Victor Hacking

Per visualizzare tutte le porte TCP in ascolto o collegate al computer

basta aprire un prompt di MS-DOS e digitare il comando NETSTAT -NAP TCP.

Proto Indirizzo locale Indirizzo remoto Stato
TCP 127.0.0.1:1043 213.41.60.24:80 ESTABLISHED
TCP 127.0.0.1:137 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1054 62.18.24.221:110 TIME_WAIT
L’output del comando mostra le connessioni attive, in attesa e in chiusura e per ognuna d’esse riporta il protocollo (Proto), l’indirizzo locale con la sua porta, l’indirizzo remoto con la sua porta e lo stato della connessione rispetto alla porta locale. Tale stato può essere:

LISTENING: la porta è aperta in ascolto ed attende una connessione.
SYN_SENT: la porta è aperta e sta inviando dati.
SYN_RECEIVED: la porta è aperta e sta ricevendo dati.
ESTABLISHED: la porta è aperta ed è collegata con un computer.
TIME_WAIT: la connessione è terminata, tuttavia la porta attende la chiusura.
FIN_WAIT_1: la porta è ancora aperta, ma si accinge a chiudersi.
FIN_WAIT_2: la porta è ancora aperta, ma si accinge a chiudersi.
CLOSE_WAIT: la porta attende la chiusura.
CLOSING: la porta è in chiusura.
LAST_ACK: la porta è in chiusura (ultimo messaggio prima di chiuderla).
CLOSED: la porta è effettivamente chiusa.
Alcuni di questi stati sono molto difficili da vedere poiché la loro permanenza dura pochi decimi di secondo. Alcuni programmi di protezione, ad esempio un firewall, possono forzare alcuni di questi stati, anticipando o bloccando alcuni stati.

Per prima cosa dovete sapere xke kiudere questo servizio!
Semplicemente xke cn il netbios aperto nn ci vuole molto ad essere attaccati da 1 lamer!
Con il netbios aperto è facilissimo entrare in 1 Hard Disk come altre cose!!!
x evitare tutto ciò seguite questi semplici passaggi per disattivare (nel caso l’aveste aperto,provate a farvi 1 scanner con 1 Port Scanner e vedete se è aperta!)
Ora COMINCIAMO!!!

1)Aprite RISORSE DI RETE
2)Fate Proprietà ….attendete vi aprirà CONNESSIONI DI RETE!
3)Ora,scegliete la connessione su cui kiudere la porta (tipo CONNESSIONE ALLA RETE LOCALE LAN) ecc…
4)Fate click destro e fate PROPRIETA !
5)Ora dove c’è scritto "LA CONNESSIONE UTILIZZA I COMPONENTI SEGUENTI" andate giù a tutto e clikkate 1 volta su TCP/IP poi fate PROPRIETA !
6)Ora sotto a tutto premete AVANZATE…
7)Selezionate la linguetta WINS
8)Sotto dove c’è la voce: IMPOSTAZIONE NETBIOS clikkate sul cerchietto:
DISABILITA NETBIOS!
9)Fate OK e kiudete connessioni di rete e risorse di rete
10)Disconnettetevi e Riconnettetevi
Ora la porta 139 è kiusa!

Vi e mai capitato di avere accesso ad un PC solo con l’account ristretto e quindi senza la possibilità di installare programmi e compiere diverse operazioni riservate solo all’admin come succede ad esempio a scuola?

Ecco il comando:

Codice:

net user nomeutente password

dove al posto di nomeutente andrà messo il nome dell’ utente di cui si vuole modificare la password e al posto di password bisogna inserire la nuova password!

Innanzitutto bisogna scrivere questi codici sul prompt dei comandi:

Codice: net user nomeutente /add
net localgroup administrator nomeutente /add
net user nomeutente password

Questi sono I comandi che creano il nuovo utente con privilege di amministratore e gli impostano una password a vostra scelta! Ovviamente le parole nomeutente e password andranno sostituite a vostro piacimento con il nome del nuovo utente e la sua password!

Con questo metodo però quando l’admin accendera il PC si accorgera che e stato creato un nuovo utente!

Per risolvere questo problema bisogna nascondere il nuovo utente creato!
Un account nascosto non verrà visualizzato dagli altri utenti. Ecco come crearlo:

1. Fate click su Start, Esegui, e scrivete "regedit" (senza virgolette)

2. Andate cliccando due volte sulle cartelle a sinistra a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\ Winlogon\SpecialAccounts\ UserList

3. Modificate o create un valore DWORD cliccando con il tasto destro nella parte destra dello schermo e selezionando "Nuovo"->"Valore DWORD"

3. Inserite il nome dell’account segreto che avete intezione di creare per esempio: "AccountNascosto"

4. Impostate ora il valore Data a 0 per rendere nascosto l’account. (1 lo renderebbe visibile)

5. Uscite dal registro e riavviate.

Come entrare con l’account nascosto:
Nella pagina di login premete per due volte CTRL+ALT+CANC e inserite la vostra username (AccountNascosto per esempio) e la vostra password!

Notate bene: l’account non sarà completamente nascosto in quanto verranno create le cartelle in Document And Settings ma comunque vi permetterà di essere meno visibili.

1)Andate su un motore di ricerca google o altavista (consiglio altavista perchè trova + pagine di google quindi più possibilita di trovare un forum vulnerabile) quindi prendiamo in esempio altavista www.altavista.com

2)Nella ricerca scrivete: Powered By Phpbb 1.0.12
3)Ora cercate un forum vi spiego un trukketto,vedete il link quelli cn + probabilita di defacing sn quelli che nel link hanno ad es:
www.forum.com/index.php oppure www.forum.com/index.php?members  ecc… quando trovate la 2 opzione cancellate ?members e rimanete /index.php per arrivare alla pagina iniziale del forum!
4)Andate in C:Documents and SettingsUSERDati applicazioniMozillafirefoxLettereNumeri *(leggete in basso)*
=Dp firefox troverete una serie di lettere e numeri a random perciò ogni cartella è diversa,ovviamente in questo esempio abbiamo preso in esame il BROWSER MOZILLA!
5)Una volta entrato nella cartella cliccate su COOKIE.TXT fate ALT+T e inserite nella ricerca il nome del sito che volete defacciare perchè in pratica quando avete aperto il forum php per l’identificazione vi ha registrato i cookie!
6)Una volta trovato controllate se vi appare una stringa tipo questo:
phpbb2mysql_data se ce l’ha il forum può essere vulnerabile,dipende tutto dal codice Guest che troverete affianco,di solito è: a%3A07Bma può essere anche diverso!
7)Una volta individuato il codice guest inserite al posto del codice questa
STRINGA:
a%3A27Bs%3A1122autologinid%22%3Bb%3A1%3A622userid%22%3A1222%227D
(Piccola parentesi,se al posto del codice GUEST troverete questa stringa,nn si fa niente,il forum nn è vulnerabile!)
8)Ora salvate i cookie (nn cliccate sulla [X] per uscire e fare salva perchè mi è capitato di nn salvarmeli quindi FILE,SALVA)
9)Chiudete tt le pagine del browser che avete,tutte quante altrimenti vi riportera i cookie cm erano prima! (N’altra parentesi nn fate aggiorna perchè nn funziona!)
10)Riaprite il forum e dovreste essere ADMIN!
P.S nn sempre vi mette admin anche se trovate la data e il codice guest nn significa niente!
Volevo darvi un consiglio,se nel caso entrate cm admin e x caso nn vi esce il pannello admin 2 sn i motivi:
1)L’admin per sicurezza ha creato 1 account admin senza possibilita di entrare nel pannello o qualcosa del genere
2)Il pannello è nascosto,cm mi è capitato gia!

Bene,prima di salutarvi voglio ricordarvi che lo scopo del defacing nn è distruggere interi FORUM ma creare 1 sezione e inserire come l’admin possa risolvere questa falla e quindi proteggersi!

Rintracciare un IP è sempre cosa ardua, ma a volte utilissima. Vi è per esempio capitato di ricevere dal vostro provider (Libero,Alice…) di posta elettronica un messaggio con scritto "bloccato virus <nome del virus> in una mail destinata a te. L’indirizzo del mittente è falsato dal virus stesso,per cui l’unica fonte attendibile è l’IP del mittente <ip di chi ha inviato la mail>". A questo punto scatta uno spirito da vero "hacker": vedere chi ha spedito il virus per poi combinargli qualche scherzetto…(intendiamoci già con queste poche parole) Con questo sito, risaliremo al nome o società a cui appartiene il pc da cui è partito l’attacco…semplicemente inserendo nello spazio il numero IP da identificare. Andando invece qui risaliremo addirittura alla città del pirata informatico.

E’ tutto. Ma prima devo precisare che dovete tenere presente che questi metodi non sono infallibili e soprattutto che spesso i pirati informatici utilizzano computers "zombie" cioè infettati da trojan o simili e non consapevoli delle azioni che vengono fatte da remoto. Per cui il titolare del pc da cui è partito l’attacco potrebbe esserne totalmente all’oscuro…

SynFlood

Questo tipo di attacco sfrutta delle vulnerabilità nei protocolli… Ecco uno schemino che mostra una normalissima connessione TCP…
Client —> syn ———> server
Client <— syn/ack —-> server
Client—-> ack ——–> server
Come si può notare client e server si scambiano pacchetti syn, che indicano la creazione di una nuova connessione, e ack, che indicano la validità del campo di acknowledgement, cioè la conferma che i dati sono arrivati a destinazione…
In questo modo la connessione darà Established… L’hacker nn fa altro che inviare al server migliaia di pacchetti tcp con sorgente spoofata (nascosta) e con il syn attivo… Il server risponderà normalmente inviando le risposte con dei pacchetti syn/ack, cm abbiamo visto nello schemino, ma all’ip spoofato… in questo modo resterà in attesa dell’ ack del client… Essendo spoofato l’ip, il server non riceverà mai una risposta e andrà crashando… … Bello no?? Da lamer ma bello…

Smurf

Lo smurf ha un funzionamento simile a un normale attacco DoS, ma non identico… in pratica si mandano x esempio 50 pacchetti a una lista di ip di server bouce, chiamata lista di BroadCast… facciamo che in questa lista ci sono 50 ip… arriverà un pacchetto a testa e questi ne manderanno 50 a loro volta, ma tutti a uno stesso ip, la vittima! Essa si troverà con 2500 pacchetti che gli intaseranno la rete x ore, finchè non si cambierà l’ip (se è dinamico)… Ma basta con la teoria… Iniziamo ad hackerare…
Innanzi tutto quel ke ci serve è uno smurf, ke si trova facilmente su internet e una lista di broadcast… Abbiamo tutto l’occorrente??? Inutile dire che serve anche l’ip della vittima! All’attacco!
Prendiamo il nostro programma smurf e la nostra lista che chiameremo cast… mettiamole in C:/Windows e apriamo il prompt dei comandi… scriviamo “smurf ip cast” (senza apici) con al posto di ip, l’ip vittima…
Smurf 80.192.125.68 cast
Premiamo invio e lo smurf in pochi secondi sarà completato e la nostra vittima, anche con una adsl 4,8 Mbps, farà una brutta fine…
ATTENZIONE… Non voglio fare il guastafeste ma questa cosa ve la devo dire… eheh… lo smurf… non funziona… su… windows xp… service pack 2!!!! Cioè il service pack 2 nn ci fa fare uno smurf, quindi dovete avere un windows xp service pack 1 o 0 oppure un win98, me, 2000, ecc…
questo e tutto!!!

Premessa

Sicuramente vi sarà capitato di disconnettervi da internet perchè
improvvisamente il sistema operativo Windows è diventato instabile. Sintomi,
questi, che nel gergo hacker si definisce un Nuke. In termini tecnici si tratta
di un D.o.S (non parlo del DOS di Bill Gates) che sta per Denial of Service,
cioè un attacco portato a un computer connesso in rete con l’intenzione
di neutralizzarlo secondo diversi metodi: mandando in loop infinito una determinata
applicazione, impegnando tutte le risorse del sistema operativo, ecc….. Dunque un Nuke è un programma che consente di effettuare questo tipo
di aggressione.

Cosa succede tecnicamente

Sulla porta 139, aperta per default, viene spedito un pacchetto con il
"flag" urgente, associato con dei dati fisicamente non esistenti.
Windows, quindi, resta inutilmente in attesa dei dati, andando così
in crash che nella maggior parte dei casi bisogna riavviare. Successivamente
si e scoperto che le "porte deboli" di windows non sono poche,
infatti con dei Nuke più complessi si e riuscito a colpire anche altre
porte (113, 135, 137).

La storia

Con windows 98 sono stati eliminati molti bug, ma secondo la legge di Murphy
ogni errore corretto se ne genera uno nuovo. Infatti con il passare del tempo
questi programmi riuscirono a creare nuove forme di attacco, basate non più
sulle porte di windows ma bensì sulle imperfezioni del protocollo TCP/IP.
Riporto qui di seguito soltanto un paio di metodi di attacco:

Land : si invia un pacchetto con gli stessi indirizzi di sorgente e destinazione
ad una porta. Il computer vittima negozia con se stesso, causando un loop infinito
e quindi il blocco del sistema(mouse bloccato, tastiera che non risponde).

Un attacco nella pratica

Ma nella pratica come fanno ad attaccare? Bene, in pratica chi attacca si fornisce
di programmi che riescono a fare il tutto senza che l’attaccante debba avere
delle conoscenze informatiche particolari. Un esempio può essere DOOM
IGMP NUKE. Questo invia pacchetti IGMP, e Windows cade, perchè non riesce a
gestire questo protocollo. Questo nuke funziona in moltissimi casi, specie
per Windows98. Basta scaricarlo dalla rete e configurarlo:

- Target IP: qui va l’Ip della vittima

- Infine basta cliccare su NUKE!

Come vedete chi utilizza questi programmi non necessariamente deve avere una
preparazione informatica particolare. Può farlo chiunque, basta avere
l’indirizzo Ip della vittima.