Quelques Progz pour *Nix =)
Le 21/01/99 à 13h25
Par Cyberjunk / snipper@hotmail.com
n.e.v.r.o.z.e team: members.xoom.com/nevroze
Tiens, l'url a changée ! =)
To: Cryptel@altern.org
Subject: [X]hack [ ]Phreak [ ]Rezo [ ]Misc
From: Snipper@hotmail.com
Cc: Everyone
Attch: Remove.c, Datapipe.c, Linsniff666.c, B4b0.c
Je suis en plein artiel, mais bon on trouve toujours le temps
pour aller sur le Net, voir sa copine ou écrire un article.
Alors me vint l'idée d'écrire sur unix(?!) hors du comun Non ?
je déconne ... Je sais ke des txt sur unix y'e na un tat, je vais essayer
de faire un truc un peu innovant.
Bonne lecture ...
Sommaire :
0. Introduction
1. Les compilateurs
2. Les progZ
+Remove.c
+Datapipe.c
+Linsniff666.c
+B4b0.c
3. Kelke conseil et The End
Cet article vous apprendra pas a Hacker le Pentagon
ni pkoi E=Mc², mais a mon avis il est interesant et
mérite kelkes minutes de votre attention.
Attention, je n'ai pas coder ces progs ! je n'ai donc
aucun mérite pour leur contenu. Je vais essayer de vous
détailler leur instalation et utilisation. Je sais,
ils sont pas tout neuf aussi, mais reste tjs utiles.
Les sources des progs sont fournies en zip avec le zine:
source_c.zip.
Sous Unix, il existe plusieurs compilateurs C, cc et gcc.
Nous utiliseront Gcc, car il est plus standart et plus
a jour et pis ça marche !
Pour compile un prog en C/C++:
$gcc -o prog prog.c
$./prog
Hello world =)
$
Avant de se lancer dans la compilation des progs, essayer
de voir et de comprendre un peu le systéme ou vous vous
trouvez, qui n'est pas forcement le votre =)
Pour voir les repertoires executable du path, echo $PATH,
et pour visualizer les autre variable systéme SET |more.
Regardez la version de gcc.
$gcc -v
Gcc - Vesion 1.x etc...
Bon si vous avez une erreur du genre command not found,
pas de panique:
$find / -name gcc
bin/compil/gcc
$
Bon, j'ai rassemblé dans cette liste, un programme de chaque
catégorie, a savoir, un Log Cleanner, un server proxy socks,
un sniffer et une back door. Il est clair, que ces progs ne
sont pas unique dans leurs catégorie !
D'ailleurs, généralement ils sont développer pourun système
particulier, du genre Sun Os x.x.x .
Datapipe.c
Bon voila le premier de la série. Il s'agit d'un proxy socks.
Kes ce c'est ?? Bin en fait pour comprendre facilement
rien de tel k'un exemple ! =)
Je fais une connexion sur une machine A.A.A.A sur le port 666.
Mais celle-ci log les connexions. Je cherche ds mes archives
et je trouve un shell, mon univ ? =) . Bref celle ci a
l'ip B.B.B.B . Bon sur mon shell je lance datapipe.
$datapipe A.A.A.A 666 888
$
$exit
De ma machine (C.C.C.C), je lance donc le telnet sur la machine B sur
le port 888. Et j'arrive sur la machine A, ki detecte B.B.B.B et
pas C.C.C.C . La connexion est donc faked. Mias bon, vous me direz,
arf c un wingate alors =)
Pas exactment, c bien plus élastique !
J'ai pris le port 666, pour monter k'il peu s'agir de n'importe kel
port. En plus, on peut lancer plusieurs datapipe sur la machine.
D'autre part, on peut vriament tous faire, comme par exemple, établir
des connexion Spoff-Netbios sur une machine NT, en plaçant, les datapipe
sur les bon port (135 à 139).
D'autre part, on peut aussi lancer datapipe en local, et il peut servir
de back door. Et donc l'ip logger sur la box sera le local host.
Bref, tres tres interessant ce prog =)
Log cleanner - Remove.c
Effaçont nos traces !!! Mias ou sont elles d'abord ?
Deja comprenons bien, ke ca change pas mal d'un système unix à
un autre. Voila les principaux:
Ces fichiers sont dans /usr/adm, /var/adm, ou /etc/log.
- acct et pacct (Process Accounting File)
Pas compliqué, si activé ça loge tous ce qui est logger sur le clavier !
oui ! oui ! C'est sympa ... =(
Pis pas question d'aller editer tous ca, c'est du binaire.
- lastlog
Celui la enregistre, les login et l'affiche au login suivant.
D'ailleurs a ce sujet, je vous coneille, de faire un telnet
localhost avant de vous barrer =)
A savoir, lastlog se reécrit a chaque login, il contient
donc 1 seul historique.
- messages
Celui la enregistre tous les messages envoyer à la console.
Assez marrant il contient parfois des mots de passes en clair.
Ah ? =)
En fait, il vous est déja arriver d'aller un peu vite lors
de la phase de login et de taper votre mot de passe kan on vous
demande en fait votre login. Sachant ke les login sont envoyer
à la console, si un utilisateur c'est tromper son mot de passe
est donc enregistrer le fichier. Pour le chercher, il faut:
$cat /var/adm/messages |grep FAIL
Le FAIL, regarde uniquement les erreurs de login.
- wtmp et utmp
Ces fichiers enregistres, les logins, les user Actuellement logger,
et les logout, avec l'heure, le terminal, l'Ip, la façon de sortit etc ...
Mmh c tout ? =)
La aussi il s'agit de bianire complet, pas question d'éditer les
ficheirs avec Vi . Nop, pas moyen =)
Q: Les solutions pour passer un MINIMUM inapercue ?
R: N'importe kel log cleanner efficasse contenant meme des fois
des éditeurs.
Q: pkoi un MINIMUM ?
R: Tous les système unix different, pis rien n'empeche l'admin de placer
un script perl en parrallele vous espinner les connection. :/
Q: Kel condition pour ke ca marche ?
R: UID 0, root ou autre sysadmin ...
Arg !!!! S'ecrit certain - Bin oui. A moins ke le système soit configurer
comme une "merde" vs n'etes normallement pas autorisé a effacer remplacer
les files dans ces rep ...
La solution présenté s'appelle, remove.c :)
Il marche aussi avec cc celui la selon son auteur. Il contient un multi
éditor pour les fichiers : utmp, wtmp, et lastlog.
Pour le compiler : cc -o remove remove.c -DGENERIC
Lisez l'antenne, y'a kelke remarque si vous l'utiliser sur
une station genre AIX.
Aprés son éxecution, vous pouvez normallement dormir tranquille. L'admin
devrait ne pas vous avoir remarquer si vous avez pas tout petter !
Petite astuce, mémorisez bien le login juste avant vous, pour pouvoir
le remettre avec les editeurs.
Sniffer - Linsniff666.c
Je veux aller plus loin dans leurs rezo, mais bon mon john the Ripper
ne trouve plus rien , e moi non plus d'aileurs.
Ah ? Bon plaçon alors un Sniffer sur le rezo pour ecouter ce ki se dit
en TCP. =)
Orignallemnt coder par Mike Edulla (?!), cette version a ete updater
par Humble de rhino9 (héhé) .
Bref, pour le parametrer, editer le fichier avec de le compiler
et placer le fichier ou vous voulez vos logs dans le #define reservé
pour. Repasser quelque jour apres collecter les fruits de votre
travail ... :)
Back door - B4b0.c
(Code par b4b0, www.b4b0.org)
Putain de merde, j'en ai marre de passer par le telnet. C'est pas tres
discret ... La plupart des back doors (celle-ci en tout cas)
sont en fait des Shell Binder. En gros ca prend un shell et ca le colle
sur un port. Par défaut il s'agit du 31337.
A modifier dans le #define, si ca vous branche pas trop ici.
Je ne vous cacherai pas que quelque fois, il bug. Alors vérifier par
2 fois vos action, et n'hésitez pas a couper et vous reconnecter si c'
est foireux.
Je vous conseille de le compiler avec l'authentification, ca serait pas
marrant que quelqun s'amuse avec votre back door ...
Bon soyons réaliste, notre back door apparait dans le résultat de Ps.
Mais babo a été sympa, vous pouvez modifer une ligne pour faire apparaitre
ce que vous voulez. Je vous conseill tout de meme un truc passe bien,
et pas b4b0.
Si mes souvenir sont bon, par défault, y'a rien. Bon changer, ca fait
drôle de voir une ligne avec un blanc =)
3. Conseil et THe Fin !!!!
Sur Red Hat quelque fois vous avez des problemes de compilation
avec les libs linux/*.h, il faut enlever linux/ mettre donc *.h =)
Y'a un text sur rootshell, et dispo un peu partout, intitulé
" Placer les Back Door derriére des FW" ... In english,
bonne lecture ! :)
Je sais que pour certain c'est du deja vu, mais pour d'autre c'est
surement incomplet ... Alors bon =)
Mailer moi un commentaire.
Greets to M4st3rJB, b0b (c fait pas mieux avec des chifres ? non ? ah .. :)
et aussi, à va2, aaah, neodyme, ced99, pr0tek(?!) a la #cryptel team koi !
Et mais aussi à Ambre(a kan l'aspirin?), Felicita et Steph, pis aussi
ma mére (no je decone :/ ... )
Fucks to the douanes, hert (oups!), et CES putain de macon ki me reiveille
les matins kan je séche =)
Commentaire ? - Snipper@hotmail.Com