC,0xB,0x9,0x1,0x5,0xD,0x3,0x6}}, {{ 0x7,0x4,0xF,0x9,0x5,0x1,0xC,0xB,0x0,0x3,0x8,0xE,0x2,0xA,0x6,0xD}, { 0x9,0x4,0x8,0x0,0xA,0x3,0x1,0xC,0x5,0xF,0x7,0x2,0xB,0xE,0x6,0xD}}, {{ 0x9,0x5,0x4,0x7,0xE,0x8,0x3,0x1,0xD,0xB,0xC,0x2,0x0,0xF,0x6,0xA}, { 0x9,0xA,0xB,0xD,0x5,0x3,0xF,0x0,0x1,0xC,0x8,0x7,0x6,0x4,0xE,0x2}} }; u_char tab3[16]= /* used by encrypt3 */ { 0x3,0xE,0xF,0x2,0xD,0xC,0x4,0x5,0x9,0x6,0x0,0x1,0xB,0x7,0xA,0x8 }; u_char tab8[8][2][16]= /* used by decode */ { {{0x8,0x9,0x5,0xC,0xD,0x2,0xA,0x3,0x1,0x7,0xF,0xE,0x4,0xB,0x6,0x0}, {0x5,0x6,0x0,0x9,0xB,0xE,0x3,0xF,0x7,0xC,0xA,0xD,0x1,0x8,0x2,0x4}}, {{0x7,0xD,0x1,0xE,0x5,0x0,0xA,0xF,0xB,0x2,0x9,0xC,0x4,0x6,0x8,0x3}, {0x8,0xC,0x2,0xB,0x9,0x6,0x3,0x4,0x5,0x7,0xD,0xE,0xA,0x1,0xF,0x0}}, {{0x7,0xB,0x2,0xE,0xA,0x0,0x9,0x6,0x8,0xF,0x5,0x3,0xD,0x4,0x1,0xC}, {0x8,0xA,0x1,0xD,0xE,0x4,0x6,0xC,0x0,0x5,0x3,0x9,0x7,0xB,0xF,0x2}}, {{0x2,0xD,0x6,0x9,0x4,0xB,0xE,0x7,0x1,0x3,0xA,0x5,0x8,0xC,0x0,0xF}, {0xC,0x0,0xD,0xA,0x1,0x8,0xE,0x6,0x2,0xB,0x3,0x5,0xF,0x4,0x7,0x9}}, {{0xB,0x9,0x5,0x1,0x8,0x0,0xC,0xD,0x3,0xF,0x7,0x4,0x2,0xA,0x6,0xE}, {0x1,0xC,0x9,0xE,0x5,0xD,0x0,0x8,0xA,0xF,0xB,0x2,0x6,0x4,0x3,0x7}}, {{0x7,0x5,0xA,0xC,0x9,0x1,0x8,0xE,0xF,0xB,0x2,0x0,0x6,0xD,0x3,0x4}, {0x3,0xB,0x1,0xE,0x7,0xC,0xF,0x0,0x5,0xA,0x2,0x9,0x8,0xD,0x4,0x6}}, {{0x8,0x5,0xC,0x9,0x1,0x4,0xE,0x0,0xA,0x3,0xD,0x7,0x6,0xF,0xB,0x2}, {0x3,0x6,0xB,0x5,0x1,0x8,0xE,0xA,0x2,0x0,0x4,0xC,0x7,0xF,0xD,0x9}}, {{0xC,0x7,0xB,0x6,0x2,0x1,0xE,0x3,0x5,0x0,0xF,0x9,0xA,0x8,0x4,0xD}, {0x7,0x8,0xF,0x5,0xD,0x4,0xC,0xB,0xA,0x0,0x1,0x2,0x9,0x3,0xE,0x6}} }; u_char tab9[16]= /* used by decode */ { 0xA,0xB,0x3,0x0,0x6,0x7,0x9,0xD,0xF,0x8,0xE,0xC,0x5,0x4,0x1,0x2 }; struct tod { u_char curryear, currmont, currday , currhour, currminu, currseco, currweek; } tod; int zeroseed=0; int seed1=0,seed2=0; /* seed1 : *2 mod 947 -> cycle length 946 seed2 : *2 mod 941 -> cycle length 940 together : 946*940=889240=8* 111155 = 2^3*5*11*43*47 915 220 0 184 570 825 * 484 460 5102 * 945 2 6858 505 251 7936 191 563 20053 347 408 49641 317 626 50319 791 155 52249 91 286 59015 * 504 252 63514 3 938 74552 663 94 75630 932 109 82524 * 741 487 91346 * 476 468 104818 611 773 106975 *** 915 220 111155 */ u_char func(int c) { if (seed1==0) { seed1=(tod.currmont<<4) + tod.currseco; zeroseed++; } else seed1<<=1; if (seed1>=947) seed1-=947; if (seed2==0) { seed2=(tod.currday<<3) + tod.currminu; zeroseed++; } else seed2<<=1; if (seed2>=941) seed2-=941; return (((u_char *)&tod)[(seed1+seed2)%7] +seed1+seed2+c)&0xff; } int newlogkey(int c, u_char *buf) { u_char *p; int i; /* **** logkey[c] is a table indexed by connection number if (logkey[c]==0) { logkey[c]=salloc(8); if (logkey[c]==0) return(0x96); /* server out of memory */ } p=logkey[c]; */ p=buf; for (i=0 ; i<8 ; i++) *p++=func(c); /* memcpy(logkey[c],buf,8); */ return(0); } unsigned int iswap(unsigned int nr) { _AH = *((char *) &nr); _AL = *(((char *) &nr)+1); } unsigned long lswap(long l) { _DH = *((char *) &l); _DL = *(((char *) &l)+1); _AH = *(((char *) &l)+2); _AL = *(((char *) &l)+3); } void dump(u_char *p,int l) { int i; for (i=0 ; i<l ; i++) printf("%02x ",p[i]); } /* leaves p & src intact * char p[8] : part of old encrypted password * char src[8] : part of change password data * char dst[8] : part of new encrypted password (result) */ void decode(u_char *p, u_char *src, u_char *dst) { int i,j; u_char buf[8]; char c; memcpy(buf,src,8); for (i=0 ; i<16 ; i++) { memset(dst,0,8); for (j=0 ; j<16 ; j++) { if ((c=tab9[j])&1) c=buf[c/2]>>4; else c=buf[c/2]&0xf; if (j&1) dst[j/2]|=(c<<4); else dst[j/2]|=c; } memcpy(buf,dst,8); c=p[0]; for (j=0 ; j<7 ; j++) p[j]=(p[j]>>4)|(p[j+1]<<4); p[7]=(p[7]>>4)|(c<<4); for (j=0 ; j<8 ; j++) { c=buf[j]; buf[j] = p[j] ^ (tab8[j][0][c&0xf] | (tab8[j][1][c>>4] << 4)); } } memcpy(dst,buf,8); } /* * char p1[16] : old encrypted password * char p2[16] : change password data * char p3[16] : new encrypted password (result) */ void decodepa(u_char *p1, u_char *p2, u_char *p3) { decode(p1,p2,p3); decode(p1+8,p2+8,p3+8); } /* char p1[32] : password xored with ID and itself ... * char p2[16] : encrypted password (result) */ void encrypt(register u_char *p1, u_char *p2) /* changes both p1 & p2 */ { int j; int i; u_char a; u_char c=0; for (j=0 ; j<2 ; j++) for (i=0 ; i<32 ; i++) { a=(p1[(i+c)&0x1f] - tab[i]) ^ (p1[i]+c); c+=a; p1[i]=a; } memset(p2,0,16); for (i=0 ; i<32 ; i++) if (i&1) p2[i/2] |= tab0[p1[i]]<<4; else p2[i/2] |= tab0[p1[i]]; } /* char id[4] : UserID * char src[len] : unencrypted password * int len : length of unencrypted password * char dst[16] : encrypted password (result) */ void encryptp(long id, u_char *src, int len, u_char *dst) { u_char buf[32]; u_char *p; u_char *q=src; int i; for (p=q+len-1 ; *p--==0 && len ; len--) ; memset(buf,0,32); for ( ; len>=32 ; len-=32) for (i=0 ; i<32 ; q++, i++) buf[i] ^= *q; p=q; if (len>0) for (i=0 ; i<32 ; i++) { if (q+len==p) { p=q; buf[i]^=tab[i]; } else buf[i]^=*p++; } for (i=0 ; i<32 ; i++) buf[i] ^= ((u_char *)&id)[i&3]; encrypt(buf,dst); } /* char logkey[8] : (requested with int21,ax=e3, fn 17 from server) * char crpw[16] : encrypted password (with encryptp) * char dst[8] : login data (result) */ void getpassk(long *logkey, u_char *crpw, u_char *dst) { u_char buf[32]; int i,j; encryptp(logkey[0],crpw,16,buf); encryptp(logkey[1],crpw,16,buf+16); for (i=0, j=31 ; i<16 ; i++, j--) buf[i]^=buf[j]; for (i=0 , j=15 ; i<8 ; i++, j--) dst[i]=buf[i]^buf[j]; } /* char p1[8] : part of old encrypted pw * char p2[8] : part of new encrypted pw * char p3[8] : part of change pw data (result) */ void encrypt3(register u_char *p1, u_char *p2, u_char *p3) { register int j; u_char c; u_char buf[8]; int i; memcpy(buf,p2,8); for (i=0 ; i<16 ; i++) { for (j=0 ; j<8 ; j++) { c=buf[j]^p1[j]; buf[j]= tab1[j][0][c&15] | (tab1[j][1][c>>4] <<4); } c=p1[7]; for (j=7 ; j>0 ; j--) p1[j]=(p1[j]<<4) | (p1[j-1]>>4); p1[0]= (c>>4) | (p1[0]<<4); memset(p3,0,8); for (j=0 ; j<16 ; j++) { c= tab3[j]; c= (tab3[j]&1) ? (buf[c/2]>>4) : (buf[c/2]&0xf) ; p3[j/2] |= (j&1) ? (c<<4) : c ; } memcpy(buf,p3,8); } } int shreq(int f, u_char *req, int rl, u_char *ans, int al) { struct REGPACK r; r.r_cx=rl; r.r_dx=al; r.r_si=FP_OFF(req); r.r_di=FP_OFF(ans); r.r_ds=FP_SEG(req); r.r_es=FP_SEG(ans); r.r_ax=0xf200|f; intr(0x21,&r); return(r.r_ax&0xff); } int getlogkey(u_char *s) { u_char req[3]; req[0]=0; req[1]=1; req[2]=0x17; return(shreq(0x17,req,3,s,8)); } int getobjid(char *name, int type, long *id) { u_char req[MAXNAMELEN+6]; u_char rep[MAXNAMELEN+6]; int err; req[2]=0x35; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[0]=0; req[1]=req[5]+4; err=shreq(0x17,req,req[1]+2,rep,MAXNAMELEN+6); *id=*(long *)rep; return(err); } int setpwcrypt(u_char *oldpw, int type, char *name, u_char *newpw, int l) { u_char req[MAXNAMELEN+31]; /* 8+16(pw's) + 1 + 3(type+len) + 3(header) */ req[2]=0x4b; memcpy(req+3,oldpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,48); req[14+req[13]]=l; memcpy(req+15+req[13],newpw,16); req[0]=0; req[1]=29+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } setpw(char *name, int type, char *oldpw, char *newpw) { u_char req[8+MAXNAMELEN+2*MAXPWLEN]; int l=5; req[2]=0x40; *(int *)(req+3)=type; req[l++]=strlen(name); strncpy((char *)req+l,name,MAXNAMELEN); l+=req[l]; req[l++]=strlen(newpw); strncpy((char *)req+l,newpw,MAXPWLEN); l+=req[l]; req[l++]=strlen(oldpw); strncpy((char *)req+l,oldpw,MAXPWLEN); l+=req[l]; req[0]=l>>8; req[1]=l&0xff; return(shreq(0x17,req,l+2,req,0)); } int changepw(char *name, int type, char *oldpw, char *newpw) { u_char logkey[8]; long id; u_char oldcrpw[16]; u_char newcrpw[16]; int err; int l; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)oldpw,strlen(oldpw),oldcrpw); encryptp(id,(u_char *)newpw,strlen(newpw),newcrpw); getpassk((long *)logkey,oldcrpw,logkey); encrypt3(oldcrpw,newcrpw,newcrpw); encrypt3(oldcrpw+8,newcrpw+8,newcrpw+8); l=((( min(63,strlen(newpw))^oldcrpw[0]^oldcrpw[1] )&0x7f)|0x40); return(setpwcrypt(logkey,type,name,newcrpw,l)); } else return(setpw(name,type,oldpw,newpw)); } int trypw(char *pw, int type, char *name) { u_char req[7+MAXNAMELEN+MAXPWLEN]; req[2]=0x3f; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[6+req[5]]=strlen(pw); strncpy((char *)req+7+req[5],pw,MAXPWLEN); req[0]=0; req[1]=5+req[5]+req[6+req[5]]; return(shreq(0x17,req,req[1]+2,req,0)); } int trypwcrypt(u_char *crpw, int type, char *name) { u_char req[14+MAXNAMELEN]; req[2]=0x4a; memcpy(req+3,crpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,MAXNAMELEN); req[0]=0; req[1]=12+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } int testpw(char *name, int type, char *pw) { u_char logkey[8]; long id; u_char crpw[16]; int err; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)pw,strlen(pw),crpw); getpassk((long *)logkey,crpw,logkey); return(trypwcrypt(logkey,type,name)); } else return(trypw(name,type,pw)); } int logincrypt(u_char *crpw, int type, char *name) { u_char req[14+MAXNAMELEN]; req[2]=0x18; memcpy(req+3,crpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,MAXNAMELEN); req[0]=0; req[1]=12+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } int login(char *name, int type, char *pw) { u_char req[7+MAXNAMELEN+MAXPWLEN]; req[2]=0x14; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[6+req[5]]=strlen(pw); strncpy((char *)req+7+req[5],pw,MAXPWLEN); req[0]=0; req[1]=5+req[5]+req[6+req[5]]; return(shreq(0x17,req,req[1]+2,req,0)); } int dologin(char *name, int type, char *pw) { u_char logkey[8]; long id; u_char crpw[16]; int err; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)pw,strlen(pw),crpw); getpassk((long *)logkey,crpw,logkey); return(logincrypt(logkey,type,name)); } else return(login(name,type,pw)); } int setconn(int c) { struct REGPACK r; r.r_ax=0xf000; /* set preferred connection nr */ r.r_dx=c+1; intr(0x21,&r); return(r.r_ax&0xff); } int scanobj(char *name, int *type, long *id, int *err) { u_char req[10+MAXNAMELEN]; /* int length * char type * long id (-1 for wildcard) * int type (-1 for wildcard) * char len * char objname[len] */ u_char rep[9+MAXNAMELEN]; /* long id 0 * int type 4 * char name[48] 6 * char object_flags 54 * char security_flags 55 * char more 56 */ int objlen=strlen(name); req[2]=0x37; /* scan object list */ *(long *)(req+3)=*id; *(int *)(req+7)=*type; req[9]=objlen; /* string : obj name */ strncpy((char *)req+10,name,MAXNAMELEN); req[0]=0; req[1]=8+objlen; *err=shreq(0x17, req, req[1]+2+(req[0]<<8), rep, 0x39); if (*err) return(0); strncpy(name,(char *)rep+6,MAXNAMELEN); *type=*(int *)(rep+4); *id=*(long *)rep; return(rep[56]); } void main(int argc, char **argv) { char pw[MAXPWLEN]; char newpw[MAXPWLEN]; int err; int i; err=setconn(0); if (err) printf("failed setconn : %02x\n",err); if (argc>3) { debug=atoi(argv[1]); argv++; argc--; } if (argc<3) { printf("Usage : nov F username\n"); printf(" F = t l s\n"); exit(1); } strupr(argv[2]); while (kbhit()) getch(); switch(argv[1][0]) { case 't': /* verifybinderyovbjectpassword */ strcpy(pw,strupr(getpass("enter pw : "))); do { err=testpw(argv[2],0x100,pw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; case 'l': /* loginbinderyobject */ strcpy(pw,strupr(getpass("enter pw : "))); do { err=dologin(argv[2],0x100,pw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; case 's': /* setbinderyobjectpassword */ strcpy(pw,strupr(getpass("enter old pw : "))); strcpy(newpw,strupr(getpass("enter new pw : "))); do { err=changepw(argv[2],0x100,pw,newpw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; } while (kbhit()) getch(); } Appendix C: Comment Novell crypte les PW: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les versions avant la 2.15c transmettent les PW non cryptés au serveur qui les crypte lui-meme. Cette section s'occupe de l'après 2.15c. 1. Login vous demande le serveur (ou prends celui par default) et votre USER_ID. 2. Server/User_ID sont transmis au serveur et vous etes attachés à ce serveur. 3. Login envoit un LOGOUT NCP pour effacer toute autre connection que vous pouvez avoir deja avec ce serveur. 4. Login demande un votre OBJECT_ID et une clé de login au serveur. 5. Le serveur genere une clé 8 byte et l'envoit à Login. 6. Login demande votre PW. 7. Login crypte OBJECT_ID, clé et PW pour faire un 16 byte PW value. [ A mon avis la clé n'est pas utilisé, le chiffrement se fait uniquement sur OBJECT_ID et PW qui sont connus à l'avance et, aussi à mon avis, ne changent pas. ] 8. Login crypte cette PW value avec la clé à pour faire un 8 byte PW value et l'envoit au serveur. 9. Le serveur recupere la 16 byte PW value qu'il a stocké dans la Bindery et la crypte avec la meme clé qu'il a envoyé à Login. Il compare ensuite les 2 8 byte PW values. Si ils sont identiques le PW doit etre bon. Appendix D: L'auteur: ~~~~~~~~~~~~~~~~~~~~~ Mon handle est ARSCENE et je n'ais pas d'email actuellement. Pour me contacter adressez vous au journal et ils me feront parvenir l'info. Voila, c'est tout. Merci de m'avoir lut et j'espere avoir l'occasion d'ecrire un autre article pour ce zine bientot. Bonne chance et bon Hacking... Arscene. ───────────────────────────────────────────────────────────────────────────── -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.5 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. (regardez la date!!!!) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 4 | [NeurAlien] 01/09/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= . . . . . . ^ ^ ^ ^ ^ ^ /|\/^\/|\/^\/|\/^\/|\/^\/|\/^\/|\/^\ . _/ \_ . \ Telsat 8x50 / . _/ de \_ . \ SATELCOM / . _/ Par NeurAlien \_ . \ / \|/\_/\|/\_/\|/\_/\|/\_/\|/\_/\|/\_/ . . . . . . >Presentation: ============= Le Telsat 8x50 est un systême d'assemblage déssassemblage de paquet pour terminaux asynchrones. Il permet de concentrer 4, 10 ou 16 terminaux sur une ligne x25: un simple PAD. Il permet aussi de dispatcher une liaison x25 sur divers liasons privées vers divers équipements. Ce serveur de terminaux est une "boite" de dimensions 39,4 x 11,4 x 35,6 cm. En dessous du boitier, il y a un panneau de controle mais pour y acceder, il faut la clé Satelcom. Prenez alors une petite cuillere, limez son manche pour inverser l'arrondi du bout: __________... _________... / \ | =======> | \__________... /_________... (ou plus simplement un tournevis) Ainsi, pour ouvrir, enlevez les vis sur les 2 cotés de la boite et inserez la petite cuillere horizontalement dans les fentes le long de la rainure du milieu. Une fois ceci fait, relevez la partie contenante de la cuillere vers le haut... Le boitier s'ouvre. A partir d'ici, vous pouvez faire un reset du PAD. >Caracteristiques reseau: ======================== La capacité de sous adressage du T8X50 se limite a 2 octets. Donc il y a 100 sous adresses possibles >Utilisations et commandes en local: =================================== Quand on se connecte sur un T8X50 en local, on recoit: Message d'accueil: La valeur generique du prompt x28 est: TELSAT 8X50 VOIE : XX (ou XX est le numero de voie) taille maximum: 32 Message bulletin: Pas de valeur generique. Taille maximum: 120 Prompt: La valeur generique du prompt x28 est: ==> Taille maximum: 16 Mais tous ces messages peuvent être modifiés. Normalement, quand vous vous connectez en local ou pseudo-local avec un modem sur ligne privée, vous devez recevoir le premier message puis le prompt. Si cela n'arrive pas, il faut taper: <cr>.<cr> (return point return) ou <BREAK><cr>.<cr> Quand on appelle un serveur en x28 et que l'on veut preciser une sous adresse, on utilise pour cela le caractere '/'. Par exemple, si l'on veut appeller la sous adresse 56 au numero 175020123, il faudra faire la demande comme ceci: 175020123/56 Quand on veut faire la meme chose en X121, on supprime le slash. (n'oubliez pas que le NUA en x121 ne doit pas depasser 15 caracteres) On peut indiquer un mot de passe ou des donnees utilisateur qui seront transmises dans le paquet d'appel. mot de passe: P exemple de commande a taper: 175020123P(TEST) ---> appel de 175020123 avec mot de passe TEST Apres le P, il n'y aura plus d'echo, donc, tout ce que l'utilisateur verra sera: ==> 175020123P données utilisateur: D exemple de commande à taper: 175020123D(HELLO) ---> appel de 175020123 avec donnee utilisateur HELLO On peut aussi effectuer des appels en PCV par la commande: R-1xxxxxxxx exemple de commande à taper: R-175020123 ---> appel de 175020123 en PCV. On peut appeler d'un groupe ferme d'abonne comme ceci: G xx-1xxxxxxxx où xx est numérique. On peut aussi cumuler des commandes: R,Gxx-1xxxxxxxx >Acces à la Porte de commande: ============================= Pour acceder à la porte de commande, il y a trois manières: 1/ Par la porte de commande physique: Elle se situe sur la voie 0. Il suffit de s'y connecter comme on s'y connecte d'habitude. Ensuite, le 8X50 demande un mot de passe qui est par defaut: MX25 2/ Par une voie quelconque du Telsat: Il suffit de taper au prompt ==> 00/99 ou <adresse du Telsat>/99 La on recoit le message: COM Il faut repondre par RETURN Ensuite on tape le mot de passe generique: MX25 3/ Par le x25: Il suffit d'appeler l'adresse du Telsat et la sous adresse 99: adresse telsat: 175 020 123 sous adresse: 99 17502012399 On recoit le message: COM on tape RETURN on donne le mot de passe generique: MX25 >Configuration optimale pour la plus grande communicabilité: =========================================================== >>>>>>>>>>Entrer dans le menu de configuration avant tout essai!!!!!!!! SELECTION 1 : VOIE/CHANNEL OPTION D'APPEL 1: tout sauf 32. (valeur combinee de 0 a 128 sauf 32) (0,1,2,4,8,16,64,128 et combinaison) (0==correct) 128 64 32 16 8 4 2 1 0 * * 0 * * * * * * SELECTION 5 : LIGNE x25 MOT DE PASSE: rien, effacer la valeur. (MX25 ou **** sont les valeurs à entrer) APPEL ENTRANT: La valeur doit etre impaire (PCV accepte) (9==correct) et sans la valeur 2. 32 16 8 4 2 1 * * * * 0 1 APPEL SORTANT: 32 16 8 4 2 1 * * 0 * 0 * (bit 1: 1: ne communique pas l'adresse demandeur) 0: lui communique TYPE DE NUI: valeur impérative: 0 VALIDATION DU NUI: valeur impérative si vous accedez en local ou pseudo local.: 0 SELECTION 8: Classe 1: la valeur ne doit pas etre 00 (valeur correcte==99) Classe 2: la valeur ne doit pas etre 00 ni 99 mais comprise entre 17 et 98 compris. Journal des evenements: valeur imperative lors de l'utilisation: 0 SELECTION 15: valeur 1: 0 cela permet de se connecter localement d'une voie sur une autre. SELECTION 16: Il est utile de lire toutes les entrees. (entrer 1) >Utilisation de la porte de commande: ==================================== Pour interdir l'acces a une voie: 2 Pour deconnecter une voie (==2 mais immediat): 3 Pour revalider l'acces a une voie (inverse de 2 et 3): 4 Pour deconnecter tout le monde et mettre la ligne hors service: 6 Remettre la ligne en service (impossible par reseau): 7 Pour effacer les stats et les traces: 9 Pour deconnecter tout le monde et rebooter a froid le pad: 10 Pour prendre les valeurs par defaut: 11 >Appel entrant sur un T8X50: =========================== quand on se connecte sur un 8X50 par le reseau X25, on recoit generalement: - Pour un appel normal: COM <NUA de l'appelant> - Pour un appel en PCV: COM <NUA de l'appelant> R - Pour un appel avec groupe ferme d'abonne: COM <NUA de l'appelant> Gxx - Pour un appel avec groupe ferme d'abonne et acceptation du PCV: COM <NUA de l'appelant> R Gxx >Protection par mot de passe en entrée: ====================================== Il est possible de protéger le telsat 8x50 contre des intrusions illégales en définissant un mot de passe pour la ligne x.25. Ceci signifie que les demandes d'appel destinées au Telsat doivent etre dotées du mot de passe correct inséré entre les octets 5 et 8 compris de la zone de données d'appel utilisateur de 16 octets. Si la methode de sous adressage de données utilisateur est validée, le mot de passe ligne figurera entre les octets 7 et 10 compris. En general, l'utilisateur n'a aucun controle sur les octets 1 à 4. Si le demandeur n'inclut pas le mot de passe dans la zone appropriée, le 8x50 rejettera l'appel avec un code diagnostic égal a 133. LIB DTE 133 >Protection par NUI en sortie: ============================= Il est possible aussi d'associer à des NUI des NUA qui seront automatiquement appelés si l'utilisateur entre le bon NUI. Si le NUI n'est pas integre a la demande d'appel, le code de diagnotic sera égal à 139 (mot de passe NUI obligatoire et requis) --> LIB DTE 139 Si le NUI est faux, le code de diagnostic est égal à 140 (mot de passe NUI invalide) --> LIB DTE 140 Mais attention, si le PAD n'a pas ete configure d'une facon correcte, le NUI peut alors etre transmis au serveur appele. Ainsi, dans le paquet d'appel, le serveur recupere le NUI de l'appelant. >Parametres interressants: ========================= Dans le parametre PAD ADDRESS, on a le numero a 9 chiffres TRANSPAC qui correspond au NUA du PAD 8X50. >Liste des LIBs emanant du 8x50: =============================== DTE 00 : Le telsat a libéré l'appel 133 : fonction demandée non autorisée ou mot de passe invalide 09 : Telsat pas prêt 136 : ligne x25 inactivée 137 : Mnémonique indéfinie dans la demande de connexion d'appel abrégé ou pour une voie fonctionnant en appel automatique. 138 : aucune voie logique disponible sur le Telsat. 139 : mot de passe/NUI requis pour la connexion. 140 : mot de passe/NUI invalide. 142 : appel TACT (test de terminal) non autorisé a partir de cette voie. nnn : ne provient pas du Telsat OCC xxx : occupé INV xxx : demande de fonction invalide NC xxx : congestion reseau DER xxx : derangement/hs NA xxx : acces interdit NP xxx : ne peut etre obtenu RPE xxx : erreur procedure distante ERR xxx : Erreur procedure locale NRC xxx ou PCV xxx : Facturation PCV refusée. INC xxx : destination incompatible NFS xxx : selection rapide non demandee. PAD xxx : le module a libéré l'appel suite à une demande du distant. Bonne chasse et bonne chance chers /\/etrunners ++NeurAlien -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.6 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %% %% %% Yet another phine article by EASYHACKER from FFT about %% %% hack'n phreaking on %% %% %% %% PPPPPP BBBBBB XXXX XX %% %% -----> PPPP PP BBBB BB XXXX XX <----- %% %% -----> PPPPPP BBBBBB XXXXX <----- %% %% -----> PPPP BBBB BB XXXX XX <----- %% %% PPPP BBBBBBB XXXX XX %% %% %% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% S'il s'agit d'une activite moins interessante que le hack de reseaux en tous genres, le phreaking represente tout de meme le premier secteur d'activite underground. Malheureusement, en France, la plupart de ceux qui se prennent pour des gros phreakers se contentent d'acheter des la call a des fournisseurs qui trouvent la de gros pigeons qui achetent 600 ou 700 balles leur abo au mois. Il est pourtant beaucoup plus amusant de trouver par soi- meme des moyens d'epargner la facture bimestrielle de France Telecons tout en continuant a exercer son activite favorite. Rien que l'autosatisfaction d'en trouver tout seul comme des grands vous absout du lourd peche qu'en est son utilisation. Quels sont les principaux moyens de phreaking dont on dispose (encore) dans nos belles contrees ? Les cartes ? :-)) LAME ! M0NIT0RED ! 0VER ! F0RGET THEM ! La telephonie cellulaire ? Yeah ! Mais faut investir au depart... Les fausses telecartes ? Faut un portable, un coupleur acoustique, un modem de poche, et l'hiver il fait froid dans les cabines, c'est un coup a attraper la creve ! %-[] Les outdials (sur TelNet/TymNet en particulier) ? Si votre acces depasse pas 2400 bauds en 7 bits c'est pas le top pour leecher des warez, et en plus c'est pas global... La bluebox ? La quasi-totalite des commutateurs francais sont des NUMERIS bourres de filtres... Les 2600/2400 sont systematiquement filtres depuis quelques temps et ca m'etonnerai pas que certaines autres frequences ne soient pas filtrees, mais enregistrees. En plus les lignes sont de pietre qualite. Pourquoi ils se prennent la tete ces abrutis de France Telecons vu que ce n'est meme pas eux qui se font baiser dans ce cas ? J'en ai marre, demain je pars vivre au Rwanda... Sortir avec une nana qui bosse au centre de facturation ? A essayer =-* Les box de toutes les couleurs qui consistent a envoyer des frequences qui resteront sans effet ou a sabotter les installations exterieures ? Arretez de regarder la tele... J'ai un pote qui s'est vite fait busted pour s'etre branche sur la ligne du voisin et qui chiale sa reum a Fleury maintenant. Les party-lines privees qui permettent d'appeller n'importe qui pour qu'il vienne se marrer avec nous ? Yep c'est bien sympa mais je n'en connait qu'une, qui semble etre financee par les plus grosses compagnies de telco americaines et europeennes, et je veux bien tailler une pipe a tous les lecteurs de N0 WAY si c'est pas trace a mort (naaaaaaaannnnnn ! c'etait pour rire ! au secours !) Implorer Saint Zlika pour qu'un miracle se produise et que les telco perdent votre dossier ? Arretez le ketchup avec le yaourt %*\ Bien que je ne doute pas un instant que la plupart de ces techniques puissent encore etre utilisees en France, il y a pourtant une autre chose de bien plus pratique et tout aussi efficace, bien que la documentation a ce sujet se soit fait tres discrete, j'ai nomme les PBX (ou PABX pour les chieurs (ou AUT0C0MMUTATEURS dans la langue de moliere et celle de ma copine)). Remarquez que pour une fois le terme francais n'est pas si bete puisque plus court que la signification anglaise de P(A)BX qui est PRIVATE (AUT0MATIC) BRANCH (E)XCHANGE(R). Les lois de l'ethymologies etant inebranlables, un autocommutateur sert a effectuer automatiquement les commutations. En clair, un PBX est un(e) standard(iste) automatique qui vous aiguille sur le poste desire apres avoir compose le numero d'une boite. Les PBX sont souvent couples a des VMB (messageries vocales). Un tel couple remplace aisement quelques standardiste et vous permet, Messieurs les Directeurs d'entreprise, d'optimiser le rendement de vos employes grace a une solution telephonique d'avant-garde. Bon treve de plaisanterie, une PBX peut assumer de nombreuses fonctions; lorsqu'on telephone au standard et que la standardiste prefere vous confier a une machine plutot que de supporter votre mauvaise haleine, vous etes generalement confrontes a un repondeur vous invitant a deposer un message. La a premiere vue c'est un repondeur classique qui vous raccroche au nez avant que vous n'ayez eu le temps de realiser que l'enregistrement etait commence. Fou de rage, vous recherchez dans vos Post-It (tm) le numero de la ligne directe du poste a joindre. Si celui que vous cherchez a joindre est effectivement la et qu'il a la bonne idee de decrocher le telephone, vous pourrez lui dire de se procurer N0 WAY au plus vite et de passer sur mon BBS au lieu de faire semblant de bosser. S'il ne se decide pas a repondre, au bout d'un certain nombre de sonneries, le PBX se reveille et fait office de repondeur vocal pour le poste concerne. Il est quelquefois possible d'envoyer ou de recevoir des faxs de la meme facon. Les employes de la boite peuvent, quant a eux, consulter a tout moment leurs messages a partir de leur poste de travail ou depuis chez eux lorsqu'une vmb est couplee au PBX (75% des cas... La reciproque n'est pas valable). Et comme toute bonne messagerie est en droit de le faire, il est possible d'envoyer et de transferer des messages a n'importe quel autre proprietaire d'un compte sur ladite VMB. Un PBX se vend en fait sous la forme d'une configuration prete a l'emploi comprenant un PC (souvent 386sx25), un ou plusieurs disques durs de grande capacite associes a un streamer ou des cartouches, et d'un genre de modem tres special assurant la commutation automatique sur une ou plusieurs lignes Numeris, ou des reseaux EtherNet ou TCP/IP. Les messages par defaut sont souvent stoques sur CD-R0M. Les softs sont tout cools, sous Windows, et permettent de creer tres facilement l'arborescence de la VMB/PBX a la maniere d'un soft de BBS. Ils peuvent neanmoins se presenter comme un gros standard comme c'est le cas des PBX meridian dont nous parlerons plus bas. Ces derniers ont un avantage certain sur les autres: ils sont beaucoup moins parametrables donc beaucoup plus faciles a hacker (toujours les memes commandes ;-) ) C'est beau la technique... Mais en quoi ca peut nous etre utile de telephoner a une boite dont on a rien a foutre ? Tres simple: lors de la commutation automatique, le PBX utilise le reseau telephonique interne de l'entreprise, compose le numero de poste a obtenir exactement comme si c'etait fait a la main de n'importe quel poste dans la boite, et des que l'appel aboutit, tout ce qui se passe sur cette ligne est retransmi sur la votre. Le resultat est donc le meme que si vous aviez compose le numero du poste a partir d'un autre poste de la boite. 0r, la moindre des gentillesses d'un bon patron est de permettre a ses employes d'appeller un numero exterieur a partir de son poste... Generalement en faisant un indicatif sur un chiffre puis le numero en question. Si cet indicatif n'est pas filtre par le PBX, vous pouvez donc appeller n'importe quel numero pour le prix d'une communication a l'entreprise (ou gratos si c'est un numero vert...). Si le PBX est en France, la qualite de la ligne sera tout bonnement excellente et si la ligne n'est pas en acces restreint, vous pourrez composer n'importe quoi comme si vous le faisiez directement de chez vous (y compris les 36xx et les mobiles qui ne peuvent pas etre appelles de l'etranger). C'est pas le T0P ca ? Toutefois ne soyez pas stupides au point d'appeller le 3644 ou d'autres numeros robots qui peuvent bloquer le PBX (d'ou verification technique et hop grille...) . En fait, il y a deux facons d'utiliser un PBX: soit comme un moyen de telephoner a perpette a moindre frais, auquel cas il grillera au bout de quelques mois, voire quelques semaines comme il se doit, soit comme un moyen de ne pas se faire tracer. Ainsi, le bon plan est de scanner des numeros susceptibles d'etre traces, ou bien de faire de la call ou de la pastel en appelant par un PBX. Interet: le PBX peut durer TRES longtemps (si vous ne composez que des numeros verts il n'y aura aucune consequences sur la facture de la boite et donc aucun controle technique) et vous pouvez passer vos journees en call sans etre trace. Evidemment si vous possedez vous-meme une ligne numeris et une sous-adresse, courrez demander la non-identification d'appel avant de caller un PBX par cette ligne ! Evitez de changer des codes ou d'envoyer des messages dans la VMB si vous comptez profiter du PBX, vous eviterez d'en ecourter betement la duree de vie. Amusez-vous a ca sur des messageries qui ne possedent pas de fonction PBX interessante. (I) -=)> Comment trouver un PBX ? <(=- -------------------------------------- En ce qui concerne celles en 05, il n'y a pas vraiment de regle pour tomber sur des numeros existants. Essayez tout de meme les numeros de la forme 05 wx yz yz, 05 xy 05 xy, 05 xy zx yz et 05 xy zz zz. N'oubliez pas qu'un PBX peut ne pas etre en service pendant les heures de boulot. Le meilleur moment pour scanner du PBX est donc la nuit, ce qui reduit de plus le nombre de chances de tomber sur une gentille standardiste, bien que certaines aient une tres jolies voix. Pour distinguer une VMB/PBX d'u simple repondeur, il suffit de s'exciter sur toutes les touches du telephone et de voir si il se passe quelque chose ou pas (en dehors des touches du telephone qui fument). Les PBX en RTC sont beaucoup plus nombreuses que les phree, et peut- etre plus facile a trouver (disons que la chance intervient moins). La demarche a suivre est la suivante: 1) Chercher sur le 11 les numeros du siege d'une boite (ce n'est pas toujours necessaire de s'en tenir aux grosses multinationales, des petites boites possedent aussi des PBX). Dans le cas ou vous trouvez une tripotee de numeros, retenez surtout ceux des lignes Numeris (c'est generalement inscrit RNIS [Numeris] sous le numero). 2) Prenez les numeros trouves un par un. Ils sont de la forme: (z)ab pq cd ef Telephonez alors a ce numero en dehors des heures d'ouvertures. 3 pos- sibilites s'offrent alors: - "Allo ?" : Tout n'est pas perdu, il est possible qu'un PBX se cache sur une autre ligne. - "Putain y en a marre a la fin !" : Tout est perdu, le PBX est grille. - "Biiiiiiiiiip...Biiiiiiiiiiip..." : Le nombre de sonneries avant qu'un PBX decroche est parametrage. Generalement, ca decroche immediatement sur l'acces principal, et apres 5 sonneries lorsqu'on passe par la ligne directe d'un poste. Donc si ca decroche pas au bout de 7 sonneries, lachez l'affaire. - "Bienvenue sur la messagerie trouduchnok" : Yeah ! See above. - "Booooooooooooooooooooooooooooooooooooooo" : Tonalite grave, qui dure plusieurs secondes : acces direct a un brasseur ou au PBX. Alors la aucun message pour vous guider au debut. Dans le meilleur des cas, vous aurez juste a composer directement l'indicatif et le numero a obtenir pour atteindre votre but. Sinon en tapant un peu n'importe quoi vous pouvez tomber sur d'autres choses: fax, "le numero que vous avez demande n'est plus attribue" (attention ce n'est pas toujours celui de France Telecom, mais simplement un message integre au PBX qui signale que le numero de poste que vous demandez n'existe pas !), "il est impossible d'obtenir le numero compose a partir de ce service" (mauvais signe), "suite a des difficultes techniques, votre appel ne peut etre achemine a ce moment-ci" (encore plus mauvais signe), "le poste XXXX ne peut vous repondre pour le moment" (B0N SIGNE: notez le numero du poste en question: il s'agit du numero du poste par defaut [standard] invoque lorsqu'on demande de l'aide. Rappellez en demandant ce poste, vous pouvez tomber sur la tonalite tant attendue), "messagerie trouduc", etc... Lorsque vous avez une VMB a priori sans interet, passez-y tout de meme un peu de temps: la plupart renvoient des messages d'erreurs bidons pour vous decourager alors qu'elles sont tout a fait hackables. - "Bip bip bip bip bip" : Si vous ne savez pas ce qu'est une tonalite d'occupation, retournez vivre dans votre grotte. 0n peut aussi tomber sur des trucs tres curieux comme des reroutages automatiques qui balancent des tonalites pour le moins etonnantes. 3) Pas de chance, ca ne marche pas sur ce numero ? N000000000000N ! Ne le jetez pas ! Essayez maintenant les numeros suivants: (z) ab pq cd cd et (z) ab pq cd 00 Dans beaucoup de cas, vous tomberez sur un Fax ou du vocal. Dans ce cas il n'y a plus grand chose a faire de ce numero, essayez les autres. Si vous tombez sur une tonalite chelou, une VMB ou n'importe quoi qui ne semble toutefois pas etre un PBX, essayez les numeros suivants: [(z) ab pq cd 01, 02 etc... et (z) ab pq cd c(d+1)...] 4) Toujours rien ? S'il s'agit d'une petite boite, mieux vaut abandonner les recherches. Sinon, il va falloir scanner toute l'area. En effet, lorsqu'une entreprise demande une installation telephonique consequente aux telco, les numeros attribues sont T0UJ0URS de la forme: (z) ab pq [NUM] [ER0 D] [E P0] [STE] *T0US* les numeros demandes en meme temps ont donc le meme (z)abpq. Les numeros de standard, fax et pbx etant faits pour etre retenus aisement, je ne saurais que trop vous conseiller de scanner tout ce qui ressemble a: (z) ab pq xy xy et (z) ab pq xy 00 ou 10<= xy <=99 Si vous trouvez quelque chose d'interessant, reportez-vous au 3), sinon lachez l'affaire et essayez les autres numeros. Petite precision: lorsque vous trouvez une VMB simple ou bien un PBX qui est remplace par un operateur en 05, recherchez le numero RTC de la boite sur le 11: vu le prix que coute un PBX, ils ne le mettent pas a la poubelle du jour au lendemain au profit d'une petasse. (II) -=)> Principaux types de PBX <(=- -------------------------------------- Vous avez enfin trouve quelque chose d'interessant ? Bravo ! Mais ce n'est pas fini... Voici une liste des marques proposant des VMB/PBX en France: ACSYS VMB PBX B0ITIER - * ALCATEL VMB PBX B.ou PC X25 ENET TCP/IP - * ASSMANN VMB PBX PC AURAL0G VMB PBX PC AXELC0M VMB PC - AT&T VMB*ou*PBX B.ou PC BULL VMB B.ou PC X25 CSEE VMB*ou*PBX PC DATAP0INT PBX B0ITIER DIGILINE VMB B0ITIER X25 ENET DIN0VA VMB PBX B.ou PC X25 ENET + DISC0F0NE VMB PBX PC - * ELAN INF0RMATIQUE VMB PC - ELVETEL VMB PC - ERC0M VMB PC EUR0V0X VMB PC FERMA VMB PBX B0ITIER X25 ENET + GS4 VMB B.ou PC IBM VMB PBX B0ITIER + INTERV0ICE VMB PBX PC + JS TELEC0M PBX B0ITIER MATRA PBX B0ITIER * MG2 TECHN0L0GIES VMB PC X25 ENET MULTIMEDIA VMB PBX PC - N-S0FT VMB PBX PC X25 NT MERIDIAN VMB PBX B0ITIER * 0CTEL VMB B0ITIER + PH0NETIC VMB PBX PC X25 RACAL SYSTEMS VMB B0ITIER SAT PBX B0ITIER SIEMENS PBX B0ITIER SLITEC VMB PC - S0C0TEL PBX B0ITIER S0PRA VMB PC TELSIS VMB B0ITIER ENET + TG TELEC0M PBX B0ITIER V0CALC0M VMB B0ITIER X25 ENET V0CATEX VMB PC V0X VMB PC VMX VMB B0ITIER X-C0M VMB PC X25 TCP/IP + Comme vous pouvez le voir, un PBX est capable de commuter des liaisons specialisees ou les branches d'un reseau EtherNet ou X25. Ceci fait partie du roles des bons PBX mais ne concerne pas le sujet de cet article. Par consequent, la mention PBX mentionnee dans le tableau ci-dessus designe uniquement l'aptitude a pouvoir appeller automatiquement un poste en RTC a partir de l'exterieur. Les signes (-) marquent les VMB/PBX les plus repandues dans les petites et moyennes entreprises, les signes (+) etant reserves aux PBX haut-de-gamme qui equipent les grosses entreprises. Les (*) designent quant a eux les PBX dont j'ai profite jusqu'a present pour appeller l'exterieur, autrement dit les "valeurs sures" ! Les VMB/PBX les plus repandues dans le monde sont incontestablement les Meridian Mail de Northern Telecom. Elles ont de plus l'avantage d'etre faciles a hacker ;-) Etudions donc tout particulierement ce type de VMB/PBX. (III) -=)> NT Meridian Mail <(=- -------------------------------- 0n les reconnait tres aisement a la voix de la nana qui prononce les messages enregistres et aux messages qui, en dehors du message d'accueil, sont toujours les memes. N'etant pas une solution sur PC et etant cense etre pret a l'utilisation en quelques dizaines de minutes, les VMB meridian offrent toutes les memes commandes et l'arborescence differe tres peu de l'une a l'autre. L'arbo classique est la suivante: lorsque vous appellez, vous etes confrontes a un repondeur des plus classiques, vous laissez votre message et vous vous cassez. Si vous etes un peu curieux, vous tripotez les touches *,0 et # jusqu'a tomber sur le message jouissif: "Vous avez obtenu un service automatise qui vous mettra en relation avec le numero compose. Veuillez entrer le nom ou le numero de la personne desiree suivit de la touche #" En France, et pour rester compatible avec ce que nous avons evoques plus haut (ligne directe=(z)abpq+numero de poste), les numeros de postes (qui sont aussi les numeros des bals sur la VMB) sont sur 4 chiffres. En regle generale, entre 0 et 9 se trouvent des trucs particuliers comme le standard, le fax ou l'acces aux reseaux internes. Le 0 est toujours le standard, ou plus exactement le numero d'aide (car il est possible de le changer comme nous le verrons plus tard). Donc bref quand on a ce message, il suffit de composer le numero du poste puis # et hoplaboum ca dit allo dans l'poste. Si vous preferez une version americaine du "allo", trois cas pos- sibles: 1) Il suffit de faire un indicatif sur un chiffre pour avoir l'exterieur. Cet indicatif est souvent 0,1 ou 9. Suit alors le numero de telephone puis la touche #. Si vous avez le message "Il est impossible d'obtenir ce numero a partir de ce service" c'est pas le bon indicatif, mais ca ne signifie pas pour autant que le PBX est grille. Attention, certaines lignes peuvent etre en acces restreint (interdiction du 19 et du 36). Tiens j'en profite pour ajouter une petite precision importante. Il est possible d'appeller quelqu'un a partir de son nom en faisant 11 puis son nom converti en chiffres (ca se trouve encore sur les telephones ca ?), puis le #. Kewl sauf que si l'indicatif d'outdial est le 1, lorsque vous voulez appeller la province ou l'etranger, ca donne 119 ou 116 et cet abruti de PBX croit que vous voulez appeller quelqu'un par son nom. Les PBX qui choisissent mal leur indicatif sont donc assez limitees, mais ca depanne pour Transpac. 2) L'acces a l'exterieur n'est possible qu'en appellant une ligne de transit, representee par un numero de poste classique. En clair, il faut alors composer un numero de poste sur 4 chiffres, #, et si on tombe sur une tonalite, on peut enfin tester indicatif d'outdial+numero (plus besoin de faire #, tout ce que vous composez est envoye en direct sur la ligne de transit). Ces lignes de transit sont souvent utilisees pour la telesur- veillance informatique (n'esperez pas en trouver le numero sur le 11). 3) Vous n'avez pas trouve la fonction permettant d'appeller automatiquement ce que vous voulez. Tout n'est pas perdu, mais il va falloir faire un petit tour par la messagerie vocale. (IV) -=)> La VMB meridian <(=- ------------------------------ * Acces direct a la VMB (par le numero du standard) Les commandes sont soit sur une digit pour selectionner quelque chose dans le menu en cours, soit sur 2 pour acceder directement a une commande quelconque. Pendant le message d'accueil, il suffit de taper 81 pour acceder a une BAL. Au risque de me repeter, les bals sont sur 4 digits. Par defaut, le code est bien entendu le numero des BALs. Le plus dur au debut est de tomber sur un numero de BAL existante. Scannez d'abord les bals de la forme x100, puis augmentez de 5 en 5 (x105 x110 x115 etc...). Une fois que vous etes logges, vous arrivez a la lecture du courrier. Les commandes possibles sont: 2: lecture du message en cours 4: message precedent 5: ecrire un message 6: messave suivant 9: appelle le poste de l'expediteur Les autres commandes possibles sont: 70: ajout de la mention "URGENT" sur un message 71: repond au message en cours 72: consulter l'envellope du message 73: transfert 74: ??? 76: efface le message 77: supprime le message de tous les destinataires 78: envoi de message dans toutes les bals 79: envoi un message apres son enregistrement Et les commandes se rapportant plus a votre boite qu'aux messages: 80: parametrage VMB 81: reconnexion 82: repondeurs (interne et externe) 83: deconnexion 84: change le mot de passe 85: listes de diffusion 86: acces direct a un message (faire numero du msg + #) 87: annuaire des bals 88: maintenance des bals 89: changement du nom du proprio Certaines commandes etant particulierement interessantes, je vais en detailler quelques unes: 80: permet d'acceder a un menu tres interessant concernant le parametrage global de la VMB. Les differents choix proposes sont: 1: change le numero de l'operateur (lorsqu'on demande de l'aide en tapant 0 ou qu'on se fait jeter apres 3 essais de hack d'une bal). Les digits filtrees sont les memes que lorsqu'on est directos sur le PBX, par consequent les indicatifs qui ne marchaient pas n'ont pas plus de chances de marcher en passant par la. Par contre lorsque la fonction d'appel automatique d'un poste est absente, celle-ci vient a la rescousse. Le numero doit la aussi etre suivi de # et precede de l'indicatif d'outdial. REMETTEZ IMPERATIVEMENT LE NUMER0 DE P0STE PRECEDENT (ca le dit lorsque vous essayez de le modifier) sinan le lendemain matin c'est D0WN !!! :*( 2: modification du message d'accueil (5 pour enregistrer, # pour finir) 3: modification de l'arborescence. J'avoue ne pas avoir capte grand chose a cette fonction (qui m'a pourtant l'air tres interessante), car elle fait references a plein de nombres dont la signification est difficile a trouver sans la doc. Mais j'ai beau avoir pratiquement tout explore, je n'ai pas trouve quoi que ce soit permettant de modifier les indicatifs filtres :-( 81: cette fonction est un bonheur pour pouvoir scanner des codes sans se faire deco. 0n est en effet deco au bout de 3 essais, mais le compteur est remis a zero lorsqu'on se logge. Par consequent, il suffit de faire deux essais, de se logger sous une bal dont on connait le code, de refaire 81 et hop... le compteur est remis a zero et on peut refaire 2 essais avant de se relogger etc... 0n peut ainsi scanner autant de BAL que desire sans jamais se faire deconnecter. ;-) 83: a quoi sert cette fonction ? 85: les listes de diffusions sont tres pratiques pour pouvoir scanner les numeros de bals utilises. Il suffit en effet d'entrer le numero de la liste a creer suivi de #, de faire 5 et hop, la VMB attend les numeros de BALs et vous dit au fur et a mesure si c'est attribue ou non. Attention toutefois: les frequences DTMF ne sont pas pris en compte lorsque le message dit "Il n'y a pas de boite au numero". La signalisation ne reprend qu'apres cette phrase, avant de prononcer le numero de la BAL en question. Donc ne vous precipitez pas sinon ca va systematiquement vous dire que la BAL entree n'existe pas a cause d'une erreur de frappe... Le plus simple pour hacker des BALs est donc de scanner toutes les BALs existantes grace a cette fonction, de tout noter au fur et a mesure, puis de tester celles dont le passe est egal au poste grace a la commande 81. 87: cette fonction est parfois accessible de tous, mais generalement reservee a quelques BALs de niveau de securite superieur. C'est assez lourd car ca vous donne pour chaque numero le nom du proprietaire, la date de la derniere visite, le nombre de messages envoyes, recus, archives et d'autres conneries, mais c'est quand meme une aubaine lorsque cette option est disponible ! 88: cette fonction n'est accessible que par la BAL du service informatique (souvent situe dans les 9000 et ne correspondant pas forcement a un poste en service). Les choix proposes sont les suivants: 1: Informations sur une boite: derniere visite, nom du proprio, etc... 2: Suppression d'une boite: attention: le numero doit etre valide par deux appuis successifs sur la touche #. 3: Reinitialisation d'une boite: cette commande peut s'effectuer sur une BAL en service ou non. Les messages et repondeurs sont effaces, et le code est remis au numero de la BAL. Il n'est malheureusement impossible de modifier le niveau d'une autre BAL ni le filtre des indicatifs a ce point-ci. 89: commande souvent retiree pour des raisons que je n'explique pas encore... * Acces via repondeur personnel Comme j'ai deja du l'expliquer plus haut, lorsqu'on appelle un poste par sa ligne directe (le poste etant equivalent au numero des BALs) et que le correspondant ne repond pas, la VMB se reveille et vous propose de deposer un message. L'acces a la VMB et surtout au PBX reste toutefois possible comme pour le standard: il suffit de faire par exemple 0* pendant la lecture du message pour acceder a l'autocommutage. Interet de passer par la ligne directe d'un poste plutot que par le standard: si vous trouvez le poste de quelqu'un de vacant ou d'absent, vous pouvez utiliser la PBX meme si il y a une operatrice au standard. Ainsi certains PBX ne sont accessible en 05 que la nuit, mais il est possible de s'en servir en journee par ce moyen. Si il y a un operateur au standard 24h/24 et aucun poste vacant 24h/24, il suffit de trouver un poste utilise la nuit et un pour le jour... C'est pourquoi, au risque de me repeter, lorsqu'un PBX grille en 05, il faut imperativement tester les lignes directes, meme si ca revient un peu plus cher, ca depanne bien !!! (V) -=)> Les autres VMB/PBX <(=- -------------------------------- La procedure a suivre pour pouvoir dialer sur d'autres types de PBX est tres variable. Ca peut etre le fait d'ecrire dans la bal [indicatif]+numero, ou bien de taper deux fois l'indicatif puis le numero suivi de # apres avoir entre son numero de BAL. Ca peut etre beaucoup plus complexe suivant l'arbo mise en place. Le seul moyen de distinguer les differentes marques de PBX est a la voix des messages pre-enregistres. Par exemple les VMB dont j'ignore la marque mais ou une belle voix de metisse vous guide n'ont aucune fonction de PBX a ma connaissance. Certaines VMB (Alcatel, Ferma, GS4, Intervoice) permettent aussi de se faire des teleconferences en direct entre plusieurs BALs. Ca permet de se taper des gros delires a 20 connectes simultanes. Lorsque ces VMB sont en numero vert international c'est vraiment le T0P, d'autant plus que certaines (Ex:Etherix) proposent une commande INV0KE qui permet d'appeller n'importe qui a se joindre a vous. (VI) -=)> Conseils d'utilisation <(=- ------------------------------------- FAQ: "les PBX c'est kewl mais... ca craint ?" Les avis sont mitiges: pour certains, c'est 100% sans risque car les PBX permettant d'appeller l'exterieur ne sont pas reconnues par France Telecon et en cas de litige, c'est pour la pomme de la boite et France Telecom ne peut pas donner, meme aux keufs, d'infos concernant les numeros ayant appelle les lignes concernees. Pour d'autres c'est pipobingo, du moment que la boite porte plainte aux keufs, tous les moyens leurs sont accessibles. J'ai bien quelques potes qui se sont fait busted pour phreaking mais mais dans la mesure ou ils faisaient aussi bien de la PBX que de la call ou de la box, il est difficile de savoir ce qui les a grilles exactement, bien que les keufs n'oublierent pas de considerer les PBX dans leurs rapports. FAQ: "vaut-il mieux les utiliser le jour ou la nuit ?" La aussi, les opinions divergent: caller le jour permet d'etre moins suspect sur la liste des appels, caller la nuit permet d'eviter de se faire griller en direct. Pour ma part je raisonne de la facon suivante: si il y a des employes (autre qu'agents de securite) la nuit, mieux vaut caller la nuit: ils pourront etre accuses, et les types qui bossent la nuit ne sont pas des ingenieurs informatique qui sont payes suffisemment gracement pour ne pas avoir a passer de nuits blanches. Dans le cas contraire, j'utilise le PBX uniquement en journee. Si la boite a la meme activite jour et nuit, bien evidemment, votre periode d'appel n'aura aucune consequence. FAQ: "solidite et duree de vie ?" Un PBX de grosse boite est tres solide, on peut etre a 10 en meme temps dessus sans que ca ne limite la duree de vie (essayez avec une carte vous m'en direz des nouvelles). Maintenant il faut savoir que pour une petite boite, si les 1000 F de facture journaliere sont depasses, le centre de prevention de FT se bouge le cul et previent aussitot la boite (j'ai ete temoin d'une lettre a ce sujet dans la boite ou je bossais cet ete). Pour une grosse multinationale il faut deja etre un peu plus gourmand. La duree de vie est difficile a determiner, ca peut flamber en une semaine comme en un an ! Un PBX peut de plus s'arreter quelque temps puis reprendre tout a coup. 0u bien passer du simple indicatif sur une digit en guise d'outdial au coup du numero de la ligne de transit. 0u bien simplement virer l'acces 05 en gardant le PBX sur les lignes RTC. (VII) -=)> Keep on phreaking ! <(=- ----------------------------------- Voila j'espere vous avoir un peu eclaire au sujet de ce fabuleux moyen de phreaking que sont les PBX. Si cela vous permet de trouver des PBX vierges, vous avez gagne le droit de m'en donner les numeros ;-) Quelques greetings... New Id, Evian, EFZ Team, Pak, Disease Factory, Seven Up, Andreas, Voyager, Phantor, FCS, Hackick, Hackline, Joshua, KewlHP, HPReg, Zarkdav, NewTrend, Doctor Byte, ClockWork 0range, Sledge, SkinHead, Real Sniper, Speedy Gonzales, Anixter, Geat, Fortan, Spy Hunter, et a vous pour avoir lu cet article jusqu'au bout (quel courage...) . Vous pouvez me contacter sur: EFZ: 3614/3615 AS-K-AR-0U-ND bal EasyHacker The 0NE BBS: +33-149-887-691 bal EasyHacker RTC-0NE: +33-148-701-029 bal EasyHacker Stampede: +1-813-754-0685 bal EasyDialer The Line aka QSD bal EasyDialer Y0H!BBS: +49-L0-0K-F0-R-IT bal EasyHacker Sectel: +49-N0-T-F0-R-Y0-U bal EasyHacker [NeurAlien: SecTec pas SecTel !!!!] TTGIPTS: +1-303-427-0621 bal EasyDialer HideWay: +1-WH-AT-IS-IT aka Rachid Benzaoui FidoNet: 2:242/260.21 RTEL: :-)) pas RTEL ! :-? Your, EasyHacker / F.F.T for N0 WAY issue 2 [Federation of Free Traders aka Fuck France Telecom !!!] -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.7 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. (regardez la date!!!!) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 2 | [NeurAlien] 28/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= <--==*==-->---------------------------------<--==*==--> <--==*==--> FT's Operating System <--==*==--> <--==*==--> for <--==*==--> <--==*==--> Cellular Telephone Managing <--==*==--> <--==*==--> By NeurAlien <--==*==--> <--==*==-->---------------------------------<--==*==--> Intro: ----- J'ai rassemblé ici tout ce que je savais sur le systême de gestion du téléphone cellulaire par France Telecom. Je ne connais pas du tout ce systeme etant donne que je ne travaille pas a France Telecom ;) Si un jour vous tombez sur un systeme comme ca, faites moi une H-Phile pour CORE-DUMP en expliquant le fonctionnement complet du systeme. Et vive la libre circulation de l'information. Organisation du R2000: --------------------- Le R2000 (RADIOCOM 2000) est le téléphone cellulaire analogique Francais fait par France Telecom. Les frequences de transmission sont de 400 MHz à 440 MHz. Elles sont organisees en BdF (Bandes de frequences???). Ce sont des NRL (Relai) qui, connectés à des centres FT avec opérateurs grâce à des modems 300 bauds, gerent la transmission des informations de routage et de taxation. Aux UGR (lien avec le RTC), il y a des CGM qui gèrent les mobiles et leur routage. Matériel: -------- o Partie telecommunication, FT utilise les matériels suivants: MATRACOM 6500 (et par celui ci, du x25 sémaphore) MT25 (autocomm) E10 (autocomm) o Partie gestion informatique: BULL C'est sur ce dernier point que je vais m'attarder. Apparemment, FT utilise des Bull DPS en reseau x25 et avec des modems branchés sur le RTC (pour la relation avec les NRL). Ils utilisent donc certainnement le systême d'exploitation GECOS de Bull mais aussi un logiciel de MATRA (CGM) pour la gestion donc des taxes et de l'activité reseau. Il est possible que le nom CGM provienne de Centre de Gestion des Mobiles. il en est à sa version 8.5. Logiciel MATRA: -------------- Je vous met ici une liste de commandes qui devraient normalement marcher sur le logiciel de MATRA (CGM). Certainnes n'ont aucune explication donc il vaudrait mieux demander de l'aide en ligne la dessus. Commandes: TTA:BAN= : archivage des taxes. CHANDI : transfert de fichier AAE : Commande d'édition de l'anneau des alarmes STE:NGR=1+8+7+6+12,PER= : édition des statistiques TYC=MIC : service FTB LMR : Liste de tous les mobiles créés sur le relai CDE FTE : Commande d'édition des fichiers temporaires FSM 001 FSM 0XX XX : édition des fichiers sur bandes selon les mois (XX XX) FSM 001 FSH 0YY YY : meme chose selon les semaines (YY YY) ABS <numero d'UGR> : sauvegarde de tous ses fichiers. LST : redémarre l'UTME + arret de liaison +présaturation FSM MOR : mise en suivi de mobiles MOP : Idem RSR : Rapatriement de fichier de suivi de mobile CAI : commande de listage LSU : statistiques SUE : pour rapatrier un fichier FSE CSR : Création de station radio CQP : création de voie banalisée LEU : donne l'etat des chaines ECE : édition Commandes sans explication: VE PERFID LMS DIR,VE LAR LGR PEP RHM LMA/LMF=.... RHM "LAR" RHM LEU FJA LDI BTR LQR AUE LTL CNX Fichiers utilisés par le logiciel Matra (CGM): CRAA CRI CRAD FER FTJ TAX FTYPUT TOTAL OOCRAA NBBL LPI ABO CAD FICBDF FSE : Fichier de stat Systeme GECOS: ------------- Pour se logger on tape L <compte en majuscule> Sur les systems FT, il faut taper: L SYSTEM Il y a aussi generalement sur les systemes FT le programme ORACLE. Et il semblerait que les fichiers du logiciel MATRA (CGM) soient compatibles ORACLE. Le mot de la fin: ---------------- Eh bien, j'espère que ca vous permettra de pas vous retrouver bête devant le prompt de ce systeme si jamais vous y arrivez un jour... En tout cas, j'espère pouvoir vous donner plus d'info sur le GECOS d'ici quelques temps... Have Phun! ++ NeurAlien _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ The B.S.: Cet article est purement informatif et n'incite en aucun cas a un quelconque acte interdit. L'auteur ne pourra etre tenu pour responsable de toute mauvaise utilisation de cet article. Les informations de cet article sont publiques et ne peuvent en aucun cas constituer un motif pour une quelconque action en justice contre son auteur. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.8 ##################################### ##################################### ## ## ## ## ## VMB's sur Memory Call ## ## ## ## (05.90.31.07.) ## ## ## ##################################### ##################################### Et voila, la liste des BALs sur Memory Call! Enjoy inter-continental phreaking! :) +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+ +-+ +-+ Another Phile By +-+ +-+ +-+ +-+ --==<< CrAzY tOnE >>==-- +-+ +-+ +-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ For eventual US readers: This is a list of VMB's on the Memory Call Service, I don't know it's number in US, but to reach it from France, you have to dial the toll free 05.90.31.07. Bon, le numero, comme on le sait deja, est 05.90.31.07. ^^^^^^^^^^^^ Kelkes indications pour se connecter: 1) Ceci est un VMS (Vocal Mail Service) donc, rien ne sert de l'appeller par modem. Appellez-le de chez vous, ou plutot faites comme moi, callez de la cabine telefonik, c'est moins dangeureux, du moment qu'il y a poa besoin de modem pourquoi risquer d'etre trace? 2) Il faut appeller EN DEHORS des heures d'ouverture des bureaux a savoir entre 9 a.m. et 5 p.m. en USA, donc en France avant 14 heures ou apres 00 heures (a peu pres) ou le week-end, kan c'est ouvert 24/24. 3) Si vous tombez sur un operateur (trice) - raccrochez, pour ne pas attirer de soupcons inutiles. Donc, une fois que c'est un REPONDEUR ki vous repond, c'est bon, vous pouvez y aller. 4) Le repondeur decroche au bout de 5 sonneries d'habitude. 5) Une fois que vous entendez le repondeur, il doit vous dire 'Leave us a message after the tone' ou kelke choz dans le style. Appuyez une fois sur ETOILE (*), il demande: - 'Please dial the number of the person you wish to call' > Si vous voulez deposer un message a kelkun, faites: 22 + le numero de la BAL du destinataire puis suivez les indications. (Il doit surement exister d'autres moyens de deposer un msg, mais j'ai pas vraiment cherche...) > Si vous voulez acceder a votre BAL, faites: (#) ou (*) puis entrez le numero de votre BAL et puis le mot de passe suivi de (#) Attention, au bout de 3 tentatives sans succes d'entree du numero de la BAL successives, il vous deconnecte... Meme choz pour le code. Mais le systeme etant tres con, le compteur des tentatives est remis a zero a chaque fois que vous entendez 'Welcome to Memory Call Service' (on verra ca plus loin), donc on peut hacker sans rappeller toutes les 30 secondes! 6) Si vous n'avez poa de VMB, allez voir directement le point 8, sinon, lisez la suite. 7) Une fois que vous etes dans votre BAL, vous pouvez faire un certain nombre de choses, dependant du type de votre VMB (1) ou (2), (2) etant bien plus evolue. Mais en gros, vous pouvez changer le mot de passe, enregistrer votre nom, enregistrer vos greetings (msg d'accueil) lire les messages et envoyer des messages (si type (2), sinon fo envoyer comme c'est explique en 5)). Allez lire le point 9 directement. 8) Bon, vous avez poa de BAL...snif... le premiere solution est d'en demander une a kelkun ki en a plusieurs, au moment ou j'ecris ces lignes, les personnes succeptibles d'avoir des BALs a refiler sont COOLHP et moi, qu'on peu joindre soit sur Memory Call en 2613631 soit sur Likid en 5100. En ce qui concerne COOLHP, je sais poa si il voudra refiler des BALs, alors bon je donne kan meme son num sur Memory Call: 2654549. Bon, si personne ne vous donne de BAL, allez lire le point 9, koike meme si on vous en donne une, allez le lire. 9) ** How to hack Memory Call ** Bon, hacker ce truk c'est poa bien compike, la preuve: j'ai hacke une 20-aine de Bals de types (1) et (2) a ma premiere connexion. Le truk le plus dur consiste a trouver une BAL valable. Le mot de passe est le numero de la BAL si cette BAL n'est pas encore occupee, mais deja assignee. Parfois, j'ai trouve des pass des BALs occupees en essayant des truks o pif, mais c'est poa tres souvent, alors si vous ne trovez le mot de passe d'une bal du premier coup, laissez beton, car vous serez obliges de rappeller tout les 3 movais mots de passe, il est plus rapide de se trouvez une autre BAL avec un mot de passe bidon. Les BALs sont codes sur 7 chiffres allant de 0 a 9, toutefois, il n'y a pas de BALs inferieures a 222-2222 au moment ou j'ecris ca, d'ailleurs toutes les infos contenus dans ce fichier ne sont valables a coup sur que pendant une certaine periode apres l'ecriture, chez poa kelkes semaines ou kelkes mois, aucune idee en fait. Ainsi, la BAL la plus grande est 999-9999, bien k'elle ne soit pas assignee pour l'instant. Comme je l'avais dit, le systeme est tres con, a savoir, il vous dit, kan vous entrez votre num de BAL (pas de code!) il vous dit kan vous faites une erreur!!! ce qui rend _facile_ de trouver les nums de BALs valables. Toutesfois, il ne le dit qu'apres que vous ayez entres 3 chiffres, ou ayez entendu trop longtemps sans rien entrer. Exemple: (BAL valable: 261-3631) J'entre 260. Il me dit rien kan j'entre le '2', ni kan j'entre le '6' mais kan j'entre le '0' a la fin, il me dit 'not recognized' car il n'y a donc aucune BAL qui commence par 260. Bon, j'entre donc 261. il ne dit rien, car attend les chiffres restant, car il existe une ou plusieurs BALs qui commencent par 261. J'entre donc 0, il me dit 'non recognized', car il n'y a aucune bal qui commence par 2610, par contre il y'en a une qui commence par 2613, donc kan j'entrerai 2611, il me dira non, 2612 non plus, 2613 il dira rien kar attendra d'autre chiffre... voila... et c'est pareil pour les quatres chiffres qui suivent le num du groupe. (num du groupe = 3 premieres chiffres du num de la BAL, voir plus loin). Bon, il se trouve qu'il y a un certain nombre de BALs qui sont deja assignes, mais pas visites par kikonk, donc il contiennent le 'temporary password', a savoir le numero de la BAL!!!!!!! Ils le font expres!!! Ils sont con!!!!! Bon, bin vous entrez donc le temporary password, si il dit 'Thank-you' c'est que c'est bon, vous entrez le pass que vous voulez installer, votre nom, greetings, et hop, une BAL toute fraiche pour vous. Alors, la est l'interessant, si il vous dit en denombrant les options disponibles "Send a Message" c'est que vous avez une BAL de type (2), vous avez toutes raisons d'etre contents. La BAL de type (2) vous permet de reconnecter en appuyant sur (5) dans le MAIN MENU. Et donc reinitialiser le compteur des tentatives sans succes!!! Pour hacker sans rappeller: - hacker une BAL de type (2); - scanner les bals en consultant a chaque 2eme tentative sans succes votre BAL de type (2) et en se reconnectant en appuyant sur (5); Voila... 10) Alors, pour les groupes... Il se trouve que les BALs sont souvent groupees, en ayant en commun les 3 premieres chiffres du num de BAL, donc si vous trouvez un num de group (les 3 premieres chiffres) valide, scannez le a mort, il vous rapportera peut-etre, si on l'a poa deja scanne :) plein de BALs. 11) Si vous trouvez un mot de passe d'une bal utilisee par kelkun, ne le changez surtout pas, car: - Si c'est un occupant legitime, il va le dire a l'operateur, et vous perdrez la BAL definitivement; - Si par contre, vous changez poa le code, vous pourrez vous amuser a ecouter ses messages sans qu'il s'en apercoive, car les messages ne sont pas markes lus! Si jamais vous trouvez le mot de passe de l'operateur, dont la BAL est 9995555, ne foutez rien en l'air, allez partout, mais n'effacez rien, ne modifiez pas trop, sinon il va s'en remarker et finito el passwordo... Les mots de pass courants: - le num de la BAL - 12345 - 123456 Et n'importe quoi qui vous passe par l'esprit... @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Bon allez, now c'est la liste des Bals... ************** ** LEGENDES ** ************** (1) Type 1 (2) Type 2 (!) Un hacker qui l'occupe (francais ou US...) (+) Occupant legitime, mais on connait le pass hehehe (-) Occupant legitime, mais on connait poa le pass bouhooOOooOOoo (*) Operateur! C'est en fait une femme... °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° (-) 222-2222 (!1) 225-2657 Ma BAL de secours! (!1) 242-9552 TraXX (-) 252-9591 (-) 260-1225 (!2) 261-3631 Une BAL a moa (-) 262-1124 Une certaine Marylin (!1) 265-4549 COOLHP (-) 268-2110 (!2) 279-1721 Encore a MoAaAaAaA (-) 281-1897 (-) 282-1608 (-) 287-1123 Transaction NetWork (-) 291-0521 >> (+1) 291-0603 (-) 291-0746 (-) 291-0851 (-) 291-0969 (!1) 291-0977 Eh oui! encore a moi... (-) 291-0999 (!2) 291-1252 Toujours a moi (-) 291-1325 (-) 291-1585 (-) 291-1624 (+1) 291-1670 (-) 291-1713 (!1) 291-1825 A moi (!1) 291-2005 Zarbi: 8 messages kan je l'ai ouverte... (+1) 291-2040 On peut ecouter leurs msg! (-) 292-1113 Yougada Technologies (-) 296-1111 (!2) 321-5235 Je suis passe aussi par la... (!1) 329-9797 Jedi (!1) 353-9015 Rebel-94 (!1) 356-5314 Hpreg (!1) 363-0053 Thesee (-) 367-8812 (!1) 388-4356 A moi (!1) 396-2082 Idem (-) 443-6111 Yougada NetWork (!2) 444-4411 A moi (-) 448-1112 Cathy (-) 471-0393 George (!1) 491-8845 A moi (?) 523-2 Seulement 4 digits !!!????!!!! (!1) 555-5555 A moi... (<-><!>) 587-7500 C'est ptet' un hacker? USA? autre? (-) 636-5664 Isabella (!1) 645-9117 A moi (!1) 695-4490 Pareil... (-?) 696-8832 Alex Thompson. EN FRANCAIS!! Hacker? (!2) 886-0052 COOLHP (?) 886-0803 (?) 886-0509 (?) 886-0322 COOLHP -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.9 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 7 | [NeurAlien] 05/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= ____________ / __________ \ / / \ \ | | | | | | | | __|_|___________|_|__ | o F T H o | | ___ ___ ___ ___ | | [1] [3] [9] [7] |]] | [2] [4] [0] [8] |]] | [3] [5] [1] [9] |]] | [4] [6] [2] [0] |]] |____________________| UN-lock the FTH numerical Lock Par NeurAlien Intro: En lisant les nouveaux Phracks ou le "2600 magazine" exposait ses dernieres passes (ils avaient reussi a trouver une methode pour ouvrir en trouvant le code des serrures SIMPLEX qui equipent toutes les boites "FEDERAL EXPRESS"... Bravo a eux... (au fait, je ne sais toujours pas comment ils font...)), eh bien je me suis dit: "Pourquoi moi je ne pourrais pas trouver aussi une methode pour ouvrir les cadenas a codes???" Le soir meme (c'est a dire aujourd'hui...), je me suis precipite apres les cours dans une quincaillerie et apres une petite dose de "Social Engineering", je me suis procure un cadenas a code numerique (je n'ai pas dit digital...) de chez FTH. Vous pouvez trouver ce cadenas n'importe ou a mon avis. Je ne sais pas en tout cas s'il est frequemment utilise. Bref, au bout d'une bonne demi-heure pendant lesquelles j'ai regarde comment le cadenas fonctionnait, j'ai trouve un moyen pour trouver le code. Et le VOICI : Principe de ce cadenas: ---------------------- Il est consitue de 12 parties qui nous interressent: - un anneau de securite qui est (generalement) sur tous les cadenas ;) - un cliquet qui permet au pene de se retirer du cadenas quand on a le code et que l'on veut changer ce dernier ou voir les bagues. - 4 "viroles" c'est a dire, les quatres annaux en metal jaune qui tournent et qui permettent de positionner le code (numrotes de 0 a 9). Ce sont juste des roues dentees creuses pour recevoir les bagues. Elles sont logees dans le cadenas en lui meme dans les logements prevus a cet effet. - 4 bagues situees a l'interieur des viroles (ce sont elles qui composent la cle, le code. (il faut pour les voir: 1/ mettre le bon code en face de la barre horizontale du cote du cadenas ou il y a inscrit "FTH" 2/ tirer sur le pene quand il y a le bon code 3/ lever le cliquet 4/ enlever totalement le pene du cadenas 5/ enlever une des viroles, elle est composee de deux parties, la virole en elle meme qui est l'anneau le plus grand et la bague qui est l'anneau le plus petit (le pene passant au milieu de ce dernier). - un pene (prononcer PAINE, il y a un accent grave) qui sert a ouvrir ou a bloquer le cadenas. Il est situe sur la partie droite du cadenas et a cette forme quand il est retire du cadenas: _____ |__ | <-- partie bloquant | | l'anneau de ___ ___ ___ | | securite __/|___| |___| |___| |____| | (__________________________ | | | |_| \___________ ___________/ \/ Partie qui est normalement dans le cadenas. C'est la partie qui bloque les viroles. - Le cadre du candenas (le cadenas). H2U : How To Unlock: ------------------- Eh bien c'est simple: il faut trouver le code... (J'imagine ce que vous vous dites dans votre tete: haha, marrant celui la, on a pas 3 ans pour essayer les 10 000 combinaisons.) Bon, eh bien, pour trouver ce code, j'ai decouvert un petit truc marrant: A la fabrication, ils ne sont pas surs au millimetre pres que le pene rentre dans le trou du cadenas. Donc ils donnent des dimensions legerement inferieures au pene par rapport au modele initial ce qui donne un peu de jeu au pene. Ainsi, on peut faire bouger le pene. Deja, prenons le cadenas dans la bonne position: mettez le de telle maniere pour pouvoir lire FTH verticalement sur la gauche et le pene en haut du cadenas. (cad, anneau de securite sur la gauche). D'autre part, pendant toute l'operation, il ne faut que aucun poids ne pese sur l'anneau de securite (ex: ce qui est attache). Le cadenas DOIT ETRE V E R T I C A L ! Donc, il ne faut absolument pas maintenir le cadenas dans la bonne position en le tenant par l'anneau de securite. Ensuite, il faut avoir une source de lumire vive pour cette operation (une lampe de poche large, le soleil, une ampoule forte). On placera cette derniere dans la bonne position derriere le cadenas de telle sorte que l'on voit des fentes de lumière au dessus des viroles \/. Juste au dessus de chaque partie dentelee de chaque virole, on doit voir une fente de lumiere meme si l'espace est tres petit (cela est primordial donc une bonne vue est necessaire.) Si on essaye de soulever un peu le pene (utiliser un chewing gum par exemple pour une meilleure prehension), on va voir la partie centrale de la raie de lumiere s'obscurcir. Si cela se produit, c'est que le numero de la virole place pour le code n'est pas le bon !!! Sinon, la raie de lumiere reste la meme... et alors la, le code de la virole concernee est bon. Il faut essayer plusieurs fois pour bien en etre sur ! Donc, la bonne methode est de faire ca en mettant successivement comme code 0000, 1111, 2222, 3333, 4444, 5555, 6666, 7777, 8888, 9999. Une fois qu'on a trouve sur une virole un bon chiffre, on le laisse tel quel, et on continue de chercher avec les autres viroles. Et au bout du compte, BINGO... Vous avez ouvert le cadenas ! Si vous n'y arrivez pas la premiere fois, reessayez, c'est dur au debut de bien voir quand la raie de lumiere s'obscurcit !!! Explication: ----------- Le pene ayant toujours du jeu vertical, on peut le faire bouger donc on fait bouger (se deplacer vers le haut de facon plus precise) les excroissance sur le pene lorsque l'on souleve puis rabaisse ce dernier. Ainsi, si ces excroissances sont en face de l'encoche de la bague a l'interieur de la virole (c'est a dir que le chiffre sur cette roue est le bon), la bague ne se souleve pas quand on souleve le pene et ainsi la raie de lumiere reste pareille. Par contre, si ce n'est pas le bon chiffre, la bague est remontee par les excroissance et ainsi obscurcit tout ou partie du milieu de la raie de lumiere. Alors maintenant, Go 4 it! ++NeurAlien. The Bull-Shit: Ce texte et tout ce qui pourrait en decouler ne pourront etre retenus contre moi. Ce n'est que de l'information pure et donc non sanctionnable. FTH est (certainnement) une marque deposee. PS from '94: And if you don't wot a pene is, get a life ! ;)) haha -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.10 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 5 | [NeurAlien] 14/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= *--*--*--*--*--*--*--*--*--*--* | | | International Toll Free | * * | Phone Numbers In France | | | * By * | NeurAlien | | | *--*--*--*--*--*--*--*--*--*--* Intro: Alors voila, France TELECOM est tres tres gentille... Je leur ai demande des infos, et hop, thanx 2 social engineering, me voila en possession de ces infos qu'ils ne veulent pas trop distribuer... LIBERTE D'INFORMATION, Merci... B.S.: Ces informations m'ayant ete donnees par un technicien de France Telecom, je ne pourrais etre en aucun cas poursuivi par France Telecom; Ces informations etant dans certainnes documentations PUBLIQUE mais rarement distribuees de France TELECOM. Je ne pourrais etre tenu comme responsable d'un acte ou fait consecutif a la lecture de cet article. Cet Phile vous presente ce qu'est le numero vert International (toll free number) et ses acces indoor ou outdoor (cad en france et ailleurs). >Le principe: Un numero vert est en fait un numero dans une liste de numeros au central de votre coin. Cette liste contient: le numero vert, le numero normal correspondant et la zone d'influence plus quelques autres informations je suppose. Quand on decroche le telephone et que l'on compose un numero vert, le central doit aller verifier que ce numero existe dans sa liste, marque la communication comme non-payante pour l'appelant, verifie que l'appelant est la zone d'influence du numero vert (cad que l'utilisateur a le droit d'y acceder du point geographique d'ou il appelle) et appelle le numero correspondant dans sa liste. Pour le numero vert, c'est la meme chose sauf que c'est vers l'etranger que la communication est orientee. (c.a.d que le numero normal correspondant au numero vert international est a l'etranger.) >Forme du numero vert international en indoor: Le numero vert international commence toujours par 0590 puis un indicatif du pays puis l'adresse propre a l'abonne au numero vert international situe a l'etranger. Dans beaucoup d'autres pays il existe des liens telephoniques 'toll free numbers' vers la France. >Les indicatifs indoor: Je ne les ais pas tous mais j'ai reussi a recuperer les principaux. Les 'x' dans la liste sont le nombre de digits qui doivent suivre l'indicatif. N'oubliez pas qu'un numero vert est toujours compose de 8 chiffres comme tous les numeros telephoniques de France. ------------------------------------------------------------------------------ Pays: Indicatif Commentaire ------------------------:-----------------------:----------------------------- Allemagne : 05 90 4x xx : Belgique : 05 90 7c xx :c=tout sauf 3 Danemark : 05 90 52 xx : Espagne : 05 90 3c xx :c=tout sauf 4 Finlande : 05 90 55 xx : Hong Kong : 05 90 94 xx : Italie : 05 90 04 xx : Japon : 05 90 9c xx :c=tout sauf 4 Luxembourg : 05 90 69 xx : Netherlands/Pays Bas : 05 90 6c xx :c=0..8 Norvege : 05 90 57 xx : Portugal : 05 90 73 xx : Suede : 05 90 34 xx : Suisse : 05 90 8x xx : meme indicatif que l'UK UK : 05 90 8x xx : meme indicatif que la Suisse USA AT&T : 05 90 1x xx : AT&T : 05 90 21 xx : AT&T : 05 90 23 xx : AT&T : 05 90 25 xx : AT&T USA MCI : 05 90 27 xx : MCI : 05 90 28 xx : MCI : 05 90 29 xx : MCI (npa=216) USA Sprint : 05 90 02 xx : Sprint Pour les USA, on ne sais pas trop dans quel état/ville/companie on tombe. Mais certainnes fois, on recoit un message a la place d'une quelconque sonnerie: "2 1 6, Sorry, the number you've dialed is not in service, please, check your number and dial again. Otherwise, try to reach a MCI Operator." Dans ce message vous apprenez que la serie dans laquelle se situe votre numero appele est dans l'etat/l'area code de NPA 216 et que la compagnie qui gere la communication est MCI. Pour la liste des NPA, voyez une autre H/P-Phile. Si vous en avez d'autre, dites le moi. >Toll Free Numbers Outdoor: Ce sont des numeros verts dans certains pays pour appeler vers la France. ------------------------------------------------------------------------------ Pays: Indicatif Commentaire ------------------------:-----------------------:----------------------------- Allemagne (DE) : 0130 81 xxxx : Anciennement RFA Australie (AU) : 0014 800 125 xxx : Belgique : 11 xxxx : Canada (CA) : 1 800 x 6343 xx : Danemark (DK) : 80010 xxx : Espagne (SP) : 900 9x 33 xx : Etats Unis (US) : 1 800 xxx xxxx : (alors la, c'est epars...) Finlande (FI) : 9 800 133 xx : Hong-Kong (HK) : 800 33 xx : Hongrie : 00 800 xxxxx : Irlande : 1 800 55 xxxx : Italie (IT) : 1 678 xxxxx : Japon (JP) : 00 31 33 xxxx : Japon (JP) : 00 44 22 33 xxxx : Luxembourg : 0 800 xxxx : Norvege (NO) : 06 022 xxxx : Portugal : 05 05 33 xxx : Royaume-Uni (UK) : 0 800 89 xxxx : Singapour : 800 xxxx : Suede : 020 795 xxx : Suisse : 1 55 xxxx : Note sur les toll free numbers: Apparemment, la cause du changement de la signalisation en DTMF inter-centraux qui permettait a l'origine l'utilisation de la blue boxe serait due a des Hackers et des Phone Phreak qui auraient utilise les Toll free numbers pour arriver gratuitement sur le reseau francais. ThE EnD: ------- Eh bien, j'espere que vous avez un bon accent et de bonnes connaissances en langues etrangeres. Notez que les numeros de cette derniere liste de pays sont uniquement accessibles en etant interne au pays (sauf si vous avez un PABX dans le pays designe). Quand aux sigles entre parenthese, c'est conforme a l'ISO xxxx (vous voulez vraiment le xxxx ;) ???), ou si vous preferez les domains d'internet. >Les coordonnees du centre qui s'occupe de cela: DIRECTION DES RESEAUX EXTERIEURS 246 RUE DE BERCY 75584 PARIS CEDEX 12 Tel: 05 19 33 33 (ps: 05 19 xx xx ce sont tous les services de la DTRE, Direction des Telecommunications des Reseaux Exterieurs.) Mais n'allez pas leur demander comme ca en etant un particulier: quel est l'indicatif numero vert international pour Taiwan ou pour la Coree du Sud (si vous avez ces 2 derniers en tt cas, ca m'interresse...). Vous vous feriez jeter. Bon social-engineering. Informativement votre, ++NeurAlien -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.11 %=%-%=%-%=%-%=%-%=%-%=%-%=%-%=% %=%- Telecom Information %=% %=%- Par %=% %=%- NeurAlien %=% %=%-%=%-%=%-%=%-%=%-%=%-%=%-%=% >>>>>Informations générales et diverses sur le téléphone, les modems etc...<<<< > Modem & restrictions: -------------------- Vous savez, France Telecom est une sale société de rats puants. Vous savez aussi qu'ils veulent limiter la technologie à leur propre usage. Un exemple, l'agrémentation des appareils téléphoniques se fait uniquement si cet appareil n'est pas trop performant. Apparemment, les modems USR étaient trop performant (ainsi que la pluspart des modems). Ils composaient très vite, pouvait rappeler immédiatement un numéro et plein d'autres petites fonctionnalités de ce type existaient. FT a vu la dedans une menace envers son monopole et hop, pour être agréé il faut intégrer une periode d'attente entre la composition de 2 numéros et aussi comporter une blacklist qui bloque un numéro si celui ci est rappelé sans succes trop souvent. N0 WAY vous fournit des aujourd'hui un moyen de bypasser cette protection! Connectez vous à votre modem et tapez: atz at s40=2 at &w (pour sauvegarder) Et voila, maintenant vous enculez en profondeur FT !!!! hahahaha... (teste et approuve sur USR Courrier Terbo V32Bis) Je ne sais pas si les mecs de USR sont au courant de ca mais c'est très bon. Il est très interressant de bidouiller son modem avec les "reserved" register. Je donne la liste des ces registers ou des bits reservé de certains registres: - S13 : Registre batard pour faire des actions au startup etc... le bit 128 de ce registre est "Custom Application Only" Doc Default: 0 French Default: 0 - S14 : Dans la série des registres de parametrage de mode, on peut imaginer que ce registre sert à la même chose. le registre entier est reservé. Doc Default: 0 French Default: 0 - S15 : Paramétrage des modes du modem. le bit 128 de ce registre est "Custom Application Only" Doc Default: 0 French Default: 0 - S16 : Paramêtre pour tester son modem: Dial test, Loopback... les bits 4 (16), 5(32) et 6(64) de ce registre sont reservés. le bit 7 (128) est carrement pas liste. Doc Default: 0 French Default: 0 - S17 : Toujours dans la série des bits de test, ca doit être ca! le registre entier est reservé. Doc Default: 0 French Default: 0 - S20 : Dans la série des registres utilisés comme timer, ca doit être la même chose. le registre entier est réservé. Doc Default: 0 French Default: 0 - S25 : Dans la série des registres utilisés comme timer, ca doit être la même chose. le registre entier est réservé. Doc Default: 0 French Default: 5 - S27 : Registre qui permet d'activer/desactiver des vitesses et des modes. le bit 6 (64) est réservé. Doc Default: 0 French Default: 1 - S30 : Registre NON LISTE ! Dans la série des modes / avant le registre de détermination de l'action d'appui sur VOICE/DATA. French Default: 0 - S31 : Registre NON LISTE ! Dans la série des modes / avant le registre de détermination de l'action d'appui sur VOICE/DATA. French Default: 0 - S33 : Les bits de 1 à 7 (valeurs 2 à 128) ne sont pas listés dans la doc. Le bit 1 sert a activer le mode HST cellular. Doc Default: 0 French Default: 0 - S35 : Non listé French Default: 0 - S36 : Non listé French Default: 0 - S37 : Non listé French Default: 0 - S39 : Non listé French Default: 11 - S40 : Non listé French Default: 0 Sert entre autre a bypasser les limitations FT ! - S45 : Non listé (dans la série des timings) French Default: 0 - S46 : Non listé (dans la série des timings) French Default: 0 - S47 : Non listé (dans la série des timings) French Default: 0 - S48 : Non listé (dans la série des timings) French Default: 0 - S49 : Non listé (dans la série des timings) French Default: 0 - S50 : Non listé (dans la série des timings) French Default: 0 - S51 : Sert a mettre en route ou disabler les modes MNP/V42 bis Les bits de 3 à 7 (valeurs 8 à 128) sont réservés. French Default: 0 - S52 : Réservé French Default: 0 - S53 : Les bits de 3 à 7 (valeurs 8 à 128) ne sont pas listés. French Default: 0 Amusez vous à les bidouiller et vous aurez des resultats époustouflants! Mais la règle d'or pour comprendre est: Un seul changement à la fois et observez TRES BIEN les effets! > Bi-Bop: ------ Il y a eu un gros tapage mediatique sur le Bi-Bop et rien au niveau technique. Arghhh... Horreur, reveillons nous! Il est temps d'ouvrir notre champ de conscience aux champs hertziens ;) Caracteristiques techniques du Bi-Bop SAGEM: ------------------------------------------- Compatible CAI Norme ETSI 300131 Conversion analogique/numerique: CODEC/ADPCM Vitesse d'emission: 72 Kbit/s Frequence: 864.1 à 868.1 MHz Espacement entre canaux: 100 KHz Nombre de canaux: 40 Sensibilité recepteur: 45 dB µV/m pour 0.001 BER (??????) Parasites et rejection d'image: MPT1375 (CAI) Intermodulation: 40 dB Niveau de sortie HF: 10mW ERP maximum Tolerance de frequence: +/- 10kHz Les Bi-Bop de la SAGEM sont livres avec plusieurs numeros: --------------------------------------------------------- S/N: (Serial Number?) : 10 caractères alphanumériques ELEC S/N: 12 chiffres Code de securite principal: 6 chiffres GPID: 16 caractères alphanumériques Si ca peut aider quelqu'un c'est cool... Si ca peut donner une piste aux joyeux electroniciens qui lisent N0 Way, ca serait cool de recevoir un article plus complet sur le Bi-Bop. (et sa norme, le CT2 parait il!) > Blue boxe: --------- Information fournie par Arscene. Specification de SOCOTEL: Hz 900 1100 1300 1500 1700 700 1 2 4 7 11 900 3 5 8 12 1100 6 9 kp1 1300 0 kp2 1500 st Hangup: 3850 Hz Timings: digit 0-9. Length: 60ms +/- 7ms Delay : 60ms +/- 7ms 11 12 Length: 100ms +/- 15ms Delay : 60ms +/- 7ms kp1/2 & ST Length: 100ms +/- 15ms Delay : 60ms +/- 7ms Pulse Lenght: 35 +/- 5 Delay : 35 +/- 5 Théoriquement utilisée en France et en Espagne. Le Hangup est "outband". |\/| |/\| STAY HARD |/\| |\/| NeurAlien -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.12 *********************************** * CARTE BANCAIRE VISA * * Par * * D. O'CONNELL * * Pour * * NO-WAY * *********************************** Ce texte vous es proposé à titre purement informatif, je dégage toutes responsabilitées quand à l'utilisation que vous pouvez en faire. I Généralitées: Une carte bancaire est un moyen de paiement électronique, pour ce faire on dispose de trois solutions, la puce de la carte, les pistes magnétiques ou simplement le numéro de carte en cas de télépaiement (pour les ignares ça veux dire paiement à distance). Le plus sur des moyens étant l'interrogation de la puce, c'est ce qui est utilisé pour les paiements en magasin quand vous tapez votre code. Les pistes magnétiques sont interrogées lors d' un retrait dans un DAB (Distributeur Automatique de Billets) sans vérification de la puce. Le numero de carte est utilisé par les anciens "terminaux" dit fer à repasser où l'embossage de la carte était tranféré par carbonne et pour les prises de commande par téléphone. II Les pistes magnétiques Les cartes VISA comportent plusieurs pistes le standard ISO en definie 3, les cartes françaises en utilisent 4 ISO1, ISO2, et 2 autres propre à la France T2, et T3 bravo la normalisation... Cependant pour des raisons de compatilitée et de coût une seule et utilisée à la fois généralement ISO2 mais parfois ISO1 dans les anciens terminaux. Les informations sont codées en bi-phase le mieux étant de voir le dessin pour comprendre: Signal ┌───┐ ┌───┐ ┌─┐ ┌─┐ ┌ ┌───┐ ┌─┐ ┌─┐ ┌───┐ ┘ └───┘ └ ┘ └─┘ └─┘ ┘ └─┘ └───┘ └─┘ └ Valeur 0 0 0 1 1 0 1 0 1 0 Simple non ?? Le bit est codé suivant deux fréquence la fréquence pour le 1 étant deux fois celle du 0. Un prochain article intégrera je l'espère le schéma d'un lecteur/écriveur de piste magnétique, sachez qu'une tête magnétique de magnétophone fait trés bien l'affaire pour la lecture. Bon maintenant il faut encore savoir comment interpréter les bits lus, il y a deux standard pour cela: -ANSI/ISO BCD FORMAT BCD signifie Binary Coded Decimal ou Decimal Codé Binaire, le code est sur 5 bits 4 d'information et un de parité. La parité est impaire cela signifie que chaque mot de 5 bits doit comporter un nombre IMPAIRE de 1. La lecture commence, contre toute logique, par le bit le moins significatif!! ----DONNEES---- Parité b1 b2 b3 b4 b5 Caractère Fonction 0 0 0 0 1 0 Donnée 1 0 0 0 0 1 " 0 1 0 0 0 2 " 1 1 0 0 1 3 " 0 0 1 0 0 4 " 1 0 1 0 1 5 " 0 1 1 0 1 6 " 1 1 1 0 0 7 " 0 0 0 1 0 8 " 1 0 0 1 1 9 " 0 1 0 1 1 : Control 1 1 0 1 0 ; Start 0 0 1 1 1 < Control 1 0 1 1 0 = Séparateur 0 1 1 1 0 > Control 1 1 1 1 1 ? Fin Voici donc un code purement numérique, pas évident pour écrire un nom! Mais voici ZORO avec son ANSI/ISO ALPHA FORMAT: --------Données------- Parité b1 b2 b3 b4 b5 b6 b7 Caractère Fonction 0 0 0 0 0 0 1 espace (0H) Spécial 1 0 0 0 0 0 0 ! (1H) " 0 1 0 0 0 0 0 " (2H) " 1 1 0 0 0 0 1 # (3H) " 0 0 1 0 0 0 0 $ (4H) " 1 0 1 0 0 0 1 % (5H) Start 0 1 1 0 0 0 1 & (6H) Spécial 1 1 1 0 0 0 0 ' (7H) " 0 0 0 1 0 0 0 ( (8H) " 1 0 0 1 0 0 1 ) (9H) " 0 1 0 1 0 0 1 * (AH) " 1 1 0 1 0 0 0 + (BH) " 0 0 1 1 0 0 1 , (CH) " 1 0 1 1 0 0 0 - (DH) " 0 1 1 1 0 0 0 . (EH) " 1 1 1 1 0 0 1 / (FH) " 0 0 0 0 1 0 0 0 (10H) Données 1 0 0 0 1 0 1 1 (11H) " 0 1 0 0 1 0 1 2 (12H) " 1 1 0 0 1 0 0 3 (13H) " 0 0 1 0 1 0 1 4 (14H) " 1 0 1 0 1 0 0 5 (15H) " 0 1 1 0 1 0 0 6 (16H) " 1 1 1 0 1 0 1 7 (17H) " 0 0 0 1 1 0 1 8 (18H) " 1 0 0 1 1 0 0 9 (19H) " 0 1 0 1 1 0 0 : (1AH) Spécial 1 1 0 1 1 0 1 ; (1BH) " 0 0 1 1 1 0 0 < (1CH) " 1 0 1 1 1 0 1 = (1DH) " 0 1 1 1 1 0 1 > (1EH) " 1 1 1 1 1 0 0 ? (1FH) FIN 0 0 0 0 0 1 0 @ (20H) Spécial 1 0 0 0 0 1 1 A (21H) Données 0 1 0 0 0 1 1 B (22H) " 1 1 0 0 0 1 0 C (23H) " 0 0 1 0 0 1 1 D (24H) " 1 0 1 0 0 1 0 E (25H) " 0 1 1 0 0 1 0 F (26H) " 1 1 1 0 0 1 1 G (27H) " 0 0 0 1 0 1 1 H (28H) " 1 0 0 1 0 1 0 I (29H) " 0 1 0 1 0 1 0 J (2AH) " 1 1 0 1 0 1 1 K (2BH) " 0 0 1 1 0 1 0 L (2CH) " 1 0 1 1 0 1 1 M (2DH) " 0 1 1 1 0 1 1 N (2EH) " 1 1 1 1 0 1 0 O (2FH) " 0 0 0 0 1 1 1 P (30H) " 1 0 0 0 1 1 0 Q (31H) " 0 1 0 0 1 1 0 R (32H) " 1 1 0 0 1 1 1 S (33H) " 0 0 1 0 1 1 0 T (34H) " 1 0 1 0 1 1 1 U (35H) " 0 1 1 0 1 1 1 V (36H) " 1 1 1 0 1 1 0 W (37H) " 0 0 0 1 1 1 0 X (38H) " 1 0 0 1 1 1 1 Y (39H) " 0 1 0 1 1 1 1 Z (3AH) " 1 1 0 1 1 1 0 [ (3BH) Spécial 0 0 1 1 1 1 1 \ (3DH) Spécial 1 0 1 1 1 1 0 ] (3EH) Spécial 0 1 1 1 1 1 0 ^ (3FH) Separateur 1 1 1 1 1 1 1 _ (40H) Spécial Ouf voila la parité est toujours impaire, et on continue à lire le LSB en premier. On va maintenant s'interesser au données contenues dans dans les pistes ISO1, et ISO2: Les pistes T2 et T3 des cartes française 'seraient' un redit des informations des pistes ISO2 et ISO3, cette information est non vérifiée si vous avez des renseignements.... Numero de la carte -> 1111 2222 3333 4444 Date d'expiration -> 12/99 Piste 2 (BCD,75 bpi)-> ;1111222233334444=9912101xxxxxxxxxxxxx? Piste 1 (ALPHA,210 bpi)-> %B1111222233334444^PUBLIC/JOHN^9912101xxxxxxxxxxxxx? PISTE 1 Champ # Longueur Fonction ------- -------- -------- 1 1 Start Sentinel (STX) 2 1 Format Code 3 13/16 Numero de la carte 4 1 Separateur (^) HEX 5E 5 2-26 Nom du porteur 6 1 Separateur (^) HEX 5E 7 4 Date d'expiration MMAA 8 3 CODE ??? 101 ou 000 pas d'info 9 0/5 Verification du code secret 10 Depend de 3, 5, 9 11 11 Réservé 12 1 FIN (ETX) 13 1 LRC Longueur maximum 79 Caractères Champ # Longueur Fonction ------- -------- ------------- 1 1 Start Sentinel (STX) 2 13/16 Numero de carte 3 1 Separateurr (=) HEX 3D 4 4 Date d'expiration MMAA 5 3 Code ??? 101 ou 000 pas d'info 6 0/5 Vérification du code secret 7 Depend de 2, 6 8 1 Fin (ETX) 9 1 LRC LRC est une sorte de checksum qui est calculé en faisant un XOR sur tout les caractères précédents sauf STX. III Le numéro de carte Le numéro inscrit sur votre carte est son identitée, c'est avec ça que toutes les opérations sont traitées. Pour une carte visa le numéro a 16 chiffres, les 4 premiers identifient l' émetteur de la carte (la banque) les deux suivants ?? les 7 suivants sont le numéro de compte du titulaire, les deux suivants ?? le dernier est attribué de façon mathématique ce qui permettra de vérifier si le numéro de carte est valide ou non. On peut résumer la situation ainsi: BBBB??NNNNNNNXXC B=Code de la banque N=Numéro de compte C=Checksum ?=Aucune idée souvent 59 ou 60 X=Nombre de carte que vous avez eu (à verifier) souvent 01 Les Banques en fonction des 4 premiers chiffres: -4970 La Poste -4975 La Bred -4972 Le Crédit Lyonnais -4976 Banque Sofinco -5131 Crédit Agricole Je n'en connais pas d'autre mais il suffit de regarder sur la votre pour trouver (!!?) Une façon trés simple d'avoir un numéro de compte est de regarder votre relevé de compte chaque fois que l'on vous fait un chéque le numéro de compte sur lequel il a été tiré est inscrit... Voila le programme (en Basic GW) permettant de calculer le numéro d'une visa, pour être sur d'un numéro de carte vous pouvez vous connecter sur Compuserve, ou appeller un numéro de discution porno... (Enjoy your WANKING), ou utiliser un soft shareware appelé Crédit Card Checking (CCC) distribué par l'ASP. ------------------------------------------------------------------------------ DEFINT A-Z DIM buf(15) CLS INPUT "Numéro de la banque (4 chiffres):", bank$ INPUT "Numero de compte (7 chiffres) :", compt$ INPUT "Les 2 chiffres aprés la banque :", chif2$ INPUT "Les 2 chiffres avant le checksum:", chich$ FOR j = 1 TO 3 a$ = MID$(bank$, j, 1) buf(j - 1) = VAL(a$) NEXT j FOR j = 1 TO 2 buf(j + 3) = VAL(MID$(chif2$, j, 1)) NEXT j FOR j = 1 TO 7 buf(j + 5) = VAL(MID$(compt$, j, 1)) NEXT j FOR j = 1 TO 2 buf(j + 12) = VAL(MID$(chich$, j, 1)) NEXT j FOR i = 1 TO 9 modulo = 0 buf(15) = i FOR k = 0 TO 15 IF ((k MOD 2) = (16 MOD 2)) THEN j = 2 * buf(k) ELSE j = buf(k) END IF IF j >= 10 THEN x = (j MOD 10) + 1 ELSE x = j END IF modulo = modulo + x NEXT LOCATE 10, 10 IF modulo = 0 THEN y = 3 END IF IF (modulo MOD 10 = 0) AND (y <> 3) THEN FOR z = 0 TO 15 PRINT buf(z); NEXT PRINT "" PRINT "Modulo=", modulo INPUT z END IF NEXT i ------------------------------------------------------------------------------ C'est du brut, libre à vous de rajouter des fioritures mais ça marche c'est le principal non?? Voila la date d'expiration est simplement un flag à l'arrivée, donc vous pouvez donner n'importe quoi dans la limite de deux ans aprés la date actuelle exemple si on est le 02/94 une date valide est située entre le 03/94 et le 02/96. IV La Puce Bon pas beaucoup d'infos la dessus, c'est un vrai microcontrolleur, avec un processeur 8 bits, de la RAM et de l' EPROM. La désignation officielle est CP8 c'est fabriqué par Bull je ne sais pas si il y a des secondes sources (peut être Schlumberger mais pas Gemplus). La carte est sécurisé par zone, la première zone en accés libre comporte les informations embossées (Nom, Prenom, Numero, Date d'expiration), la seconde zone peut être lu après présentation d'un code c'est la zone de transaction, un compteur comptabilise (comme tout bon compteur) les erreurs de présentation de code aprés 3 erreurs successives même sur des terminaux diffèrents la puce est irrémédiablement bloquée. La troisiéme zone est innaccessible depuis l'exterrieur et comporte les codes de validation des programmes de cryptage qui sont au nombre de 2 RSA et DES pour plus d'information à ce sujet on peut se reporter à l'exellent livre "Cryptography and data security" aux éditions Addison-Wesley. Mais sachez que pour cracker un code DES il vous fraudra quelques siécles avec un DX2-66 et quelques millions de fois plus pour le RSA. Je n' ai jammais entendu parler de fraude sur la puce des CB, peut etre que quelqu'un me contredirra dans un futur (plus ou moins) proche. Voila j'espère que ce petit fichier vous aura interessé, dans un prochain nous nous interesserons au carte F256 qui sont les puces des cartes de téléphones. Les informations ci-dessus viennent de Phrack, Science et Vie, d' articles dans divers jounaux dont j'ai oublié les noms, et du peu de choses interessantes que l' éducation nationnale m'a apporté. -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.13 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 3 | [NeurAlien] 01/06/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o o|-=-| |-=-|o o|-=-| N U I |-=-|o o|-=-| |-=-|o o|-=-| By |-=-|o o|-=-| |-=-|o o|-=-| NeurAlien |-=-|o o|-=-| |-=-|o o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o NUI? Wot dis crap? ;) --------------------- Vous connaissez tous ce qu'est un NUI bien sur!?! Non? Eh bien c'est simple... Sur tous reseau x25, il existe des acces PAD (Packet Assembler Disassembler) qui permettent l'acces de terminaux series (V22,V22bis,V32...) au reseau x25 qui lui fonctionne par paquets de donnees. Pour cela, on paye le prix de la communication au PAD (0,13 FF pour le 3600 ou 3601 par exemple ou meme le 3613 en tarif rouge.) si c'est une communication local au reseau. C'est alors la machine a laquelle on se connecte qui supporte les charges du reseau x25. Mais si la machine n'accepte pas de supporter ces couts ou si cette machine se situe en dehors du reseau x25 sur lequel vous vous etes connecte, il vous faudra un NUI. Un NUI (Network User Id) permet la tarification des communications sur le compte du possesseur de ce NUI. C'est soit un nom suit d'un mot de passe, soit un code soit un numero. Transpac: -------- En accedant par le 3600, 3601, 36062424 ou 36069696 on accede a un PAD qui requiert pour certainnes connections (vers l'étranger en particulier) l'utilisation d'un NUI Intelmatique. Ce NUI avait jusqu'en Juin 1991 le format suivant: XXXX ou XXXXXX Ou X pouvait etre: A, B, C [...] Z ou 1, 2, 3, 4, 5, 6, 7, 8, 9, 0. Concernant les bruits selons lesquels un NUI serait de la forme: XXXN ou XXX serait alphabetique et N numerique, cela est TOTALEMENT faux. Maintenant, ils ont tous le format: XXXXXX. Il sont fait aleatoirement par Intelmatique et inmodifiables par l'utilisateur. Pour les utiliser: on tape son NUA puis D ou P puis le NUI: 026245911010290DXXXXXX 026245911010290P La seule particularite est qu'avec P, le NUI n'apparait pas a la saisie. (le systeme repondant a 026245911010290 est MSN, MAILBOX SYSTEM of NURNBERG et est PUBLIC) Teletel: ------- Les NUI utilises sur Teletel sont eux aussi des NUI Intelmatique sont indiferencies de ceux utilises sur TRANSPAC: on peut utiliser tous les NUI Intelmatiques sur les PADs TRANSPAC ou les PAVIs Teletel. Pour le utiliser: On tape son NUA, la touche >SUITE<, son NUI, la touche >ENVOI<. 026245911010290 >SUITE< XXXXXX >ENVOI< Tymnet: ------ On utilise un NUI Tymnet de differentes facons. Tout d'abord, l'acces ne se fait pas uniquement en France. Il y a des NUIs Tymnet qui marchent partouts, d'autres qui sont localises a un pays bien specifique. On peut utiliser en France les NUIs de deux manieres differentes: o En appelant un des quelques numeros de telephones donnant acces sur un PAD o En appelant via TRANSPAC un numero x25 en France qui est le serveur de Tymnet et ensuite en donnnant son NUI. Format du NUI Tymnet: Un NUI Tymnet est compose d'une ou de deux parties differentes. Le nom est tout le temps compose d'au moins un nom alphanumerique facilement reconnaissable. C'est souvent le nom de la personne a qui appartient le NUI ou le nom de la boite a qui appartient le NUI. ex: coke01, time01, time02, VIDEO. Et generalement, un mot de passe vient s'ajouter a ce nom pour theoriquement le proteger de toute intrusion. Pour avoir des informations sur Tymnet, tapez a la place du nom et du mot de passe du NUI: information<cr> information<cr> ou help<cr> help<cr> ou info<cr> info<cr> Gestion des NUI Intelmatiques: ----------------------------- A chaque NUI Intelmatique correspond un NUA d'appel qui est transmis au serveur sur lequel l'utilisateur se connecte grace a ce NUI. Ce NUA d'appel commence toujours par 09330 et est suivi d'un numero qui identifie ce NUI et seulement ce NUI. Donc dans une table de Intelmatique, il est indique que le NUI XXXXXX a pour NUA appelant: 09330123456789. Ainsi, en cas d'abus d'un NUI, Intelmatique peut, grace aux fichiers de trace et de logs des machines sur lesquels les utilisateurs de NUI se sont connectes, voir quel utilisateur utilisait quel NUI. Protection des NUIs et reperage des NUIs voles: ---------------------------------------------- D'une part, il est difficile de scanner un NUI du fait de sa nouvelle forme qui permet une quantite enorme de possibilites. D'autre part, TRANSPAC et Intelmatique *DOIVENT* (et c'est presque certain) avoir mis en place une securite du type TAMS comme pour TELENET/SPRINT aux USA. Cet organe de securite est charge d'espionner toutes les connections en permettant: - le trace'age simple d'un NUI: enregistre le PAVI/PAD d'appel, le NUI utilise et le numero appele pendant combien de temps - le trace'age total: enregistrement complet de toute la communication. - le trace'age des serveurs sensibles: Certains serveurs comme les ALTOS ou LUTZIFER en allemagne sont connu pour etre des reperes de Hackers et donc ceux ci utilisent souvent des NUIs voles. Donc Intelmatique et TRANSPAC scannent toutes les connections vers ces services pour detecter si un NUI a ete vole. C'est pour cela qu'il est fortement conseille d'appeler ces services via des PADs prives ou des systemes d'exploitation prives. >>>Et beaucoup d'autres securites insoupconnables je pense... Conclusion: ---------- J'espere que ces infos vous auront ete d'une quelconque aide... Toute information sur de nouveaux types de NUI m'interesse. -%!% N0 Way %!%- Volume I, Numéro 2, Partie 2.14 ?allo?AlLo?Welcome to...HeLlO? ZzzZZz OoOoOops Hi! Comment s'amuser ~Plik~ <clik!> ou ennuyer quelqu'un o/~. o/~ -Bieeep- Avec un simple Allo? %chunk% Telephone Hello? `tchak' *KERCHUNK* This is... AT&T Online... <CLAK> Ah le telephone, souvent on passe à coté et on se dit: "Non, je vais assurer, je vais pas passer ma soirée à déconner avec" Mais finalement on ne resiste pas et hop, c'est parti, plongé dans la découverte de ce monde qu'est le résau téléphonique. Du peu que j'ai découvert par moi-même et des grandes choses que j'ai appris par d'autres, je fais aujourd'hui un article. Je vais d'abord parler de comment obtenir des informations avec un téléphone. ============================================================================= On a souvent besoin de savoir le nom de la personne à qui appartient un certain numéro. Pour savoir cela, vous pouvez téléphoner à France Telecom au service des renseignements et normalement vous serez taxés de 15 Fr environ pour avoir cette information. De plus si le numéro indiqué est en liste rouge, non seulement vous payerez 15 Fr mais vous n'aurez pas le nom de cette personne. MERCI FARCE TELECOM ! Si vous presumez que le numéro appartient a une société, vous pouvez refuser d'être taxe de 15F et juste demander a quelle société appartient ce numéro, normalement, les opérateurs le disent en direct, sans rappeler et ainsi vous ne payez presque rien (et carrement rien dans une cabine telephonique). RENSEIGNEMENTs: voir pour le rappel dans une cabine telephonique ! Renseignements internationaux: meme chose que precedemment. Cacher le numero appele dans une cabine a LCD: ============================================= C'est tres simple comme principe. Un principe vieux comme le monde d'ailleur, c'est celui de la white-box. Les phone phreaks on cherché le son qui "masque" le mieux les autres sons et ils l'ont trouve; c'est le WHITE TONE aussi connu en France sous le nom de bruit blanc. Il est tres facile a faire avec sa propre bouche en faisant le "CHH" de "CHUT" tres fort. Comme vous le savez, dans les cabines telephoniques a LCD, le numero que vous composez est affiche sur l'ecran et donc visible par beaucoup de monde. Ca, ca vous botte pas trop. Surtout quand c'est un numero vert d'une PBX ou VMB par exemple. Alors ce que vous pouvez faire c'est composer un numero vert bidon (totalement bidon: 05999999 par exemple, enfin, n'importe quoi puis #). Il va y avoir une pause et le telephone va commencer a composer le numero en DTMF. A partir de ce moment la, il va falloir envoyer un bruit blanc pour "couvrir" le numero de telephone et le #. Le # a pour but de terminer l'affichage des numeros tapes. Vous remarquerez que votre bruit blanc ne passe pas sur les deux premiers numeros: 0 et 5. Ca c'est normal, c'est pour eviter d'enculer FT en faisant croire a la cabine que vous appelez un numero vert et en fait appeler un 3670. :) (Avant ca marchait impec!) hehehe Une fois que la composition et le bruit blanc sont termines, vous pouvez composer sans crainte d'etre vu les 6 derniers chiffres de votre numero vert. Les services speciaux du telephone: ================================== Vous savez que le telephone a des services speciaux accessibles par le prefixe 36. Je vous conseille de scanner votre prefixe 36 dans votre coin car on tombe souvent sur des trucs marrant voir interressants. (Si vous avez un listing de ce scan, je suis pret a le publier dans No Way car c'est vraiment interressant ce que l'on peut faire avec.) Un exemple, certains numeros du 36 sont destines aux techniciens de FT pour annoncer des modifications sur les lignes etc... Exemple: vous pouvez annoncer la fin de contrat de votre M12 Philips de compettition, resultat: un super nitel a vous à vie. S'amuser "cheap" en soirée: ========================== Décrochez le téléphone d'où vous êtes et composez le 3644, raccrochez, décrochez, raccrochez. Dans la seconde qui suit, le téléphone va sonner. S'amuser "expensive" en soirée: ============================== Pendant que tout le monde est couché en train de comater ou completement scotché à l'Acid-core qui passe, téléphonez à Mike qui s'ennuie à Hawaii ou a Atlanta. :) This is the end, my friend............ ++NeurAlien