home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / iss_brute_force.txt < prev    next >
Encoding:
Text File  |  1999-03-24  |  3.8 KB  |  106 lines
  1. ISS Internet Scanner Brute Force Bug
  2.  
  3. alexander tampermeier (alex_tampermeier@HOTMAIL.COM)
  4. Wed, 17 Feb 1999 23:54:11 PST 
  5.  
  6. The Internet Scanner lets you brute force by using username/password
  7. pairs specified in the file default.login. I specified a known
  8. username/password pair but the scanner could not login.
  9. The reason is that the Internet Scanner needs a carriage return after
  10. the last username/password pair. If it finds just an EOF marker then the
  11. password gets modified by adding an additional character.
  12. For example the password test is modified to testo.
  13.  
  14. Alexander
  15.  
  16. alex_tampermeier@hotmail.com
  17.  
  18. --------------------------------------------------------------------------
  19.  
  20. Re: ISS Internet Scanner Brute Force Bug
  21.  
  22. David LeBlanc (dleblanc@MINDSPRING.COM)
  23. Thu, 18 Feb 1999 17:26:49 -0500 
  24.  
  25. At 11:54 PM 2/17/99 PST, alexander tampermeier wrote:
  26. >The Internet Scanner lets you brute force by using username/password
  27. >pairs specified in the file default.login. I specified a known
  28. >username/password pair but the scanner could not login.
  29. >The reason is that the Internet Scanner needs a carriage return after
  30. >the last username/password pair. If it finds just an EOF marker then the
  31. >password gets modified by adding an additional character.
  32. >For example the password test is modified to testo.
  33.  
  34. I believe I fixed this several revisions ago.  Although this may be
  35. _BUG_TRAQ, the best place to report bugs in the scanner is to
  36. support@iss.net.  I'd suggest that you use vi, notepad, or some reasonable
  37. text editor in the meantime.  Just what text editor are you using?
  38.  
  39. In fact, I know I fixed this quite a while back, because I remember clearly
  40. having to use VC++'s editor in binary mode to be able to produce a file
  41. which would cause this problem.  If you're running a recent version of the
  42. scanner, please report which version to support@iss.net, and I'm sure we'll
  43. get it fixed.
  44.  
  45.  
  46. David LeBlanc
  47. dleblanc@mindspring.com
  48.  
  49. --------------------------------------------------------------------------
  50.  
  51. Re: ISS Internet Scanner Brute Force Bug
  52.  
  53. David LeBlanc (dleblanc@MINDSPRING.COM)
  54. Fri, 19 Feb 1999 09:52:20 -0500 
  55.  
  56. At 10:18 AM 2/19/99 -0000, Stephen Bishop wrote:
  57. >David,
  58.  
  59. >> I'd suggest that you use vi, notepad, or some reasonable
  60. >> text editor in the meantime.  Just what text editor are you using?
  61.  
  62. >At the risk of getting off the subject, I've come across many situations
  63. where
  64. >having the last line in a file without a line terminator has caused problems,
  65. >so I think software should always be written to handle this situation. And
  66. >even Emacs (which, otherwise, solves all life's problems) allows me to create
  67. >a file with no line terminator at the end.
  68.  
  69. I agree.  I thought the same thing when I fixed this a long time ago.  I
  70. looked at the code last night, and it looks like it is handling this
  71. situation just fine.  Since the bug does appear to be in recent builds
  72. (somehow), the work-around would be to place either a blank line or a
  73. comment (start the line with #) as the last line.  Or simply hit the enter
  74. key at the end of each line.
  75.  
  76. My version of vi does not allow this, hmmm - checking a few others...
  77.  
  78. Here's what I've found:
  79. Terminates all lines:
  80. vi (Congruent GNU port from ftp.cc.utexas - actually elvis)
  81. Word
  82. Wordpad
  83. edit
  84. edlin (and adds a ^Z)
  85.  
  86. Does NOT terminate:
  87. notepad
  88. copy con [file]
  89. VC++ text editor
  90.  
  91. <joke> Moral of story - always use vi, and life is good 8-)
  92.  
  93. BTW, as a pre-emptive strike against this one, there _is_ a bug in the NT
  94. scanner where we're not handling LF-delimited files properly.  If you
  95. happen to have created your user-password pairs under UNIX, run tr on the
  96. file before using it in the scanner.  Alternately, open it in Word and save
  97. it back out. Notepad will NOT help - it doesn't deal with LF-delimited
  98. files correctly either.  NT's version of perl also makes this easy -
  99. running the following script does it:
  100.  
  101. while(<>){print;}
  102.  
  103.  
  104. David LeBlanc
  105. dleblanc@mindspring.com
  106.