w0men r00ting


  • noster
  • 671 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • w0men r00ting

    Quellcode

    1. |=---------------------=[ The ultimate w0men r00ting pap3r]=------------------=|
    2. |=----------------------------------------------------------------------------=|
    3. |=-----------------------=[ xaitax | sticky bit | DocFX ]=--------------------=|
    4. |=----------------------------------------------------------------------------=|
    7. 1.) Vorwort
    8. 2.) Der Scan der zu r00tenden host-Ess
    9. 3.) Der Source fuer den Scan
    10. 4.) Der Host-ess r00t
    11. 5.) Das r00t Exploit incl. Description
    14. ----------------
    15. |- 1.) Vorwort |
    16. ----------------
    18. Hey Leute, hier endlich das langersehnte w0mens r00ting pap3r. Da eine
    19. unglaublich grosse Nachfrage besteht, wollen wir euch nun endlich mal einen
    20. grossen Einblick in die Welt des Frauen r00ten zeigen und geben. Leider koennen
    21. wir euch keine praktischen Beispiele geben, aber das schafft ihr auch mit
    22. unserer step-by-step Anleitung. ;) Es ist aus lauter Mitleid und Einsicht in
    23. euch von xaitax, DocFX und sticky bit in einer laengeren Phase, dank
    24. Urlaubsverzoegerungen(ok, ja es war Faulheit :P), in voller Hingabe geschrieben
    25. wurden. Aber kommt als Mann niemals auf die Idee nach dieser Anleitung bei
    26. jemandem Gleichgeschlechtlichen einzur00ten. ;) Das koennte braune Konsequenzen
    27. nach sich ziehen. Und das wollen wir dann doch nicht riskieren. Der sogenannte
    28. _Black Hole Bug_. Ein bekannter und immer weiter verbreiteter Vulnerability.
    30. --------------------------------------
    31. |- 2.) Der Scan der zu r00tenden Box |
    32. --------------------------------------
    34. Nun als erstes muessen wir uns ueberlegen bei welcher Box wir einr00ten wollen.
    35. Dazu muessen wir mehrere Vorgaenge vornehmen. Als erstes sollten wir in ein
    36. Board gehen, auch wenn wir da evtl. 10 Byte Eintritt bezahlen muessen. Aber da
    37. dort eine Menge Traffic herrscht, haben wir sicherlich mehr Erfolg als sonst wo.
    38. Als erstes muessen wir das Layout checken, denn erst dann koennen wir anfangen
    39. die Host-ess'en zu scannen. Wenn man sich mehrere Layer anschaut trifft man auf
    40. die diversesten Host-ess'en. Wir sollten uns genau umschauen in welchen
    41. Kategorien wir auf die meissten Host-ess'en treffen koennten. Moeglicherweise
    42. wirst du auch auf diverse *.mid Sounds aus allen Ecken treffen. Um auf das Board
    43. zu kommen werden wir das entsprechende POP6 Protokoll nutzen.
    45. ---------------------------------
    46. |- 3.) Der Source fuer den Scan |
    47. ---------------------------------
    50. /******************************************************************************/
    53. #include <communication.h>
    54. #include <clothes.h>
    55. #include <smilefaces.h>
    56. #include <money.h>
    57. #include <alkohol.h>
    59. #ifdef _HASCAR_
    60. #include <drivingskills.h>
    61. #else
    62. #include <bike.h>
    63. #include <oepnv.h>
    64. #endif
    67. /******************************************************************************/
    69. class Person {
    70. private:
    71. char[64] name;
    72. short unsigned int age;
    73. bool male;
    74. float PromilAlk;
    75. int Money;
    76. void WalkToLocation(CLocation aLocation);
    77. public:
    78. CLocation Location;
    79. CClothes clothes;
    80. int GetAge();
    81. int GetMoney(int count);
    82. void PrepareNight();
    83. bool ConnectBoard(CBorad board);
    84. }
    87. /******************************************************************************/
    89. void Person::WalkToLocation(CLocation aLocation)
    90. {
    91. int i;
    92. SetWalkDirectory(aLocation,Location);
    93. while (aLocation!=Location) {
    94. MakeStep();
    95. if (PromilAlk>1) {
    96. SetWalkDirection(WalkDirection+Random(PromilAlk));
    97. }
    98. }
    99. }
    102. /******************************************************************************/
    104. int Person::GetAge()
    105. {
    106. if (male) {
    107. return age;
    108. } else {
    109. switch (age) {
    110. case 15..18: return age+2;
    111. case 24..40: return age-3;
    112. else return age;
    113. }
    114. }
    115. }
    118. /******************************************************************************/
    120. int Person::GetMoney(int count)
    121. {
    122. Money-=count;
    123. return count;
    124. }
    127. /******************************************************************************/
    129. void Person::PrepareNight()
    130. {
    131. CClothes cl;
    133. TakeShower(this);
    134. DryHair(this);
    135. StyleHair(this);
    136. ShaveFace(this);
    137. me.clothes=SelectClothes(this,QUALITY_REALLY_GOOD);
    138. }
    141. /******************************************************************************/
    143. bool Person::ConnectBoard(CBorad board)
    144. {
    145. if (age<18) {
    146. if (!(SendMessage(MOMS_HANDLE,
    147. this,
    148. board.Handle,
    149. PLEASE_LET_ME_GO_TONIGHT) == IS_OK)) {
    150. return false; // shit happens.
    151. // hope it'll work tomorrow
    152. }
    153. }
    154. #ifdef _HASCAR_
    155. DriveToLocation(board);
    156. #else
    157. CBike b;
    158. if (b.CheckForPunktire) {
    159. GoByBike(Board);
    160. }else{
    161. if (Money>50) {
    162. GoByBus(Board);
    163. }else {
    164. WalkToLocation(Board);
    165. }
    166. }
    167. #endif
    168. while (Friends.Location!=Board) { Delay(10); }
    169. if (age<18) {
    170. try {
    171. Duck();
    172. Hide(BEHIND_FRIENDS);
    173. WalkToLocation(Board.Entrance);
    174. } except {
    175. return false; // fuckin keeper...
    176. }
    177. } else {
    178. WalkToLocation(Board.Keeper);
    179. Say("hi, isn't it a nice day today?");
    180. Smile();
    181. if (WaitForAnswer()!=ERR_TIMEOUT){
    182. Chat(Board.Keeper);
    183. // this is better for a good connection...
    184. }
    185. WalkToLocation(Board.Entrance);
    186. }
    187. if (!Pay(Board.Entrance)) return false; //not enugh money
    189. return true; // yeah! connected....
    190. }
    193. /******************************************************************************/
    195. int Main()
    196. {
    197. CBoard b;
    198. CPerson me; // ha! this is me!
    199. // ------------- you have to customize this part! -----------
    200. // if you dont have your own values the program properly crashes!
    201. me.name="Peter";
    202. me.age=18;
    203. me.male=true;
    204. me.PromilAlk=0;
    205. me.Location=Home;
    206. me.Money=100;
    207. b.Name="Metropol";
    208. // -----------------------------------------------------------
    209. me.PrepareNight();
    210. if (!b.Exists()) {
    211. return 1; // Err, board not found
    212. }
    213. if (!me.ConnectBoard(b)) {
    214. return 2; // Err, unable to connect
    215. }
    216. b.KeepClothes(me.UnncessarryClothes, me.GetMoney(1));
    217. me.Chat(Friends);
    218. me.WalkToLocation(Board.NextChair);
    219. me.LookAt(OBJECT_ALL);
    220. if (Similar(Answer,"What are u stearing at?")) {
    221. Say("oh, nothing. just wondering if the dj will ever play good musik");
    222. me.TurnAround();
    223. }
    224. if (!me.male) {
    225. return 3; // Err, femal objects are currently not supported
    226. }
    227. Board.AddBoy(me); // now i'm available
    228. int i;
    229. CPerson* Girl,MyGirl,tmp;
    230. MyGirl = NULL;
    231. for (i=0; i<Board.GirlCount; i++) {
    232. Girl=&Board.Girl[i];
    233. me.LookAt(*Girl);
    234. if (!(me.IsNiceView() && Girl->isBeautifoul)) {
    235. continue;
    236. }
    237. tmp=Board.GetNearestObject(Girl->Location);
    238. if (tmp->male) { // fuck, properly she is alredy busy :-(
    239. if (me.Braveness<EXTREME_LARGE) {
    240. continue;
    241. }
    242. }
    243. switch(Girl->Location){
    244. case(Board.Bar):
    245. CDrinks[2] c;
    246. me.WalkToLocation(Board.Bar);
    247. c = me.Buy(Bar.Drink,me.GetMoney(4),2);
    248. me.Give(*Girl,c[0]);
    249. me.Drink(c[1]);
    250. me.Chat(*Girl);
    251. me.Ask("Wanna dance?");
    252. if (!(Similar(Girl->Answer,"Sure!"))) {
    253. me.Say("My friend saied, u can dance so beautifoul i cant imagine...");
    254. me.Say("so, i want u to prove it...");
    255. if (Similar(Girl->Answer,"Fuck Up!")) {
    256. continue;
    257. }
    258. }
    259. break;
    260. case(Board.DancFloor): // just right
    261. break;
    262. case(Board.Toilet):
    263. // not yet implemented
    264. break;
    265. else // not yet implemented
    266. break;
    267. }
    268. // Girl->WalkToLocation(Board.DanceFloor); // :-( Err, NoAccess
    269. me.WalkToLocation(Board.DanceFloor);
    270. me.WaitForObject(*Girl);
    271. if (Girl->Location != me.Location) {
    272. continue;
    273. }
    274. me.Put(me.HandyNumer,Girl->HandPocket);
    275. me.Dance();
    276. me.LookAt(*Girl);
    277. me.Dance();
    278. if (Girl->LooksAtObject(me)) {
    279. me.Dance(*Girl);
    280. me.Whisper("u r so beautifoul");
    281. me.keepDancin();
    282. } else {
    283. continue;
    284. }
    285. me.Take(Girl->Hand);
    286. me.WalkToLocation(Board.Sofa);
    287. do {
    288. CDrinks[2] c;
    289. c = me.Buy(Bar.Drink,me.GetMoney(4),2);
    290. me.Give(*Girl,c[0]);
    291. me.Drink(c[1]);
    292. me.Chat(*Girl);
    293. } until ((me.PromilAlk>1) && (Girl->PromilAlk>1.5));
    294. me.Kiss(*Girl);
    295. MyGirl=Girl;
    296. }
    297. if (MyGirl!=NULL) {
    298. // and here u can do what ever u wanna do... cause u r the winner....
    301. } else {
    303. // loooser
    305. me.WalkToLocation(Home);
    306. }
    307. }
    309. -------------------------
    310. |- 4.) Der Hostess-r00t |
    311. -------------------------
    313. Um eine Host-ess zu rooten nuetzen wir das auf allen Host-essen implementierte
    314. POP6 Protokoll, normaler Weise ist dieses jedoch nicht unter Verwendung, bzw.
    315. fuer oeffentlichen Gebrauch freigegeben.
    317. Also was tun?
    319. Nun der Trick an der Sache ist folgender, ueber ein anderes Protokoll, welches
    320. auf der Host-ess fuer oeffentliche Kommunikation freigegeben ist, speisen wir
    321. Sequenzen ein, die den im Hauptprozessor verankerten Wunsch zur Erstellung von
    322. geforkten Prozessen (auch wenn wir die normalerweise nicht wollen!) und damit
    323. der effizientern Aufteilung der Rechenlast so wie dem Aufrecht erhalten der
    324. Berechnungen. Der Aufruf solcher Forking-Prozess-Einleitenden-Operationen ist
    325. ein im BIOS fast jeder Host-ess gespeichertes Feature, das standardmaessig
    326. ausgeliefert wird. Selbst wenn der Administrator einer Host-ess von der Gefahr
    327. dieses Features weiss, kann er es fast nie abstellen und oft nur schlecht
    328. eindaemmen.
    330. Und wie machen wir das jetzt genau?
    332. Anzunehmen ist, dass bei den meissten Hostessen das HTP (Human Talk Protocol)
    333. implementiert und oeffentliche Daemons frei gegeben sind. In der Praxis ist das
    334. zu 99% Prozent der Fall.
    335. Jetzt kommt die Arbeit. Wir muessen also nun unser "Opfer" genau ueberpfuefen.
    336. Das ist leider von Host-ess zu Host-ess sehr sehr unterschiedlich, einigen
    337. wenigen soll sogar der blosse Wunsch zum Protokollwechsel auf POP6 auf der HTP
    338. Ebene genuegen um den POP6 Demon zu starten und gut "geoelt" frei zu geben, auch
    339. wenn dies in der Praxis eher selten der Fall sein duerfte. Dies ist auch eine
    340. nicht unbedingt zu empfehlende Vorgehensweise, denn oft fangen
    341. Host-ess'en-interne Firewalls diese Anfrage ab und loggen euch als potenziellen
    342. r00t'er. Das dann jede Kommunikation mit der Host-ess geblockt wird sollte klar
    343. sein.
    344. Wichtig ist, dass ihr euch nun eine gute Strategie ueberlegt. Sendet dazu
    345. einfach ein paar unverbindliche Anfragen auf Files unterschiedlicher Typen,
    346. moeglichst breit gefaechert (tut so als seit ihr ein Mann von Welt-Weit-Web),
    347. und findet heraus auf welche Typen die Host-ess besonders arbeitsintensiv
    348. reagiert, leider ist es in der Praxis oft schwer zu erkennen, denn einige Typen
    349. reagieren auf gewuenschte Anfragen mit schnellerer Berechnung, andere leider mit
    350. langsamerer Berechnung, da sie noch einige Pruefroutinen dran haengen. Aber der
    351. Einsatz eines Host-ess'en Scanners (Listing 0.0) sollte hier Klarheit bringen.
    352. Habt ihr einen Filetyp erkannt auf den eure Wunsch Host-ess spezialisiert ist,
    353. solltet ihr Interesse an diesem Typ zeigen und evtl. auch Files diesen Typs
    354. anbieten. Werdet dabei aber nicht einseitig, auch ein paar andere Filetypen, oft
    355. verwendet wird z.B. *.joke, sollte immer dabei sein, um ein einfrieren der
    356. sowohl fuer eure Maschiene als auch die des Objektes arbeitsintensiven Prozesse
    357. zu verhindern. Auch hier sollte der Scanner Klarheit geben koennen wie
    358. die Auslastung auf dem Host gerade ist, und ob ihr noch Einen drauf legen
    359. koennt/muesst.
    360. Auch ist u. U. der Einsatz anderer Protokolle ausser dem HTP notwendig, aber das
    361. solltet ihr inzwischen von eurer Host-ess wissen.
    362. Bei manchen Host-ess'en kann der Anteil der zu sendenden Files allerdings derbe
    363. in die Resourcen gehen, besonders wenn es eine hartnaeckige Host-ess ist oder
    364. der Admin hinterlistig ist. Vom verschicken von Hardware raten wir ab, das
    365. fuehrt oft zu nichts und ist nur dazu da eure Maschiene auszuschlachten, ihr mue
    366. sst hier halt abwaegen was was wert ist. Stellt die Host-ess nun selbststaendig
    367. Anfragen an eure Daemons ist es eigentlich schon fast geschafft. Wir haben jetzt
    368. eine Layer3 bis Layer4 Kommunikation mit der Host-ess machen koennen. Dieses ist
    369. allerdings noch nicht das was wir wollen, denn wir wollen ja Layer2 oder gar 0.
    370. ;)
    371. Jetzt kommt der in Listing 0.0 gezeigte Exploit zum Einsatz, vorher ist es
    372. allerdings noch ratsam abzuwarten bis alle anderen Verbindungen der Host-ess
    373. geschlossen (evtl. sind da auch grad andere am r00ten, das koennte boese enden.
    374. Vorher checken!) sind und ihr euch in einer gesicherten Umgebung befindet, denn
    375. das erhoeht die Erfolgschancen, aber wer'n Abenteuer sucht, bitte!
    376. Dieser Exploit, wohl gemerkt nur eine Basis Version schickt nun unter HTP
    377. Sequenzen an die Host-ess, welche normalerweise ungefiltert in die CPU gehen und
    378. im Hintergund von oben erwaehnten BIOS-Feature ueberwacht werden.
    379. Ob das BIOS nun auf einen solchen Arbitary-Code reagiert haengt von den
    380. Sequenzen ab und auf welchem Layer der Kommunikation ihr euch befindet. Um hier
    381. gute Strategien zu entwickeln bedarf es viel Erfahrung, welche Sequenzen was
    382. bewirken koennen. Springt das BIOS auf den Code an, so wird es im Hauptprozessor
    383. den POP6 einspeisen und euch auf den Pprotokollwechsel aufmerksam machen. Der
    384. Exploit verbindet euch nun mittels POP6 auf den Port 1 (bei f Typen!) und voila,
    385. ihr seid drinnen! Nach ein wenig hin und her koennt ihr dann euer Zeug da
    386. lassen, mehr oder weniger, denn um die leider weit verbreiteten geforkten
    387. Child-Prozesse zu vermeiden benutzt der Exploit einen Schutz-Mechanismus, der
    388. diese und noch andere Nebeneffekte verhindert, allerdings ist der ultimative
    389. Zugriff damit nicht moeglich. Naeheres dazu aber in der Anleitung des Exploits.
    390. Ob ihr nun eine Layer0 oder nur eine Layer1 oder 2 Verbindung hattet ist schwer
    391. zu sagen, auch hier kommt es wieder auf die Erfahrung an, manche BIOS'e in den
    392. Host-ess'en sind so eingestellt, dass sie einen solchen Zugriff nur auf Level0
    393. zulassen, manche auch auf 1 oder 2 ...
    394. Solltet ihr eine Layer1 und Layer0 Verbindung erreicht haben, d.h. ihr werdet
    395. danach getrustet und je nach Host-ess evtl. der einzige Kommunikationspartner
    396. fuer POP6, haben wollen koennt ihr versuchen die I-Love-You Backdoor einzubauen,
    397. naeheres dazu in Listing 0.0. Bedenkt aber dabei, dass ihr dann evtl. nur noch
    398. fuer POP6 Kommunikation mit dieser einen Host-ess zu gebrauchen seid, denn
    399. manche Host-ess'en reagieren mit zuruecksetzen der Verbindung auf Layer3 oder
    400. gar hoeher, wenn sie eine POP6 Kommunikation von euch zu anderen Host-essen
    401. heraus finden. Auch ist diese Backdoor nur auf der HDD gespeichert und wie das
    402. mit Magnetspeichern so ist, da ist leider nichts auf Dauer.
    404. -------------------------------------------
    405. |- 5.) Das r00t exploit incl. Description |
    406. -------------------------------------------
    408. #!/usr/bin/perle
    410. use Con::Con;
    411. use Socket;
    413. $your_bunny = 'na wer wohl?';
    414. $geschwaetz = 'was sie halt hoeren will...';
    416. socket (F, PF_INET, WRD_STREAM, getprotobyname('htp'));
    417. connect (F, sockaddr_in(4, inet_aton($your _bunny)));
    419. while ($f !~ /switching protocol: pop6/){
    420. send (F, "$geschwaetz\r\n\") || die;
    421. $f = <F>;
    422. }
    424. close F;
    426. socket (F, PF_INET, LIQ_STREAM, getprotobyname('pop6'));
    427. connect (F, sockaddr_in(1, inet_aton($your_bunny)));
    428. &Con::Con::DOM(1);
    429. send (F, "~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)~<)") || die;
    430. close F;
    431. print "\a";
    433. exit;
    435. # Zur Benutzung:
    436. # Passt als erstes die Variablen in Zeile 6 und 7 auf eure Host-ess an.
    437. # $your_bunny bekommt den Host-ess'ennamen des zu rootenden Objektes,
    438. # $geschwaetz solltet ihr dem zu rootenden Objekt anpassen. Bei vielen
    439. # Maschienen tut es die Zeichenfolge 'r0man+!5ch3523ux' aber das kann
    440. # stark varieren. Fuer manche Objekte, z. B. SM-Host-essen, kann es sogar
    441. # noetig sein, statt der ueblichen ASCII Zeichenfolgen handfeste Bitwerte
    442. # mit BEAT-Sequenzen zu senden und ggf. ein anderes Protocol fuer den
    443. # ersten Sendevorgang zu verwenden. Bei gut gesicherten Maschienen kann es
    444. # vorkommen, das eine einzige Zeichenfolge nicht ausreicht, sondern diese
    445. # immer wieder, evtl. sogar nach Challenge-Response Verfahren neu generiert
    446. # werden muss. Ihr solltet also ueber eure Host-ess Bescheid wissen und
    447. # immer bedenken, dies ist nur ein Basic-X-Ploit!!!
    448. #
    449. # Wichtig ist noch der Import des Con::Con::DOM-Moduls in Zeile 3 und
    450. # der Aufruf seiner Subroutine DOM in Zeile 21.
    451. # Dieses Modul ermoeglich eine sichere Verbindung. Dies dient vor allem
    452. # dazu das evtl. unerwuenschte Loggen zu verhindern, bei dem u. A.
    453. # Forking-Prozesse entstehen koennen, die euch Anhand eindeutiger
    454. # DNS-Lookups als r00ter enttarnen koennen, und dann koennt ihr euch
    455. # ewig und drei Tage um so 'nen scheiss Child-Prozess kuemmern.
    456. # Ausserdem schuetzt euch diese Routine vor evtl. installierter Malware,
    457. # die sich versuchen wird auf eurer Maschiene zu installieren.
    458. # Nachteil ist allerdings, dass der Sandkasteneffekt der durch die Routine
    459. # entseht. D. h. ihr bekommt nur einen virtuellen Schreibzugriff.
    460. # Bei Maschienen mit denen ihr oeffters kommunizieren wollt solltet ihr
    461. # daher unbedingt einen PILL-Driver installieren, und den Aufruf
    462. # dieser Routine entfernen. Aber Vorsicht, leider sind nicht alle Host-ess'en
    463. # mit diesem Treiber kompatibel und bevor ihr die ganze Maschiene kaputt
    464. # macht...
    465. #
    466. # Naja was gibts noch, ach ja, dies ist ein X-Ploit fuer Typ f Host-essen,
    467. # Wer es fuer Typ m Host-essen (es gibt keinen Port 1, also leicht zu
    468. # erkennen) verwenden will sollte sich vorher nochmal in dieses Thema genau
    469. # einlesen und den X-Ploit ggf. anpassen.
    470. #
    471. # OK, also nochmal dran denken, das ist nur ein Basic-X-Ploit und kackt
    472. # uns nicht an wenn es nicht den gewuenschten Effekt hat.
    473. #
    474. # Also dann wenn ihr das alles begriffen habt und ihr euch sicher seid,
    475. # dann ruft dieses Skript, wie es auf eurem OS ueblich ist, auf und feucht
    476. # froehliches r00ten!
    477. # X-Ploit ggf. anpassen.
    479. -------------
    480. |- Authors: |
    481. -------------
    483. -| xaitax - [email]ah@primepage.de[/email]
    484. -| sticky bit
    485. -| DocFX - [email]DocFX@gmx.de[/email]
    Alles anzeigen