[ Prev Page | Goto Content | Next Page ]
=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\
Traderz HOWTO
-==-==-==-==-
[0x1] Intro
Не так давно в журнале ch4x0rzine - issue one [1] увидел шуточную статью о
получении 0day warez в irc. Шутки шутками, но все это вполне реально. Вот и
решил я написать статью о том как получить все что хочется на пустом месте,
ничего не имея, кроме трезвой головы и терпения.
[0x2] Connected
Итак, прежде чем начать, нам необходимо позаботиться о собственной анонимности в
IRC. Самый простой способ сделать это - организовать туннель с irc сервером
через обычный анонимный прокси-сервер, который поддерживает метод CONNECT.
Причем необходим сервер в штатах или странах Европы, а еще лучше - Корея, Китай,
Япония, поскольку в кругах трейдеров российские и украинские пользователи
считаются рипперами [ что, кстати, недалеко от истины ]. Итак, говорить о том,
как найти анонимный прокси-сервер, я не стану - для этого достаточно
минимального опыта использования поисковой системы. А вот что касается проверки
сервера на наличие метода CONNECT.. для этого есть отличный сайт [2]. Скрипт
чекера позволяет выбирать тип прокси, который нас интересует. Для этого мы
вводим список прокси-серверов, в выпадающем меню выбираем HTTP CONNECT и вперед.
Сообщение ``Server is working'' говорит о том, что данный хост подходит для
наших целей.
Отлично, теперь у нас есть прокси-сервер. Осталось только настроить тунель.
Сделать это можно, к примеру, с помощью программы Calamus [3]. Кряк ищите где
обычно. Все что нужно сделать, это указать адрес и порт прокси, а также адрес и
порт irc-сервера, к которому нужно подключиться. После этого открываете mIRC,
или что вы там используете, и в качестве сервера для подключения вводите
127.0.0.1 и порт, скажем 666. С этим все - вы анонимны.
Разумеется, существует еще масса способов скрыть свой реальный адрес, но это
самый простой.
[0x3] Wait a minute
Прежде чем общаться с людьми, необходимо знать что вам нужно и что реально вы
сможете получить - то есть нужно быть полностью в курсе событий, иначе вас будут
кидать на каждом шагу. Во-первых, нужно определиться, какие эксплоиты являются
опубликованными, а какие нет. Часто какой-нибудь имбицил будет предлагать вам
gobbles-own-linux.c, говоря что это супер-мега-варез, релизнутый пять минут
назад, etc. Для того чтобы получить общее представление о том, на что меняться
не следует, ознакомьтесь со следующими источниками. Это известные в определенных
кругах архивы опубликованных эксплоитов, то есть не private.
http://www.k-otik.com/exploits/
http://texter.lool.ws
http://0wnz.150m.com/
http://xploited.ssc.net/exploits/
http://members.lycos.co.uk/r34ct/
http://www.andhi.com/tools1/ [ 2,3 ]
..Особенно отмечу форум 0day rumours на сайте zone-h.org - информация оттуда вам
очень пригодится, но об этом позже..
Желательно запомнить что делает каждый из них, их заголовки, etc. Это все очень
пригодится в дальнейшем - по крайней мере от качества ознакомления зависит число
проколов при реальном трейде. То есть нормальный человек обычно проверяет того,
с кем имеет дело, и если выясняется, что вы вообще понятия не имеете о
рассматриваемой теме, то он в лучшем случае пошлет вас, ну а в худшем впарит
``Илитный сплойт'', который потрет вам всю файловую систему.
К примеру это ``runlog'' стопроцентного фейка - какой-то идиот понатыкал туда
умных слов, даже не понимая о чем идет речь:
[!] cheking for webserver on port 80 (Microsoft-IIS/5.0)
[!] checking for mysql server on port 3306
everything allright, starting attack...
[!] Microsoft Webserver, loading ASP shell...
[!] Starting MySQL Injection
[!] Important entries added to the db
[!] 12 Path's loaded.
[!] c:/Inetpub/wwwroot/ worked
try http://xxx.xxx.xxx.xxx/shell.asp
[!] cheking for webserver on port 80 (Apache/1.3.29 (Win32))
[!] checking for mysql server on port 3306
everything allright, starting attack...
[!] Apache Webserver, loading PHP shell...
[!] Starting MySQL Injection
[!] Important entries added to the db
[!] 22 Path's loaded.
[!] c:/Programme/Apache Group/Apache/htdocs/ worked
try http://xxx.xxx.xxx.xxx/shell.php
Фразы типа ``Important entries added to the db'' должны наводить на определенные
мысли. Короче, руководствуйтесь здравым смыслом. Это же все касается bad-инглиша
- обычно люди пишут комментарии и хидеры своих эксплоитов на родном языке, а
лишь usage на английском. Если вы видите текст, написанный человеком, для
которого английский явно не является родным, то усильте бдительность при
изучении и анализе этого вареза.
[0x4] Where to trade??
Наиболее плодовитыми ресурсами в плане вареза является сеть EfNet и каналы
#exploits и #shadow - сидят там в основном всякие чудики, но иногда приходят
интересные люди с не менее интересным стафом )). Прежде чем вы сможете с
кем-либо заговорить, вам понадобится хотя бы один непубликованный эксплоит,
который мог бы представлять хоть какую-то ценность для трейдера. Обычно, взять
его негде, поэтому его придется сделать самим ).
[0x5] What to trade [ for ] ??
Во-первых нужно разобраться что именно нужно вам. Надо полагать, что на первых
порах нужно _хоть что-нибудь_, поэтому разберемся с тем, что нужно от вас другим
людям. Главным образом это эксплоиты и hacktoolz. С эксплоитами более-менее
понятно, что есть hacktoolz?? Это либо коммерческие пакеты вроде:
Core Impact
CANVAS
n-stealth
XSpider
BSS Data Tracer [ lol ) ]
RusH Security Scanner [ lol again ) ]
либо эксплоит к какой-либо уязвимости, обвешанный дополнительным стафом как-то:
массканеры, массрутеры, всякие брутфорсеры и автоэксплойтеры. Как сказал однажды
razor{88} - ``тулзы-самохачки'' ).
То есть вы говорите, что у вас есть, к примеру, Core Impact, в то время как его
у вас может не быть ) и предлагаете поменяться. Естесственно, в подтверждение
своих слов вы должны предоставить некоторую информацию, например, листинг
директорий программы, версию, лицензию етц. И тем не менее, нужно помнить, что
все подобные вещи интересуют в основном киддисов, которые могут предложить вам
либо какой-то уже публикованный эксплоит под другим именем, либо вообще
какой-нибудь фейк. Людей же, которые реально имеют нужный вам код, интересует
совсем другое. Вот этим вы и воспользуетесь. После прочтения разнообразных
форумов и прочего вы будете примерно в курсе того, что витает в сети и что очень
нужно людям. На основе этой информации несложно состряпать свой ``эксплоит'' и
предложить его на обмен. Фактически при трейде на первой стадии происходит обмен
хидерами - то есть вам нужен лишь убедительно выглядящий хидер, а меняться вы
будете только в том случае, если чувак первым вышлет вам свой эксплоит. Это
нужно помнить, нужно настаивать на этом, чтобы вызвать у человека ощущение того,
что то о чем вы говорите есть у вас на самом деле.
Аналогично дело обстоит с уязвимостями, описываемыми в bq. То есть прочитали вы
о какой-то новой баге - составляете соответствующий хидер и вперед.
[0x5] Пример
Ниже приведен пример типичной [ и реальной ] сессии получения непубликованного
средства эксплойтинга ``за так'', то есть безвозмездно. Ники были изменены,
чтобы не привлекать к этому делу особого внимания. Самое главное здесь -
структура построения разговора, которую вы можете использовать в собственных
трейд-сессиях ).
[0d4y_0wner] show me urs, we'll c if we have what to talk about
[rippah] i have proftpd_put_down3~m00.c
[rippah] and what u have
[0d4y_0wner] got enough working stuff for proftpd1.2.7-1.2.9...
[0d4y_0wner] got something else?
[rippah] m00_ossсhan_PRUVATE.tgz
[rippah] and what u have
[0d4y_0wner] i figure you traded with d4rkgr3y...
[0d4y_0wner] :>
[rippah] no
[rippah] some d00de that known as d4rkg4y take me this shiz
[0d4y_0wner] you surely know english well :>
[rippah] no
[0d4y_0wner] got priv halflife remote exploit
[rippah] im ukrainian
[0d4y_0wner] thats all you get for both
[0d4y_0wner] panimaiu
[0d4y_0wner] :>
[rippah] ). u menya est eto govno
[rippah] u menya est CANVAS
[0d4y_0wner] hl-friends-only?
[0d4y_0wner] CANVAS eto huynia
[rippah] ok, togda mne nechevo tebe bolshe predlogit :)
[0d4y_0wner] eto menya vmware box
[0d4y_0wner] :P
[rippah] )
[0d4y_0wner] moya*
[rippah] psrosto posmotrel
[0d4y_0wner] ok :>
[rippah] ti iz m00security??
[0d4y_0wner] ok english now :P
[0d4y_0wner] no i'm not...
[rippah] i wiil try ))
[0d4y_0wner] ok :>
[0d4y_0wner] ssl improved code, shellcode improved and all...
[0d4y_0wner] want it?
[rippah] for what
[rippah] ?
[0d4y_0wner] mod_ssl
[rippah] i understand
[0d4y_0wner] Apache/1.3.27 (Unix) PHP/4.3.0 mod_perl/1.27 mod_ssl/2.8.12 OpenSSL/0.9.6b
[0d4y_0wner] *** openssl-too-open: Apache+mod_ssl+OpenSSL <= 0.9.6d remote exploit (linux x86)
[0d4y_0wner] *** enhanced by Druid -- no more damn offsets ;) ***
[0d4y_0wner] *** just instant-shell... h3h3 :>>
[0d4y_0wner] *** Greetz: vMaTriCs
[0d4y_0wner] : Opening 50 connections
[0d4y_0wner] Establishing SSL connections
[0d4y_0wner] : Using the OpenSSL info leak to retrieve the addresses
[0d4y_0wner] ssl0 : 0x83f4198
[0d4y_0wner] ssl1 : 0x83f4198
[0d4y_0wner] ssl2 : 0x83f4198
[0d4y_0wner] : Sending shellcode
[0d4y_0wner] cipher=0x400d008c, ciphers=0x083f4198, ssl_addr=0x083f3fc8, ssl_sess_addr=0x083f40c8, start_addr=0x083f41a0
[0d4y_0wner] func addr: 0x083f3fc4, hellcode addr: 0x083f4194
[0d4y_0wner] get_server_error: Server error: SSL2_PE_NO_CIPHER (0x01) - this is good
[0d4y_0wner] Execution of stage1 shellcode succeeded, sending stage2
[0d4y_0wner] * Spawning shell...
[rippah] just ask what u want for it?
[0d4y_0wner] * Waiting for shell...
[0d4y_0wner] * Entering shell:
[0d4y_0wner] >>>> GAME OVER! Hackerz Win ;) <<<<
[0d4y_0wner] ****** I AM IN 'webmail' ******
[0d4y_0wner] Red Hat Linux release 7.2 (Enigma)
[0d4y_0wner] Linux webmail 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown
[0d4y_0wner] uid=99(nobody) gid=99(nobody) groups=99(nobody)
[0d4y_0wner] :>
[0d4y_0wner] what more stuff you got?
[0d4y_0wner] not only 0day... private :>
[0d4y_0wner] stuff i might not have, and might want
[rippah] havent anything... i think
[0d4y_0wner] you have the source of the halflife?
[0d4y_0wner] sploit i mean...
[rippah] i havent, m00 have one
[0d4y_0wner] yep i know :>
[rippah] sploit? from priv8
[0d4y_0wner] ok give me the m00 stuff you showed me :>
[0d4y_0wner] priv8+UHAGR
[rippah] yeah
[0d4y_0wner] together :>
[rippah] and if u r ripper?
[0d4y_0wner] are u a ripper?
[rippah] no
[0d4y_0wner] ok
[0d4y_0wner] i send first
[0d4y_0wner] but
[0d4y_0wner] you send me both the codes by m00
[rippah] ok
[0d4y_0wner] ok?
[0d4y_0wner] :>
[0d4y_0wner] accept :>
[rippah] my irc client ignore it ).
[0d4y_0wner] i'll try from my bot
[rippah] ok
[0d4y_0wner] :|
[rippah] can send email?
[0d4y_0wner] give me pub to put on
[0d4y_0wner] yes i can :>
[0d4y_0wner] [email protected]
[0d4y_0wner] urs is?
[rippah] [email protected]
[0d4y_0wner] ok 2 mins
[rippah] ok
[0d4y_0wner] the topic is: 0d4y_0wner Brings you good stuff here :P
[0d4y_0wner] it will arrive in 5 minutes :>
[0d4y_0wner] or 1 :P
[0d4y_0wner] did you get it?
[rippah] i will check it now
[0d4y_0wner] ok :P
[rippah] no, i not recieve yet
[0d4y_0wner] i see
[rippah] i go smoke
[0d4y_0wner] when will you b back man :>
[rippah] batman return )
[0d4y_0wner] :P
[rippah] but i dont get it for now
[rippah] wait for 5 minz?
[0d4y_0wner] allready sent... dont know whats the problem :|
[0d4y_0wner] got pub to put it in?
[rippah] hm where u can pu it?
[rippah] out i meant
[rippah] put )
[0d4y_0wner] ftp
[0d4y_0wner] got one?
[rippah] itz easy. wait for min
[0d4y_0wner] ok
[rippah] ftp.narod.ru
[rippah] user: tipa-hacka
[rippah] pass: qwerty
[rippah] so?
[0d4y_0wner] takes a bit time... 2 minutes :>
[rippah] ok
[0d4y_0wner] you have other?
[0d4y_0wner] its very slow
[0d4y_0wner] doesnt give me any \
[0d4y_0wner] wait :>
[rippah] ok
[0d4y_0wner] i made it :P
[rippah] what u made? got connected )
[0d4y_0wner] low connection between 0d4y_0wner_country and the ukraynnes
[0d4y_0wner] low speed :P
[0d4y_0wner] 1 minute and the file is there :>
[rippah] its busy hoster
[0d4y_0wner] massrooter included :>
[rippah] ok
[rippah] do u hear bout spl for 2.0.48 from dr. insane?
[0d4y_0wner] yes... heard its a fake
[rippah] really?
[0d4y_0wner] yup.. why, someone showed you that its good?
[rippah] hmm. i dunno, but i dont think so before )
[0d4y_0wner] the file is in the ftp :>
[rippah] i try to connect
[0d4y_0wner] ok
[0d4y_0wner] can u put the files there?
[0d4y_0wner] after you d/l the good stuff :>
[rippah] yeah, after downloading
[rippah] 280k - its binary?
[0d4y_0wner] whats the status?
[rippah] 23%
[0d4y_0wner] its tar gzipped
[rippah] i see )
[0d4y_0wner] tar -zxvf priv_apache.tgz
[0d4y_0wner] :P
[0d4y_0wner] and enjoy
[0d4y_0wner] "a" is the exploit
[0d4y_0wner] "ssl3" is the openssl finder
[rippah] not i just worry about size - its too large for spl )
[0d4y_0wner] and "scan" is what you need
[0d4y_0wner] ./scan a-class 443 b-class
[rippah] ok i will see that when dl is finished
[0d4y_0wner] its with a massrooter :>
[0d4y_0wner] nothing lkm/rk man
[0d4y_0wner] ask ppl here
[0d4y_0wner] i have integrity here
[rippah] ok
[0d4y_0wner] :>
[0d4y_0wner] i dont need other ppl boxes with the sploits i have
[rippah] ) and what for this exploits for u? just trading?
[0d4y_0wner] no... i mean
[0d4y_0wner] i dont need other hackers boxes :>
[0d4y_0wner] i have my own :>
Эксплоит получен, а у меня кабель крысы пожрали, поэтому я не смог отдать челу
обещанные эксплоиты от m00, уйдя в оффлайн ).
А если вам вдруг интересно, что было в архиве, то вот его содержимое:
total 432
drwxr-xr-x 3 root wheel 512 Aug 4 20:09 .
drwxrwxrwt 22 root wheel 1024 Aug 4 20:08 ..
-rwxr-xr-x 1 nobody nobody 36865 Mar 27 2003 a
-rwxr-xr-x 1 nobody nobody 55 Sep 20 2002 check
-rwxr-xr-x 1 nobody nobody 6008 Sep 20 2002 host2ip
-rw-r--r-- 1 nobody nobody 0 Jul 30 2003 ip
-rw-r--r-- 1 nobody nobody 7815 Jul 30 2003 ip2
-rwxr-xr-x 1 nobody nobody 3776 Sep 20 2002 numip
-rwxr-xr-x 1 nobody nobody 119648 Feb 24 2003 op
-rw-r--r-- 1 nobody nobody 2322 Mar 3 2000 ports.c
-rwxr-xr-x 1 nobody nobody 9196 Aug 18 2002 prob
-rwxr-xr-x 1 nobody nobody 323 Apr 4 2003 probe
-rwxr-xr-x 1 nobody nobody 55 Oct 6 2002 probe.2
-rwxr-xr-x 1 nobody nobody 184 Oct 7 2002 probe.3
-rwxr-xr-x 1 nobody nobody 346 Mar 27 2003 probe.old
-rw-r--r-- 1 nobody nobody 4766 Mar 11 2003 scan.c
-rwxr-xr-x 1 nobody nobody 17330 Aug 18 2002 scanA
drwxr-xr-x 2 nobody nobody 1024 Aug 1 2003 selena
-rwxr-xr-x 1 nobody nobody 127912 Oct 4 2002 ssl3
-rwxr-xr-x 1 nobody nobody 30656 Sep 20 2002 synscan
-rwxr-xr-x 1 nobody nobody 23 Dec 3 2002 test
-rwxr-xr-x 1 nobody nobody 396 Oct 7 2002 test3
-rwxr-xr-x 1 nobody nobody 28295 Sep 20 2002 upscan
-rwxr-xr-x 1 nobody nobody 14272 Sep 20 2002 verify2
-rwxr-xr-x 1 nobody nobody 737 Apr 4 2003 x
[0x6] Ссылки
[1] http://packetstormsecurity.nl/mag/ch4x/ch4x-1.txt
[2]
[3] http://www.8th-wonder.net
[ Prev Page | Goto Content | Next Page ]
