1 ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
\r
3 ÷ PBX HACKING IN DEUTSCHLAND ÷
\r
4 ÷ von gorfus / cpi\thc f
\81r thc-mag vol. #4 ÷
\r
6 ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
\r
8 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
\r
9 sorry, this text is only in german! there exist really a lot english texts
\r
10 about this theme so check one of these! if you need informations provided in
\r
11 this text, so try to find someone who is able to translate.. may not be that
\r
12 easy regarding to my german textstyle... well... good luck!
\r
13 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
\r
15 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
\r
16 Dieser Text dient nur zur Aufkl
\84rung und Information. Er soll Sicherheitsl
\81cken
\r
17 offenlegen und Firmen vor derlei Betrug besch
\81tzen. Beschriebene Handlungen
\r
18 sind illegal und sollten auf keinen Fall nachgeahmt werden. Der Autor
\81bernimmt
\r
19 deshalb keine Haftung f
\81r Sch
\84den die durch diese Informationen entstehen. Wer
\r
20 sich trotzdem nicht zusammenreiáen kann, muá auch die Konzequensen akzeptieren
\r
21 k
\94nnen. Wenn ihr also Probleme bekommt ist das ganz allein eure Schuld!!
\r
22 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
\r
25 Willkommen zu PBX-Hacking in Deutschland. Dieser Text vermittelt
\r
26 Grundlagen und Praktiken zum Scannen und Benutzen von PBX-Systemen.
\r
27 Viele Dinge sind dem einen oder anderen vielleicht schon bekannt, es
\r
28 soll aber immernoch Leute geben, die nicht einmal die Grundlagen kennen.
\r
29 Der Text richtet sich an solche nicht so mit PBX'en erfahrene Leute. Aber
\r
30 auch schon erfahrene Leute k
\94nnen unter Umst
\84nden etwas neues erfahren.
\r
31 Alles in allem ist dieser Text f
\81r alle die sich irgentwie f
\81r dieses Thema
\r
35 - Begriffe und was sie bedeuten.
\r
36 - Wie funktioniert das ganze?
\r
37 - Verschiedene Systeme/Service Promts.
\r
38 - Tools&Texte, die viel Arbeit erleichtern.
\r
46 Die wichtigste Frage ist wie immer dieselbe: Warum sich soviel Arbeit
\r
47 machen? Warum das Risiko eingehen? Nun, zum einen kann man seinen
\r
48 Wissensdurst befriedigen und ohne Risiko w
\84r das Leben schlieálich nur halb
\r
49 so sch
\94n. Zum anderen begl
\81ckt uns die Telekom monatlich mit ihrer viel zu
\r
50 teuren Rechnung. Diese gilt es zu dr
\81cken, da man durch gezieltes Sparen
\r
51 sehr, sehr reich werden kann. Und wer will schlieálich nicht reich werden??
\r
52 Nun, um auf den Punkt zu kommen: Man kann durch PBX-Systeme in den Genuá
\r
53 kommen, kostenlos Serviceleistungen in Anspruch zu nehmen, da die Systeme
\r
54 als 0130-nummer gratis erreicht werden k
\94nnen. Zu diesen Dienstleistungen
\r
55 geh
\94rt nat
\81rlich auch die M
\94glichkeit des kostenlosen Telefonierens.
\r
58 --------------------------------
\r
59 Begriffe und was sie bedeuten.
\r
60 --------------------------------
\r
63 = "Private Branch eXchange"
\r
64 Das ist der haupts
\84chliche Name f
\81r eine ganze Reihe von verschiedenen
\r
65 Systemen. Diese Gleichsetzung ist haupts
\84chlich die Folge daraus, das
\r
66 man alle auf mehr oder weniger
\84hnlichen Wegen zum kostenlosen Telefon-
\r
67 iren (ab)nutzen kann. Diese sind im eigentlichen Sinne Firmenupdials.
\r
68 Man kann dann die jeweilige Nummer w
\84hlen, um den W
\84hlton der Firma
\r
69 (bzw. des firmeneigenen Telefonsystems (die PBX)) zu erreichen. Von da
\r
70 aus kann man dann interne Nummern w
\84hlen oder eine herausf
\81hrende
\r
71 Leitung erhalten. Um dies zu erreichen muá man eine bestimmte Ziffer
\r
72 vorher w
\84hlen. Am h
\84ufigsten ist dies '9', aber '0', '1', '#' und '*'
\r
73 werden auch manchmal benutzt.
\r
76 = "Private Automated Branch eXchange"
\r
77 Dies ist genau dasselbe wie eine PBX nur mit dem Zusatz 'automatisch'.
\r
78 Damit ist aber gemeint, daá es bei pbx'en keine (bzw. selten) Operator
\r
79 gibt. Es
\81bernimmt also ein Computer die Verwaltung. Mit anderen Worten
\r
80 ist also PBX eine wesentlich gebr
\84uchlichere Abk
\81rzung von PABX.
\r
81 Deshalb wird von den Herstellerfirmen mittlerweile die Bezeichnug
\r
85 = "Computerized Branch eXchange"
\r
86 Dies ist, wie der Name schon sagt, ein PBX-System welches durch einen
\r
87 Computer kontrolliert wird. Man kann darin ganze Netzwerke von LAN's
\r
88 viele interne Telefone, Voicemail und viele weitere interessante Dinge
\r
89 einbinden. Diese haben auch Funktionen um bei Problemen, Hackversuchen
\r
90 und anderen Unregelm
\84áigkeinten sofort eine Benachrichtigung zu
\r
91 verschicken. Auáerdem k
\94nnen Telefonate bzw. alle Leitungen bei einigen
\r
92 in Echtzeit verfolgt (monitored) werden. Viele PBX Systeme basieren auf
\r
93 diesem Prinzip und deshalb wird PBX Hacking auch immer gef
\84hrlicher.
\r
94 Eine andere interessante Funktion sind Remote Carriers zum System
\r
95 einstellen, falls dies einmal n
\94tig sein sollte. Einmal in ein solches
\r
96 System eingedrungen kann man dort wirklich alles
\84ndern z.B. accounts,
\r
97 logfiles etc. Sehr bekannte (und verbreitete) Systeme sind zum Beispiel
\r
98 die Definity Serien von LUCENT/AT&T (mit System 75 & 85) und die ROLM
\r
99 CBX von Siemens Rolm Communications Inc. Weitere Informationen zu
\r
100 diesen Systemen findet Ihr im entsprechenden Kapitel weiter am Ende
\r
105 Ein Extender wird meist mit einer PBX gleichgesetzt, da sie sehr
\r
106 \84hnlich in Funktion, Arbeitsweise und Aufbau sind. Diese sind entweder
\r
107 wie PBX'en direkte Firmendialups, sondern werden manchmal auch von
\r
108 gr
\94áeren Firmen(z.B. Telekommunikationsfirmen) zum Netzausbau,
\r
109 Mitarbeiterunterst
\81tzung und zum f
\81hren billigerer Ferngespr
\84che
\r
110 benutzt. Der gravierensde Unterschied ist, das Extender in den USA
\r
111 immer auf echten kostenlosen Nummern liegen, was aber nicht weiter
\r
112 interessant ist, da f
\81r die meisten Einwohner der USA Ortsgespr
\84che
\r
113 sowieso kostenlos sind, und PBX'en deutscher Firmen (JA, auf
\r
114 KOSTENPFLICHTIGEN Nummern) f
\81r uns zu teuer (und direkt angerufen auch
\r
115 zu gef
\84hrlich) sind. Einen Umweg bieten Outdials (oder sonstwas wie z.B.
\r
116 Callingcards) im Ausland, da der Vorteil bei deutschen Outdials darin
\r
117 liegt, 0190 Nummern anrufen zu k
\94nnen. (Was man damit anf
\84ngt sollte
\r
118 jeder f
\81r sich entscheiden k
\94nnen...)
\r
120 Fazit: PBX, PABX & CBX sind dasselbe, der Unterschied zu Extender ist
\r
121 erstens nicht sehr groá und zweitens f
\81r uns in Deutschland uninteressant.
\r
124 -----------------------------
\r
125 Wie funktioniert das Ganze?
\r
126 -----------------------------
\r
128 Nun, diese Systeme wurden alle installiert damit die Angestellten nicht f
\81r
\r
129 Gesch
\84ftstelefonate bezahlen m
\81ssen, da dies nicht fair w
\84re und Herr XYZ
\r
130 ja nicht auch noch gesch
\84digt werden sollte, wenn er zu Hause arbeiten muá
\r
131 w
\84hrend sein Boss mit der Sekret
\84rin rummacht. Wenn jener Arbeitnehmer dann
\r
132 von zu Hause z.B. ein Transportunternehmen beautragen muá, benutzt er f
\81r
\r
133 den Anruf die PBX seiner Firma. Er w
\84hlt dazu die Nummer des Dialups
\r
134 (0130-894614) gibt seinen pers
\94hnlichen Code ein (62542626789) und ruft
\r
135 dann UPS (oder was auch immer) an.
\r
137 Was man als nur machen muá ist die Nummer des Dialups zu finden und einen
\r
138 Code zu scannen. Dies gestaltet sich aber, wie alles im Leben, nicht ganz
\r
139 so einfach wie es sich anh
\94rt...
\r
141 1. Problem: Wie bekomme ich die Dialup-Nummer?
\r
142 Dies ist der einfachste Teil.. Man scannt einfach einen bestimmten
\r
143 0130-Bereich (z.b. 0130-822-XXX) mit einem Telefon oder einem Scanner
\r
144 (THC-Scan oder Toneloc). Falls einigen nicht ganz klar ist, wie sie
\r
145 dies anstellen sollen muá man sagen, daá man dabei vorm Computer
\r
146 sitzt und sich alles anh
\94rt.. Dabei h
\94rt man (hoffentlich) Nummern die
\r
147 einen neuen W
\84hlton von sich geben. Dies sind meist die besten PBX
\r
148 Nummern. Aber auch automatische Prompts die eine Ansage wie z. B.
\r
149 "Please enter your Personnel Id Number (PIN)" k
\94nnen Outdials besitzen.
\r
150 Meistens sind dies aber nur Service-Provider. Man kann allerdings auch
\r
151 so wichtige Dinge wie B
\94rsenkurse, Wetteransage oder ganz toll: neue
\r
152 VMB's oder Kartenpromts dabei entdecken.
\r
153 Nach jenen mit einem neuen DialTone kann man auch automatisch scannen.
\r
154 Dazu stellt man seinen Scanner so ein, daá ein dialstring wie dieser
\r
155 herauskommt: ATDT0130-XXXXXXW;
\r
156 Damit w
\84hlt das Modem dann die Nummer und wartet auf den W
\84hlton. Wenn
\r
157 dieser NICHT gefunden wird reagiert es allergisch und h
\84ngt mit einem
\r
158 w
\81tenden 'NO DIALTONE' auf. Falls es aber einen W
\84hlton findet geht er
\r
159 im String weiter und kehrt durch das Semikolon wieder in den Kommando-
\r
160 modus zur
\81ck. Dies wird durch ein 'OK' vom Modem kommentiert und man
\r
161 hat seinen Success-String.
\r
162 Einstellen kann man dies bei THC-Scan und Toneloc in der Option
\r
163 'Scan For' indem man es auf Tones bzw. PBX setzt. Genaueste Angaben
\r
164 k
\94nnt ihr aus den jeweiligen Programmdokumentationen entnehmen. Es gibt
\r
165 zudem auch (wenige) PBX-Systeme die sich nur mit Stille melden.. Diese
\r
166 kann man nach dem selben Prinzip, nur mit ATDT0130-XXXXXX@;, scannen.
\r
168 2. Problem: Wunderbar, ich hab ne Nummer... Was nun?
\r
169 Zuerst sollte man herausfinden in welchem Land sich die PBX befindet.
\r
170 Meist reicht die Kenntnis der ungef
\84hren Region aus. 'Wozu muá ich das
\r
171 wissen?' werden sich sicherlich einige Fragen... Nun, zum einen sollte
\r
172 man sicher sicher gehen, daá sich das Zielsystem nicht in Deutschland
\r
173 befindet, denn diese haben in 99% aller F
\84lle eine Fangschaltung
\r
174 zum Schutz installiert. Wenn die dann merken was vor sich geht, rufen
\r
175 sie die Bullen und dann kommen bei euch die netten Jungs von LKA zum
\r
176 Kaffeetrinken vorbei. Von den Sicherheitsproblemen mal abgesehen ist
\r
177 die Kenntnis des Landes/Region zum weiteren Analysieren von Bedeutung.
\r
178 Um n
\84mlich herauszufinden wie der Aufbau der PBX ist, ben
\94tigt man die
\r
179 L
\84nge der m
\94glichen anrufbaren Nummern und deren Prefix.
\r
180 Erkennen kann man das Land am Klingelzeichen, am Vorhanden/Nicht-
\r
181 vorhandensein von C5-Beepz, am Knacken der Schmitt-Trigger beim
\r
182 Verbindungsaufbau. Vergleicht einfach den Dialup mit Nummern von denen
\r
183 ihr wisst wo sie sind. z.B. mit Nummern von PhoneCompanies:
\r
184 0130-0222 (Telekom)
\r
185 0130-0010 (AT&T - USA)
\r
186 0130-0012 (MCI - USA)
\r
187 0130-0013 (SPRINT - USA)
\r
188 0130-800XXX (HCD des Landes des CountrieCodes statt XXX)
\r
190 Nehmen wir nun an ihr habt ein System in den USA und wollt den Aufbau
\r
191 wissen. Ihr probiert einfach verschiedene Eingabem
\94glichkeiten aus.
\r
192 Als erstes versucht man nach wievielen T
\94nen die PBX reagiert. Dazu
\r
193 w
\84hlt man einfach irgentetwas (mit verschiedenen Nummern am Anfang)
\r
194 und h
\94rt ob es eine Reaktion gibt. Meistens gibt es bei falschen
\r
195 Eingaben eine Art Alarmton, der etwas an Polizei/Krankenwagen Sirenen
\r
196 errinnert. Wenn also solch ein Signal immer nach 3 eingegebenen Ziffern
\r
197 ert
\94nt, will die PBX zuerst einen 3 stelligen Code. Anderenfalls, wenn
\r
198 nach 10 Ziffern (oder '1' + 10 Ziffern) ein neuer Ton ert
\94nt und immer
\r
199 nach 3 weiteren Ziffern der beschriebene Alarmton erklingt, will die
\r
200 PBX zuerst die Nummer, dann den Code. Die meisten allerding wollen
\r
201 zuerst den Code, und erst nach Eingabe des Codes einen neuen W
\84hlton
\r
202 von sich geben.. Oder, Code+Nummer (oder andersrum) und erst
\r
203 nach beidem den Alarmton oder eine Ansage von sich geben..
\r
204 Deshalb hier ein paar Beispiele:
\r
209 XXXX (falscher Code)
\r
211 Diese will also (angenommen) CODE + Nummer...
\r
212 Ein Scanerfolg s
\84he dann also so aus:
\r
215 YYYY (richtiger Code)
\r
217 An diesem Punkt kann man jetzt entweder direkt w
\84hlen (mit oder ohne
\r
218 die '1' (falls die PBX in den USA ist)) oder erst eine '9' bzw. eine
\r
219 andere Taste (wie schon gesagt, wenn '9' nicht geht, mal mit '0','1',
\r
220 '#' oder '*' probieren) dr
\81cken. Dann kommt entweder ein neuer W
\84hlton
\r
221 (Was noch einer? ;) oder man kann direkt weiter w
\84hlen.. Dies alles
\r
222 fordert halt ein wenig Ausprobieren.. (Puhh, was f
\81rne Arbeit! ;)
\r
231 Wie Ihr euch bestimmt schon denken k
\94nnt, verlangt diese PBX
\r
233 Bei diesen sollte man m
\94glichst immer eine andere Zielnummer eingeben,
\r
234 da sonst euer Scannen sehr sehr schnell bemerkt werden kann...
\r
235 Falls nach 10 bzw. 11 Stellen der Alarmton kommt, ihr aber denkt das
\r
236 es trotzdem ZUERST die Nummer will, solltet ihr versuchen bestimmte
\r
237 Vorwahlen (Areacodes) zu testen. Am besten eigenen sich dazu (1)-800
\r
238 und (1)-888, weil dies die Vorwahlen kostenfreier Nummern sind. Ebenso
\r
239 kann die Nummer nur 7 stellig sein, falls die PBX nur lokale Nummern
\r
240 unterst
\81tzt (diese Nummern kosten die Firma n
\84mlich nichts (mal
\r
241 abgesehen von den Geb
\81hren an die Telekom) und das reicht ja auch aus,
\r
242 daá Herr Mitchel mal eben seine Frau anrufen kann (so zur Kontrolle ;).
\r
248 Ansage: 'Sorry! Invalid destination Number or bad passcode!'
\r
249 Diese hier will anscheinend Nummer und CODE in einer bestimmten
\r
250 Reihenfolge ohne Unterbrechung haben. Was nun? Versucht halt dies:
\r
254 Ansage: 'Sorry! You're not allowed to dial this number!'
\r
255 Aha, also f
\81r Gespr
\84che innerhalb der USA zuerst die Nummer (mit der
\r
256 '1' am Anfang), danach den CODE. Bei solchen kann man auch mal
\r
257 versuchen international zu w
\84hlen:
\r
260 01149894620013311XXXX
\r
261 Falls dann wieder eine solche Ansage kommt, kann sie auch internat.
\r
262 w
\84hlen (cool, nicht wahr?), falls nicht, kommt entweder irgentwelche
\r
263 Fehlermeldungen oder Ihr k
\94nnt erst garnicht mehr als 15 Stellen
\r
266 Falls einige (wegen Mama und Papa) noch nie im Ausland angerufen haben
\r
267 und sich mit internationalen Vorwahlen nicht so auskennen kommen hier
\r
268 einige CountryCodes zur Anwahl des gew
\81nschten Landes und/oder zum
\r
269 \9aberpr
\81fen mit den HCD's oder zu was auch immer...
\r
272 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
\r
280 Und zur Erg
\84nzung noch einige Vorwahlziffern f
\81r Inlands- bzw.
\r
283 Vorwahl (national/international) Land
\r
284 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
\r
286 1/011 - USA / Canada
\r
289 Das W
\84hlen von internationalen Nummern gestaltet sich dann also
\r
291 Man w
\84hlt die internationale Vorwahl, dann den CountryCode und dann
\r
292 die Nummer ohne nationale Vorwahlziffer ...
\r
294 Um also von Schweden aus Mrs. Dorothy Mitchel anzurufen um ihr zu
\r
295 erkl
\84ren, was ihr geliebter Burt auf der Arbeit so treibt w
\84hlt man
\r
298 int.Vorwahl in Schweden^^^ | ||| ^^^~^^^^Nummer der netten Mrs. Mitchel
\r
299 CountryCode der USA^ ^^^AreaCode von Seattle, Washington
\r
300 (dort wohnt sie, die
\8ermste)
\r
302 3. Problem: Gut ich kenne den Aufbau.
\r
303 Wie kann ich das jetzt am Besten scannen?
\r
304 Nun, das Scannen ist weniger schwer. Es ist nur wichtig wie man sie
\r
305 scannt. Am sichersten ist es immernoch per Hand mit einem handels-
\r
306 \81blichen Telefon zu scannen. Auf Dauer ist dies jedoch sehr anstrengend
\r
307 und erm
\81dent. Deshalb steigt man nach dem Herausfinden des Codes besser
\r
308 auf einen automatischen Scanner zur
\81ck. Dieser sollte einige wichtige
\r
310 Diese sind: - dial delayer
\r
311 - dictionary support
\r
312 - m
\94glichst viel Zuf
\84lligkeit
\r
313 Aus diesen Gr
\81nden machen sich Scripts (z.B. mit TeleMate), die zum
\r
314 VMB Scannen brauchbar sein k
\94nnen, zum PBX Scannen sehr schlecht,
\r
315 da ben
\94tigte Features nur schwer erreicht werden k
\94nnen. Einige Gute
\r
316 Programme findet ihr im entspechenden Kapitel dieses Documents.
\r
317 Wichtig sind diese Funktionen aus dem Grund, das viele PBX'en
\r
318 Systeme zur Erkennung von Hackern benutzen. Diese Anti-Fraud-Devices
\r
319 suchen meist gleichm
\84áigen Pattern um Scannen zu erkennen.
\r
320 Die Such-Pattern triggern meist:
\r
321 a) - zu viele Calls in einer bestimmten Zeitspanne
\r
322 b) - gleiche Abst
\84nde zwischen Calls mit falschem Code
\r
323 c) - gleiche Zielrufnummer mit falschem Code
\r
324 d) - zu schnelles Tippen bzw. exakt gleiche Zeitspannen zw. den
\r
325 Tasten und gleiche L
\84nge der TouchTonez
\r
326 e) - zu viele falsche Versuche
\r
327 f) - Such-Pattern bei Codez gefunden (meist gleiche Abst
\84nde
\r
328 zwischen den falschen Codez oder andere
\8ehnlichkeiten)
\r
329 Viele dieser Pattern kann man
\81berlisten:
\r
330 zu: a) - mehrere PBX'en scannen / m
\94glichst zuf
\84llige Reihenfolge
\r
331 b) - zuf
\84llige Wartezeit zwischen den Calls
\r
332 c) - eine Textdatei mit GUTEN Zielrufnummern benutzen
\r
333 -> in m
\94glichst zuf
\84lliger Reihenfolge
\r
334 d) - dial delayer benutzen -> zuf
\84llige L
\84nge der TouchTonez
\r
335 und zuf
\84llige Zeitspanne zwischen den einzelnen Tasten
\r
336 e) - wenn man mehrere PBX'en scannt (a) dann bekommen die auch
\r
337 nicht besonders viele Versuche in einer best. Zeitspanne
\r
338 f) - nach M
\94glichkeit immer vermeiden sequentiell zu scannen,
\r
339 dictionary in zuf
\84lliger Reihenfolge abscannen
\r
340 So, nun h
\84tten wir die technische Seite des Scannens betrachtet. Diese
\r
341 ganzen Tricks kann man mit den richtigen Programmen mehr oder weniger
\r
342 gut erreichen. Kommen wir nun zur psychischen Seite der ganzen Ange-
\r
343 legenheit. Da die Angestellten der Firma und die Operatoren des Systems
\r
344 unf
\84hig sind sich einen zuf
\84lligen Code zu merken w
\84hlen sie meistens
\r
345 einen sehr primitiven Code aus.
\r
346 Zum Beispiel: 1234 / 2378 / 1111 / 9876 / 0101 / 7272 ...
\r
347 Deshalb ist es sehr ratsam mit einem Dictionary, das m
\94glichst viele
\r
348 Lamer Codez enth
\84lt, zu scannen. Wenn dann ungef
\84hr 100-300 solcher
\r
349 Codez nichts bringen, kann man dann auf zuf
\84lliges Scannen zur
\81ck-
\r
350 greifen. Dabei sollte man die schon (durchs dictionary) gew
\84hlten
\r
351 Nummern als bereits gew
\84hlt kennzeichnen um sich das erneute W
\84hlen
\r
352 dieser zu ersparen (bei 40 Sekunden/Anruf, machen 250 Anrufe 10000
\r
353 Sekunden, also ca. 2,8 Stunden.. bei Benutzung von bestimmten Sicher-
\r
354 heitsvorkehrungen (z. B. dial-delayer) verbraucht man pro Anruf noch
\r
357 4. Problem: Wie erkenne ich das mein Scannen erfolgreich war?
\r
358 Nun, wenn man Gl
\81ck hat legt das System nach der Ansage
\r
359 (z.B. "Sorry! You're PIN is invalid") auf. Dann braucht man nur darauf
\r
360 zu warten, daá das Modem ein NO CARRIER zur
\81ckliefert, mit anderen
\r
361 Worten kein Besetztzeichen erkennt. Diesesbekommt man n
\84mlich meist
\r
362 (bei einer digitalen VST) ca. 10 sek. nachdem die PBX aufgelegt hat.
\r
363 Bei anderen kann es auch sein das man keine Ansage sondern eine Art
\r
364 Alarmton erh
\84lt. Falls dieser von eurem Modem als BUSY erkannt wird
\r
365 kann das selbe Vorgehen zum Ziel f
\81hren. Falls nicht kann dieses
\r
366 Alarmsignal meist als neuer W
\84hlton erkannt werden.
\r
368 1) BUSY / NO CARRIER - Methode
\r
371 BUSY ; nach z.B. 19 sek.
\r
374 NO CARRIER ; nach 30 sek.
\r
375 2) DIALTONE - Methode
\r
377 ATDT01300889,,635W;
\r
378 OK ; nach ca. 20 sek
\r
380 ATDT01300889,,321W;
\r
381 NO DIALTONE ; nach ca. 20 sek.
\r
382 ... hier kann es aber auch andersherum sein, dass der
\r
383 richtige Code ein OK zurueckgibt.
\r
385 Fazit: Immer erst austesten wie eine PBX reagiert und wie das euer
\r
386 Modem auffasst. Danach ueberlegen wie man das am
\r
387 geschicktesten in Angriff nimmt ;-)
\r
389 Falls keine genaue Erkennung dieser Zust
\84nde m
\94glich ist (wenn bei
\r
390 falschem Code verschiedene Ansagen kommen und man mal BUSY und mal
\r
391 NO CARRIER erh
\84lt) und eine Zielrufnummer verlangt wird (z.B. vor
\r
392 dem Code [sind meist die Besten]) dann kann man dies ausnutzen. Man
\r
393 w
\84hlt einfach eine Zielrufnummer aus, die einen bestimmten String
\r
394 zur
\81ckliefert. Dazu eignen sich am besten Carriers und (wenn das Modem
\r
395 sie erkennen kann) Faxe. Meist sind Carrier aber vorzuziehen da Faxe
\r
396 meist nur eine Leitung haben und deshalb sehr leicht besetzt sein
\r
397 k
\94nnen. Man kann dann auf eine Liste (am besten Inlandnummern des
\r
398 Landes in dem sich die PBX befindet) mit Multiline-Systemen
\r
399 zur
\81ckgreifen. Das sind z.B. Internet Provider (AOL, CompuServe, MSN,
\r
400 MetroNet, Nacamar, kleinere Mailboxen mit Internetzugang), Universit
\84ts
\r
401 bzw. andere Server (z.B.Tymnet) oder normale Mailboxen mit mehreren
\r
402 Linez auf derselben Nummer (Ringdown). Man sollte beim Scannen eine
\r
403 Liste dieser benutzen und den Scanner zuf
\84llig eine daraus ausw
\84hlen
\r
404 lassen. Dazu das Beispiel:
\r
405 3) CONNECT / FAX - Methode
\r
407 ATDT0130817777,,15186147712,,672
\r
410 ATDT0130817777,,17081825919,,999
\r
411 CONNECT 56700/V42BIS/X2
\r
413 ATDT0130817777,,15237567435,,999
\r
417 Da es (wie schon beschrieben) viele PBX'en gibt, die nach dem Code
\r
418 einen Alarmton -ODER- (bei Erfolg) einen neuen W
\84hlton bringen, erz
\84hl
\r
419 ich jetzt wie man sowas scannt: Das Problem bei dieser Sache ist im
\r
420 Prinzip, das Modems meist den Alarmton als W
\84hlton erkennen.. Dies kann
\r
421 man aber ziemlich einfach austricksen und zwar so:
\r
422 4) W
\8eHLTONE / ALARMTONE - Methode:
\r
424 ATDT0130822222,,1234W1W;
\r
427 ATDT0130822222,,4321W1W;
\r
429 Falls jemand das nicht verstanden haben sollte, hier die Erkl
\84rung:
\r
430 In beiden F
\84llen (W
\84hlton oder Alarmton) wird beim ersten 'W' ein
\r
431 W
\84hlton erkannt und danach eine '1' gew
\84hlt. Falls nun (immernoch)
\r
432 der Alarmton zu h
\94ren ist, erkennt das Modem WIEDER einen W
\84hlton
\r
433 und geht durch das Semikolon (';') mit einem fr
\94hlichen 'OK' zur
\81ck
\r
434 zur Kommandoebene. Falls aber der 'echte' W
\84hlton kam wird wieder
\r
435 eine '1' gew
\84hlt und der W
\84hlton verstummt bekanntlich nach der ersten
\r
436 gew
\84hlten Ziffer. Dannach kann das Modem keinen W
\84hlton mehr erkennen
\r
437 (dieser ist ja verstummt!) und das Modem bricht mit 'NO DIALTONE' ab.
\r
439 Dies sollte das Prinzip und die Funktionsweise ausreichend erkl
\84ren...
\r
440 Ein Wort noch an all Diejenigen, die meinen das sie ihren PC auch noch
\r
441 zu anderen Dingen ben
\94tigen als zum Scannen: In Zeiten von rechenstarken
\r
442 Prozessoren und billiger Hardware stellt es doch wohl kein Problem dar,
\r
443 den Scanner unter einem MultiTasker (DESQview(/X), Linux, OS/2, WinNT/95)
\r
444 laufen zu lassen, oder?
\r
447 -------------------------------------
\r
448 Verschiedene Systeme/Service Promts
\r
449 -------------------------------------
\r
451 In diesem Teil sind erstens ein paar weit verbreitete PBX Systeme
\r
452 beschrieben und als kleiner Bonus noch ein paar Worte zu VoiceCom und
\r
453 h
\84ufig auftretenden Promts.
\r
455 *=> Siemens Rolm CBX
\r
456 Die ROLM CBX wird bekanntlich von Siemens Rolm Communications Inc.
\r
457 vertrieben. Sie ist sehr flexibel und man kann sehr viele Dinge integrieren.
\r
458 Sie unterst
\81tzt bis zu 20000 angeschlossene Telefone, man kann damit auch
\r
459 interne LAN Netzwerke aufbauen und VoiceMail einbinden. Als VoiceMail System
\r
460 wird ebenfalls von Siemens Rolm das PhoneMail System angeboten. Dieses hat
\r
461 in den USA durch ANI (automated number identification) auch die M
\94glichkeit
\r
462 in den Nachrichtenheader die Telefonnummer des Anrufers einzuf
\81gen.
\9aber-
\r
463 haupt wird bei Siemens Rolm stark auf Sicherheit gesetzt da das System in
\r
464 der Lage ist automatisch ein Service Center zu informieren falls es Fehl-
\r
465 funktionen gibt. Dazu geh
\94ren so gut wie alle Unregelm
\84áigkeiten, also wird
\r
466 das Scannen (auch wenn *NIEMAND* da ist) sehr schnell bemerkt. Es gibt f
\81r
\r
467 die ROLM CBX auch eine monitoring station mit 12 video lines wodurch man das
\r
468 gesamte System
\81berwachen kann. Das System bietet zudem noch
\r
469 "Call Transfering", also auch nach auáen zu Telefonieren. Ein anderes, sehr
\r
470 interessantes Feature ist auch "Remote Diagnostics", wodurch man das gesamte
\r
471 System von auáen
\81berpr
\81fen und ver
\84ndern kann (das ist ein Carrier).
\r
472 Weitere Features sind noch: ISDN Unterst
\81tzung, komplett digitale
\r
473 Kommunikation (digitale Telefone) und T1 Connects
\81ber Sateliten.
\r
474 Siemens Rolm Communications Inc. arbeitet zudem noch mit IBM, DEC, Intel,
\r
475 Microsoft, Tandem und PictureTel zusammen und bietet Kunden viel Support.
\r
476 Weitere Information auf der SRCI Homepage: http://siemensrolm.com
\r
477 und falls ihr mal an so einem PhoneMail System rumspielen wollt: 0130-810276
\r
479 *=> LUCENT/AT&T Definity Series
\r
480 LUCENT/AT&T bietet mit dieser Serie komplexe Kommunikationshardware an,
\r
481 wie zum Beispiel CBX/PBX Systeme, Telefone, VoiceMail und anderes. Das
\r
482 CBX/PBX System basiert auf dem System 75 bzw. System 85 und als VoiceMail
\r
483 Addons wird einerseits DEFINITY-AUDiX angeboten, welches auch als(nur) AUDiX
\r
484 in andere PBX Systeme integriert werden kann. Zum anderen wird auch noch das
\r
485 INTUITY AUDiX System angeboten, welches aber keine besonders interessanten
\r
486 Features aufweiát. Alles in allem kann auch das System 75 (bzw. die weiteren
\r
487 neu entwickelten Versionen) einen Carrier besitzen um das System von auáen
\r
488 zu verwalten. Weitere Features (mit AUDiX) sind automatische Hilfe,
\r
489 Heraustelefonieren (z. B. auch zur Benachrichtigung bei eingegangenen
\r
490 Nachrichten), den INTUITY MESSAGE-MANAGER (eine art LAN) und verschiedene
\r
491 andere Funktionen. Dies f
\84llt aber mehr in den Bereich des VMB Hackings..
\r
493 *=> LUCENT/AT&T SDN
\r
494 Dieses System dient weitestgehend nur zum Anrufen bestimmter Nummern.
\r
495 Man kann es relativ leicht an charakteristischen Ansagen erkennen.
\r
496 Diese sind: "Please enter the Number you're calling."
\r
497 "The Code you've entered is not valid."
\r
498 Der Prompt wo der Code eingeben werden soll, besteht aus einem kurzen, sich
\r
499 wiederholenden Pieptones. Auáderdem existiert dieses Systen in beiden
\r
500 Varianten, also einmal Nummer+CODE und einmal CODE+Nummer. Durch die Ansagen
\r
501 kann man das Format allerdings sehr einfach herausfinden.
\r
504 ---------------------------------
\r
506 ---------------------------------
\r
508 Hier nun noch zus
\84tzlich ein paar Worte zu einem speziellen Tonprompt, den
\r
509 man beim Scannen recht h
\84ufig findet. Man erh
\84lt bei der Anwahl (eine
\r
510 Beispielnummer w
\84re: 0130-825552, mit den Codes 0101, 0202, 0303, bei den
\r
511 Codes geht nach einer Weile ein Carrier ran..) einen Ton und nach Eingabe
\r
512 eines falschen Codes (meist 4 oder 6 stellig) erh
\84lt man die Ansage:
\r
513 "The autorisation code or ID code you have dialed is invalid..."
\r
514 Nach dieser Ansage gibt dieses System noch den Areacode aus dem man anruft
\r
515 von sich, welcher von Deutschland aus meist '2BM' ist.
\r
516 Ein Bekannter hat einmal eine 4 stellige dieser Bauart durchgescannt und nur
\r
517 nutzloses Zeug & irgentwelche Servicesachen gefunden. Falls ihr dennoch so
\r
518 etwas scannen wollt, empfehle ich ein dictionary zu verwenden, da hier meist
\r
519 (wie ihr sehen k
\94nnt) sehr einfache Codes verwendet werden.
\r
520 Falls jemand genauere Informationen hierzu haben sollte, so w
\84re ich diesen
\r
521 nicht abgeneigt (meine e-Mail steht am Ende dieses Textes).
\r
523 ---------------------------------
\r
525 "enter your cardnumber (and pin)" oder
\84hnliches:
\r
526 Cardprompts sind immer wieder sch
\94n, da man hier, wenn man Gl
\81ck hat,
\r
527 einfach den Operator tot nerven kann, um alles
\81ber diese Cards zu erfahren.
\r
528 Dann kann man sich da unter Umst
\84nden solche CallingCards "kaufen" (getreu
\r
529 Danny DeVito mit 'dem Geld anderer Leute' ;) und bis zum j
\81ngsten Gericht
\r
530 (ok, ok, das ist ein wenig
\81bertrieben) mit seiner Oma telefonieren...
\r
532 ---------------------------------
\r
535 -------------------------------------------
\r
536 Tools&Texte, die viel Arbeit erleichtern.
\r
537 -------------------------------------------
\r
539 Hier folgt eine Liste brauchbarer Tools und derer Beschreibungen...
\r
540 Ich gehe hier ausschlieálich auf PC Scanner (unter DOS) ein..
\r
541 Wenn Ihr also einen Dialer f
\81r euren Amiga oder C64 braucht, wendet euch
\r
542 einfach an einen eurer Freunde oder schaut mal im n
\84chsten h/p Board rein!
\r
544 *=> T-diAL v2.o1 - von mir selbst (hehe ;)
\r
546 T-diAL ist ein relativ neues Programm mit dem es m
\94glich ist so gut wie
\r
547 alle Prompts, die sich
\81ber TouchTones bedienen lassen, zu scannen. Dies
\r
548 wird durch ein komplett freies Setup m
\94glich. Allerdings kommen durch die
\r
549 groáe Einstellfreiheit f
\81r HardCore PBX-Scanner einige Features etwas kurz..
\r
550 Ich werde aber versuchen diese in Zukunft zu verbessern.
\r
552 Vorteile: - frei konfigurierbar
\r
554 - einigermaáen gutes alarm!system
\r
555 - scanning durch andere (touchtone) outdials
\r
556 - theoretisch unbegrenzte (nicht
\81berpr
\81fte) Stellen
\r
557 (4 werden
\81berpr
\81ft)
\r
558 - dictionary Unterst
\81tzung
\r
560 Nachteile: - keine zuf
\84lligen Zielrufnummern (aus ner Textdatei)
\r
561 - ein paar bugz.. aber keine gravierenden.
\r
562 (es funktioniert jetzt auch mit Modems von USRobotics)
\r
564 *=> PBX-HACK - by van Hauser / THC
\r
566 PBX-Hack ist, wie der Name schon sagt und im Gegensatz zu T-diAL,
\r
567 nur f
\81r PBX-Systeme geschrieben.. Alle enthaltenen Features sind komplett
\r
568 zuf
\84llig, was durchaus brauchbar ist. Einziges Problem dabei ist, mehrere
\r
569 PBX'en zu finden die V
\99LLIG gleich sind, um die zuf
\84llige Anwahl der Systeme
\r
570 zu nutzen. Die Multi-Version ist ja (leider) nicht der
\99ffentlichkeit
\r
571 zug
\84nglich. Der verbreiteten Version liegt auáerdem eine Kopie von einen
\r
572 englische Text
\81ber PBX und Extender Hacking bei. Dieser ist einer der
\r
573 wenigen wirklich guten PBX-Texte. Es handelt sich dabei zwar gr
\94átenteils
\r
574 um die Praxis in den USA, was aber nicht so wichtig ist da man sowieso
\r
575 meist Systeme in den USA scannt und dar
\81ber Bescheid wissen sollte.
\r
577 Vorteile: - alles zuf
\84llig (z.B. dial-delayer)
\r
578 - mehrere Systeme gleichzeitig (bzw. abwechselnd) scan-bar
\r
579 - 6(!)
\81berpr
\81fte Stellen (zuf
\84llig)
\r
580 - scanning durch andere outdials m
\94glich
\r
581 - Bonus: PBX & Extender Hacking Guide by Madrox/SIC
\r
583 Nachteile: - Zielrufnummern etwas umstaendlich zu handhaben
\r
584 - keine dictionary Unterst
\81tzung
\r
586 *=> THC-Scan - auch by van Hauser / THC
\r
588 Kommen wir nun zum allseits bekannten THC-Scan. Es l
\84át sich ziemlich
\r
589 kurz beschreiben: _DER_ Tollfree (0130/00800) Scanner.
\r
590 Aber Tollfree Scanning ist nicht Inhalt dieses Dokuments obwohl diese Art
\r
591 Aktivit
\84t stark von N
\94ten ist um an die DialUp-Nummern zu kommen....
\r
592 Jetzt aber (endlich, lechz...) zum eigentlichen Punkt. Man kann mit diesem
\r
593 Tool auch PBX Systeme scannen. Dazu
\81bergibt man einfach das Scanpattern
\r
594 als DialMask und schaut nach dem Scannen ganz einfach in die entsprechenden
\r
595 Logfiles. Man kann auch im Config den SuccessBeepString so ver
\84ndern das
\r
596 man akustisch informiert wird. Manche werden auch wollen das nach dem ersten
\r
597 Erfolg automatisch aufgeh
\94rt wird weiter zu scannen. Dazu legt man einen
\r
598 execute-Befehl auf die entsprechende Response, der eine Batch(oder irgentwas
\r
599 anderes) ausf
\81hrt die mit (in diesem Fall) einem 'pause'-Befehl auf einen
\r
600 Tastendruck wartet. Man kann auf diese Weise PBX'en bis 4 Stellen (bei den
\r
601 Codez) zuf
\84llig und sonst mehrere Stellen nur
\81ber Textfile (dictionary)
\r
602 Scanning erledigen. Was nicht (oder nur schwer) m
\94glich ist, ist PBX'en zu
\r
603 scannen die eine Zielrufnummern _VOR_ dem Code wollen, da der Scanstring
\r
604 daf
\81r einfach zu kurz ist.
\r
606 Vorteile: - gut konfigurierbar
\r
607 - dictionary support
\r
609 Nachteile: - max. 4 Stellen zuf
\84llig
\r
610 - zu kurzer Dialstring bzw. muss ueber Dialmask benutzt werden
\r
612 *=> Smart PBX Scanner - by plasmoid / deep/thc
\r
614 Dieser Scanner basiert v
\94llig auf dictionary scanning und besonders billigen
\r
615 Codez. Leider ist er noch nicht fertig und nur steht nur als kleine,
\r
616 unvollendete beta-version zur Verf
\81hgung. In der fertigen Version werden
\r
617 dann auch spezielle mathematische Features zur Generation einfacher Codez
\r
620 Vorteile: - gut konfigurierbar
\r
621 - dictionary support mit Platzhaltern!
\r
624 Nachteile: - keine zufaelligen Nummern
\r
627 Weitere Informationen stehen zu diesem Zeitpunkt leider nicht zur Verf
\81gung
\r
628 und deshalb ist an dieser Stelle nur bisher in der beta implementiertes
\r
632 *=> The Hacker's Compagnion - by substance & / 9x
\r
634 The Hacker's Compagnion ist kein PBX Hacker im eigentlichen Sinn, sondern
\r
635 ein f
\81r Hacker geschriebener Kommunikationsscriptinterpreter. Damit kann
\r
636 man im Prinzip f
\81r jede verschiedene PBX ein Script schreiben. Auch lassen
\r
637 sich viele Dinge, wie ein dial-delayer, random Zielrufnummern und
\r
638 dictionary code scanning sehr leicht realisieren. Einziges Problem daran
\r
639 ist das der Interpreter unter bestimmten Vorrausetzungen ziemlich unstabil
\r
640 sein kann, was aber bei PBX'en keine groáe Rolle spielt sondern eher mehr
\r
641 bei Carrier Hacking ins Gewicht fallen kann. Hoffen wir mal das dieses Tool
\r
642 in den n
\84chsten Versionen richtig stabil und damit sehr n
\81tzlich wird.
\r
644 Vorteile: - sehr leistungf
\84hige Scriptsprache um viele Features
\r
645 selbst programmieren zu k
\94nnen
\r
647 Nachteile: - keine
\9aberpr
\81fung der Zufallszahlen
\r
648 (l
\84sst sich aber durch eine eigene neue Zufallsroutine
\r
650 - relativ unstabil unter verschiedenen Vorraussetzungen
\r
651 (je nach OS, Modem, ...)
\r
653 -------------------------------------------------------------------------------
\r
655 Mit guten Texten sieht es dabei etwas mager aus.. Es gibt zwar sehr viele
\r
656 englische Texte
\81ber dieses Thema aber nur wenige mit wirklich guten und
\r
657 brauchbaren Informationen.. Zu den Guten geh
\94rt der PBX/EXTENDER Hacking
\r
658 Text von Madrox/SIC der van Hauser's PBX-Hacker beiliegt. Dann gibt es
\r
659 noch die Texte
\81ber ROLM PhoneMail und andere von 9x. Diese basieren aber
\r
660 mehr auf VMB's und haben weniger mit PBX-Systemen zu tun. Die Documentation
\r
661 von plasmoid's SPS wird wahrscheinlich auch recht ausf
\81hrlich. Ansonsten
\r
662 kann man dann (nur?) noch auf Internet Suchmaschienen (z.B.Yahoo!, Lycos,
\r
663 AltaVista... und was es da noch so gibt) zur
\81ckgreifen und sich auf die
\r
664 Suche nach den gew
\81nschten Informationen machen. Wenn man allerdings ein
\r
665 paar Erfahrungen gesammelt hat und lange genug am Zielsystem "herumspielt"
\r
666 braucht man eh keine dummen Texte mehr, sondern meist nur die Programme,
\r
667 die unserer grenzenlosen Faulheit zu Leibe r
\81cken. ;)
\r
674 So das wars. Ich hoffe euch hat dieser Text etwas neues gelehrt und das
\r
675 Lesen war einigermaáen vergn
\81glich bzw. ertr
\84glich. Wenn ihr mir unbedingt
\r
676 sagen wollt wie lame ich bin, dann kontaktiert mich auf einer der folgenden
\r
679 eMAIL: gorfus@hotmail.com
\r
680 BBS: hacker's inn - to gorfus
\r
681 terminal madness - to gorfus
\r
683 Wenn ihr Gl
\81ck habt, k
\94nnt ihr mich auch im IRC (meist in #hack oder
\r
684 #thc mit /server irc.stealth.net) finden..
\r
689 ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
\r
690 Type Bits/KeyID Date User ID
\r
691 pub 1374/9CAFA255 1997/04/30 GoRfUS / cPI\tHC
\r
693 -----BEGIN PGP PUBLIC KEY BLOCK-----
\r
696 mQC5AzNnr8EAAAEFXjSFYmoKZ7bbfSff7LOxHmtGz6z4gBlDTWWmGwoC+JZ+L+MS
\r
697 iflet2m9rbeG6FT0J5D6edLk3JnF/uDK/oiucV2FfrP7UPB3pdlZj8GNY3jzq6dP
\r
698 +idIeL3G+Yi7+nW7gftNHHA3VfrTYKczt+e0PIvsuM5Dk7vG1JD/Y8GRqwJolEa3
\r
699 C4XZX1AOHW8dOjXTXjlo661Re9GaQsyJal9BtWkEZznlP792gZyvolUABRG0EEdv
\r
700 UmZVUyAvIGNQSVx0SEOJAMEDBRAzZ6/DP792gZyvolUBAZh6BV4t1ydbcCrtqN1A
\r
701 ga7Ei8F+5K0XjNCJY10bWL2bgW7sNjhkFLDtIr5fAAM3IX459hl9b3bZ8ZHyW5qN
\r
702 PuBu0XZUOoFx4LcpdVBuQbXY8hvNFMPyU7XWUlOOzmL+PhLY/SIW0e8GId+3YWsv
\r
703 hZvC/E+TY9HufWNF4i/NR4GPise9bzph8A0B1IpOjYQ3hw+jVVhhBdnLr9RlKhxj
\r
704 3XvgNqG8EQsZALdysHb94YwC
\r
706 -----END PGP PUBLIC KEY BLOCK-----
\r
707 ÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷
\r