[ Prev Page | Goto Content | Next Page ]
=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\=/=\
Traderz HOWTO -==-==-==-==- [0x1] Intro Не так давно в журнале ch4x0rzine - issue one [1] увидел шуточную статью о получении 0day warez в irc. Шутки шутками, но все это вполне реально. Вот и решил я написать статью о том как получить все что хочется на пустом месте, ничего не имея, кроме трезвой головы и терпения. [0x2] Connected Итак, прежде чем начать, нам необходимо позаботиться о собственной анонимности в IRC. Самый простой способ сделать это - организовать туннель с irc сервером через обычный анонимный прокси-сервер, который поддерживает метод CONNECT. Причем необходим сервер в штатах или странах Европы, а еще лучше - Корея, Китай, Япония, поскольку в кругах трейдеров российские и украинские пользователи считаются рипперами [ что, кстати, недалеко от истины ]. Итак, говорить о том, как найти анонимный прокси-сервер, я не стану - для этого достаточно минимального опыта использования поисковой системы. А вот что касается проверки сервера на наличие метода CONNECT.. для этого есть отличный сайт [2]. Скрипт чекера позволяет выбирать тип прокси, который нас интересует. Для этого мы вводим список прокси-серверов, в выпадающем меню выбираем HTTP CONNECT и вперед. Сообщение ``Server is working'' говорит о том, что данный хост подходит для наших целей. Отлично, теперь у нас есть прокси-сервер. Осталось только настроить тунель. Сделать это можно, к примеру, с помощью программы Calamus [3]. Кряк ищите где обычно. Все что нужно сделать, это указать адрес и порт прокси, а также адрес и порт irc-сервера, к которому нужно подключиться. После этого открываете mIRC, или что вы там используете, и в качестве сервера для подключения вводите 127.0.0.1 и порт, скажем 666. С этим все - вы анонимны. Разумеется, существует еще масса способов скрыть свой реальный адрес, но это самый простой. [0x3] Wait a minute Прежде чем общаться с людьми, необходимо знать что вам нужно и что реально вы сможете получить - то есть нужно быть полностью в курсе событий, иначе вас будут кидать на каждом шагу. Во-первых, нужно определиться, какие эксплоиты являются опубликованными, а какие нет. Часто какой-нибудь имбицил будет предлагать вам gobbles-own-linux.c, говоря что это супер-мега-варез, релизнутый пять минут назад, etc. Для того чтобы получить общее представление о том, на что меняться не следует, ознакомьтесь со следующими источниками. Это известные в определенных кругах архивы опубликованных эксплоитов, то есть не private. http://www.k-otik.com/exploits/ http://texter.lool.ws http://0wnz.150m.com/ http://xploited.ssc.net/exploits/ http://members.lycos.co.uk/r34ct/ http://www.andhi.com/tools1/ [ 2,3 ] ..Особенно отмечу форум 0day rumours на сайте zone-h.org - информация оттуда вам очень пригодится, но об этом позже.. Желательно запомнить что делает каждый из них, их заголовки, etc. Это все очень пригодится в дальнейшем - по крайней мере от качества ознакомления зависит число проколов при реальном трейде. То есть нормальный человек обычно проверяет того, с кем имеет дело, и если выясняется, что вы вообще понятия не имеете о рассматриваемой теме, то он в лучшем случае пошлет вас, ну а в худшем впарит ``Илитный сплойт'', который потрет вам всю файловую систему. К примеру это ``runlog'' стопроцентного фейка - какой-то идиот понатыкал туда умных слов, даже не понимая о чем идет речь: [!] cheking for webserver on port 80 (Microsoft-IIS/5.0) [!] checking for mysql server on port 3306 everything allright, starting attack... [!] Microsoft Webserver, loading ASP shell... [!] Starting MySQL Injection [!] Important entries added to the db [!] 12 Path's loaded. [!] c:/Inetpub/wwwroot/ worked try http://xxx.xxx.xxx.xxx/shell.asp [!] cheking for webserver on port 80 (Apache/1.3.29 (Win32)) [!] checking for mysql server on port 3306 everything allright, starting attack... [!] Apache Webserver, loading PHP shell... [!] Starting MySQL Injection [!] Important entries added to the db [!] 22 Path's loaded. [!] c:/Programme/Apache Group/Apache/htdocs/ worked try http://xxx.xxx.xxx.xxx/shell.php Фразы типа ``Important entries added to the db'' должны наводить на определенные мысли. Короче, руководствуйтесь здравым смыслом. Это же все касается bad-инглиша - обычно люди пишут комментарии и хидеры своих эксплоитов на родном языке, а лишь usage на английском. Если вы видите текст, написанный человеком, для которого английский явно не является родным, то усильте бдительность при изучении и анализе этого вареза. [0x4] Where to trade?? Наиболее плодовитыми ресурсами в плане вареза является сеть EfNet и каналы #exploits и #shadow - сидят там в основном всякие чудики, но иногда приходят интересные люди с не менее интересным стафом )). Прежде чем вы сможете с кем-либо заговорить, вам понадобится хотя бы один непубликованный эксплоит, который мог бы представлять хоть какую-то ценность для трейдера. Обычно, взять его негде, поэтому его придется сделать самим ). [0x5] What to trade [ for ] ?? Во-первых нужно разобраться что именно нужно вам. Надо полагать, что на первых порах нужно _хоть что-нибудь_, поэтому разберемся с тем, что нужно от вас другим людям. Главным образом это эксплоиты и hacktoolz. С эксплоитами более-менее понятно, что есть hacktoolz?? Это либо коммерческие пакеты вроде: Core Impact CANVAS n-stealth XSpider BSS Data Tracer [ lol ) ] RusH Security Scanner [ lol again ) ] либо эксплоит к какой-либо уязвимости, обвешанный дополнительным стафом как-то: массканеры, массрутеры, всякие брутфорсеры и автоэксплойтеры. Как сказал однажды razor{88} - ``тулзы-самохачки'' ). То есть вы говорите, что у вас есть, к примеру, Core Impact, в то время как его у вас может не быть ) и предлагаете поменяться. Естесственно, в подтверждение своих слов вы должны предоставить некоторую информацию, например, листинг директорий программы, версию, лицензию етц. И тем не менее, нужно помнить, что все подобные вещи интересуют в основном киддисов, которые могут предложить вам либо какой-то уже публикованный эксплоит под другим именем, либо вообще какой-нибудь фейк. Людей же, которые реально имеют нужный вам код, интересует совсем другое. Вот этим вы и воспользуетесь. После прочтения разнообразных форумов и прочего вы будете примерно в курсе того, что витает в сети и что очень нужно людям. На основе этой информации несложно состряпать свой ``эксплоит'' и предложить его на обмен. Фактически при трейде на первой стадии происходит обмен хидерами - то есть вам нужен лишь убедительно выглядящий хидер, а меняться вы будете только в том случае, если чувак первым вышлет вам свой эксплоит. Это нужно помнить, нужно настаивать на этом, чтобы вызвать у человека ощущение того, что то о чем вы говорите есть у вас на самом деле. Аналогично дело обстоит с уязвимостями, описываемыми в bq. То есть прочитали вы о какой-то новой баге - составляете соответствующий хидер и вперед. [0x5] Пример Ниже приведен пример типичной [ и реальной ] сессии получения непубликованного средства эксплойтинга ``за так'', то есть безвозмездно. Ники были изменены, чтобы не привлекать к этому делу особого внимания. Самое главное здесь - структура построения разговора, которую вы можете использовать в собственных трейд-сессиях ). [0d4y_0wner] show me urs, we'll c if we have what to talk about [rippah] i have proftpd_put_down3~m00.c [rippah] and what u have [0d4y_0wner] got enough working stuff for proftpd1.2.7-1.2.9... [0d4y_0wner] got something else? [rippah] m00_ossсhan_PRUVATE.tgz [rippah] and what u have [0d4y_0wner] i figure you traded with d4rkgr3y... [0d4y_0wner] :> [rippah] no [rippah] some d00de that known as d4rkg4y take me this shiz [0d4y_0wner] you surely know english well :> [rippah] no [0d4y_0wner] got priv halflife remote exploit [rippah] im ukrainian [0d4y_0wner] thats all you get for both [0d4y_0wner] panimaiu [0d4y_0wner] :> [rippah] ). u menya est eto govno [rippah] u menya est CANVAS [0d4y_0wner] hl-friends-only? [0d4y_0wner] CANVAS eto huynia [rippah] ok, togda mne nechevo tebe bolshe predlogit :) [0d4y_0wner] eto menya vmware box [0d4y_0wner] :P [rippah] ) [0d4y_0wner] moya* [rippah] psrosto posmotrel [0d4y_0wner] ok :> [rippah] ti iz m00security?? [0d4y_0wner] ok english now :P [0d4y_0wner] no i'm not... [rippah] i wiil try )) [0d4y_0wner] ok :> [0d4y_0wner] ssl improved code, shellcode improved and all... [0d4y_0wner] want it? [rippah] for what [rippah] ? [0d4y_0wner] mod_ssl [rippah] i understand [0d4y_0wner] Apache/1.3.27 (Unix) PHP/4.3.0 mod_perl/1.27 mod_ssl/2.8.12 OpenSSL/0.9.6b [0d4y_0wner] *** openssl-too-open: Apache+mod_ssl+OpenSSL <= 0.9.6d remote exploit (linux x86) [0d4y_0wner] *** enhanced by Druid -- no more damn offsets ;) *** [0d4y_0wner] *** just instant-shell... h3h3 :>> [0d4y_0wner] *** Greetz: vMaTriCs [0d4y_0wner] : Opening 50 connections [0d4y_0wner] Establishing SSL connections [0d4y_0wner] : Using the OpenSSL info leak to retrieve the addresses [0d4y_0wner] ssl0 : 0x83f4198 [0d4y_0wner] ssl1 : 0x83f4198 [0d4y_0wner] ssl2 : 0x83f4198 [0d4y_0wner] : Sending shellcode [0d4y_0wner] cipher=0x400d008c, ciphers=0x083f4198, ssl_addr=0x083f3fc8, ssl_sess_addr=0x083f40c8, start_addr=0x083f41a0 [0d4y_0wner] func addr: 0x083f3fc4, hellcode addr: 0x083f4194 [0d4y_0wner] get_server_error: Server error: SSL2_PE_NO_CIPHER (0x01) - this is good [0d4y_0wner] Execution of stage1 shellcode succeeded, sending stage2 [0d4y_0wner] * Spawning shell... [rippah] just ask what u want for it? [0d4y_0wner] * Waiting for shell... [0d4y_0wner] * Entering shell: [0d4y_0wner] >>>> GAME OVER! Hackerz Win ;) <<<< [0d4y_0wner] ****** I AM IN 'webmail' ****** [0d4y_0wner] Red Hat Linux release 7.2 (Enigma) [0d4y_0wner] Linux webmail 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown [0d4y_0wner] uid=99(nobody) gid=99(nobody) groups=99(nobody) [0d4y_0wner] :> [0d4y_0wner] what more stuff you got? [0d4y_0wner] not only 0day... private :> [0d4y_0wner] stuff i might not have, and might want [rippah] havent anything... i think [0d4y_0wner] you have the source of the halflife? [0d4y_0wner] sploit i mean... [rippah] i havent, m00 have one [0d4y_0wner] yep i know :> [rippah] sploit? from priv8 [0d4y_0wner] ok give me the m00 stuff you showed me :> [0d4y_0wner] priv8+UHAGR [rippah] yeah [0d4y_0wner] together :> [rippah] and if u r ripper? [0d4y_0wner] are u a ripper? [rippah] no [0d4y_0wner] ok [0d4y_0wner] i send first [0d4y_0wner] but [0d4y_0wner] you send me both the codes by m00 [rippah] ok [0d4y_0wner] ok? [0d4y_0wner] :> [0d4y_0wner] accept :> [rippah] my irc client ignore it ). [0d4y_0wner] i'll try from my bot [rippah] ok [0d4y_0wner] :| [rippah] can send email? [0d4y_0wner] give me pub to put on [0d4y_0wner] yes i can :> [0d4y_0wner] [email protected] [0d4y_0wner] urs is? [rippah] [email protected] [0d4y_0wner] ok 2 mins [rippah] ok [0d4y_0wner] the topic is: 0d4y_0wner Brings you good stuff here :P [0d4y_0wner] it will arrive in 5 minutes :> [0d4y_0wner] or 1 :P [0d4y_0wner] did you get it? [rippah] i will check it now [0d4y_0wner] ok :P [rippah] no, i not recieve yet [0d4y_0wner] i see [rippah] i go smoke [0d4y_0wner] when will you b back man :> [rippah] batman return ) [0d4y_0wner] :P [rippah] but i dont get it for now [rippah] wait for 5 minz? [0d4y_0wner] allready sent... dont know whats the problem :| [0d4y_0wner] got pub to put it in? [rippah] hm where u can pu it? [rippah] out i meant [rippah] put ) [0d4y_0wner] ftp [0d4y_0wner] got one? [rippah] itz easy. wait for min [0d4y_0wner] ok [rippah] ftp.narod.ru [rippah] user: tipa-hacka [rippah] pass: qwerty [rippah] so? [0d4y_0wner] takes a bit time... 2 minutes :> [rippah] ok [0d4y_0wner] you have other? [0d4y_0wner] its very slow [0d4y_0wner] doesnt give me any \ [0d4y_0wner] wait :> [rippah] ok [0d4y_0wner] i made it :P [rippah] what u made? got connected ) [0d4y_0wner] low connection between 0d4y_0wner_country and the ukraynnes [0d4y_0wner] low speed :P [0d4y_0wner] 1 minute and the file is there :> [rippah] its busy hoster [0d4y_0wner] massrooter included :> [rippah] ok [rippah] do u hear bout spl for 2.0.48 from dr. insane? [0d4y_0wner] yes... heard its a fake [rippah] really? [0d4y_0wner] yup.. why, someone showed you that its good? [rippah] hmm. i dunno, but i dont think so before ) [0d4y_0wner] the file is in the ftp :> [rippah] i try to connect [0d4y_0wner] ok [0d4y_0wner] can u put the files there? [0d4y_0wner] after you d/l the good stuff :> [rippah] yeah, after downloading [rippah] 280k - its binary? [0d4y_0wner] whats the status? [rippah] 23% [0d4y_0wner] its tar gzipped [rippah] i see ) [0d4y_0wner] tar -zxvf priv_apache.tgz [0d4y_0wner] :P [0d4y_0wner] and enjoy [0d4y_0wner] "a" is the exploit [0d4y_0wner] "ssl3" is the openssl finder [rippah] not i just worry about size - its too large for spl ) [0d4y_0wner] and "scan" is what you need [0d4y_0wner] ./scan a-class 443 b-class [rippah] ok i will see that when dl is finished [0d4y_0wner] its with a massrooter :> [0d4y_0wner] nothing lkm/rk man [0d4y_0wner] ask ppl here [0d4y_0wner] i have integrity here [rippah] ok [0d4y_0wner] :> [0d4y_0wner] i dont need other ppl boxes with the sploits i have [rippah] ) and what for this exploits for u? just trading? [0d4y_0wner] no... i mean [0d4y_0wner] i dont need other hackers boxes :> [0d4y_0wner] i have my own :> Эксплоит получен, а у меня кабель крысы пожрали, поэтому я не смог отдать челу обещанные эксплоиты от m00, уйдя в оффлайн ). А если вам вдруг интересно, что было в архиве, то вот его содержимое: total 432 drwxr-xr-x 3 root wheel 512 Aug 4 20:09 . drwxrwxrwt 22 root wheel 1024 Aug 4 20:08 .. -rwxr-xr-x 1 nobody nobody 36865 Mar 27 2003 a -rwxr-xr-x 1 nobody nobody 55 Sep 20 2002 check -rwxr-xr-x 1 nobody nobody 6008 Sep 20 2002 host2ip -rw-r--r-- 1 nobody nobody 0 Jul 30 2003 ip -rw-r--r-- 1 nobody nobody 7815 Jul 30 2003 ip2 -rwxr-xr-x 1 nobody nobody 3776 Sep 20 2002 numip -rwxr-xr-x 1 nobody nobody 119648 Feb 24 2003 op -rw-r--r-- 1 nobody nobody 2322 Mar 3 2000 ports.c -rwxr-xr-x 1 nobody nobody 9196 Aug 18 2002 prob -rwxr-xr-x 1 nobody nobody 323 Apr 4 2003 probe -rwxr-xr-x 1 nobody nobody 55 Oct 6 2002 probe.2 -rwxr-xr-x 1 nobody nobody 184 Oct 7 2002 probe.3 -rwxr-xr-x 1 nobody nobody 346 Mar 27 2003 probe.old -rw-r--r-- 1 nobody nobody 4766 Mar 11 2003 scan.c -rwxr-xr-x 1 nobody nobody 17330 Aug 18 2002 scanA drwxr-xr-x 2 nobody nobody 1024 Aug 1 2003 selena -rwxr-xr-x 1 nobody nobody 127912 Oct 4 2002 ssl3 -rwxr-xr-x 1 nobody nobody 30656 Sep 20 2002 synscan -rwxr-xr-x 1 nobody nobody 23 Dec 3 2002 test -rwxr-xr-x 1 nobody nobody 396 Oct 7 2002 test3 -rwxr-xr-x 1 nobody nobody 28295 Sep 20 2002 upscan -rwxr-xr-x 1 nobody nobody 14272 Sep 20 2002 verify2 -rwxr-xr-x 1 nobody nobody 737 Apr 4 2003 x [0x6] Ссылки [1] http://packetstormsecurity.nl/mag/ch4x/ch4x-1.txt [2] [3] http://www.8th-wonder.net [ Prev Page | Goto Content | Next Page ]