X-Git-Url: https://git.librecmc.org/?p=oweals%2Fthc-archive.git;a=blobdiff_plain;f=Papers%2Fpbx.txt;fp=Papers%2Fpbx.txt;h=c3d95a745f9808997b79cfbcc119dcbe5d893acd;hp=0000000000000000000000000000000000000000;hb=dfbf6f563fd603e051f44a00e375b592a002b736;hpb=1bf41562f218d9a607f88640fb33bf0775424756 diff --git a/Papers/pbx.txt b/Papers/pbx.txt new file mode 100644 index 0000000..c3d95a7 --- /dev/null +++ b/Papers/pbx.txt @@ -0,0 +1,708 @@ +÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷ +÷ ÷ +÷ PBX HACKING IN DEUTSCHLAND ÷ +÷ von gorfus / cpi\thc fr thc-mag vol. #4 ÷ +÷ ÷ +÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷ + ++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +sorry, this text is only in german! there exist really a lot english texts +about this theme so check one of these! if you need informations provided in +this text, so try to find someone who is able to translate.. may not be that +easy regarding to my german textstyle... well... good luck! ++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ + ++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +Dieser Text dient nur zur Aufkl„rung und Information. Er soll Sicherheitslcken +offenlegen und Firmen vor derlei Betrug beschtzen. Beschriebene Handlungen +sind illegal und sollten auf keinen Fall nachgeahmt werden. Der Autor bernimmt +deshalb keine Haftung fr Sch„den die durch diese Informationen entstehen. Wer +sich trotzdem nicht zusammenreiáen kann, muá auch die Konzequensen akzeptieren +k”nnen. Wenn ihr also Probleme bekommt ist das ganz allein eure Schuld!! ++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ + +Hallo! + Willkommen zu PBX-Hacking in Deutschland. Dieser Text vermittelt + Grundlagen und Praktiken zum Scannen und Benutzen von PBX-Systemen. + Viele Dinge sind dem einen oder anderen vielleicht schon bekannt, es + soll aber immernoch Leute geben, die nicht einmal die Grundlagen kennen. + Der Text richtet sich an solche nicht so mit PBX'en erfahrene Leute. Aber + auch schon erfahrene Leute k”nnen unter Umst„nden etwas neues erfahren. + Alles in allem ist dieser Text fr alle die sich irgentwie fr dieses Thema + interessieren. + +Inhalt: - Warum? + - Begriffe und was sie bedeuten. + - Wie funktioniert das ganze? + - Verschiedene Systeme/Service Promts. + - Tools&Texte, die viel Arbeit erleichtern. + - Nachspann + + +-------- + Warum? +-------- + + Die wichtigste Frage ist wie immer dieselbe: Warum sich soviel Arbeit + machen? Warum das Risiko eingehen? Nun, zum einen kann man seinen + Wissensdurst befriedigen und ohne Risiko w„r das Leben schlieálich nur halb + so sch”n. Zum anderen beglckt uns die Telekom monatlich mit ihrer viel zu + teuren Rechnung. Diese gilt es zu drcken, da man durch gezieltes Sparen + sehr, sehr reich werden kann. Und wer will schlieálich nicht reich werden?? + Nun, um auf den Punkt zu kommen: Man kann durch PBX-Systeme in den Genuá + kommen, kostenlos Serviceleistungen in Anspruch zu nehmen, da die Systeme + als 0130-nummer gratis erreicht werden k”nnen. Zu diesen Dienstleistungen + geh”rt natrlich auch die M”glichkeit des kostenlosen Telefonierens. + + +-------------------------------- + Begriffe und was sie bedeuten. +-------------------------------- + + - PBX - + = "Private Branch eXchange" + Das ist der haupts„chliche Name fr eine ganze Reihe von verschiedenen + Systemen. Diese Gleichsetzung ist haupts„chlich die Folge daraus, das + man alle auf mehr oder weniger „hnlichen Wegen zum kostenlosen Telefon- + iren (ab)nutzen kann. Diese sind im eigentlichen Sinne Firmenupdials. + Man kann dann die jeweilige Nummer w„hlen, um den W„hlton der Firma + (bzw. des firmeneigenen Telefonsystems (die PBX)) zu erreichen. Von da + aus kann man dann interne Nummern w„hlen oder eine herausfhrende + Leitung erhalten. Um dies zu erreichen muá man eine bestimmte Ziffer + vorher w„hlen. Am h„ufigsten ist dies '9', aber '0', '1', '#' und '*' + werden auch manchmal benutzt. + + - PABX - + = "Private Automated Branch eXchange" + Dies ist genau dasselbe wie eine PBX nur mit dem Zusatz 'automatisch'. + Damit ist aber gemeint, daá es bei pbx'en keine (bzw. selten) Operator + gibt. Es bernimmt also ein Computer die Verwaltung. Mit anderen Worten + ist also PBX eine wesentlich gebr„uchlichere Abkrzung von PABX. + Deshalb wird von den Herstellerfirmen mittlerweile die Bezeichnug + P(A)BX verwendet. + + - CBX - + = "Computerized Branch eXchange" + Dies ist, wie der Name schon sagt, ein PBX-System welches durch einen + Computer kontrolliert wird. Man kann darin ganze Netzwerke von LAN's + viele interne Telefone, Voicemail und viele weitere interessante Dinge + einbinden. Diese haben auch Funktionen um bei Problemen, Hackversuchen + und anderen Unregelm„áigkeinten sofort eine Benachrichtigung zu + verschicken. Auáerdem k”nnen Telefonate bzw. alle Leitungen bei einigen + in Echtzeit verfolgt (monitored) werden. Viele PBX Systeme basieren auf + diesem Prinzip und deshalb wird PBX Hacking auch immer gef„hrlicher. + Eine andere interessante Funktion sind Remote Carriers zum System + einstellen, falls dies einmal n”tig sein sollte. Einmal in ein solches + System eingedrungen kann man dort wirklich alles „ndern z.B. accounts, + logfiles etc. Sehr bekannte (und verbreitete) Systeme sind zum Beispiel + die Definity Serien von LUCENT/AT&T (mit System 75 & 85) und die ROLM + CBX von Siemens Rolm Communications Inc. Weitere Informationen zu + diesen Systemen findet Ihr im entsprechenden Kapitel weiter am Ende + dieses Textes. + + - EXT - + = "EXTender" + Ein Extender wird meist mit einer PBX gleichgesetzt, da sie sehr + „hnlich in Funktion, Arbeitsweise und Aufbau sind. Diese sind entweder + wie PBX'en direkte Firmendialups, sondern werden manchmal auch von + gr”áeren Firmen(z.B. Telekommunikationsfirmen) zum Netzausbau, + Mitarbeiteruntersttzung und zum fhren billigerer Ferngespr„che + benutzt. Der gravierensde Unterschied ist, das Extender in den USA + immer auf echten kostenlosen Nummern liegen, was aber nicht weiter + interessant ist, da fr die meisten Einwohner der USA Ortsgespr„che + sowieso kostenlos sind, und PBX'en deutscher Firmen (JA, auf + KOSTENPFLICHTIGEN Nummern) fr uns zu teuer (und direkt angerufen auch + zu gef„hrlich) sind. Einen Umweg bieten Outdials (oder sonstwas wie z.B. + Callingcards) im Ausland, da der Vorteil bei deutschen Outdials darin + liegt, 0190 Nummern anrufen zu k”nnen. (Was man damit anf„ngt sollte + jeder fr sich entscheiden k”nnen...) + + Fazit: PBX, PABX & CBX sind dasselbe, der Unterschied zu Extender ist + erstens nicht sehr groá und zweitens fr uns in Deutschland uninteressant. + + +----------------------------- + Wie funktioniert das Ganze? +----------------------------- + + Nun, diese Systeme wurden alle installiert damit die Angestellten nicht fr + Gesch„ftstelefonate bezahlen mssen, da dies nicht fair w„re und Herr XYZ + ja nicht auch noch gesch„digt werden sollte, wenn er zu Hause arbeiten muá + w„hrend sein Boss mit der Sekret„rin rummacht. Wenn jener Arbeitnehmer dann + von zu Hause z.B. ein Transportunternehmen beautragen muá, benutzt er fr + den Anruf die PBX seiner Firma. Er w„hlt dazu die Nummer des Dialups + (0130-894614) gibt seinen pers”hnlichen Code ein (62542626789) und ruft + dann UPS (oder was auch immer) an. + + Was man als nur machen muá ist die Nummer des Dialups zu finden und einen + Code zu scannen. Dies gestaltet sich aber, wie alles im Leben, nicht ganz + so einfach wie es sich anh”rt... + + 1. Problem: Wie bekomme ich die Dialup-Nummer? + Dies ist der einfachste Teil.. Man scannt einfach einen bestimmten + 0130-Bereich (z.b. 0130-822-XXX) mit einem Telefon oder einem Scanner + (THC-Scan oder Toneloc). Falls einigen nicht ganz klar ist, wie sie + dies anstellen sollen muá man sagen, daá man dabei vorm Computer + sitzt und sich alles anh”rt.. Dabei h”rt man (hoffentlich) Nummern die + einen neuen W„hlton von sich geben. Dies sind meist die besten PBX + Nummern. Aber auch automatische Prompts die eine Ansage wie z. B. + "Please enter your Personnel Id Number (PIN)" k”nnen Outdials besitzen. + Meistens sind dies aber nur Service-Provider. Man kann allerdings auch + so wichtige Dinge wie B”rsenkurse, Wetteransage oder ganz toll: neue + VMB's oder Kartenpromts dabei entdecken. + Nach jenen mit einem neuen DialTone kann man auch automatisch scannen. + Dazu stellt man seinen Scanner so ein, daá ein dialstring wie dieser + herauskommt: ATDT0130-XXXXXXW; + Damit w„hlt das Modem dann die Nummer und wartet auf den W„hlton. Wenn + dieser NICHT gefunden wird reagiert es allergisch und h„ngt mit einem + wtenden 'NO DIALTONE' auf. Falls es aber einen W„hlton findet geht er + im String weiter und kehrt durch das Semikolon wieder in den Kommando- + modus zurck. Dies wird durch ein 'OK' vom Modem kommentiert und man + hat seinen Success-String. + Einstellen kann man dies bei THC-Scan und Toneloc in der Option + 'Scan For' indem man es auf Tones bzw. PBX setzt. Genaueste Angaben + k”nnt ihr aus den jeweiligen Programmdokumentationen entnehmen. Es gibt + zudem auch (wenige) PBX-Systeme die sich nur mit Stille melden.. Diese + kann man nach dem selben Prinzip, nur mit ATDT0130-XXXXXX@;, scannen. + + 2. Problem: Wunderbar, ich hab ne Nummer... Was nun? + Zuerst sollte man herausfinden in welchem Land sich die PBX befindet. + Meist reicht die Kenntnis der ungef„hren Region aus. 'Wozu muá ich das + wissen?' werden sich sicherlich einige Fragen... Nun, zum einen sollte + man sicher sicher gehen, daá sich das Zielsystem nicht in Deutschland + befindet, denn diese haben in 99% aller F„lle eine Fangschaltung + zum Schutz installiert. Wenn die dann merken was vor sich geht, rufen + sie die Bullen und dann kommen bei euch die netten Jungs von LKA zum + Kaffeetrinken vorbei. Von den Sicherheitsproblemen mal abgesehen ist + die Kenntnis des Landes/Region zum weiteren Analysieren von Bedeutung. + Um n„mlich herauszufinden wie der Aufbau der PBX ist, ben”tigt man die + L„nge der m”glichen anrufbaren Nummern und deren Prefix. + Erkennen kann man das Land am Klingelzeichen, am Vorhanden/Nicht- + vorhandensein von C5-Beepz, am Knacken der Schmitt-Trigger beim + Verbindungsaufbau. Vergleicht einfach den Dialup mit Nummern von denen + ihr wisst wo sie sind. z.B. mit Nummern von PhoneCompanies: + 0130-0222 (Telekom) + 0130-0010 (AT&T - USA) + 0130-0012 (MCI - USA) + 0130-0013 (SPRINT - USA) + 0130-800XXX (HCD des Landes des CountrieCodes statt XXX) + + Nehmen wir nun an ihr habt ein System in den USA und wollt den Aufbau + wissen. Ihr probiert einfach verschiedene Eingabem”glichkeiten aus. + Als erstes versucht man nach wievielen T”nen die PBX reagiert. Dazu + w„hlt man einfach irgentetwas (mit verschiedenen Nummern am Anfang) + und h”rt ob es eine Reaktion gibt. Meistens gibt es bei falschen + Eingaben eine Art Alarmton, der etwas an Polizei/Krankenwagen Sirenen + errinnert. Wenn also solch ein Signal immer nach 3 eingegebenen Ziffern + ert”nt, will die PBX zuerst einen 3 stelligen Code. Anderenfalls, wenn + nach 10 Ziffern (oder '1' + 10 Ziffern) ein neuer Ton ert”nt und immer + nach 3 weiteren Ziffern der beschriebene Alarmton erklingt, will die + PBX zuerst die Nummer, dann den Code. Die meisten allerding wollen + zuerst den Code, und erst nach Eingabe des Codes einen neuen W„hlton + von sich geben.. Oder, Code+Nummer (oder andersrum) und erst + nach beidem den Alarmton oder eine Ansage von sich geben.. + Deshalb hier ein paar Beispiele: + + 1. Beispiel: + 0130-XXXXXX + W„hlton [TUUUT] + XXXX (falscher Code) + Alarmton + Diese will also (angenommen) CODE + Nummer... + Ein Scanerfolg s„he dann also so aus: + 0130-XXXXXX + W„hlton [TUUUT] + YYYY (richtiger Code) + W„hlton [TUUUT] + An diesem Punkt kann man jetzt entweder direkt w„hlen (mit oder ohne + die '1' (falls die PBX in den USA ist)) oder erst eine '9' bzw. eine + andere Taste (wie schon gesagt, wenn '9' nicht geht, mal mit '0','1', + '#' oder '*' probieren) drcken. Dann kommt entweder ein neuer W„hlton + (Was noch einer? ;) oder man kann direkt weiter w„hlen.. Dies alles + fordert halt ein wenig Ausprobieren.. (Puhh, was frne Arbeit! ;) + + 2. Beispiel: + 0130-XXXXXX + W„hlton [TUUUT] + 1XXXXXXXXXX + W„hlton [TUUUT] + XXXX + Alarmton + Wie Ihr euch bestimmt schon denken k”nnt, verlangt diese PBX + Nummer + CODE.. + Bei diesen sollte man m”glichst immer eine andere Zielnummer eingeben, + da sonst euer Scannen sehr sehr schnell bemerkt werden kann... + Falls nach 10 bzw. 11 Stellen der Alarmton kommt, ihr aber denkt das + es trotzdem ZUERST die Nummer will, solltet ihr versuchen bestimmte + Vorwahlen (Areacodes) zu testen. Am besten eigenen sich dazu (1)-800 + und (1)-888, weil dies die Vorwahlen kostenfreier Nummern sind. Ebenso + kann die Nummer nur 7 stellig sein, falls die PBX nur lokale Nummern + untersttzt (diese Nummern kosten die Firma n„mlich nichts (mal + abgesehen von den Gebhren an die Telekom) und das reicht ja auch aus, + daá Herr Mitchel mal eben seine Frau anrufen kann (so zur Kontrolle ;). + + 3. Beispiel: + 0130-XXXXXX + W„hlton [TUUUT] + XXXXXXXXXXXXXXX + Ansage: 'Sorry! Invalid destination Number or bad passcode!' + Diese hier will anscheinend Nummer und CODE in einer bestimmten + Reihenfolge ohne Unterbrechung haben. Was nun? Versucht halt dies: + 0130-XXXXXX + W„hlton [TUUUT] + 18123391811XXXX + Ansage: 'Sorry! You're not allowed to dial this number!' + Aha, also fr Gespr„che innerhalb der USA zuerst die Nummer (mit der + '1' am Anfang), danach den CODE. Bei solchen kann man auch mal + versuchen international zu w„hlen: + 0130-XXXXXX + W„hlton [TUUUT] + 01149894620013311XXXX + Falls dann wieder eine solche Ansage kommt, kann sie auch internat. + w„hlen (cool, nicht wahr?), falls nicht, kommt entweder irgentwelche + Fehlermeldungen oder Ihr k”nnt erst garnicht mehr als 15 Stellen + w„hlen. + + Falls einige (wegen Mama und Papa) noch nie im Ausland angerufen haben + und sich mit internationalen Vorwahlen nicht so auskennen kommen hier + einige CountryCodes zur Anwahl des gewnschten Landes und/oder zum + šberprfen mit den HCD's oder zu was auch immer... + + CountryCode Land + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + +49 - Deutschland + +1 - USA + +31 - Niederlande + +27 - Sdafrika + +45 - D„nemark + +46 - Schweden + + Und zur Erg„nzung noch einige Vorwahlziffern fr Inlands- bzw. + Auslandsanrufe. + + Vorwahl (national/international) Land + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + 0/00 - Deutschland + 1/011 - USA / Canada + 0/009 - Schweden + + Das W„hlen von internationalen Nummern gestaltet sich dann also + wie folgt: + Man w„hlt die internationale Vorwahl, dann den CountryCode und dann + die Nummer ohne nationale Vorwahlziffer ... + + Um also von Schweden aus Mrs. Dorothy Mitchel anzurufen um ihr zu + erkl„ren, was ihr geliebter Burt auf der Arbeit so treibt w„hlt man + ganz einfach: + 009-1-206-363-7818 + int.Vorwahl in Schweden^^^ | ||| ^^^~^^^^Nummer der netten Mrs. Mitchel + CountryCode der USA^ ^^^AreaCode von Seattle, Washington + (dort wohnt sie, die Žrmste) + + 3. Problem: Gut ich kenne den Aufbau. + Wie kann ich das jetzt am Besten scannen? + Nun, das Scannen ist weniger schwer. Es ist nur wichtig wie man sie + scannt. Am sichersten ist es immernoch per Hand mit einem handels- + blichen Telefon zu scannen. Auf Dauer ist dies jedoch sehr anstrengend + und ermdent. Deshalb steigt man nach dem Herausfinden des Codes besser + auf einen automatischen Scanner zurck. Dieser sollte einige wichtige + Features besitzen. + Diese sind: - dial delayer + - dictionary support + - m”glichst viel Zuf„lligkeit + Aus diesen Grnden machen sich Scripts (z.B. mit TeleMate), die zum + VMB Scannen brauchbar sein k”nnen, zum PBX Scannen sehr schlecht, + da ben”tigte Features nur schwer erreicht werden k”nnen. Einige Gute + Programme findet ihr im entspechenden Kapitel dieses Documents. + Wichtig sind diese Funktionen aus dem Grund, das viele PBX'en + Systeme zur Erkennung von Hackern benutzen. Diese Anti-Fraud-Devices + suchen meist gleichm„áigen Pattern um Scannen zu erkennen. + Die Such-Pattern triggern meist: + a) - zu viele Calls in einer bestimmten Zeitspanne + b) - gleiche Abst„nde zwischen Calls mit falschem Code + c) - gleiche Zielrufnummer mit falschem Code + d) - zu schnelles Tippen bzw. exakt gleiche Zeitspannen zw. den + Tasten und gleiche L„nge der TouchTonez + e) - zu viele falsche Versuche + f) - Such-Pattern bei Codez gefunden (meist gleiche Abst„nde + zwischen den falschen Codez oder andere Žhnlichkeiten) + Viele dieser Pattern kann man berlisten: + zu: a) - mehrere PBX'en scannen / m”glichst zuf„llige Reihenfolge + b) - zuf„llige Wartezeit zwischen den Calls + c) - eine Textdatei mit GUTEN Zielrufnummern benutzen + -> in m”glichst zuf„lliger Reihenfolge + d) - dial delayer benutzen -> zuf„llige L„nge der TouchTonez + und zuf„llige Zeitspanne zwischen den einzelnen Tasten + e) - wenn man mehrere PBX'en scannt (a) dann bekommen die auch + nicht besonders viele Versuche in einer best. Zeitspanne + f) - nach M”glichkeit immer vermeiden sequentiell zu scannen, + dictionary in zuf„lliger Reihenfolge abscannen + So, nun h„tten wir die technische Seite des Scannens betrachtet. Diese + ganzen Tricks kann man mit den richtigen Programmen mehr oder weniger + gut erreichen. Kommen wir nun zur psychischen Seite der ganzen Ange- + legenheit. Da die Angestellten der Firma und die Operatoren des Systems + unf„hig sind sich einen zuf„lligen Code zu merken w„hlen sie meistens + einen sehr primitiven Code aus. + Zum Beispiel: 1234 / 2378 / 1111 / 9876 / 0101 / 7272 ... + Deshalb ist es sehr ratsam mit einem Dictionary, das m”glichst viele + Lamer Codez enth„lt, zu scannen. Wenn dann ungef„hr 100-300 solcher + Codez nichts bringen, kann man dann auf zuf„lliges Scannen zurck- + greifen. Dabei sollte man die schon (durchs dictionary) gew„hlten + Nummern als bereits gew„hlt kennzeichnen um sich das erneute W„hlen + dieser zu ersparen (bei 40 Sekunden/Anruf, machen 250 Anrufe 10000 + Sekunden, also ca. 2,8 Stunden.. bei Benutzung von bestimmten Sicher- + heitsvorkehrungen (z. B. dial-delayer) verbraucht man pro Anruf noch + mehr Zeit..). + + 4. Problem: Wie erkenne ich das mein Scannen erfolgreich war? + Nun, wenn man Glck hat legt das System nach der Ansage + (z.B. "Sorry! You're PIN is invalid") auf. Dann braucht man nur darauf + zu warten, daá das Modem ein NO CARRIER zurckliefert, mit anderen + Worten kein Besetztzeichen erkennt. Diesesbekommt man n„mlich meist + (bei einer digitalen VST) ca. 10 sek. nachdem die PBX aufgelegt hat. + Bei anderen kann es auch sein das man keine Ansage sondern eine Art + Alarmton erh„lt. Falls dieser von eurem Modem als BUSY erkannt wird + kann das selbe Vorgehen zum Ziel fhren. Falls nicht kann dieses + Alarmsignal meist als neuer W„hlton erkannt werden. + Beispiele: + 1) BUSY / NO CARRIER - Methode + falscher Code: + ATDT01300999,,543 + BUSY ; nach z.B. 19 sek. + richtiger Code: + ATDT01300999,,123 + NO CARRIER ; nach 30 sek. + 2) DIALTONE - Methode + falscher Code: + ATDT01300889,,635W; + OK ; nach ca. 20 sek + richtiger Code: + ATDT01300889,,321W; + NO DIALTONE ; nach ca. 20 sek. + ... hier kann es aber auch andersherum sein, dass der + richtige Code ein OK zurueckgibt. + + Fazit: Immer erst austesten wie eine PBX reagiert und wie das euer + Modem auffasst. Danach ueberlegen wie man das am + geschicktesten in Angriff nimmt ;-) + + Falls keine genaue Erkennung dieser Zust„nde m”glich ist (wenn bei + falschem Code verschiedene Ansagen kommen und man mal BUSY und mal + NO CARRIER erh„lt) und eine Zielrufnummer verlangt wird (z.B. vor + dem Code [sind meist die Besten]) dann kann man dies ausnutzen. Man + w„hlt einfach eine Zielrufnummer aus, die einen bestimmten String + zurckliefert. Dazu eignen sich am besten Carriers und (wenn das Modem + sie erkennen kann) Faxe. Meist sind Carrier aber vorzuziehen da Faxe + meist nur eine Leitung haben und deshalb sehr leicht besetzt sein + k”nnen. Man kann dann auf eine Liste (am besten Inlandnummern des + Landes in dem sich die PBX befindet) mit Multiline-Systemen + zurckgreifen. Das sind z.B. Internet Provider (AOL, CompuServe, MSN, + MetroNet, Nacamar, kleinere Mailboxen mit Internetzugang), Universit„ts + bzw. andere Server (z.B.Tymnet) oder normale Mailboxen mit mehreren + Linez auf derselben Nummer (Ringdown). Man sollte beim Scannen eine + Liste dieser benutzen und den Scanner zuf„llig eine daraus ausw„hlen + lassen. Dazu das Beispiel: + 3) CONNECT / FAX - Methode + falscher Code: + ATDT0130817777,,15186147712,,672 + NO CARRIER + richtiger Code: + ATDT0130817777,,17081825919,,999 + CONNECT 56700/V42BIS/X2 + - oder - + ATDT0130817777,,15237567435,,999 + FAX + NO CARRIER + + Da es (wie schon beschrieben) viele PBX'en gibt, die nach dem Code + einen Alarmton -ODER- (bei Erfolg) einen neuen W„hlton bringen, erz„hl + ich jetzt wie man sowas scannt: Das Problem bei dieser Sache ist im + Prinzip, das Modems meist den Alarmton als W„hlton erkennen.. Dies kann + man aber ziemlich einfach austricksen und zwar so: + 4) WŽHLTONE / ALARMTONE - Methode: + falscher Code: + ATDT0130822222,,1234W1W; + OK + richtiger Code: + ATDT0130822222,,4321W1W; + NO DIALTONE + Falls jemand das nicht verstanden haben sollte, hier die Erkl„rung: + In beiden F„llen (W„hlton oder Alarmton) wird beim ersten 'W' ein + W„hlton erkannt und danach eine '1' gew„hlt. Falls nun (immernoch) + der Alarmton zu h”ren ist, erkennt das Modem WIEDER einen W„hlton + und geht durch das Semikolon (';') mit einem fr”hlichen 'OK' zurck + zur Kommandoebene. Falls aber der 'echte' W„hlton kam wird wieder + eine '1' gew„hlt und der W„hlton verstummt bekanntlich nach der ersten + gew„hlten Ziffer. Dannach kann das Modem keinen W„hlton mehr erkennen + (dieser ist ja verstummt!) und das Modem bricht mit 'NO DIALTONE' ab. + + Dies sollte das Prinzip und die Funktionsweise ausreichend erkl„ren... + Ein Wort noch an all Diejenigen, die meinen das sie ihren PC auch noch + zu anderen Dingen ben”tigen als zum Scannen: In Zeiten von rechenstarken + Prozessoren und billiger Hardware stellt es doch wohl kein Problem dar, + den Scanner unter einem MultiTasker (DESQview(/X), Linux, OS/2, WinNT/95) + laufen zu lassen, oder? + + +------------------------------------- + Verschiedene Systeme/Service Promts +------------------------------------- + + In diesem Teil sind erstens ein paar weit verbreitete PBX Systeme + beschrieben und als kleiner Bonus noch ein paar Worte zu VoiceCom und + h„ufig auftretenden Promts. + +*=> Siemens Rolm CBX + Die ROLM CBX wird bekanntlich von Siemens Rolm Communications Inc. + vertrieben. Sie ist sehr flexibel und man kann sehr viele Dinge integrieren. + Sie untersttzt bis zu 20000 angeschlossene Telefone, man kann damit auch + interne LAN Netzwerke aufbauen und VoiceMail einbinden. Als VoiceMail System + wird ebenfalls von Siemens Rolm das PhoneMail System angeboten. Dieses hat + in den USA durch ANI (automated number identification) auch die M”glichkeit + in den Nachrichtenheader die Telefonnummer des Anrufers einzufgen. šber- + haupt wird bei Siemens Rolm stark auf Sicherheit gesetzt da das System in + der Lage ist automatisch ein Service Center zu informieren falls es Fehl- + funktionen gibt. Dazu geh”ren so gut wie alle Unregelm„áigkeiten, also wird + das Scannen (auch wenn *NIEMAND* da ist) sehr schnell bemerkt. Es gibt fr + die ROLM CBX auch eine monitoring station mit 12 video lines wodurch man das + gesamte System berwachen kann. Das System bietet zudem noch + "Call Transfering", also auch nach auáen zu Telefonieren. Ein anderes, sehr + interessantes Feature ist auch "Remote Diagnostics", wodurch man das gesamte + System von auáen berprfen und ver„ndern kann (das ist ein Carrier). + Weitere Features sind noch: ISDN Untersttzung, komplett digitale + Kommunikation (digitale Telefone) und T1 Connects ber Sateliten. + Siemens Rolm Communications Inc. arbeitet zudem noch mit IBM, DEC, Intel, + Microsoft, Tandem und PictureTel zusammen und bietet Kunden viel Support. + Weitere Information auf der SRCI Homepage: http://siemensrolm.com + und falls ihr mal an so einem PhoneMail System rumspielen wollt: 0130-810276 + +*=> LUCENT/AT&T Definity Series + LUCENT/AT&T bietet mit dieser Serie komplexe Kommunikationshardware an, + wie zum Beispiel CBX/PBX Systeme, Telefone, VoiceMail und anderes. Das + CBX/PBX System basiert auf dem System 75 bzw. System 85 und als VoiceMail + Addons wird einerseits DEFINITY-AUDiX angeboten, welches auch als(nur) AUDiX + in andere PBX Systeme integriert werden kann. Zum anderen wird auch noch das + INTUITY AUDiX System angeboten, welches aber keine besonders interessanten + Features aufweiát. Alles in allem kann auch das System 75 (bzw. die weiteren + neu entwickelten Versionen) einen Carrier besitzen um das System von auáen + zu verwalten. Weitere Features (mit AUDiX) sind automatische Hilfe, + Heraustelefonieren (z. B. auch zur Benachrichtigung bei eingegangenen + Nachrichten), den INTUITY MESSAGE-MANAGER (eine art LAN) und verschiedene + andere Funktionen. Dies f„llt aber mehr in den Bereich des VMB Hackings.. + +*=> LUCENT/AT&T SDN + Dieses System dient weitestgehend nur zum Anrufen bestimmter Nummern. + Man kann es relativ leicht an charakteristischen Ansagen erkennen. + Diese sind: "Please enter the Number you're calling." + "The Code you've entered is not valid." + Der Prompt wo der Code eingeben werden soll, besteht aus einem kurzen, sich + wiederholenden Pieptones. Auáderdem existiert dieses Systen in beiden + Varianten, also einmal Nummer+CODE und einmal CODE+Nummer. Durch die Ansagen + kann man das Format allerdings sehr einfach herausfinden. + + + --------------------------------- + --- BONUS --- + --------------------------------- + + Hier nun noch zus„tzlich ein paar Worte zu einem speziellen Tonprompt, den + man beim Scannen recht h„ufig findet. Man erh„lt bei der Anwahl (eine + Beispielnummer w„re: 0130-825552, mit den Codes 0101, 0202, 0303, bei den + Codes geht nach einer Weile ein Carrier ran..) einen Ton und nach Eingabe + eines falschen Codes (meist 4 oder 6 stellig) erh„lt man die Ansage: + "The autorisation code or ID code you have dialed is invalid..." + Nach dieser Ansage gibt dieses System noch den Areacode aus dem man anruft + von sich, welcher von Deutschland aus meist '2BM' ist. + Ein Bekannter hat einmal eine 4 stellige dieser Bauart durchgescannt und nur + nutzloses Zeug & irgentwelche Servicesachen gefunden. Falls ihr dennoch so + etwas scannen wollt, empfehle ich ein dictionary zu verwenden, da hier meist + (wie ihr sehen k”nnt) sehr einfache Codes verwendet werden. + Falls jemand genauere Informationen hierzu haben sollte, so w„re ich diesen + nicht abgeneigt (meine e-Mail steht am Ende dieses Textes). + + --------------------------------- + + "enter your cardnumber (and pin)" oder „hnliches: + Cardprompts sind immer wieder sch”n, da man hier, wenn man Glck hat, + einfach den Operator tot nerven kann, um alles ber diese Cards zu erfahren. + Dann kann man sich da unter Umst„nden solche CallingCards "kaufen" (getreu + Danny DeVito mit 'dem Geld anderer Leute' ;) und bis zum jngsten Gericht + (ok, ok, das ist ein wenig bertrieben) mit seiner Oma telefonieren... + + --------------------------------- + + +------------------------------------------- + Tools&Texte, die viel Arbeit erleichtern. +------------------------------------------- + + Hier folgt eine Liste brauchbarer Tools und derer Beschreibungen... + Ich gehe hier ausschlieálich auf PC Scanner (unter DOS) ein.. + Wenn Ihr also einen Dialer fr euren Amiga oder C64 braucht, wendet euch + einfach an einen eurer Freunde oder schaut mal im n„chsten h/p Board rein! + +*=> T-diAL v2.o1 - von mir selbst (hehe ;) + + T-diAL ist ein relativ neues Programm mit dem es m”glich ist so gut wie + alle Prompts, die sich ber TouchTones bedienen lassen, zu scannen. Dies + wird durch ein komplett freies Setup m”glich. Allerdings kommen durch die + groáe Einstellfreiheit fr HardCore PBX-Scanner einige Features etwas kurz.. + Ich werde aber versuchen diese in Zukunft zu verbessern. + + Vorteile: - frei konfigurierbar + - dial-delayer + - einigermaáen gutes alarm!system + - scanning durch andere (touchtone) outdials + - theoretisch unbegrenzte (nicht berprfte) Stellen + (4 werden berprft) + - dictionary Untersttzung + + Nachteile: - keine zuf„lligen Zielrufnummern (aus ner Textdatei) + - ein paar bugz.. aber keine gravierenden. + (es funktioniert jetzt auch mit Modems von USRobotics) + +*=> PBX-HACK - by van Hauser / THC + + PBX-Hack ist, wie der Name schon sagt und im Gegensatz zu T-diAL, + nur fr PBX-Systeme geschrieben.. Alle enthaltenen Features sind komplett + zuf„llig, was durchaus brauchbar ist. Einziges Problem dabei ist, mehrere + PBX'en zu finden die V™LLIG gleich sind, um die zuf„llige Anwahl der Systeme + zu nutzen. Die Multi-Version ist ja (leider) nicht der ™ffentlichkeit + zug„nglich. Der verbreiteten Version liegt auáerdem eine Kopie von einen + englische Text ber PBX und Extender Hacking bei. Dieser ist einer der + wenigen wirklich guten PBX-Texte. Es handelt sich dabei zwar gr”átenteils + um die Praxis in den USA, was aber nicht so wichtig ist da man sowieso + meist Systeme in den USA scannt und darber Bescheid wissen sollte. + + Vorteile: - alles zuf„llig (z.B. dial-delayer) + - mehrere Systeme gleichzeitig (bzw. abwechselnd) scan-bar + - 6(!) berprfte Stellen (zuf„llig) + - scanning durch andere outdials m”glich + - Bonus: PBX & Extender Hacking Guide by Madrox/SIC + + Nachteile: - Zielrufnummern etwas umstaendlich zu handhaben + - keine dictionary Untersttzung + +*=> THC-Scan - auch by van Hauser / THC + + Kommen wir nun zum allseits bekannten THC-Scan. Es l„át sich ziemlich + kurz beschreiben: _DER_ Tollfree (0130/00800) Scanner. + Aber Tollfree Scanning ist nicht Inhalt dieses Dokuments obwohl diese Art + Aktivit„t stark von N”ten ist um an die DialUp-Nummern zu kommen.... + Jetzt aber (endlich, lechz...) zum eigentlichen Punkt. Man kann mit diesem + Tool auch PBX Systeme scannen. Dazu bergibt man einfach das Scanpattern + als DialMask und schaut nach dem Scannen ganz einfach in die entsprechenden + Logfiles. Man kann auch im Config den SuccessBeepString so ver„ndern das + man akustisch informiert wird. Manche werden auch wollen das nach dem ersten + Erfolg automatisch aufgeh”rt wird weiter zu scannen. Dazu legt man einen + execute-Befehl auf die entsprechende Response, der eine Batch(oder irgentwas + anderes) ausfhrt die mit (in diesem Fall) einem 'pause'-Befehl auf einen + Tastendruck wartet. Man kann auf diese Weise PBX'en bis 4 Stellen (bei den + Codez) zuf„llig und sonst mehrere Stellen nur ber Textfile (dictionary) + Scanning erledigen. Was nicht (oder nur schwer) m”glich ist, ist PBX'en zu + scannen die eine Zielrufnummern _VOR_ dem Code wollen, da der Scanstring + dafr einfach zu kurz ist. + + Vorteile: - gut konfigurierbar + - dictionary support + + Nachteile: - max. 4 Stellen zuf„llig + - zu kurzer Dialstring bzw. muss ueber Dialmask benutzt werden + +*=> Smart PBX Scanner - by plasmoid / deep/thc + + Dieser Scanner basiert v”llig auf dictionary scanning und besonders billigen + Codez. Leider ist er noch nicht fertig und nur steht nur als kleine, + unvollendete beta-version zur Verfhgung. In der fertigen Version werden + dann auch spezielle mathematische Features zur Generation einfacher Codez + bereit stehen. + + Vorteile: - gut konfigurierbar + - dictionary support mit Platzhaltern! + - dial delayer + + Nachteile: - keine zufaelligen Nummern + +---[beta note]--- + Weitere Informationen stehen zu diesem Zeitpunkt leider nicht zur Verfgung + und deshalb ist an dieser Stelle nur bisher in der beta implementiertes + zu finden. +---[beta note]--- + +*=> The Hacker's Compagnion - by substance & / 9x + + The Hacker's Compagnion ist kein PBX Hacker im eigentlichen Sinn, sondern + ein fr Hacker geschriebener Kommunikationsscriptinterpreter. Damit kann + man im Prinzip fr jede verschiedene PBX ein Script schreiben. Auch lassen + sich viele Dinge, wie ein dial-delayer, random Zielrufnummern und + dictionary code scanning sehr leicht realisieren. Einziges Problem daran + ist das der Interpreter unter bestimmten Vorrausetzungen ziemlich unstabil + sein kann, was aber bei PBX'en keine groáe Rolle spielt sondern eher mehr + bei Carrier Hacking ins Gewicht fallen kann. Hoffen wir mal das dieses Tool + in den n„chsten Versionen richtig stabil und damit sehr ntzlich wird. + + Vorteile: - sehr leistungf„hige Scriptsprache um viele Features + selbst programmieren zu k”nnen + + Nachteile: - keine šberprfung der Zufallszahlen + (l„sst sich aber durch eine eigene neue Zufallsroutine + berbrcken..) + - relativ unstabil unter verschiedenen Vorraussetzungen + (je nach OS, Modem, ...) + +------------------------------------------------------------------------------- + + Mit guten Texten sieht es dabei etwas mager aus.. Es gibt zwar sehr viele + englische Texte ber dieses Thema aber nur wenige mit wirklich guten und + brauchbaren Informationen.. Zu den Guten geh”rt der PBX/EXTENDER Hacking + Text von Madrox/SIC der van Hauser's PBX-Hacker beiliegt. Dann gibt es + noch die Texte ber ROLM PhoneMail und andere von 9x. Diese basieren aber + mehr auf VMB's und haben weniger mit PBX-Systemen zu tun. Die Documentation + von plasmoid's SPS wird wahrscheinlich auch recht ausfhrlich. Ansonsten + kann man dann (nur?) noch auf Internet Suchmaschienen (z.B.Yahoo!, Lycos, + AltaVista... und was es da noch so gibt) zurckgreifen und sich auf die + Suche nach den gewnschten Informationen machen. Wenn man allerdings ein + paar Erfahrungen gesammelt hat und lange genug am Zielsystem "herumspielt" + braucht man eh keine dummen Texte mehr, sondern meist nur die Programme, + die unserer grenzenlosen Faulheit zu Leibe rcken. ;) + + +----------- + Nachspann +----------- + + So das wars. Ich hoffe euch hat dieser Text etwas neues gelehrt und das + Lesen war einigermaáen vergnglich bzw. ertr„glich. Wenn ihr mir unbedingt + sagen wollt wie lame ich bin, dann kontaktiert mich auf einer der folgenden + M”glichkeiten. + + eMAIL: gorfus@hotmail.com + BBS: hacker's inn - to gorfus + terminal madness - to gorfus + + Wenn ihr Glck habt, k”nnt ihr mich auch im IRC (meist in #hack oder + #thc mit /server irc.stealth.net) finden.. + +enyej, + gorfus / cpi\thc + +÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷ +Type Bits/KeyID Date User ID +pub 1374/9CAFA255 1997/04/30 GoRfUS / cPI\tHC + +-----BEGIN PGP PUBLIC KEY BLOCK----- +Version: 2.6.3i + +mQC5AzNnr8EAAAEFXjSFYmoKZ7bbfSff7LOxHmtGz6z4gBlDTWWmGwoC+JZ+L+MS +iflet2m9rbeG6FT0J5D6edLk3JnF/uDK/oiucV2FfrP7UPB3pdlZj8GNY3jzq6dP ++idIeL3G+Yi7+nW7gftNHHA3VfrTYKczt+e0PIvsuM5Dk7vG1JD/Y8GRqwJolEa3 +C4XZX1AOHW8dOjXTXjlo661Re9GaQsyJal9BtWkEZznlP792gZyvolUABRG0EEdv +UmZVUyAvIGNQSVx0SEOJAMEDBRAzZ6/DP792gZyvolUBAZh6BV4t1ydbcCrtqN1A +ga7Ei8F+5K0XjNCJY10bWL2bgW7sNjhkFLDtIr5fAAM3IX459hl9b3bZ8ZHyW5qN +PuBu0XZUOoFx4LcpdVBuQbXY8hvNFMPyU7XWUlOOzmL+PhLY/SIW0e8GId+3YWsv +hZvC/E+TY9HufWNF4i/NR4GPise9bzph8A0B1IpOjYQ3hw+jVVhhBdnLr9RlKhxj +3XvgNqG8EQsZALdysHb94YwC +=x6M7 +-----END PGP PUBLIC KEY BLOCK----- +÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷÷ + \ No newline at end of file